企業數字化轉型下的供應鏈數據合規
作者:張丹 夏星悅 2022-09-28前言
有一個非常有趣的說法,說我們國家目前正處于“三浪并發”的時代,信息化還沒有做完,就要上數字化;數字化還沒弄明白,就要搞智能化。企業還沒有CRM系統的時候,就要考慮精準營銷;還沒有數字倉庫的時候,就要考慮啟動數據中臺;還沒有ERP系統的時候,就要考慮啟動柔性制造。上海市政府提出要在2022年打造30個制造業數字化賦能平臺,新建40家示范性智能工廠。[1]數字化已不是企業的一道選擇題,而是一道必答題。隨著數字化、智能化轉型的進程加快,企業利用數字技術不斷將生產要素進行優化配置,推動生產方式、業務模式以及組織的革新。與此同時,數據資產在企業的上下游頻繁流動,促進企業效能發展的同時,也帶來數據合規領域的法律風險,本文將就企業數字化轉型下供應鏈中的數據合規問題進行探討。
正文
在不同行業領域的法律規定中,有關供應商的規定比比皆是,如《旅游安全管理辦法》第十一條規定,旅行社組織和接待旅游者,應當向合格的供應商訂購產品和服務;《藥品生產監督管理辦法》第三十二條規定,從事藥品生產活動,應當對使用的原料藥、輔料、直接接觸藥品的包裝材料和容器等相關物料供應商進行審核;《醫療器械生產監督管理辦法》第三十一條規定,醫療器械注冊人、備案人、受托生產企業應當加強采購管理,建立供應商審核制度,對供應商進行評價,確保采購產品和服務符合相關規定要求;《化妝品生產經營監督管理辦法》第二十五條規定,化妝品注冊人、備案人、受托生產企業應當建立并執行供應商遴選制度;《工業和信息化部關于進一步做好新能源汽車推廣應用安全監管工作的通知》第一條(一)款規定,要加強供應商管理,嚴格把控零部件質量,并對零部件質量問題負責;《醫療衛生機構網絡安全管理辦法》第十六條規定,各醫療衛生機構應關注整個網絡全鏈條參與者的安全管理,采購安全的網絡產品和服務,防止發生第三方安全事件。不僅如此,關于供應商管理的規定也在《網絡安全法》、《關鍵信息基礎設施安全保護條例》等網絡與數據保護的專門規定中有所體現。 可見,供應商管理不僅僅是企業的管理課題,也是重要的合規內容之一。在數字經濟時代,企業的供應商不僅包括傳統的供應商類型,還包括云服務商、數據處理服務商、廣告監測服務商、地圖及定位、人臉識別、身份認證等技術服務商,由于供應商類型的不同、企業在合作中所處的地位及合作內容的不同,相應的合作潛在法律風險也不盡相同。我們將在下文逐一探討與分析不同供應商的角色、可能存在的法律風險以及企業在選任此類供應商時的注意要點。
第一部分:供應商的角色及定義
上述角色并非基于某一特定標準進行的區分,僅為企業評估供應鏈中數據合規風險的便利性進行的區分。某一供應商可能兼具不同的身份角色,如物流供應商,既從企業獲取數據,反過來也會向企業提供數據;如技術服務商,也可能為企業實施數據分析處理活動,即同時具備了數據受托處理者的身份。第三方SDK運營者與企業之間也可以有三種關系,一種是企業與第三方SDK運營者分別是單獨的數據處理者,一種是企業委托第三方SDK運營者處理個人信息,一種是企業與第三方SDK運營者為共同個人信息處理者。因而,對于供應商身份的界定,企業可從以下幾點進行判斷,也可參考筆者發布的《臨深谷而知地厚—個人信息“委托處理”、“共享”等關系辨析及合規要點》:
供應商提供什么服務,企業與供應商之間是否存在數據流轉以及流轉的路徑是怎樣的;
流轉的數據類型是否包含個人信息或企業數據(個人信息或企業數據可能構成“重要/核心數據”或“商業秘密”);
供應商與企業之間的合作模式是怎樣的,是否有數據調用接口,是否有功能集成或設置了單獨的訪問賬號;
數據的處理目的是什么,哪方對數據有控制權以及數據存儲在哪里。
第二部分 與特定供應商合作的潛在法律風險及合規提示
(一)云服務商 企業采購云服務產品或服務可能面臨如下法律風險: 云計算服務提供商無證或未在許可范圍內經營的,將導致合同無效; 云服務商人員可訪問客戶數據導致數據被篡改或泄露的風險; 云平臺技術和安全防護能力弱導致的數據泄露或丟失; 云平臺產品或服務不穩定導致的業務中斷風險。 【案例1】2020年2月25日,某盟發布公告稱,公司SaaS業務生產環境及數據遭到公司研發中心運維部一位核心運維人員人為破壞,導致暫時無法向客戶提供SaaS產品。公司預計于當日晚上24點可以對生產環境修復完成以為新用戶提供服務,并預計于2月28日晚上24點前完成對老用戶數據修復工作。實際上直到3月1日晚上8點數據才全面找回,并于3月3日上午9點數據恢復正式上線,業務停擺近8天,給300萬個商家帶來了損失。[2] 【案例2】無證經營云服務:工信部在2018年1月發布了《關于督促互聯網網絡接入服務企業依法持證經營的通知》,其中提到截至2017年12月31日,共147家企業未按前期承諾取得互聯網資源協作服務業務或內容分發網絡(CDN)業務經營許可證,應自覺停止相應經營活動。[3]即,若企業未獲得CDN及其他相關資質時,不得對外提供云服務。 企業可從以下方面對云服務商進行準入審查: 云服務商的征信、經營狀況、歷史業績和服務水平和服務器所處地域等基本情況; 云服務商應獲得的相關許可資質; 能夠訪問客戶數據、能夠收集相關元數據的云服務商員工的穩定性; 云平臺技術、產品和服務供應鏈安全情況,有無既往安全事件發生; 云服務商安全管理能力及云平臺安全防護情況,應調查了解云服務商為滿足客戶網站系統合規及安全控制策略提供的基礎安全措施; 客戶遷移數據的可行性和便捷性; 云服務商的業務連續性。 如企業采用社會化公有云計算服務,應要求云服務商做好系統邊界的隔離,包括與其他租戶業務系統、虛擬機、虛擬網絡、虛擬存儲之間的安全隔離。如企業的數據涉及重要數據及達量的個人信息,或其系統網站的等級保護定級為三級以上的,應優先選擇等級保護定級為更高等級的云服務商; 企業在確定好符合業務需求的云服務商后,應與云服務商簽署合同,服務合同是明確企業與各服務商之間責任義務的基本手段,能夠保護企業和各服務商的合法利益。合同內容應包括: 明確服務部署模式,劃分雙方安全責任邊界,制定服務水平協議,規范雙方的安全權利義務以及安全保密協議等內容; 要求云服務商在合同中聲明不使用有惡意代碼產品或假冒產品,確保云服務商提供的軟件、系統的合法性,并且不侵犯第三方合法權益; 明確資產的所有權/控制權,資產包括(1)企業上傳至業務應用系統的初始數據;(2)企業的業務系統在云平臺上運行過程中產生的數據和文檔,以及(3)企業利用云服務創造出來的有價值的資產(如:軟件產品、發明專利、專有算法等); 明確企業利用云服務創造出來的有價值的資產的知識產權歸屬; 約定個人信息與數據保護方面的條款,如數據存儲地、個人信息和/或數據安全事件發生時的響應方式及責任承擔等; 約定云計算退出服務條件及雙方在退出階段的責任; 明確不得竊取修改企業數據資料。可訪問企業信息或掌握企業業務運行信息的云服務商應與企業簽訂保密協議;能夠接觸企業信息或掌握業務運行信息的服務商內部員工,應簽訂保密協議,并作為合同附件; 約定企業享有合同審計權; 明確云服務商在合同終止或解除時應徹底刪除企業數據信息及所有備份,對企業的數據存儲介質應徹底清理。 服務合同解除或終止后,企業應及時取消云服務商對企業資源的物理和電子訪問權限,并對云服務商是否刪除所有信息進行審計。 在雙方合作過程中,建議企業做到如下內容: 建立云服務審查機制,定期對云平臺上的數據類型、數據量等進行梳理,確保安全機制符合數據安全要求; 建立云服務應急預案,對云服務商處理信息安全事件過程中提供協助; 關注云服務商企業本身的重大變更,以及所提供產品或服務的重大變化,提前做好隨時更換云服務商的預案; 可要求云服務商定期提供云服務報告; 監督云服務商返還數據的過程,并對云服務商返還的數據完整性進行驗證。 除了上述審查要點外,企業還需關注特定領域的合規要求,如《中國人民銀行關于發布實施金融行業標準規范云計算技術金融應用的通知》中規定,各金融機構應確保采用的云計算技術在規劃、實施、運維等環節均符合國家和金融行業技術標準要求;嚴格落實金融管理部門關于外包風險管理、信息技術服務等方面要求;對于發生故障時可能造成公眾資金損失和隱私信息泄露的重要信息系統,不應采用社會化的云計算服務。 (二)技術服務商 一般來說,技術服務商的技術能力滿足企業的需求即可建立合作,但是在某些特定領域,法律對技術服務商提出了特殊的合規要求。如《證券基金經營機構信息技術管理辦法》第四十七、四十八條規定,信息技術服務機構應當向中國證監會備案,備案材料應當包括本機構基本情況、信息技術服務情況、服務對象情況、內部控制情況等相關資料。 具體而言,企業在選擇技術服務商時,可從以下方面進行準入審查: 技術服務商是否具備企業所需的技術服務能力,包括同行業的服務經驗、歷史服務業績,客戶評價等信息; 技術服務商是否存在歷史被訴案件,被訴原因以及判決結果; 技術服務商是否有成熟的項目管理工具,可以有效管理項目并對實時掌控項目進度;是否有完善的售后服務機制。 通過前期的審查,如企業發現供應商可能存在特定潛在風險的,可要求供應商補充材料進行解釋,并可就供應商補充材料仍無法打消的法律風險詳細約定進合同中。企業與技術服務商簽署的服務協議應明確服務范圍、服務方式、涉及的信息系統,各方權利、義務和責任,約定質量考核標準、持續監控機制、異常處理機制、服務變更或者終止的處置流程以及現場服務人員保密要求等內容。 此外,企業還應持續監督技術服務商及相關人員落實服務協議和保密協議的情況: 實踐中,經常會出現由于技術服務商的技術能力的限制或技術難題無法解決,技術服務成果無法達到企業的要求的情況,因而,企業應做好項目出現異常情形以及需要更換技術服務商的預案。如技術服務商協助企業處理數據,企業還應參考下文“數據受托處理者”的相關合規建議。此外,實踐中也曾發生過技術服務商及其員工利用技術優勢或服務權限竊取企業數據,或未經同意私自存儲企業數據加以商用的案例(參考案例3),因此,建議企業可通過相關協議條款設計及協議履行過程中日常監督的方式降低這部分風險發生時的損失。 【案例3】安某任某科技公司的某辦事處主任,負責該科技公司為聯通公司某分公司開發、管理和維護的營銷平臺的售后服務工作。安某接受該科技公司另一辦事處主任貢某的提議,超越職權,通過該科技公司的用戶登錄管理云平臺驗證登錄,違規操作,利用營銷平臺私自投放廣告牟利后,安某與貢某進行分成。法院認為,該二人因違反國家規定,對計算機信息系統存儲、處理和傳輸的數據進行增加操作,后果嚴重,構成破壞計算機信息系統罪。[4] (三)數據受托處理者 根據《個人信息保護法》以及《信息安全技術 個人信息安全規范》的相關要求,企業委托受托方處理的范圍不應超出個人信息主體同意的范圍,企業在委托前,應對數據受托處理者進行準入審查,并開展個人信息保護影響評估。企業應知曉,數據受托處理者作為企業實現數據價值的工具,與數據主體之間沒有直接的交互,受托處理者侵權行為的法律后果將由企業向數據主體承擔,因而企業應對受托處理者進行強監督。 企業可從以下方面對數據受托處理者進行準入審查: 受托處理者的經營狀況、歷史業績和服務水平等基本情況; 有無較完整的內部管理制度規范,如內部員工數據合規培訓制度與計劃、安全事件發生響應規范與流程等; 可接觸企業數據的受托處理者的員工是否已簽署保密協議; 調查了解受托處理者的安全管理能力及安全防護能力,是否已通過相應的等保測評或安全認證,是否達到了行業主管部門的要求,有無既往安全事件發生,必要時可聘請第三方檢測機構進行測評; 受托處理者服務器所在地,是否存在跨境傳輸情形,以及是否有可能將數據提供給外部第三方或轉委托。 選擇數據受托處理者后,雙方簽署的合作協議應注意以下要點: 明確委托處理的目的、期限、處理方式、數據種類、保護措施以及雙方的權利和義務,受托處理者應當按照約定處理數據,不得超過約定的內容; 企業有權對受托處理者的數據處理活動進行監督和審計,受托處理者應予以配合; 受托處理者有義務協助企業履行個人信息/數據處理者的合規義務; 在委托合同不生效、無效、被撤銷或終止的情形下,受托處理者應將數據返還企業或者予以刪除,不得保留; 受托處理者再次委托或分包時,應事先征得企業的同意 如受托處理者擬進行數據出境,應事先征得企業的同意。 在雙方合作過程中,建議企業在以下方面進行重點監督: 企業監督受托處理者的數據處理活動是否在授權范圍內進行; 是否存在轉委托或分包的情形; 是否存在技術或管理上的數據安全風險; 受托處理者是否在委托事項終止后將數據予以返還或實施了不可逆的刪除。 (四)數據提供方 企業在接收數據時,應對數據提供方的數據來源進行必要的審核,防止來源不合法而導致數據不可用或承擔民事、行政、刑事法律風險,包括重點審查:(1)數據來源的獲取手段合法合規,不存在突破權利人設置的技術保障措施、非法竊取計算機系統數據等方式獲得數據;(2)如涉及個人信息,應確保數據提供方獲得個人信息主體同意或存在其他合法性基礎,可提供給數據接收方供數據接收方在其使用目的及范圍內使用該等數據;(3)如數據提供方分享的數據存在上游數據來源方的,應確保數據提供方不違反與該上游數據來源方的協議約定向數據接收方提供數據。 【案例4】某數據科技公司主要與各網絡貸款公司、小型銀行公司合作,為前述客戶提供需要貸款的用戶的個人信息及多維度信用數據。具體而言,該數據科技公司將其開發的前端插件嵌入網貸平臺,當網貸平臺用戶使用網貸平臺App借款時,貸款用戶需要在該數據科技公司提供的前端插件上,輸入其通訊運營商、社保、公積金等網站的賬號密碼,經過貸款用戶授權后,該數據科技公司的爬蟲程序會代替貸款用戶登錄上述網站,進入其個人賬戶,爬取上述網站上貸款用戶本人賬戶內的各種數據,并按與用戶的約定分享給網貸平臺用于判斷用戶的資信情況。該數據科技公司雖然與個人貸款用戶簽訂有《數據采集服務協議》,其中明確告知貸款用戶“不會保存用戶賬號密碼,僅在用戶每次單獨授權的情況下采集信息”,但其違背了該協議約定,未經用戶許可,通過技術手段長期保存用戶各類賬號、密碼在其租用的云服務器上。最終,該數據科技公司與其法定代表人、技術總監被判侵犯公民個人信息罪。[5] 【合規提示】企業應判斷數據提供方是否有取得所提供數據的具體場景,如某技術公司持有電子商務平臺的個人數據,企業就要審查該技術公司是否是電子商務平臺的運營主體或關聯機構,其取得并對外提供該等個人數據的行為是否符合合法正當必要原則,是否已取得數據主體的同意并且覆蓋了數據接收方的數據使用場景與范圍,是否可能違反該公司與數據來源方的協議約定等。 【案例5】深圳云天勵飛技術股份有限公司首次公開發行股票并在科創板上市申請時,審核委向其問詢“人工智能技術所需的大量數據來源”時,深圳云天勵飛技術股份有限公司回復:報告期內,發行人獲取數據方式主要包括向員工采集數據和向專業數據供應商采購。其中,發行人與數據供應商簽訂的采購合同約定了供應商必須遵守關于采集人臉面部信息的法律規定,須確保采集方式合法合規,因供應商違反法律規定所產生的責任由供應商自行承擔,發行人在數據合規層面沒有連帶法律責任。 【合規提示】企業起碼應要求數據提供方給出書面承諾,承諾內容包括但不限于:數據來源合法合規,數據處理符合法律法規和政策要求,且愿意對數據共享/轉讓行為承擔法律責任。 (五)數據接收方 根據《個人信息保護法》,企業對外提供個人信息時,需要向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意,因而,企業應判斷對外提供個人信息的必要性和合理性,如非履行合同所必需,應注意通過何種方式取得個人單獨同意。實踐中,個人信息處理者會通過脫敏、去標識化手段將個人信息處理到一定程度上不能識別到個人再行對外提供,從而規避取得單獨同意的法律要求。 【案例6】某些“大數據征信”公司,他們本身的數據合規問題當時沒有暴露出來,在內部也有相應的管理制度。之所以警方關注到他們,是因為這些公司將數據提供給下游后,數據的流向不可控,很多數據流到了非法的放貸/催收機構,警方從非法放貸/催收機構所持有的個人信息倒查數據來源,進而查到“大數據征信”公司通過誘導借款人提供賬號再使用爬蟲技術取得借款人的電商數據、公積金信息、社保信息、學歷信息、外賣信息、保險信用卡信息、法院信息等再行對外出售。 【合規提示】 企業作為數據提供方,在對外提供數據時,應注意審核數據接收方是否具備相應的數據保護能力和水平,尤其是否已通過等保測評及安全能力認證;是否已經建立了行之有效的內部管理制度;是否近兩年無重大數據類違法違規記錄;其數據系統服務器是否在境內;是否可能超范圍使用數據或將取得的數據用作違法行為。 此外,企業與數據接收方簽署的協議中應明確接收方處理數據的目的、期限、處理方式、數據種類、保護措施以及雙方的權利和義務,以及接收方應按照協議約定處理數據,如超過約定的處理目的和范圍處理個人信息的,應自行再次取得個人信息主體的同意;雙方亦可進一步對數據接收方使用、加工數據所形成的衍生數據的的數據利益歸屬和知識產權權屬進行約定;同時,企業應注意在協議中明確,數據提供后,數據接收方違反協議約定的行為所導致的任何法律后果由接收方自行承擔。 (六)第三方SDK運營者 【案例7】Zoom安全事件始于2020年3月26日,美國科技媒體Motherboard指出,Zoom的iOS版客戶端內嵌的Facebook SDK會向Facebook傳送用戶的手機型號、時區、城市、運營商以及廣告唯一標識符等信息。Zoom隨后在其發布的聲明中表示,內嵌SDK與Facebook共享的信息不包括參會者個人信息,而是用戶設備相關信息,包括操作系統版本、設備時區、磁盤空間、屏幕大小等。但從個人信息的概念出發,當這些設備信息與其他信息相結合,能夠識別用戶身份,或反映用戶活動情況時,也將構成個人信息。個人常用設備信息,包括硬件序列號、設備MAC地址、軟件列表、唯一設備識別碼等信息也屬于通常意義上個人信息的范疇。 【案例8】某公司研發有一款廣告SDK,其向手機商推廣廣告SDK業務。后該公司提供廣告SDK工具包,手機商將廣告SDK工具包預裝到智能手機系統中,并使廣告SDK獲得系統權限。裝有廣告SDK的手機在用戶首次開機聯網時,廣告SDK即通過互聯網與后臺服務器連接,在用戶不知情的情況下向后臺服務器上傳IMEI、IMSI等用戶信息、自動更新廣告SDK版本等,并根據與手機商達成的運營方案通過服務端對推送方式、內容及頻率等進行配置,向用戶推送商業性電子信息,從而產生廣告費收入,后該公司以安裝臺數或廣告費收入分成的形式向手機商支付費用。法院認為,該公司相關人員以牟利為目的,違反國家規定,采用技術手段非法控制他人計算機信息系統,情節特別嚴重,構成非法控制計算機信息系統罪[5]。 企業集成第三方SDK的法律風險: 第三方SDK可能實施惡意廣告及廣告刷量、安裝惡意軟件、修改數據、竊取隱私、超范圍收集個人信息等行為。如在用戶不知情或誤導用戶的情況下,隱蔽竊取用戶的通訊錄、剪切板、短信息中的個人敏感信息,隱蔽進行拍照、錄音的敏感行為;以及向用戶推送過量廣告,長期占用系統通知欄、屏幕界面,干擾用戶正常使用APP。 企業可從以下方面對第三方SDK進行準入審查: 來源安全性評估,包括但不限于第三方SDK的基本信息、溝通反饋渠道、隱私政策鏈接地址、安全能力、基本功能、版本號等。 代碼安全性評估,包括但不限于是否存在已知的惡意代碼,是否存在已知的安全漏洞,是否申請敏感權限,是否嵌入了其他SDK等。 行為安全性評估,包括但不限于調用的敏感權限、目的和頻率收集的個人信息類型、目的和頻率,個人信息回傳服務器域名、IP地址、所在地域,是否存在熱更新行為及熱更新是否可主動關閉,傳輸數據是否加密,是否存在單獨收集用戶個人信息的界面,是否存在后臺自啟動和關聯啟動后收集個人信息的行為,是否強制捆綁無關功能并以此為由申請無關權限或收集無權個人信息等。對SDK申請使用權限進行審核,確保其申請的權限具有明確、合理的使用目的,且與APP業務功能直接相關。 企業App嵌入可收集個人信息的第三方SDK時,應選擇滿足業務功能所需最少量的SDK。企業與第三方SDK簽署的協議內容應明確雙方的個人信息處理規則和保護責任,包括∶ SDK收集個人信息的目的、方式、范圍; SDK申請的系統權限和申請目的; SDK收集個人信息的保存期限、停止嵌入后的個人信息處理方式; 個人信息安全責任和保護措施; SDK是否存在熱更新機制; SDK是否存在自啟動、關聯啟動; SDK收集個人信息是否涉及向境外提供; SDK協助App響應用戶個人信息權利請求的措施; SDK承擔的責任和義務。 企業可從以下方面對第三方SDK進行過程監督: 對集成后的SDK進行持續動態監測或定期進行安全評估。對于已經發現的SDK安全漏洞,及時修復,或者采用其它替代方案,并從SDK官方渠道及時更新最新版本SDK。對于已經發現存在惡意行為的SDK,及時停止使用。 通過接口調用SDK功能的,對接口增加鑒權機制。 監督SDK的個人信息收集行為是否超出約定或用戶同意的范圍,是否存在違法違規收集使用個人信息行為。 由于企業需向用戶告知嵌入的第三方SDK名稱、SDK收集的個人信息種類、使用目的及申請的系統權限、申請目的等,并取得用戶同意;因而SDK應確保向企業披露的內容與實際情況保持一致。企業在停止使用某SDK和/或雙方的協議終止或解除時,應及時從代碼中移除該SDK的相關代碼,并敦促SDK按照合作協議的約定,刪除個人信息或作匿名化處理。 (七)數據交易服務機構 數據交易服務機構依托數據交易服務平臺,為數據供需雙方提供數據交易服務。數據交易服務機構應建立規范透明、安全可控、可追溯的數據交易服務環境,制定交易服務流程、內部管理制度,并采取有效措施保護數據安全,保護個人隱私、個人信息、商業秘密、保密商務信息。數據供方和數據需方可自主選擇數據交易服務機構,并與其就服務內容、方式、費用等簽訂協議。企業在選擇合作的數據交易服務機構時,可從以下方面進行準入審核: 是否為無違法違規記錄的境內合法設立組織,是否已得到行政主管部門的授權或許可; 是否建立了數據交易服務安全管理制度和操作規程,包括對數據交易操作人員的管理在內的自律管理規則、信息披露規則、數據交易規則及流程等; 數據交易服務機構有無具備提供安全可信、管理可控、全流程可追溯的數據交易環境的能力,如所提供數據交易服務平臺是否通過等保三級,服務器是否部署在境內;是否采取了數據加密傳輸/存儲、訪問控制、數據操作的可追溯、必要的數據備份以及對數據交易行為進行記錄。 此外,企業擬進行數據交易時,可選擇依法設立的數據交易所(平臺)進行數據交易,也可選擇自行交易。目前已設立的數據交易所在交易類別、交易方式、技術支撐等方面有差異,因而如企業選擇數據交易所進行數據交易,應考慮該數據交易所的資質,擅長的數據交易領域,可提供的數據交易配套服務以及具體的交易規則,來評估是否匹配企業擬進行的數據交易品種。 針對數據交易行為本身及數據交易相對方的選擇問題,數據交易主體除了關注上文提到的數據提供方和數據接收方的準入審核要點,還要特別關注以下內容: 審查交易的數據是否適合交易,法律雖不禁止個人信息的交易,但實踐中數據供方無法取得個人的單獨同意,因而交易數據中如有個人信息,應通過去標識化等方式去除識別特征; 數據需方除了審核數據來源合法、正當,不侵犯權利人的合法權益,還要審核數據是否真實、準確,是否滿足交易的目的,可要求數據供方提供數據樣本進行確認; 明確數據交付方式是線上交付還是線下交付,直接交付還是托管交付,一次交付還是多次交付,數據交付后數據需方是否可向第三方再次流轉; 對于交易數據所產生的衍生數據如何進行權屬和利益的分配; 明確數據需方的具體使用范圍和目的,數據供方可要求數據需方對交易數據的使用行為進行記錄,以供數據供方必要時進行審計; 數據交易主體簽署的交易合同中要明確數據內容、數據用途、交付質量、交付方式、交付金額、交易參與方安全責任、交付結束后的數據處理、發生侵權事件的責任分配以及保密條款等。
第三部分 供應商的資質要求
除了上述準入審查外,企業還應考慮特定行業或特定主體的法律要求,如根據《關于促進智能網聯汽車發展維護測繪地理信息安全的通知》,智能網聯汽車在運行、服務和道路測試過程中對車輛及周邊道路設施空間坐標、影像、點云及其屬性信息等測繪地理信息數據進行采集、存儲、傳輸和處理的,數據處理者應取得相應的測繪資質。企業采購汽車服務商或智能駕駛軟件提供商的該項服務,應確認其是否已取得測繪資質。此外,企業采購云服務時,則應確保云服務提供商具備可覆蓋其所提供服務的業務種類及范圍的《增值電信業務許可證》以及通過網絡安全等級保護認證。 又如根據《網絡安全審查辦法》,關鍵信息基礎設施運營者采購網絡產品和服務,影響或者可能影響國家安全的,應當進行網絡安全審查。網絡安全審查的重點包括:產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或者破壞的風險,業務中斷的風險,以及核心數據、重要數據或者大量個人信息被竊取、泄露的風險等。
第四部分 合規建議
為了降低企業在數據化轉型時的合規風險,實現安全、有效的數據利用與流通,需要將供應商的選擇與有效監督融入進企業數據合規管理體系建設與評價流程中。對此,我們建議: 建立供應商管理規范,公開透明的供應商選擇標準,明確供應商應符合的安全基線、淘汰指標等; 設立必要的監督機制,避免利用市場優勢地位向供應商濫收通道費等不合理費用,避免商業賄賂和其他腐敗行為,維護供應鏈各企業的公平競爭; 以合同、協議等方式與供應商約定數據的使用目的、使用范圍、保密約定、安全責任等內容; 對合作過程中接觸數據的人員進行審批、登記及管理,并要求簽署保密協議,定期對相關人員行為進行審核; 定期對供應商數據處理活動的安全風險和供應商數據安全管理能力進行評估,不符合條件的應執行退出、替換機制避免為利益相關方帶來損失; 建立供應商應急響應機制,對合作過程中的數據安全事件及時響應,并為供應商提供必要的技術、人員等資源支持; 注重與供應商的長期合作,協助供應商解決數據安全和個人信息保護方面面臨的困難和難題,建立互信共贏的合作關系; 查看供應商內部安全培訓和數據安全規范,以確定其數據處理中將涉及的系統軟件、流程、人員、數據種類以及數據保護控制措施; 通過問卷調查或者外部審計來識別較高風險的供應商,例如處理大量個人數據和/或個人敏感信息的供應商; 了解供應商的業務連續性計劃與災難恢復計劃以及個人信息安全事件應急預案情況; 監督供應商執行隱私政策和安全性指標的狀況,形成報告以評估供應商的數據安全管理制度的實施質量。[6] 企業在數字化轉型中追求的網絡安全和數據保護,它并不是一個絕對安全的概念,而是一個相對安全的概念,安全與合規只有起點,沒有終點。
注釋 [1] 龔正市長在上海市第十五屆人民代表大會第六次會議的政府報告(2022年), https://www.shanghai.gov.cn/nw12336/20220125/c1905a92364e418f96bb785c5ce97f5e.html,發布日期:2022年1月25日,訪問日期:2022年9月14日。 [2] 微盟“刪庫”事件全復盤:系人為破壞,目前數據已全面找回-騰訊科技-2020-03-02 [3] 江蘇省南京市雨花臺區人民法院(2020)蘇0114刑再1號再審刑事判決書。 [4] 浙江省杭州市西湖區人民法院(2020)浙0106刑初437號一審刑事判決書。 [5] 浙江省平湖市人民法院(2019)浙0482刑初407號一審刑事判決書。 [6] 中國網絡安全產業聯盟技術規范《數據安全和個人信息保護社會責任指南(征求意見稿)》
