在当今的信息时代,数据作为企业一项重要资产,已成为企业经营发展的基础支持;数据资源在促进企业快速发展的同时,因企业及其员工获取/收集、存储、加工、使用数据等环节的违法违规行为,也给企业的稳健发展带来了不同程度的合规风险。特别是国家《民法典》《网络安全法》《数据安全法》《个人信息保护法》相继出台实施,确保企业数据合规已成为了个别企业正常运营的前提。在背景下,以计算机及物联网、大数据、5G、人工智能等为主要经营范围的独角兽企业互联网企业、高新技术企业和运营商企业,正越来越重视数据合规管理工作,并努力构建有效的企业数据合规管理体系,积极打造健康完善的数据合规生态。那么,企业如何才能建立有效的数据合规管理体系呢?
笔者认为,鉴于《信息安全管理体系标准》(ISO27001)、《合规管理体系 要求及使用指南》(SO 37301:2021)已发布实施,国内一些地方和行业还出台了相关数据合规规范性文件,如:银监会发布的《银行业金融机构数据治理指引》,上海市《企业数据合规指引》等;因此,企业在开展数据合规管理体系建设时,可充分参考相关规范,并结合自身实际,有计划、有目标、有重点地组织实施。但无论采取何种路径,一个完整有效的合规管理体系建设至少应包括以下几项内容。
第一、准确识别数据合规相关风险。风险识别是数据合规体系建设的起点,建设单位必须针对自己的行业、主营业务,结合相关适用的法律法规、企业内部数据合规制度、合同/协议、承诺/约定,明确自身合规义务,找出与当前数据合规管理实践的差距与不足,并通过内部反馈、外部咨询、持续跟踪数据立法、执法、司法的最新进展等方式,准确识别企业数据相关风险。
第二、积极审视数据资源/资产。全面审视数据来源、类型、访问频次等,对数据资产分门别类,认真评估数据安全风险中高低等级,针对性研究制定数据合规管理举措,有效把控数据收集、分析、存储、加工、传输、使用、删除、融合等数据的全生命周期可能发生的风险或危害可能性。
第三、设置可靠的数据合规管理组织架构。数据合规工作能否有效开展,关键取决于管理的组织、领导的主体和执行的员工,因此必须首先设置科学可靠的数据合规管理架构。一个完整有效的组织架构包括合规管理组织(决策层)、执行层和管理层,要明确数据合规负责人、管理部门、执行人等角色,做到职责清晰、分工明确,既能分权制衡,又能有机配合,形成高效可靠的数据合规管理合力。
第四、建立完善数据合规管理制度规范。健全的数据合规制度规范是开展数据合规管理和运行的有效保障,在数据合规管理架构之上,要根据业务流程、行业特性,制定和完善想要的数据合规管理制度规范,实现数据合规管理的常态化、标准化和制度化,构建出数据合规风险发现、评估、处理、奖惩、持续改进等一体化管理制度体系。
第五、组织开展数据合规管理教育培训。制定短期/长期培训计划,指定专门负责的部门和人员,内外结合,以关键业务和典型案例等内容,线上线下、直播讲座等方式,培训企业领导、员工和合作伙伴,提高相关人员的合规意识,构建良好的企业数据合规文化,认同、服从、内化合规价值观,促进合规管理举措落地实施。
第六、加强数据合规监控与审计。针对企业数据合规完成情况、数据合规风险等内容数据化、指标化。对数据合规管理体系的日常运行实时监督,对数据合规涉及领域进行审计,不断发现问题、整改问题,提升合规管理成效。
第七、持续改进数据合规管理体系。数据合规制度规范具有滞后性,在历经一个时期发展后,必然与企业数据合规需求、合规举措等存在不契合,甚至是冲突的地方;加强数据合规监控与审计,就是要找出这些差距与不足,就是要发现差距导致的风险和问题,并针对问题,提出改进提升举措,明确整个方式方法,持续改进数据合规管理体系,使之适应、促进企业数据合规管理需求,防范和化解数据合规风险,推动企业稳健经营、持续发展,确保企业实现其社会经济政治价值。