企业管理数据应有法度

随着互联网和信息技术的发展，企业运营越来越数字化并依赖数据驱动。这一趋势在数据安全领域可能带来广泛的合规性风险。尤其涉及个人数据跨境转移时，将引发不同法域的合规性风险和潜在责任。

“随着5G时代的来临，未来网络生态架构将会是人、机、物共融和万物互联的时代，大数据的安全保护和合法利用的需求将更加迫切。”全国人大监察和司法委副主任委员、中国法学会副会长张苏军在日前举办的第八届中国公司法务年会上表示。

近年来，伴随着数据商业化引起的大数据安全和个人信息案件时有发生。Facebook连续发生多起数据泄露事件；美国信用机构Equifax遭入侵，近半用户信息泄露；抖音国际版收集儿童数据，被美国重罚570万美元……

“数据的广泛应用在给社会带来极大便利的同时，对原有的社会运行、企业运行规则也带来巨大挑战，数据采集、分析、使用的规制问题难以回避，比如对汽车行使监控，能否采集汽车行使数据，采集以后能否对数据进行系统分析、数据如何使用等，都涉及数据当事人的人身和财产权利。”中国政法大学企业法务管理研究中心联合主任叶小忠表示，数据已成为现代企业最重要的资产形态，企业生产经营不断数字化，企业对数据的依赖性越来越强，数据管理成为企业管理的主要基础。

全球法治环境下的中国企业必须高度重视个人数据保护问题，在符合各国法律规定的前提下，最大限度地发挥数据的价值。叶小忠指出，从企业角度来看，对全球数据的统一管理和应用具有明显的经济效益。但数据涉及个人隐私、经济安全、国家安全，数据跨境流动受到法律严格限制，如欧盟的《通用数据保护条例》、我国的《网络安全法》等。

近年来，与个人信息保护相关的政策法规、国家标准相继出台。2017年6月1日实施的《网络安全法》对个人信息保护提出专门要求。2018年5月1日，国家标准《个人信息安全规范》实施；2018年11月，有关部门宣布个人信息保护法已经列入人大立法计划。此次年会上，国家市场监管总局网监司相关负责人透露，《网络交易办法》正在修订中，该法将在消费者个人信息保护方面对企业进行规范，主要聚焦数据收集、删除等问题。

“科技向善，数据有度”是腾讯隐私保护的价值理念。据腾讯公司法务部副总经理王小夏介绍，腾讯搭建起跨部门、跨业务、跨系统的数据和隐私保护团队，希望通过科学规范的安全管理流程和健全的安全技术体系，充分保障用户的知情权，实现用户对个人信息的控制，为用户创造一个安全可靠的在线环境。腾讯遵循合理必要的原则，仅处理提供服务所必要的数据。信息的处理限于明确、具体和合法的目的。

“企业在管理用户数据时，应以遵守法律法规为重要前提，做到管理数据有法度。与此同时，重视数据安全，建立安全可靠的数据保护体系，为用户提供强有力的保护。”王小夏说。

毕马威中国网络与信息安全咨询服务主管合伙人石浩然建议，首先，企业应建立可持续的隐私保护框架，明确隐私战略和目标，保证足够预算，具有执行力的组织以及基于个人信息保护基本原则，注重内部监控与审计。其次，企业需根据自身情况，制定一套可操作性强的隐私保护管理体系实施路线图，在战略、组织、流程和技术等多个层面进行变革，逐步推进相关工作。最后，根据自身情况，建立健全隐私保护管理体系，清晰界定各层级、部门和相关人员的角色、分工和职责。为切实落实合规责任，隐私保护工作不仅需要得到管理层的支持与充分授权，还需要在企业内部调动更多资源，并在业务、法务、合规、信息技术等多部门之间开展更为密切的合作。