专家策略
钟瑜
康达律师事务所
高级合伙人
yu.zhong@kangdalawyers.com
梁书仪
康达律师事务所
律师
shuyi.liang@kangdalawyers.com
数据对企业业务创新和市场拓展的作用日益重要,建立数据合规管理体系是减少数据密集型企业经营风险的根本措施
在
数字化浪潮的推动下,数据在金融领域的应用驱动着业务创新与市场拓展。随之而来的数据合规问题也日益凸显,尤其对于数据密集型企业而言,构建一套科学、有效的数据合规方案显得尤为重要。本文以真实案例探讨金融数据合规应用的关键要素与策略,以期为企业提供有价值的参考。
实例
国内领先的医疗器械行业数据服务商通过整合行业内丰富的数据资源(包括现有市场数据、招标数据、第三方数据),利用大数据和人工智能技术,形成金融领域的高质量替代数据。该数据在提升金融机构对医疗器械行业企业信用评价的准确性、授信贷款效率及降低金融服务成本方面展现出显著成效,也促进了金融服务的创新和发展。于此同时,企业也面临多项挑战,包括数据来源的合法性(是否涉及公共数据、个人数据)、数据资产的权属、数据使用的授权及授权链路、爬虫技术的合法应用、数据安全保护以及数据跨境传输等问题,这些都是数据合规和数据入表过程特别需要关注的。
数据合规措施
该企业从数据来源、收集、处理、运营、管理、保护等方面建立健全数据资产合规机制,在完成数据资产识别梳理工作的前提下,完成数据资产入表合规制度体系的构建。具体措施如下:
遵循政策与法规。了解业务所涉及国家和地区的隐私法规、数据保护法律,并定期审查与更新合规政策,确保其与最新法规保持一致。
建立合规方案。解决数据权属、授权及链路等问题,为数据合规扫除了障碍、奠定合规基石。
构建数据资产制度体系。企业需基于来源于公开数据与第三方数据的主要数据,构建以《数据资产确认工作指引》为核心的数据资产制度体系。
(1)梳理已有的数据资源环境信息、文件系统及数据库,构建数据资产清单制度。针对不同数据采集手段与数据类型的合规要求,制定以《数据分类分级管理制度》与《爬虫采集合规制度》为核心的数据来源合规管理制度。《爬虫采集合规制度》严格限制技术使用范围与手段,秉持无授权不操作不收集的基本原则,未征得相关主体同意前不收集涉及他人知识产权、商业秘密或非公开个人信息的数据。在购买其他数据提供方的数据时,企业应制定数据获取承诺制度,要求数据提供方作出陈述,保证其提供的数据已取得了所有相关数据主体的合法授权,不侵犯任何相关数据主体的合法权益等。
(2)明确部门的职责及协同。数据生产部门协助数据管理部门,核实数据资源满足预期价值流入和可靠计量条件后,确定数据资产成本。财务部门负责在数据资产确认后,通过登记卡片存档管理。数据治理部作为数据合规管理部门,负责监督评估数据资源管理工作,对数据资源开展数据质量治理。
保护数据安全。使用先进的加密技术来保护存储和传输中的数据,以防止数据泄露和非法访问。实施严格的访问控制和权限管理策略,确保经授权的人员才能访问敏感数据。建立定期的数据备份机制,并定期测试备份数据的可恢复性,防止数据丢失。
定期进行风险评估。识别可能产生影响的内部和外部风险,如数据泄露、系统故障等。针对识别出的风险,制定并执行相应的风险应对策略,如制定应急响应计划。
开展合规培训。协助员工了解并遵循合规政策和法规要求,提升员工的数据安全意识,减少数据泄露的风险。
定期进行内部审计。检查合规性和风险管理措施的执行情况。实时监控系统和网络,及时发现并应对任何异常活动或潜在威胁。
选择与注重数据安全和合规的伙伴合作。在合同中明确数据保护和合规要求,确保合作伙伴遵守相同的标准。
数据密集型企业如何高效、安全地应用数据并确保其合规性是一个亟待解决的问题。数据合规应用是企业法务风险管理的重要组成部分。面对复杂的法律环境和多变的技术挑战,企业需从以上各方面入手,构建全面的数据合规管理体系。
作者 | 康达律师事务所高级合伙人钟瑜、律师梁书仪
本文刊载于《商法》2024年9月刊。如欲阅读电子版,欢迎浏览《商法》官网。
往期专栏精选
长按扫码关注我们
为了让您第一时间获取专业法律资源
请常点“在看”
并将“CBLJ 商法”设为星标
阅读原文查看更多专家策略的相关内容
