合規官 | 企業數據安全合規體系構建的難點和重點【走出去智庫】_風聞

走出去智庫觀察

日前，由上海交通大學凱原法學院、中國人民大學國際商事爭端預防與解決研究院、北京卓緯（上海）律師事務所、走出去智庫主辦，智合、威科先行共同協辦的“高水平改革開放與企業合規”主題高峯論壇於上海舉行，探討貿易合規、數據合規方面的熱點問題。

浪潮電子信息產業股份有限公司合規部總經理範磊在主旨演講中指出，根據不同領域合規體系搭建的經驗，以及不同領域合規體系的融合融通情況來看，主要合規領域在體系方法論上的構建上有相通之處。合規體系的構建主要是為了解決內部合規如何有效及可執行性，以及外部的有效監管的證明。隨着時間的推移和發展，以及國內國際形勢的變化，企業走出去合規體系構建的標準已經由之前的形式合規向實質性合規轉變。實質性合規就是要做到對內的有效建立和執行，以及對外的有效的證明。

企業合規官如何構建數據合規體系？今天，走出去智庫（CGGT）刊發範磊演講的主要內容，供關注數據合規的讀者參考。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

**文/**範磊

浪潮電子信息產業股份有限公司

一、國內外數據安全監管形勢

從全球來看，近年來關於數據安全及個人隱私的相關立法已經非常頻繁。2018年歐盟實行GDPR之前，雖然很多國家也有數據安全的法，但是從2018年以後很多國家加強數據安全的立法並上升到很重要的層級，包括非洲有一些國家也開始逐步加大數據和個人隱私的立法。因此，對於中國企業走出去，數據合規工作面臨着一個非常大的挑戰。

從國內來看，提到數據安全離不開三部法律：個人信息保護法、數據安全法以及網絡安全法。企業構建數據安全、個人隱私保護相關的合規體系，應該把這三部法律以及這三部法律相配套的規則結合起來進行綜合的使用。

近幾年全球關於數據安全的執法案例，主要針對的是數據的過分蒐集、對個人信息權利的侵犯、數據泄露的問題，以及數據跨境的問題，甚至平台監管責任的問題等，如亞馬遜違反《通用數據保護條例》（GDPR）的行為被罰款7.46億歐元。這些執法案例的背後，總體上反映出在數據的合規領域，可能存在的一些權益衝突的地方。如企業在獲取數據、利用數據的過程當中，與個人權益之間的平衡問題，數據出境方面利用方面與國家安全相關的平衡問題，甚至是不同企業在互相利用數據之間的權益平衡問題。這三個方面帶來了企業在構建數據合規體系過程當中，所重點需要解決的幾個大問題。

二、數據安全合規體系構成要素

在企業數據合規安全體系中，有一些關於整體合規構建的標準和要求，包括數據安全、網絡安全、個人信息相關的法律規定，以及網信辦和行業協會出台的細則裏面，都會有關於數據安全和個人隱私等相關體系構建的要求。甚至在很多認證體系中，都會有對這個體系的介紹。在企業內部構建合規體系，需要考慮不同領域的合規之間的共性，用共性的方式來構建這樣一個體系，以達到説既能夠有效的建立起一套體系，同時也能夠降低企業內部構建的成本和業務執行的難度。

我根據不同合規體系搭建的經驗，以及不同合規體系的融合，發現所有合規領域在體系構建的本質上其實是一樣的，主要是為了解決內部合規如何有效及可執行性，以及外部的有效監管的證明。且隨着時間的推移和發展，以及國內國際形勢的變化，企業走出去合規體系構建的標準已經由之前的形式合規向實質性合規轉變。實質性合規就是要做到對內的有效建立和執行，以及對外的有效的證明。

總體來看，海量的數據從蒐集、存儲、出境、第三方處理等要涉及到大量的公司內部各業務部門以及公司外部各關聯方乃至合作伙伴，由此數據安全領域的管理層承諾、組織建設方面顯得非常重要，相關組織建設、體系落地方面也較為複雜。如果沒有管理層的重視和支持，數據合規體系根本建不起來。因此，在數據合規體系構建過程中，要做的第一件事是對管理層進行相應的培訓，尤其是合規部的負責人或者首席合規官。管理層意識的提升、能力的賦能，各方面業務才會真正的重視起來。浪潮信息的最高管理層就對公司的合規工作非常得重視和支持。當然，除了管理層重視之外，在公司內部設立類似於合規委員會、隱私保護辦公室，甚至和網絡安全結合在一起，建立網絡安全與治理辦公室。具體執行之時，會有IT部門和法律合規部門互相支撐，有些可能是IT牽頭，有些是法律部門牽頭，甚至到業務之後，再確立各個一線業務的第一責任人。通過這些方式形成一套有效的制度體系、組織體系，保證數據安全評估工作，能夠從上到下得到有效的執行。其中，管理層需要公開支持數據安全合規的政策和體系，包括企業關於數據安全的公開承諾，或者發佈數據安全白皮書等。從外部應對來説，構建數據安全合規的過程當中，能不能提供有效的資源，是監管機構評估是否企業數據合規有效的重要條件。

企業在建立數據安全合規體系時，需要將數據安全法、個人信息保護法和網絡安全法三者結合起來，這其中有一個基本的要素就是數據。企業將業務流程當中產生的數據進行梳理，做好標籤分類，以區別不同類型的數據應該遵循個人信息保護法的要求，還是應該遵循數據安全和網絡安全法的法規。

在上述過程中，包括風險評估、流程嵌入、識別和梳理數據以後，還有數據的蒐集、處理、加密、外部第三方關係處理等做一系列的流程嵌入，這是非常重要的工作。在記錄保存方面，如果是數據必要的使用，在使用完以後要對數據進行刪除，但記錄保存從合規體系構建的角度來説，就需要把刪除的制度、合規的流程進行保存。合規體系構建是從由風險應對型向風險防控型轉變，需要每年不斷的持續改進。

三、數據安全合規體系構建的難點

企業數據合規的難點很多，但是從企業內部角度來看，最主要的難點首先是是規則梳理的難度，國內國際有眾多的規則要進行研究和梳理；另一方面則是梳理了很多複雜規則以後，如何進行歸納總結，如果在將其與業務特點相匹配基礎上將適合的規則傳遞給業務部門，使業務部門領導和員工真正懂得規則，這就需要構建數據安全體系的合規人員，既懂規則又懂業務。

關於數據資產的識別梳理，如果一個公司業務量較大、各類型部門較多，產品形態豐富多樣，出現各種各樣的業務場景，梳理起來會非常的複雜。到底有多少種數據類型，怎麼分類，怎麼梳理，挑戰很大。但另一方面講，又必須要做數據梳理，且要把數據的梳理作為一個常態化的機制去運行。比如説，對於全球型客户來説往往會關心供應鏈安全，那麼涉及供應鏈相關的數據梳理工作到底有沒有做到真正的全面有效性。

當然數據安全合規體系構建過程中，還有數據生命全週期的管控的難點，數據蒐集梳理以後，各種數據進行分類、標籤，在業務流程中流轉的過程中加密、標識，還有訪問權限等等，如何有效的管控與流程銜接是很大的問題。

當然，要解決上述問題，甚至包括數據跨境的問題，企業內部要有一個有效的管理組織架構和不同機構的拉通運轉機制等等。

四、數據安全合規體系構建的重點

從自上而下的角度來講，數據安全合規體系的構建首先是一把手工程，而不是一個自下而上的過程。如果沒有管理層的重視和支持，就無法建立合規體系。合規部門一定要成為企業的戰略部門。通過對法律監管規則的研究進行分級分類，提供給不同的層級，並對公司重大戰略決策、新市場的選擇、海外業務的規劃、提供力所能及的意見，這是在內部組織中體現合規價值很重要的方面。

另外一方面，數據安全合規體系的構建是上傳下達。數據安全非常複雜，真正有效的落地需要所有的業務部門和合規、IT一起互動，合規制度能不能有效的通過一線業務部門的人員真正落地，保證上傳下達的通暢機制，這是企業構建數據安全合規體系的時候需要認真考慮的。

數據安全合規體系的構建還存在衝突協調的問題。包括企業內部不同的合規價值和業務自由度之間的衝突和協調，也包括與不同國家數據安全隱私相關法律制度之間的衝突。如數據本地化存儲和跨境，存在不同國家的法律規定之間的衝突。還有來自個人用户、政府監管部門、行業生態，以及客户、上游合作伙伴對供應鏈數據安全的擔心。在構建內部合規體系之後，如何向外部誠信透明展示合規工作的安全可靠也很重要。

還有文化生態的問題。合規體系的構建是既要做內部管控，還要響應客户、個人用户，甚至響應監管機構的要求，所以合規體系一定要從內部文化的角度、從對外構建品牌和生態的角度進行構建，讓生態環節上的合作伙伴儘量達成一致，以應對監管的不確定性。同時，將合規體系作為品牌展現，還可以贏得個人消費者和用户的信賴，例如部分互聯網公司開始使用外部第三方的監督員就是一個較好的嘗試。