资讯业绩喜讯
曾理律师获得国际信息科学考试学会(EXIN)数据保护官(DPO)&基于中国个人信息保护法的数据保护官(DPO-PIPL)双认证律师资格。
什么是EXIN DPO?
EXIN国际信息科学考试学会是国际数字化管理领域的权威人才认证和能力鉴定机构,由荷兰政府经济事务部于1984年创办。此次EXIN DPO认证考核的主要课程包括以下四项内容:
-
EXIN Privacy & Data Protection Foundation (PDPF) 认证 旨在验证专业人员是否掌握和理解有关个人数据保护、欧盟规则以及数据保护法规方面的知识。
-
EXIN Privacy & Data Protection Professional (PDPP) 认证 旨在验证专业人员对欧盟隐私和数据保护法规及其国际效力的了解和理解,以及专业人员在日常专业实践中应用它的能力。
-
EXIN Privacy & Data Protection Foundation based on PIPL 认证 旨在验证专业人员是否掌握和理解有关个人信息保护,中华人民共和国个人信息保护的规则和条例方面的知识。
-
EXIN Information Security Foundation based on ISOIEC 27001 认证 旨在验证专业人员能否基于ISO/IEC27001的信息安全(个人)资格认证体系帮助企业员工获得信息安全管理知识、帮助企业建立信息安全体系。
数字经济的深化发展离不开数据要素这一关键动力。数据,作为数字经济中的新兴生产要素和珍贵资源,展示出强大的价值和可能性。但与此同时,数据安全的风险和挑战也随之增长,如近些年的大规模数据泄露和个人隐私滥用事件。为确保数据的安全,我国已逐步推出了相关的数据安全法律和规定,强化了数据监管并增强了执法力度。对于企业来说,无论是为满足数据安全法规要求而建立健全的管理体系,还是为了避免数据处理的风险和法律责任,数据合规都显得尤为关键,甚至已经成为了必要之举。
什么是数据合规?
在深入探讨数据合规前,我们首先需要明确“数据”、“数据处理”和“数据安全”三个关键词的含义。
按照《数据安全法》第三条的定义,数据是信息的电子或其他形式的记录;数据处理涉及到数据的全生命周期,如收集、存储、使用、加工、传输、分享以及公开等各个环节;而数据安全意味着采纳必要的手段来确保数据的安全性和合法使用,同时保持数据持续的安全状态。
首要的是,在处理数据时,需要采取适当的措施以确保其安全性。接下来,保障数据安全旨在确保数据的正常利用和加强数据处理流程,这两者是互相补充的。在此基础上,数据合规更着重于确保数据处理、管理和体系搭建的各个环节的合规性。与其他形式的企业合规相似,数据合规的范畴十分广泛,涉及从国际条约到企业内部的章程和规定。
总体来说,数据合规意味着企业及其员工在数据的收集、存储、使用、处理和分享等方面的行为,都需遵循国际条约、国家法规、规范文件、行业标准、商业习惯、社会伦理以及企业自身的章程和制度。
为什么要做数据合规建设?
无论在法律制定还是在监管执行方面,对数据合规的规定都变得更为严格和详细。那么,为什么要着重进行数据合规的建设呢?而如果忽视数据合规或执行不当,又将遭遇哪些挑战和问题呢?
(一)完善的监管结构
以《网络安全法》、《数据安全法》和《个人信息保护法》为核心的“三大法规”为例,这些法律都为企业设定了明确的数据合规标准,诸如制定数据合规职责部门、设置管控机制、进行风险评估、应急响应计划、数据合规培训、数据级别分类、以及关于数据出境的安全评估等。
特别是《个人信息保护法》,该法对于企业的数据处理流程制定了严格的规定,多项内容涉及企业的内部控制,如数据的分类管理、加密和去标识化的安全技术手段、设定个人信息处理权限、制定个人信息安全应急计划等。
除此之外,我国在数据保护领域的法规制定仍在积极推进,例如自2021年7月起,《关键信息基础设施保护条例》、《网络安全审查办法》、《数据出境安全评估办法》等陆续出台并生效。
随着法律框架的快速发展,我国的数据合规监管机构的角色和责任也逐渐明晰。例如,新设的各地市数据局,主导数据基础制度的建设和数据资源的整合与使用;国家互联网信息办公室(简称“网信办”)则负责数据违规行为的监管,并对违反数据和网络安全的行为进行行政执法。
因此,随着监管机构不断完善,现有的法律和法规已经对数据保护和合规制定了强制性要求。企业必须严格遵循,否则可能面临民事、行政甚至刑事责任。
(二)监管力度逐步进入深水区
近些年,数据合规的监管执行持续强化,无论是罚款金额还是执行频次,都达到了前所未有的高度。这种强化的监管特点包括:“强力监管”、“多部门联合监管”和“多元化的监管策略”。比如,国家网信办对互联网公司“滴滴”开出了高额的罚单,罚款金额高达80.26亿元人民币,而公司高管也被处以高额罚款。另外,如上海的通信管理局和广东省也对违规行为施以重罚。
值得关注的是,长沙市公安局处理了首宗违反《数据安全法》的案件,对相关公司进行了行政警告并处以5万元罚款。这起案件中的违规行为,如服务器存在安全漏洞、未制定数据安全管理制度等,是许多科技和互联网公司可能都会遇到的问题。
此外,《个人信息保护法》明确规定了对于违法处理个人信息的法律责任,突显了政府对数据违规行为的零容忍态度。
总结来说,众多的执法案例都突显了监管部门加强数据合规管理的决心。在这种环境下,企业亦应加强自身的数据合规建设,及时发现并纠正潜在风险,以避免受到重罚。
哪些企业需要做数据合规?
数据合规的重要性已被越来越多的企业所认识,不仅是为了遵循法规要求,还是为了建立企业的信誉和消费者的信任。而对于如下企业而言,数据合规的建设是最有必要且最具紧迫性的:
类型一:关键信息基础设施运营者(CIIO)
根据《关键信息基础设施安全保护条例》(以下简称“《保护条例》”)的相关规定,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
针对上述关键信息基础设施的运营者及保护工作部门,《保护条例》提出了非常细致及严格的要求。针对这类型企业而言,数据合规建设是必须且重中之重的工作。
类型二:涉及重要数据的企业
根据《数据出境安全评估办法》的规定,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。这类企业毫无疑问也是需要数据合规建设的。
类型三:跨境数据交互的企业
对一些有跨境业务的互联网企业,以及从事人员外派、集团总部在境外的企业而言,涉及到数据跨境的时候,除了要符合国内数据出境安全评估等合规要求,还要充分考虑所有相关国家或者地区的数据合规立法的管辖,譬如GDPR,等等。
类型四:涉及大量个人信息(员工、用户等)处理的企业
对一些传统类型企业比如餐饮企业,可能感觉数据合规离得很远,其实这是个误解。根据《个人信息保护法》的相关规定,但凡是涉及个人信息处理,无论是自己的员工、消费者亦或是供应商信息,其存储、使用等都需要做好信息保护,确保数据安全,因此也需要进行数据合规建设。
类型五:对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务供应商
根据《网络安全审查办法》第二条的规定,关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照该办法进行网络安全审查。
类型七:互联网类企业
不仅是主流的互联网公司需要注意数据合规问题,那些提供特定网络服务,如数据爬取、账号共享和流量调配的公司,也需要确保其业务不会侵犯个人隐私或违反相关法律。
对开发、销售app及小程序等软件从而能够接触、收集到大量个人隐私的这一类互联网企业而言,《个人信息保护法》出台后,其数据合规的监管压力及风险均较高;此外,对一些互联网“灰产类”企业即业务模式为“平台共享账号”“爬虫技术”“流量对接”“刷单”“刷榜”的企业而言,无疑存在着泄露个人信息、乃至涉嫌侵犯公民个人信息罪、非法获取计算机信息系统数据罪等刑事罪名并承担刑事责任的风险。
此外,针对有境外上市计划的互联网公司,根据《网络安全审查办法》第七条的规定,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
