作者 | 陈富成 蔡宗秀
“
引言
数据作为新型生产要素,是企业的重要资产。通过对数据的挖掘、分析和利用,能够促进生产方式和企业组织形式的创新,推动产业转型升级,数据合规也成为监管部门的重点监管事项之一。然而,目前仍有许多企业,尤其是非互联网企业,因数据的敏感程度较低或存在侥幸心理,并未进行数据合规工作。本文拟结合非互联网企业的具体数据处理场景,对其重点合规事项进行提示,以期为相关主体的数据合规工作提供一定参考。
01
非互联网行业数据合规现状
近几年监管部门逐步加强对于数据处理的监管。而信息技术、金融等行业因其业务的特殊性,存在处理大量且具有高价值的数据的情形,实践中数据泄露事件频发。因此,相关部门对该些行业出台了多部规范与标准性文件,监管部门也进行了多次整改工作。
除了前述行业外,许多非互联网行业也同样存在数据合规风险。以《数据安全法》规定下的处罚案例为例,根据有关统计,自2021年9月1日至2023年8月31日,物业管理、信息技术、零售、娱乐、医疗行业在数据安全行政处罚公开案例行业占比中居于前五位。
而相关企业被处罚的依据集中在《数据安全法》第二十七条:“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。”
据统计,73.29%的受处罚企业未采取技术措施保障数据安全,60.27%的受处罚企业未建立健全全流程数据安全管理制度。可见,相关企业,尤其是物业管理、零售等非互联网企业并不重视数据安全的建设。由于非互联网企业主要利用传统生产要素作为发展的核心驱动力,对于数据的敏感程度较低或存在侥幸心理,合规投入成本较少。
02
非互联网企业常见的数据合规风险
即使互联网服务不是非互联网企业的主营业务,但数字化技术与生产生活高度融合的当日,非互联网企业都会涉及到数据处理(包括数据的收集、存储、使用、加工、传输、提供、公开)活动,若未履行合规义务,则可能存在相应的风险。非互联网企业常见的数据合规风险包括:
客户个人信息、业务数据泄露
企业在业务经营中,会收集到客户的姓名、身份证号、手机号等信息,并产生一定的业务数据,用于客户画像、商品管理、销售分析、供应链优化、市场预测等。但若未对该些数据采取技术上的保护措施,导致数据存在泄露的风险,可能会违反《数据安全法》与《个人信息保护法》的规定。
例如2023年5月30日,溆浦县某手机店将新开卡客户姓名、 身份证号、手机号码等敏感信息资料数据文档储存在店内互联网电脑桌面上,且对该敏感信息资料数据文档未采取单独加设密码等相应的技术保护措施,存在泄露风险。溆浦县公安局西湖派出所对该手机店处以警告并责令整改。
内控与设备管理不当
大量非互联网企业往往没有建立内部数据安全管理制度,也未曾组织员工的数据安全教育培训,导致各部门员工数据安全意识不强,更有可能引发数据泄露风险。此外,企业通常以办公电脑或租用的服务器来存储数据,但并未采取设置强口令密码或防漏洞措施,导致他人窃取数据的难度较低。
例如2023年3月13日,邵东市某医院没有制定数据安全管理制度和操作规程,没有对单位员工开展正规的数据安全教育培训,没有采取任何防篡改、防泄漏、防侵入等技术措施,没有对采集到的居民个人信息采取去标识化和加密措施,系统存在弱口令密码等严重数据安全隐患。邵东市公安局网络安全保卫大队对该医院处以警告并责令整改。
推广媒介管理不当
企业为了进行品牌推广,往往会有自己的官网、公众号,或者通过小程序销售产品或服务,非互联网企业概莫能外。而使用官网和公众号,因属于互联网信息服务,往往涉及到多项备案义务。而利用小程序销售产品或服务的,则可能收集客户信息,若制定的用户协议或隐私政策不符合相关规定的,也存在被行政处罚的风险。
例如2019年6月17日,河北某出版社的官网虽然在网站主页底部的中央位置标明了备案编号,但是编号未链接工信部备案系统网址。河北省通信管理局对该出版社处以罚款。
03
非互联网企业的数据合规工作
健全公司内控管理
企业应当建立完整的数据安全管理制度。明确数据安全负责人员或部门,全面梳理日常业务运营过程中可能涉及的所有数据类型及具体的信息字段,根据梳理情况和公司的实际业务,制定相关数据分类分级管理制度、权限访问制度、安全事件应急预案制度等内部规章制度,技术上通过安全保护措施、渗透测试等实现制度内容。并对员工开展数据安全教育培训,增强其数据安全的意识。
对外签署相关协议
企业在对外进行采购时,可能涉及到将部分数据传输给供应商,此时应当与供应商约定数据处理的相关协议,明确数据的所有权始终归为企业,并要求供应商提供相应的数据保护措施。
此外,企业另一常见的情形是委托SaaS服务商开发小程序,并委托其处理小程序的数据。此时企业与服务商之间可能构成个人信息委托处理的情形,企业应当事前进行个人信息保护影响评估,并与服务商签订协议约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,对服务商的个人信息处理活动进行监督。
同时,企业小程序向用户提供服务的,应当制定完善的用户协议、隐私政策文件。避免遗漏敏感个人信息、未成年人隐私保护等内容。
完成相关备案工作
企业利用官网、公众号、小程序等开展品牌推广的,还应当履行相关备案手续。例如企业官网、公众号或小程序应当完成ICP备案,若存在提供广告服务、支付交易、会员系统情形,则有可能构成经营性互联网信息服务,需要取得ICP许可证。
此外,根据工信部发布的《关于开展移动互联网应用程序备案工作的通知》,App、小程序、快应用等应当在2024年3月前通过其网络接入服务提供者、分发平台向通信管理局履行备案手续,未完成备案的,将无法上架应用平台并受到进一步处罚。具体内容可详见《移动互联网应用程序备案常见问题解读》(公司内控合规系列)。
相关阅读
声 明
文章仅代表作者观点,不视为安杰世泽律师事务所正式法律意见或建议。如需转载或引用请注明出处。如有任何问题,欢迎与本所联系。
