經過半年多的起草、修改,《基于數字化運營的CRM 3.0系統需求指南》的組成部分《零售企業數據安全合規指南》今日正式發布。一、《基于數字化運營的CRM 3.0系統需求指南》編制背景數字化時代,零售業的IT系統需求發生了巨大變化,對系統滿足其新需求的要求更為迫切,協會應行業需求,于2021年成立了“新時期百購行業IT及數字化系統需求研究”項目組。項目組連續兩年展開百購行業IT及數字化系統需求調查工作并形成報告,兩年報告均顯示:CRM是零售企業的核心痛點和最不滿意的信息系統。信息化時代下的CRM 1.0,解決了會員信息化及存檔的問題;互聯網時代下的CRM 2.0,解決了通過郵箱、短信等通道單向信息傳遞,實現了簡單營銷功能;數智化時代下的CRM 3.0時代,CRM不僅僅是充當存檔和單向傳遞的工具,更應建立與消費者高效連接互動,成為內容運營和提供針對性產品和服務的主要陣地。
為此,中國百貨商業協會在項目組組織下,開展《基于數字化運營的CRM 3.0系統需求指南》(以下簡稱“CRM需求指南”)起草研究,前期主要由中國百貨商業協會、杭州比智科技有限公司、北京尚博信科技有限公司、零一裂變(深圳)科技有限公司、北京市盈科律師事務所重點參與,目前初稿已近完成。
作為《需求指南》的重要組成部分,《零售企業數據安全合規指南》(以下簡稱“合規指南”)具有重要意義。零售企業的消費者數據、交易數據、商品數據規模龐大,近年來,消費者法律意識不斷提升,國家相關監管機制也在不斷完善,對零售企業存儲、使用現有數據提出了很高的要求。與此同時,零售企業的數據治理理念和架構又相對傳統,形成了數據量大、高要求和低治理水平間的矛盾,處理不好可能會上升到司法層面的問題。為此,協會聯合知名律所盈科公司,以及其它相關專家,在《CRM需求指南》中增加了《合規指南》的內容,專家們結合司法實踐,系統闡述了數據安全合規的相關要求,為企業開展數據相關工作提供了可靠的指引。在CRM系統要求中,加入數據安全合規的內容,也是一項具有創新性的實踐,將與數據相關的技術開發、業務運營和法規要求進行了有機的結合。協會先行發布《數據合規指南》,《CRM需求指南》的其它部分也將在近期正式發布。協會將通過媒體宣傳、線下交流研討、案例分享等方面,對指南內容進行持續宣貫,同時,以適當的周期對指南進行迭代更新。其中,《數據合規指南》的線下交流會擬定于2月下旬召開,敬請關注。如有相關意見建議,請反饋至:gaomd@ccagm.org.cn 1數據安全發展趨勢
1.1數據要素市場發展趨勢
數據要素市場化是數字經濟的新現象。由于大數據與人工智能技術的結合,數據已經成為第一生產要素,數據及其運行機制成為支撐算法算力切實有效發揮作用的關鍵要素,是數字經濟高質量發展的基礎原料和邏輯基點。數據正在成為企業進行決策、生產、營銷、交易、配送、服務等商務活動所必不可少的投入品和重要的戰略性資產,成為促進經濟高質量增長的重要驅動力。協同推進技術、 模式、業態和制度創新,切實用好數據要素,將為經濟社會數字化發展帶來強勁動力。
2020 年 4 月 9 日,中共中央、國務院印發《關于構建更加完善的要素市場化配置體制機制的意見》,進一步強調數據要素的重要地位,將數據與土地、資本、技術、勞動并列為五大生產要素。提出加快培育數據要素市場,包括推進政府數據開放共享、提升社會數據資源價值、加強數據資源整合和安全保護三項具體內容。2021年3月,中央在“十四五”規劃中作出了“建設高標準市場體系;推進土地、勞動力、資本、技術、數據等要素市場化改革”的戰略部署,要求建立數據資源產權、交易流通、跨境傳輸和安全保護等基礎制度和標準規范,推動數據資源開發利用。2021 年 12 月 12 日,國務院印發《“十四五”數字經濟發展規劃》,提出在2025 年初步建立數據要素市場體系,充分發揮數據要素作用。2021-2022年,全國各省市陸續出臺了數字經濟促進條例,以培育數據要素市場。例如,自2022年6月1日起施行的《廣州市數字經濟促進條例》第四條規定:“數字經濟發展應當以數字產業化和產業數字化為核心,推進數字基礎設施建設,實現數據資源價值化,提升城市治理數字化水平,營造良好發展環境,構建數字經濟全要素發展體系。”自2022年11月1日起施行的《深圳經濟特區數字經濟產業促進條例》第二十三條規定:“ 鼓勵市場主體加強數據開放和數據流動,推動數據要素資源化、資產化、資本化發展。” 即將于2023年1月1日起施行的《北京市數字經濟促進條例》第一條明確:“為了加強數字基礎設施建設,培育數據要素市場,推進數字產業化和產業數字化,完善數字經濟治理,促進數字經濟發展,建設全球數字經濟標桿城市,根據有關法律、行政法規,結合本市實際情況,制定本條例。”國家和地方相關政策文件的密集出臺,為數據作為生產要素在市場中進行配置,提供了政策土壤,也推動了我國大數據產業不斷發展,技術不斷進步,基礎設施不斷完善,融合應用不斷深入。
1.2企業合規管理發展趨勢
習近平總書記強調,守法經營是任何企業都必須遵守的一個大原則,企業只有依法合規經營才能行穩致遠。黨的十九大后,黨中央明確提出習近平法治思想,把全面依法治國提升到前所未有的新高度。《法治中國建設規劃(2020-2025年)》《法治社會建設實施綱要(2020-2025年)》等中央文件對企業依法合規經營提出明確要求。在當前國際競爭越來越體現為規則之爭、法律之爭的大背景下,我國企業面臨的國內外環境和風險挑戰日趨復雜嚴峻,必須加快提升依法合規經營管理水平,確保改革發展各項任務在法治軌道上穩步推進。自2022年10月1日起施行的《中央企業合規管理辦法》第三條規定對企業“合規”的定義,作出了明確規定:“本辦法所稱合規,是指企業經營管理行為和員工履職行為符合國家法律法規、監管規定、行業準則和國際條約、規則,以及公司章程、相關規章制度等要求。”合規管理成為企業做大做強的必經之道。
為推進合規管理,《中央企業合規管理辦法》制定了一系列保障措施,例如,在組織和職責方面,將中央企業主要負責人作為推進法治建設第一責任人,設立合規委員會,由總法律顧問兼任首席合規官等;在運行機制方面,應當建立合規風險識別評估預警機制,將合規審查作為必經程序嵌入經營管理流程,并應建立違規問題整改機制、設立違規舉報平臺、完善違規行為追責問責機制等。1.3網絡安全與數據安全發展趨勢
當前,以數字經濟為代表的新經濟成為經濟增長新引擎,數據作為核心生產 要素成為了基礎戰略資源,數據安全的基礎保障作用也日益凸顯。伴隨而來的數 據安全風險與日俱增,數據泄露、數據濫用等安全事件頻發,為個人隱私、企業 商業秘密、國家重要數據等帶來了嚴重的安全隱患。為了規范數據處理活動,保障數據安全,促進數據開發利用,近兩年來,國家對數據安全與個人信息保護進行了前瞻性戰略部署,開展了系統性的頂層設計。《中華人民共和國數據安全法》于2021年9月1日正式施行,《中華人民共和國個人信息保護法》于2021年11月1日正式施行。這兩部法律與2017年的《中華人民共和國網絡安全法》共同構建了中國數據合規及隱私保護的基礎法律框架,對網絡安全、數據安全和個人信息保護提出了方向性和基礎性指引及監管要求。“工欲善其事,必先利其器”,在數字經濟快速發展的背景下,我們更需要深刻認識到數據安全建設的重要性,不僅需要在技術上重點布局、勇于創新,更需要在安全意識和安全管理水平上大幅提升。2安全合規指南
2.1數據資產盤點
2.1.1數據流向測繪
首先,要做數據安全管控,我們需要知道企業目前有哪些數據,數據是如何分布的,哪些是敏感數據,敏感數據分布在哪里。為了解決這些問題,我們需要做的是數據資產的梳理、數據分類分級。其次,要做好敏感數據的安全管控,我們需要知道敏感數據是如何產生的,敏感數據是如何存儲的,敏感數據是如何使用的,如誰有權訪問敏感數據。為了解決這些問題,我們需要做的是“根據數據分類分級結果,針對敏感數據識別具體的使用場景,繪制出數據流轉圖。再次,根據上述繪制的數據流轉圖,基于整個業務場景識別敏感數據可能存在的安全風險,開展風險評估。同時,識別敏感數據現有的安全控制措施,分析當前存在的不足。最后,根據風險評估結果,設計差異化、可落地的安全管控措施,包括管理措施、技術措施、監控審計類措施,目的是為了確保數據安全的“可感、可控、可審、可視”。
2.1.2資產盤點
企業開展數據資產盤點的過程中,需要結合所盤點的業務情況,劃定業務過程中需要進行盤點的數據范圍,即對“企業在運營活動中形成的,由企業擁有、全過程可控,并能給企業帶來價值的數據”開展盤點,當擁有、可控、具有價值三個條件全部滿足時,即可識別為數據資產盤點的對象范疇。數據資產盤點范圍應包含18種數據資源,盤點數據資產類型可分為:業務對象、基礎表、代碼表、報表與指標等。數據資產盤點要圍繞企業的全部業務活動展開,包含所有類型數據(線上線下、結構半結構),真實反映數據資源全貌,并識別出核心的數據資產。盤點的方法和過程包含以下內容:
劃分業務主題及子主題,梳理業務流程和業務活動,識別業務對象。數據所屬IT架構中具體區域、IT系統、數據類型和系統路徑。業務層面、組織層面和IT層面盤點的成果填充至提前制定好的數據資產盤點模板,形成數據資產盤點清單。針對盤點的成果進行內容細化,例如數據量、更新頻率、數據重要等級、數據密集等資產認定字段進行完善。輸出數據資產盤點成果,為后續構建數據資產地圖、數據安全管理、數據治理提供基礎支持。
2.2數據分類分級
從數據分類而言,建議數據分類遵循有關法律法規及部門規定要求,優先對國家或行業有專門管理要求的數據進行識別和管理,滿足相應的數據安全合規管理要求。比如識別是否存在國家核心數據、重要數據、個人信息數據等。根據不同數據分類,匹配不同的法律法規要求,部署相應的落地要求。
借助技術手段可以對結構化數據開展自動分類分級和敏感數據的標志標識,最終輸出數據資產分布地圖。如下圖所示,自動分類分級平臺可以通過多種方式采集應用系統中的原始數據,并使用關鍵字、正則表達式、字段名匹配、表明匹配、機器學習、自然語言識別等多種敏感信息識別算法,識別敏感數據的類型,并按照分級標準完成敏感數據的分級。
數據類別千差萬別,甚至同樣的數據在不同的單位,重要程度的級別可能不一樣。“數據處理活動”的主體,可以根據主管部門、監管單位對本行業的數據分類分級標準進行數據分類、分級。若“數據處理活動”主體的主管、監管單位未制定相關標準,則建議按照上圖進行分類分級,并建立對應級別的數據保護措施。通過數據映射,將數據的類別和級別,按照法律法規和國家標準、行業標準的保護要求進行保護,并以下列形式進行展現:
2.3數據安全風險評估
為確保業務合規,企業在開展業務之前需進行相應的風險評估;與此同時,企業開展對個人權益有重大影響的個人信息處理活動時,應當事前進行個人信息保護影響評估,這既是《個人信息保護法》第五十五條規定的法定義務,也是數據合規風險評估的一種。結合企業業務實際情況,建議在以下場景中增加數據合規評估:1)產品/IT方案上線(尤其是涉及用戶數據收集的產品/IT)為平衡數據合規評審效率和質量,可以分層分級進行風險評審。主要場景如下:1)成熟場景:成熟場景風險相對可控,可基于業務部門數據合規BP的能力交由數據合規BP負責評審。成熟場景的定義可以采用白名單管理,成熟一個授權一個。2)新場景(新業務、新產品):新場景涉及的法律不清晰、業務場景不清晰,需由專業團隊把關,建議由數據合規專家(能力小組)進行評審。3)升級機制:當遇到數據合規BP無法判斷的場景時,可將評審工作升級,由數據合規專家(能力小組)進行把關。
2.4數據全生命周期保護框架
2.4.1管理體系的重要角色部門
1)數據合規負責人
2)《個人信息保護法》第52條規定,“處理個人信息處理數量達到網信部門規定數量的個人信息處理者應當指定個人信息保護負責人。”《數據安全法》第27條也規定,重要數據的處理者應當明確數據安全負責人和管理機構
3)數據合規負責人的級別如何設置。個人信息保護負責人具體如何設置、級別如何安排,屬于企業自治內容,但應與企業重要數據/個人信息的數量、重要程度等相匹配。
5)數據合規組織機構是指明確配合個人信息保護負責人開展工作的工作機構。《數據安全法》第27條規定,重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。《個人信息保護法》雖然沒有直接規定企業應當設立個人信息保護工作機構,但其對企業處理個人信息規定了各方面義務,履行這些義務顯然需要專門工作機構的支持。6)成熟的數據合規管理體系一般圍繞以下骨架搭建:數據合規工作組可分領導小組、能力小組、實施小組。領導小組由主要由公司重量級領導做組長,各業務部門主管為成員,負責制定整體策略,決策數據合規方案;能力小組由法務合規專家、技術專家組成,負責制定數據合規要求,跨部門統籌協調等;實施小組主要由各BG/BU的數據合規人員組成,負責數據合規的具體落實。8)《個人信息保護法》第58條規定,提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者,應當成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督。9)在落實《個人信息保護法》該項規定的過程中,涉案企業合規第三方監督評估制度和上市公司獨立董事制度可能會成為參考。因此,建議企業在制定未來規劃時,可以盡早考慮成立獨立監督機構,占據主動優勢。
2.4.2數據合規BP的“能力模型”
數據合規BP是整個數據合規責任體系的關鍵,一個合規的數據合規BP才能幫助業務主管履行好數據合規管理第一責任人的職責。數據合規BP(Business Partner) 能力模型包含三個方面——法律、技術、業務。2.5數據安全管理體系建設
通過對企業數據安全管理現狀的梳理,對于企業在數據安全合規體系方面需要整改或調整的方向和重點事項有了基本判斷,進而進入整改環節。企業在數據安全合規體系建設將涉及企業內部機構的機構設置、職能安排和編制管理,需要綜合企業整體合規規劃、業務發展、組織結構、信息安全能力、資源和成本等多方面情況考慮。企業數據安全合規體系建設工作可以分解為以下幾個方面:企業的數據安全合規體系建設方案,法律人員可以與企業其他相關人員基于企業數據合規現狀、圍繞企業開展本次數據合規的目標制定數據合規整改行動計劃,對企業應當在什么時限內、按照何種優先順序、采取何種具體措施以滿足特定的數據合規要求作出安排,作為后續工作的操作指引。數據安全合規體系建設的實施主體主要是企業的相關管理和業務部門。法律人員可以在組織架構搭建的合法合規性、相關制度文本內容的規范性、合法性和有效性,以及數據安全合規管理措施的合法性等方面提供專業支撐。例如,根據《個人信息保護法》,企業處理個人信息達到一定數量或者處理重要數據的,應當設置數據合規管理機構、指定數據合規負責人。就企業數據合規組織架構搭建,法律人員根據法律規定、企業公司章程規定、企業合規管理組織架構現狀及企業實際情況,提出相應的建議方案。又如,法律人員協助起草和審查相關數據安全管理制度文本的規范性、合法性和有效性。企業的數據合規管理制度體系可以從三個層次考慮:確定企業、全體成員和業務伙伴共同遵守的數據合規行為準則,列明數據合規底線。企業數據安全管理的綱領性文件,明確公司數據合規管理總體要求、管理機構及職責、基本制度、網絡及數據安全技術措施、信息系統安全保護等事項。相關具體制度,確定包括管理流程、管理標準、管理措施等具體數據合規管理細則。法律人員通常需要協助企業對照數據安全相關法律規定,起草、修改、審閱相關制度文本。企業建立數據安全合規體系后,需要在日常運營和管理中落實運行。法律人員在數據合規咨詢、數據合規審查評估、數據合規審計、人員培訓等方面提供持續的法律服務支撐,是企業數據安全管理的重要方面。2.6營銷/算法推薦合規管理體系
《個人信息保護法》第24條對利用個人信息進行自動化決策行為進行規定,算法推薦是自動化決策的方式之一,因此,對算法推薦的法律規制也要依次為依據,《互聯網信息服務算法推薦管理規定》則是對算法推薦的規制作了詳細規定,更具有可操作性。結合出臺的相關法律法規,梳理了算法推薦合規義務清單如下:
2.7數據安全事件應急響應
預防數據泄露是數據合規工作中的重點和難點之一,數據泄露事件一旦發生,企業不僅需要承擔高昂的經濟損失,還可能承擔嚴重的法律后果。《數據安全法》規定,對造成大量數據泄露等嚴重后果的數據處理者,將處以較高數額的罰款,責令暫停相關業務、停業整頓、吊銷相應業務許可證或營業執照;《個人信息保護法》也規定,違反個人信息保護義務導致信息數據泄露的,將沒收違法所得,對違法處理個人信息的應用程序,責令暫停或者終止提供服務,相關違法行為還會被計入信用檔案并公示。企業在數據安全事件發生后應注意采取如下應對措施:2.7.1調查、評估與補救措施
接到威脅情報或者監管部門事件通知后,涉事企業應按照本企業的《網絡安全應急預案》部署事件處理團隊,立即進行事件確認,調查排查數據泄露的原因,識別涉及的數據類型和數量以及數據的敏感程度,確定受影響的個人信息主體的范圍,分析所涉數據是否已加密、防控措施是否有效抵御了攻擊等,據此評估對個人信息主體的權利和自由的影響程度以及其他可能造成的后果。同時,企業應當立即保護網絡系統,修復可能造成數據泄露的漏洞,并防止數據進一步泄露,例如封鎖環境、限制訪問、監控出入點、關閉受影響的設備、更改秘鑰等。在此過程中,企業可以聘請外部法律和技術團隊協助電子數據取證并留存證據,以備后續可能發生的調查和爭議。 2.7.2情況上報與通知受影響主體
根據對安全事件的影響與風險的評估以及相關法律法規要求,確定企業是否需要上報監管機構、是否需要通知受影響的個人信息主體。如有必要,企業應迅速確定如下內容:(1)此次安全事件是否受域外法律管轄,且所涉域外法律是否有特殊規定;(2)上報哪個/哪些監管機構,是否包括域外的監管機構;(3)需要通知的數據主體的范圍以及通知的方式;(4)上報的內容以及通知的內容。在確定上述內容后,及時根據相關法律法規要求進行上報和通知。 《網絡安全法》也在第22和25條規定了網絡運營者的通知義務和補救義務。網絡運營者發現其網絡產品、服務存在安全缺陷、漏洞等風險時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告;在發生危害網絡安全的事件時,應立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。GDPR第33和34條規定了在發生個人數據泄露的情形時,數據控制者的報告和通知義務。除非個人數據泄露不太可能會對自然人的權利和自由造成風險,數據控制者應當在發現數據泄露的72小時內將個人數據泄露的情況報告監管機構。如果數據泄露可能對自然人的權利和自由產生較高風險,數據控制者還應當立即將個人數據泄露的事實告知數據主體。2.7.3做好安全事件記錄
《網絡安全法》第21條還要求網絡運營者采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月。無論安全事件是否需要上報監管機關或通知受影響的自然人,企業都應當做好安全事件的記錄。如果企業根據評估決定不上報和通知,企業應當記錄評估的分析過程與結果。企業還應當留存安全事件有關的事實、事件起因、相關影響以及采取的補救措施的相關記錄,且相關網絡日志至少要留存六個月的時間。這不僅是法律法規的要求,在監管機構介入并可能定性和判罰時,也將成為判罰的重要參考依據。2.8 數據資產化解決方案
要想實現數據資產化,首先要做好數字資產化全生命周期管理。中國通信研究院發布的研究報告將數據資產化生命周期劃分為確權—定價—交易—融資四個核心階段。
1)確權:明確數據物權(財產權)、使用權、分法權等多方的權利形式和權利主體。2)定價:通過成本法、市場法等方式,對數據的經濟價值進行評估,兼顧評價數據產生的社會價值。3)交易:對明確產權、確定價值的數據資產進行交易,交易可以通過區塊鏈等方式進行追溯。4)融資:搭建數據資產密集型企業與金融機構、資本之間的橋梁,激活數據要素潛能。數據資產化的生命周期劃分為六個階段:業務信息化—數據資源化—數據產品化—數據資產化—資產數據化—資產貨幣化。
當前數據要素成為推動經濟增長和科技創新的重要引擎,賦能經濟社會高質量發展的重要作用已經得到充分彰顯。如何在厘清法律權屬的基礎上論證數據資產化,探索合理的數據定價和估值機制,推動數據在市場上進行有序交易,實現其市場化配置并釋放價值,實現數據資產的保值和增值,進而實現數據要素的資本化是建設現代化經濟體系,推動經濟高質量發展的有益和必要的實踐和探索。
