银联智策顾问(上海)有限公司(以下简称“智策”)成立于2012年12月7日,是中国银联旗下集大数据分析和应用平台于一体的高科技公司,将人工智能、大数据、云计算等技术与应用场景深度结合,致力于帮助客户建设基于大数据的业务生态,用数据进行科学决策,实现业绩增长、效益提升、流程优化的目标。
智策作为数据要素型企业,多年来深耕大数据产品服务领域,在金融信贷、数字营销、数字洞察等业务场景中积累了丰富的行业服务经验。智策始终把数据安全合规作为展业的底板,牢固树立安全合规意识,优化落实数据分类分级,加强数据源合法合规审查,把数据安全合规贯穿数据供给、流通、使用全过程,在合规流通使用中激活数据价值。
智策在开展大数据产品研发及服务过程中,积累了较为丰富的数据合规实践经验。本文拟通过数据合规法律框架、数据合规管理体系及数据产品合规应用的介绍,分享一下智策在大数据合规应用过程中的一些实践和经验。
“数据三法”构成了我国数据合规的法律基础。数据要素顶层设计方面,2020年3月,《中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》首次在官方文件中明确数据的生产要素地位。2022年12月,《中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》从数据产权、流通交易、收益分配、安全治理等四个方面,对构建我国数据基础制度进行了全面部署。
数据相关立法方面,2017年6月1日,《网络安全法》开始施行,该法作为我国网络安全领域的第一部法律,强调网络运行安全和网络信息安全,并对数据保护、个人信息保护也提出了相关要求。2021年9月1日,《数据安全法》开始施行,对我国境内外的数据处理活动及其安全监管进行了较为全面的法律规制。同年11月1日,《个人信息保护法》正式生效,以集中立法的方式,确定了个人信息保护的核心要求与基本准则。《网络安全法》《数据安全法》《个人信息保护法》并称为我国保护网络信息安全的“数据三法”,随着“数据三法”的发布实施,我国基本完成了数据基础制度的立法工作,并积极引导企业对数据全生命周期的流通开展内部规制。
国家标准和行业规范是数据合规标准的重要补充。除了“数据三法”外,大数据行业的国家标准、行业规范也是数据合规管理相关标准的重要补充。企业内部的数据合规涉及法律体系、组织架构、管理制度、数据质量、技术手段等多个方面,相关合规要求覆盖数据全生命周期的管理。
在众多国家标准中,《信息技术 大数据数据分类指南》《金融数据安全 数据安全分级指南》为数据分类分级提供了相关指引。《信息安全技术 个人信息安全规范》《信息安全技术 个人信息处理中告知和同意的实施指南》等标准为企业从事个人信息处理提供了相关依据和指引。此外,在电信、快递、汽车、电商等特定行业领域也有数据合规相关的国家标准。
2024年9月,国家发展改革委等部门联合印发《国家数据标准体系建设指南》(以下简称《指南》),明确了构建数据标准体系结构和框架的具体建设内容。《指南》构建的数据标准体系结构包括七大类,以基础通用标准为支撑,以安全保障标准为后盾,以数据基础设施标准和数据资源标准为底座保证,以数据技术标准为中间支持,以数据流通标准和融合应用标准为上层服务和应用。随着各种新技术、新模式、新业态的不断涌现,对于大数据及其产业的认识也将是一个不断深入的过程。未来,通过国家数据标准体系的建设,我国数据合规相关的标准也会更加细化和明确。
企业内部要做好数据合规管理工作,需要依托完善的合规组织体系,评估当前数据合规状况,制定数据合规保护策略。在数据全生命周期(包括收集、存储、使用、加工、传输、提供、公开、删除等)中,企业应遵循适用相关法律法规、行业标准和最佳实践,确保数据处理的合法性、安全性、透明度,并尊重和保护数据主体的权益。
数据合规管理体系。数据合规涉及法律、技术和业务流程,需要多部门协作,企业可通过组建跨部门的合规团队,加强不同部门之间的沟通与协作。从行业实践来看,有些企业会在内部设立一个专门组织来牵头数据合规及数据安全保护工作,如,设立信息安全管理委员会、数据合规委员会等组织,由技术部门、数据部门、法律合规部等部门的专业人员等组成,承担公司数据安全合规相关工作的规划、实施,确保数据合规相关管理制度的有效执行,并不断完善(图1)。
此外,我国《数据安全法》《网络数据安全管理条例》要求重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构,并履行相应职能。《个人信息保护法》《数据出境安全评估办法》等法律法规要求处理个人信息达到国家网信部门规定数量的个人信息处理者指定个人信息保护负责人。依据这些法律法规的要求,不少企业会任命数据保护官(DPO),并组建专门的数据安全合规团队,负责企业的数据保护事务,确保数据处理符合法规,对数据泄露等问题进行及时报告,并负责监督和落实数据合规策略的实施。
数据全生命周期管理合规要点。数据采集方面。数据采集目前一般分为企业在业务开展过程中直接收集数据,或根据业务需要采购外部数据源。企业直接收集数据,可对数据的收集来源、时间、类型等进行记录,如,收集的数据涉及个人信息的,需要考虑获取个人信息主体的同意或符合为订立、履行个人作为一方当事人的合同所必需等其他合法性基础。企业采购外部数据源的,则应当对数据供应商及数据来源进行适当核查,并开展数据源合规评估工作。数据采集的评估维度主要有三个方面:一是评估数据采集的目的和范围是否明确合理;二是检查是否获得了必要的同意或其他法律依据;三是审查数据处理活动是否遵循了最小必要原则。
数据加工处理方面。企业开展数据加工处理活动,应当遵守法律法规和强制性国家标准,遵守公序良俗,并对数据处理全流程进行记录,保障数据处理全流程清晰、可追溯。数据加工处理过程中,应根据数据分类分级的情况在内部设置相应的管理权限和应用范围。对于数据分析处理人员、运维人员、审计人员应设置不同的操作权限,并提供必要的培训。
数据存储方面。数据存储需重点关注数据存储的方式,目前实践中主要有两种,一是在本地化数据库存储数据,二是通过云数据库存储数据。无论是哪种方式,都应就数据库的数据安全保护能力进行必要审查。涉及采购第三方数据库存储数据的,应与其签订数据处理协议,并就双方关于数据安全方面的权利义务进行约定。在云端存储数据时,企业必须确保数据的机密性和完整性,防止未经授权的访问和篡改,特别是对敏感数据的处理应采取加密等额外的安全保护措施。
数据的使用和传输方面。对于数据的使用,需评估是否符合收集目的。在数据共享和转让过程中关注相关数据要素流通的合规性。如,涉及数据跨境传输的,应参照国有数据出境的有关规定执行相应的评估、审核流程。此外,还需要配置相应的数据安全管理措施和技术措施,建立内部检查和审计机制,保留日志记录、数据权限变更记录等,避免数据使用过程中发生数据泄露等安全事件。
涉及对外传输和提供数据的,企业应当建立内部的事前审批机制,重点关注对外传输和提供数据的类型及期限、接收方的数据安全保障能力、传输过程的安全措施等,并评估是否可能造成相应的安全风险,设置有针对性的应急预案。同时,数据传输过程中应当采取数据加密等安全措施。
数据删除和销毁方面。数据删除和销毁通常是数据全生命周期管理的最后一环,企业可建立数据删除和销毁的管理制度和操作规程,明确数据删除和销毁的条件、流程等要求并遵照执行。
多年来,智策以数据产品服务为主营业务,在数据产品合规应用方面积累了较为丰富的经验,形成了一套合规应用标准及方法论,并根据数据产品的特点以数据产品的全生命周期做了相应的合规要点分类(图2)。
数据产品交付前。数据采集环节。智策采集的数据源主要分为自有业务数据及采购外部数据源的数据。在开展数据采集工作前,相关数据源引入的牵头部门会同法律合规等相关部门开展数据采集合规评估工作,确保所有采集的数据都符合法律法规的相关规定。采集数据涉及个人信息的,需要根据《个人信息保护法》的要求取得个人同意,并遵循最小必要原则。涉及从第三方数据源采集数据的,需要数据提供方出具合法有效的数据来源合法性证明,相关数据采集共享已取得数据主体授权的证明文件,并对数据的真实性作出说明。双方应签署数据处理协议明确双方的权利义务及法律关系,对数据加工处理形成数据产品的应用范围做出相应的约定后正式开展合作。
数据加工处理环节。智策在对数据加工处理过程中,遵循《数据安全法》等法律法规和行业标准,对数据进行分类分级,设置不同的数据处理权限,严格限制对敏感数据处理的访问权限,只有授权人员才能访问。对于个人信息,按照《个人信息保护法》的要求,在处理过程中严格遵守最小必要原则。对于敏感个人信息,采取更加严格的保护措施,通过数据不可逆加密等方式做好数据去标识化等工作,保护个人隐私。
产品上线评估环节。智策开展数据产品上线前的产品合规评估工作,对于产品的应用场景给出相关的合规建议。同样的数据在不同的应用场景可以发挥不同的价值,对于不同场景的数据产品合规应用标准也不尽相同。数据产品的使用风险同样也取决于应用场景,监管规定对部分数据应用场景已经做出了限制。如《征信业务管理办法》规定,金融机构不得与未取得合法征信业务资质的市场机构开展商业合作获取征信服务,相关数据产品就不能应用于金融机构的征信业务场景。
数据产品测试环节。数据产品测试是数据产品应用前的必要环节,大部分数据产品都需要通过测试才能验证是否符合正式应用的要求。智策作为数据科技公司,也建立了较为完备的数据产品测试系统和流程。对于产品测试,智策需要客户签署保密协议,要求客户对测试涉及的数据、信息和技术资料承担保密义务,相关测试结果禁止用于商业用途。智策也向客户提供数据实验室,测试人员进场前需签署保密承诺书。
客户准入与评估环节。智策建立了业务部门、法律合规部开展客户背景及资质调查的两道审核环节。业务部门需要对客户资质进行初步审查,并按照制度管理要求对客户进行分级分类。法律合规部则需要对客户进行背景调查,分析其可能存在的信用风险、舆情风险等,确保其业务合法且符合公司的合规政策。此外,由于数据产品应用过程中的安全要求,公司也会对客户数据安全保证能力也会开展相关的调查。
服务协议签署。智策建立较为完备的标准合同范本库。对于数据产品相关的服务协议,必须具备取得个人同意条款、产品应用场景备案条款、数据安全保护条款等内容。因为数据产品的特殊性,除了合同内容的审查,正式服务协议签署前,还需要对数据应用场景、数据授权情况以及客户是否会对数据再加工后向第三方提供进行审查。
数据产品交付后。履约过程风险评估环节。智策会开展一定的履约风险评估工作,一方面,对数据调用接口的异常情况进行监测,智策业务管理系统会对数据调用接口的异常情况进行监测,对于调用量异常变化的情况会进行预警,业务部门需要与客户确认异常情况的原因;另一方面,对客户舆情风险进行监控,对于客户经营地址变更、登记注销等情况进行预警。
数据授权检查环节。智策每年开展数据主体授权检查工作,根据公司信息安全管理相关制度,由公司信息安全管理委员会牵头制定数据主体授权情况检查方案。通过现场检查和非现场检查相结合的方式,对合作客户数据授权协议模板、授权流程开展检查工作,并形成检查报告,对检查中发现的问题提出检查建议和整改措施,并按照《个人信息保护法》的相关要求进一步规范公司数据授权管理工作。