21世纪初,网络与通讯的普及,敲开了我国数字化时代的大门。移动互联网、物联网、大数据、云计算、5G、区块链、人工智能等数字技术在现代商业和社会中的广泛运用,对企业的经营与管理而言是一场惊涛骇浪的航行。如果说日新月异的数字技术是惊涛巨浪,那么,数据化是企业乘风启航的风帆,数据合规则是企业乘风破浪的安全装置。
一
企业数据合规的方方面面
(一)数据合规是避免数字资产丢失、损坏、盗窃和滥用的“准则”
数据合规指的是企业必须遵守的“准则”,以避免其拥有的敏感数字资产不被丢失、盗窃和滥用,同时确保其拥有数字资产的合法性、安全性和可靠性。这些“准则”既有由国家机关颁布的强制性规定,也有全国性行业协会制定的行业标准,某些对数据合规性要求较高的企业甚至还制定了高于国家、行业标准的企业规章制度。
(二)数据合规的核心是数据安全和个人信息保护
早在2015年7月1日实施的《国家安全法》,国家就将网络安全纳入国家安全的保护范围内。紧接着,2017年6月1日《网络安全法》正式施行,对企业(特别是网络运营者)网络安全监督管理提出了全面的要求。随后,在2021年相继实施的《数据安全法》《个人信息保护法》,形成了网络空间安全治理的法律架构。因此,笔者认为,在现有的法律规范框架内,数据安全和个人信息保护是数据合规的重中之重。
(三)“数据”的边界
在数据合规的法律框架下,需要合法合规的“数据”仍然没有非常明确的边界。正如上述所阐述,任何涉及国家、公共、网络空间安全的信息以及用户个人隐私信息均属于数据合规领域中的重点保护对象。
其中,数据特指任何以电子或者其他方式对信息的记录(出自《数据安全法》)。个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等(出自《民法典》)。
二
数据合规的多元要求
(一)收集数据的主体需合法合规
根据《数据安全法》第三十四条规定,法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。如企业开发的APP或小程序,在上线前需要根据与《电信业务分类目录(2015年版)》相应的业务类别,申请并取得对应增值业务经营许可证。
(二)数据内容需合法合规
一般而言,数据内容合法合规包括数据内容是否侵犯到他人的个人隐私权、知识产权、商业秘密,是否侵害公共安全等。具体而言,部门规章《网络信息内容生态治理规定》中规定了三类主要主体数据合规的具体义务。网络信息内容生产者对其制作、复制、发布的内容有保证非违法、非不良的义务;网络信息内容服务平台及网络信息内容服务使用者有信息内容管理、监督等义务。
(三)数据来源需合法合规
数据来源的合规性是数据合规问题的重点,即数据来源的不合法、不合规则直接否决了数据合规性。根据数据采集的方式,可以将数据来源分为:公开收集、自行生产、直接采集、间接获取。
1.公开收集
公开收集的数据一般包括开放数据和公开数据。开放数据是指任何人均有权且无条件使用的数据,一般不涉及数据合规考量。需要关注的是公开数据,公开数据是向社会公众开放的但需要特定条件才可访问和获取的数据。
以现今公开数据主要的获取方式爬虫为例,作为技术本身,爬虫“无罪”,而使用爬虫技术的合规性考量,则需要从三个方面考虑:取得数据的手段是否合法、数据使用目的是否合法、收集是否对其他主体造成损害。
2.自行生产
企业对自行生产的数据来源的合规审查重点在于数据分级、备案与风险预警。根据《数据安全法》规定,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
另外,根据《工业和信息化领域数据安全管理办法(试行)》所述:自行生产的数据包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等;根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案。
3.直接采集
直接采集的数据一般特指用户个人信息。采集用户个人信息是否合规的问题,《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》列出了6个评估点:
评估点一:是否公开收集使用个人信息的规则
评估点二:是否明示收集使用个人信息的目的、方式和范围
评估点三:是否征得用户同意后才收集使用个人信息
评估点四:是否遵循必要原则,仅收集与其提供的服务相关的个人信息
评估点五:是否经用户同意后才向他人提供个人信
评估点六:是否提供删除或更正个人信息功能,或公布投诉、举报方式等信息
4.间接获取
间接获取的方式一般包括采购、授权等。一方面,与非数字资产类的买卖合同、授权协议相似,需要对合同本身做合法合规性审核;另一方面,也需要对获得数字资产做合法合规性审查,如个人信息有无去标识化等。
(四)数据全生命周期需要合法合规
数据合规的全生命周期是指从数据生成到灭亡的全过程,根据《信息安全技术 数据安全能力成熟度模型》GB/T 37988—2019中所述,数据生存周期分为以下6个阶段:数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁。同时,以上所述的数据生存周期也是企业在数据合规管理时所要切入的各个流程节点。
(附图1,来源于《信息安全技术 数据安全能力成熟度模型》GB/T 37988—2019,5.4.2.1,PA 体系)
三
企业数据合规的“得”与数据违规的 “失”
(一)数据合规可为企业节约成本、赢得客户信赖
企业若不遵守数据合规性法律法规,一旦发生数据泄露的事件,最终可能面临巨额的行政罚款,并且直接影响客户忠诚度。根据IBM发布的《2023年数据泄露成本报告》,数据泄露的平均总成本达到445万美元,数据泄露的成本包括直接费用和间接费用,直接费用包括安全专家、热线支持、信用监控订阅和潜在的和解。间接成本包括内部调查和沟通,以及客户流失率或违规后公司声誉受到影响而降低的费率。因此,严格落实数据合规可避免发生数据泄露,或是大大降低数据泄露后所造成的影响,从而为企业节约成本。
另外,根据数据安全保护公司Varonis对数据泄露后企业声誉的分析报告所述,80%的消费者会直接放弃与数据泄露的企业的合作与交易,52%的消费者会选择支付相同的费用但安全性更高的产品或服务。因此,避免数据泄露事件的发生是与客户、消费者、用户保持长期信赖关系的关键。
(二)数据违规将面临着巨大的法律风险
严格落实数据合规,在经营管理的过程中也能更好地应对国家法律法规及政策、监管的要求,更可以帮助企业有效规避刑事处罚、行政处罚以及民事赔偿等法律责任。
1.民事赔偿
《网络安全法》《数据安全法》《个人信息保护法》均规定了数据处理主体如若违反相关法律规定,给他人造成损害的,应依法承担相应民事责任。责任承担的方式参照《民法典》,包括停止侵害、排除妨碍、消除危险、恢复原状、赔偿损失等。
侵害他人权益造成财产损失时,赔偿数额的确定方式亦可参照《民法典》,即按照被侵权人因此受到的损失或者侵权人因此获得的利益进行赔偿;损失以及因此获得的利益难以确定的,无法就赔偿数额协商一致的,由法院根据实际情况确定赔偿数额。
2.行政处罚
《网络安全法》《数据安全法》及《个人信息保护法》规定了责令改正、警告、罚款、没收违法所得、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照或类似的责任类型。
另外,根据《数据保护安全法》的相关规定,开展数据处理活动的组织、个人未履行数据安全保护义务的,最高可处五十万元以上二百万元以下罚款,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
严重的,对于违反国家核心数据管理制度,危害国家主权、安全和发展利益的,最高面临二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,涉及犯罪的另行追诉犯罪行为。
其中一个最知名的案例是,2022年7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。
3.刑事犯罪
企业因严重违反数据合规义务的高发罪名有:
侵犯公民个人信息罪:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
非法获取计算机信息系统数据、非法控制计算机信息系统罪:违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
破坏计算机信息系统罪:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
拒不履行网络安全管理义务罪:网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
四
企业遵循合规之路的法律图谱
本文所述的法律图谱,是指企业在开展数据合规审查、管理、建设时可参考的法律规范的索引地图。本文共提供了三种视角供企业参考,一是通过发布的时间线了解数据合规领域相关法律的发展变化与规律;二是通过制定主体与法律文本位阶的高低,从上位法到下位法,从宏观概况到具体细节;三是按照企业所属行业以及数据合规的目标来划分,方便企业聚焦目的快速匹配需要的法律规范。
(一)以发布时间线排序的法律图谱
(二)以立法机构的位阶排列的法律图谱
(三)以数据领域划分的法律图谱
作者介绍
Attorney
周英东 Don Zhou
■ 广东敦和律师事务所
■ 执业律师
周英东律师,理学学士、工商管理硕士,具有复合学科背景,专注知识产权法律服务,有丰富的知识产权溯源调查取证、民事诉讼经验,擅长处理版权、商标侵权、不正当竞争等类型知识产权案件。
广州市律协涉外律师人才库成员、广州市南沙区劳动争议调解员、敦和律所知识产权及数据合规委员会及专利与技术法律专业委员会成员。
-END-
[如需转载,请联系我们获得授权]
撰稿|周英东 审核|肖维平
校对|易笑霞 编辑|陈丝华
保持热爱,共赴山海
敦和律所期待您的加入!
Tel:020-38847887
