12月3日,国务院国资委召开中央企业“合规管理强化年”工作部署会,提出2022年是合规管理强化年。会上明确了开展“合规管理强化年”工作是进一步深化法治央企建设的一项重要举措,重点提出要积极探索深化法治框架下法律、合规、风控协同运作的有效路径,深入做好知识产权、出口管制、数据安全、税收等领域风险防范应对工作。回顾国企合规管理体系的建设路线—2018年国务院国资委印发了《中央企业合规管理指引(试行)》,2019年开始地方国资陆续出台《省属企业合规管理指引(试行)》,2021年5月宣布中央企业已经全部成立合规委员会—我们认为,即将到来的2022年将是国企三年改革行动的决胜之年,也是合规管理强化之年,这意味着国资委要求2022年国企合规要提档升级,再上新台阶。因此在2022年即将来临之际,德恒南京合规事务部推出国企合规强化系列,为进一步强化国企合规管理贡献我们的知识力量。数据安全作为合规强化的重点领域之一,引起我们的关注。12月20日晚,广州市国有资产监督管理委员会发布了《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》。该部指南是地方国资监管部门首部针对数据合规专项领域的合规操作指南,具有标志性的意义,我们对此予以重点解读。所谓它山之石,可以攻玉,希望我们的解读可以给其他地方国企的合规强化提供助力。本文将主要回答以下三个问题:1、指南出台的必要性2、指南的适用3、指南的主要亮点
【中文关键字】数据合规;企业合规;国资委
【全文】 一、指南出台的必要性 从指南出台的必要性看,我们认为可以从立法背景、立法目的等角度进行解读。 立法背景。观察指南出台的时点,我们发现指南是在顶层设计基本齐备的情况下出台的,主要是指数据领域的上位法已经出台和国企合规管理体系已经建立的情况下。所谓据领域的上位法是指《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施保护条例》,我们简称三法一例,目前已经全部生效施行。所谓国企合规管理体系是指在《广东省省属企业合规管理指引(试行)》、《广州市市属企业合规管理指引(试行)》已经出台的背景下,所属国企均已按照指引要求建立合规管理体系。正是在这样的双重背景下,专项重点领域的合规强化工作箭在弦上。 立法目的。指南明确指出立法目的在于推动国企全面加强数据安全合规管理,规范监管企业数据处理活动,保障企业数据安全,促进企业健康发展,保护个人、组织的合法权益,维护国家经济安全和社会稳定,提升监管企业数据治理能力及数据安全保护水平。我们认为立法目的无外乎两块,数据安全和数据发展,即保障数据安全,规范数据处理活动。两者可统称为数据治理。因此指南出台的目的在于提高国企的数据治理能力,其中最重要的是要提高数据安全保护水平。因此取之为数据安全合规管理指南。 二、指南的适用 从适用主体来看,指南的适用范围包括市国资委直接履行出资人职责的国有及国有控股企业、国有实际控制企业(以下简称“监管企业”)。可知国有参股企业目前并不在适用主体行列中。另外指南重点区分了数据安全风险较高的监管企业和数据安全风险一般的监管企业。 数据安全风险较高的监管企业。指南规定了六种条件,满足之一的视为数据安全风险较高:(一)主要业务涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和重要领域的;(二)主要业务涉及个人信息处理,且从业人员规模大于200人;(三)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;(四)处理超过10万人的个人敏感信息的;(五)从事国家秘密载体制作、复制、维修、销毁,涉密信息系统集成或者武器装备科研生产等涉及国家秘密的业务的;(六)法律法规规定的其他情形。我们理解,上述条件都是摘取了上位法的要求,比如条件一是指重要行业,对应关键信息基础设施和重要数据;条件二、三、四是涉及个人信息相关,对应个人信息保护;条件五是涉及国家秘密相关,对应国家安全。 从基本原则看,指南要求监管企业对于数据安全合规管理做到四大原则: (一)高度重视。数据是重要的战略性资源,监管企业要将数据安全合规管理提升到事关国家安全、经济安全、社会稳定和人民群众切实合法权益的高度,始终把国家主权、安全、发展利益放在首位,加强安全能力建设,重视企业、员工、股东及合作方数据安全及个人信息保护,以发展促安全、以安全保发展。 (二)推进落实。监管企业要坚持将数据安全合规要求逐步覆盖各业务领域,各部门,各级全资、控股或实际控制的子企业、分支机构及其员工。数据应当全面包括电子或其他方式对信息的记录。数据安全合规管控措施及技术应用覆盖所有数据资产及数据处理全流程。 (三)强化责任。监管企业要切实加强对数据安全合规管理的组织领导,明确职责,建立健全分工负责、协作配合的工作机制,明确管理人员和各岗位员工的数据合规责任并督促有效落实。 (四)协同融合。监管企业认真贯彻落实数据安全合规的相关要求,将数据安全合规工作纳入企业数字化转型整体布局中,将数据安全合规管理通过企业数字化技术的应用及升级进行有效落地。 我们认为监管企业首要做到的是认识问题,要清楚的认识到数据的重要性,包括其重要的战略地位。最难的是推进落实工作,要想将数据安全合规管理顺利推进,必然是需要和已建立的大合规管理体系进行协同融合,对于具体的融合建议将在下篇文章中详聊。最后,还需要通过强化责任来督促有效落实。 三、指南的要点 从具体的数据安全合规管理工作开展看,指南创造性区分为六大要点,包括管理职责、制度规范建设、管理措施、商业伙伴数据保护、个人信息保护、强化责任监督。 管理职责。明确合规委员会(或承担合规管理职责的专业委员会)的工作职责是负责推动企业数据安全合规管理,以完善企业合规管理体系,合理配置数据安全合规管理工作所需的相关资源和奖惩机制,审批重大数据安全合规事项,确保工作有效推行及落地。经理层及合规管理负责人应在原有合规管理职责的范围内,指导及监督企业数据安全合规管理相关制度规范建设、相关管理措施的设计与执行、数据安全技术应用等,确保企业数据安全合规。同时将数据安全合规管理划分为三道防线。由企业内承担数据管理、信息系统管理或IT技术等相关职能的部门及各业务部门作为数据安全合规管理的第一道防线,合规管理牵头部门作为数据合规管理第二道防线,纪检监察、审计部门作为数据合规管理第三道防线,并明确了各自的职能和责任。 制度规范建设。指南具体规定了七项主要管理事项,包括建立重大数据安全合规审批清单、数据分类分级管理、权限管理、数据安全合规风险评估及审计、重大数据安全合规风险事件报告、应急处置机制、教育培训等。其中明确了数据分类分级管控标准和管控要求。要求监管企业要根据所属行业相关标准对核心业务数据进行分类分级,并通过技术手段落实安全管理要求,定期对新增数据进行梳理,确保所有数据分类及分级管控。同时,应根据相关法律法规或行业标准的变化,及时更新企业内部数据分类分级的相关标准。对重大数据安全合规事项纳入“三重一大”事项并实施清单管理。关系国家安全、国民经济安全、重要民生、重大公共利益等数据需要实施清单管理;对于涉及国家保密范围的产业规划、战略规划、重大项目、核心技术等数据的交易、出境及共享等业务,应列入企业“三重一大”事项进行管理。引入了数据安全风险评估机制。要求监管企业定期对企业本部及下属各级全资、控股和实际控制子企业的数据安全风险进行全面评估,根据评估结果可以采取差异化管控措施。 数据安全合规管理措施。主要提出重视对数据全生命周期管理。要求监管企业在数据安全合规管理过程中,对数据采集、数据传输、数据储存、数据使用、数据开放共享、数据销毁等数据全生命周期管理的要素,制定必要的管控措施及标准,防范数据处理的违规风险,确保数据安全合规。 商业伙伴数据保护。指要加强与商业伙伴合作中的数据保护。要求监管企业加强及规范与商业伙伴合作中的数据安全管理,明确合作方准入、日常管理、数据安全评估、变更及退出等环节的合规管理要求。 个人信息保护。要求监管企业进一步规范和完善个人信息保护机制,加强企业员工、访客个人信息的保护。特别针对个人信息分类、个人信息获取、个人信息储存、个人信息使用及处理等管理过程中,按法律法规建立相关标准及规范,并满足相关管理要求。 强化责任监督。一是重视消除风险隐患、防患未然。对发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关企业、个人进行约谈,并要求有关企业、个人采取措施进行整改,消除隐患;二是对于企业或员工违反法律、行政法规规定,未履行数据安全保护义务、向境外提供重要数据、拒不配合数据调取、未经主管机关批准向外国司法或者执法机构提供数据的,依法承担相应法律责任。
Коментарі