黨的十九屆四中全會提出要堅持和完善中國特色社會主義制度,推進國家治理體系和治理能力現(xiàn)代化����,而推進網(wǎng)絡(luò)空間治理體系和治理能力現(xiàn)代化是國家治理體系和治理能力現(xiàn)代化的重要一環(huán)。21世紀(jì)是網(wǎng)絡(luò)時代����,是信息時代,是數(shù)據(jù)時代�����,是智能時代。2017年生效的網(wǎng)絡(luò)安全法為我國網(wǎng)絡(luò)及數(shù)據(jù)安全奠定了堅實的基礎(chǔ)���,為企業(yè)指明數(shù)據(jù)合規(guī)的方向�����。在網(wǎng)絡(luò)安全的大背景之下�����,在信息密集型行業(yè)�,如電信��、教育�����、醫(yī)療����、金融、互聯(lián)網(wǎng)等行業(yè),數(shù)據(jù)合規(guī)成為一個重要的時代課題���,數(shù)據(jù)合規(guī)對于加強數(shù)據(jù)保護����,維護國家網(wǎng)絡(luò)空間主權(quán)�、安全和發(fā)展利益具有重大意義。
所謂合規(guī)��,一般指企業(yè)合規(guī)���,即企業(yè)及其員工的經(jīng)營管理行為需合乎規(guī)則����,既要遵守國際條約����、國內(nèi)法律法規(guī)規(guī)章以及其他規(guī)范性文件的規(guī)定���,也要符合行業(yè)準(zhǔn)則��、商業(yè)慣例���、社會道德以及公司規(guī)章制度的要求���。如果企業(yè)及其員工存在不合規(guī)的行為,可能會產(chǎn)生法律責(zé)任���、造成經(jīng)濟或聲譽損失以及其他負(fù)面影響����,這種可能性便是合規(guī)風(fēng)險�����。我們常說的合規(guī)管理指的就是以有效防控合規(guī)風(fēng)險為目的���,以企業(yè)和員工經(jīng)營管理行為為對象�����,開展包括制度制定�����、風(fēng)險識別�、合規(guī)審查、風(fēng)險應(yīng)對��、責(zé)任追究�、考核評價、合規(guī)培訓(xùn)等有組織��、有計劃的管理活動����。
目前學(xué)術(shù)界與實務(wù)界對合規(guī)的關(guān)注點主要聚焦于公司法合規(guī)、行政法合規(guī)以及刑事合規(guī)����,對數(shù)據(jù)合規(guī)關(guān)注較少,僅有少數(shù)學(xué)者對數(shù)據(jù)合規(guī)進行了研究���,如許多奇指出:“在數(shù)據(jù)跨境問題上����,‘走出去’和‘引進來’的企業(yè)都面臨必須滿足國內(nèi)外公權(quán)力機關(guān)依本國法所提出的數(shù)據(jù)收集���、傳輸和使用等要求,即實現(xiàn)雙向合規(guī)�����!崩钛铀磳ξ覈苿討(yīng)用軟件隱私政策的合規(guī)審查進行了研究���,其認(rèn)為“我國應(yīng)用軟件隱私政策雖然受法律的影響在文本上進行了調(diào)整���,但是仍廣泛存在隱私政策出場、數(shù)據(jù)收集�、數(shù)據(jù)留存期限、數(shù)字廣告推送����、數(shù)據(jù)安全保護以及數(shù)據(jù)的共享、披露和轉(zhuǎn)移等方面的合規(guī)問題”�����,但總體而言��,學(xué)界對于數(shù)據(jù)合規(guī)研究的還不太深入��。筆者試圖在網(wǎng)絡(luò)安全的背景下論述數(shù)據(jù)合規(guī)的基本理論���、審視數(shù)據(jù)合規(guī)存在的問題�����、提出數(shù)據(jù)合規(guī)的中國方案��,希冀為中國信息密集型企業(yè)的數(shù)據(jù)合規(guī)工作提供建設(shè)性意見�����。
二��、數(shù)據(jù)合規(guī)的基本理論
數(shù)據(jù)與數(shù)據(jù)合規(guī)
1.數(shù)據(jù)相關(guān)概念的詞義辨析
提及個人數(shù)據(jù)��,我們常會想到個人數(shù)據(jù)的相關(guān)概念����,比如個人信息、個人隱私��。這些概念之間有何聯(lián)系��,有何區(qū)別��,這是我們應(yīng)該厘清的一個基本問題����。筆者從詞義學(xué)角度對這一問題進行簡單分析:
個人信息與個人數(shù)據(jù)二者之間也具有一定相似性,特別在大數(shù)據(jù)時代��,數(shù)據(jù)治理問題突出的背景下��,合理界定二者的界限具有重要意義��。計算機專業(yè)背景下的數(shù)據(jù)是指在計算機及網(wǎng)絡(luò)上流通的在二進制的基礎(chǔ)上以0和1的組合而表現(xiàn)出來的比特形式�����。所謂個人信息���,其官方定義是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息��,包括姓名���、身份證件號碼、通信通訊聯(lián)系方式����、住址、賬號密碼��、財產(chǎn)狀況��、行蹤軌跡等。個人信息概念的核心在于可識別性�����,“凡是能夠識別特定個人的信息���,無論是直接識別還是間接識別特定個人的信息�,均為個人信息�。”程嘯教授對信息與數(shù)據(jù)的關(guān)系作出精辟分析����,其認(rèn)為“信息是數(shù)據(jù)的內(nèi)容,數(shù)據(jù)是信息的形式���,在大數(shù)據(jù)時代����,無法將數(shù)據(jù)與信息加以分離而抽象地討論數(shù)據(jù)上的權(quán)利����。就個人數(shù)據(jù)而言,其之所以具有經(jīng)濟利益或者涉及人格利益�����,就是因為包含著個人信息。沒有個人信息的數(shù)據(jù)不是個人數(shù)據(jù)�����,而只是以二進制代碼表現(xiàn)出來的比特形式”����。而梅夏英教授則指出:“數(shù)據(jù)沒有特定性�、獨立性,亦不屬于無形物��,不能歸入表彰民事權(quán)利的客體�;數(shù)據(jù)無獨立經(jīng)濟價值,其交易性受制于信息的內(nèi)容�����,且其價值實現(xiàn)依賴于數(shù)據(jù)安全和自我控制保護�����!
個人數(shù)據(jù)��、個人信息比個人隱私的范圍更大更廣����,個人隱私是指“人的與公共利益、群體利益無關(guān)的�����,不愿他人知道或他人不便知道的信息���,不愿他人干涉或他人不便干涉的個人私事和不愿他人侵入或他人不便侵入的個人領(lǐng)域”����。從概念上來看����,個人信息與隱私具有明顯區(qū)別,前者強調(diào)可識別性����,后者強調(diào)私密性。個人信息的概念外延比隱私更寬����,個人信息與個人隱私有重合部分��,但有的個人信息并不具有私密性��,而具有公開性��,比如社會職業(yè)�。此外�,二者的內(nèi)容����、侵害方式與保護方式也不同。
值得說明的是�����,數(shù)據(jù)安全法(草案)第2條規(guī)定了數(shù)據(jù)是指任何以電子或者非電子形式對信息的記錄����,個人數(shù)據(jù)與個人信息在一定程度和范圍內(nèi)高度重合,故本文若無特別說明�,后文論述個人數(shù)據(jù)與個人信息兩個概念一般進行通用。
2.數(shù)據(jù)合規(guī)之核心內(nèi)涵
數(shù)據(jù)合規(guī)指的是企業(yè)及其員工對于數(shù)據(jù)收集��、存儲、使用����、處理、共享���、轉(zhuǎn)讓�����、跨境或非跨境傳輸��、流動����、保護的行為需符合國際條約�、國內(nèi)法律法規(guī)規(guī)章、其他規(guī)范性文件����、行業(yè)準(zhǔn)則、商業(yè)慣例��、社會道德以及企業(yè)章程�、規(guī)章制度的要求。企業(yè)數(shù)據(jù)可分為個人數(shù)據(jù)與非個人數(shù)據(jù),前者是指具有可識別性的個人數(shù)據(jù)�����,如員工數(shù)據(jù)與客戶(用戶)數(shù)據(jù)����,后者是指與個人無關(guān)的數(shù)據(jù),如企業(yè)經(jīng)營記錄�����、日常管理記錄�����、財務(wù)會計記錄���。特別說明的是本文探討的數(shù)據(jù)僅限于企業(yè)數(shù)據(jù)中的個人數(shù)據(jù),非個人數(shù)據(jù)不在本文的討論范圍�。數(shù)據(jù)法律關(guān)系主體包括數(shù)據(jù)主體、數(shù)據(jù)控制者��、數(shù)據(jù)處理者�����,在本文語境下,數(shù)據(jù)主體是數(shù)據(jù)的來源者和權(quán)利人�����,數(shù)據(jù)控制者為公司��,數(shù)據(jù)處理者為公司員工�����。
數(shù)據(jù)合規(guī)中“規(guī)”字涵蓋范圍廣��,上到國際條約���,下到企業(yè)規(guī)章制度���,筆者對數(shù)據(jù)合規(guī)領(lǐng)域中具有典型性、代表性��、前沿性的規(guī)范進行簡要歸納�,如下表:
規(guī)范種屬 | 規(guī)范列舉 |
| 法律 | 民法典、刑法�、網(wǎng)絡(luò)安全法 |
| 司法解釋 | 《最高人民法院��、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》 |
| 行政法規(guī) | 互聯(lián)網(wǎng)信息服務(wù)管理辦法�、計算機信息系統(tǒng)安全保護條例 |
| 部門規(guī)章 | 《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》 |
| 國務(wù)院規(guī)范性文件 | 《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》 |
| 部委規(guī)范性文件 | 《互聯(lián)網(wǎng)個人信息安全保護指南》 |
| 國家標(biāo)準(zhǔn) | GB/T35770-2017《合規(guī)管理體系指南》 GB/T35273-2017《個人信息安全規(guī)范》 |
| 行業(yè)規(guī)定 | 《中國互聯(lián)網(wǎng)行業(yè)自律公約》 |
| 企業(yè)規(guī)章制度 | 例如阿里巴巴���、騰訊��、百度等互聯(lián)網(wǎng)公司的公司章程 |
通過上表可以看出�����,我國數(shù)據(jù)合規(guī)領(lǐng)域中的規(guī)則數(shù)量眾多��,分工明細(xì)���,各位階之例皆有。數(shù)據(jù)時代下數(shù)據(jù)合規(guī)工作會不斷改進���,而數(shù)據(jù)合規(guī)所遵守的規(guī)則也會隨之更新。除了已經(jīng)出臺的網(wǎng)絡(luò)安全法�、電子商務(wù)法等法律之外,個人信息保護法�����、數(shù)據(jù)安全法等數(shù)據(jù)合規(guī)領(lǐng)域的最高位階之法已經(jīng)入選全國人大常委會最新的立法規(guī)劃,未來還會有更多的數(shù)據(jù)領(lǐng)域的規(guī)則產(chǎn)生���。
數(shù)據(jù)合規(guī)的理論基礎(chǔ)
數(shù)據(jù)合規(guī)的理論基礎(chǔ)即我們?yōu)槭裁匆ケWo個人數(shù)據(jù)(信息)���?我們保護個人數(shù)據(jù)(信息)的理論根源是什么?個人數(shù)據(jù)(信息)保護的理論基礎(chǔ)在于個人數(shù)據(jù)(信息)是一種民事權(quán)利(權(quán)益)���。民法典第111條規(guī)定:“自然人的個人信息受法律保護����。任何組織和個人需要獲取他人個人信息的��,應(yīng)當(dāng)依法取得并確保信息安全����,不得非法收集、使用����、加工、傳輸他人個人信息�,不得非法買賣、提供或者公開他人個人信息�����!睂W(xué)界對于個人信息到底是一種民事權(quán)利(個人信息權(quán))還是一種民事權(quán)益(信息保護�����、自決與控制)存在分歧���。如葉名怡教授認(rèn)為“個人信息屬于人格要素��,其內(nèi)涵明確����,外延清楚��,可為他人行為設(shè)定禁區(qū)��,可以成為一項具體人格權(quán)”�。程嘯教授認(rèn)為從法解釋的角度來看,民法典第111條并沒有確立自然人對個人信息享有民事權(quán)利即個人信息權(quán)的結(jié)論��,現(xiàn)代社會的個人信息上除了傳統(tǒng)的人格利益以外�����,還附著著一種應(yīng)當(dāng)受到保護的防御性或保護性利益�。從目前情況來看,在立法未予以明確的情況下��,民法對自然人個人信息提供的保護既可能是一項民事權(quán)利��,也可能僅僅是一項民事權(quán)益��。
法律對自然人個人數(shù)據(jù)(信息)予以保護���,本質(zhì)上是保護其人格利益�����,包括人的尊嚴(yán)和自由��������!皞人數(shù)據(jù)保護的目的是人權(quán)法或憲法意義上的‘個人基本權(quán)利和自由’,它最終根源于對‘人的尊嚴(yán)’(human dignity)的保護�。”保護個人數(shù)據(jù)(信息)即保護我們個人的人格尊嚴(yán)����,這便是個人數(shù)據(jù)(信息)保護的理論基石����。
數(shù)據(jù)合規(guī)的實踐意義
數(shù)據(jù)合規(guī)的實踐意義即保護數(shù)據(jù)的意義是什么����?個人數(shù)據(jù)(信息)除了具有人格利益之外,還具有巨大的商業(yè)利益和經(jīng)濟價值��,這就是為什么目前個人數(shù)據(jù)(信息)泄露與非法利用事件層出不窮的根本原因��,特別是在信息密集型行業(yè)����,如電信、金融��、教育行業(yè)����,出現(xiàn)大量個人信息販賣與非法使用情形,情形嚴(yán)重者還構(gòu)成了侵犯公民個人信息罪�,個人數(shù)據(jù)(信息)安全遭受嚴(yán)重威脅。
加強個人數(shù)據(jù)(信息)保護,強化數(shù)據(jù)合規(guī)管理對于個人����、企業(yè)��、社會�、國家都具有重大意義。
第一����,加強個人數(shù)據(jù)保護,強化數(shù)據(jù)合規(guī)管理有利于維護和保障個人數(shù)據(jù)安全�����,保護人格尊嚴(yán)�。“個人數(shù)據(jù)的不當(dāng)使用不僅可能侵害個人基本權(quán)利或精神利益�����,而且還可能危害個人的人身安全和財產(chǎn)安全����,侵害個人的安全利益。”保護好我們的個人數(shù)據(jù)��,避免自己的信息落入不法之徒�����,有利于預(yù)防信息違法犯罪�����,減少和消除人身和財產(chǎn)風(fēng)險�����,保障個人數(shù)據(jù)安全����。
第二,強化數(shù)據(jù)合規(guī)管理是信息密集型企業(yè)合規(guī)工作的重中之重���,其順位一定程度上要優(yōu)于其他領(lǐng)域的合規(guī)工作�,做好數(shù)據(jù)合規(guī)工作�����,不僅能預(yù)防和降低企業(yè)的運營管理風(fēng)險,提高運營管理效率�����,增加企業(yè)效益與利潤��,最終促進企業(yè)的可持續(xù)穩(wěn)定健康發(fā)展���。此外,當(dāng)企業(yè)面臨行政處罰或刑事指控之時�����,良好的合規(guī)體系是構(gòu)成減輕或免除企業(yè)行政處罰和刑事處罰的合理理由之一��,如證券行政執(zhí)法領(lǐng)域的行政和解制度����,行政和解除了要求違規(guī)企業(yè)繳納高額的行政和解金之外,還要附加合規(guī)計劃的實施��,此時合規(guī)不再只是一種公司治理方式�,進入行政監(jiān)管領(lǐng)域,合規(guī)已經(jīng)成為一種行政監(jiān)管激勵機制���,企業(yè)可以用合規(guī)作無責(zé)任抗辯�;在美國刑事司法實踐中,如果一個企業(yè)涉嫌犯罪后�����,只要具有或者承諾建立有效的合規(guī)計劃���,就可以得到不起訴處理��,或者定罪后被寬大量刑��,或者以其作為無罪抗辯事由�。綜合言之��,數(shù)據(jù)合規(guī)管理對于企業(yè)的利處有二:一是降低風(fēng)險�,提高效益;一是減輕��、免除行政或刑事處罰���。
第三�,個人數(shù)據(jù)與整個公共社會密切相關(guān)����,我們除了要保護數(shù)據(jù)��,更重要的是���,合理利用數(shù)據(jù)來促進經(jīng)濟發(fā)展與社會進步。在大數(shù)據(jù)社會����,加強數(shù)據(jù)和信息合法與合理利用�,充分利用信息與數(shù)據(jù)的經(jīng)濟價值,來發(fā)展大數(shù)據(jù)產(chǎn)業(yè)和互聯(lián)網(wǎng)信息產(chǎn)業(yè)�,促使數(shù)據(jù)資產(chǎn)化,促進中國社會經(jīng)濟和諧有序穩(wěn)定創(chuàng)新發(fā)展�����。
第四���,對于國家而言�,個人數(shù)據(jù)安全也是屬于國家安全的一部分��,國家對于數(shù)據(jù)和信息的跨境流動與傳輸進行管制的目的就在于維護國家安全���。個人數(shù)據(jù)安全與國家安全���、國家主權(quán)���、國家利益息息相關(guān)。網(wǎng)絡(luò)安全法的出臺就是為了保障網(wǎng)絡(luò)安全����,維護網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益���,保護公民�、法人和其他組織的合法權(quán)益�����,促進經(jīng)濟社會信息化健康發(fā)展而制定的�。個人數(shù)據(jù)安全成為國家安全重要的組成部分。
三����、數(shù)據(jù)合規(guī)的問題審視
數(shù)據(jù)合規(guī)管理主要是針對數(shù)據(jù)收集、存儲�、傳輸����、處理�����、使用等數(shù)據(jù)活動���,信息密集型企業(yè)在進行各式各樣的數(shù)據(jù)活動之時�,會產(chǎn)生各種各樣的不合規(guī)問題�,給數(shù)據(jù)合規(guī)工作提出嚴(yán)峻挑戰(zhàn),其中����,最為核心的三個問題是數(shù)據(jù)違規(guī)收集問題��、用戶數(shù)據(jù)泄露問題�����、數(shù)據(jù)非法使用問題��。
數(shù)據(jù)違規(guī)收集問題
數(shù)據(jù)合規(guī)面臨的第一個挑戰(zhàn)便是數(shù)據(jù)違規(guī)收集問題���,近年來���,我國移動應(yīng)用軟件或多或少都存在違規(guī)私自收集���、過度收集、超范圍收集用戶數(shù)據(jù)信息�����、強制授權(quán)�����、不合理索取用戶權(quán)限��、頻繁騷擾��、侵害用戶權(quán)益���,如未經(jīng)用戶同意自動開啟收集地理位置��、身份證號����、人臉、指紋�、讀取通訊錄、使用攝像頭���、啟用錄音等功能以及與服務(wù)無關(guān)的功能���。
社會實踐中違規(guī)收集用戶數(shù)據(jù)的熱點事件層出不窮,如“ZAO”軟件因違規(guī)收集個人信息被工信部約談�����、抖音海外版違規(guī)收集兒童信息被美國聯(lián)邦貿(mào)易委員會(FTC)罰款570萬美元等�。針對實踐中出現(xiàn)的移動應(yīng)用軟件亂象,2019年1月��,中央網(wǎng)信辦�����、工業(yè)和信息化部��、公安部�、市場監(jiān)管總局四部分聯(lián)合開展App違法違規(guī)收集使用個人信息專項治理�����;2019年11月,工業(yè)和信息化部關(guān)于這一嚴(yán)峻問題又開展了APP侵害用戶權(quán)益專項整治活動����。國家部委先后兩次對移動應(yīng)用軟件違規(guī)收集用戶數(shù)據(jù)問題進行專項整治行動,可見當(dāng)前數(shù)據(jù)違規(guī)收集問題之嚴(yán)峻���。
用戶數(shù)據(jù)泄露問題
數(shù)據(jù)合規(guī)面臨第二個問題是用戶數(shù)據(jù)泄露問題��。企業(yè)進行數(shù)據(jù)收集�、存儲�、傳輸、處理���、使用等數(shù)據(jù)活動之時��,可能會產(chǎn)生用戶數(shù)據(jù)泄露事件���,大體來說,主要有以下幾個原因:一是企業(yè)自身數(shù)據(jù)安全保護系統(tǒng)存在漏洞��,企業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施容易被攻擊、侵入�、干擾和破壞,數(shù)據(jù)處于暴露在陽光下的風(fēng)險當(dāng)中����;二是企業(yè)員工故意或過失泄露用戶數(shù)據(jù),或逐利��,或泄憤���,或報復(fù)����;或競爭���;三是外部力量或人員利用木馬�、病毒�����、爬蟲等計算機網(wǎng)絡(luò)技術(shù)措施對目標(biāo)企業(yè)的數(shù)據(jù)系統(tǒng)發(fā)起攻擊��,竊取用戶數(shù)據(jù)����。如實踐中發(fā)生的東航泄露乘客個人隱私事件、去哪兒網(wǎng)泄露用戶隱私����,以及號稱史上最大的數(shù)據(jù)泄露案——瑞智華勝公司非法盜取30億條個人網(wǎng)絡(luò)信息被罰款1000萬,且公司主管人員和直接責(zé)任人構(gòu)成刑事犯罪�。用戶數(shù)據(jù)泄露問題已經(jīng)成為數(shù)據(jù)合規(guī)工作中的重點防控領(lǐng)域。
數(shù)據(jù)非法使用問題
數(shù)據(jù)合規(guī)面臨第三個挑戰(zhàn)是非法使用用戶數(shù)據(jù)為自己謀利�,嚴(yán)重侵害用戶合法權(quán)益,具體有以下幾種常見情形:第一�����,移動應(yīng)用軟件未經(jīng)用戶同意��,私自將設(shè)備識別信息���、商品瀏覽記錄�、搜索使用習(xí)慣�、常用軟件應(yīng)用列表等個人信息共享給第三方;第二����,強制用戶使用定向推送功能��,即“APP未向用戶告知�,或未以顯著方式標(biāo)示�,將收集到的用戶搜索、瀏覽記錄��、使用習(xí)慣等個人信息�,用于定向推送或精準(zhǔn)營銷,且未提供關(guān)閉該功能的選項”���。例如我們常見的精準(zhǔn)廣告�,“在網(wǎng)絡(luò)時代�,每當(dāng)消費者搜索某個產(chǎn)品或是瀏覽某個廣告時,他的這些活動就會被迅速地記錄到一份詳細(xì)的個人檔案中��,而這種信息搜集過程完全是背著消費者進行的”�����。應(yīng)用軟件經(jīng)營者為了謀求自身商業(yè)利益最大化�����,對違規(guī)收集的消費者個人信息進行最大限度的商業(yè)利用��,追逐最大限度的可得利潤,此舉是完全有悖于法治精神與商業(yè)道德��。
四���、數(shù)據(jù)合規(guī)的中國方案
數(shù)據(jù)合規(guī)管理是以有效防控數(shù)據(jù)合規(guī)風(fēng)險為目的,以互聯(lián)網(wǎng)企業(yè)為代表的信息密集型企業(yè)及其員工的數(shù)據(jù)活動為對象����,開展包括數(shù)據(jù)合規(guī)制度制定、數(shù)據(jù)合規(guī)風(fēng)險識別��、數(shù)據(jù)合規(guī)審查�、數(shù)據(jù)合規(guī)風(fēng)險應(yīng)對、責(zé)任追究�、考核評價、合規(guī)培訓(xùn)等有組織���、有計劃的管理活動�����。合規(guī)管理是信息密集型公司全面風(fēng)險管理的一項重要內(nèi)容�,也是實施有效內(nèi)部控制的一項基礎(chǔ)性工作�����。
數(shù)據(jù)合規(guī)管理應(yīng)該堅持四個基本原則,第一是獨立性原則��,數(shù)據(jù)合規(guī)管理應(yīng)從制度設(shè)計��、機構(gòu)設(shè)置����、崗位安排以及匯報路徑等方面保證獨立性,數(shù)據(jù)合規(guī)管理機構(gòu)及人員承擔(dān)的其他職責(zé)不應(yīng)與數(shù)據(jù)合規(guī)職責(zé)產(chǎn)生利益沖突���。第二是適用性原則�����,數(shù)據(jù)合規(guī)管理應(yīng)從經(jīng)營范圍��、組織結(jié)構(gòu)和業(yè)務(wù)規(guī)模等實際出發(fā)�,兼顧成本與效率�,強化數(shù)據(jù)合規(guī)管理制度的可操作性,提高數(shù)據(jù)合規(guī)管理的有效性��。同時�,企業(yè)應(yīng)隨著內(nèi)外部環(huán)境的變化持續(xù)調(diào)整和改進數(shù)據(jù)合規(guī)管理體系�。第三是全面性原則��,要將數(shù)據(jù)合規(guī)要求覆蓋各業(yè)務(wù)領(lǐng)域�、各部門、各級子企業(yè)和分支機構(gòu)���、全體員工,貫穿決策�����、執(zhí)行���、監(jiān)督全流程��。第四是聯(lián)動性原則���,我們要推動數(shù)據(jù)合規(guī)管理與法律風(fēng)險防范、監(jiān)察�����、審計�、內(nèi)控�、風(fēng)險管理等工作相統(tǒng)籌���、相銜接�����,確保數(shù)據(jù)合規(guī)管理體系有效運行�����。
前文所述���,數(shù)據(jù)合規(guī)面臨三大挑戰(zhàn):數(shù)據(jù)違規(guī)收集問題、用戶數(shù)據(jù)泄露問題��、數(shù)據(jù)非法使用問題����。面對此三大問題,我們應(yīng)該一一處理并給出解決方法���,既要立足本國國情����、社情、民情����,因地制宜,也要汲取世界法律之精華�����,為我所用�,最終形成數(shù)據(jù)合規(guī)管理的“中國方案”�����。
優(yōu)化頂層設(shè)計�,完善數(shù)據(jù)立法,為數(shù)據(jù)合規(guī)管理提供法治保障
當(dāng)前我國仍沒有專門的數(shù)據(jù)立法�����,有關(guān)數(shù)據(jù)合規(guī)的規(guī)則分散于各位階���,未成體系���。目前�����,個人信息保護法�、數(shù)據(jù)安全法等數(shù)據(jù)合規(guī)領(lǐng)域的最高位階之法已經(jīng)入選全國人大常委會最新的立法規(guī)劃�。為保障數(shù)據(jù)安全,促進數(shù)據(jù)開發(fā)利用�����,保護公民�����、組織的合法權(quán)益���,數(shù)據(jù)安全法應(yīng)當(dāng)規(guī)定支持促進數(shù)據(jù)安全與發(fā)展的措施�����,建立健全國家數(shù)據(jù)安全管理制度����,落實開展數(shù)據(jù)活動的組織、個人的主體責(zé)任等����。我們應(yīng)該緊緊把握這次契機,將近年來數(shù)據(jù)合規(guī)領(lǐng)域出現(xiàn)的重大的難點���、熱點���、疑點問題一一回應(yīng)并作出相應(yīng)規(guī)定,為數(shù)據(jù)合規(guī)管理提供有效的法治保障�。
例如,前文提及的數(shù)據(jù)合規(guī)面臨的三大挑戰(zhàn)便可以在個人信息保護法����、數(shù)據(jù)安全法的立法過程中予以回應(yīng)����。對于數(shù)據(jù)違規(guī)收集問題,我們要在立法中制定并公開收集使用規(guī)則��,明確收集使用個人信息的目的����、種類、數(shù)量、頻度�����、方式���、范圍等以及個人信息主體撤銷同意���,以及查詢、更正���、刪除個人信息的途徑和方法����。立法應(yīng)當(dāng)禁止信息密集型企業(yè)以改善服務(wù)質(zhì)量���、提升用戶體驗�����、定向推送信息����、研發(fā)新產(chǎn)品等為由,以默認(rèn)授權(quán)�����、功能捆綁等形式強迫���、誤導(dǎo)個人信息主體同意其收集個人信息���。
緊追世界數(shù)據(jù)合規(guī)潮流,汲取他國優(yōu)秀數(shù)據(jù)合規(guī)經(jīng)驗
對于用戶數(shù)據(jù)泄露問題���,我們可以吸收借鑒歐盟的“被遺忘權(quán)”的權(quán)利設(shè)計規(guī)則�����。歐盟之前頒布的GDPR(中文譯為通用數(shù)據(jù)保護條例或一般數(shù)據(jù)保護條例)中提出了一個核心的概念就是“被遺忘權(quán)”(又稱刪除權(quán))�����,即數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者刪除其個人數(shù)據(jù),已達(dá)到其被收集的數(shù)據(jù)處于“被遺忘”的狀態(tài)�����。企業(yè)要嚴(yán)格遵守安全性原則,不僅應(yīng)確保其現(xiàn)階段數(shù)據(jù)使用的安全�,還應(yīng)考慮到使用結(jié)束后的數(shù)據(jù)更正和刪除問題。GDPR除了規(guī)定數(shù)據(jù)主體具有刪除權(quán)外���,還賦予其訪問權(quán)����、更正權(quán)���、限制處理權(quán)�、數(shù)據(jù)攜帶權(quán)���、反對權(quán)等一系列權(quán)利����,一定程度上使數(shù)據(jù)主體與數(shù)據(jù)控制者的權(quán)利失衡狀態(tài)稍微變得平衡一點���。對此�,數(shù)據(jù)安全法立法之時�����,可以規(guī)定網(wǎng)絡(luò)運營者應(yīng)當(dāng)采用數(shù)據(jù)分類、備份����、加密等措施加強對個人數(shù)據(jù)保護。企業(yè)保存?zhèn)人信息不應(yīng)超出收集使用規(guī)則中的保存期限�,用戶注銷賬號后應(yīng)當(dāng)及時刪除其個人信息,企業(yè)收到有關(guān)個人信息查詢�、更正、刪除以及用戶注銷賬號請求時����,應(yīng)當(dāng)在合理時間和代價范圍內(nèi)予以查詢、更正����、刪除或注銷賬號。
此外����,合規(guī)作為一種行政監(jiān)管激勵機制和刑事激勵機制,我們可以借鑒美國證券交易委員會以及美國司法部的合規(guī)處理方法引入中國數(shù)據(jù)合規(guī)領(lǐng)域�����,即將行政和解機制與刑事暫緩起訴或免予起訴機制引入中國數(shù)據(jù)合規(guī)領(lǐng)域�����。立法可以規(guī)定一個良好的數(shù)據(jù)合規(guī)管理體系可以成為減輕或免除行政處罰或刑事處罰的法定事由��,以此激勵信息密集型企業(yè)精心打造良好完善的數(shù)據(jù)合規(guī)管理體系���。
實現(xiàn)行政監(jiān)管與公司治理��、行業(yè)自治相結(jié)合
實現(xiàn)有效的數(shù)據(jù)合規(guī)管理需要良好公司治理�、以標(biāo)準(zhǔn)化和認(rèn)證為核心的行業(yè)自治以及能動�����、有效的行政監(jiān)管三者的有機統(tǒng)一���。面對現(xiàn)實生活中多發(fā)的數(shù)據(jù)違規(guī)收集���、泄露、非法使用問題��,我們應(yīng)該予以嚴(yán)厲監(jiān)管��。一方面���,推動問題企業(yè)自查自糾�,及時整改;另一方面��,技管結(jié)合���,綜合運用技術(shù)檢測和檢查��、社會監(jiān)督�、用戶和專家評議等手段�,充分發(fā)揮第三方機構(gòu)、媒體和用戶的共同監(jiān)督作用�,構(gòu)建政府管理、社會協(xié)同�、公眾參與、媒體監(jiān)督���、行業(yè)自律����、科技支撐的全方位綜合監(jiān)管體系�����。具體的監(jiān)管措施包括責(zé)令整改、向社會公告����、下架產(chǎn)品�、停止接入服務(wù),以及將受到行政處罰的違規(guī)主體納入電信業(yè)務(wù)經(jīng)營不良名單或失信名單等手段��,嚴(yán)重者使用行政罰款或刑事處罰措施�。
五、代結(jié)語:網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)雙軌并進
身處網(wǎng)絡(luò)信息時代����,網(wǎng)絡(luò)空間法治化已經(jīng)成為不可阻擋的趨勢,在信息社會��、互聯(lián)網(wǎng)���、大數(shù)據(jù)�、人工智能大背景之下���,加強數(shù)據(jù)合規(guī)管理具有重大的現(xiàn)實意義���。數(shù)據(jù)合規(guī)管理的兩條底線分別是合乎一切規(guī)則和不得侵害他人權(quán)益��,企業(yè)進行數(shù)據(jù)合規(guī)管理要緊緊把握這兩條底線原則�。數(shù)據(jù)安全法(草案)的立法宗旨與目的就是為了“保障數(shù)據(jù)安全�����,促進數(shù)據(jù)開發(fā)利用�����,保護公民����、組織的合法權(quán)益,維護國家主權(quán)�����、安全和發(fā)展利益”��。我們要通過采取必要措施��,保障數(shù)據(jù)得到有效保護和合法利用�����,并持續(xù)處于安全狀態(tài)。維護數(shù)據(jù)安全��,應(yīng)當(dāng)堅持總體國家安全觀�,建立健全數(shù)據(jù)安全治理體系,提高數(shù)據(jù)安全保障能力�,我們要堅持維護數(shù)據(jù)安全和促進數(shù)據(jù)開發(fā)利用并重,以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進數(shù)據(jù)安全��,建立集中統(tǒng)一�、高效權(quán)威的數(shù)據(jù)安全風(fēng)險評估����、報告、信息共享���、監(jiān)測預(yù)警機制���、數(shù)據(jù)安全應(yīng)急處置機制、數(shù)據(jù)安全審查制度和數(shù)據(jù)安全協(xié)同治理體系����。網(wǎng)絡(luò)安全法為我們指明了數(shù)據(jù)合規(guī)的方向,即在網(wǎng)絡(luò)安全的背景下進行數(shù)據(jù)合規(guī)管理,數(shù)據(jù)需要通過網(wǎng)絡(luò)進行傳輸��、流動����、增值,網(wǎng)絡(luò)需要數(shù)據(jù)才能發(fā)揮其最大功效����,二者相輔相成,相互成就��,保護數(shù)據(jù)安全就是維護網(wǎng)絡(luò)安全��,保障網(wǎng)絡(luò)安全是為了更好進行數(shù)據(jù)合規(guī)管理����,二者應(yīng)該雙軌并進。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
