2020年8月21日,国务院国有资产监督管理委员会办公厅发布《关于加快推进国有企业数字化转型工作的通知》,明确了国有企业数字化转型的重要意义、重点任务以及方向。2022年1月12日国务院发布的《“十四五”数字经济发展规划》指出,“数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态”。2022 年12月2日,《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》更进一步明确了在发展数字经济过程中的产权制度、流通与交易制度、收益分配制度、治理制度等基本制度框架与原则。2023年2月27日,中共中央国务院印发《数字中国建设整体布局规划》,将“数字经济”拓展到了“数字中国与数字时代”。
从这一发展脉络可以看出,国有企业数字化转型已经由国有企业体制机制改革问题,上升到了数字经济、数字中国乃至数字时代的国家发展战略层面。同时也可以预见,国有企业数字化转型在党的二十大以及2023年全国两会后,将会成为国有企业高质量发展的重中之重。
在了解国有企业数字化转型前,首先需要了解数字化转型的含义。从国外文献来看,麻省理工(2017)的研究指出,数字化转型可分成Digitized和Digital两类。其中,Digitized以实现更高效率、更高可靠性和更优成本为目标,而Digital则是以聚焦快速创新、实现创收和增长为方向。Bresciani, Ferraris & Del Giudice(2018);Scuotto, Arrigo, Candelo & Nicotra(2019)认为,数字化转型重新定义战略、创新与治理机制,通过影响整个组织创造出的新的企业价值链以及企业间的关系,改变了企业开展业务的方式以及与上下游企业等利益关联者建立联系的方式。Sanchis R等(2020);Marc K.Peter等(2020)认为,低代码开发平台、大数据、云计算、区块链以及人工智能等数字技术,为企业数字化转型提供坚有力的技术支持。Huanli Li等(2021)认为:数字化转型通过加强企业内外部关系,促使数字技术与企业经营战略的结合,从而增加企业面对市场环境变化的应对及反应能力。[1]
从国内文献来看,国务院发展研究中心课题组(2018)指出,数字化是利用新一代信息技术,构建数据的采集、传输、存储、处理和反馈的闭环,打通不同层级与不同行业间的数据壁垒,提高行业整体的运行效率,构建全新的数字经济体系。李辉等(2020)认为,数字化转型是构建于互联网和信息技术基础之上的智能化和数字化,通过搭载全新的产业形态,重构交易模式,将企业的生产设备、交易过程和物理世界数字化后再连接,推动企业竞争从实体空间向网络空间转变的一种全新的生存、生产、经营、竞争与创新方式。肖静华(2020)认为,从技术视角来看,数字化转型是以新一代数字技术、商业模式、竞争模式、新型人力资本积累和相应制度变革为关键驱动因素的颠覆性创新力量。尹金等(2020)认为,数字化转型是利用信息化技术对企业的组织架构进行重塑,让企业的业务构架变得更加快捷和方便。数字化变革代表着以数据为驱动要素的新经济形态和产业发展规律。[2]
结合上述定义以及对数字经济内涵的理解,从马克思政治经济学的原理出发,本文认为,从企业角度而言,数字化转型是通过信息、通信与数字技术,将企业赖以发展的生产要素(劳动、土地、资本、技术)与价值创造过程从组织、制度、流程等方面进行全方位的数字化的重构,以数字化的生产方式产生数字化的生产力的过程。因此,国有企业数字化转型本质上是国有企业的“经济基础”与“上层建筑”的数字化重构。
据国务院国有资产监督管理委员会科技创新局负责人介绍,通过政策驱动、组织推动、示范带动、平台联动,国资委统筹推进国有企业数字化转型工作,在强化数字技术创新、推进重点领域智能化升级、提升数字服务保障能力等方面取得了积极的成效。[3]参考腾讯研究院发布的《2022 国有企业数字化转型调研报告》(简称“《报告》”),国有企业数字化转型目前主要体现出以下3个方面的特征。
根据该《报告》,“利用新的生产要素”“响应国家号召、服务国家战略(54.5%)”等外部因素驱动的占比要高于“对同业竞争、连接生态企业、抓住时代机会、适应消费新方向”等内生驱动因素的占比。从推动转型路径顺序上看,大多数国企选择转型,更多站在管理与用户角度而不是产品以及业务流程的角度。简言之,大多数国企更多基于外部力量来推动数字化转型,而在实际推动过程中,更着眼于管理角度的数字化转型,尚未进入数字化转型的深水区。
根据该《报告》,国有企业的软件投入大于数字基础设施、人才培养和智能硬件的投入,这在一定程度上反映出,当前国有企业数字化转型仍较为倾向于快速体现效果的短期目标,对于人才与组织建设、数字基础设施、数字基本制度等长期目标仍缺乏较强的动力与资源投入。
3. 国有企业数字化转型中科技创新投入大于制度创新投入
从相关国有企业数字化转型的典型案例来看,国有企业数字化转型目前主要体现在运用 5G、云计算、区块链、人工智能、数字孪生、北斗通信等新一代信息技术建设相应的“数据中台”“业务中台” 等新型IT架构,并围绕产品创新数字化、生产运营智能化、用户服务敏捷化展开,尚缺乏对原有管理流程、业务流程、组织架构、团队建设等基础性制度方面的制度创新与数字化再造。有学者指出,一些企业已经充分认识到数字化转型的重要性,但缺乏清晰的战略目标与实现路径,缺少对数字化转型路径的全面规划和系统性思考。专业机构调查结果显示,在推进数字化转型的企业中,约有60%的企业尚未建立转型发展路径,35%的企业高管认为缺少明确的转型战略是实现转型的关键壁垒。一些企业的高层管理者认为数字化就是简单的IT系统重建和升级,没有将数字化转型提升到顶层设计的战略高度,缺少关键的制度设计和组织重塑,缺乏有效的配套考核和激励机制。[4]
综合上述情况,从总体上而言,国有企业数字化转型仍处在初级阶段,集中表现为被动推动大于主动推进,短期目标重于长远利益,技术创新重于制度创新,这些也是国有企业在数字化转型初级阶段的应有之义和必经过程。
二、数据合规是国有企业数字化转型中迈向高质量发展的基本要求
国资监管部门在2020年提出数字化转型的明确要求,而我国数字经济“十四五”规划、关于数据基础制度的意见以及数字中国的规划均在2022年、2023年提出。2022年10月16日,在中国共产党第二十次全国代表大会开幕会上,习近平总书记提出,高质量发展是全面建设社会主义现代化国家的首要任务。结合国企数字化转型仍处在初级阶段的事实,本文认为,国企数字化转型即将进入一个新的阶段,数据合规将会成为国企数字化转型的重要任务之一。
习近平总书记在党的二十大报告中对“推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定”作出专章论述和战略部署,鲜明提出“以新安全格局保障新发展格局”的重大要求。数字经济时代,国家、政府、企业以及个人的行为模式均向数字化方向发展,数据合规成为保障数字经济发展、保障国家安全的必要条件之一,而国企作为我国经济发展的中流砥柱,在向数字化转型的过程中,数据合规问题更是保障数字化转型的安全的重要保障。
《中华人民共和国国家安全法》(简称“《国家安全法》”)第二十五条规定,“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益”。之后《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》(简称“《网络安全法》《数据安全法》《个人信息保护法》”)的相继出台,形成了数字经济安全保障的“三驾马车”。数据合规的依据即来源于以《国家安全法》统领的三大法律。此外,《“十四五”数字经济发展规划》第九部分也从“增强网络安全防护能力”“提升数据安全保障水平”“切实有效防范各类风险”3个方面“着力强化数字经济安全体系”。
国有企业是中国特色社会主义的重要物质基础和政治基础,是党执政兴国的重要支柱和依靠力量。国有企业在关系国家安全和国民经济命脉的主要行业和关键领域占据支配地位,是国民经济的重要支柱。以国有企业高质量发展支撑经济高质量发展,在高质量发展中起到主要的、示范的、引领的作用。因此,在数字经济时代,结合数字经济发展的特征以及国家法律、政策与规划中对数字经济发展在安全方面的要求,国企高质量发展必然要将国家总体安全观以及相关要求贯彻落实到数字化转型的全过程。
2023年2月14日,国家工业信息安全发展研究中心发布了《2022 年工业信息安全态势报告》,[5]报告显示,2022年公开披露的的工业信息安全事件共312起,覆盖十几个工业细分领域,制造、能源领域成为网络攻击的重点目标,攻击方式主要以恶意软件、分布式拒绝服务(DDos)攻击、网络钓鱼等,呈现出目标多元化、手段复杂化、影响扩大化的态势。公开披露的工业领域勒索事件共89起,较2021年增长78%,其中电子制造行业遭受攻击最多,占比约23%,汽车制造业其次,占比13%。
Verizon《2022数据泄露调查报告》显示,2022年制造业数据泄露事件共338起,比去年增长25.2%。攻击者在“暗网”公开了大量工业敏感数据,允许访客任意下载,可供攻击者进一步实施犯罪。
在国企数字化转型过程中,企业数字化的运营对网络与数据的软件与硬件提出了更高要求。各类云平台的发展顺应了国企数字化转型的需求,因此国企将其数字化的运营部署在相关的云平台成为一种趋势,而随之而来的是云平台成为网络与数据安全事件的高发领域。根据国家计算机网络应急技术处理协调中心(CNCERT/CC)发布的《2020年中国互联网网络安全报告》显示,随着业务不断“上云”,发生在我国云平台上的网络安全事件或威胁数量居高不下。
发生在我国云平台上的各类网络安全事件数量占比较高,其中云平台上遭受大流量DDoS攻击的事件数量占境内目标遭受大流量DDoS攻击事件数量的74%,被植入后门网站数量占境内全部被植入后门网站数量的88.1%,被篡改网站数量占境内全部被篡改网站数量的88.6%。攻击者经常利用我国云平台发起网络攻击,其中云平台作为控制端发起DDoS攻击的事件数量占境内控制端发起DDoS攻击的事件数量的81.3%,作为木马或僵尸网络恶意程序控制端控制的IP地址数量占境内全部数量的96.3%,承载的恶意程序种类数量占境内互联网上承载的恶意程序种类数量的83.3%。该报告同时发现,境内有大量暴露在互联网的工业控制设备和系统。其中,设备类型包括可编程逻辑控制器、串口服务器等。工业控制系统涉及电力、石油天然气、轨道交通等重点行业,覆盖企业生产管理、企业经营管理、政府监管、工业云平台等几大类型。
通过以上有关网络安全与数据安全的分析报告可以看出,随着数字经济的蓬勃发展,与之伴随的网络安全与数据安全问题逐渐凸显。国有企业在国家相关重点工业领域占有重要地位,覆盖面广,随着数字化转型的深入推进,数据安全与网络安全的实际现状也不得不引起重视,因为网络与数据安全问题会带来新的风险。
网络与数据安全是国家总体安全观以及国家安全战略的重要组成部分,其所带来的相关安全问题也成为国企在迈向数字化过程中的严峻挑战。
随着《网络安全法》《数据安全法》《个人信息保护法》的逐步实施,企业首先面临的是数据不合规所导致的行政处罚的风险。据公开渠道的信息,银保监会开出的2021年第一张罚单指向中国农业银行,具体涉及的违法违规行为包括:(一)发生重要信息系统突发事件未报告;(二)制卡数据违规明文留存;(三)生产网络、分行无线互联网络保护不当;(四)数据安全管理较粗放,存在数据泄露风险;(五)网络信息系统存在较多漏洞;(六)互联网门户网站泄露敏感信息。处罚金额为420万元。[6]2023年2月至3月,湖南多地市的警方对驾校、电商平台、票务公司、小区物业进行处罚,[7]随着三大法律执法行动的进一步开展,实际上企业所面临的行政处罚风险将越来越大。
需要重点指出的是,相关行政处罚的法律责任不仅涉及企业本身,也会涉及企业的相关负责人。例如,《数据安全法》第四十五条规定,“开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,……对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款”。
2023年3月30日,最高人民检察院发布了一批个人信息保护检察公益诉讼典型案例,包括江苏省无锡市新吴区人民检察院督促保护服务场所消费者个人信息行政公益诉讼案、浙江省湖州市检察机关诉浙江G旅游发展有限公司侵害公民个人信息民事公益诉讼案等,显示全国检察机关2022年共立案办理个人信息保护公益诉讼案件6000余件。[8]可以看出,有关涉及网络、数据安全、个人信息保护类的刑事风险正逐渐加大。据不完全统计,与数据不合规相关的罪名包括了“非法侵入计算机信息系统罪(刑法第285条第1款)”“非法获取计算机信息系统数据(刑法第285条第2款)”“破坏计算机信息系统罪(刑法第286条)”“侵犯公民个人信息罪(刑法第253条之一)”“拒不履行信息网络安全管理义务罪(刑法第286条之一)”以及“帮助信息网络犯罪活动罪”“提供侵入、非法控制计算机信息系统程序、工具罪”“非法利用信息网络罪”等。
行政法律风险与刑事法律风险,常指因企业的作为或者不作为对国家的网络与数据安全秩序所造成的损害以及由此引起的公法责任。而由于数据不合规所导致的民事上的责任亦不可忽视,未来也会为数据产业领域带来新风险。
第一,与个人信息权益有关的侵权责任。个人信息保护的司法保护力度正在加大,对于侵害个人信息权益的侵权行为,人民法院将判决侵权主体承担侵权责任。在《个人信息保护法》施行一周年之际,广州互联网法院发布5个个人信息保护典型案例,其中涉及到“赔偿精神损失”的就有3个,还有一起“算法错误关联个人信息应当更正删除”被判决“赔偿经济损失”。虽然所判决的金额不大,但不排除未来会提升经济赔偿的幅度。与此同时,考虑到个人在数字经济时代的弱势地位,检察机关正在研究涉及个人信息权益的公益诉讼机制,并且尝试适用“惩罚性赔偿”赔偿。司法实践中,在河北省保定市检察院诉李某侵犯消费者个人信息和权益民事公益诉讼案中,检察机关便提出了惩罚性赔偿的公益诉讼请求并获得法院支持。[9]
第二,互联网不正当竞争引起的侵权行为。2021年7月,上海浦东法院发布10个互联网不正当竞争典型案例,涉及支付宝、腾讯、陆金所、二三四五、金山毒霸、大众点评、“电视猫”、优酷、“斗鱼网”、百度、淘宝等多家知名互联网企业和平台,[10]这些侵权纠纷的主体各方往往均是商业主体,所主张的侵权损失金额也比较巨大。
第三,网络与数据安全相关的违约责任。数字经济可以包括产业数字化与数字产业化两个方向,由此两条主线演化出逐渐细化的市场分工,从法律角度来看,这一分工主要是以委托合同这一法律关系形式体现出来,并受到相关法律法规的约束。例如,《数据安全法》第四章规定了“数据安全保护义务”,这一义务具有法定性,任何从事数据处理行为的组织和个人均应当遵守。在国企数字化转型中,无论是国企自行开发相关平台还是委托开发,围绕数字化转型,其必然与其他市场主体发生相应的法律关系,任何一方违反这一数据安全保护义务,都会引发违约责任纠纷。又如《个人信息保护法》第二十条规定,“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务”,第二十一条规定,“个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督”。这两条法律规定更直接地对涉及个人信息处理者的合同进行了规范,违背相应法律条款与合同条款的,也适用违约责任。
综上,国企数字化转型过程中,因数据不合规所蕴含的潜在的法律风险仍需要国企的高度重视,数据合规是防范和化解上述法律风险的重要应对模式。
因为数字经济的虚拟性,所以企业难以切身感受到数据不合规所导致的经济损失会有多大,其成本似乎还难以计量,这也是很多企业认为数据合规是一种“危言耸听”。而实际上因为数据不合规引起的损失往往巨大且难以挽回,本文尝试对此进行初步的分析。
根据前述对数字化的定义可以看出,数字化是一项系统性工程,并且融入到企业的业务、运营与管理的全流程中,如果数据不合规,那么其所带来的影响也具有全面性、系统性。例如,但某一国企上马某个数字化转型项目,如果没有做好合规规划,在项目完成后发现存在合规问题,那么可能影响的是整个系统的调整甚至是再造,这一损失往往是巨大的。
根据IBM发布的《Cost of a Data Breach Report 2022》,全球企业平均的数据泄露成本是435万美金,美国的平均数据泄露成本最高,为944万美金。可以看到,在国企数字化转型过程中,如果发生未经授权的访问或者数据泄露事件,要花额外的成本去修复相应的漏洞,但更为严重的情况下,还可能泄露商业秘密或商业计划,将会导致企业不得不整体调整经营、业务思路,还会影响到后续数字化转型的效果。
数字经济时代,生产、运营、销售都是以数字化的方式来呈现的,而数字化与传统经济最大的区别即在于它的“虚拟性”或者“无形性”,例如有形的物理空间实验室,变成了无形的云端服务器以及相应的运算模型。有形实验室的安全性可以通过物理观察获得感知,而数字化的企业的安全性则很难获得物理性的感知。因此,安全的表现形式也发生的巨大的变化。在这种形势下,在客户、用户、上下游合作伙伴之间,“安全”的品牌形象将会成为取得客户、用户、合作伙伴信任的核心要素。可以预见,在数字经济时代,赢得客户、用户、合作伙伴信任的不仅仅是产品与服务本身的质量与效果,更为重要的是接受产品、服务或者进行合作的过程与结果是否安全,行业之间的竞争从某种程度上将会是谁比谁更安全的竞争。反之,一旦企业发生网络与数据方面的安全事件,“好事不出门,坏事传千里”,这无疑将会极大的影响企业的品牌形象以及行业声誉,而要修正企业的安全形象将更为困难。
综上所述,国企数字化转型既是抓住数字经济时代机遇的必由之路,也将面临数字经济时代所带来的各种风险与挑战。数字化转型能否获得成功,不仅取决于商业上、技术上的考量,也有赖于企业的数据合规是否跟得上企业数字化转型的步伐,如果数据合规成为拖累企业数字化转型的短板,那么其必然会影响到企业核心竞争力的发挥。
三、建立健全数字治理体系是国有企业数字化转型合规的基本路径
数字治理体系属于国家治理体系范畴,也是国家治理体系和治理能力现代化的必然要求。但是,在国企改革、公司治理以及数字化转型层面,也可以将数字治理体系转化为公司治理体系和公司治理层面的范畴。本文认为,国有企业数字化转型中的合规建设要将其纳入到公司的治理体系当中去规划与统筹,而非仅仅停留在单纯的技术升级改造层面,国有企业数字化转型合规的基本框架应当在企业的数字治理体系框架下予以设计和考量。
首先,《“十四五”数字经济发展规划》提到,“着力强化数字经济安全体系”,并且从“增强网络安全防护能力”“提升数据安全保障水平”“切实有效防范各类风险”等方面提出了具体要求。这3方面可以简化为网络安全、数据安全以及安全风险3个角度,这也就意味着国企数字化转型当中,只有切实做到网络安全、数据安全以及安全风险防范,才能达到合规标准。
其次,《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》当中也指出,一方面要“完善数据全流程合规与监管规则体系”,另一方面要“压实企业的数据治理责任”,要求企业严格落实相关法律规定,在数据采集汇聚、加工处理、流通交易、共享利用等各环节,推动企业依法依规承担相应责任。企业应严格遵守反垄断法等相关法律规定,不得利用数据、算法等优势和技术手段排除、限制竞争,实施不正当竞争。规范企业参与政府信息化建设中的政务数据安全管理,确保有规可循、有序发展、安全可控。建立健全数据要素登记及披露机制,增强企业社会责任,打破“数据垄断”,促进公平竞争。这当中,不仅要求企业在数据生命周期的全流程合规要求,也提到了反垄断、反不正当竞争的合规要求。这也反映出,国企数字化转型过程中,要做好数据生命周期的合规工作的同时,还存在反垄断、反不正当竞争的合规义务。
再次,《数字中国建设整体布局规划》提出了数字治理生态,要求“建设公平规范的数字治理生态。完善法律法规体系,加强立法统筹协调,研究制定数字领域立法规划,及时按程序调整不适应数字化发展的法律制度。构建技术标准体系,编制数字化标准工作指南,加快制定修订各行业数字化转型、产业交叉融合发展等应用标准。提升治理水平,健全网络综合治理体系,提升全方位多维度综合治理能力,构建科学、高效、有序的管网治网格局”。可以预见,围绕国企数字化转型中的合规问题,未来国家在法律体系、标准体系、能力建设方面将会提出更加规范和细化的合规要求。
除了相应的政策依据之外,国企数字化转型始终要依法进行,而合规要求也是相关的法律法规的明确要求,所以合规并不是一个“可选项”,而是一个“必选项”,是法定义务。
《国家安全法》第二十五条规定,“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益”。国企始终肩负着一定的国家使命,国企数字化转型,也始终会涉及到国家安全当中的国家网络与数据安全问题,因此合规问题首先是国企在《国家安全法》项下的合规义务的法律依据。
在《网络安全法》项下,国企数字化转型的合规义务首先来源于第九条,“网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任”,这是从网络运营者的角度对合规义务的总括性规定。在此之下,又分别规定了“维护网络数据的完整性、保密性和可用性”、实施“网络安全等级保护制度”“制定内部安全管理制度和操作规程”“采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施”“采取监测、记录网络运行状态、网络安全事件的技术措施”“采取数据分类、重要数据备份和加密等措施”“符合相关国家标准的强制性要求”、进行“安全认证或者检测”“制定网络安全事件应急预案”等多项涉及网络运行安全的具体的合规义务。如涉及个人信息的,还应当符合其第四章“网络信息安全”的合规义务。这当中与后续制定的《个人信息保护法》相互衔接,共同构成个人信息保护的合规义务。
首先,《数据安全法》第八条规定了数据合规的总括性的义务,即“开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益”。
其次,《数据安全法》在第四章对数据安全保护义务进行的细化的规定,包括“建立健全全流程数据安全管理制度”“组织开展数据安全教育培训”“采取相应的技术措施和其他必要措施,保障数据安全”“加强风险监测”“定期开展风险评估”“取得行政许可”等多项具体合规义务。
《个人信息保护法》第五条、第六条、第七条、第八条规定了处理个人信息的基本原则,包括了“合法、正当、必要和诚信原则”、目的明确合理且收集范围最小化原则、“公开、透明原则”、信息质量保证原则和信息安全保障原则。
《个人信息保护法》在前述基本原则的基础上规定了处理个人信息的具体规则要求,包括了采集阶段中同意的取得、告知义务的履行;处理阶段的自动化决策、委托处理、信息提供等具体处理行为应当遵循的规则,以及涉及到个人敏感信息的更为严格的处理规则。
《个人信息保护法》第五章还规定了个人信息处理者的义务,包括了“制定内部管理制度和操作规程”“对个人信息实行分类管理”“采取相应的加密、去标识化等安全技术措施”“合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训”“制定并组织实施个人信息安全事件应急预案”“合规审计”“进行个人信息保护影响评估”等。
很多国有企业从事着与普通老百姓工作和生活密切相关的行业,那么涉及这些消费者端的国有企业,在数字化转型的过程中,也存在上述《个人信息保护法》项下的合规义务。
综上,国企数字化转型的合规义务一方面来源于当前国家对数字经济的政策性规定,另一方面更是前述四部法律当中明确规定的法定义务,从而构成国企数字化转型中合规义务的依据。
虽然有相关的政策以及法律上的要求,但是政策与法律仅仅是明确了合规义务,并没有规定具体的实施路径,因此,在实施路径上是国有企业数字化转型合规应当要解决的第2个问题。2018年国资委发布《中央企业合规管理指引(试行)》,2022年国资委又颁布了《中央企业合规管理办法》,2021年,广州市国资委也出台了国内首个数据安全合规指南的地方标准《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》(简称“《广州数据合规指南》”)。这些监管部门的指引与文件可以说提供了较为详细的路径措施。
数据合规属于“大合规”体系当中的一个分支,因此首先可以参照国资委给出的“大合规”的指引。2022年国资委制定的《中央企业合规管理办法》是在总结《中央企业合规管理指引(试行)》实施经验的基础上进行的升级与完善。因此,本文重点梳理《中央企业合规管理办法》中的合规建设路径。
《中央企业合规管理办法》首先确定了合规管理体系中的组织体系的建设要求,并将其自上而下进行了逐步细化,分别为党委(党组)、董事会、经理层、主要负责人、合规委员会、首席合规官、业务及职能部门、合规管理部门等七个层级与机构设置,从最高的决策层到具体的合规工作的人员,各自的职责与范围进行了较为完整的规定。
《中央企业合规管理办法》从制度体系建设、基本制度制定、专项制度制定等三个层面进行了要求,制度体系建设是总纲,基本制度是基础,专项制度是重点。
《中央企业合规管理办法》主要是从风险识别、风险预警、风险评估、风险处置、整改问责、考核评价等方面针对合规风险的识别、应对、处置流程进行了细化的规定,协助企业进行流程梳理、风险梳理。
《中央企业合规管理办法》专章规定的“合规文化”,要求将合规文化融入到高层学习、员工培训的过程中培养与提升合规意识,将合规文化纳入到企业的整体文化建设中。
《广州数据合规指南》分别从组织建设、制度建设、合规措施、伙伴关系处理、个人信息处理、技术措施等六个方面进行了指引。
在组织建设上,《广州数据合规指南》除了明确董事会、合规委员会、经理层的职责外,还明确了安全合规管理的两道防线。第一道防线是“承担数据管理、信息系统管理或IT技术等部门和其它各职能部门”,第二道防线是“企业合规管理牵头部门”。除此以外,提供了“建立联合的数据合规管理办公室或工作组”等灵活组织安排。
在制度建设上,《广州数据合规指南》明确“应建立健全数据安全合规管理的相关标准、制度和规范”,同时建立重大数据安全合规审批清单、数据分类分级管理、权限管理、数据安全合规风险评估及审计、重大数据安全合规风险事件报告、应急处置机制、教育培训等制度。
在合规措施上,《广州数据合规指南》按照数据生命周期的逻辑,详细规范了数据采集、数据存储、数据使用、数据传输、数据共享、数据销毁等全流程的数据处理要求。
《广州数据合规指南》首次对被监管企业的与商业伙伴合作中的数据保护进行了专章规定,从合作方准入、对合作方的尽职调查、与合作方的合同内容管理、对合作方的监测、检测和评估进行了逐一细化要求。
除了《个人信息保护法》对个人信息保护方面的要求之外,《广州数据合规指南》也创新性地提出了按照场景思维梳理个人信息处理的行为以及个人信息主动删除机制。
《广州数据合规指南》明确要求“提升企业在数据识别、敏感信息保护、数据操作审计、接口安全管理、数据防泄露等方面的技术能力”,提出了“去标识化、数据关键字段隐藏、扰乱等技术”“校验或加密技术”“密码技术”“防泄漏技术”“审计系统”“数据接口的安全认证机制及加强数据接口安全监控技术”等相关技术的应用要求。
数字治理体系以及数据合规体系的建设覆盖面广、专业性强、技术要求高,如何将前述路径所涉及的组织、制度、技术、合作方治理等各方面整合到数据合规体系当中,是一个比较复杂的系统性工程。相关的专业组织为此提供了可供借鉴的模式与框架。
国际标准化组织提出的数据治理框架建立在IT治理的基础上,认为IT治理的通用模型和方法论(ISO/IEC38500)同样适用于数据治理领域。该框架主要关注治理主体评估、指导和监督数据利用的过程,而不关注数据存储结构、恢复等数据管理活动。强调数据治理的责任主体在治理层,治理层在开展数据治理的过程中主要通过制定数据战略来指导数据管理活动,而管理层需要通过管理活动来实现战略目标。
2. 国际数据管理协会(DAMA)的DAMA-DMBOK框架
国际数据管理协会提出的DAMA-DMBOK框架以数据管理为中心,认为数据治理是数据管理的组成部分,是数据管理的核心功能。DAMA框架包括两个子框架,分别是功能子框架和环境要素子框架。功能子框架总结了数据管理的10个功能,环境要素子框架提出了数据管理的7个环境要素,并最终建立起10个功能和7个环境要素之间的对应关系。DAMA框架中数据治理的核心工作就是解决数据管理的10个功能与7个要素之间的匹配问题。
3. 国际数据治理研究所(DGI)提出的数据治理框架
国际数据治理研究所从组织、规则、过程三个层面,提炼出数据治理的10个基本组件,并在此基础上提出了DGI数据治理框架。该框架既包含从管理角度提出的促成因素(例如,目标、数据利益相关者和组织结构等),也包括项目管理的相关内容(例如,数据治理生命周期)。10个基本组件按照职能划分为三组,分别是规则与协同工作规范、人员与组织结构和过程。
2017年,Gartner提出数据安全治理概念和框架,为数据安全治理在技术侧的落地提供了新思路。Gartner数据安全治理框架强调从顶层设计出发,评估数据安全的业务风险,考虑和平衡经营策略、治理、合规、IT策略和风险容忍,在数据分类分级的基础上,设置数据标签,部署加密、防泄漏等产品。具体而言,一是平衡业务与风险,通过组织战略、管理体系、合规性需求、IT战略、风险承受能力等,制定平衡业务发展与风险管控的数据安全治理策略;二是数据梳理,对数据进行分类和分级,识别组织内部的敏感数据,分析和评估数据生命周期中各个环节面临的安全风险;三是制定数据安全管控措施,制定受保护对象的访问控制规则;四是部署数据安全技术和产品,如加密机、数据库审计、数据防泄漏、云安全代理、统一身份认证等;五是对所有数据进行管理,全面推进对各类敏感数据的管控措施;六是持续适应风险和信任评估,Gartner提出的CARTA方法可以从预防、检测、响应和预测四个方面设计数据安全管控措施,并不断优化管控体系。
5. 微软的DGPC (Data Governance for Privacy, Confidentiality and Compliance)框架
微软提出的DGPC框架是以隐私、保密、合规为目标的整体数据治理方法,该框架区别于传统对IT基础设施的保护,侧重于对存储数据加强持续性防护,数据安全和隐私合规需要通过一套统一的控制目标和控制行为,并经过合理化处理。DGPC框架由组织人员、流程和技术三个核心能力领域组成,可以和现有的ISO/IEC等安全标准协同工作。
中关村网络安全与信息化产业联盟发布的《数据安全治理白皮书 4.0》提出构筑形成管理、技术、运营三位一体的数据安全治理框架,主要包括数据安全组织架构、数据安全管理体系、数据安全技术体系、数据安全运营体系4个方面的方案规划与实施。
上述6种数据治理框架各有侧重,从横向的功能模块,到纵向的流程管理,为国企数字化转型中的数字治理体系建设提供了详细的参考。国企可以结合企业自身的行业特点、组织特点、场景特点等借鉴相应的功能模块与流程控制。
数字治理体系建设的第一个阶段,是要全面、系统地梳理企业自身的数据合规现状以及与企业数据合规相关的政策、法律法规、标准体系,为下一步的工作奠定基础。
基于前一个阶段的梳理,企业股东及董事会层面实质性地参与项目,并根据股东与董事会决策建立或者调整与企业相适应的组织架构,并将数据治理的相关职责进行落实与分配,同时拟定相应的实施方案、政策与宣言。
开发设计数据分类系统,登记有个人数据的数据库、执行数据处理的审批程序,开发和执行所有必要政策、程序和控制。
企业该阶段的主要任务是设计和建立完整的治理结构,让所有利益攸关方(内部利益相关方与外部利益相关方)参与并承诺。
企业对已经建立并执行的数据合规管理体系进行内部审计与外部评估,找出体系运转中的缺陷与风险,并制定进一步的改进计划。
值得注意的是,前述五个阶段仅仅是对数字治理体系实施步骤的简要描述,实际上的步骤要更为详细与具体,所涉及到的具体的人员、技术、制度等也更为复杂。前述五个阶段也并非一个绝对的逐一递进的关系,企业可以根据自身的实际情况对相应步骤进行优化。数字治理体系的建设并不存在终点,而是一个持续性的过程,这一方面由合规体系建设本身所决定,另一方面,企业的生产经营以及外部合规环境也处在不断发展变化的过程中,因此,数字治理体系建设始终存在着评估与改进的环节。
结合相关项目中的实操经验,笔者认为国企在数字化转型过程中,无论采用合何种路径、何种框架与模式、何种步骤来推动数据合规管理体系以及数字治理体系的建设,最根本的仍然是“人”的因素,而“人”的因素又可以拆分为意识层面与能力层面,意识层面包括了决策层的战略意识与执行层面的数据合规意识,能力层面则主要指的是相关管理人才、技术人才、法律人才的培养与引进。若解决好“人”的问题,数字治理体系的建设就更容易成为一个“按部就班”的过程。
[1]转引自《2022年中国企业数字化转型白皮书》,中关村数字经济产业联盟、元年研究院、《管理会计研究》联合发布,第2页。
[2]转引自《2022年中国企业数字化转型白皮书》,中关村数字经济产业联盟、元年研究院、《管理会计研究》联合发布,第2页。
[3]“用信息化技术提升竞争力 国企加快数字化转型步伐”,《人民日报海外版》,转引自国务院国有资产监督管理委员会官网,http://www.sasac.gov.cn/n2588025/n2588139/c27678357/content.html,2023年4月17日登录。
[4]刘明月.国企数字化转型的难点及建议 [J].企业管理,2021(5):3.
[5]“工信安全发展研究中心发布《2022年工业信息安全态势报告》”,搜狐网,https://www.sohu.com/a/641506955_121022246,2023年4月18日登录。
[6]“银保监会2021年首张罚单 农业银行因数据泄露等被罚420万”,搜狐网,https://www.sohu.com/a/448236675_728627
[8]“最高检发布个人信息保护检察公益诉讼典型案例”,最高人民检察院官网,https://www.spp.gov.cn/spp/xwfbh/wsfbt/202303/ t20230330_609756.shtml#1
[9]“个人信息检察保护可适用“惩罚性赔偿””,最高人民检察院官网,https://www.spp.gov.cn/llyj/202209/t20220902_575543.shtm,2023年4月19日登录。
[10]10大互联网不正当竞争案例发布,涉支付宝、腾讯、百度等10公司,凤凰网,https://tech.ifeng.com/c/87yrFLMfjbM,2023年
执业证号:14401200810597414
专注领域:“一带一路”与海外投资、跨境争议解决、跨境电商、新兴科技(人工智能、区块链、数据安全与信息保护)等
全国律协涉外律师领军人才、全国律协外事委委员、一带一路律师联盟广州中心副主任、省律协国际贸易委员会主任,省商务厅涉外经贸法律服务律师团队成员;在涉外法律领域16年的工作中,累积了丰富的实践经验。在数据合规领域,闪涛律师已取得国际认证机构EXIN的DPO(数据合规官)认证,具备在欧盟GDPR项下担任大型企业法定DPO职务的资格,并已通过隐私与数据保护专业考试、ISO27001信息安全考试。
*声明:本微信订阅号对所有原创、转载、分享的内容、陈述、观点判断均保持中立,推送文章仅供读者参考。本订阅号发布的文章、图片等版权归作者享有,如需转载原创文章,或因部分转载作品、图片的作者来源标记有误或涉及侵权,请通过留言方式联系本订阅号运营者。谢谢!
作者 | 闪 涛
初审 | 品牌部
排版/校对 | 江 茳
