- 企业数据合规五大策略[2023-01-14]
- 数据治理:引入新数据的方法[2023-01-03]
- 数据基础制度研读——数据[2022-12-27]
- 数据架构的本质到底是什么?[2022-12-22]
- 一图理解我国数据安全监管[2022-12-19]
- 为什么《DAMA数据管理知识[2022-12-13]
- 传统企业数字化转型,怎样高[2022-12-08]
- 信息化在左,数字化在右[2022-12-07]
- 浅谈传统企业数字化转型的[2022-11-29]
- 数字化转型中管理者不能回[2022-11-23]
企业数据合规五大策略
前言
2022年12月19日,中共中央、国务院《关于构建数据基础制度 更好发挥数据要素作用的意见》(以下简称《意见》)正式发布,提出要加快构建数据基础制度,在保护个人隐私、商业秘密、维护国家数据安全的前提下,充分实现数据要素价值、促进全体人民共享数据发展红利,并围绕数据产权、数据要素流通和交易、数据要素收益分配、数据要素安全治理四个方面予以规制。
构建数据基础制度体系是加快培育数据要素市场、促进数据要素市场规范有序发展的必由之路。充分理解和领会《意见》的核心思想,以此研判未来发展趋势,对产业各界坚持或调整发展思路、夯实发展基础至关重要。
《关于构建数据基础制度更好发挥数据要素作用的意见》的出台,系统性地构建了数据基础制度地“四梁八柱”,势将对我国深入推进数据要素市场化配置改革产生积极而深远影响。《意见》指出,要在数据产权、数据要素流通和交易、数据要素收益分配和数据要素治理四个方面进行制度建设和创新,在合规、高效、安全的前提下加快构建数据基础制度,充分激活数据价值,发挥数据要素的作用。
合规是贯穿《意见》全文的重要主题词。从指导思想到工作原则,再到具体的数据基础制度建设和保障措施,《意见》全文共提及“合规”关键词十六次,贯穿数据基础制度建设的各个维度,具体涉及合规使用、全流程合规治理、企业数据合规体系建设和监管、合规认证、合规公证、鼓励企业创新内部数据合规管理体系等。一方面,《意见》的出台有助于明确企业参与数据要素市场的合规红线,有望在一定程度上解决企业面临的两难困境——虽有数据开发利用的强烈愿望但因担心触碰红线而畏手畏脚;另一方面,《意见》也为后续数据基础制度和数据要素流通具体规则的制定和落地保留了一定空间,提供了数据基础制度建设的发展方向和规则框架。
应对日后的监管趋势,企业可从以下几个方面出发,制定和调整数据合规策略,为日后更充分的参与数据流通、实现自身数据价值做好准备:
一是制定和落实数据分类分级制度,为匹配不同场景下的数据分类分级使用做好准备。《意见》提出,在国家数据分类分级保护制度下,推进数据分类分级确权授权使用和市场化流通交易;建立公共数据、企业数据、个人数据的分类分级确权授权制度;探索建立跨境数据分类分级管理机制。
无论是在数据管理、数据保护、数据确权授权还是数据跨境流通方面,《意见》都将数据的分类分级作为基础和前提。目前,部分行业或领域如证券期货业、工业、网络、金融、公共数据等已经出台了数据分类分级的相关指引。建议企业先依据现有指引做好自身的数据分类分级,对自身所掌握的数据类型、体量、使用目的等有清楚的认知,以便能够在未来相关规则和制度明确之时快速调整和匹配合规要求,降低合规成本,缩短合规整改窗口期,在数据流通相关业务的竞争中赢得先机。此外,在授权使用、跨境等不同场景下数据分类分级的依据和标准可能有所不同,企业也应当重点关注如何将不同场景下的数据分类分级衔接起来。
二是注意数据授权使用机制与现有法律法规的衔接。《意见》提出探索数据产权结构性分置制度,将数据产权分为“数据资源持有权”、“数据加工使用权”、“数据产品经营权”等权利。
数据产权的结构性分置为公共数据、个人数据和企业数据的确权授权机制提供了基础和前提。对于公共数据,《意见》根据不同使用目的(包括用于公共治理、公益事业、产业发展、行业发展)从是否有条件和是否有偿使用两方面进行了区分。但由于目前对公共数据的定义尚未形成统一共识,《意见》也并未列举具体哪些应用场景落入前述使用目的中,因此对于参与公共数据开发运营的相关企业,建议关注公共数据授权使用机制的后续发展落地;此外,对于公共数据“有条件”授权使用的场景,未来很可能会对被授权企业的数据合规水平提出要求,因此也建议相关企业对此做好准备。对于个人数据,建议企业注意现有法律法规、规范等文件对于委托处理数据的限制,如《个人金融信息保护技术规范(JR/T 0171—2020)》第6.1.4.4b)规定“C3 以及 C2 类别信息中的用户鉴别辅助信息,不应委托给第三方机构进行处理。”;第6.1.1条a)要求“不应委托或授权无金融业相关资质的机构收集 C3、C2 类别信息”。因此,建议企业综合判断数据授权使用的合规要求。
三是关注数据交易合规监管主体新变化。《意见》指出,要统筹构建规范高效的数据交易场所,突出国家级数据交易场所合规监管和基础服务功能,规范各地区、各部门设立的区域性数据交易场所和行业性数据交易平台,构建多层次市场交易体系,促进区域性、行业性和国家级数据交易平台、场所之间的互联互通。
截至目前,全国已先后成立约48家由地方政府发起、指导或批准成立的数据交易机构。但目前并无明确的法律法规或政策文件中明确何为“国家级”数据交易场所,区域性和行业性数据交易场所之间的区别和联系也尚未厘清。建议企业密切关注数据交易领域的监管动态,以及各层级交易平台之间的关系。
此外,《意见》也提出,建立构建使用和流通、场内场外相结合的交易制度体系,规范引导场外交易,培育壮大场内交易。
目前我国通过数据交易机构进行的数据交易占比很低,未来场内外数据交易的占比可能会有所改变,建议企业结合自身数据交易相关业务的特点,以及未来场内外数据交易的规范要求和限制,制定企业内部场内外数据交易的合规指引,合理安排和调整场内外数据交易。
四是关注数据跨境流通机制的发展。《意见》指出,要积极参与数据跨境流动国际规则制定,探索加入区域性国际数据跨境流动制度安排。构建数据安全合规有序跨境流通机制,鼓励国内外企业及组织依法依规开展数据跨境流动业务合作,在通过国家安全审查和出口管制等制度防范风险的基础上,探索构建多渠道、便利化的数据跨境流动监管机制,健全多部门协调配合的数据跨境流动监管体系。
随着《中华人民共和国个人信息保护法》《数据出境安全评估办法》《个人信息出境标准合同规定(征求意见稿)》《个人信息跨境处理活动认证技术规范V2.0》等与数据出境相关的法律文件和规则的出台,我国的数据跨境流通机制正在逐步形成。但因立法对数据的跨境流通施加较重的事前义务和法律责任,不少企业谈数据出境而色变。然而在经济全球化的今天,开展跨境业务的企业比比皆是,数据的跨境流动很难避免,相应的,国外上市、跨国投融资并购等商业行为也会触发国外相关监管机构对数据的调取和审查。2022年8月26日,中国证券监督管理委员会、中华人民共和国财政部与美国上市公司会计监督委员会(PCAOB)签署了审计监管合作协议,就双方对相关会计师事务所合作开展日常检查与执法调查作出了具体安排,这其中就包括对于个人信息等特定数据的处理程序和规则。因此,可以预见,未来我国数据跨境流通机制将更加成熟和完善,也建议从事跨境电商、跨境支付等跨境业务的企业密切关注数据跨境流通机制的发展变化,注意遵守数据跨境流通的程序和规则,降低数据跨境流动的风险。
五是充分利用第三方专业服务机构助力企业数据合规。《意见》指出,要培育数据要素流通和交易服务生态,包括培育数据集成、数据经纪、合规认证、安全审计、数据公证、数据保险、数据托管、资产评估、争议仲裁、风险评估、人才培训等第三方专业服务机构;建立数据流通准入标准规则,推动数据产品标准化,鼓励探索数据流通安全保障技术、标准、方案,加快推进数据管理能力成熟度国家标准及数据要素管理规范贯彻执行工作。
这些都表明未来企业开展数据合规工作将有更多标准可以参考,可以借助更多第三方专业机构完成企业内部数据合规以及企业参与数据要素流通过程的合规,企业也将拥有更多渠道证明自身的数据合规水平。建议企业充分借助第三方专业服务机构,高效提升自身的数据合规能力和员工的数据合规意识,准确识别和降低数据合规风险,为激活数据价值和参与数据流通提供合规保障。
整体来看,《意见》释放出鼓励数据要素流通的信号,但仍强调以“合规”为前提。企业的数据合规工作不是一成不变的,而是需要根据立法、政策和业务发展等变化不断动态调整的。企业在响应政策、积极探索和参与数据流通创新的同时,也应当时刻将数据合规理念嵌入相关业务的各个环节,全面提升数据合规的意识和能力,为企业发展保驾护航。
中翰软件:专注数据治理18年(http://www.jobhand.cn)
免责声明:本网站所发布的文章为本网站原创,或者是在网络搜索到的优秀文章进行的编辑整理,文章版权归原作者所有,仅供读者朋友们学习、参考。对于分享的非原创文章,有些因为无法找到真正来源,如果标错来源或者对于文章中所使用的图片、链接等所包含但不限于软件、资料等,如有侵权,请直接致电联系,说明具体的文章,后台会尽快删除。给您带来的不便,深表歉意。
