ARTICLES
专业文章
《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》六大亮点解读
《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》六大亮点解读
|
|
|
|
亮点一:
针对国有出资企业数据合规专项领域的创新性操作指南
如何在满足数据安全要求的前提下,最大程度促进数据流通和开发利用、赋能数字经济是当前企业必须关注的问题。国有企业作为党和国家的重要依靠力量,不仅深耕于国家重点领域,在经济发展中亦不可或缺,最大化国有企业的数据利用,提高国有企业数字经济发展水平,是国有企业治理的重要环节,也是制定《指南》的内在动因。广州市国资委以统筹管理的思想,在《指南》中聚焦《网络安全法》《数据安全法》《个人信息保护法》等法律法规的核心要求与重点制度,融合了《广东省省属企业合规管理指引(试行)》的思路策略,并在此基础上制定了富有地方特色和创造性的《指南》,为国有企业数字化转型和数据治理提供了合规指引。
《指南》为响应企业数字化转型整体布局,建立现代企业制度,要求国有及国有控股企业、国有实际控制企业(合称"监管企业")"应尽量依托国资国企信息安全‘云’监管平台,积极支持配合国资国企一体化网络安全信息大数据平台的建立,促进数据安全信息联动和能力共享",以便利数据管理并发挥数据价值;为防止国有资产流失、优化国资监管方式、保护数据安全,《指南》要求监管企业"根据标准对现有数据进行全面分类分级,并通过技术手段落实安全管理要求,定期对新增数据进行梳理",以推动企业厘清数据保有情况,促进数据的动态保护和价值实现,有助于广州市建设数据利用"高地"。同时结合《指南》规定的全流程数据管理制度,其实施将有利于增强监管企业规范意识和安全意识,有利于形成规范有序的数据管理体制机制,保障国家安全、数据安全。
亮点二:
设置数据安全合规管理三道防线,明晰数据管理层次
《指南》承袭了《数据安全法》《个人信息保护法》对于数据安全管理的规定,要求监管企业设置内部管理制度和操作规程,并设置落实数据安全保护责任的专职人员。《指南》进一步细化数据合规管理的层次,依照监管企业的内部设置特征划分了数据安全合规管理的三道防线。第一道防线是各业务范围内各职能部门;第二道防线是监管企业合规管理牵头部门;监管企业可视情况通过建立联合的数据合规管理办公室或工作组,并以此作为第三道防线。三道防线将分工协作,各司其职,以切实落实数据保护制度。
图1 数据安全合规管理三道防线示意图
同时,《指南》第7条与第8条明确"董事会合规委员会或承担合规管理职责的专业委员会"在职责范围内以及"经理层及合规管理负责人"在原有合规管理职责的范围内均具有合规管理职责。若监管企业未合规开展数据处理活动或者未尽到网络安全管理职责,则前述人员均有可能被认定为《网络安全法》《数据安全法》《个人信息保护法》项下的"直接负责的主管人员和其他直接责任人员"并承担相应责任。这有利于警示相关责任人员依法依规履职,以降低网络安全、数据权利侵权事件发生的风险。
亮点三:
监管措施更加完善
1. 明确"报告"对象
《网络安全法》《数据安全法》《个人信息保护法》规定,在发生网络安全事件、数据安全事件、个人信息泄露、损毁、丢失的情况下,网络运营者、数据处理者、个人信息处理者有义务向主管部门报告。《指南》沿用了报告义务的整体思路,但进一步明确监管企业在进行影响或可能影响国家安全的数据处理活动时,如果发现存在数据安全威胁,应当向公安机关、国家安全机关报告;如果数据处理活动可能涉及重大经营风险时,还需要同步向市国资委报告 。报告对象的明确体现了对潜在风险的充分理解和重视,亦系响应总体国家安全观的重要举措。
另外,就监管企业的前述报告义务还需要注意两点。其一,《指南》中的报告义务与《网络安全法》《数据安全法》《个人信息保护法》项下的报告义务系并行要求。在安全威胁既满足《指南》的规定,又满足其他法律规定时,监管企业需要同时履行《指南》及各项法律法规下的全部报告义务。其二,《指南》针对"影响或可能影响国家安全"的情况及"可能关系到重大经营风险"的情况进一步明确了报告义务。区分情境、放管结合的规制方式不仅契合中央政府推进"放管服"的精神理念,同时也是完善政府治理体系和治理能力现代化的必然选择。
2. 责任惩戒机制增加
《指南》第53、55条明确了市国资委针对监管企业数据安全事宜可以采取约谈、问责等多项举措。在安全事件发生前,市国资委可以通过约谈、要求整改等方式,以强硬态度整肃监管企业数据安全管理机制,防患于未然;在安全事件发生后,市国资委有权通过要求监管企业停业整顿等方式及时消除影响、完成整改,以此威慑违规行为。《指南》中相对完整且涵盖事前事后监管的措施有助于将治理机制落到实处,推动监管企业与相关责任人员履行自身义务,切实保障数据安全。
亮点四:
进一步明确"数据跨境"的范围
《数据安全法》与《个人信息保护法》均针对数据跨境规定了一系列的制度,但对于哪些跨境数据流动行为属于数据跨境,法律并未给出较为明确的边界,这导致不少企业在实践中对于数据跨境的理解存在偏差。例如,不少企业在境外架设服务器,并通过该服务器存储、分析数据,但部分企业认为因数据处理者并未变更,故该等数据的跨境流动并不属于数据跨境行为,进而怠于履行相应的数据跨境义务,造成潜在的合规问题和安全风险。
从指导实践的角度出发,《指南》在充分领会《数据安全法》与《个人信息保护法》立法意图的基础上,重申"监管企业境外分支机构在当地设立服务器,并通过该服务器储存及使用监管企业数据的,应按数据出境的管理要求实施数据安全管理。"这有利于指导企业自觉、及时遵守数据跨境的相关义务要求,降低潜在的合规风险和安全风险。
亮点五:
建立监管企业与商业伙伴合作中的数据保护制度
数据的交互和流动是数字经济发展过程中的常态化动作,但如何在数据的交互和流动中实现对数据的保护,防控潜在的数据安全风险是所有企业面临的共同课题。《指南》建立了一系列监管企业与商业伙伴合作中的数据保护制度,具体如下:
1. 事前——准入机制
根据《指南》第36条,"监管企业应明确信息系统开发及运维、数据储存、数据处理等数据服务相关合作方的准入标准,并在合作方选择时进行资格审查"。上述规定要求监管企业事前对数据服务相关合作方进行审查,且企业内部应当建立统一审查标准。这就意味着监管企业需要制定一套通用的合作机构准入标准,并基于该等标准开展必要的合作机构准入审查。这有利于规范数据合作,降低因合作方带来的潜在数据合规风险。对于监管企业而言,"标准+审查"的模式不仅可以在一定程度上保障监管企业的数据安全,如后期发生数据安全事件等危害数据安全的情形,监管企业也可以将准入标准规定与审查记录作为其尽到合理审查义务的证据,以降低自身的风险。
2. 事中——监督措施
从事中监管的角度,《指南》在《个人信息保护法》的基础上对企业如何对合作方进行监督给出了细化指引。一方面,《指南》细化了企业与数据合作方应当约定的内容,明确合同中需结合实际情况列明"服务标准、数据备份和恢复、数据泄露预防、业务连续性计划等内容";另一方面,就具体的事中监督手段,《指南》提出企业可以采取"定期的数据安全监测、检测和评估机制",并将"相关评估结果与合作方的变更及退出进行挂钩,发现合作方存在数据滥用、盗卖数据、预留后门等违法违规行为的,应及时终止合作并永久禁止合作,并按合同约定进行索赔"。由此,《指南》为监管企业实际实行监督提供了一条相对明晰的路径。
亮点六:
明确可采用的技术保护的措施
《指南》第47条提出监管企业应"应通过相关技术的应用及更新,提升企业在数据识别、敏感信息保护、数据操作审计、接口安全管理、数据防泄露等方面的技术能力,提升数据安全保障能力",即鼓励企业通过技术创新与技术升级提升数据安全保障能力。在《数据安全法》与《个人信息保护法》中,法律已经提及了"匿名化"与"去标识化"等技术,《指南》在前述规定的基础上更进一步,明确指出企业可以采用"定期数据资产扫描"、"脱敏效果验证"等技术手段保障数据安全。这些进一步细化的规定与更为明确的技术手段有助于解决企业如何履行《数据安全法》与《个人信息保护法》义务的困惑,加强了监管要求的实践性与可操作性,更有利于企业将数据保护真正落到实处。
结语
总体来看,《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》延续了《网络安全法》《数据安全法》《个人信息保护法》的监管精神,并在立法中融合了监管企业的特色,其监管规定展现了个人利益、企业利益和国家利益之间的平衡,《指南》的正式发布,将为监管企业利用与保护数据提供坚实的基础,以实现保障数据安全,激发数据价值的终极目标。
[注]
