企业数字化转型合规要点评述(完整)
下面是小编为大家整理的企业数字化转型合规要点评述(完整),供大家参考。
企业数字化转型合规要点评述
目录 一、数字化治理体系的构建 二、供应商的合规审查 三、业务数字化的合规确认 四、云计算的合规监管 五、数据的分类分级 六、数据处理的流程合规 七、流动数据的管理合规 八、静态数据的保障合规 九、数据权益护城河的建立 一、数字化治理体系的构建 ( ( 一 ) 基础设施的搭建与管理
传统企业数字化转型通常需要大量增加智能设备、网络系统和数据上网,对技术基础设施的需求会迅速增长,比如网络配置、云计算、云存储等。网络一般来自于基础电信运营服务商,但云计算、云存储有可能搭建自有服务器,更多时候可能会采购第三方云服务。各类智能化管理系统也呈现自研和外包两种类型。
如果自行搭建网络基础设施,可能会涉及增值电信业务,相应产生资质牌照申请需要(详见下文“业务数字化的合规确认”)。如果是自第三方采购网络基础设施,鉴于提供该等服务的企业需要具有对应的资质,因此,将涉及供应商管理的特殊风险防范(详见下文“供应商的合规审查”)。
( (二 二) ) 管理制度的建立与健全
根据《数据安全法》的规定,企业开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度。一方面,为切实保障企业数据安全,规范与保护信息在传输、存储和处理过程中的机密性、完整性,提高员工信息安全防范意识和操作技能;另一方面,为确保企业数据处理活动符合《数据安全法》等相关法律法规的要求,企业在数字化转型过程中,应建立健全覆盖全部数据生命周期的数据合规管理制度,包括数据采集、数据使用、数据访问权限控制、数据导出和数据删除等相关的制度。
通常而言,企业的数据管理制度体系由如下部分组成:
( (三 三) ) 执行机构的设立与完善
数字化转型合规治理执行机构的设立有两种情形,第一种为上文所述的沟通协调部门,基于企业转型的实施方案,根据实际需要决定是否设立;第二种为根据法律规定必须要设立的专职部门。
数字化转型的网络化、数字上云等必然产生数据安全问题,根据《数据安全法》,重要数据的处理者应当明确数据安
全负责人和管理机构,落实数据安全保护责任。
此外,随着数据管理制度的建立健全,执行机构也需同步设立与完善,否则制度建设将流于形式,无法真正践行、保障数据安全及数据合规,数字化治理体系的构建也是纸上谈兵。
( (四 四) ) 数字化办公的管理与规范
数字化办公既包括无纸化办公,也包括远程办公。无纸化办公依赖于文件形式虚拟化、审批流程线上化,需要较高的网络安全环境。
远程办公并不是一个新话题,但近两年的新冠疫情发展使得远程办公、居家办公成为热点话题。在企业数字化转型过程中,可能会产生新业态新模式,相应地,远程办公、无纸化办公可能会愈发普遍。在给予员工更灵活的办公条件的同时,设施的安全性、员工的隐私等都成为突出的法律问题。
1. 第三方服务对远程办公的风险
远程办公大量借助于第三方提供的服务,比如在线会议
软件、文档协作软件等,这些软件大量收集、传输、存储企业信息。因此,在使用第三方服务前,必须审核第三方服务资质、确认系统是否符合技术安全要求、通过签署正式协议明确网络安全责任主体、商业秘密或其他权益数据泄漏的责任主体。如企业本身对在线功能实时性要求极高,还需审核第三方服务的 SLA(服务等级协议)。
2. 员工使用自有设备带来的风险
在常规办公情景下,企业会要求员工必须使用企业设备,如电脑,企业对设备本身的控制力较强,可以将提前设置好系统权限、安装好必备软件的设备交员工使用,在员工离职时,对设备的数据进行查验、清理、备份,甚至成为员工与企业纠纷中重要的证据来源。在远程办公情景下,为响应工作要求,允许员工使用自有设备的必要性大大增强,也可以在一定程度上减少企业开支。但是,员工使用自有设备会带来一系列的数据安全(如自有设备未经企业 IT 人员安装安全装置,配置安全参数)、VPN 权限滥用的风险,并且,基于企业对员工行为负责的法律要求,员工滥装盗版软件会带来知识产权侵权风险。
我们建议,为降低和避免员工使用自有设备所带来的法
律风险,企业可考虑采取包括制定自有设备安全使用制度、建立访问权限制度和数据分类分级管理制度、制定网络应急预案等方式保障员工安全使用自有设备。
3. 视频打卡等管理措施带来的侵犯隐私风险
在远程工作的过程中,企业出于对员工进行管理和监督的需要,可能会对员工进行各种形式的工作状态监控,比如要求员工定时定点视频打卡、要求员工时刻开启摄像头、通过插件追踪员工上网记录等。这些管理和监控措施,一旦超过公平、必要、合理的界限,就会触及员工合法的个人隐私。因此,远程办公情景下,平衡管理和隐私成为必须关注的合规议题。
( (五 五) ) 线上签约的效率与安全
随着加密传输、时间戳固化技术、区块链存证技术、SSL数字证书等可信性加持技术的发展和成熟,越来越多的企业合同签订电子化、公司内部文件数字化,在数字化转型过程中,前述情形也会相应产生和增加。
合同线上签订大大缩短与合作伙伴签约的流程、提高签
约效率,但是,要确保线上合同签订行为的效力没有瑕疵,并非鼠标点击确认即可,——对应的实名信息验证、具有电子签名认证资质的服务机构颁发的数字证书、签署后数据电文内容和形式的改动可被发现、合同本身对线上签约的特别约定等都是风险要点,都会影响合同的效力。此外,并非所有的合同都允许电子签署,例如,企业与行政主体之间的数字合同或行政管理文件不允许线上签订。
( (六 六) ) 数字化管理的留痕与备份
当企业各类事项一一电子化、数据化后,面临纠纷时,电子数据成为纠纷应对的重要证据。日常管理中,为确保数字化管理信息的真实、全面,留痕和备份十分重要,根据《电子签名法》以及《最高人民法院关于互联网法院审理案件若干问题的规定》,电子证据需要着重审查电子证据所依赖的计算机软硬件是否可靠、生成时间及主体是否明确、保管方式是否妥当、提取方式是否可靠、内容是否存在修改或不完整以及是否可以对电子证据进行重复验证等多方面内容,从而综合判断电子数据的真实性并决定是否采纳。
二、供应商的合规审查 企业以采购资源、委托研发等形式进行数字化转型时,除却从技术层面了解供应商的网络安全保护能力、网络稳定
性支持能力、数据安全保护能力外,还需要特别审核供应商是否具有提供服务的资质、是否提供了合法资源,尤其是企业选择云计算服务供应商的情况下,需要确保:
(一) 供应商不得超业务范围、地域范围经营:电信业务经营者应当按照经营许可证所载明电信业务种类,在规定的业务覆盖范围内,按照经营许可证的规定经营电信业务;IDC业务经营范围以机房所在地为限;ISP 业务经营范围以业务用户覆盖范围为限;
(二) 云计算服务供应商应当提供增值电信业务许可证的证照或者编号;
(三) 云计算服务供应商的许可证为其母公司持有的,需确保母公司的持股比例不少于 51%;
(四) 购买 IDC、ISP、CDN 服务时,供应商的资源不得来自于无证企业资源。
三、业务数字化的合规确认 ( ( 一 ) 基础业务资质牌照
企业原本线下业务不需要申请资质牌照或者业务需要
具有资质牌照的,都有可能因转向互联网产生新的资质牌照要求。比如,药品经营企业从事药品销售,仅有线下业务时,只需要具有《药品经营许可证(零售/批发)》,而当该企业于互联网上销售药品时,则必须办理《互联网药品信息服务资格证》。
在数字化转型过程中,企业业务上线常常触发第二类增值电信业务许可证的申请,常见情形包括:
1. B21 在线数据处理与交易处理业务——EDI(电商平台、在线支付)
2. B22 国内多方通信服务业务(电话会)
3. B23 存储转发类业务(电子邮件)
4. B24 呼叫中心业务 5. B25 信息服务业务——ICP(信息发布、搜索引擎、即时交互)
B21 在线数据处理与交易处理业务(EDI)是指利用各种与公用通信网或互联网相连的数据与交易/事务处理应用平台,通过公用通信网或互联网为用户提供在线数据处理和交易/事务处理的业务。在线数据处理与交易处理业务包括交易处理业务、电子数据交换业务和网络/电子设备数据处理业务。
B25 信息服务业务(ICP)是指通过信息采集、开发、处理和信息平台的建设,通过公用通信网或互联网向用户提供信息服务的业务。信息服务的类型按照信息组织、传递等技术服务方式,主要包括信息发布平台和递送服务、信息搜索查询服务、信息社区平台服务、信息即时交互服务、信息保护和处理服务等。
就何种情况办理 ICP 备案,何种情况办理 ICP 许可,是办理 ICP 许可还是办理 EDI,实践中,许多企业对此无法准确区分与判断,导致要么无证经营或者超范围经营,要么花费额外的成本办理本不需要的资质证照。
企业数字化转型后,新的资质牌照的必要性在于:(1)未获得电信业务经营许可证的,任何组织和个人不得从事电信业务经营活动;(2)未获得电信业务经营许可证的经营者无法合法获得基础电信业务经营者提供的电信服务和电信资源。
如果企业资源和技术足够强大,为数字化转型自行设立新的业务公司为集团内其他企业提供服务,则该企业落入第一类增值电信业务范畴时,还需要视情况去申请 B11 互联网数据中心业务 IDC、B12 内容分发网络业务 CDN、B13 国内互
联网虚拟专用网业务 VPN、B14 互联网接入服务业务 ISP 等牌照。
数字化转型带来的资质牌照的申请,也会对企业的股权结构调整、融资运作带来重要影响,因为增值电信业务的外资限制比较多,具体如下表所示:
( (二 二) ) 转型后的等级保护
为推动工业互联网安全责任落实,对工业互联网企业网络安全实施分类分级管理,提升工业互联网安全保障能力和水平,工业和信息化部研究起草了《工业互联网企业网络安
全分类分级指南(试行)》,将工业互联网企业分为三类:
1. 应用工业互联网的工业企业,主要涉及原材料工业、装备工业、消费品工业和电子信息制造业等行业; 2. 工业互联网平台企业,主要指对外提供工业互联网平台等互联网信息服务的企业; 3. 工业互联网基础设施运营企业,主要包括基础电信运营企业和标识解析系统建设运营机构。
同时,该指南对应用工业互联网的工业企业网络安全分级进行规范,根据企业所属行业网络安全影响程度、企业规模、企业应用工业互联网的程度、企业发生网络安全事件的影响程度等要素,将企业划分为一类、二类和三类:
1. 一类行业包括轻工、纺织、食品; 2. 二类行业包括建材、废弃资源回收加工、机械、汽车、其他运输设备、医药、电子设备制造; 3. 三类行业包括钢铁、有色、石化化工、轨道交通装备、船舶及海洋工程装备、航空航天装备。
此外,该指南采用计分方式(满分制)将企业分为三级,分别为:
1. 评分大于等于 80 分的,为三级企业; 2. 评分大于等于 60 分的,且小于 80 分的,为二级企业; 3. 评分小于 60 分的,为一级企业。
分类分级之后,不同级别的企业在组织管理、安全防护、风险评估、应急管理方面有不同的合规要求,具体如下表所示:
四、云计算的合规监管 无论是技术角度还是业务角度,企业数字化转型都会与云计算密切相关,云计算也在技术安全和法律合规两个层面影响着企业数字化转型的基础,即数字化转型金字塔的第一个层级。
云计算,简单来说是分布式计算技术的一种,是透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序,再交由多部服务器所组成的庞大系统经搜寻、计算、分析之后将处理结果回传给用户。透过这项技术,网络服务提供者可以在数秒之内,达成处理数以千万计甚至亿计的信息,达到和“超级计算机”同样强大效能的网络服务。
根据《信息安全技术云计算服务安全指南(GB/T31167-2014)》,从用户体验的角度,云计算可以分为 IaaS(Infrastructure as a Service 基础设施即服务)、PaaS(Platform as a Service 平台即服务)和 SaaS(Software as a Service 软件即服务),不同类别的云计算之间的区别如下表:
在云计算业务体系下,狭义的云计算服务商——IaaS、PaaS、SaaS 下需要取得 IDC 牌照的厂商,即提供数据中心业务的厂商,以及提供内容分发网络业务(B12-CDN)和互联网接入服务业务(B14-ISP)的厂商,面临资源来源合法、资源使用合法和资源去向合法的强监管。
( (一 一) ) 资源来源合法
P 1. ISP 业务经营者:应当租用取得相应经营许可证的基础电信业务经营者提供的电信服务或者电信资源从事业务经营活动,不得从其他 ISP 经营者转租电信服务或者资源;
2. IDC 、 ISP 、N CDN 业务经营者不得自建通信传输设施,不得使用无相应电信业务经营许可证的单位或个人提供的网络基础设施和 IP 地址、宽带等网络接入资源;
3. 禁止“ 下水道”、 、“ 黑带宽”,打击通过专线合同替换通信资源、使用不合法资源,严禁更改资源用途,严禁宽带汇聚(将小流量带宽汇聚成大流量带宽使用)。
( (二 二) ) 资源使用合法
1. 不得超业务范围、地域范围经营:电信业务经营者应当按照经营许可证所载明电信业务种类,在规定的业务覆盖范围内,按照经营许可证的规定经营电信业务;
2. 标注证书编号:电信业务经营者应当在公司的主要经营场所、网站主页、业务宣传材料等显著位置标明其经营许可证编号;
3. 无批准不授权:电信业务经营者经发证机关批准,可授权其持股比例不少于 51%并符合经营电信业务条件的公司经营其获准经营的电信业务...