华夏泰和联合广州互联网协会举办数据合规培训会
2021年11月1日起,《中华人民共和国个人信息保护法》正式开始施行。本法共八章七十四条,明确了个人信息和敏感个人信息的处理规则,完善个人信息保护投诉、举报工作机制,从严惩治违法行为,全方位保护个人信息安全。
再加上《数据安全法》、《网络安全法》等一系列法律、法规、规章、规范性文件和标准共同形成了个人信息保护法律体系。
再加上《数据安全法》、《网络安全法》等一系列法律、法规、规章、规范性文件和标准共同形成了个人信息保护法律体系。
为了帮助企业更好得了解企业数据合规管理的相关内容,5月下旬,由中共广州市委统战部指导,广州市新的社会阶层人士联谊会、广州互联网协会、广州市网络安全产业促进会主办,华夏泰和支持的2022年第三期“羊城e家”——“清风互助”数据合规培训会(算法专题)在七客联创(金融城)国际社区举行。活动围绕《数据安全法》《互联网信息服务算法推荐管理规定》等法律法规,“清朗·2022年算法综合治理”专项行动,以及平台源代码审计、个人隐私保护、数据安全建设等合规风险与重点案例开展分享,邀请了广州互联网企业内容安全、技术等30多名相关负责人参加。
活动邀请了3位专家带来专业分享与详细解读。卫士通数据安全事业部高级咨询顾问周京川就“算法合规政策梳理及解读”展开了线上主题分享。他主要从算法合规政策梳理与解读、个人信息保护合规两大板块开展分享,期间,全面梳理了相关算法合规政策,并对算法安全治理行动与管理规定开展了具体分析,结合《规定》谈事件预防。
活动邀请了3位专家带来专业分享与详细解读。卫士通数据安全事业部高级咨询顾问周京川就“算法合规政策梳理及解读”展开了线上主题分享。他主要从算法合规政策梳理与解读、个人信息保护合规两大板块开展分享,期间,全面梳理了相关算法合规政策,并对算法安全治理行动与管理规定开展了具体分析,结合《规定》谈事件预防。
海云安销售副总裁奉光锡就“算法综合治理介绍”展开了主题分享。他从法规及监管规范,到大家关注的算法综合治理专项行动,到个人隐私合规和源代码审计重点问题,结合案例与具体要求,开展了详尽介绍。绿盟科技集团股份有限公司高级安全顾问胡小立就“数据安全建设体系思路”展开了主题分享。他提出,数据安全建设按“一个中心,四个领域,五个阶段”思路开展,以数据安全防护为中心,关注“组织建设、制度流程、技术工具、人员能力”四个领域,做好“知、识、控、察、行”五个阶段工作。
但是对于企业来说,如何完整地构建企业数据合规管理体系才是关键。
一、企业数据合规风险来源分析
★侵犯个人信息
许多APP在使用之前,会向用户请求各种授权,例如位置信息、通讯录、摄像头、录音权限等。在这种索要授权的过程中,即可能产生侵犯个人信息类的数据合规风险,尤其是通讯录这种私密的数据,当过度收集用户信息时,哪怕用户同意,仍然可能不合规。
★侵犯商业秘密
商业秘密是企业的重要数据,侵犯企业的数据,可能会侵犯企业的商业秘密。比如,客户名单,有时也受商业秘密保护。当通过非法手段获取他人的客户名单时,可能会侵犯他人商业秘密。
★不正当竞争
侵犯他人数据的行为还可能构成不正当竞争,给企业带来涉诉风险。例如“大数据引发不正当竞争第一案”,某互联网公司诉某平台非法获取其用户信息案。
★虚假宣传、虚假广告
此类风险最常见的表现形式,即通过刷单为店铺增加交易量、提高信誉,即人们常说的“刷单炒信”行为。“刷单炒信”意味着“虚构交易”,并利用虚构的交易进行“虚假宣传”,此等行为违反《反不正当竞争法》、《电子商务法》,可能为企业带来行政处罚。
★侵犯计算机/信息网络违法犯侵犯计算机/信息网络违法犯罪
企业数据风险不仅仅会带来民事上的涉诉风险,很多场景下还有可能为企业及管理层带来刑事风险。首先,在数据获取环节,如采用违法方式获取数据,会给企业带来以下刑事风险;其次,在数据存储、管理环节,如企业作为网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正导致违法信息大量传播、用户信息泄露等,可能构成拒不履行信息网络安全管理义务罪。
二、企业数据合规管理该怎么做
企业数据合规需要从前端产品设计合规管理、个人信息管理现状调研与隐私影响评估、个人信息合规体系建设和数据安全管理体系建设四个方面展开,全方位进行企业数据合规管理,满足企业业务需求的同时解决合规的痛点与难点。
01制定方案
沟通企业现状和需求,制定企业数据安全合规化专项服务方案
02 项目启动
双方确定项目组成员,对项目目标、进度安排及项目作业方式及边界形成共识
03 访谈调研
梳理业务、产品所涉及的全生命周期数据流,了解现有协议、政策、内部制度等情况
04 合规化核查
根据梳理情况,对业务、产品进行合规化差距分析,输出风险清单
05 数据安全评估
对大数据平台、运维环节、核心业务等开展合规、治理、安全性评估,输出风险清单
06 整改及体系完善
搭建管理组织架构,制定流程制度,修改或起草协议、隐私政策、治理及能力建设方案等
但是对于企业来说,如何完整地构建企业数据合规管理体系才是关键。
一、企业数据合规风险来源分析
★侵犯个人信息
许多APP在使用之前,会向用户请求各种授权,例如位置信息、通讯录、摄像头、录音权限等。在这种索要授权的过程中,即可能产生侵犯个人信息类的数据合规风险,尤其是通讯录这种私密的数据,当过度收集用户信息时,哪怕用户同意,仍然可能不合规。
★侵犯商业秘密
商业秘密是企业的重要数据,侵犯企业的数据,可能会侵犯企业的商业秘密。比如,客户名单,有时也受商业秘密保护。当通过非法手段获取他人的客户名单时,可能会侵犯他人商业秘密。
★不正当竞争
侵犯他人数据的行为还可能构成不正当竞争,给企业带来涉诉风险。例如“大数据引发不正当竞争第一案”,某互联网公司诉某平台非法获取其用户信息案。
★虚假宣传、虚假广告
此类风险最常见的表现形式,即通过刷单为店铺增加交易量、提高信誉,即人们常说的“刷单炒信”行为。“刷单炒信”意味着“虚构交易”,并利用虚构的交易进行“虚假宣传”,此等行为违反《反不正当竞争法》、《电子商务法》,可能为企业带来行政处罚。
★侵犯计算机/信息网络违法犯侵犯计算机/信息网络违法犯罪
企业数据风险不仅仅会带来民事上的涉诉风险,很多场景下还有可能为企业及管理层带来刑事风险。首先,在数据获取环节,如采用违法方式获取数据,会给企业带来以下刑事风险;其次,在数据存储、管理环节,如企业作为网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正导致违法信息大量传播、用户信息泄露等,可能构成拒不履行信息网络安全管理义务罪。
二、企业数据合规管理该怎么做
企业数据合规需要从前端产品设计合规管理、个人信息管理现状调研与隐私影响评估、个人信息合规体系建设和数据安全管理体系建设四个方面展开,全方位进行企业数据合规管理,满足企业业务需求的同时解决合规的痛点与难点。
01制定方案
沟通企业现状和需求,制定企业数据安全合规化专项服务方案
02 项目启动
双方确定项目组成员,对项目目标、进度安排及项目作业方式及边界形成共识
03 访谈调研
梳理业务、产品所涉及的全生命周期数据流,了解现有协议、政策、内部制度等情况
04 合规化核查
根据梳理情况,对业务、产品进行合规化差距分析,输出风险清单
05 数据安全评估
对大数据平台、运维环节、核心业务等开展合规、治理、安全性评估,输出风险清单
06 整改及体系完善
搭建管理组织架构,制定流程制度,修改或起草协议、隐私政策、治理及能力建设方案等
