2020年《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》明确指出数据成为五大生产要素之一,不可忽视的是,数据已经作为生产要素,深入各行各业,传统行业也不例外。
考虑到传统行业对数据合规重视程度有限,人才及技术储备不足,笔者结合合规经验,为传统企业如何看待数据合规工作,并如何根据自身情况,因企制宜地践行数据合规义务提供一些建议。
一、传统行业亦应重视数据合规
我国数据保有量持续扩大,数据的价值愈发得到市场的重视,数据保护成为了热点。同时,以工信部、网信办为典型的监管部门,也持续加强对数据及个人信息权益的关注及保护,如何践行企业的数据合规义务,在妥善保护数据及个人信息权益的基础上,有效开展数据治理、盘活数据资产成了企业经营发展过程中的重要问题。
但是从现状来看,不同行业在数据合规工作中的投入也有明显区别。金融业、电信、互联网、医药医疗等行业中的企业,对数据合规的关注度往往较高。相关法律法规、国家标准,亦集中于前述领域,譬如,近年公布的《网络安全标准实践指南——网络数据分类分级指引》《证券期货业数据分类分级指引》《药品记录与数据管理要求(试行)》等文件均属此类。相较而言,餐饮、房地产等传统行业,对于数据合规的关注就较为有限了。
这是不是意味着传统行业就可以无需关注数据合规领域,省略经营管理过程中的数据合规工作呢?实则不然。以工信部19年10月发布的《关于开展APP侵害用户权益专项整治工作的通知》(工信部信管函﹝2019﹞337号)为例,根据与337号文相关的通报来看,针对APP,只要是用户关注度高、投诉多的APP,在整治工作中就会开展持续的检测。同时,自动化检测系统的运用也是整治工作的特色,针对不同行业不存在执法减码的情况。就依照337号开展的前5批整治工作的通报情况来看,累计通知整改的539款APP的类型分布如下所示,不难看出,哪怕是传统行业,在执法活动中所受的关注及通报并不比其他行业少。考虑2020年7月,工信部进一步发布了《关于纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函﹝2020﹞164号)继续深入开展专项整治工作,传统行业中的企业更应当及时补足短板,开展数据合规工作,避免因通报及处罚影响业务连贯性及企业声誉。
二、合规与监管
考虑到传统行业中,餐饮行业目前在点餐、外送、物流及人员管理方面,均已与数据及互联网紧密相联,但企业内的人才及技术储备又明显相照其他行业较为不足,下文将以餐饮企业为例,对传统行业如何开展数据合规工作提供建议。
合规首先应当从了解监管入手,只有了解监管的动向,才能确保企业的经营管理不触及监管红线。以餐饮行业为例,19年至20年,整治行动伊始,监管的重点主要是针对在应用商店独立上架并安装的APP。但随着监管活动的深入,针对小程序的专项治理也在启动,以海南网信2021年11月的违规通报为例,小程序的违法违规收集使用个人信息也因通报进入公众的视线,其中就包括3款餐饮类小程序。国家层面也正是在22年8月公布了有关小程序的通报案例(《关于侵害用户权益行为的APP通报》2022年第5批,总第25批),其中西贝莜面村、满记甜品、避风塘港式茶餐厅等5家餐饮企业的小程序在列。
从这些监管案例来看,监管仍然集中于识别APP是否违法违规收集使用了个人信息,核心依旧是围绕《App违法违规收集使用个人信息行为认定方法》展开审查。针对这一部分,结合对监管的持续关注,并通过对新征求意见的国家标准的运用【如《信息安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南(征求意见稿)》】,是可以保障达到监管要求的。在我们工作过程中,就持续参与深圳市律协数据合规委的法规汇编及法律资讯,通过定期的更新及整理,可以确保对监管环境的最新情况有清晰的了解,从而能更好地帮助企业防范风险。
三、合规与体系建设
通过对监管及法律法规的了解,企业对合规风险已经有了基本的认识,这时候就需要通过合规体系建设,实现外规内化,让企业在经营管理过程中将合规风险真正防范起来。这一个环节实际上是十分重要的,企业作为个人信息处理者,依照个保法的规定所涉的主要合规义务就有15类。而作为数据处理者,依照数安法规定的主要合规义务也有8类。(如下表所示)
需要了解的是,现行规定已明确了上述部分法定义务需要企业建立对应制度,而企业如果没有建设这些制度,比如内部管理制度、应急预案,这本身就是违规行为。而对于没有明确规定要建立制度的义务,在合规工作的过程中,其实也是需要通过管理来予以落实的。在管理中,如果公司没有生效的制度作为依据,实际上,具体落实管理工作的管理人员是没有工具较好地落实合规义务的,极端情况下,甚至可能导致劳动纠纷并在纠纷处理中处于被动。换言之,履行数据合规义务,并不豁免公司在劳动管理方面应尽的法律责任。因此,从依法合规管理的角度,也是建议建立制度的。
换言之,这些合规义务,只有通过合规体系建设,实现制度化、流程化、标准化,才能使得企业以较低的成本予以落实,人员流动不会影响现有的合规工作,立法及监管政策变动后也能及时调整、叠加。反之,如果合规义务的落实是通过一事一议、亡羊补牢的方式进行,是很难确保各项合规工作之间可以形成合力,甚至可能存在矛盾。在发生人员流通、监管政策调整的情况下,企业很可能将花费大量的人力物力重头再做合规工作,既不经济、也不高效。
当然,如何建立好的合规体系,也是重要的问题。根据我们的观察,优秀的行业实践其实都是结合自身实际情况,因企制宜地建设合规体系。总体逻辑上可以将制度划分为战略合规、基础安全合规、数据全生命周期合规三个横向的领域,比如合规方针属于战略合规,分类分级属于基础安全合规、采集及存储属于数据全生命周期合规。再比如,数据分类分级、监控审计及安全事件应急就属于基础安全合规的内容可以作为数据全生命周期安全能力的基本支撑。再根据制度文件的颗粒度,由高到低分为三级或四级,分别对应基本原则或政策、通用的制度、具体业务指南及执行过程中的表单性文件,比如日志、清单、申请表。
四、合规与应急处置
应急处置是合规工作的重要部分,所谓应急,是指通过建立数据安全应急响应机制,确保数据安全事件发生后可及时止损,保障业务安全、稳定运行,最大程度降低数据安全事件所带来的影响。考虑到数据安全事件的发生具有偶发性,有效地完成安全事件的应急处置就尤为重要。良性的应急处置可以使得合规风险及时消除、合规漏洞及时填补。下文,将以投诉及问询处理为例,就合规体系中的应急处置进行说明。
目前维权渠道较为畅通,消费者的维权意识也比较强。因此门店、商家遇到维权的情况还是比较普遍的。同样,监管部门一般也比较重视,有时也会主动介入,对门店、商家进行问询、约谈。因此,了解如何正确地处理投诉及问询,还是比较重要的。
首先,需要了解的是,投诉是每个消费者的合法权益,但这并不意味着投诉就一定是成立的。很大一部分的投诉是有关情绪,而非门店确实存在过错。因此在沟通的过程中,先得将消费者的情绪缓和下来,并帮助消费者明确、固定诉求,这样,后续的沟通和处理,才是理性、有效的。
接下来,要看投诉的具体诉求是什么,在既往培训或工作过程中是不是已经明确了处理方式的内容。如果是,先依照公司流程及标准对投诉进行处理。如果不是,在采取缓和的措施后,要尽早上报上级,由有权限、专业的人员具体负责处理。平时大家遇到投诉会比较慌张,但其实是不必要的,很多餐饮集团在各大城市都有门店,部分集团的门店数量甚至超过了100家,各种类型的投诉集团是已经处理过的,有的甚至已经形成明确的处置标准和流程的。因此,遇到投诉,应该对自己的集团有信心,积极地进行反馈。要相信在集团的介入下,事情是可以得到妥善、统一的处理的。
最后,投诉处理完也不是就能抛在脑后了,集团和门店都有必要进行记录和复盘,看看处置流程有没有纰漏,管理中的风险有没有得到防范。这样,才能真正降低风险及被投诉发生的概率。
处理监管机构问询和约谈的方式也差不多,只是过程中要更加重视对违规事项及整改要求的记录,并及时自查、反馈情况及整改方案,从而使得问题尽早得到解决、减少损失,进而争取少罚不罚。
五、合规与行业实践
仍旧以餐饮行业为例,根据我们的经验,大部分传统行业在数据合规方面的投入较为有限,期待企业整体调整预算及经营管理规划,是较为不现实的。合规仍旧应当围绕行业的客观情况展开,因企制宜地选用适合的合规路径。这就提示企业,应当持续关注同行在合规中的投入。事实上,根据我们的调查,只要是大型餐饮企业,基本均已感受到了监管的压力,并已主动开展了数据合规工作。特别就香港上市的餐饮企业,我们已整理如下,以便读者了解目前的行业实践情况。
可以清晰看到,餐饮行业对数据合规的投入尽管相较金融、互联网等行业较低,但考虑到餐饮行业所掌握的数据量较大,且部分也较为敏感,投入少与不践行数据合规义务绝对是两码事。企业仍旧应不低于行业水准在数据合规领域进行投入,才能更好地塑造在数据合规领域的竞争及口碑优势,有效控制自身的合规风险,促使企业行稳致远。