經(jīng)過半年多的起草、修改,《基于數(shù)字化運(yùn)營(yíng)的CRM 3.0系統(tǒng)需求指南》的組成部分《零售企業(yè)數(shù)據(jù)安全合規(guī)指南》今日正式發(fā)布。一、《基于數(shù)字化運(yùn)營(yíng)的CRM 3.0系統(tǒng)需求指南》編制背景數(shù)字化時(shí)代,零售業(yè)的IT系統(tǒng)需求發(fā)生了巨大變化,對(duì)系統(tǒng)滿足其新需求的要求更為迫切,協(xié)會(huì)應(yīng)行業(yè)需求,于2021年成立了“新時(shí)期百購(gòu)行業(yè)IT及數(shù)字化系統(tǒng)需求研究”項(xiàng)目組。項(xiàng)目組連續(xù)兩年展開百購(gòu)行業(yè)IT及數(shù)字化系統(tǒng)需求調(diào)查工作并形成報(bào)告,兩年報(bào)告均顯示:CRM是零售企業(yè)的核心痛點(diǎn)和最不滿意的信息系統(tǒng)。信息化時(shí)代下的CRM 1.0,解決了會(huì)員信息化及存檔的問題;互聯(lián)網(wǎng)時(shí)代下的CRM 2.0,解決了通過郵箱、短信等通道單向信息傳遞,實(shí)現(xiàn)了簡(jiǎn)單營(yíng)銷功能;數(shù)智化時(shí)代下的CRM 3.0時(shí)代,CRM不僅僅是充當(dāng)存檔和單向傳遞的工具,更應(yīng)建立與消費(fèi)者高效連接互動(dòng),成為內(nèi)容運(yùn)營(yíng)和提供針對(duì)性產(chǎn)品和服務(wù)的主要陣地。
為此,中國(guó)百貨商業(yè)協(xié)會(huì)在項(xiàng)目組組織下,開展《基于數(shù)字化運(yùn)營(yíng)的CRM 3.0系統(tǒng)需求指南》(以下簡(jiǎn)稱“CRM需求指南”)起草研究,前期主要由中國(guó)百貨商業(yè)協(xié)會(huì)、杭州比智科技有限公司、北京尚博信科技有限公司、零一裂變(深圳)科技有限公司、北京市盈科律師事務(wù)所重點(diǎn)參與,目前初稿已近完成。
二、《零售企業(yè)數(shù)據(jù)安全合規(guī)指南》的重要意義作為《需求指南》的重要組成部分,《零售企業(yè)數(shù)據(jù)安全合規(guī)指南》(以下簡(jiǎn)稱“合規(guī)指南”)具有重要意義。零售企業(yè)的消費(fèi)者數(shù)據(jù)、交易數(shù)據(jù)、商品數(shù)據(jù)規(guī)模龐大,近年來,消費(fèi)者法律意識(shí)不斷提升,國(guó)家相關(guān)監(jiān)管機(jī)制也在不斷完善,對(duì)零售企業(yè)存儲(chǔ)、使用現(xiàn)有數(shù)據(jù)提出了很高的要求。與此同時(shí),零售企業(yè)的數(shù)據(jù)治理理念和架構(gòu)又相對(duì)傳統(tǒng),形成了數(shù)據(jù)量大、高要求和低治理水平間的矛盾,處理不好可能會(huì)上升到司法層面的問題。為此,協(xié)會(huì)聯(lián)合知名律所盈科公司,以及其它相關(guān)專家,在《CRM需求指南》中增加了《合規(guī)指南》的內(nèi)容,專家們結(jié)合司法實(shí)踐,系統(tǒng)闡述了數(shù)據(jù)安全合規(guī)的相關(guān)要求,為企業(yè)開展數(shù)據(jù)相關(guān)工作提供了可靠的指引。在CRM系統(tǒng)要求中,加入數(shù)據(jù)安全合規(guī)的內(nèi)容,也是一項(xiàng)具有創(chuàng)新性的實(shí)踐,將與數(shù)據(jù)相關(guān)的技術(shù)開發(fā)、業(yè)務(wù)運(yùn)營(yíng)和法規(guī)要求進(jìn)行了有機(jī)的結(jié)合。三、推進(jìn)《指南》工作的下一步計(jì)劃協(xié)會(huì)先行發(fā)布《數(shù)據(jù)合規(guī)指南》,《CRM需求指南》的其它部分也將在近期正式發(fā)布。協(xié)會(huì)將通過媒體宣傳、線下交流研討、案例分享等方面,對(duì)指南內(nèi)容進(jìn)行持續(xù)宣貫,同時(shí),以適當(dāng)?shù)闹芷趯?duì)指南進(jìn)行迭代更新。其中,《數(shù)據(jù)合規(guī)指南》的線下交流會(huì)擬定于2月下旬召開,敬請(qǐng)關(guān)注。如有相關(guān)意見建議,請(qǐng)反饋至:gaomd@ccagm.org.cn 1數(shù)據(jù)安全發(fā)展趨勢(shì)
1.1數(shù)據(jù)要素市場(chǎng)發(fā)展趨勢(shì)
數(shù)據(jù)要素市場(chǎng)化是數(shù)字經(jīng)濟(jì)的新現(xiàn)象。由于大數(shù)據(jù)與人工智能技術(shù)的結(jié)合,數(shù)據(jù)已經(jīng)成為第一生產(chǎn)要素,數(shù)據(jù)及其運(yùn)行機(jī)制成為支撐算法算力切實(shí)有效發(fā)揮作用的關(guān)鍵要素,是數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展的基礎(chǔ)原料和邏輯基點(diǎn)。數(shù)據(jù)正在成為企業(yè)進(jìn)行決策、生產(chǎn)、營(yíng)銷、交易、配送、服務(wù)等商務(wù)活動(dòng)所必不可少的投入品和重要的戰(zhàn)略性資產(chǎn),成為促進(jìn)經(jīng)濟(jì)高質(zhì)量增長(zhǎng)的重要驅(qū)動(dòng)力。協(xié)同推進(jìn)技術(shù)、 模式、業(yè)態(tài)和制度創(chuàng)新,切實(shí)用好數(shù)據(jù)要素,將為經(jīng)濟(jì)社會(huì)數(shù)字化發(fā)展帶來強(qiáng)勁動(dòng)力。
1)國(guó)家層面的頂層設(shè)計(jì)2020 年 4 月 9 日,中共中央、國(guó)務(wù)院印發(fā)《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見》,進(jìn)一步強(qiáng)調(diào)數(shù)據(jù)要素的重要地位,將數(shù)據(jù)與土地、資本、技術(shù)、勞動(dòng)并列為五大生產(chǎn)要素。提出加快培育數(shù)據(jù)要素市場(chǎng),包括推進(jìn)政府?dāng)?shù)據(jù)開放共享、提升社會(huì)數(shù)據(jù)資源價(jià)值、加強(qiáng)數(shù)據(jù)資源整合和安全保護(hù)三項(xiàng)具體內(nèi)容。2021年3月,中央在“十四五”規(guī)劃中作出了“建設(shè)高標(biāo)準(zhǔn)市場(chǎng)體系;推進(jìn)土地、勞動(dòng)力、資本、技術(shù)、數(shù)據(jù)等要素市場(chǎng)化改革”的戰(zhàn)略部署,要求建立數(shù)據(jù)資源產(chǎn)權(quán)、交易流通、跨境傳輸和安全保護(hù)等基礎(chǔ)制度和標(biāo)準(zhǔn)規(guī)范,推動(dòng)數(shù)據(jù)資源開發(fā)利用。2021 年 12 月 12 日,國(guó)務(wù)院印發(fā)《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》,提出在2025 年初步建立數(shù)據(jù)要素市場(chǎng)體系,充分發(fā)揮數(shù)據(jù)要素作用。2)各地陸續(xù)出臺(tái)數(shù)字經(jīng)濟(jì)促進(jìn)條例2021-2022年,全國(guó)各省市陸續(xù)出臺(tái)了數(shù)字經(jīng)濟(jì)促進(jìn)條例,以培育數(shù)據(jù)要素市場(chǎng)。例如,自2022年6月1日起施行的《廣州市數(shù)字經(jīng)濟(jì)促進(jìn)條例》第四條規(guī)定:“數(shù)字經(jīng)濟(jì)發(fā)展應(yīng)當(dāng)以數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化為核心,推進(jìn)數(shù)字基礎(chǔ)設(shè)施建設(shè),實(shí)現(xiàn)數(shù)據(jù)資源價(jià)值化,提升城市治理數(shù)字化水平,營(yíng)造良好發(fā)展環(huán)境,構(gòu)建數(shù)字經(jīng)濟(jì)全要素發(fā)展體系。”自2022年11月1日起施行的《深圳經(jīng)濟(jì)特區(qū)數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)促進(jìn)條例》第二十三條規(guī)定:“ 鼓勵(lì)市場(chǎng)主體加強(qiáng)數(shù)據(jù)開放和數(shù)據(jù)流動(dòng),推動(dòng)數(shù)據(jù)要素資源化、資產(chǎn)化、資本化發(fā)展。” 即將于2023年1月1日起施行的《北京市數(shù)字經(jīng)濟(jì)促進(jìn)條例》第一條明確:“為了加強(qiáng)數(shù)字基礎(chǔ)設(shè)施建設(shè),培育數(shù)據(jù)要素市場(chǎng),推進(jìn)數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化,完善數(shù)字經(jīng)濟(jì)治理,促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展,建設(shè)全球數(shù)字經(jīng)濟(jì)標(biāo)桿城市,根據(jù)有關(guān)法律、行政法規(guī),結(jié)合本市實(shí)際情況,制定本條例。”國(guó)家和地方相關(guān)政策文件的密集出臺(tái),為數(shù)據(jù)作為生產(chǎn)要素在市場(chǎng)中進(jìn)行配置,提供了政策土壤,也推動(dòng)了我國(guó)大數(shù)據(jù)產(chǎn)業(yè)不斷發(fā)展,技術(shù)不斷進(jìn)步,基礎(chǔ)設(shè)施不斷完善,融合應(yīng)用不斷深入。
1.2企業(yè)合規(guī)管理發(fā)展趨勢(shì)
習(xí)近平總書記強(qiáng)調(diào),守法經(jīng)營(yíng)是任何企業(yè)都必須遵守的一個(gè)大原則,企業(yè)只有依法合規(guī)經(jīng)營(yíng)才能行穩(wěn)致遠(yuǎn)。黨的十九大后,黨中央明確提出習(xí)近平法治思想,把全面依法治國(guó)提升到前所未有的新高度。《法治中國(guó)建設(shè)規(guī)劃(2020-2025年)》《法治社會(huì)建設(shè)實(shí)施綱要(2020-2025年)》等中央文件對(duì)企業(yè)依法合規(guī)經(jīng)營(yíng)提出明確要求。在當(dāng)前國(guó)際競(jìng)爭(zhēng)越來越體現(xiàn)為規(guī)則之爭(zhēng)、法律之爭(zhēng)的大背景下,我國(guó)企業(yè)面臨的國(guó)內(nèi)外環(huán)境和風(fēng)險(xiǎn)挑戰(zhàn)日趨復(fù)雜嚴(yán)峻,必須加快提升依法合規(guī)經(jīng)營(yíng)管理水平,確保改革發(fā)展各項(xiàng)任務(wù)在法治軌道上穩(wěn)步推進(jìn)。自2022年10月1日起施行的《中央企業(yè)合規(guī)管理辦法》第三條規(guī)定對(duì)企業(yè)“合規(guī)”的定義,作出了明確規(guī)定:“本辦法所稱合規(guī),是指企業(yè)經(jīng)營(yíng)管理行為和員工履職行為符合國(guó)家法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準(zhǔn)則和國(guó)際條約、規(guī)則,以及公司章程、相關(guān)規(guī)章制度等要求。”合規(guī)管理成為企業(yè)做大做強(qiáng)的必經(jīng)之道。1)我國(guó)企業(yè)合規(guī)管理政策的發(fā)展歷程
2)合規(guī)成為企業(yè)管理必選項(xiàng)為推進(jìn)合規(guī)管理,《中央企業(yè)合規(guī)管理辦法》制定了一系列保障措施,例如,在組織和職責(zé)方面,將中央企業(yè)主要負(fù)責(zé)人作為推進(jìn)法治建設(shè)第一責(zé)任人,設(shè)立合規(guī)委員會(huì),由總法律顧問兼任首席合規(guī)官等;在運(yùn)行機(jī)制方面,應(yīng)當(dāng)建立合規(guī)風(fēng)險(xiǎn)識(shí)別評(píng)估預(yù)警機(jī)制,將合規(guī)審查作為必經(jīng)程序嵌入經(jīng)營(yíng)管理流程,并應(yīng)建立違規(guī)問題整改機(jī)制、設(shè)立違規(guī)舉報(bào)平臺(tái)、完善違規(guī)行為追責(zé)問責(zé)機(jī)制等。1.3網(wǎng)絡(luò)安全與數(shù)據(jù)安全發(fā)展趨勢(shì)
當(dāng)前,以數(shù)字經(jīng)濟(jì)為代表的新經(jīng)濟(jì)成為經(jīng)濟(jì)增長(zhǎng)新引擎,數(shù)據(jù)作為核心生產(chǎn) 要素成為了基礎(chǔ)戰(zhàn)略資源,數(shù)據(jù)安全的基礎(chǔ)保障作用也日益凸顯。伴隨而來的數(shù) 據(jù)安全風(fēng)險(xiǎn)與日俱增,數(shù)據(jù)泄露、數(shù)據(jù)濫用等安全事件頻發(fā),為個(gè)人隱私、企業(yè) 商業(yè)秘密、國(guó)家重要數(shù)據(jù)等帶來了嚴(yán)重的安全隱患。為了規(guī)范數(shù)據(jù)處理活動(dòng),保障數(shù)據(jù)安全,促進(jìn)數(shù)據(jù)開發(fā)利用,近兩年來,國(guó)家對(duì)數(shù)據(jù)安全與個(gè)人信息保護(hù)進(jìn)行了前瞻性戰(zhàn)略部署,開展了系統(tǒng)性的頂層設(shè)計(jì)。《中華人民共和國(guó)數(shù)據(jù)安全法》于2021年9月1日正式施行,《中華人民共和國(guó)個(gè)人信息保護(hù)法》于2021年11月1日正式施行。這兩部法律與2017年的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》共同構(gòu)建了中國(guó)數(shù)據(jù)合規(guī)及隱私保護(hù)的基礎(chǔ)法律框架,對(duì)網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)提出了方向性和基礎(chǔ)性指引及監(jiān)管要求。“工欲善其事,必先利其器”,在數(shù)字經(jīng)濟(jì)快速發(fā)展的背景下,我們更需要深刻認(rèn)識(shí)到數(shù)據(jù)安全建設(shè)的重要性,不僅需要在技術(shù)上重點(diǎn)布局、勇于創(chuàng)新,更需要在安全意識(shí)和安全管理水平上大幅提升。2安全合規(guī)指南
2.1數(shù)據(jù)資產(chǎn)盤點(diǎn)
2.1.1數(shù)據(jù)流向測(cè)繪
首先,要做數(shù)據(jù)安全管控,我們需要知道企業(yè)目前有哪些數(shù)據(jù),數(shù)據(jù)是如何分布的,哪些是敏感數(shù)據(jù),敏感數(shù)據(jù)分布在哪里。為了解決這些問題,我們需要做的是數(shù)據(jù)資產(chǎn)的梳理、數(shù)據(jù)分類分級(jí)。其次,要做好敏感數(shù)據(jù)的安全管控,我們需要知道敏感數(shù)據(jù)是如何產(chǎn)生的,敏感數(shù)據(jù)是如何存儲(chǔ)的,敏感數(shù)據(jù)是如何使用的,如誰(shuí)有權(quán)訪問敏感數(shù)據(jù)。為了解決這些問題,我們需要做的是“根據(jù)數(shù)據(jù)分類分級(jí)結(jié)果,針對(duì)敏感數(shù)據(jù)識(shí)別具體的使用場(chǎng)景,繪制出數(shù)據(jù)流轉(zhuǎn)圖。再次,根據(jù)上述繪制的數(shù)據(jù)流轉(zhuǎn)圖,基于整個(gè)業(yè)務(wù)場(chǎng)景識(shí)別敏感數(shù)據(jù)可能存在的安全風(fēng)險(xiǎn),開展風(fēng)險(xiǎn)評(píng)估。同時(shí),識(shí)別敏感數(shù)據(jù)現(xiàn)有的安全控制措施,分析當(dāng)前存在的不足。最后,根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果,設(shè)計(jì)差異化、可落地的安全管控措施,包括管理措施、技術(shù)措施、監(jiān)控審計(jì)類措施,目的是為了確保數(shù)據(jù)安全的“可感、可控、可審、可視”。
2.1.2資產(chǎn)盤點(diǎn)
企業(yè)開展數(shù)據(jù)資產(chǎn)盤點(diǎn)的過程中,需要結(jié)合所盤點(diǎn)的業(yè)務(wù)情況,劃定業(yè)務(wù)過程中需要進(jìn)行盤點(diǎn)的數(shù)據(jù)范圍,即對(duì)“企業(yè)在運(yùn)營(yíng)活動(dòng)中形成的,由企業(yè)擁有、全過程可控,并能給企業(yè)帶來價(jià)值的數(shù)據(jù)”開展盤點(diǎn),當(dāng)擁有、可控、具有價(jià)值三個(gè)條件全部滿足時(shí),即可識(shí)別為數(shù)據(jù)資產(chǎn)盤點(diǎn)的對(duì)象范疇。數(shù)據(jù)資產(chǎn)盤點(diǎn)范圍應(yīng)包含18種數(shù)據(jù)資源,盤點(diǎn)數(shù)據(jù)資產(chǎn)類型可分為:業(yè)務(wù)對(duì)象、基礎(chǔ)表、代碼表、報(bào)表與指標(biāo)等。 | 1.0 集成產(chǎn)品開發(fā)(IPD) |
|
|
|
|
|
| 7.0 從戰(zhàn)略到執(zhí)行(DSTE) |
|
|
|
|
| |
|
|
|
| 16.0 品牌與公共關(guān)系管理(B&RM) |
|
|
數(shù)據(jù)資產(chǎn)盤點(diǎn)要圍繞企業(yè)的全部業(yè)務(wù)活動(dòng)展開,包含所有類型數(shù)據(jù)(線上線下、結(jié)構(gòu)半結(jié)構(gòu)),真實(shí)反映數(shù)據(jù)資源全貌,并識(shí)別出核心的數(shù)據(jù)資產(chǎn)。盤點(diǎn)的方法和過程包含以下內(nèi)容:
劃分業(yè)務(wù)主題及子主題,梳理業(yè)務(wù)流程和業(yè)務(wù)活動(dòng),識(shí)別業(yè)務(wù)對(duì)象。確定數(shù)據(jù)所屬業(yè)務(wù)領(lǐng)域、業(yè)務(wù)部門、崗位及數(shù)據(jù)來源。數(shù)據(jù)所屬IT架構(gòu)中具體區(qū)域、IT系統(tǒng)、數(shù)據(jù)類型和系統(tǒng)路徑。業(yè)務(wù)層面、組織層面和IT層面盤點(diǎn)的成果填充至提前制定好的數(shù)據(jù)資產(chǎn)盤點(diǎn)模板,形成數(shù)據(jù)資產(chǎn)盤點(diǎn)清單。針對(duì)盤點(diǎn)的成果進(jìn)行內(nèi)容細(xì)化,例如數(shù)據(jù)量、更新頻率、數(shù)據(jù)重要等級(jí)、數(shù)據(jù)密集等資產(chǎn)認(rèn)定字段進(jìn)行完善。(6)輸出數(shù)據(jù)資產(chǎn)盤點(diǎn)成果輸出數(shù)據(jù)資產(chǎn)盤點(diǎn)成果,為后續(xù)構(gòu)建數(shù)據(jù)資產(chǎn)地圖、數(shù)據(jù)安全管理、數(shù)據(jù)治理提供基礎(chǔ)支持。
2.2數(shù)據(jù)分類分級(jí)
從數(shù)據(jù)分類而言,建議數(shù)據(jù)分類遵循有關(guān)法律法規(guī)及部門規(guī)定要求,優(yōu)先對(duì)國(guó)家或行業(yè)有專門管理要求的數(shù)據(jù)進(jìn)行識(shí)別和管理,滿足相應(yīng)的數(shù)據(jù)安全合規(guī)管理要求。比如識(shí)別是否存在國(guó)家核心數(shù)據(jù)、重要數(shù)據(jù)、個(gè)人信息數(shù)據(jù)等。根據(jù)不同數(shù)據(jù)分類,匹配不同的法律法規(guī)要求,部署相應(yīng)的落地要求。
借助技術(shù)手段可以對(duì)結(jié)構(gòu)化數(shù)據(jù)開展自動(dòng)分類分級(jí)和敏感數(shù)據(jù)的標(biāo)志標(biāo)識(shí),最終輸出數(shù)據(jù)資產(chǎn)分布地圖。如下圖所示,自動(dòng)分類分級(jí)平臺(tái)可以通過多種方式采集應(yīng)用系統(tǒng)中的原始數(shù)據(jù),并使用關(guān)鍵字、正則表達(dá)式、字段名匹配、表明匹配、機(jī)器學(xué)習(xí)、自然語(yǔ)言識(shí)別等多種敏感信息識(shí)別算法,識(shí)別敏感數(shù)據(jù)的類型,并按照分級(jí)標(biāo)準(zhǔn)完成敏感數(shù)據(jù)的分級(jí)。
數(shù)據(jù)類別千差萬(wàn)別,甚至同樣的數(shù)據(jù)在不同的單位,重要程度的級(jí)別可能不一樣。“數(shù)據(jù)處理活動(dòng)”的主體,可以根據(jù)主管部門、監(jiān)管單位對(duì)本行業(yè)的數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)進(jìn)行數(shù)據(jù)分類、分級(jí)。若“數(shù)據(jù)處理活動(dòng)”主體的主管、監(jiān)管單位未制定相關(guān)標(biāo)準(zhǔn),則建議按照上圖進(jìn)行分類分級(jí),并建立對(duì)應(yīng)級(jí)別的數(shù)據(jù)保護(hù)措施。通過數(shù)據(jù)映射,將數(shù)據(jù)的類別和級(jí)別,按照法律法規(guī)和國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的保護(hù)要求進(jìn)行保護(hù),并以下列形式進(jìn)行展現(xiàn):
2.3數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估
為確保業(yè)務(wù)合規(guī),企業(yè)在開展業(yè)務(wù)之前需進(jìn)行相應(yīng)的風(fēng)險(xiǎn)評(píng)估;與此同時(shí),企業(yè)開展對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)時(shí),應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估,這既是《個(gè)人信息保護(hù)法》第五十五條規(guī)定的法定義務(wù),也是數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)評(píng)估的一種。結(jié)合企業(yè)業(yè)務(wù)實(shí)際情況,建議在以下場(chǎng)景中增加數(shù)據(jù)合規(guī)評(píng)估:1)產(chǎn)品/IT方案上線(尤其是涉及用戶數(shù)據(jù)收集的產(chǎn)品/IT)2)數(shù)據(jù)入/出數(shù)據(jù)湖3)涉及個(gè)人數(shù)據(jù)處理的用戶活動(dòng)5)個(gè)人數(shù)據(jù)采購(gòu)6)對(duì)外提供個(gè)人數(shù)據(jù)為平衡數(shù)據(jù)合規(guī)評(píng)審效率和質(zhì)量,可以分層分級(jí)進(jìn)行風(fēng)險(xiǎn)評(píng)審。主要場(chǎng)景如下:1)成熟場(chǎng)景:成熟場(chǎng)景風(fēng)險(xiǎn)相對(duì)可控,可基于業(yè)務(wù)部門數(shù)據(jù)合規(guī)BP的能力交由數(shù)據(jù)合規(guī)BP負(fù)責(zé)評(píng)審。成熟場(chǎng)景的定義可以采用白名單管理,成熟一個(gè)授權(quán)一個(gè)。2)新場(chǎng)景(新業(yè)務(wù)、新產(chǎn)品):新場(chǎng)景涉及的法律不清晰、業(yè)務(wù)場(chǎng)景不清晰,需由專業(yè)團(tuán)隊(duì)把關(guān),建議由數(shù)據(jù)合規(guī)專家(能力小組)進(jìn)行評(píng)審。3)升級(jí)機(jī)制:當(dāng)遇到數(shù)據(jù)合規(guī)BP無法判斷的場(chǎng)景時(shí),可將評(píng)審工作升級(jí),由數(shù)據(jù)合規(guī)專家(能力小組)進(jìn)行把關(guān)。
2.4數(shù)據(jù)全生命周期保護(hù)框架
2.4.1管理體系的重要角色部門
1)數(shù)據(jù)合規(guī)負(fù)責(zé)人
2)《個(gè)人信息保護(hù)法》第52條規(guī)定,“處理個(gè)人信息處理數(shù)量達(dá)到網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人。”《數(shù)據(jù)安全法》第27條也規(guī)定,重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)
3)數(shù)據(jù)合規(guī)負(fù)責(zé)人的級(jí)別如何設(shè)置。個(gè)人信息保護(hù)負(fù)責(zé)人具體如何設(shè)置、級(jí)別如何安排,屬于企業(yè)自治內(nèi)容,但應(yīng)與企業(yè)重要數(shù)據(jù)/個(gè)人信息的數(shù)量、重要程度等相匹配。
4)數(shù)據(jù)合規(guī)組織機(jī)構(gòu)5)數(shù)據(jù)合規(guī)組織機(jī)構(gòu)是指明確配合個(gè)人信息保護(hù)負(fù)責(zé)人開展工作的工作機(jī)構(gòu)。《數(shù)據(jù)安全法》第27條規(guī)定,重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。《個(gè)人信息保護(hù)法》雖然沒有直接規(guī)定企業(yè)應(yīng)當(dāng)設(shè)立個(gè)人信息保護(hù)工作機(jī)構(gòu),但其對(duì)企業(yè)處理個(gè)人信息規(guī)定了各方面義務(wù),履行這些義務(wù)顯然需要專門工作機(jī)構(gòu)的支持。6)成熟的數(shù)據(jù)合規(guī)管理體系一般圍繞以下骨架搭建:數(shù)據(jù)合規(guī)工作組可分領(lǐng)導(dǎo)小組、能力小組、實(shí)施小組。領(lǐng)導(dǎo)小組由主要由公司重量級(jí)領(lǐng)導(dǎo)做組長(zhǎng),各業(yè)務(wù)部門主管為成員,負(fù)責(zé)制定整體策略,決策數(shù)據(jù)合規(guī)方案;能力小組由法務(wù)合規(guī)專家、技術(shù)專家組成,負(fù)責(zé)制定數(shù)據(jù)合規(guī)要求,跨部門統(tǒng)籌協(xié)調(diào)等;實(shí)施小組主要由各BG/BU的數(shù)據(jù)合規(guī)人員組成,負(fù)責(zé)數(shù)據(jù)合規(guī)的具體落實(shí)。7)獨(dú)立監(jiān)督機(jī)構(gòu)8)《個(gè)人信息保護(hù)法》第58條規(guī)定,提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者,應(yīng)當(dāng)成立主要由外部成員組成的獨(dú)立機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)情況進(jìn)行監(jiān)督。9)在落實(shí)《個(gè)人信息保護(hù)法》該項(xiàng)規(guī)定的過程中,涉案企業(yè)合規(guī)第三方監(jiān)督評(píng)估制度和上市公司獨(dú)立董事制度可能會(huì)成為參考。因此,建議企業(yè)在制定未來規(guī)劃時(shí),可以盡早考慮成立獨(dú)立監(jiān)督機(jī)構(gòu),占據(jù)主動(dòng)優(yōu)勢(shì)。
2.4.2數(shù)據(jù)合規(guī)BP的“能力模型”
數(shù)據(jù)合規(guī)BP是整個(gè)數(shù)據(jù)合規(guī)責(zé)任體系的關(guān)鍵,一個(gè)合規(guī)的數(shù)據(jù)合規(guī)BP才能幫助業(yè)務(wù)主管履行好數(shù)據(jù)合規(guī)管理第一責(zé)任人的職責(zé)。數(shù)據(jù)合規(guī)BP(Business Partner) 能力模型包含三個(gè)方面——法律、技術(shù)、業(yè)務(wù)。2.5數(shù)據(jù)安全管理體系建設(shè)
通過對(duì)企業(yè)數(shù)據(jù)安全管理現(xiàn)狀的梳理,對(duì)于企業(yè)在數(shù)據(jù)安全合規(guī)體系方面需要整改或調(diào)整的方向和重點(diǎn)事項(xiàng)有了基本判斷,進(jìn)而進(jìn)入整改環(huán)節(jié)。企業(yè)在數(shù)據(jù)安全合規(guī)體系建設(shè)將涉及企業(yè)內(nèi)部機(jī)構(gòu)的機(jī)構(gòu)設(shè)置、職能安排和編制管理,需要綜合企業(yè)整體合規(guī)規(guī)劃、業(yè)務(wù)發(fā)展、組織結(jié)構(gòu)、信息安全能力、資源和成本等多方面情況考慮。企業(yè)數(shù)據(jù)安全合規(guī)體系建設(shè)工作可以分解為以下幾個(gè)方面:企業(yè)的數(shù)據(jù)安全合規(guī)體系建設(shè)方案,法律人員可以與企業(yè)其他相關(guān)人員基于企業(yè)數(shù)據(jù)合規(guī)現(xiàn)狀、圍繞企業(yè)開展本次數(shù)據(jù)合規(guī)的目標(biāo)制定數(shù)據(jù)合規(guī)整改行動(dòng)計(jì)劃,對(duì)企業(yè)應(yīng)當(dāng)在什么時(shí)限內(nèi)、按照何種優(yōu)先順序、采取何種具體措施以滿足特定的數(shù)據(jù)合規(guī)要求作出安排,作為后續(xù)工作的操作指引。2)落實(shí)數(shù)據(jù)安全合規(guī)體系建設(shè)方案數(shù)據(jù)安全合規(guī)體系建設(shè)的實(shí)施主體主要是企業(yè)的相關(guān)管理和業(yè)務(wù)部門。法律人員可以在組織架構(gòu)搭建的合法合規(guī)性、相關(guān)制度文本內(nèi)容的規(guī)范性、合法性和有效性,以及數(shù)據(jù)安全合規(guī)管理措施的合法性等方面提供專業(yè)支撐。例如,根據(jù)《個(gè)人信息保護(hù)法》,企業(yè)處理個(gè)人信息達(dá)到一定數(shù)量或者處理重要數(shù)據(jù)的,應(yīng)當(dāng)設(shè)置數(shù)據(jù)合規(guī)管理機(jī)構(gòu)、指定數(shù)據(jù)合規(guī)負(fù)責(zé)人。就企業(yè)數(shù)據(jù)合規(guī)組織架構(gòu)搭建,法律人員根據(jù)法律規(guī)定、企業(yè)公司章程規(guī)定、企業(yè)合規(guī)管理組織架構(gòu)現(xiàn)狀及企業(yè)實(shí)際情況,提出相應(yīng)的建議方案。又如,法律人員協(xié)助起草和審查相關(guān)數(shù)據(jù)安全管理制度文本的規(guī)范性、合法性和有效性。企業(yè)的數(shù)據(jù)合規(guī)管理制度體系可以從三個(gè)層次考慮:確定企業(yè)、全體成員和業(yè)務(wù)伙伴共同遵守的數(shù)據(jù)合規(guī)行為準(zhǔn)則,列明數(shù)據(jù)合規(guī)底線。企業(yè)數(shù)據(jù)安全管理的綱領(lǐng)性文件,明確公司數(shù)據(jù)合規(guī)管理總體要求、管理機(jī)構(gòu)及職責(zé)、基本制度、網(wǎng)絡(luò)及數(shù)據(jù)安全技術(shù)措施、信息系統(tǒng)安全保護(hù)等事項(xiàng)。相關(guān)具體制度,確定包括管理流程、管理標(biāo)準(zhǔn)、管理措施等具體數(shù)據(jù)合規(guī)管理細(xì)則。法律人員通常需要協(xié)助企業(yè)對(duì)照數(shù)據(jù)安全相關(guān)法律規(guī)定,起草、修改、審閱相關(guān)制度文本。企業(yè)建立數(shù)據(jù)安全合規(guī)體系后,需要在日常運(yùn)營(yíng)和管理中落實(shí)運(yùn)行。法律人員在數(shù)據(jù)合規(guī)咨詢、數(shù)據(jù)合規(guī)審查評(píng)估、數(shù)據(jù)合規(guī)審計(jì)、人員培訓(xùn)等方面提供持續(xù)的法律服務(wù)支撐,是企業(yè)數(shù)據(jù)安全管理的重要方面。2.6營(yíng)銷/算法推薦合規(guī)管理體系
《個(gè)人信息保護(hù)法》第24條對(duì)利用個(gè)人信息進(jìn)行自動(dòng)化決策行為進(jìn)行規(guī)定,算法推薦是自動(dòng)化決策的方式之一,因此,對(duì)算法推薦的法律規(guī)制也要依次為依據(jù),《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》則是對(duì)算法推薦的規(guī)制作了詳細(xì)規(guī)定,更具有可操作性。結(jié)合出臺(tái)的相關(guān)法律法規(guī),梳理了算法推薦合規(guī)義務(wù)清單如下:
2.7數(shù)據(jù)安全事件應(yīng)急響應(yīng)
預(yù)防數(shù)據(jù)泄露是數(shù)據(jù)合規(guī)工作中的重點(diǎn)和難點(diǎn)之一,數(shù)據(jù)泄露事件一旦發(fā)生,企業(yè)不僅需要承擔(dān)高昂的經(jīng)濟(jì)損失,還可能承擔(dān)嚴(yán)重的法律后果。《數(shù)據(jù)安全法》規(guī)定,對(duì)造成大量數(shù)據(jù)泄露等嚴(yán)重后果的數(shù)據(jù)處理者,將處以較高數(shù)額的罰款,責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相應(yīng)業(yè)務(wù)許可證或營(yíng)業(yè)執(zhí)照;《個(gè)人信息保護(hù)法》也規(guī)定,違反個(gè)人信息保護(hù)義務(wù)導(dǎo)致信息數(shù)據(jù)泄露的,將沒收違法所得,對(duì)違法處理個(gè)人信息的應(yīng)用程序,責(zé)令暫停或者終止提供服務(wù),相關(guān)違法行為還會(huì)被計(jì)入信用檔案并公示。企業(yè)在數(shù)據(jù)安全事件發(fā)生后應(yīng)注意采取如下應(yīng)對(duì)措施:2.7.1調(diào)查、評(píng)估與補(bǔ)救措施
接到威脅情報(bào)或者監(jiān)管部門事件通知后,涉事企業(yè)應(yīng)按照本企業(yè)的《網(wǎng)絡(luò)安全應(yīng)急預(yù)案》部署事件處理團(tuán)隊(duì),立即進(jìn)行事件確認(rèn),調(diào)查排查數(shù)據(jù)泄露的原因,識(shí)別涉及的數(shù)據(jù)類型和數(shù)量以及數(shù)據(jù)的敏感程度,確定受影響的個(gè)人信息主體的范圍,分析所涉數(shù)據(jù)是否已加密、防控措施是否有效抵御了攻擊等,據(jù)此評(píng)估對(duì)個(gè)人信息主體的權(quán)利和自由的影響程度以及其他可能造成的后果。同時(shí),企業(yè)應(yīng)當(dāng)立即保護(hù)網(wǎng)絡(luò)系統(tǒng),修復(fù)可能造成數(shù)據(jù)泄露的漏洞,并防止數(shù)據(jù)進(jìn)一步泄露,例如封鎖環(huán)境、限制訪問、監(jiān)控出入點(diǎn)、關(guān)閉受影響的設(shè)備、更改秘鑰等。在此過程中,企業(yè)可以聘請(qǐng)外部法律和技術(shù)團(tuán)隊(duì)協(xié)助電子數(shù)據(jù)取證并留存證據(jù),以備后續(xù)可能發(fā)生的調(diào)查和爭(zhēng)議。 2.7.2情況上報(bào)與通知受影響主體
根據(jù)對(duì)安全事件的影響與風(fēng)險(xiǎn)的評(píng)估以及相關(guān)法律法規(guī)要求,確定企業(yè)是否需要上報(bào)監(jiān)管機(jī)構(gòu)、是否需要通知受影響的個(gè)人信息主體。如有必要,企業(yè)應(yīng)迅速確定如下內(nèi)容:(1)此次安全事件是否受域外法律管轄,且所涉域外法律是否有特殊規(guī)定;(2)上報(bào)哪個(gè)/哪些監(jiān)管機(jī)構(gòu),是否包括域外的監(jiān)管機(jī)構(gòu);(3)需要通知的數(shù)據(jù)主體的范圍以及通知的方式;(4)上報(bào)的內(nèi)容以及通知的內(nèi)容。在確定上述內(nèi)容后,及時(shí)根據(jù)相關(guān)法律法規(guī)要求進(jìn)行上報(bào)和通知。 《網(wǎng)絡(luò)安全法》也在第22和25條規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者的通知義務(wù)和補(bǔ)救義務(wù)。網(wǎng)絡(luò)運(yùn)營(yíng)者發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告;在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí),應(yīng)立即啟動(dòng)應(yīng)急預(yù)案,采取相應(yīng)的補(bǔ)救措施,并按照規(guī)定向有關(guān)主管部門報(bào)告。GDPR第33和34條規(guī)定了在發(fā)生個(gè)人數(shù)據(jù)泄露的情形時(shí),數(shù)據(jù)控制者的報(bào)告和通知義務(wù)。除非個(gè)人數(shù)據(jù)泄露不太可能會(huì)對(duì)自然人的權(quán)利和自由造成風(fēng)險(xiǎn),數(shù)據(jù)控制者應(yīng)當(dāng)在發(fā)現(xiàn)數(shù)據(jù)泄露的72小時(shí)內(nèi)將個(gè)人數(shù)據(jù)泄露的情況報(bào)告監(jiān)管機(jī)構(gòu)。如果數(shù)據(jù)泄露可能對(duì)自然人的權(quán)利和自由產(chǎn)生較高風(fēng)險(xiǎn),數(shù)據(jù)控制者還應(yīng)當(dāng)立即將個(gè)人數(shù)據(jù)泄露的事實(shí)告知數(shù)據(jù)主體。2.7.3做好安全事件記錄
《網(wǎng)絡(luò)安全法》第21條還要求網(wǎng)絡(luò)運(yùn)營(yíng)者采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。無論安全事件是否需要上報(bào)監(jiān)管機(jī)關(guān)或通知受影響的自然人,企業(yè)都應(yīng)當(dāng)做好安全事件的記錄。如果企業(yè)根據(jù)評(píng)估決定不上報(bào)和通知,企業(yè)應(yīng)當(dāng)記錄評(píng)估的分析過程與結(jié)果。企業(yè)還應(yīng)當(dāng)留存安全事件有關(guān)的事實(shí)、事件起因、相關(guān)影響以及采取的補(bǔ)救措施的相關(guān)記錄,且相關(guān)網(wǎng)絡(luò)日志至少要留存六個(gè)月的時(shí)間。這不僅是法律法規(guī)的要求,在監(jiān)管機(jī)構(gòu)介入并可能定性和判罰時(shí),也將成為判罰的重要參考依據(jù)。2.8 數(shù)據(jù)資產(chǎn)化解決方案
要想實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)化,首先要做好數(shù)字資產(chǎn)化全生命周期管理。中國(guó)通信研究院發(fā)布的研究報(bào)告將數(shù)據(jù)資產(chǎn)化生命周期劃分為確權(quán)—定價(jià)—交易—融資四個(gè)核心階段。
1)確權(quán):明確數(shù)據(jù)物權(quán)(財(cái)產(chǎn)權(quán))、使用權(quán)、分法權(quán)等多方的權(quán)利形式和權(quán)利主體。2)定價(jià):通過成本法、市場(chǎng)法等方式,對(duì)數(shù)據(jù)的經(jīng)濟(jì)價(jià)值進(jìn)行評(píng)估,兼顧評(píng)價(jià)數(shù)據(jù)產(chǎn)生的社會(huì)價(jià)值。3)交易:對(duì)明確產(chǎn)權(quán)、確定價(jià)值的數(shù)據(jù)資產(chǎn)進(jìn)行交易,交易可以通過區(qū)塊鏈等方式進(jìn)行追溯。4)融資:搭建數(shù)據(jù)資產(chǎn)密集型企業(yè)與金融機(jī)構(gòu)、資本之間的橋梁,激活數(shù)據(jù)要素潛能。企業(yè)數(shù)據(jù)資產(chǎn)化一般步驟:數(shù)據(jù)資產(chǎn)化的生命周期劃分為六個(gè)階段:業(yè)務(wù)信息化—數(shù)據(jù)資源化—數(shù)據(jù)產(chǎn)品化—數(shù)據(jù)資產(chǎn)化—資產(chǎn)數(shù)據(jù)化—資產(chǎn)貨幣化。
當(dāng)前數(shù)據(jù)要素成為推動(dòng)經(jīng)濟(jì)增長(zhǎng)和科技創(chuàng)新的重要引擎,賦能經(jīng)濟(jì)社會(huì)高質(zhì)量發(fā)展的重要作用已經(jīng)得到充分彰顯。如何在厘清法律權(quán)屬的基礎(chǔ)上論證數(shù)據(jù)資產(chǎn)化,探索合理的數(shù)據(jù)定價(jià)和估值機(jī)制,推動(dòng)數(shù)據(jù)在市場(chǎng)上進(jìn)行有序交易,實(shí)現(xiàn)其市場(chǎng)化配置并釋放價(jià)值,實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)的保值和增值,進(jìn)而實(shí)現(xiàn)數(shù)據(jù)要素的資本化是建設(shè)現(xiàn)代化經(jīng)濟(jì)體系,推動(dòng)經(jīng)濟(jì)高質(zhì)量發(fā)展的有益和必要的實(shí)踐和探索。
 logo 轉(zhuǎn)曲.png)
