随着数据价值凸显,“数据即资产”成为众多企业共识。在数字化转型的大环境下,数据化被广泛视为企业发展的重要战略方向。针对大数据与竞争、资本运作中的数据保护等问题,在日前举办的企业数字化争议解决沙龙上,大成律师事务所律师戴健民表示,供应链管理合规问题是企业管理过程中容易忽视的内容。企业法务部门及相关工作人员必须提早识别供应链上的数据合规风险,帮助企业成长,从护航者角色转换成领航者的角色。
在上海市锦天城律师事务所律师张丹看来,云服务商、技术服务商、数据受托处理者、数据提供方、数据接收方等都属于存在风险的供应方,应当根据不同供应商角色,通过准入审查方式,进行法律风险防范。如企业在接收数据时,对数据提供方的数据来源进行必要审核,防止来源不合法而导致数据不可用或承担法律风险。
张丹举例说,某数据科技公司与各网络贷款公司、小型银行公司合作,为客户提供需要贷款的用户的个人信息及多维度信用数据。该数据科技公司虽然与个人贷款用户签订有《数据采集服务协议》,其中明确告知贷款用户“不会保存用户账号密码,仅在用户每次单独授权的情况下采集信息”,但其违背了该协议约定,未经用户许可,通过技术手段长期保存用户各类账号、密码在其租用的云服务器上。最终,该数据科技公司与其法定代表人、技术总监被判侵犯公民个人信息罪。很显然,违法采集的各类用户数据也不能再继续使用,导致合作公司的利益受损。
除了准入审查外,企业还应考虑特定行业或特定主体的法律要求。张丹表示,如根据《关于促进智能网联汽车发展维护测绘地理信息安全的通知》,智能网联汽车在运行、服务和道路测试过程中对车辆及周边道路设施空间坐标、影像、点云及其属性信息等测绘地理信息数据进行采集、存储、传输和处理的,数据处理者应取得相应的测绘资质。企业采购汽车服务商或智能驾驶软件提供商的该项服务,应确认其是否已取得测绘资质。此外,企业采购云服务时,则应确保云服务提供商具备可覆盖其所提供服务的业务种类及范围的《增值电信业务许可证》以及通过网络安全等级保护认证。
为了降低企业在数据化转型时的合规风险,实现安全、有效的数据利用与流通,张丹建议企业,建立供应商管理规范,公开透明的供应商选择标准,明确供应商应符合的安全基线、淘汰指标等;设立必要的监督机制,避免利用市场优势地位向供应商滥收通道费等不合理费用,避免商业贿赂和其他腐败行为,维护供应链各企业的公平竞争;定期对供应商数据处理活动的安全风险和供应商数据安全管理能力进行评估,不符合条件的应执行退出、替换机制,避免为利益相关方带来损失;建立供应商应急响应机制,对合作过程中的数据安全事件及时响应,并为供应商提供必要的技术、人员等资源支持;注重与供应商的长期合作,协助供应商解决数据安全和个人信息保护方面面临的困难和难题,建立互信共赢的合作关系。