企业数据合规尽职调查的流程和要点.docxVIP

企业数据合规尽职调查的流程和要点 作为目前国内在网络数据安全领域最高金额的行政处罚，滴滴事件无疑又一次给各大企业尤其是从事或涉及数据处理活动的企业敲响了警钟。 因在数据领域违法违规而受到主管部门的行政处罚，滴滴公司也并非个例。 从2019年起，网信办等多部门多次对 App 进行检查，通报、下架了一批违规收集、处理个人信息的 App，并采取约谈公司负责人、罚款等措施。 随着网络监管政策的逐渐加强，各省市数据条例的出台（上海、深圳、重庆、浙江等省市的数据条例已经发布，其余主要省市也已发布征求意见稿或将其纳入立法计划在加紧制定），涉及数据处理活动的企业将面临更加严格的数据监管规则。 数据合规一方面成为企业日常生产经营的常态化合规管理工作，另一方面也逐渐成为企业上市、投融资等重大经营事项中监管机构和投资人关注的重点。 想要交好数据合规这张答卷，首先需要对企业涉及数据事项有全面的了解。 通过法律尽职调查对企业的数据处理活动和制度管理进行详细梳理和风险排查是一项基本的工具和手段。 不同于常规的法律尽职调查围绕企业主体资格、股权架构、历史沿革、资产、债权债务、业务、资质、税务、财务、劳动用工、争议纠纷等方面展开，数据合规法律尽职调查侧重于企业的数据处理活动和数据安全管理体系。 在调查方式上，主要包括查阅文件、调查问卷、访谈、走访、公开网络检索、产品体验、与第三方测评机构合作等手段。 下文将结合实践介绍数据合规法律尽职调查的常规流程与关注要点。 一、?调查行业属性，定位主体身份?数据合规尽职调查首先要弄清楚调查对象的行业属性。是专门从事数据处理活动的企业，还是业务中包含大量数据处理的电信、教育、医疗、酒店、金融、科技型等企业；或者仅一般性涉及数据处理的工业企业、能源企业等，区分的意义在于精准匹配相应的法律规定，尤其是针对特殊行业制定的专门规范。 在对企业进行初步调查了解的时候，要重点核查企业是否属于关键信息基础设施运营者、重要互联网平台等特殊角色，以及企业处理的数据是否涉及重要数据、国家核心数据、敏感个人信息等特殊数据类型。 如果存在这些情况，则在后续尽职调查的过程中应对企业的特殊义务予以重点关注。 二、?梳理数据地图，区分流转环节? 对企业的属性和数据类型有了初步了解后，需要进一步梳理企业数据处理活动的详细流程。 按照数据生命周期绘制企业的数据流转地图，以判断数据处理各环节的合法合规性。 以下以列举的方式对数据全生命周期流程中的常见调查重点内容进行说明： 1.数据采集 采集数据的类型、数量、方式是否遵循合法、正当、必要原则； 是否以清晰易懂的方式告知用户处理信息的方式、目的和范围等，是否取得用户同意； 涉及敏感个人信息和未成年人信息时是否取得单独同意； 是否为用户提供便捷的撤回同意的方式； 是否提供查询、更正、补充、删除个人信息的途径，是否易于操作。 2.数据传输 数据传输采取的方式； 传输是否采取技术安全保障措施。 3.数据存储 数据存储的地点，是否涉及境外存储； 数据存储的载体及其安全性，有无备份； 数据存储的期限是否遵循最小时间原则； 是否建立分类分级存储机制； 是否加密存储、设置访问权限； 是否去标识化或匿名化。 4.数据处理 数据处理是否在取得用户同意的处理方式、目的和范围内； 是否涉及委托处理，有无订立协议约定具体权利义务、保护措施； 是否构建用户画像及构建规则和内容； 是否采取自动化决策算法，是否按规定向用户公开算法内容； 是否利用数据分析对交易条件相同的相对人实施差别待遇（大数据杀熟）； 数据加工后的产品数据产权属性及安全保障措施； 是否定期开展个人信息安全影响评估。 5.数据共享 共享的数据是否已履行告知同意规则； 是否采取技术安全措施； 是否对数据共享情况进行详细准确记录并保存； 是否通过内嵌?SDK?共享数据，有无检测、监督措施； 是否涉及数据出境，是否需要通过安全评估、审查认证等； 是否事前开展个人信息安全影响评估。 6.数据销毁 是否建立数据销毁机制； 是否存在超过保存期限未销毁数据的情况。 三、?考察管理制度，检验执行机制?数据安全管理制度是企业践行数据保护的政策和指南，企业是否具有较为完善的数据安全管理制度并实际落地执行是考察企业数据合规的重点关注事项。调查企业数据安全管理制度主要涉及制度文件、人员管理、操作执行等方面，一般包括以下内容： 是否按照规定设置数据安全负责人或组织机构； 是否制定数据安全管理制度，产品有无对应的隐私政策； 数据安全管理制度是否有相应的操作流程，具体如何执行； 有无数据分级分类保护机制； 日常人员管理，例如是否设置权限划分； 是否定期开展数据安全教育培训； 是否定期对数据管理进行风险监测、评估与合规审计； 有无数据安全事件的应急处置预案并定期演练。 四、?直面投诉处罚，起底潜