近年来,我国加大了对于数据要素市场培育和建设的力度。2020年4月,《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》(简称《意见》)首次将数据正式纳入生产要素范围,并提出了加快培育数据要素市场的意见;2022年12月,《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”)指出,要在数据产权、数据要素流通和交易、数据要素收益分配和数据要素治理四个方面进行制度建设和创新,在合规、高效、安全的前提下加快构建数据基础制度,充分激活数据价值,发挥数据要素的作用。
合规是贯穿“数据二十条”的重要主题词,全文共提及“合规”关键词16 次,贯穿数据基础制度建设的各个维度,包括合规流通使用、全流程合规治理、企业数据合规体系建设和监管、合规认证、合规公证、数据流通主体相关合规性审查、鼓励企业创新内部数据合规管理体系等。可见,在鼓励数据要素流通的同时,合规监管力度也在增加。企业只有提升自身的数据合规能力,才能适应逐渐完善的数据基础制度,掌握参与数据要素市场建设的主动权。
1 我国数据合规监管现状
我国数据合规监管目前仍呈现出多头监管的现状。在行政监管方面,以工业和信息化部(简称“工信部”)、国家互联网信息办公室(简称“国家网信办”)开展的通报、检查、评估、审查等为主,加上各行业监管部门(如中国人民银行、中国银行保险监督管理委员会、国家市场监督管理总局等)在各自的监管领域内针对数据合规行为进行规范和处罚。此外,公安部也连续开展专项行动打击侵犯公民个人信息的行为。检查机关则通过个人信息公益诉讼以及企业合规不起诉等方式,在司法层面参与数据合规监管。随着立法的不断完善,我国数据合规监管越来越深入和细致,覆盖范围也越来越广泛,整体呈现趋严态势。
1.1 APP监管更加深入细致
随着智能手机的普及,移动互联网应用程序(APP)逐渐成为了收集和使用个人信息的重要途径。自2019年以来,APP监管一直是我国数据合规监管的重点,并呈现深入细致的趋势。各部委公开的通报体现了以下特点。
(1)监管主体增加。2019年,工信部通报了第一批侵害用户权益的APP;从2020年开始,国家网信办也不定期对违法违规收集使用个人信息的情况进行监测和通报。此外,工信部发布的通报也逐渐开始包括各地方通信管理局对当地APP情况的具体通报。
(2)从统一通报到专项通报。在工信部发布的通报中,除了统一针对“侵害用户权益行为”的APP进行通报外,还对“违规调用麦克风、通讯录、相册”“开屏弹窗信息骚扰用户”“超范围索取权限、过度收集用户个人信息”等专项问题进行通报、整治。
(3)监管重点逐渐深入细致。除了针对APP本身的侵权行为进行通报,监管范围逐渐扩展到了小程序、应用平台,并开始深入到APP内嵌第三方软件开发工具包(Software Development Kit,SDK)的违法、违规使用行为。2022年,工信部在APP违法通报中首次将SDK违规收集用户设备信息的行为纳入监管视野;2022年年底,国家网信办部署开展了“清朗·移动互联网应用程序领域乱象整治”专项行动,加强APP全链条管理,全面规范移动应用程序在搜索、下载、使用等环节的运营行为,督促应用程序分发平台落实好各项任务,整治各个环节存在的问题。
1.2 数据出境监管体系初步形成
针对数据出境,早在2017年生效的《中华人民共和国网络安全法》(简称《网络安全法》)中就提出了安全评估的原则性要求,但随后出台的《个人信息和重要数据出境安全评估办法》《信息安全技术 数据出境安全评估指南》等仅停留在了征求意见稿阶段。2021年,《中华人民共和国数据安全法》(简称《数据安全法》)和《中华人民共和国个人信息保护法》(简称《个人信息保护法》)正式实施,加上2022年生效的《数据出境安全评估办法》以及一系列配套规范等,初步形成了我国数据出境监管体系。
其中,重要数据出境的合规路径为安全评估,可以参考《网络安全法》《数据出境安全评估办法》的相关规定;对于重要数据的判定,《江苏省数据出境安全评估申报工作指引(第一版)》参考《网络数据安全管理条例(征求意见稿)》提供了判断重要数据的参考标准,要求数据处理者优先参考相关行业标准界定出境数据是否为重要数据,同时针对没有相关行业标准的情况提供了判断标准。个人信息的出境则有三大合规路径[3],包括安全评估、标准合同和保护认证。《数据出境安全评估申报指南》《个人信息出境标准合同办法》《个人信息跨境处理活动安全认证规范》《个人信息保护认证实施规则》的出台,为以上三种合规路径的落地实施提供了具体指引。
目前,北京市互联网信息办公室和上海市互联网信息办公室陆续发布了关于数据出境安全评估申报和通过情况,北京已有两家公司通过审批。相对于审查通过的案例,未通过审查的案例对于企业申报而言可能更具参考价值。企业多依托第三方专业服务机构辅助申报,相较于其他行政审批事项,我国的数据出境安全评估距离实现标准化和流程化还存在一定距离。
1.3 企业合规不起诉制度在数据领域落地实施
企业数据合规不起诉制度是我国企业合规改革在数据合规领域的体现。自2020年3月起,我国最高人民检察院在全国6 家基层检察院开展企业合规改革第一期试点工作,并于2021年4月发布了《关于开展企业合规改革试点工作的方案》,以及2021年6月发布了《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》。开展企业合规改革试点工作,是指检察机关对于办理的涉企刑事案件,在依法做出不批准逮捕、不起诉决定或者根据认罪认罚从宽制度提出轻缓量刑建议等。同时,针对企业涉嫌具体犯罪,结合办案实际,督促涉案企业做出合规承诺并积极整改落实,促进企业合规守法经营,减少和预防企业犯罪,实现司法办案政治效果、法律效果、社会效果的有机统一。2022年5月,上海市普陀区检察院公布我国首起数据合规不起诉案件办理情况。涉案公司针对其违法行为进行了积极赔偿损失并取得谅解。经涉案公司申请,上海市普陀区检察院向其制发合规检察建议,并启动范式合规审查,根据公司合规整改及评估情况最终做出不起诉决定。
企业数据合规不起诉制度的落地执行,极大地提升了企业主动提高自身数据合规能力的积极性,强化了数据合规工作在减轻刑事责任风险方面的重要性。尤其在我国数据合规法律体系建设初期,企业合规不起诉制度对于减轻企业数据合规压力、平衡合规与业务发展方面起到了积极的作用。
2 我国企业数据合规面临的挑战
近年来,随着数据合规立法和监管的不断完善,我国企业对于数据合规的重视程度也在逐渐增加。然而,由于立法更新迅速、实施细则缺失等原因,企业数据合规工作面临着一系列挑战。
2.1 监管指引不足,合规要求难以落实
《数据安全法》《个人信息保护法》和《网络安全法》共同构成了数据合规领域的基本制度框架。但对于《数据安全法》《个人信息保护法》中的规定如何具体落实,目前仍缺少足够的配套规范和监管指引。例如,《个人信息保护法》提到的单独同意如何以不影响用户体验的方式实现;如何指导隐私政策的制定使其符合要求且简洁易懂;如果绝对的匿名化无法实现,那么对于个人信息开发利用的边界在哪里等。目前,监管并未通过具体的行政处罚行为来明确实践中的红线,因此该等问题提升了企业数据合规实践的难度。
2.2 企业整改被动盲目,合规成本难以负担
整体而言,头部企业对于数据合规能力的提升尤为重视。无论是为了减少合规风险、维护企业口碑,还是出于打造行业标杆、承担社会责任的目的,头部企业都有更强的动力和能力去提升自身的数据合规能力。相较于头部企业,其他企业的数据合规工作则往往存在被动、盲目和高成本的情况。
(1)被动合规。对很多企业来说,配合密集的监管行动进行整改已经应接不暇,更无从顾及常态化的数据合规能力提升。因此,不少企业都处在被动整改的状态,主要针对目前已暴露的数据合规问题进行“亡羊补牢”式补救。然而,这种事后补救的方式,不仅会因为整改而影响业务开展(如APP下架),也会因为公开的通报降低用户对企业及其产品的信任,对企业名誉造成难以弥补的损失。
(2)盲目合规。很多企业并不了解数据合规的重要性,也不清楚企业的数据合规现状、能力以及行业估值水位。在数据合规问题出现时,由于企业对于潜在风险没有合理的预判,因此不能马上识别风险源头,也无法启动相应的处理机制。一方面,会导致合规工作盲目无条理,合规整改针对性差,效率低、成本高;另一方面,也会因为处理不及时而扩大合规风险的危害和损失。
(3)合规成本高。除了合规工作低效导致成本增加外,企业因不具备自身动态调整优化并匹配新要求的能力,面对每一次新规出台或新一轮监管活动启动,都需要委托外部的专业机构进行评估,导致反复耗费人力、物力、财力,从而造成合规成本增加。
2.3 企业内部权责难定,合规工作难以推进
企业内部责任分配问题一直是企业管理的难点,在数据合规方面更是如此,原因主要包含以下几个方面。
一是面对数据合规领域新的监管要求,企业内部各部门都较为排斥为本部门增添责任和风险,存在互相推诿的情况。
二是数据合规工作的推进往往需要业务部门、信息安全部门、法律合规部门、人力资源部门等多部门配合,而实践中合规整改工作往往主要依靠法律合规部门牵头并承担主要责任。这就容易导致其他部门配合动力不足,为合规工作的推进增加了难度。
三是员工数据合规意识不足,对合规整改工作重视程度不高,也会导致合规工作的具体执行效果差。
四是合规天然会对业务发展带来一定的限制,无法平衡双方之间的关系也是合规工作推进的阻碍。
3 新形势下企业数据合规思路
数据要素市场建设的基础和底线是合规。尽管企业数据合规本身就存在一些强制性的法律要求,但面临不完善的实施细则、业务发展和成本限制等现实原因,企业的数据合规实践情况参差不齐。“数据二十条”的出台为企业提升数据合规能力释放了更强烈的信号。企业若想提升自身的商业竞争能力,充分参与数据要素市场建设,借数据要素市场建设之东风促进自身发展,可以参考以下思路尽快提升自身的数据合规能力。
3.1 抓紧落实数据分类分级
2020年4月,《意见》提出推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。2021年,《数据安全法》正式提出从国家制度层面建立数据分类分级保护制度,根据不同的重要程度匹配相应的保护和管理措施。在实践中,数据分类分级基本上也已成为梳理企业数据合规基本情况的初始步骤,对于企业盘点数据使用情况、识别数据合规风险等具有重要意义。
“数据二十条”的发布则更加强调了数据分类分级的重要性。“数据二十条”在数据确权授权、完善数据全流程合规与监管规则体系、建立跨境数据管理机制等场景下均提及数据分类分级。在数据确权授权方面,“数据二十条”将数据分类分级作为数据确权授权使用的前提,提出在国家数据分类分级保护制度下,推进数据分类分级确权授权使用和市场化流通交易;建立公共数据、企业数据、个人数据的分类分级确权授权制度。在完善数据全流程合规与监管规则体系方面,“数据二十条”要求结合数据流通范围、影响程度、潜在风险,区分使用场景和用途用量,建立数据分类分级授权使用规范。在建立跨境数据管理机制场景下,“数据二十条”要求统筹数据开发利用和数据安全保护,探索建立跨境数据分类分级管理机制。
由此可见,数据的分类分级不仅对数据安全保护策略的制定和实施具有重大意义,在企业数据合规的其他方面也具有基础性作用,企业亟需探索和实施符合本企业经营特点和需求的数据分类分级制度。未来,相关监管思路可能会倾向于针对不同类别和级别的数据匹配不同的授权使用机制。尽管目前尚未出台相关政策将数据分类分级与具体的授权制度相匹配,但新政策大概率会考虑到与现有数据分类分级规则的衔接。目前,部分行业或领域(如证券期货业、工业、网络、金融、公共数据等)已经出台了数据分类分级的相关指引。企业可以先依据现有指引做好自身的数据分类分级,对所掌握的数据类型、体量、使用目的等有清楚的认知,以便能够在未来相关规则和制度明确之时快速调整和匹配合规要求,缩短合规整改窗口期。
3.2 加强数据来源合法合规审查
数据来源的合法性一直是数据合规的重点,也是数据流通和交易合法合规的前提和基础。若数据来源的合法性无法保证,则后续的数据处理和使用就如同食用“毒树之果”,将带来重大的合规隐患。“数据二十条”提出的建立合规高效、场内外结合的数据要素流通和交易制度,进一步凸显了数据源合规的重要性。
“数据二十条”指出,要规范引导场外交易,培育壮大场内交易,统筹构建规范高效的数据交易场所。建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系等,以及建立数据流通准入标准规则,强化市场主体数据全流程合规治理,确保数据来源合法、隐私保护到位、数据流通和交易规范。目前,我国通过数据交易机构进行的数据交易占比较低,按照“数据二十条”的指引,未来场内外数据交易的占比可能会有所改变,场内数据交易必然会向更加规范的方向发展,也会对企业提出更高的要求。我国几大主要数据交易所都已制定和发布数据交易规则文件,对合规性、安全性等进行评估,对数据交易全流程进行监管。企业只有做到严格判断数据来源合法性,才能够在数据交易市场中占得先机。
但在实践中,企业往往会发现,数据来源合法性的判断十分复杂,并非单凭对方一纸承诺就可以高枕无忧。那么企业应当如何提升数据来源合法性的判断能力呢?参考《可信数据服务 金融机构外部可信数据源评估要求》,企业可以从数据本身和数据提供方两个方面重点判断。首先,针对数据本身,企业应当判断数据获取来源是否真实、合规、可追溯,数据获取方式是否为合法渠道,尤其关注爬取数据的合法性;同时,数据通过授权获取的,应当判断授权是否完整,尤其针对个人信息的授权应当根据相应的法律要求判断授权是否充分知情、自愿,是否取得单独或书面同意等。其次,通过数据提供方的一些基本情况,也可以辅助判断数据来源是否存在潜在风险,如数据提供方业务资质、经营资质、经营实力、经营状况、企业信誉、过往项目经历等;此外,对数据提供方的数据供应能力的审查也至关重要,如相关业务流程、内部管理制度、技术能力、硬件设备、配套服务、合规安全保障能力等。若企业对数据本身的判断较为模棱两可,那么结合数据提供方自身情况进行综合判断,可以帮助企业更加准确地判断数据来源的合法、合规性,最大程度避免合规风险。
3.3 培养企业数据合规能力常态化提升意识
除了以上两个具体的合规要点之外,企业还应当注意将数据合规工作融入企业内部治理的常态化工作中去。随着数字经济的发展,数据相关产业从无到有、从萌芽到兴盛,必然会经历从野蛮发展到趋于合规的过程。随着数据合规相关立法的不断完善,我国数据合规监管经过几年时间的摸索与沉淀,也会逐渐趋于常态化。“数据二十条”的出台,预示着我国未来一段时间内将大力促进数据要素市场的发展,监管对于企业的要求也将突破一轮轮的监管行动,升级为更加细致、深入、全面考察企业数据合规的情况。应对这种新形势,企业应当着手建立和完善数据合规能力体系,通过制度化、系统化、流程化的手段对数据合规能力建设进行整体的规划和管理,做到既能够对合规风险进行准确及时的识别和处理,还能够对新的立法和监管要求进行自适应,从而让高水平的数据合规能力助力企业在数据要素市场建设中更好发展。
具体而言,企业数据合规能力至少可以进一步分为数据合规基础能力、数据合规通用能力和数据全生命周期合规能力。其中,数据合规基础能力可以从数据合规的机构设置和人员安排、企业层面整体的工作规划和方案、数据合规技术工具的使用等方面进行完善和提升,从企业管理的角度为数据合规工作的开展奠定基础;数据合规通用能力建设则包括数据合规风险识别、数据分类分级、个人信息主体权利保障、网络安全和数据安全、合作方管理以及员工个人信息保护等方面,要基本涵盖法律法规对于企业数据合规的通用要求;数据全生命周期合规能力则要结合企业相关业务开展的情况,从数据的收集、存储、使用、加工、传输、提供等各个环节匹配相关合规要求,并对每个环节进行监督和管理,同时与数据合规基础能力和通用能力相结合,共同构成企业数据合规能力体系。
4 结束语
企业的数据合规工作不是一成不变的,而是需要根据立法、政策和业务发展等变化而不断动态调整的。“数据二十条”的发布,不仅为数据相关企业的业务发展注入了一剂强心针,也为企业数据合规工作提供了新的方向和指引。企业在响应政策、积极探索和参与数据流通创新的同时,也应当时刻将数据合规理念嵌入相关业务的各个环节,随时关注“数据二十条”发布之后相关法律法规、政策文件的出台和监管动态,及时调整数据合规工作的重点,全面提升数据合规的意识和能力,为企业发展保驾护航。