7000字长文总结,企业到底应该怎么做数据安全合规?
上周,由Convertlab联合通力律师事务所共同发起的《数字经济时代下,企业数据安全合规思路探讨》直播结束,我们总结了现场来自通力律师事务所杨坚琪律师和Convertlab CPM产品负责人黄杰的精彩观点分享给大家,也可以直接点击播放下方视频查看全部的内容。
▲ 点击上方图片查看视频
01
Q:很高兴今天邀请到两位老师来到Convertlab直播间CC Online,我们看到在今年1月底,上海市首份《企业数据合规指引》已经出台,可以看到现在政府对数据合规非常重视,那么对企业或者品牌方来说数据安全也越来越重要,在这个阶段如果企业没有做到数据安全合规会有哪些影响?
杨坚琪律师:好的,那我先从法律层面来讲一下这个问题。我觉得要从三个层面来看,我们注意到《数据安全法》和《个人信息保护法》都已经相继生效了,对于企业来说,如果涉及到处理数据相关的情况:
第一点是企业本身有需要履行数据安全合规的法定义务,如果没有履行这些法律义务,这些事项本身就会存在违法性的风险;
第二点来说,我们可以看到国家正在加强对于数据安全合规的监管,对于企业而言如果在平时的工作当中,没有把数据安全合规的工作做扎实,当监管部门来临时,应对这些执法活动企业就会非常被动;
第三点,我们也注意到很多企业处理的数据是消费者个人信息的数据,那么这些个人信息数据,在《个保法》生效以后是存在特殊情况的,如果消费者发现自己的个人信息被滥用了或者保护不当被泄露了,有可能会引发群体性的投诉甚至是集体性的诉讼。
所以综合来看,企业履行数据安全合规,还是非常有必要的,对于企业开展各项工作而言也有实际意义。
黄杰:刚刚杨律师从法律风险角度回答了这个问题,我会从企业经营的角度来聊聊。我认为第一点企业在做数据安全合规的时候,前端用户是可以感知到的,比如说企业有没有在自己的官方网站、APP或者小程序里做一些询问用户同意授权的动作,如果这些东西都没有做到合规的话,那消费者对企业的信任好感度都会降低。
第二点,企业虽然做了征询用户授权同意的动作,但是企业没有根据当时的用户协议或者隐私政策,去合规合法的履行相应的责任和义务,比如在数据应用的场景下,想杨律师刚刚说的出现个人信息数据滥用等情况也会存在一些风险。
最后,如果企业还涉及与第三方进行数据合作时,那第三方合作伙伴也会谨慎处理,会拒绝与不合规的企业进行合作。
02
Q:刚刚两位老师都从全局的角度提到企业要面临的挑战和风险,那能否具体以典型行业举例来看呢?比如说金融或者医疗?
黄杰:其实在金融和医疗领域,Convertlab也有一些品牌客户在这两个领域里面。我们可以看到这两个行业的性质决定了他们在经营的过程中,必须要去收集一些用户的个人敏感信息,从这个角度出发,这两个行业的企业应该做到不要过度收集用户的个人信息,做到信息收集的最小必要原则。
其次在收集个人敏感信息的时候,最好获得用户的单独授权同意;最后,因为这个两个行业存储了大量的个人敏感信息,在数据保护上应该做数据加密或者匿名化的处理,我们提倡企业做好数据的分类分级,同时做好企业个人信息保护的影响评估。
杨坚琪律师:对,我很赞同前面黄杰讲到的这些内容。那我再补充一点,我认为从过去的执法态势来看,金融和医疗行业毫无疑问也是中国政府最关心的,对于数据合规工作里面监管最深的两个行业。
比如说在金融领域,其实从2020年或者2019年甚至更早的时候,就曾经出现大量的银保监会对一些银行的罚单或者行政处罚,里面就包括一条是对个人信息的滥用,或者说客户信息的不当泄漏以及非法访问。
还有在金融领域的个人征信信息也是非常敏感的,比如说在银行在提供金融服务的借贷过程中,需要去做征信数据上的处理。包括前两天有看到相关监管部门在下发关于征信修复这样一些虚假信息的情况,总的来说数据合规的监管在金融领域是非常强烈的,相关的监管部门部门也非常重视。
那么在医疗领域,生命健康行业有非常大的特殊性。有一类特殊的数据,叫人类遗传资源信息,这种信息的采集、保存、对外提供都有非常严格的要求。尤其是涉及到跨境传输,对于在中国的外资医药企业而言有非常大的影响。比如说在临床试验过程当中或者药品研发过程当中,如何去合法地利用和传输这些人类遗传资源信息,都是需要去分析的。因为一旦不慎,那么企业就将面临监管部门部门处罚的风险。
(注:人类遗传资源,是可单独或联合用于识别人体特征的遗传材料或信息,是开展生命科学研究的重要物质和信息基础,是认知和掌握疾病的发生、发展和分布规律的基础资料,是推动疾病预防、干预和控制策略开发的重要保障,已成为公众健康和生命安全的战略性、公益性、基础性资源。)03
Q:确实,数据安全合规对各个行业来说都十分重要,现在有一个问题是,很多企业他们也知道他们要做数据安全合规,就是不知道开始着手,这方面两位有一些思路可以分享给大家吗?
杨坚琪律师:那这个问题,要不我先来抛砖引玉一下先回答。我们也给很多企业做了相关的数据合规工作,根据我们过往的经验,首先第一点是要确定工作范围,数据合规是一个比较大的工作,企业里面有很多分支机构,尤其是集团性质的企业,哪些是和数据处理紧密相关的,哪些可能不太会涉及到数据处理的行为,这些我们需要有一个判断,来确定集团公司里哪些是需要去履行数据合规义务的。
在确定好工作范围以后,第二点我们开展一个活动叫做Data Mapping(即数据处理情况的摸底),去了解这个企业到底有哪些数据,这些数据资产类型是什么样的,是由哪些数据结构组成的,存在哪些数据处理行为,去看这些企业要履行哪些法律合规义务,在了解企业数据处理的基本情况以后,我们就完成了摸底。
那么第三点来说就是对这些数据进行法律适用上的分析,我们国内的法律非常多,各个主管部门会有一些规章制度,每个地方还有一些数据条例,有不同的数据保护要求,那在企业来委托我们律师进行法律咨询的时候,了解完了他们有哪些数据资产适用哪些法律之后,我们还要去做的工作是要帮企业梳理和判断,结合企业的实际情况,哪些是我们优先级要先去做的工作,哪些我们可以稍微往后放一点,考虑到企业业务经营的优先级,比如修改哪些文件可能是最优先需要考虑的。
最后,我们要把我们整个方法论得出来的结果,形成一个书面的文档,帮助我们的客户去向公司的管理层做汇报,用这些书面材料来证明企业是履行过这些数据安全合规的义务。以上这些是我们实际操作下来,认为相对可行的一种操作方式。
黄杰:刚刚杨律师更多的是从企业开展数据安全合规的流程规范来展开讲解,我想从企业管理数据的生命周期角度来讲下我的看法。
首先是关于数据的采集,是需要基于消费者或者个人同意来采集的,需要明确企业主体、业务目的等,可能还会涉及到单独同意项。
其次是数据的存储,企业要对数据进行分类分级,还有一些数据加密、匿名化等手段,比如说未成年人的数据应该单独储存。
然后是关于数据的使用,当企业拥有一定体量的数据后,可以进行数据分析做个性化广告投放等营销动作,理论上来说这些都需要基于用户的授权同意来进行,还有在和第三方的数据传输共享上,也需要保证数据传输的过程中是安全的,并且共享数据的动作是获得了用户授权同意的。
最后,企业还需要响应用户对于个人数据查看或删除的请求,比如说用户想要更正或者导出、删除自己的个人信息数据,企业需要在一定时间内去回应用户的请求。那么整个流程走下来的话,企业是需要从系统层面去支持做到数据安全合规。
04
Q:是的,说到系统层面的支持,那我知道Convertlab去年发布了一款数据安全的产品叫做CPM,那大家可能不太了解什么是CPM?它能够在哪些具体场景帮助企业解决数据安全合规的问题?
黄杰:那我简单介绍一下,CPM的全称是Consent & Preference Management,做的是针对用户的授权同意与偏好管理,我们也是基于《个保法》来做的这样一款产品。
我们先说同意管理,就是消费者或者用户去向企业去授权同意,企业对你的数据做一些处理等等。企业需要去管理好这些授权同意,然后再去开展个性化的营销活动。
然后是偏好管理,我举个例子是当企业去与用户做营销的时候,应该是基于用户本身的偏好来去做的,比如说消费者可以告诉企业,希望在什么时间,以什么样的频率,通过哪个渠道,沟通哪些方面的内容?这样企业可以按照用户的意愿来做合理的沟通。
那从CPM产品的功能上来说,会包含以下能力:
1、存储和管理用户的授权同意状态和记录,包括用户当前的授权同意状态与历史变更记录。
2、通过什么样的方式去收集用户的授权同意,比如授权配置工具,网站、小程序的授权界面配置等。
3、记录用户请求信息,比如说用户认为企业的采集不合规,用户有权利查看自己的个人信息,用户向企业发出查看/导出请求时,企业需要进行回应。
4、标准的API和消息订阅能力,能够支持一些引擎规则,对系统里的相关数据做一些预处理。
5、与下游数字化营销系统、数据管理平台打通做集成,现在CPM已经与Convertlab的DM Hub自动化营销平台和Data Hub客户数据平台无缝集成,会保证除了企业本身在前端的统一管理包括后端的数据的管理,以及营销活动等,这整个流程都是合规合法的。
05
Q:我们之前在跟客户的交流过程中,很多客户会担心用户同意授权率下降的问题,那有什么方法能够提升用户授权同意率吗?
黄杰:我可以补充下,有这么几个角度去提升企业的同意率:
1、在合适的时间点去向用户征求同意。过去是习惯把所有的同意项捆绑在一起让用户同意,现在为了应对合规会涉及到一些单独同意的情况,就需要在合适的时机去提问,比如说在用户要下单的时候,提示用户需要采集对方的手机号码用来做后续的服务通知,那么用户同意的概率则会增加。
2、把相关联的同意项合并。这里面包括纵向合并:把不同数据处理步骤下需要的同意收集合并在一起,比如SDK采集的信息,它既要负责收,也要传输给第三方,可以把这两个合并,就不需要再多次获取用户同意。还包括横向合并:基于一个目的,需要收集多个敏感信息的情况下,可以去合并同意项。
3、通过A/B testing的方法来测试。对于授权同意来说,设计的界面可以是有不同的样式在不同的位置,可以通过不断地去调整这些组合进行测试,找到最佳的组合,来提升整体的同意率。
06
Q:那我们知道了如何提升同意率的方法,我还有个问题向请教杨律师,对于企业来说,我有了CPM的系统可以很好的管理数据合规问题,那如果是我在过去得到的用户数据,对企业来说是否需要重新授权?是否存在一定的法律风险?
杨坚琪律师:这个问题确实是我们在做数据合规工作的时候最常被问的问题。目前《个保法》、《数据安全法》也是2021年才开始正式施行,那我们过去很多收集了几千万甚至上亿的数据,比如有的国民级APP可能有近10亿级别的用户数据,那这些数据能不能继续使用?
那我们往回看,在中国的立法法律体系底下,从2012年开始全国人大就有了加强网络信息保护的决定,其中就提到当时网络上的个人信息保护要求,所以不是说我们过往没有法律,在过去也有法律和所谓的知情同意的要求。如果企业当时的数据处理行为是满足当时的合规要求的,我们觉得这不是很大的风险项。
但是在2021年以后,大家需要来重新回顾这些数据合规的事情的时候,虽然有新的法律要求,但并不代表这过往的历史数据处理行为就是不合法的。在法律上也有“法不溯及既往”这样的原则。
所以对于过去的历史数据,我们需要按照当时的情况来判断有没有满足里面涉及到的情况,如果说这些数据处理行为发生了新的变化,过去只是收集,现在还要去分析和处理,进行一些营销上新的业务目的等,是改变了数据处理目的的话,那我们就需要重新再去筛查一遍法律要求。
在这里要特别提一下“数据交易”这件事,目前数据已经是国家鼓励的一种市场要素,那么在数据交易的过程中,我们建议企业千万不能直接把用户的个人信息拿出去做交易,这是非常明显的违法项。
我们的建议是在进行数据交易的过程中,需要通过一些脱敏措施来把这些数据的敏感度降低,比如经过匿名化措施之后,就无法识别到具体的个人,这时候再把脱敏的数据拿去做经营性活动。
07
Q:那讲到这里,想再问下杨律师,现在是否有机构能够认证企业的数据安全合规?就是证明说企业收集的数据在操作层面上是合规的?
杨坚琪律师:现在来看在国内还没有在《个保法》底下所谓的个人信息保护认证出台,虽然现在没有,但是我们可以看到过往有一些ISO系列下面的安全标准,比如说27001、27008等,可以对于自己企业内部的一些数据安全管理情况做一些认证。关于《个保法》的保护认证和这些不太一样,我相信后续政府会有对应的方法来完善这个过程。
(注:ISO27001认证,信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证,一般表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。)08
Q:是的,目前国内数据安全合规也还在发展阶段,那想问下两位对于企业应该如何做数据分类分级的思路?
杨坚琪律师:那我先来说下我们在数据分类分级上的一些经验,首先我们要明确一下在《个保法》和《数据安全法》生效以后,数据分级分类是一个法定履行的义务,只要涉及到数据处理的企业,拥有数据资产都需要做数据分级分类的工作。那么如何开展这个工作,目前确实并没有很多可行的标准来参考,我们可以分享一点经验:
1、根据自己企业所在领域来判断,有没有已经生效的数据分级法律文件来做数据分级分类的参考,比如在工信部领域还是金融领域,在不同的行业都有不同的参考标准。在医疗行业,在2020年的时候出了医疗大健康数据的国家标准,里面有对数据分级分类的指南,就具备一定的参考意义。
2、企业所在行业里没有现成的数据分级分类文件可参考,那么我们就要看这些数据对国家利益、社会公共利益和用户个人利益的影响,如果说是被不当泄露和滥用,或者超出目的使用,可以按照对于国家利益,社会公共利益和个人利益的影响来做评级,在这一点上面国外有一些所谓的classification of law类似的保密法里面也会对这些数据有一些分级分类的要求,我们可以参考这些来做一些相应的要求。
09
Q:对,其实从产品层面上,Convertlab的CDP产品Data Hub也有这样的数据分级分类的措施,这块黄杰可以跟我们具体介绍下吗?
黄杰:没错,Convertlab Data Hub产品其实专门去管理客户数据的平台,在数据分级分类上也做了一些工作,主要有3个能力:
1、数据标记的能力,支持数据表和字段的标记。不同的数据的标记,可以去限制它们在不同的应用场景下的使用,通过一些规范,让整个数据合规合法的去应用。
2、在数据的存储上,可以做一些加密的去标识化的策略,可以根据企业的要求来定义加密策略或者匿名化的策略。
3、数据血缘追踪的能力,可以追踪数据从它数据源头的产生,到中间的加工处理到最后的数据的消费端,那整个路径它是可以被追踪到的,有了这样的能力就可以知道整个数据在它的生命周期中有没有被正确的使用,可以监控整个数据应用流程的合规性。
10
Q:那接下来,我要问一个特别具体的问题,也是很多企业会关心的问题,那就是一份严谨的用户隐私政策,应该包括哪些方面?有哪些注意事项?
杨坚琪律师:这个问题确实我们很多的客户也很关心,那我们在审阅的过程当中也发现了几点共性,可以跟大家聊聊:首先是很多企业容易去模仿头部大厂的隐私政策,他们认为大厂写的肯定是最好的标准,当然这个思路本质上来说没有错,向行业的领先标准看齐,但是在数据合规领域里面会存在一些小小的问题。那就是大厂收集数据和处理的情况和你自己的企业不一定完全一样,比如同样是风控的目的,你要收集IMEI号(不可变更设备识别码),对方也许是收集可变更的Device ID(设备标识符),两者会有完全不同的实践路径。那在这样的情况照搬大厂的隐私政策,很有可能与企业本身的实践情况是不符合的。
然后是第二块,我们叫DSR,Data Subject Rights 数据主体的权利,这一部分是隐私政策里面稍微靠后面一点,但又非常重要和企业实践相关的内容。我们现在可以看到协议里面都会有说,如果用户想要行使基于个人信息相关的权利,有哪些渠道,发邮件、打电话等都可以。这里面的核心问题是,我们发现很多企业前端有这样的说明,在后端并没有这样专门的流程来应对和处理这些情况。
说到底这个根本的问题是企业在写隐私政策的时候不能流于表面形式,一定要真正地把企业内部数据流动的情况梳理清楚,企业的Data Flow Diagram(数据流程图)是怎样的,服务器摆在哪里?最后我们再来改这份隐私政策才是真正的有的放矢。
11
Q:谢谢杨律师的耐心解答,我还想咨询一个数据跨境的问题,Convertlab也有一些国际品牌客户,很关心这个话题,想问在数据跨境存在哪些风险,有没有解决办法?
杨坚琪律师:数据到底怎样合法出去?我们还是得先梳理企业的Data Mapping,以及这些数据的类型和重要程度,比如国家秘密就完全不能出去。
在去年10月的时候,网信办发布了《数据出境安全评估办法(征求意见稿)》,在这里面第一步就要求企业做自评估,直接点说就是要自己评估向境外传输数据的合法性,第二点,数据出境有没有满足相对应的法律要求?这一点稍微介绍下,数据出境有个非常基本的判断,叫“三性”判断,所谓的三性:合法性、正当性和必要性。
企业的数据出境满不满足这“三性”,其实是一种判断维度,那么只有在满足了三性的要求,在技术措施上面,你又能够减少数据出境带来的对于国家利益、社会公益和个人利益的风险,这可能相对在manageable的情况下,可以让这些数据出去的行为。
还有一点要注意的是政府申报的程序,国家还是希望对于数据出境的情况进行政府层面的管控,我们注意到有一个叫做CIIO,关键信息基础设施运营者角色,还有可能就是拥有100万个人信息数据量的企业,如果需要数据出境,必须履行政府申报义务,需要在政府那边走完流程后才能够合法出境。
(注:关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。)所以综合来看,中国的数据出境安全框架,大体会分为两个步骤,一是自评估,二是政府申报程序,我个人判断这些东西可能今年之内就会正式落地,为了配套满足《个保法》的要求。
再次感谢杨律师和黄杰的精彩分享,相信大家收获到了许多数据安全合规的方法与思路,如果有对Convertlab CPM同意与偏好管理产品感兴趣的小伙伴们,欢迎填写试用申请表单联系我们!
Convertlab(上海欣兆阳信息科技有限公司)成立于2015年,致力于搭建数字营销枢纽,一站式营销中台,让企业可以从容应对数字营销,让营销变得简单。
Convertlab以融合“营销科技”和“运营艺术”为特长,基于自主创新开发的Convertlab Marketing Cloud产品,提供专业、便捷、智能的一体化营销云解决方案。借助互联网大数据、人工智能等技术,帮助企业构建贴近用户真实行为的画像洞察。通过营销自动化精准触达和交互,提升客户体验,落地数据驱动的新型营销,实现业绩的超级增长。
Convertlab专注于为企业提供创新的数字营销枢纽SaaS服务,帮助企业的市场人员在一个开放集成的平台上完成客户的发掘和转化,并全面衡量营销效果。至今已为数百家企业提供企业级数字营销服务并获得最佳实践。
通力律师事务所是一家定位于商事领域法律服务的中国领先律师事务所,在业界以坚持“优质服务”、“专业创新”、“专业分工、团队合作”和“注重青年律师培养”著称。其业务水准、专业性一直处于全国前列,历年来一直被境内外法律评级机构评为中国领先的律师事务所,并被中华全国律师协会评为全国优秀律师事务所,被誉为一家提供高质量法律业务、具有创新精神的精品律师事务所,在境内外享有良好的声誉。
为满足客户在合规领域快速增长的法律服务需求, 通力配备了一支经验丰富的合规服务团队。通力大合规团队很早即开始协助企业处理数据和网络安全相关的法律问题, 如离岸服务器设置, 网络日志存储和归档,个人信息的收集和使用,第三方数据供应商合规, 商业秘密和国家机密界限等。2010年之后, 通力团队开始协助国内外企业进行网安数据合规的体检自查与整改项目, 制定数字化营销环境下客户个人信息收集、使用、传输、交换及销毁全过程的合规解决方案。在处理这些案件项目的过程中, 通力团队具备了坚实的梳理立法逻辑链的能力, 这是厘清所有数据隐私保护法律法规的基础。基于这些实务经验, 通力的团队可以为客户提供既符合监管部门要求, 又实用经济的解决方案。
