风物长宜放眼量——漫谈数据合规项目的缘起
2022-06-30
在不久前结束的610“企业合规治理机制”宣讲暨企业合规平台发布会上,演讲嘉宾中的一位提到公安机关组织开展的“个人信息保护措施法律合规性评估试点”工作,关于这一试点工作,某种程度上可关联到目前数据合规领域项目开展的缘起。
点击回顾
“企业合规治理机制”宣讲暨企业合规平台发布会
若为中国数据合规著书立传,2021年可谓是重要的坐标原点,这一年《数据安全法》《个人信息保护法》《深圳经济特区数据条例》等法律法规相继颁行实施。《个人信息保护法》第54条、第55条确立个人信息处理“合规审计”以及“个人信息保护影响评估”两项合规评估制度,《深圳经济特区数据条例》第57条明确开展数据处理活动需要建立健全自我评估机制,从而在立法层面上启动了数据合规的评估进程;另一方面,人脸识别、大数据杀熟、隐私计算等技术热词一次次的与民众日常生活进行互动,由个人信息保护或是数据合规迅速建构的话语体系迅速在社会上落地生根,将其唤以“数据合规元年”可谓当之无愧。
但其实早在两年前,大数据的应用场景已经趋向多元化、场景化,广大人民的“医、食、住、行”已经与以个人信息为基础的数据处理活动紧密关联,与此同时,社会上已存在大量侵犯公民个人信息以及大数据黑产的案件,然而,囿于缺乏可明确遵循的规则指引,监管层面也因难觅有效治理抓手而陷入有限执法疲于奔波的困境。在此背景下,公安机关以保护个人信息安全与合法权益,促进数据生产要素市场化配置及安全有序流动,加强数据资源整合和安全保护,推动数据资产有序流动和价值提升为目标,秉承“社会共治”和“追求善治”的治理思路,着手组建以国内最顶尖的个人信息和网络法学专家为成员的编制小组,编制完成《个人信息保护措施法律符合性评估指引》)(简称“《评估指引》”),搭建个人信息保护的制度依靠,构建具有可操作性的长效机制;同时开展了“个人信息保护措施法律合规性评估试点”工作,即围绕与广大民众日常生活联系最为紧密的行业,遴选相对应的8家行业头部企业作为试点单位,形成以公安机关为指导单位,专家组以及第三方服务机构为核心的评估小组,对试点企业的个人信息处理活动的合法合规性进行评估,验证并完善《评估指引》的有效性,并在此基础上,召集专家学者、试点企业、参与试点律所等单位进一步编制起草《评估指引》的细则,形成了团体标准《个人信息处理法律合规性评估指引》(T/CLAST 001—2021),为企业的个人信息处理活动合规工作提供可落地的实施细则。
这样由监管部门牵头发起的一次先行先试的评估试点工作,秉承着社会共治理念,在借鉴“枫桥经验”推动互联网综合治理、引导企业自律合规的同时,鼓励社会多方参与协同共治,在我国开启了数据合规工作落地的先河。通过监管、企业、第三方机构、学界专家的共同努力,对包括个人信息权利保障、个人信息处理原则以及个人信息和数据安全认证模式进行了大胆且开创式的探索,借鉴国际数据安全与个人信息保护经验,结合我国实际情况进行了大胆且开创性探索,尝试以可问责机制促成企业的实质合规、自证合规,可谓是“于无路处踏出新路”,为数据合规在我国的发展积攒了充足且宝贵的经验,为随后出台的《数据安全法》《个人信息保护法》等一系列法律法规打下了社会基础。
随着《数据安全法》《个人信息保护法》的相继颁行实施,试点工作的重要成果《个人信息处理法律合规性评估指引》也已进行了适配性修订,方便使用者在新法新规下开展个人信息保护合规工作。
历数数据合规项目的过程,也是监管部门与企业构建协同共治机制的过程。通过引入独立和专业第三方进行数据合规评估,有助于搭建企业自律合规与外部监管之间的沟通桥梁,帮助监管部门充分了解企业合规诉求及合规实践水平,企业亦可借此证明其“善意”,从被动合规转变为主动合规,进一步完善企业内部合规建设,主动推动、构建个人信息法律合规生态。风物长宜放眼量,数据合规项目必然有效推动、构建个人信息合规生态!
-
北源首席律师黄亚英系「公安机关“个人信息保护措施法律合规性评估试点”工作专家组特聘专家」。
-
评估试点单位合计8家,北源律所承办其中3家试点单位的“个人信息保护法律符合性评估”工作,评估工作已全部如期验收结项。
作者:候天赐
审稿:植吕梅
(文中观点不代表北源律师事务所的观点或法律意见)
