第二节　避坑点之内部管控

当企业将外部协议合规工作完成后，往往会认为合规工作已经完成，“面子工作”已经做完了，公司内部不必要在这方面浪费成本了。这样带来的后果是，对于在线协议中写明的内容，各部门可能会怠于执行或根本不执行，不能达到外部用户、合作伙伴、投资公司以及监管机构的预期，可能会面临用户投诉、融资失败、终止合作甚至监管处罚的后果。当真有这种后果发生时，法务部会被拉上战场充当“灭火队员”，但公司内部一直不重视，又没有相应制度的支撑，导致基本没有有利证据留存，“灭火”失败或者达不到预期，又会担任“背锅侠”的角色。

为了保护企业生态稳定，避免“起火”，我们应该尽早建立合规制度，消灭危险源。几个常见的危险源以及解决措施初步梳理如下，以供参考。

危险源一：各部门间职责义务不清晰，可能出现工作重叠或存在空白区的情况

解决方案：公司组成数据合规专项工作小组，公司管理层、法务部、产品部门、技术部门、公关部门等相关部门均应指派专员参加，以便各部门及时同步相关情况，第一时间进行解决和处理。在制度上，明确小组及小组成员的职责义务，做到有据可依。

危险源二：个人信息处理行为不合规

解决方案：公司可以制定个人信息合规保护指引，作为企业内部合规参考指引，帮助产品、技术、运维等部门了解在前端和后端处理个人信息时应当注意的合规要点。公司还应定期组织合规培训，了解法律法规的要求以及更新情况。

危险源三：未设置访问权限控制措施

近年公司内部员工泄露个人信息的案件屡见不鲜，究其根本，还是公司对数据库访问权限的管理存在纰漏。

解决方案：公司应当设立权限分化机制，按岗位实际义务划分为“有访问权限”和“无访问权限”的员工，对于有访问权限的员工，还应当按需划分对个人信息的操作权限，例如，是否有权限对个人信息进行批量下载、删除等操作。对于无访问或相应操作权限的员工，如需超权限处理的，应严格履行审批手续，并留存记录，便于溯源、举证及追责。

危险源四：未明确与第三方之间的权利义务关系

公司在与第三方进行商务合作时，往往只会重视业务层面是否合适而忽视对数据方面的责任和义务，对于双方之间关于数据来源合法性、数据保护义务、数据删除等方面，没有在合同中明确要求，不利于公司对风险的管控以及溯源。

解决方案：公司应按充当数据处理者和数据控制者的角色分别制定与第三方之间的合作协议模板。公司作为数据处理者时，一般会作为数据的接收方，应当要求委托方承诺其数据来源的合法性，并在合同中明确所有处理行为均基于委托者的委托，在确保自身的数据处理行为合规且安全的情况下，完成数据处理行为，并及时删除数据，降低自身的合规风险。公司作为数据控制者时，一般会作为数据的提供方，在合同中严格限制受托方处理数据的范围，保留对受托方进行审计的权利，并明确在合同履行完毕后，受托方应当按要求删除受托数据。

危险源五：数据安全保护能力不足

根据《网络安全法》要求，网络运营者应当履行网络安全等级保护义务，完成网络安全等级保护认证。虽然公司已经按要求取得了等级保护三级认证，但并没有严格按等保的要求履行，做完的一套等保制度等于一纸空文，静静地放在某个文件夹里无人问津。大家需要明白的是，一份证书是无法挡住攻击者的攻击的。

解决方案：这里肯定很多人会说，解决方案就是把那“一纸空文”写上字盖个章，再落到实处就可以了。其实理解得很正确，但实践起来还是有些难度，因为多数员工并不理解等保系列文件中术语的含义，也不知悉每份文件的具体用途。我们建议企业可以将等保制度结合到已经制定的内部制度中，例如，在个人信息保护指引中将技术要求单独成章，尽量以简洁易懂的语言将比较核心且重要的内容在该章中进行约定（如存储、传输个人信息等高敏数据时必须加密、数据分级分类存储等），以便各部门员工都可以理解及参阅。

危险源六：对关键岗位员工及第三方合作伙伴未进行背景调查

招聘的员工如有受到行政处罚或被采取重大行政监管措施的，其担任关键岗位可能不仅仅是风评影响的问题，还可能会违反法律法规的要求。例如，《证券基金经营机构信息技术管理办法》明确上述人员不得担任公司的首席信息官。除员工外，第三方合作伙伴发生过重大数据泄露事件的，公司自身可能也会面临比较大的合规压力，包括社会风评、发生安全事件的风险预评估等。

解决方案：针对拟担任关键岗位的员工，HR部门应事先做好背景调研，对于拟录用的员工中有因自身重大过失而导致安全事故发生、受到行政处罚、被采取重大行政监管措施、受到刑事处罚等的人员，应当及时告知法务部门，由法务部按法律法规要求评估判断该员工是否可以录用。针对第三方合作伙伴，公司应当制定第三方合作准入机制，以合规情况问卷或清单的方式要求第三方合作伙伴据实回答，对于发生过重大数据安全事故的，视情况决定是否合作。第三方对问卷及清单的答复应留存记录，便于日后确有与该第三方相关的安全事件发生时，向监管举证，适度降低自身的合规责任。

危险源七：安全事件的应急处理流程不规范

互联网环境并不是百分之百安全的，公司应当时刻做好应对数据安全事件的准备。我们都应该清楚，如果公司做不到防患于未然，当“隐患”真的出现时，仓促且不完备的处理方式将会给企业带来非常恶劣的影响。

解决方案：公司应当围绕“数据安全事件”建立一系列规范制度，包括事前的安全运维、日常培训、定期演练；事中的应急预案、公关话术、及时通知、减损措施；事后的事件复盘、体系制度完善及内部追责等。

事前阶段：法务部门、技术部门、运维部门、客服部门及其他可能涉及安全事件处理及应对的部门应当共同协作，组成网络安全事件应急处理工作组，制定完善的内部制度体系，包括但不限于《网络安全事件应急处理预案》《工作组义务及职责》《应急事件情况与处理报告表》《业务影响分析报告表》等。工作组应定期（至少一年一次）组织安全事件应急处理培训与演练，形成报告或以其他可留档的文件形式，作为公司合规工作的证明，必要时可在一定程度上减免公司的安全责任。

事中阶段：工作组应及时评估事件发生的原因、应对策略及严重性等内容，如符合国家相关法律法规要求需及时上报给监管机关的，应及时上报，按监管机关的指示进行处理。此外，公司内部应尽早按既定的应急预案开展治理工作。安全事件中涉及用户个人信息的，还需及时向用户告知：安全事件的基本情况和可能的影响、公司已采取或将要采取的处置措施、用户可自主防范和降低风险的建议、对用户的补救措施等，如可以逐一通知用户的，建议通过“电话、短信、站内推送等方式”通知用户，如难以逐一告知个人信息主体时，建议公司采取合理、有效的方式发布公告。此时，客服或公关等部门需按既定的话术对外部做出回应，严禁以诸如“个人立场、个人观点”等方式对外肆意发表言论。

事后阶段：在安全警报已经解除的前提下，尽量进行消除影响、减免损失的善后工作。最后，公司内部应对安全事件的发生原因、处理流程等情况进行复盘，识别风险源或在本次应对过程中处理不当的环节，及时完善和优化公司的安全技术体系以及安全制度体系，减少此类相似事件再次发生的可能性。如本次事故是因内部员工的故意或重大过失行为引起的，也应当视情况追究其个人责任，做出相应的处罚处理，以达到警示员工、引起重视的目的。

以上是小白介绍的公司内控层面需要注意的“雷点”，希望大家可以提前完成“扫雷”工作，在后续的工作中，小白还会进一步对“排雷计划”做进一步完善，帮助公司扫清内控层面的“雷区”。