案例:中国企业“走出去”之数据专项合规案例——中国南方航空股份有限公司
一、企业简介
中国南方航空股份有限公司(以下简称“南航”),总部设在广东省广州市白云区齐心路68号,是以民用航空运输为主业的中央企业。截至2022年12月31日,南航运营总资产达3120亿元人民币。截至2021年12月31日,南航旅客年度运输量达1.52亿人次,连续43年居中国各航空公司之首,年旅客运输量居亚洲第一、世界前列,货邮运输量居世界前十。机队规模达800余架,是中国运输飞机最多、航线网络最发达、年客运量最大的航空公司。在2021年全球最佳航空公司100强评比中位列第12位,在2022年中国品牌力指数排名中获评民航业第一。
二、数据合规建设的做法
围绕目前我国数据保护领域现行的主要法律法规,如《民法典》《网络安全法》《数据保护法》《个人信息保护法》,借鉴国际成熟的GDPR,南航坚持系统观念和战略思维,在充分吸收归纳上述监管要求的基础上,采取了以下措施搭建数据合规体系:
(一)建立组织机构,明确管理职责
1.六级组织架构
在“指导实践、赋能业务”基本原则的指导下,为最大化发挥各部门专业技能、凝聚齐抓共管协作合力,通过对各部门职能权限和管辖范围进行合理界定,目前南航内部已构建六级数据合规组织架构:
第一级,数据合规官(DPO)。负责统筹数据安全及合规问题的受理和处置,对公司数据安全和数据合规工作进行监督。
第二级,数据合规主管部门。由法律标准部担任,负责制定完善数据处理及个人信息保护领域合规制度及指引,持续关注国内外数据保护领域最新立法及执法趋势,提供数据保护合规咨询和开展相应法律培训。
第三级,数据管理主管部门。科技信息与流程管理部(以下简称“科信部”)对公司生产运营中接触的数据全权管理,负责公司数据处理及监督,建立公司数据要素流通管理和数据管理人才培养机制。
第四级,数据安全主管部门。信息中心以数据管理相关系统、工具和平台为抓手,实时响应各部门的业务需求,完成对应业务系统功能的配套升级。
第五级,数据控制部门。具体包括各类与数据主体存在直接服务关系、具有一线运营职能的业务部门,其需要负责完善对口业务领域在个人信息保护方面的业务流程,及时维护数据主体的合法权利。
第六级,数据使用部门。该类部门虽然与数据主体不存在直接关系,但需要在公司内部整合数据主体信息以提供增值或保障服务。
2.数据合规工作组
法律标准部作为合规主管部门,牵头建立数据合规工作组,在将信息中心、科信部纳入矩阵式成员单位并规范其日常数据合规工作开展的同时,引导其与公司内其他具有合规管理职能的监督部门,如纪检监察部门、审计部门建立合作和信息交流机制,共同制定合规管理整体方针策略和实施计划,应对风险识别和评估中出现的风险敞口。
(二)梳理重点场景,摸排数据资产
作为合理分配公司数据保护资源的依据、建立健全民航业数据生命周期保护框架的基础、有的放矢地实施数据安全保护的前提条件,数据分类分级制度不可或缺。通过梳理具体业务场景和数据遭到违法收集、使用、泄露后对公司生产经营和经济效益、国家安全和公共权益造成的可能影响,南航采取以下路径对数据进行分类定级:
1.梳理数据资产类别
分析南航在业务运营中可触达的不同场景,共存在以下六种数据来源:一是通过南航官网和APP等媒介提供机票预订、行程管理等服务收集的旅客个人信息;二是飞机及其设备在使用过程中积累的运行数据;三是为履行与商业合作伙伴签订的双边联运协议等情形收集的对方旅客信息;四是在公司人事管理、办公场所收集处理的在岗员工个人信息。五是通过办公电脑制作并经由信息网络系统传输的,各部门产生的工作成果和来自于国资委等上级监管部门和地方行政主管部门发送的公文函件等涉密信息。
通过纵向解剖数据组成结构,南航将数据类型划分为三个层级:一级分类:将各数据对象聚类后形成十六类数据主题域;二级分类:在各数据域内以业务对象为标准进行细分:三级分类:以业务对象属性为依据再行划分。
2.指定数据安全级别
南航以国家安全、企业合法权益、个人隐私安全影响评估结果为识别要素,结合行业积累起的广泛实践经验,厘定四阶数据级别:一级数据为对国家利益、公司经营造成严重损害的数据;二级数据为已经泄露可能使公司承担较大商业风险的数据;三级数据为低敏感数据,不会对公司正常经营管理的数据;四级数据为通过公开途径向公众公布的数据。
3.发布评定级别
根据上述数据域维度,由业务领域负责人作为数据域管理责任人,协调数据供给单位和信息中心开展分级定义工作,制定数据分级目录。初始化数据经数据域管理责任人完成初步判定后交科信部评审,经网络安全与数字化委员会审批通过后在公司范围内正式发布。增补的数据,由科信部进行备案和汇总,组织数据域管理责任人进行评审。科信部作为数据分类分级工作牵头部门,每年或根据实际情况组织开展数据安全复审。
(三)开展培训宣贯,提升合规意识
在过往企业数据合规管理实践中,普遍存在对数据保护重要性认识不充分、开展数据合规工作程序性不足、以数据合规反哺数据经济新动能的意识不足等思想桎梏,唯有把思想建设摆在首位,拧紧数据合规的“总开关”、系紧数据安全的“第一粒扣子”,才能从根本上推进数据合规工作在新时代呈现新成效、取得新突破。
1.聚焦“关键少数”
南航将数据安全合规作为专题纳入管理人员法治专题学习,推动企业管理层提高合规意识,带头依法依规开展经营管理活动。
2.建立常态化培训机制
法律标准部作为数据合规主管部门,主导建立常态化合规培训机制,制定公司级年度培训计划,通过开创《法律标准大讲堂》栏目,运用“现场+直播”的授课形式,邀请公司业务骨干、知名律师事务所律师、中国民航科学技术研究院专家,对国内外相关法律法规和合规指引更新情况进行解读宣贯,将数据合规管理作为处室经理级别以上人员、重点岗位人员和新入职员工的培训必修内容。
3.加强合规宣传教育
及时修订《数据处理合规管理规定》总册和下属七个实施指引分册,提供清晰可操作的数据合规指引;制作宣传视频,以寓教于乐的形式使数据合规基础知识深入人心;汇编数据合规典型案例,以案为鉴倒逼员工遵守合规要求。针对上述数据合规产品,通过OA、电子邮件系统多媒介触达公司员工,在内网平台设立数据安全合规管理专栏,营造浓厚合规文化氛围。
4.筑牢合规履职底线
引导全体员工自觉践行数据合规理念、接受合规培训,组织全体员工签订合规承诺书,将数据合规安全管理纳入特定岗位职责清单。在公司流程管理平台每一涉及人机交互环节,根据不同操作类型提示数据合规要求,促进业务和法律深度融合。
5.设定违规举报流程和追责机制
设立违规举报网络平台、公布举报电话、邮箱,数据合规工作组根据举报线索进行调查和处理,对个人权益和公司合法权益造成严重影响甚至损害国家权益的行为,移交责任追究部门处理。
(四)接轨国际标准,防范海外风险
在个人信息保护逐渐成为全球性议题的背景下,GDPR等国家和地区法律法规相继出台,针对数据处理者规定了明确的数据合规义务和严苛的违法惩戒措施。鉴于GDPR在数据保护制度设计上的优越性,众多非欧盟国家也将该条例作为示范文本纳入业务合同框架,其国际影响力进一步扩大。为保障国际航运业务有序开展、规范个人信息处理活动,南航在遵守国内立法的基础上全面对标以GDPR为代表的国外立法,不断整改薄弱环节,逐步构建起成熟的涉外数据处理机制。
1.更新现有协议文件
制定《隐私保护政策》《Cookies政策》《GDPR合规义务的通知》《数据处理保护协议》,为业务活动提供法律文本支撑;法律标准部保持对重点国家政策动向的研究,及时将研究成果提升为协议内容指导业务实践。
2.固定标准操作流程
运行、人力资源等业务系统负责人定期梳理业务流程及合同协议条款中涉及数据保护方面的情况,形成《数据保护合规性清单》,对照清单不符合项,持续完善数据保留及销毁政策、客户请求处理流程、个人信息事件管理规范、供应商管理规范、监管报告流程,巩固拓展流程优化成果。
3.明确合作伙伴义务
在与外航开展航线联营、与机场和订座系统服务商共享旅客信息等合作场景中,每一次业务开展前需对外发布《GDPR》和《个人信息保护法》合规公告,在合作协议审核环节于数据保护章节中明确相对方服务标准、数据备份和恢复、数据泄露和预防等条款,将《数据处理保护协议》作为附件要求相对方一并签署,并及时开展个人信息处理影响评估,而明确合作伙伴的旅客信息保护责任。
4.公开数据处理流程
南航在官网等平台发布《隐私通知》和《Cookies政策》,对各个在线渠道和线下旅客服务渠道进行不定时更新,在购票环节要求旅客主动阅读并勾选同意《南方航空隐私政策》,告知其数据权利义务和申诉路径。
5.畅通内外部沟通渠道
内部在涉及数据出境等涉外场景,法律标准部列席业务部门例会提供法律支持、出具合规意见;外部与律师事务所建立GDPR顾问团队长效沟通机制,由专业机构定期分享个人信息保护国际发展趋势的相关研究,及时响应南航在业务开展中面临的合规咨询。
三、数据合规建设的成效
“合规管理强化年”行动开展以来,南航数据安全合规管理再上新台阶,法治央企建设取得新实效。
(一)数据合规意识显著增强
截至2022年5月1日,《数据处理合规管理规定》总册及各指引分册累计阅读量超过3万次,手册引用率和活跃度得分在手册平台统计中名列前茅,涉数据出境等重大疑难合同法律标准部前置审批率达100%。
(二)决策管理效率大幅提升
伴随数据合规工作蔚然成风,南航在管理水平上取得长足进步,数据分类分级审批效率大幅提高,数据合规评估程序缺省率趋近于零。通过加强数据域管理、打造数据生态圈,管理层决策依据得到充分保障、业务部门价值创造不断增长。
(三)实现违法违规数量清零
自2022年以来,南航未曾因违反数据安全法律法规受到各种行政处罚和刑事调查,实现涉数据安全诉讼案件零增长,因发生违法违规事件导致经济赔偿金额零发生。
(四)社会美誉度节节攀升
自《客户隐私政策》更新后,客户投诉数量大幅缩减,个人信息不安全泄露事件鲜有发生,在数据保护领域树立了负责任的航空企业形象,彰显了忠诚为民的中央企业担当,赢得了宝贵的无形资产,用“数据合规”标签擦亮了品牌知名度、扩大了企业影响力。
来源:中国企业评价协会