整合营销服务商
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
湃新闻记者 张慧
10月12日,2022届上海高校毕业生秋季校园招聘会在上海建桥学院举行。澎湃新闻记者 张慧 图
本场招聘会是沪上这一学年举办的首场高校毕业生校园招聘会,标志着对全市2022届高校毕业生的集中就业服务的正式启动。
当日共有980家用人单位进场招聘。上海建桥学院 供图
该活动由上海市教育委员会主办,上海市学生事务中心和上海建桥学院共同承办,共有980家用人单位进场招聘,提供岗位2800余个,招聘需求人数25000多人,活动进场学生数达14000余人。其中,长三角地区企业40余家,临港新片区单位80余家,重点单位160余家。招聘会采用“线上+线下”形式同步举行,无法到场的毕业生,也能在线求职。
上海市教育委员会副主任倪闽景表示,2021年的上海高校毕业生就业工作总体上保持了良好、稳定的状态,取得了不错的成绩。2022届高校就业工作拉开序幕,上海市将与其他兄弟省市共同促进毕业生就业与企业人才需求双向对接,加强创新型人才在行业、领域、区域间优化配置,全方位帮助“五大新城”构筑人才高地。
风雨之中,活动进场学生数达14000余人。上海建桥学院 供图
当日,长三角地区毕业生供需云平台启动。该平台融通了沪、苏、浙、皖地区的就业信息数据(http://www.firstjob.shec.edu.cn/zp/csjzph/index.html),应届生可通过平台投递简历,实现长三角地区“云应聘”。此外,上海市终身教育学分银行战略合作备忘录签署完成。这家“另类”银行集存储、整合学习经历于一体,服务于上海市建设终身教育体系和学习型社会的需要,能够消除校园“围墙”,将学生的求学经历与工作经历连接起来,助力毕业生终身学习。
根据用人单位需求,高校将就业磨合期提前到在校期间。举办方上海建桥学院是上海“促进就业先进集体”,学生就业率在98%、签约率90%以上,本市就业的学生占比超七成。为了确保毕业生都能得到精准高效的就业服务支持,学校把学生就业和人才培养有机融合。比如,物流专业为大一、大二学生提供职业测评、职业生涯规划发展课程,大三设置企业开放日,大四阶段,学校举行招聘会,提供面试指导、简历指导,内部宣讲会等。
责任编辑:高文
校对:丁晓
假已经到来,为普及更多安全知识,1月22日(本周六)晚上8点,惠州市教育局、惠州市消防救援支队、南方报业传媒集团惠州分社将联合推出寒假安全教育“云课堂”。惠州市惠城区消防救援大队工程师张蓬将为大家讲解防火用电安全知识和遇火逃生技巧。希望通过这节“云课堂”,师生和家长朋友可以学到更多消防安全知识,增强安全意识和自救能力,过一个平安快乐的寒假。
安全课收看方式>>>
https://static.nfapp.southcn.com/apptpl/liveToShare.html?id=341692
【温馨提示】
南方+视频直播支持电视投屏。您可以下载南方+客户端,根据下图指引进行操作就可以在电视大屏上收看安全课啦!
2.【点播】如果不能在晚上8时准时收看班会课直播,可以选择点播观看:
电脑点播▼
http://pc.nfapp.southcn.com/25450/6149731.html
手机点播▼
https://static.nfapp.southcn.com/content/202201/19/c6149731.html
【策划/统筹】罗锐 周欢 邹晟红 张蓬 何志远 林丽丽
【文字】谢志清
【拍摄/后期】王昌辉
【作者】 谢志清;王昌辉
【来源】 南方报业传媒集团南方+客户端
来源:南方+ - 创造更多价值
要:大数据背景下,数据合规成为与反商业贿赂合规、出口管制合规等并列重要的合规项目。不论是互联网类型企业,还是其它类型企业,甚至包括政府机构,数据合规都成为企业合规中最重要的部分之一。在刑事责任上,数据不合规主要会导致破坏计算机信息系统罪,拒不履行信息网络安全管理义务罪,帮助信息网络犯罪活动罪、非法利用信息网络罪,提供侵入、非法控制计算机系统程序、工具罪和侵犯公民个人信息罪等。这些罪名涉及到数据来源、存储和使用、流转中的合规问题。本文主要通过识别数据风险、分析实际案例、设置数据合规基本范式来探讨数据合规内容。对于互联网企业日常经营来说,恰当的数据合规可以阻却刑事责任,对于最高检合规不起诉试点地区已经出现信息网络犯罪、数据犯罪类犯罪情况的企业,在提起公诉阶段,可以申请引入第三方监管机制对企业进行专项数据合规以达到合规不起诉的效果。
关键词:企业合规;数据合规;风险识别;合规不起诉
随着大数据、网络技术的不断发展和应用,包括从事传统经营活动在内的企业,都将不可避免的融入大数据的滚滚浪潮,而数据合规也已不再仅是互联网、电子商务等企业需要关注的问题。特别是随着《数据安全法》、《个人信息保护法》等法律的颁布施行,只要涉及到数据、信息的搜集、存储、使用等活动的企业,都需要高度重视数据合规,特别需要重视数据不合规所引发的刑事法律风险。
我国近两年发布了大量有关电子信息管理、数据合规的规范性文件。2021年11月1日生效的《个人信息保护法》、2021年9月1日生效的《数据安全法》、2017年6月1日生效的《网络安全法》,以及散落的各项规范性文件都显示出目前我国并不缺乏数据合规的法律法规基础,但由于规定繁杂且并不统一,效力有差别,导致实践中企业难以识别数据风险并形成规范的数据合规模式。
根据《数据安全法》第三条:本法所称数据,是指任何以电子或者其他方式对信息的记录。数据的范围较为广泛,对于企业日常经营来说,数据收集的风险,主要在于用户个人信息数据的收集和流量数据的收集。
用户个人信息对于互联网企业来说如夏娃之果,获取大量用户信息是互联网企业经营的第一步。个人信息的收集和处理是互联网平台提供交互服务的基础。然而,由于大型互联网平台在电商、物流、营销等领域互相交叉,涵盖了购物、出行、住宿、支付转账、投资理财、公益等数以百计的场景,消费者在大型互联网平台面前越来越成为“透明人”。相当一部分互联网平台的竞争优势正是建立在数据优势基础上,而数据与消费者个人信息密切相关。
不当获取用户个人信息极易触犯法律,例如超范围收集个人信息,强制、频繁、过度获取用户个人权限等等。2020年7月22日中央网信办、工业和信息化部、公安部、国家市场监管总局四部门启动App违法违规收集使用个人信息治理工作,制定印发了《App违法违规收集使用个人信息行为认定方法》、《App违法违规收集使用个人信息自评估指南》等政策规范,以促进互联网企业自查收集用户个人信息数据合规。常见的数据收集风险主要有利用非法软件收集数据和使用不规范SDK两种。
在众多违规收集用户个人信息的行为中,利用非法软件盗窃用户个人信息数据和劫持流量数据这两种行为极易引发刑事法律风险。瑞智华胜及其相关人员曾因利用非法软件收集数据被判非法获取计算机信息系统数据罪,法定代表人周某被判处三年半的有期徒刑,瑞智华胜被判处罚金1000万。[1]
瑞智华胜是互联网新媒体营销解决方案提供商,通过运营自媒体账号与互联网用户互动,利用大数据分析和优质内容制作不断积累活跃用户的数量,以此来提高营销推广范围和营销质量。但2018年瑞智华胜公司涉嫌非法窃取用户个人信息30亿条,涉及百度、腾讯、阿里、京东、新浪和等全国96家互联网公司产品,几乎涵盖了国内核心的互联网企业。
瑞智华胜进行个人信息盗窃的方式,主要是瑞智华胜及其关联公司在与正规运营商合作中,先和运营商签订正规合同、拿到登录凭证,然后将非法程序置入用于自动采集用户cookie、手机号等信息。cookie是用户在运营商上留存的上网记录,通过技术手段技术人员可以从中提取公民个人信息、相关账号密码、搜索的关键词等内容。瑞智华胜非法数据来源包括电信、移动、联通、铁通、广电等11个省市的运营商,这些运营商均与瑞智华胜签署过合作协议。
瑞智华胜曾利用SD程序运行后,可以实现对指定网卡网络传输流量数据包进行获取并解析的功能,对淘宝用户个人数据盗窃。淘宝爬虫程序运行后可以绕过系统保护措施,提取出淘宝订单信息;淘宝加粉程序运行后可以实现绕过系统保护措施获取用户信息,并对指定淘宝账号添加好友等等。在劫持数据后瑞智华胜还会进行爬取、还原等,为了不被发现该公司专门购买了3万多个IP地址用于频繁爬取。
警方梳理瑞智华胜签订过的合同发现,其利用上述非法手段不但给自己运营账号加粉,还承接外来加粉、加关注和提升百度搜词排名等业务。
在互联网类型公司成立初期,使用非法程序和非法软件获取用户个人信息数据能够有效、快速降低经营成本,但这种降低经营成本方式的代价就是触犯法律,彻底摧毁企业的安全生存环境,使企业难以可持续发展。
除利用非法程序或软件收集用户cookie、手机号等隐私信息,SDK作为侵犯用户隐私、流量劫持的重灾区,被网信办等四部门重点执法检查。
SDK指Software Development Kit,即软件开发工具包,是一种标准化程序模块,其主要功能涉及到系统登录,数据收集、统计、推荐,支付,地图应用等等。在App中使用SDK成本低廉,为了鼓励使用其系统或者语言,许多SDK是免费提供给App开发者的,故大多数App开发者会大量使用SDK。
根据南都个人信息保护研究中心2019年发布的《常用第三方SDK收集使用个人信息测评报告》,所选取的60款APP共使用了至少966个SDK,去掉重复项后,60款App共使用了至少113个不同的SDK,使用最广泛的SDK来自头部互联网公司。[2]
但SDK的简便性导致很多企业在APP中直接引用预设好的SDK,而有部分SDK存在随意收集用户个人信息、侵犯用户个人隐私、劫持流量、恶意推送的情况,导致企业经营过程中因SDK私自增加的功能违法犯罪。如去年315晚会上曝光了北京招彩旺旺信息技术有限公司和上海氪信技术科技有限公司开发的SDK存在在用户不知情的情况下,私自窃取用户隐私,包括设备的IMEI、IMSI、应用安装列表、电话、通信记录等等。
另外部分恶意SDK会劫持流量,用户一旦使用,其网络访问路径可能会被劫持到特定渠道,更有甚者,恶意SDK会在后台默默运行,访问用户未曾看过的网站、浏览特定信息。
一旦互联网企业使用了不规范的SDK,在日常经营中也未尽足够的注意义务,可能涉嫌拒不履行信息网络安全管理义务罪,帮助信息网络犯罪活动罪、非法利用信息网络罪等。
据公安部通报,“净网2019”专项行动的成果之一是捣毁了一批为“套路贷”提供技术、数据服务的科技公司。[3]公安机关将对网络“套路贷”犯罪涉及的技术服务商、数据支撑服务商、支付服务商、推广服务商等进行了生态式、全链条打击。其中大数据服务商涉及许多科技公司。
其中某某科技公司爬虫类产品利用非法获取的公民个人信息为互联网放贷机构提供风险测评,案发后,该公司关闭此项业务。
数据处理服务本是高速发展的新兴产业,但一些科技信息公司、数据服务公司、第三方支付公司却沦为网络“套路贷”犯罪工具和帮凶。这其中就有数据服务公司对合作公司审查不严,未做商业伙伴合规的原因。
除了数据处理服务外,还有提供拨号VPS服务的互联网公司,VPS简单来说就是虚拟服务器,基于主服务器利用技术将主机分化成多个具有独立IP地址的服务器系统。对于取得行政许可的提供该服务的互联网公司来说,面临两个风险,一是日常经营不规范存在跨区域“转包”可能涉嫌非法经营罪,二是拨号VPS的销售对象为犯罪团伙或者是黑色产业从业者,可能涉嫌帮助信息网络犯罪活动罪。
《数据安全法》第四章明确了数据安全保护义务。根据该法,利用信息网络开展数据处理活动的企业应当履行数据安全保护义务。
同时《个人信息保护法》专门将个人信息中的敏感个人信息划分出来,将敏感个人信息的处理规则单独作为一章。两高司法解释对“致使用户信息泄露,造成严重后果”的规定,也强调了对个人敏感信息的保护。
2020年3月新浪微博因用户查询接口被恶意调用导致App数据泄露问题,工业和信息化部网络安全管理局对新浪微博相关负责人进行了问询约谈。[4]工信部要求新浪微博尽快完善隐私政策,规范用户个人信息收集使用行为,并加强用户信息分类分级保护,加强企业内部数据安全管理,定期及新业务上线前要开展数据安全合规性评估,在发生重大数据安全事件时,及时告知用户并向主管部门报告。
跟数据安全相关的罪名有拒不履行信息网络安全管理义务罪,在该罪的四类严重后果中,致使违法信息大量传播、致使用户信息泄露可以说是互联网公司最常面临的紧急事态。
《数据安全法》第十九条:国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
《网络安全法》第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
从上述规定看到,我国并不禁止数据交易,在数据流转过程中,容易出现风险的往往是涉密信息流转,其中个人信息流转最容易出现风险。《个人信息保护法》在第五章详细描述了个人信息处理者的义务。对于个人信息来说,销售个人信息要么须经过被收集者同意要么达到足够的保密要求。
虽然我国并不禁止个人信息的数据买卖,但因为个人信息数据买卖门槛较高,在未取得被收集者同意或处理个人信息未达到足够保密要求的情况下买卖个人信息显然涉嫌侵犯公民个人信息罪。
另外在《个人信息保护法》中第二十一条规定了个人信息委托处理的方式,虽然对于企业来说委托处理个人信息数据相比上述两种个人数据处理要求限制更少,但仍需满足一定条件,需要企业在开展数据交易时进行严格的合规审查,否则同样涉嫌侵犯公民个人信息罪。
国内互联网公司特大侵犯个人信息案件为数据堂事件。数据堂成立于2011年,被称为“国内首家大数据交易平台”,该案被山东警方全面起底,从源头公司到中转商再到下游使用者,共11家公司牵涉其中。其中,数据堂多名员工处于链条中信息流转的重要环节。该公司营销产品线在运营时,由资源合作部购入数据,该案某被告之一所在的资源平台部负责接收数据,并将数据放入公司集群。另一被告所在的技术组根据产品组要求,将集群上的数据根据用户兴趣、爱好等分别打上不同标签,之后依据客户需求向其传输数据。多名被告人被判处侵犯公民个人信息罪,其中最高刑期为有期徒刑三年。[5]
在该案判决书中,公诉机关向费县法院提起公诉后,费县法院依法作出了(2018)鲁1325刑初63号补充起诉建议函,建议公诉机关补充起诉数据堂公司为单位犯罪,但公诉机关未予接受。数据堂公司该条产品线高管被认定为主犯,案发后数据堂关闭两条相关产品线。自此数据流转相关产品线成为各互联网类型公司“高压”业务。
实践中还有大数据公司为规避风险,在数据销售过程中,将涉及公民隐私的数据拆分成不同部分,每段均无法识别到个人,到了需求端再自行整合起来,形成对个人的完整数据。这类技术规避行为,事实上亦涉嫌侵犯公民个人信息罪。
《数据安全法》、《个人信息保护法》均分别对在我国境内开展数据处理活动和处理自然人个人信息活动的行为人的应尽义力、责任,作了详细规定,且均在法律责任章节中从民事、行政的角度,对违反相关数据安全、个人信息保护义务的行为,规定了严格的法律责任。对于某些特别严重的违法行为,甚至分别规定了最高可达一千万和五千万的罚款,以及吊销相关业务许可或吊销营业执照等剥夺从业资格的严厉处罚。
我国刑法更是针对非法侵入计算机系统、非法获取计算机信息系统数据、拒不履行信息网络安全管理义务、非法利用信息网络、帮助信息网络犯罪活动等行为,设置了专门的罪名,许多罪名均规定了单位犯罪,某些严重的刑事犯罪,责任人可能会承担最高至七年的有期徒刑。
从以上立法趋势可以看出,国家对于数据安全、公民个人信息保护将采取更加严格的强监管。
而时至今日,数据、信息、计算机系统,早已不为互联网企业所特有。因此,不仅是以数据处理为主要业务的互联网公司,甚至包括大量从事传统经营业务的企业,只要是涉及到数据处理、公民个人信息处理的活动,均需高度重视和建立专项的数据合规制度,或是将数据合规作为企业合规制度中的重要一环,以期最大可能降低自身的民事、行政和刑事法律风险。
从这一角度说,数据合规不仅是保护用户更是保护企业本身。
对于已构成犯罪的互联网类型企业,特别是合规不起诉改革试点地区满足条件的企业,可以向当地检察机关申请企业合规不起诉。对于检察机关来说,数据合规作为企业专项合规之一,对互联网类型企业极具有针对性,且《App违法违规收集使用个人信息行为认定方法》、《App违法违规收集使用个人信息自评估指南》等政策规范可以帮助检察机关对企业合规的有效性进行监督评估。可以说数据合规是优化互联网类型企业营商环境的必由之路,以下为企业提供数据合规的基本范式。
健全的数据合规体系应当包括高层重视、制度建设、合规组织、合规资源、风险评估、流程管控、培训沟通这七个要素。在这七要素中,首当其冲的应当是高层重视。这代表着企业的决策层,认同并坚守合规经营的决心与态度,反映了企业的经营理念,也决定了企业是“真合规”还是“假合规”的问题。
对于高层重视来说,中兴明确了“在商业自由度和商业可持续之间,中兴通讯选择商业可持续”[6]的商业理念,中兴设置了《合规管理委员会章程》,高层管理者只能根据该章程的议事规则和流程参与合规规划、重要规范文件和重大合规事项的决策和建议。并且高层管理者直接对其所管辖业务的合规性负责。
企业决策层应当就数据合规作出统一声明,并在企业内部进行公示,表明态度并使全员知晓。除此之外,企业还应建立具有足够资源和权限的专门合规部门。合规部门的负责人应当是企业中具有较高决策与话语权的高层领导。
对此《个人信息保护法》也作了类似规定。第五十二条规定:“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。”第五十三条规定:“本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。”该法第五十八条甚至规定,对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。
从企业合规评估的层面看,上述声明与机构设置也是反映企业是否切实合规的重要判断依据。
实践中建立数据合规体系应基本包括以下内容。
数据合规制度的内容应既包括企业内部与数据相关的业务描述,也应实时更新有关数据合规的规范性文件。并且应当详细描述合规管理架构和层级,建立合理的合规系统,以及具体的合规条款。企业根据识别出的相应数据风险,在数据合规制度中建立起从数据源头到数据存储、使用再到数据流转的完整合规流程,主要有以下流程。
健全合规组织,设定数据合规人员。对于数据处理部门,企业应设置足够的合规专员,以满足企业数据合规的需要,并需合理确定部门内部个人信息等数据处理权限,实行数据使用权和管理权分离制度。
建立企业数据分级分类制度。在不同的规范性文件中,不同类型数据信息有不同的处理规则,数据处理者有不同的处理义务。例如《个人信息保护法》对个人信息进行了定义,并规定个人信息中又包含敏感个人信息和普通信息。
该法第二十八条规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”
而2020年3月6日,由国家市场监督管理总局、国家标准化管理委员会分布的《信息安全技术个人信息安全规范》也对个人信息、敏感个人信息作了大致相同的规定。
企业在进行数据合规时,则需首先对数据信息依照上述法律规定和行业标准,按照更加严格、全面的标准进行分级分类,以便采取相对应的合规处理流程。对于前述规定中的敏感个人信息,“包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息”,应当被归为更高一层级数据库。
《个人信息保护法》第二章第二节单独规定了敏感个人信息的处理规则,其中第二十九条规定,处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。对于敏感个人信息来说,“单独同意”条款可能意味着互联网企业无法通过一揽子格式条款获取授权处理。那么对于该类型数据属于法律规定的强制合规内容,就应当在日常经营中按照法律规定合规,并保存合规痕迹。
制定统一的数据管理规则。从数据源头开始关注数据质量、数据清洁度,对于达到合规标准的数据录入净数据库,对于有风险数据则不宜与净数据库数据混同。可参考华为数据湖模式,华为在数字化转型过程中提到要提升数据质量,建立清洁可靠的数据源,形成清洁、完整、一致的数据湖,并设置了两种入湖方式,六项入湖标准,用以保证数据质量。[7]
准备详细的补救预案。对于可能发生的信息安全事故,如信息泄露、外部攻击等,设定完整有效的补救措施,并能够设立通道迅速通知数据安全职责部门以及相关行政机关。
《个人信息保护法》第五十四条规定:“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”
该法第五十五条还规定:“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。”
实际上上述法律规定,对于企业数据合规来说,正是企业数据安全动态评估的重要内容之一。企业只有建立动态的数据合规制度,定期或有针对性地不断对企业数据信息进行合规审计与评估,才能真正做到将国家的监管要求内化为企业内部的管理行为,才能真正的防范风险。
具体包括:
事前风险评估。比如对于上述个人信息的处理,企业应当依照法律规定,建立事前的数据影响评估制度并切实履行。企业数据是不断变化的,企业则应当建立相应的数据动态评估制度。只要是属于重点评估范围的数据,都需要进行相应的事前风险评估。
除数据风险评估之外,企业还需在进行相关的数据提供、数据合作方面进行合作方的安全审查。数据收集和数据流转都涉及到第三方商业伙伴,一旦经营中使用不规范SDK或与不合规的商业伙伴甚至是犯罪团伙合作,那么企业将面临极大风险,涉嫌帮助信息网络犯罪活动罪、非法利用信息网络罪等。对第三方商业伙伴进行尽职调查并进行风险提示既可以减少未知风险又可以在第三方企业犯罪时,尽可能切割企业责任。企业对第三方商业伙伴的调查与评估,还应注意书面留痕,保存好相关证据。
事中风险提示。企业数据合规部门,应当定期对企业产品功能、收集使用个人信息情况、第三方插件明细、隐私政策完整性等进行审查并出具数据风险评估自查报告,自查报告应汇总到合规人员或部门审查留档。
事后风险整改。合规人员或部门进行相应的风控推演,对部门作出风险提示,触发法律风险的部门应积极整改,整改过程应当留档备查。
若企业已经被行政处罚,那么企业的风险等级最高,忽略执法检查结果或行政处罚决定书,可能会导致企业犯罪。例如构成拒不履行信息网络安全管理义务罪中规定前提条件,即为“经监管部门责令采取改正措施而拒不改正”。而在合规不起诉过程中,企业执法检查不通过或收到处罚决定书可能会直接导致合规不起诉失败。这就意味着企业若忽略行政机关的执法检查时,犯罪风险大大增加。因此,对于企业而临执法检查或已被行政处罚时,企业合规部门(包括企业决策层)需高度重视,应按要求进行坚决的整改,并对企业整改情况进行评估,以防止由行政法律风险演变为刑事法律风险。
《数据安全法》、《个人信息保护法》均明确规定了支持和要求开展数据安全、信息保护方面的宣传教育。
对于企业数据合规业说,这一工作不仅是法定义务,更是构建数据合规工作体系的重要步骤,以及划分企业责任与员工个人行为的重要判断依据。
近年出现部分企业内部工作人员缺乏合规意识,做出违法犯罪行为,导致公司遭受巨大损失的案件,均一再说明,合规培训宣讲是企业合规理念深入企业内部,企业高层的合规意愿转变为企业员工合规行为的重要工作。
企业在进行数据合规工作过程中,应当定期向全体工作人员开展数据合规培训,向特殊员工如新员工、营销部门、技术人员、高管等展开定期专项合规培训。当合规政策、法律法规发生变化时,展开相应宣传和讲解。并通过签署合规告知书、合规承诺书、组织员工进行数据合规考核、发放合规手册等方式,以增强员工合规意识,规范员工经营行为,建立企业合规文化。
企业在进行数据合规宣传培训时,还需重视相关工作的留痕、留档,员工签署的合规告知书、合规承诺书、合规考试试卷,都是企业进行合规建设和管理,建立企业数据合规风险防火墙的重要依据,可以在员工犯罪时,有效切割企业和员工的责任。
(5)持续数据合规监督和举报
除了在企业建立自上而下的各项数据合规制度以外,企业还需建立内部职工、甚至是客户的投诉举报制度。
对于企业重要部门配备合规专员,定期由合规部组织合规专员单独开会和学习,并要求其注意观察企业数据处理中的相关问题,以便及时发现合规隐患。
同时,企业也应鼓励内部员工及时反映数据处理过程中存在的问题,并畅通内部员工的反映渠道。对举报违规的员工予保密措施并进行嘉奖。同时合规团队按企业实际情况,每半年或每年对企业进行合规审计,根据举报线索和审计结果作出整改建议,对相关人员作出是否纪律处分建议。
对于企业用户方面,企业也应建立用户投诉、举报平台。例如,对于已开发APP的互联网企业,可以面向用户设置投诉举报功能,以便于企业用户就涉及个人信息保护、数据安全等方面的问题,及时向企业进行投诉。实践中,企业的及时主动处理,有利于企业及时化解数据合规风险,掌握主动。
*请认真填写需求信息,我们会在24小时内与您取得联系。
