×

打开微信,扫一扫二维码
订阅我们的微信公众号

首页 锦天城概况 专业领域 行业领域 专业人员 全球网络 新闻资讯 出版刊物 加入我们 联系我们 订阅下载 锦天城二十周年 CN EN JP
首页 > 出版刊物 > 专业文章 > 企业数字化转型下的供应链数据合规

企业数字化转型下的供应链数据合规

作者:张丹 夏星悦 2022-09-282684

前言


有一个非常有趣的说法,说我们国家目前正处于“三浪并发”的时代,信息化还没有做完,就要上数字化;数字化还没弄明白,就要搞智能化。企业还没有CRM系统的时候,就要考虑精准营销;还没有数字仓库的时候,就要考虑启动数据中台;还没有ERP系统的时候,就要考虑启动柔性制造。上海市政府提出要在2022年打造30个制造业数字化赋能平台,新建40家示范性智能工厂。[1]数字化已不是企业的一道选择题,而是一道必答题。随着数字化、智能化转型的进程加快,企业利用数字技术不断将生产要素进行优化配置,推动生产方式、业务模式以及组织的革新。与此同时,数据资产在企业的上下游频繁流动,促进企业效能发展的同时,也带来数据合规领域的法律风险,本文将就企业数字化转型下供应链中的数据合规问题进行探讨。


正文


在不同行业领域的法律规定中,有关供应商的规定比比皆是,如《旅游安全管理办法》第十一条规定,旅行社组织和接待旅游者,应当向合格的供应商订购产品和服务;《药品生产监督管理办法》第三十二条规定,从事药品生产活动,应当对使用的原料药、辅料、直接接触药品的包装材料和容器等相关物料供应商进行审核;《医疗器械生产监督管理办法》第三十一条规定,医疗器械注册人、备案人、受托生产企业应当加强采购管理,建立供应商审核制度,对供应商进行评价,确保采购产品和服务符合相关规定要求;《化妆品生产经营监督管理办法》第二十五条规定,化妆品注册人、备案人、受托生产企业应当建立并执行供应商遴选制度;《工业和信息化部关于进一步做好新能源汽车推广应用安全监管工作的通知》第一条(一)款规定,要加强供应商管理,严格把控零部件质量,并对零部件质量问题负责;《医疗卫生机构网络安全管理办法》第十六条规定,各医疗卫生机构应关注整个网络全链条参与者的安全管理,采购安全的网络产品和服务,防止发生第三方安全事件。不仅如此,关于供应商管理的规定也在《网络安全法》、《关键信息基础设施安全保护条例》等网络与数据保护的专门规定中有所体现。


可见,供应商管理不仅仅是企业的管理课题,也是重要的合规内容之一。在数字经济时代,企业的供应商不仅包括传统的供应商类型,还包括云服务商、数据处理服务商、广告监测服务商、地图及定位、人脸识别、身份认证等技术服务商,由于供应商类型的不同、企业在合作中所处的地位及合作内容的不同,相应的合作潜在法律风险也不尽相同。我们将在下文逐一探讨与分析不同供应商的角色、可能存在的法律风险以及企业在选任此类供应商时的注意要点。


第一部分:供应商的角色及定义


image.png


上述角色并非基于某一特定标准进行的区分,仅为企业评估供应链中数据合规风险的便利性进行的区分。某一供应商可能兼具不同的身份角色,如物流供应商,既从企业获取数据,反过来也会向企业提供数据;如技术服务商,也可能为企业实施数据分析处理活动,即同时具备了数据受托处理者的身份。第三方SDK运营者与企业之间也可以有三种关系,一种是企业与第三方SDK运营者分别是单独的数据处理者,一种是企业委托第三方SDK运营者处理个人信息,一种是企业与第三方SDK运营者为共同个人信息处理者。因而,对于供应商身份的界定,企业可从以下几点进行判断,也可参考笔者发布的《临深谷而知地厚—个人信息“委托处理”、“共享”等关系辨析及合规要点》


  • 供应商提供什么服务,企业与供应商之间是否存在数据流转以及流转的路径是怎样的;

  • 流转的数据类型是否包含个人信息或企业数据(个人信息或企业数据可能构成“重要/核心数据”或“商业秘密”);

  • 供应商与企业之间的合作模式是怎样的,是否有数据调用接口,是否有功能集成或设置了单独的访问账号;

  • 数据的处理目的是什么,哪方对数据有控制权以及数据存储在哪里。


第二部分 与特定供应商合作的潜在法律风险及合规提示


(一)云服务商


企业采购云服务产品或服务可能面临如下法律风险:


  • 云计算服务提供商无证或未在许可范围内经营的,将导致合同无效;

  • 云服务商人员可访问客户数据导致数据被篡改或泄露的风险;

  • 云平台技术和安全防护能力弱导致的数据泄露或丢失;

  • 云平台产品或服务不稳定导致的业务中断风险。


【案例1】2020年2月25日,某盟发布公告称,公司SaaS业务生产环境及数据遭到公司研发中心运维部一位核心运维人员人为破坏,导致暂时无法向客户提供SaaS产品。公司预计于当日晚上24点可以对生产环境修复完成以为新用户提供服务,并预计于2月28日晚上24点前完成对老用户数据修复工作。实际上直到3月1日晚上8点数据才全面找回,并于3月3日上午9点数据恢复正式上线,业务停摆近8天,给300万个商家带来了损失。[2]


【案例2】无证经营云服务:工信部在2018年1月发布了《关于督促互联网网络接入服务企业依法持证经营的通知》,其中提到截至2017年12月31日,共147家企业未按前期承诺取得互联网资源协作服务业务或内容分发网络(CDN)业务经营许可证,应自觉停止相应经营活动。[3]即,若企业未获得CDN及其他相关资质时,不得对外提供云服务。


企业可从以下方面对云服务商进行准入审查:


  • 云服务商的征信、经营状况、历史业绩和服务水平和服务器所处地域等基本情况;

  • 云服务商应获得的相关许可资质;

  • 能够访问客户数据、能够收集相关元数据的云服务商员工的稳定性;

  • 云平台技术、产品和服务供应链安全情况,有无既往安全事件发生;

  • 云服务商安全管理能力及云平台安全防护情况,应调查了解云服务商为满足客户网站系统合规及安全控制策略提供的基础安全措施;

  • 客户迁移数据的可行性和便捷性;

  • 云服务商的业务连续性。


如企业采用社会化公有云计算服务,应要求云服务商做好系统边界的隔离,包括与其他租户业务系统、虚拟机、虚拟网络、虚拟存储之间的安全隔离。如企业的数据涉及重要数据及达量的个人信息,或其系统网站的等级保护定级为三级以上的,应优先选择等级保护定级为更高等级的云服务商;


企业在确定好符合业务需求的云服务商后,应与云服务商签署合同,服务合同是明确企业与各服务商之间责任义务的基本手段,能够保护企业和各服务商的合法利益。合同内容应包括:


  • 明确服务部署模式,划分双方安全责任边界,制定服务水平协议,规范双方的安全权利义务以及安全保密协议等内容;

  • 要求云服务商在合同中声明不使用有恶意代码产品或假冒产品,确保云服务商提供的软件、系统的合法性,并且不侵犯第三方合法权益;

  • 明确资产的所有权/控制权,资产包括(1)企业上传至业务应用系统的初始数据;(2)企业的业务系统在云平台上运行过程中产生的数据和文档,以及(3)企业利用云服务创造出来的有价值的资产(如:软件产品、发明专利、专有算法等);

  • 明确企业利用云服务创造出来的有价值的资产的知识产权归属;

  • 约定个人信息与数据保护方面的条款,如数据存储地、个人信息和/或数据安全事件发生时的响应方式及责任承担等;

  • 约定云计算退出服务条件及双方在退出阶段的责任;

  • 明确不得窃取修改企业数据资料。可访问企业信息或掌握企业业务运行信息的云服务商应与企业签订保密协议;能够接触企业信息或掌握业务运行信息的服务商内部员工,应签订保密协议,并作为合同附件;

  • 约定企业享有合同审计权;

  • 明确云服务商在合同终止或解除时应彻底删除企业数据信息及所有备份,对企业的数据存储介质应彻底清理。


服务合同解除或终止后,企业应及时取消云服务商对企业资源的物理和电子访问权限,并对云服务商是否删除所有信息进行审计。


在双方合作过程中,建议企业做到如下内容:


  • 建立云服务审查机制,定期对云平台上的数据类型、数据量等进行梳理,确保安全机制符合数据安全要求;

  • 建立云服务应急预案,对云服务商处理信息安全事件过程中提供协助;

  • 关注云服务商企业本身的重大变更,以及所提供产品或服务的重大变化,提前做好随时更换云服务商的预案;

  • 可要求云服务商定期提供云服务报告;

  • 监督云服务商返还数据的过程,并对云服务商返还的数据完整性进行验证。


除了上述审查要点外,企业还需关注特定领域的合规要求,如《中国人民银行关于发布实施金融行业标准规范云计算技术金融应用的通知》中规定,各金融机构应确保采用的云计算技术在规划、实施、运维等环节均符合国家和金融行业技术标准要求;严格落实金融管理部门关于外包风险管理、信息技术服务等方面要求;对于发生故障时可能造成公众资金损失和隐私信息泄露的重要信息系统,不应采用社会化的云计算服务。


(二)技术服务商


一般来说,技术服务商的技术能力满足企业的需求即可建立合作,但是在某些特定领域,法律对技术服务商提出了特殊的合规要求。如《证券基金经营机构信息技术管理办法》第四十七、四十八条规定,信息技术服务机构应当向中国证监会备案,备案材料应当包括本机构基本情况、信息技术服务情况、服务对象情况、内部控制情况等相关资料。


具体而言,企业在选择技术服务商时,可从以下方面进行准入审查:


  • 技术服务商是否具备企业所需的技术服务能力,包括同行业的服务经验、历史服务业绩,客户评价等信息;

  • 技术服务商是否存在历史被诉案件,被诉原因以及判决结果;

  • 技术服务商是否有成熟的项目管理工具,可以有效管理项目并对实时掌控项目进度;是否有完善的售后服务机制。


通过前期的审查,如企业发现供应商可能存在特定潜在风险的,可要求供应商补充材料进行解释,并可就供应商补充材料仍无法打消的法律风险详细约定进合同中。企业与技术服务商签署的服务协议应明确服务范围、服务方式、涉及的信息系统,各方权利、义务和责任,约定质量考核标准、持续监控机制、异常处理机制、服务变更或者终止的处置流程以及现场服务人员保密要求等内容。


此外,企业还应持续监督技术服务商及相关人员落实服务协议和保密协议的情况:


实践中,经常会出现由于技术服务商的技术能力的限制或技术难题无法解决,技术服务成果无法达到企业的要求的情况,因而,企业应做好项目出现异常情形以及需要更换技术服务商的预案。如技术服务商协助企业处理数据,企业还应参考下文“数据受托处理者”的相关合规建议。此外,实践中也曾发生过技术服务商及其员工利用技术优势或服务权限窃取企业数据,或未经同意私自存储企业数据加以商用的案例(参考案例3),因此,建议企业可通过相关协议条款设计及协议履行过程中日常监督的方式降低这部分风险发生时的损失。


【案例3】安某任某科技公司的某办事处主任,负责该科技公司为联通公司某分公司开发、管理和维护的营销平台的售后服务工作。安某接受该科技公司另一办事处主任贡某的提议,超越职权,通过该科技公司的用户登录管理云平台验证登录,违规操作,利用营销平台私自投放广告牟利后,安某与贡某进行分成。法院认为,该二人因违反国家规定,对计算机信息系统存储、处理和传输的数据进行增加操作,后果严重,构成破坏计算机信息系统罪。[4]


(三)数据受托处理者


根据《个人信息保护法》以及《信息安全技术 个人信息安全规范》的相关要求,企业委托受托方处理的范围不应超出个人信息主体同意的范围,企业在委托前,应对数据受托处理者进行准入审查,并开展个人信息保护影响评估。企业应知晓,数据受托处理者作为企业实现数据价值的工具,与数据主体之间没有直接的交互,受托处理者侵权行为的法律后果将由企业向数据主体承担,因而企业应对受托处理者进行强监督。


企业可从以下方面对数据受托处理者进行准入审查:


  • 受托处理者的经营状况、历史业绩和服务水平等基本情况;

  • 有无较完整的内部管理制度规范,如内部员工数据合规培训制度与计划、安全事件发生响应规范与流程等;

  • 可接触企业数据的受托处理者的员工是否已签署保密协议;

  • 调查了解受托处理者的安全管理能力及安全防护能力,是否已通过相应的等保测评或安全认证,是否达到了行业主管部门的要求,有无既往安全事件发生,必要时可聘请第三方检测机构进行测评;

  • 受托处理者服务器所在地,是否存在跨境传输情形,以及是否有可能将数据提供给外部第三方或转委托。


选择数据受托处理者后,双方签署的合作协议应注意以下要点:


  • 明确委托处理的目的、期限、处理方式、数据种类、保护措施以及双方的权利和义务,受托处理者应当按照约定处理数据,不得超过约定的内容;

  • 企业有权对受托处理者的数据处理活动进行监督和审计,受托处理者应予以配合;

  • 受托处理者有义务协助企业履行个人信息/数据处理者的合规义务;

  • 在委托合同不生效、无效、被撤销或终止的情形下,受托处理者应将数据返还企业或者予以删除,不得保留;

  • 受托处理者再次委托或分包时,应事先征得企业的同意

  • 如受托处理者拟进行数据出境,应事先征得企业的同意。


在双方合作过程中,建议企业在以下方面进行重点监督:


  • 企业监督受托处理者的数据处理活动是否在授权范围内进行;

  • 是否存在转委托或分包的情形;

  • 是否存在技术或管理上的数据安全风险;

  • 受托处理者是否在委托事项终止后将数据予以返还或实施了不可逆的删除。


(四)数据提供方


企业在接收数据时,应对数据提供方的数据来源进行必要的审核,防止来源不合法而导致数据不可用或承担民事、行政、刑事法律风险,包括重点审查:(1)数据来源的获取手段合法合规,不存在突破权利人设置的技术保障措施、非法窃取计算机系统数据等方式获得数据;(2)如涉及个人信息,应确保数据提供方获得个人信息主体同意或存在其他合法性基础,可提供给数据接收方供数据接收方在其使用目的及范围内使用该等数据;(3)如数据提供方分享的数据存在上游数据来源方的,应确保数据提供方不违反与该上游数据来源方的协议约定向数据接收方提供数据。


【案例4】某数据科技公司主要与各网络贷款公司、小型银行公司合作,为前述客户提供需要贷款的用户的个人信息及多维度信用数据。具体而言,该数据科技公司将其开发的前端插件嵌入网贷平台,当网贷平台用户使用网贷平台App借款时,贷款用户需要在该数据科技公司提供的前端插件上,输入其通讯运营商、社保、公积金等网站的账号密码,经过贷款用户授权后,该数据科技公司的爬虫程序会代替贷款用户登录上述网站,进入其个人账户,爬取上述网站上贷款用户本人账户内的各种数据,并按与用户的约定分享给网贷平台用于判断用户的资信情况。该数据科技公司虽然与个人贷款用户签订有《数据采集服务协议》,其中明确告知贷款用户“不会保存用户账号密码,仅在用户每次单独授权的情况下采集信息”,但其违背了该协议约定,未经用户许可,通过技术手段长期保存用户各类账号、密码在其租用的云服务器上。最终,该数据科技公司与其法定代表人、技术总监被判侵犯公民个人信息罪。[5]


【合规提示】企业应判断数据提供方是否有取得所提供数据的具体场景,如某技术公司持有电子商务平台的个人数据,企业就要审查该技术公司是否是电子商务平台的运营主体或关联机构,其取得并对外提供该等个人数据的行为是否符合合法正当必要原则,是否已取得数据主体的同意并且覆盖了数据接收方的数据使用场景与范围,是否可能违反该公司与数据来源方的协议约定等。


【案例5】深圳云天励飞技术股份有限公司首次公开发行股票并在科创板上市申请时,审核委向其问询“人工智能技术所需的大量数据来源”时,深圳云天励飞技术股份有限公司回复:报告期内,发行人获取数据方式主要包括向员工采集数据和向专业数据供应商采购。其中,发行人与数据供应商签订的采购合同约定了供应商必须遵守关于采集人脸面部信息的法律规定,须确保采集方式合法合规,因供应商违反法律规定所产生的责任由供应商自行承担,发行人在数据合规层面没有连带法律责任。


【合规提示】企业起码应要求数据提供方给出书面承诺,承诺内容包括但不限于:数据来源合法合规,数据处理符合法律法规和政策要求,且愿意对数据共享/转让行为承担法律责任。


(五)数据接收方


根据《个人信息保护法》,企业对外提供个人信息时,需要向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意,因而,企业应判断对外提供个人信息的必要性和合理性,如非履行合同所必需,应注意通过何种方式取得个人单独同意。实践中,个人信息处理者会通过脱敏、去标识化手段将个人信息处理到一定程度上不能识别到个人再行对外提供,从而规避取得单独同意的法律要求。


【案例6】某些“大数据征信”公司,他们本身的数据合规问题当时没有暴露出来,在内部也有相应的管理制度。之所以警方关注到他们,是因为这些公司将数据提供给下游后,数据的流向不可控,很多数据流到了非法的放贷/催收机构,警方从非法放贷/催收机构所持有的个人信息倒查数据来源,进而查到“大数据征信”公司通过诱导借款人提供账号再使用爬虫技术取得借款人的电商数据、公积金信息、社保信息、学历信息、外卖信息、保险信用卡信息、法院信息等再行对外出售。


【合规提示】


企业作为数据提供方,在对外提供数据时,应注意审核数据接收方是否具备相应的数据保护能力和水平,尤其是否已通过等保测评及安全能力认证;是否已经建立了行之有效的内部管理制度;是否近两年无重大数据类违法违规记录;其数据系统服务器是否在境内;是否可能超范围使用数据或将取得的数据用作违法行为。


此外,企业与数据接收方签署的协议中应明确接收方处理数据的目的、期限、处理方式、数据种类、保护措施以及双方的权利和义务,以及接收方应按照协议约定处理数据,如超过约定的处理目的和范围处理个人信息的,应自行再次取得个人信息主体的同意;双方亦可进一步对数据接收方使用、加工数据所形成的衍生数据的的数据利益归属和知识产权权属进行约定;同时,企业应注意在协议中明确,数据提供后,数据接收方违反协议约定的行为所导致的任何法律后果由接收方自行承担。


(六)第三方SDK运营者


【案例7】Zoom安全事件始于2020年3月26日,美国科技媒体Motherboard指出,Zoom的iOS版客户端内嵌的Facebook SDK会向Facebook传送用户的手机型号、时区、城市、运营商以及广告唯一标识符等信息。Zoom随后在其发布的声明中表示,内嵌SDK与Facebook共享的信息不包括参会者个人信息,而是用户设备相关信息,包括操作系统版本、设备时区、磁盘空间、屏幕大小等。但从个人信息的概念出发,当这些设备信息与其他信息相结合,能够识别用户身份,或反映用户活动情况时,也将构成个人信息。个人常用设备信息,包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码等信息也属于通常意义上个人信息的范畴。


【案例8】某公司研发有一款广告SDK,其向手机商推广广告SDK业务。后该公司提供广告SDK工具包,手机商将广告SDK工具包预装到智能手机系统中,并使广告SDK获得系统权限。装有广告SDK的手机在用户首次开机联网时,广告SDK即通过互联网与后台服务器连接,在用户不知情的情况下向后台服务器上传IMEI、IMSI等用户信息、自动更新广告SDK版本等,并根据与手机商达成的运营方案通过服务端对推送方式、内容及频率等进行配置,向用户推送商业性电子信息,从而产生广告费收入,后该公司以安装台数或广告费收入分成的形式向手机商支付费用。法院认为,该公司相关人员以牟利为目的,违反国家规定,采用技术手段非法控制他人计算机信息系统,情节特别严重,构成非法控制计算机信息系统罪[5]。


企业集成第三方SDK的法律风险:


第三方SDK可能实施恶意广告及广告刷量、安装恶意软件、修改数据、窃取隐私、超范围收集个人信息等行为。如在用户不知情或误导用户的情况下,隐蔽窃取用户的通讯录、剪切板、短信息中的个人敏感信息,隐蔽进行拍照、录音的敏感行为;以及向用户推送过量广告,长期占用系统通知栏、屏幕界面,干扰用户正常使用APP。


企业可从以下方面对第三方SDK进行准入审查:


  • 来源安全性评估,包括但不限于第三方SDK的基本信息、沟通反馈渠道、隐私政策链接地址、安全能力、基本功能、版本号等。

  • 代码安全性评估,包括但不限于是否存在已知的恶意代码,是否存在已知的安全漏洞,是否申请敏感权限,是否嵌入了其他SDK等。

  • 行为安全性评估,包括但不限于调用的敏感权限、目的和频率收集的个人信息类型、目的和频率,个人信息回传服务器域名、IP地址、所在地域,是否存在热更新行为及热更新是否可主动关闭,传输数据是否加密,是否存在单独收集用户个人信息的界面,是否存在后台自启动和关联启动后收集个人信息的行为,是否强制捆绑无关功能并以此为由申请无关权限或收集无权个人信息等。对SDK申请使用权限进行审核,确保其申请的权限具有明确、合理的使用目的,且与APP业务功能直接相关。


企业App嵌入可收集个人信息的第三方SDK时,应选择满足业务功能所需最少量的SDK。企业与第三方SDK签署的协议内容应明确双方的个人信息处理规则和保护责任,包括∶


  • SDK收集个人信息的目的、方式、范围;

  • SDK申请的系统权限和申请目的;

  • SDK收集个人信息的保存期限、停止嵌入后的个人信息处理方式;

  • 个人信息安全责任和保护措施;

  • SDK是否存在热更新机制;

  • SDK是否存在自启动、关联启动;

  • SDK收集个人信息是否涉及向境外提供;

  • SDK协助App响应用户个人信息权利请求的措施;

  • SDK承担的责任和义务。


企业可从以下方面对第三方SDK进行过程监督:


  • 对集成后的SDK进行持续动态监测或定期进行安全评估。对于已经发现的SDK安全漏洞,及时修复,或者采用其它替代方案,并从SDK官方渠道及时更新最新版本SDK。对于已经发现存在恶意行为的SDK,及时停止使用。

  • 通过接口调用SDK功能的,对接口增加鉴权机制。

  • 监督SDK的个人信息收集行为是否超出约定或用户同意的范围,是否存在违法违规收集使用个人信息行为。


由于企业需向用户告知嵌入的第三方SDK名称、SDK收集的个人信息种类、使用目的及申请的系统权限、申请目的等,并取得用户同意;因而SDK应确保向企业披露的内容与实际情况保持一致。企业在停止使用某SDK和/或双方的协议终止或解除时,应及时从代码中移除该SDK的相关代码,并敦促SDK按照合作协议的约定,删除个人信息或作匿名化处理。


(七)数据交易服务机构


数据交易服务机构依托数据交易服务平台,为数据供需双方提供数据交易服务。数据交易服务机构应建立规范透明、安全可控、可追溯的数据交易服务环境,制定交易服务流程、内部管理制度,并采取有效措施保护数据安全,保护个人隐私、个人信息、商业秘密、保密商务信息。数据供方和数据需方可自主选择数据交易服务机构,并与其就服务内容、方式、费用等签订协议。企业在选择合作的数据交易服务机构时,可从以下方面进行准入审核:


  • 是否为无违法违规记录的境内合法设立组织,是否已得到行政主管部门的授权或许可;

  • 是否建立了数据交易服务安全管理制度和操作规程,包括对数据交易操作人员的管理在内的自律管理规则、信息披露规则、数据交易规则及流程等;

  • 数据交易服务机构有无具备提供安全可信、管理可控、全流程可追溯的数据交易环境的能力,如所提供数据交易服务平台是否通过等保三级,服务器是否部署在境内;是否采取了数据加密传输/存储、访问控制、数据操作的可追溯、必要的数据备份以及对数据交易行为进行记录。


此外,企业拟进行数据交易时,可选择依法设立的数据交易所(平台)进行数据交易,也可选择自行交易。目前已设立的数据交易所在交易类别、交易方式、技术支撑等方面有差异,因而如企业选择数据交易所进行数据交易,应考虑该数据交易所的资质,擅长的数据交易领域,可提供的数据交易配套服务以及具体的交易规则,来评估是否匹配企业拟进行的数据交易品种。


针对数据交易行为本身及数据交易相对方的选择问题,数据交易主体除了关注上文提到的数据提供方和数据接收方的准入审核要点,还要特别关注以下内容:


  • 审查交易的数据是否适合交易,法律虽不禁止个人信息的交易,但实践中数据供方无法取得个人的单独同意,因而交易数据中如有个人信息,应通过去标识化等方式去除识别特征;

  • 数据需方除了审核数据来源合法、正当,不侵犯权利人的合法权益,还要审核数据是否真实、准确,是否满足交易的目的,可要求数据供方提供数据样本进行确认;

  • 明确数据交付方式是线上交付还是线下交付,直接交付还是托管交付,一次交付还是多次交付,数据交付后数据需方是否可向第三方再次流转;

  • 对于交易数据所产生的衍生数据如何进行权属和利益的分配;

  • 明确数据需方的具体使用范围和目的,数据供方可要求数据需方对交易数据的使用行为进行记录,以供数据供方必要时进行审计;

  • 数据交易主体签署的交易合同中要明确数据内容、数据用途、交付质量、交付方式、交付金额、交易参与方安全责任、交付结束后的数据处理、发生侵权事件的责任分配以及保密条款等。


第三部分 供应商的资质要求


除了上述准入审查外,企业还应考虑特定行业或特定主体的法律要求,如根据《关于促进智能网联汽车发展维护测绘地理信息安全的通知》,智能网联汽车在运行、服务和道路测试过程中对车辆及周边道路设施空间坐标、影像、点云及其属性信息等测绘地理信息数据进行采集、存储、传输和处理的,数据处理者应取得相应的测绘资质。企业采购汽车服务商或智能驾驶软件提供商的该项服务,应确认其是否已取得测绘资质。此外,企业采购云服务时,则应确保云服务提供商具备可覆盖其所提供服务的业务种类及范围的《增值电信业务许可证》以及通过网络安全等级保护认证。


又如根据《网络安全审查办法》,关键信息基础设施运营者采购网络产品和服务,影响或者可能影响国家安全的,应当进行网络安全审查。网络安全审查的重点包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险,业务中断的风险,以及核心数据、重要数据或者大量个人信息被窃取、泄露的风险等。


第四部分 合规建议


为了降低企业在数据化转型时的合规风险,实现安全、有效的数据利用与流通,需要将供应商的选择与有效监督融入进企业数据合规管理体系建设与评价流程中。对此,我们建议:


  • 建立供应商管理规范,公开透明的供应商选择标准,明确供应商应符合的安全基线、淘汰指标等;

  • 设立必要的监督机制,避免利用市场优势地位向供应商滥收通道费等不合理费用,避免商业贿赂和其他腐败行为,维护供应链各企业的公平竞争;

  • 以合同、协议等方式与供应商约定数据的使用目的、使用范围、保密约定、安全责任等内容;

  • 对合作过程中接触数据的人员进行审批、登记及管理,并要求签署保密协议,定期对相关人员行为进行审核;

  • 定期对供应商数据处理活动的安全风险和供应商数据安全管理能力进行评估,不符合条件的应执行退出、替换机制避免为利益相关方带来损失;

  • 建立供应商应急响应机制,对合作过程中的数据安全事件及时响应,并为供应商提供必要的技术、人员等资源支持;

  • 注重与供应商的长期合作,协助供应商解决数据安全和个人信息保护方面面临的困难和难题,建立互信共赢的合作关系;

  • 查看供应商内部安全培训和数据安全规范,以确定其数据处理中将涉及的系统软件、流程、人员、数据种类以及数据保护控制措施;

  • 通过问卷调查或者外部审计来识别较高风险的供应商,例如处理大量个人数据和/或个人敏感信息的供应商;

  • 了解供应商的业务连续性计划与灾难恢复计划以及个人信息安全事件应急预案情况;

  • 监督供应商执行隐私政策和安全性指标的状况,形成报告以评估供应商的数据安全管理制度的实施质量。[6]


企业在数字化转型中追求的网络安全和数据保护,它并不是一个绝对安全的概念,而是一个相对安全的概念,安全与合规只有起点,没有终点。


注释

[1] 龚正市长在上海市第十五届人民代表大会第六次会议的政府报告(2022年),

https://www.shanghai.gov.cn/nw12336/20220125/c1905a92364e418f96bb785c5ce97f5e.html,发布日期:2022年1月25日,访问日期:2022年9月14日。

[2] 微盟“删库”事件全复盘:系人为破坏,目前数据已全面找回-腾讯科技-2020-03-02

[3] 江苏省南京市雨花台区人民法院(2020)苏0114刑再1号再审刑事判决书。

[4] 浙江省杭州市西湖区人民法院(2020)浙0106刑初437号一审刑事判决书。

[5] 浙江省平湖市人民法院(2019)浙0482刑初407号一审刑事判决书。

[6] 中国网络安全产业联盟技术规范《数据安全和个人信息保护社会责任指南(征求意见稿)》