数据时代,数据已成为新的生产资料,企业需要通过大数据掌握自身运营情况、了解客户需求、把控市场趋势。在个人信息保护逐渐得到重视之前,企业已习惯于收集大量个人信息,并因业务需要与第三方供应商合作,进行委托处理、共享、转让或者融合数据。尽管许多企业已实施了供应商风险管理计划,但立法和执法实践越来越关注第三方托管和数据处理活动的风险。
“对于有上市计划的数据密集型企业,数据源合法性不仅仅是日常运营的合规需求,也是未来上市申请的核查重点。证监会、交易所等有关数据合规的问询将覆盖企业对数据全生命周期的管理活动。”上海市华诚律师事务所合伙人吴月琴表示,企业对来自外部的上游数据源应至少进行如下合规审查工作:一方面,识别数据类型,判断是否包括个人信息(个人敏感信息)、重要数据及其他受监管的特定行业数据;然后再确定数据来源的合法性,理清供应商获取用户数据信息的获取途径,收集用户信息获得用户同意的具体制度安排,如收集用户信息时是否明确告知收集信息的范围及使用用途;核查供应商是否拥有所涉相关数据信息的产权归属及其法律依据。此处不仅仅是文件的形式审查,必要时也应该采取实质性审查,比如抽查用户同意的真实性;
另一方面,对于爬虫爬取的数据,需要进行深度的合规性评估,避免存在连带的法律责任甚至是行政、刑事风险。合规性评估,包括数据来源合法性和数据收集授权范围的审查和确认:如是否获得被爬取用户或者平台是否授权同意,是否需要三重授权,是否存在民事、行政和刑事违法风险。未经授权直接爬取其他平台数据的,可能构成“搭便车”、“侵犯商业秘密”的不正当竞争行为。绕过平台的技术措施的爬虫行为,可能构非法侵入他人网络、窃取网络数据的违法行为,甚至具有涉嫌构成“非法获取计算机信息系统数据罪”或“破坏计算机信息系统罪”的刑事风险 。
此外,企业要根据法律法规及标准评估当前的供应商风险管理计划。“企业内部应建立完善的供应商评价体系,做好供应商甄选、数据源核验以及合同合规性审核的内控措施。尤其是下游供应商的合规性审查。”吴月琴表示,建立供应商评价体系,首先需要结合现有的个人信息保护法律法规及国家、行业标准,制作评估供应商业务、安全控制等信息的调查问卷,然后根据供应商的情况选择适用于供应商的评估标准,后续采取定期审计等方式,以监督供应商是否满足标准,并对于不足部分改进。
