数字化背景下,数据成为新的关键生产要素,数据安全既关乎国家安全、经济发展和社会稳定,又与每个个体的隐私息息相关。随着《数据安全法》《个人信息保护法》在2021年相继发布实施,近两年来国家相关主管机构不断加强数据安全和个人信息保护的监管,组织的安全意识获得了显著的强化和提升,相应的措施获得了实质性的应用。从社会责任的视角来看,数据安全和个人信息保护的落实,是每个组织的责任和义务。
关于社会责任,在《数据安全法》第八条明确指出:开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
在《个人信息保护法》第十一条指出:国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境。第五十八条指出:提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:(四)定期发布个人信息保护社会责任报告,接受社会监督。
2022年5月13日,由中国网络安全产业联盟归口,CCIA数安委组织委员单位编制的联盟技术规范《数据安全和个人信息保护社会责任指南》(T/CCIA 002—2022)(简称:联盟技术规范-社会责任指南)启动编制工作。2022年12月30日,联盟技术规范-社会责任指南正式发布,该技术规范成为国内首个企业履行数据安全和个人信息保护社会责任方面的指导文件。2023年3月,完成第一批试点单位的社会责任评价。2023年8月30日,全国信安标委发布了《关于2023年第一批网络安全国家标准项目立项的通知》,国家标准《信息安全技术 数据安全和个人信息保护社会责任指南》(简称:社会责任指南)立项。
国家标准《信息安全技术 数据安全和个人信息保护社会责任指南》(草案)从六大主题阐述履行数据安全和个人信息保护社会责任的要领,并提供了评价的指标和等级。
- 组织治理和内部管理:包括核心价值观和发展理念,管理层承诺、声明,社会责任战略、工作目标,社会责任实施部门、资源支持,内部宣传与员工关怀以及内部监督和员工激励;
- 合规性、创新性和价值体现:包括产品或服务的合规性,技术的创新性和先进性,用户使用的价值体现,社会治理的价值体现,数字包容与特殊保护;
- 公平运行、竞争与合作 :包括数据处理规则的透明性,知识和技术成果保护和共享,构建有效的平台规则,供应商规则共建及协助,公平竞争环境构建;
- 消费者权益保护 :包括个人人身、财产利益保护,消费者投诉及争议处理,接受社会(中立)组织监督情况,消费者教育和意识培养;
- 公益参与和社会发展:包括慈善捐助与公益参与,活动举办与科普宣传,行业自治和工作联动,就业创造与产业投资;
-
无论政府部门、企业还是非营利组织,采取必要的措施来保护自身和用户的数据安全,通过自身影响力推动数据安全与个人信息保护的发展,通过组织级能力保障他人的权益和利益,这其中既有合规要求之必需,又有承担社会责任使命之所在,同时也夯实了自身发展之根基。践行数据安全与个人信息保护的社会责任,关键把握以下方向:
组织在数据安全和个人信息保护方面的合规性,首先需满足国家相关监管机构的要求,即监管层面的评价。合规遵从属于组织应完成的监管侧目标,具有强制性,而社会责任则属于道德的义务和责任,具有自主性,从表面来看,合规遵从与履行社会责任之间并不具备显著的关联性。在数据安全和个人信息保护领域,更多关注技术措施层面、管理层面的法律法规的合规要求,许多数据安全问题,首先违反了法规的相关规定,但是从根源上分析,缺乏社会责任担当又是背后隐藏的一大促发因素。在社会责任指南中,对合规性从组织开展制度、文档、策略、流程的建设,完成内审、自评估、第三方评价、第三方审计,获得权威机构认证等方面进行了强调,合规遵从之于履行社会责任的意义在于:促进组织自主的践行合规要求,无论是否有相关部门的监管,组织能够自发履行数据安全与个人信息保护的社会责任, 进一步影响相关利益者同步推进合规遵从,从而有助于在全社会范围内更好的落实合规要求。
不同的组织规模不同,所处发展阶段不同,在履行社会责任时的表现也不同。大型企业往往会采取更多的措施来履行社会责任,如积极参与数据安全体系建设,支持数据安全与个人信息保护公益事业,通过捐款捐物来帮助特殊群体等。中小型企业在履行社会责任方面也会有一定的表现,虽然规模相对小一些,但通常也可以尽可能地回馈社会。对于初创企业来说,在创业初期可能会面临资金和资源的紧缺,因此在履行社会责任方面的举措相对少一些,但并不意味着社会责任的缺失。一些初创企业,例如通过创造数据安全相关的就业机会来帮助解决社会问题,或者支持一些有意义的个人信息保护公益项目等等。不同组织在履行社会责任的过程中承担了不同的角色,在履行社会责任方面的表现会有所不同,但无论是大事还是小事,每个组织都可以尽我所能,通过自己的行动来履行数据安全与个人信息保护的社会责任。
履行数据安全与个人信息保护社会责任,是对社会的责任感和使命感,不是为了达到KPI(关键绩效指标)或是出于特定场景下的宣传目的。组织主动披露或宣传社会责任履行情况,能够提升组织的形象和声誉,也是组织接受社会监督的重要方式,有助于增进社会对组织保护数据安全和个人信息方面的了解。组织在履行社会责任的同时,披露社会责任履行情况,有助于通过榜样的力量来产生正面影响,从而对其他组织产生激励作用,形成良好的履行社会责任的氛围,塑造更好的履行社会责任的环境。
数据安全与个人信息保护的发展,在法律法规、办法指引、国标行标的合力推动下,从以往的单靠组织自我的经验技巧上升为有监管的机制流程,而履行社会责任,则是从更高的视角指引数据安全与个人信息保护的践行。当今数字化时代,履行数据安全与个人信息保护社会责任已成为各组织的重要使命之一。只有各组织全面响应数据安全与个人信息保护,才能真正的保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,从而构建信任和可持续发展的生态环境,促进社会的和谐稳定和经济的健康发展。