与常规尽职调查领域相比,数据合规尽职调查侧重于业务经营中的数据处理活动情况以及企业数据管理情况。数据合规尽职调查主要侧重以下方面:
(一)业务中的数据处理活动
1.了解业务活动
数据处理活动主要发生在业务经营活动中,了解业务是开展数据合规尽职调查的前提。对业务情况的了解,将影响对数据处理活动合规性的判断。实务中,有些商业概念看似相同或业务貌似相似,但其交易实质或业务模式不同,企业在数据处理中的角色不同,在数据合规方面的责任不同。
2.梳理数据类型
法律对不同类型的数据有不同的保护要求。例如,对于敏感个人信息,在收集时企业应当遵循“单独同意”规则、“特别告知”规则等。对于重要数据,应当采取相应的措施加强对重要数据的保护。因此,对于不同企业的不同数据,在核查时应当分类考虑。例如,对于面向青少年儿童的在线教育企业,企业通过其运营的学习类APP收集不满十四周岁的未成年人(儿童)个人信息,包括姓名、性别、学校、年级、感兴趣的课程等,需要特别关注未成年人的个人信息处理。
3.了解企业在数据处理活动中的角色、锚定数据处理者
数据处理者是自主决定数据处理目的、方式的组织和个人,是承担数据处理责任的主体。实践中,涉及数据处理活动的交易场景往往是复杂的,涉及多方主体、多方商业关系相互交织。因此,律师需要在了解业务的基础上,甄别相关方在数据活动中的角色,锚定谁是数据处理者、识别谁应当承担何种数据处理责任。
4.核查数据生命周期全流程
数据处理包括数据的收集、存储、使用、加工、传输、提供、公开、删除等一系列活动,贯穿数据全生命周期。法律和监管对数据处理活动有明确的要求。数据合规尽职调查需要核查数据生命周期全流程各个环节是否合法合规。
(二)企业中的数据合规管理情况
法律对企业数据处理者落实数据合规管理责任有明确要求,企业应当予以落实。数据合规尽职调查对企业的数据安全管理情况的核查,主要包括:
●数据安全管理负责人及组织架构;
●数据安全管理制度;
●数据安全技术措施;
●网络信息系统安全等级保护;
●人员管理与安全教育。
(三)核查企业涉及的数据合规
相关的争议诉讼、仲裁或行政处罚等情况
通过核查涉及的数据合规相关争议、诉讼、仲裁或行政处罚情况,可以了解企业过往的数据合法合规情况。如果核查发现企业曾经因数据安全问题受到监管部门的调查、处罚或采取责令整改等措施或者与其他方发生争议、诉讼、仲裁,应当进一步核查该等情况的进展,了解企业是否采取措施、采取了何种措施,并关注企业是否仍存在导致同类争议、诉讼、仲裁或行政处罚事件发生的情况。
(四)视情况需要重点关注事项
法律对于某些特定主体(例如关键信息基础设施的运营者、处理数据达到一定规模的企业处理者)、特定数据处理活动(例如境外/国外上市、数据出境)以及涉及特定的数据类型(例如重要数据、国家核心数据)的情况有特别的监管要要求。因此,在尽职调查中往往需要对上述情况作为重点事项关注。
重点关注的事项视数据合规项目而定,例如,上市项目中企业是否需要进行网络安全审查、数据出境安全评估等,就是重点关注的事项。
上一篇:企业刑事合规业务分为哪几类?
下一篇:企业刑事合规不起诉适用的法定条件