在数据日益重要的今天,企业在不断开拓数字化业务挖掘数据商业价值的同时,也面临着越来越严格的数据保护法律和监管要求。很多国家受《欧盟通用数据保护条例》(GDPR)影响也纷纷制定或修改了数据保护法律,对于越来越多走出去的中国企业来讲,如何以最小管理成本实现不同国家和地区的数据保护法律合规成为亟需解决的重要问题。
方达律师事务所合伙人尹云霞对企业数据保护合规提出以下三点建议。
首先,全面了解自身业务并且对前期的核查进行复盘。通过数据核查,了解自身业务中涉及的每一项数据处理行为是企业建立全球数据保护合规体系不可避免且至关重要的一个过程。
许多全球和国内数据保护合规项目或者数据审计项目中,企业的数据核查都是通过问卷方式来收集各部门信息的,很多情况下问卷问题不清晰或者法律术语过多,导致业务部门无法理解因此无法给出更为有价值或者准确的回复。之后具体的数据处理行为没有完全弄清楚的前提下,就制定了很多公司政策来完结项目。因此,这种方式不一定见得是适合首次进行数据保护合规的企业。
其次,数据合规体系应与企业的管理流程与业务流程有机融合,并有效开展审计和选取监测指标来衡量这些措施的有效性,重视新产品新服务和解决方案的合规评审。企业在建立数据合规相关的制度和流程时,应当兼顾企业现有的管理流程和业务流程,为业务部门提供具体的正向指引,尽量避免将过于“原则化”的规范式文本直接提供给业务部门。
已经建立的数据保护合规体系,企业可以考虑通过内部审计等机制来检验其实施落地的情况和有效性,以便及时识别与业务的不合理之处。这些不合理之处可以通过选取相应的指标来进行衡量,例如数据主体行权的平均回复时间以及回复质量、隐私政策是否因为内部的合规排查不准确导致的更新次数、隐私办公室收到各业务部门的问题并且解答的次数等。定期的审计也是必不可少的。
最后,以当地用户的视角进行合规,充分减少法律与业务之间的沟通误差。随着我国经济水平的增长,我们在跨国收购以及运营的能力上相比过已经有了很大的提高。这也导致了很多中国经验的输出。在各国数据保护合规的策略上,单纯的中国经验输出是需要非常小心的。调研显示,85%的德国人倾向于GDPR的规定,但在美国此比例仅为29%。在有关是否愿意以隐私交换服务的调研中,不同国家的反馈也不同,德国对隐私的关注度最高,而印度最低。用户视角的不同往往会直接影响到不同国家的App或者产品的设计。只有在认识到这种差别的情况下,在做新产品上线的论证以及数据保护影响评估的时候才能够更有的放矢。
来源:中国贸易报(作者:钱颜) 时间:2020-03-10