信息技术的发展促进了全球经济向数字化转型,云计算、物联网、大数据分析与应用、区块链、人工智能等多项新兴技术逐渐与经济发展相融合,数据已成为企业经营中一项重要的生产要素。数据时代下,数据安全和个人信息保护问题随之而来。例如去年7月震动业界的“滴滴出行”违规收集使用个人信息事件,作为全球最大的共享出行平台,“滴滴出行”在美上市仅一日,便被国家网络安全审查办公室进行网络安全审查[注1];两天后,国家网信办也通报称,“滴滴出行”App存在严重违法违规收集使用个人信息问题,并要求应用商店下架“滴滴出行”App[注2]。不到一周时间,“滴滴出行”遭受国家监管的两记重拳,股价连日暴跌。这一事件无疑给全国互联网企业敲响了一记警钟——数据强监管时代已然到来,数据合规是企业生存发展的必然选择。
一、数据合规的法律框架及监管体系
(一) “三大支柱”的法律框架
了解数据领域的法律框架和监管体系,是数据合规必要的准备工作。早在2012年,全国人大常委会已经发布了《关于加强网络信息保护的决定》。2013年,工信部也发布了《电信和互联网个人信息保护规定》,对电信和互联网服务中收集、使用用户个人信息的行为予以规范。在此后的4年中,对于数据和个人信息的规定寥寥。直至2017年,我国针对网络安全问题通过了《网络安全法》。自此后,关于数据和个人信息规范的制定迎来了一个密集期。至2021年8月20日《个人信息保护法》出台,我国以《网络安全法》《数据安全法》《个人信息保护法》为三大支柱的数据合规法律制度体系已基本建立。
除《网络安全法》《数据安全法》《个人信息保护法》三大方面以及配套的法律法规外,数据合规还涉及到《民法典》《密码法》《电子商务法》等其他法律。总体来看,数据合规涉及的法律法规较为庞杂,需要对此有一个系统性的把握。本文从涉及领域和法律位阶两个维度对现行规范归类汇总如下:
此外,域外也在逐渐加强对数据安全和个人数据信息的保护,域外立法例对境内企业数据合规工作也有具有参考意义。例如,2018年5月,欧盟出台了《通用数据保护条例》(GDPR),旨在创建欧盟统一的数据与隐私保护法;又如2018年6月,美国紧随其后,出台了《加利福尼亚消费者隐私法案》(CCPA),该法案被认为是美国史上对消费者隐私保护最为全面的法律。
(二) “多头管理”的监管体系
2017年6月1日正式施行的《网络安全法》第8条明确了国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关依规定在各自职权范围内承担网络安全保护职责。2021年9月1日正式施行的《数据安全法》延续了《网络安全法》的职责授权。2021年11月1日正式施行的《个人信息保护法》也同样授权国家网信部门统筹协调个人信息保护工作和相关监督管理工作,国务院有关部门依规定在各自职权范围内承担个人信息保护职责,县级以上地方人民政府有关部门按照国家有关规定承担个人信息保护职责。
从目前执法实践来看,同一领域的监管往往涉及多个监管主体,数据监管部门主要包括网信办、工信部、公安部、市场监督管理局四个部门;具体到各个行业,又有行业主管部门对该行业内数据保护进行管理,例如,《中国人民银行金融消费者权益保护实施办法》中规定,中国人民银行及其分支机构对银行、支付机构的金融消费者信息保护进行监管,对于银行、支付机构侵害消费者金融信息依法得到保护的权利的,中国人民银行及其分支机构有权予以处罚。
不可否认的是,“多头管理”的模式展现出强有力的监管力度,是目前整治数据市场乱象的有力手段,也能够对数据安全管理形成较大的威慑力,督促企业进行数据合规整改。但是,“多头管理”的模式也使得数据市场监管协调难度较大,监管职能分散,各部门监管边界不清,容易产生重复监管,难以形成数据市场监管合力[注3];同时,也容易导致用户在遭受侵权时投诉无门。
2017年12月24日,十二届全国人大常委会第三十一次会议在听取全国人大常委会执法检查组关于检查《网络安全法》《关于加强网络信息保护的决定》实施情况的报告时,全国人大常委会副委员长王胜俊指出:“网络安全监管‘九龙治水’现象仍然存在,权责不清、各自为战、执法推诿、效率低下等问题尚未有效解决,法律赋予网信部门的统筹协调职能履行不够顺畅。”[注4]2021年7月16日,网信办、国安部等7部门进驻滴滴出行,开展网络安全审查。可以看出,我国数据监管体系的“多头管理”模式仍然存在。
(三) “运动式”的执法特点
除“多头管理”外,我国数据监管还有着以专项活动为主的“运动式”执法特点。运动式执法,是指执法机关为解决某一领域内突出存在的问题而通过集中优势人力、物力,采取有组织、有目的、规模较大的执法活动行为[注5],常以集中治理、专项活动、突出整顿等形式出现。
数据监管方面,2019年1月25日,网信办、工信部、公安部、市场监管总局联合开展“App违法违规收集使用个人信息专项治理”活动,针对App违法违规收集、使用个人信息的整治工作正式开展。此后,由信安标委、中国消协、中国互联网协会、中国网络空间安全协会组成的App专项治理工作组、网信办纷纷开展了具体的整治工作;公安部也自2019年连续3年发起了“净网”专项活动,整治网络违法犯罪活动。
运动式执法在时间上的不确定性及从严从重的执法特点,给企业数据合规工作提出了更高要求,唯有构建高标准的数据合规长效机制,才能避免在执法风暴中触礁。
二、数据合规中的基本概念
(一) “数据”与“个人信息”
1. 什么是“数据”?
《数据保护法》第3条第1款规定,“本法所称数据,是指任何以电子或者其他方式对信息的记录。”由此可见,数据是信息的载体。那什么是信息呢?信息泛指人类社会传播的一切内容。[注6]在数据时代,信息是通过数据所反映出的、能被人获取的内容,信息与数据相辅相成、密不可分。例如,个人的银行卡账单就是一种数据,而从账单中挖掘出的个人日常开支用度、钱款用途、消费水平等内容,则是银行卡账单中承载的信息。
2. 什么是“个人信息”?
《个人信息保护法》第4条规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”由此可见,法律上的“个人信息”要求具备以下特征:
一是可识别。所谓“可识别”,是指根据信息本身可识别出特定自然人,从而完成“从信息到个人”的对应。例如,我们能够通过身份证号识别出特定自然人。
二是可关联。所谓“可关联”,是指信息与特定自然人相关,从而完成“从个人到信息”的对应。例如,我们的微信号、手机号等,均与特定自然人相关联。
三是未经匿名化处理。由于匿名化处理后的信息无法与个人关联,故《个人信息保护法》第4条将经过匿名化处理的信息排除在法定的“个人信息”范围之外。那什么是匿名化处理呢?《个人信息保护法》对此也作了明确界定,根据该法第73条第1款第(四)项的规定,匿名化,是指对个人的相关信息进行处理以致无法识别特定自然人,且此后无法复原。
这里应当注意的是,《个人信息保护法》还规定了一个“去标识化”的概念。该法第73条第1款第(三)项规定,“去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。”去标识化处理与匿名化处理的相同之处在于,经过这两种方式处理后的信息本身无法识别出特定自然人。但二者在法律意义上存在重大区别,信息经匿名化处理,即不属于法定的“个人信息”;而经去标识化处理的信息,则仍可认定为法律保护的个人信息。因此,要高度重视二者的区分。结合相关法律规定,二者的区别在于以下两方面:
(1) 能否结合其他信息识别出特定自然人。对于经过匿名化处理的信息,结合其他信息也无法识别出特定自然人;而经过去识别化处理的信息,结合其他信息仍可识别出特定自然人。
(2) 信息能否复原。匿名化处理的信息不能复原,而经过去标识化处理的信息还能复原。
例如,某医院在处理就诊病人信息时,如果不可复原地删除了病人的原始信息及备份,仅保留了高度泛化的数据,如“本季度就诊人数高于上一季度”、“共1500人进行了手术”等,此时,处理后的信息已不可逆转的无法识别特定自然人,这种处理方式属于匿名化处理;如果只是将就诊人员的个人信息处理为“王某某 身份证号:37******09”的形式,通过医院其他备份文件仍可关联特定自然人,或者通过密钥、加密规则等手段仍能将该数据恢复,这种处理方式则是去标识化处理。
(二) 数据处理和个人信息处理
1. 数据处理
《数据安全法》第3条第2款规定,数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。该条采用“列举+兜底”的形式,将企业数据活动的完整周期完全覆盖。条文中“等”字的含义也应理解为“等外”,即除列举事项外,数据处理还包括与数据相关的其他行为。
2. 个人信息处理
《个人信息保护法》第4条第2款规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。该定义基本沿用了《数据安全法》第3条第2款和《民法典》第1035条第2款[注7]的规定,但进一步明确了“删除”行为。
同时,《个人信息保护法》第47条[注8]还规定了信息主体的删除权。什么是信息主体的删除权?在日常生活中,很多人都受到过各种推销电话骚扰,说明个人信息被不当使用甚至是被泄露是很常见的情况。对此,早在2012年,全国人大常委会出台的《关于加强网络信息保护的决定》第8条就已经规定,公民发现自身个人信息的的收集和使用侵犯个人合法权益,或受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息。《民法典》第1037条、《网络安全法》第43条则进一步规定,当网络运营者违法或者违约收集、使用其个人信息时,信息主体有权要求网络运营者删除其个人信息,《网络安全法》还规定了网络服务提供者不删除的法律责任。
为了切实保护公民个人信息,在上述规范的基础上,《个人信息保护法》对信息主体的删除权作了进一步明确,主要体现为两点:
一是增加了以下四种应当删除信息的情形:(1)处理目的已实现、无法实现或者为实现处理目的不再必要;(2)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(3)个人撤回同意;(4)法律、行政法规规定的其他情形。这一修改也与个人信息处理的必要性原则和个人同意规则相呼应。
二是规定了个人信息处理者的主动删除义务。在有应当删除个人信息的情形出现时,个人信息处理者应当主动删除个人信息,无须以信息主体提出要求为前提。
三、数据合规的重点
(一)《数据安全法》中的数据安全制度和数据安全义务
面对大数据的洪流,《数据安全法》基于总体国家安全观的要求,对我国数据安全领域作了系统性的规定,进一步完善了网络安全领域的法律法规体系,为各行业数据安全提供了监管依据。《数据安全法》规定了数据安全制度以及数据处理主体的数据安全保护义务,给予了数据合规在数据安全方面的框架性指引。
1. 六大数据安全制度
《数据安全法》第3章专章规定了6项数据安全制度,具体为:
2. 四类数据安全保护义务
《数据安全法》第4章专章规定了数据安全义务,具体可分为以下4类:
(二) 个人信息处理的原则、规则
企业运营中不可避免会涉及到大量个人信息的收集、处理和使用,随着国家监管不断趋严和信息主体对个人信息保护理念的逐渐加强,个人信息处理自然而然成为了企业数据合规的重点领域。2021年最新出台的《个人信息保护法》虽姗姗来迟,但作为我国个人信息保护领域的首部基础性法律,其在现有法律基础之上,也明确确立了个人信息处理的六大原则和九个基本规则,为数据合规的个人信息处理领域提供了框架性指引。
1. 六大个人信息处理原则
《个人信息保护法》的出台,确立了多项处理个人信息过程中重要的法律原则,具体为:
2. 八项个人信息处理基本规则
《个人信息保护法》第2章第1节规定了个人信息处理的一般规则,具体为:
四、数据合规指引
顾名思义,数据合规是指企业在生产经营过程中,对于数据采取的一系列行为应当符合法律法规的相关规定。在大数据的浪潮下,企业无一例外的成为数据处理者和个人信息处理者,《网络安全法》《数据安全法》和《个人信息保护法》的出台与实施给企业数据处理提供了法律依据,同时也提出了全方位的要求。开展数据合规,我们可以围绕以下几点:
(一) 紧扣企业定位,明确合规需求
行业不同,发展阶段不同,企业面临的数据合规风险点、行业监管重点也会有所不同,这也就导致不同行业对数据合规的要求不同。如何明确企业的数据合规需求?
首先,要根据企业所处行业的特点来确定合规工作重点。不同行业的数据类型不同,数据敏感点也不同。例如,在医疗行业中,重点数据主要包括健康医疗数据、病例和病案、人类遗传资源信息等,而在金融行业中,个人金融信息,如个人投资数据、财务状况等,则成为数据监管的重点。
其次,要根据企业所处阶段来决定合规工作策略。不同发展阶段的企业,数据合规的需求也有所不同。例如,企业建立初期,数据合规应以业务为重,在风险防范的前提下,注重企业自身的发展;当企业面临上市、融资等节点时,合规则是一大工作重点,应当保证公司的合规制度经得起监管审查,万无一失;当企业的发展已趋于成熟,合规制度已有一定基础,此时的合规便是优化、升级的过程。
(二) 区分数据类型,识别合规风险
通过风险识别,建立有效的合规方案是数据合规工作的重点和难点,也是数据合规的着力点。正如陈瑞华教授在《企业合规基本理论》中所写:“企业合规的灵魂并不是大而全的合规管理体系,而在于针对企业的‘合规风险点’确立专项合规计划。”[注9]建立合规方案之前,首先要进行风险识别。企业应通过数据核查等手段,了解企业内部涉及的数据类型及敏感程度,并将法律法规规范中规定的数据合规义务与企业运营情况、未来发展需求等因素相结合,充分梳理企业现有或潜在的风险点。
(三) 厘清法律规定,把握监管动态
合规,“规”为“合”之所在,法律法规的全面掌握是合规的关键。当前,在三大法律的框架之下,国务院及下属部门相继出台了细化规定,不同的行业领域内也有数据合规相关的操作指引。
对于法律法规的掌握,首先要准确解读条文文义和条文背后的立法者意图,在此基础上,还要把握监管动态和司法实践情况,对立法动向能作出及时预判。由此,则可以在合规中充分考虑到法律变动的因素,使得企业在新法落地后能够及时调整,同时帮助企业在日常经营中自纠自查、主动预防。
(四) 设计有效方案,确保合规落地
企业可结合当地或未来拟发展地区(如未来拟在香港上市,则应考虑到香港地区对企业数据合规的要求)的监管动态及法律法规,从顶层制度设计、数据收集、数据处理、数据提供、风险监测、应急处置等多个层面,进行整体的合规方案规划。
合规方案的落地和平稳推进,则是数据合规的落脚点。企业不仅应建立行之有效的合规方案,还应将合规方案落到实处。例如,企业应当结合实际情况,建立数据合规组织、确立合规政策,打造预防体系、识别体系和应对体系等[注10]来完善公司相关的制度和流程。同时,通过组织员工培训等形式,在企业内部传播数据合规的理念、要求和实操指引,从而完成数据合规从书面文件到企业运营的蜕变。
五、结语
数据强监管时代已至,企业应高度重视数据安全,积极的数据合规工作不仅可以帮助企业从容应对监管、防范不确定风险,同时也能成为企业经营的竞争优势、投资人及合作伙伴的定心丸,为企业健康、长远发展保驾护航。
注释及参考文献:
[1] 网络安全审查办公室:《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》,http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm,访问时间:2022年3月4日。
[2] 国家互联网信息办公室:《关于下架“滴滴出行”App的通报》,http://www.cac.gov.cn/2021-07/04/c_1627016782176163.htm,访问时间:2022年3月4日。
[3] 曾铮、王磊:《完善和优化数据市场治理》,光明网,https://m.gmw.cn/baijia/2021-03/09/34670259.html,访问时间:2022年3月4日。
[4] 澎湃新闻:《全国人大常委会执法检查组:建议明确网络执法各部门权责界限》,https://baijiahao.baidu.com/s?id=1587629250399515446&wfr=spider&for=pc,访问时间:2022年3月4日。
[5] 百度百科“运动时执法”词条:https://baike.baidu.com/item/运动式执法/3323804?fr=aladdin,访问时间:2022年3月4日。
[6] 百度百科“信息”词条,https://baike.baidu.com/item/信息/111163?fr=aladdin,访问时间:2022年3月4日。
[7] 《中华人民共和国民法典》第1035条第2款:个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
[8] 《中华人民共和国个人信息保护法》第47条:有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
[9] 陈瑞华:《企业合规基本理论》,法律出版社,第115-116页。
[10] 陈瑞华:《企业合规基本理论》,法律出版社,第117页。