图 | 2021年6月10日,中华人民共和国全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》,自2021年9月1日起施行。
一、问题的提出
2021年7月2日,网络安全审查办公室发布公告称,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。这之后,网络安全审查办公室又依次宣布对“运满满”“货车帮”“BOSS直聘”进行网络安全审查。7月16日,国家网信办会同公安部、国家安全部等7部门联合进驻滴滴出行科技有限公司,开展网络安全审查。新闻一出,舆论哗然,也由此引发了公众对于企业数据安全的担忧。
当下,是互联网的时代,是信息的时代,是数据的时代。党的十九届四中全会《中共中央关于坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化若干重大问题的决定》首次增列“数据”作为生产要素,提出“健全劳动、资本、土地、知识技术管理数据等生产要素由市场评价贡献按贡献决定报酬的机制。作为数字经济发展下,国家基础的战略性资源,数据日益受到个人、企业、乃至国家的重视与关注。
不可否认的是,互联网应用技术的使用实现了对我们生活方方面面的渗透。小到日常出行,大到档案经历,我们害怕平台对数据的收集,却又不得不依赖于平台的功能。事实上,在反复的精准广告中,在屡次的强制授权下,我们能够感受到数据驱动型企业经营对用户数据无孔不入的侵害,但在侵害行为未具像化为严重后果时,民众选择了妥协与忽视,而监管似乎也走在了后列。
但7月“滴滴们”的暴雷,给普通民企单位、监管部门都敲响了警钟,对技术平台创新发展的包容和退让,在取得飞跃发展成果的同时,也豢养了一批数据集取的庞然大物,将隐患埋向了个人网络安全、甚至是总体国家安全。因此,如何有效进行数据合规,充分规避数据风险?实际已经迫在眉睫。
二、数据安全合规的必要性审视
合规,顾名思义,是指企业经营活动与法律、规则和准则相一致。而数据合规,当然是指企业及其员工对于数据收集、存储、使用、处理、共享、转让、跨境或非跨境传输、流动、保护的行为需要符合相应的规范准则(注释1)。事实上,依托于互联网大数据开展业务的数据驱动型企业,往往着重于将运营过程中积累的庞大数据再次进行商业化利用,以求进一步提升拓宽企业的业务增长范围。但在风险逐渐展露、事件频频爆雷的当下,监管合规也成为此类企业不得不面对的重点问题。
(一)企业上市经营的紧迫需求
事实上,2017年《网络安全法》的实施,明确规范了坚持网络安全与信息化发展并重的基础原则,要求数据发展维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益。其在对国家网信部、公安部等监管部门提出更高要求的同时,也逐步在实现对数据安全监管的实质性审查。具体就表现为企业上市申报过程中的信息披露义务。企业需要在信息披露过程中直面其数据处理过程可能产生的业务风险,数据处理相关业务商业模式的合法性,及其对企业未来持续发展的影响(注释2)。具体来看,主管机构不仅明确关注数据来源、数据处理的普通合法合规问题,还需要详细记录数据采集的方式、对象、价格、趋势、成本等深层次的问题。而针对涉及关键数据的企业,其申报过程不仅仅局限于简单概括式的报告说明,而是需要根据主管机构的要求,进行多轮次、深层级的详尽汇报,除开基础的数据来源、数据运营、数据保存等基础大类合规问题之外,进一步还需要对数据收集的具体方式、收集面向的具体对象、数据收集的成本价格等具体风险点进行答复。
(二)数据跨境运输的当然要求
应当说,在我国企业“走出去”和“引进来”的战略指导下,企业跨境的交流与贸易频繁。而这其中,数据的跨境流动更是对我国的外贸经济发展有着重大的意义。有学者指出,在电子商务、云计算、第三方支付、物流平台、软件服务这五个跨境业务板块中,数据跨境流动可以直接影响到其成本、收益、创新能力乃至实现商业模式的全球扩张(注释3)。一方面,由于数据跨境流动对企业贸易成本的降低,越来越多的中小型企业加入到这样的跨境贸易环节,数据跨境的监管合规已不是单一个别企业的特殊需求。需要明确的是,数据跨境传输往往涉及国内外不同的数据监管规则,在6月底赴美上市公司纷纷退出接受审查的大背景下,企业更应当谨慎考虑,如何在配合国外数据审查要求的同时,既能够最大限度避免数据泄漏引发的公司机密泄漏,也能够严格履行对其控制范围内数据的安全保障义务。
(三)《数据安全法》出台下的必要义务
今年9月1日,新颁布的《数据安全法》将正式予以实施,相关配套文件也将陆续出台。法规对我国境内外的数据处理及安全监管都进行了总体制度上的统筹安排,强调在开发利用数据的同时,更加注重保护数据安全,对各参与数据处理的主体都提出了更高的合规要求。换言之,企业数据合规管理的相关布局与准备迫切需要提上日程。重点来看:
1、数据概念的定义
《数据安全法》第三条、第二十一条,对数据的概念、包括核心数据的范围,数据处理的内容以及数据安全的定义进行了明确的解释。首先强调了数据的范围,其并非仅仅局限于网络空间,还包括其他方式对信息的记录。在此基础上,通过对核心数据与普通数据的区分,也暗含了企业需在不同标准下履行不同层级的数据安全保障义务。同时,规范对数据处理的涉及的全部流程环节进行了列举与解释,包括收集、存储、使用、加工、传输、提供、公开等,形成了对数据全生命周期的覆盖,但兜底式条款的规定也对企业如何准确判断数据处理活动提出了挑战。
2、数据的分级保护
《数据安全法》第二十一条确定了数据分类保护制度,要求根据“数据在经济社会发展中的重要程度”、以及“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”两个维度,对数据实行分类分级保护。但对于企业数据管理来说,规范并未对分级管理制度的具体内容、重要数据保护的具体名录予以进一步明确,如何匹配监管要求存在疑惑。
3、数据安全审查制度
《数据安全法》第二十四条明确,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查,并将于安全审查后将作出终局的审查决定。一方面,终局的决定类型也就意味着一旦审查判定违法违规,企业缺乏必要的救济途径,事前合规预防更显必要;另一方面,安全审查的具体流程尚未有进一步明确,企业仍需要密切关注类似《网络安全审查办法》的规范细则,以期把握审查标准规范。
4、出境合规义务
《数据安全法》第三十条明确,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。此外,其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。因此,企业需要首先评估是否属于关键信息基础设施运营者,在确定相应行列的前提下,准确关注各自不同的安全评估规范要求。
三、企业数据合规面临的现实困境
(一)现有数据规范零散缺漏,难以进行有效参考
不可否认的是,从2015年的《国家安全法》、2017年的《网络安全法》到去年的《民法典》,我国已经逐步开始探索引领国内数字经济发展的规范指引。在组成我国整体网络安全立法体系的同时,也设置了我国数据安全的基本底线。今年6月《数据安全法》的出台,更是将网络审查规范的视角聚焦到了信息数据,弥补了数据合规领域最高位阶法律的空白。
但问题在于,上述几部法律与关联规章组成的数据保护体系下,相关制度安排多数表现为一条简单的原则性宣告,缺乏实际的可操作性。换言之,总领性的法律规定之下,详细的概念流程却未有进一步明确,典型如“关键信息基础设施”“重要数据”乃至明确全面的“数据处理”等基础概念的范围认定。事实上,相关概念的模糊问题并非只此一部法律。以“关键信息基础设施数据出境安全评估要求”条款为例,早在《网络安全法》以及《个人信息出境安全评估办法(征求意见稿)》中,已然对关键信息基础设施数据出境提出了安全评估要求。近年来,在跨国数据交换日渐频繁的当下,国内相关监管部门也开始留意和关注到数据境内留存问题,在金融、征信行业、网络出版和网络地图行业、医疗卫生等特殊领域,都明确要求相关数据必须首先本地化存储(注释4)。但时至今日,在《数据安全法》再次强调的背景下,也未能对数据的“境内收集”、数据的“境外提供”等关键概念予以细化。
简言之,相关细化规定往往散落于若干行业管理规范中,制度位阶层次颇低,可操作性和协调性不足,对企业的合规管理提出了巨大的考验与挑战。
(二)数据处理环节繁杂多样,暗藏诸多隐患漏洞
如前述,《数据安全法》第一条即明确,数据的规范保护既基于个人、组织的合法权益,也着眼于维护国家主权、安全和发展利益。换言之,数据之上承载信息的特殊性也决定企业数据安全问题的复杂性。
1、数据来源的合法性问题
数据驱动型企业的运营基础在于对用户数据的收集,因此,合法的数据收集方式是目前主管机构审查的重中之重,却也是数据风险泛滥的重灾区。如“ZAO”软件因违规收集个人信息被工信部约谈、抖音海外版违规收集儿童信息被美国联邦贸易委员会(FTC)罚款570万美元等重大数据安全事件其实层出不穷。
首先是数据的收集授权问题。考虑对用户数据的收集行为是否有明示,数据收集的内容及用途是否明示。其次是规范数据的获取渠道问题。一般来说,数据的收集一般局限于用户自行填写以及用户对相关基本信息的明确授权。一方面,数据的获取时间。以打车软件常见的定位数据获取为例,用户授权数据获取的时间往往限定在使用软件期间,除此之外,对用户定位的读取均属违法;另一方面,数据的获取方式。如前述,应用软件的信息获取方式应当公开透明,并有用户的明确授权,除此之外,若利用设备录音、摄像等方式从后台截取数据则均属违法。
实际上,监管部门对相关数据问题已经展开了专项整治。如2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合开展App违法违规收集使用个人信息专项治理;而在2019年11月,工业和信息化部又再次开展了APP侵害用户权益专项整治活动。
2、数据利用的合法性问题
所谓数据使用的合法,要求企业采取严格的数据安全保护措施,以充分保证信息主体的合法权益。事实上,应用软件经营者为了谋求自身商业利益最大化,违规对储存的用户数据进行最大限度商业利用的事件层出不穷。或表现为应用软件间私下的信息共享;或表现为网页浏览时精准的广告投放。各类型企业在数据的使用上似乎达成了某种不可言说的默契,相互之间的信息拼凑,将一个个活生生的我们予以还原、记录,进而为其所用。
因此,往往需要考虑对照《数据安全法》、《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《信息安全技术个人信息安全规范》等法规和司法解释,考察数据的使用过程,尤其是商业化的变现过程是否合法合规,是否存在侵害公民个人隐私,或者侵犯国家、社会利益的情形。
3、数据储藏的合法性问题
企业进行数据收集、存储、传输、处理、使用等数据处理活动之时,更需要承担对已收集数据的妥善保管与存储的安全保证义务。具体来说,数据的泄漏,实际可以分为数据的不当境内泄漏,以及数据的违法境外输送。
第一,是数据的内部泄漏问题。一方面,由于企业安全保证义务履行的过失,自身的数据安全保护系统存在严重漏洞,给外部力量以可趁之机,通过木马、病毒、爬虫等计算机网络技术的侵扰攻击,导致企业关键信息基础设施的破坏,数据信息被不慎外泄;另一方面,企业或出于盈利合作,或遭内部员工私信报复,将内部存储的海量数据故意转移给第三方,从而导致权益侵害。典型如东航泄露乘客个人隐私事件、去哪儿网泄露用户隐私、瑞智华胜公司非法盗取30亿条个人网络信息等案件。
第二,数据的境外传输问题。如前述,滴滴等公司的海外上市过程或涉嫌对美的违规信息披露,境外数据输送的监控风险实际紧迫。作为基础业务需求,国际贸易中的跨境数据流动不可避免。在国际贸易实践中,国外监管机构依照监管职能或调查权限,往往要求我国相关企业提供中国法律法规规定限制跨境传输或不可披露的特定类型数据,在相关选择冲突抛向企业后,贸易纠纷亦或是数据输送就不可避免。其典型案例为美国证券交易委员会要求中国五家会计师事务所提供在美上市公司审计底稿一案。换言之,我国“走出去”的跨国企业不仅需要熟悉输出国涉及跨境数据流动的法律、规章和标准,还要了解、把握输出国的行政监管及司法诉讼程序(注释5),甚至需要在国外强制信息披露制度的要求下进行利益道德上的选择,这也使不少企业进退维谷。
四、企业数据合规的规范化路径
(一)建立第三方独立监控的常态化合规机制
纵观现有的法律规范,可以发现,相关处理手段的规定大多限定在事后惩罚,事前、事中的监管整治手段明显缺乏。如此带来的后果便是,数据安全风险日益膨胀泛滥却没有任何措施进行挽救,对企业来说,一旦事发即不得不接受严厉惩处,轻则巨额罚款、停业整顿,重则刑事评价、刑罚规制。而数据安全事故的严厉处罚也并非是我国个例,典型如欧盟,其于2018年大幅提升数据保护法令的处罚金额,GDPR对违反核心合规义务罚款的最高限额是上年度公司全球营业额的4%或2000万欧元,而其他非核心合规义务的罚款最高限额为上年度全球营业额的2%或1000万欧元。
而具体到我国,在《数据安全法》出台的背景下,规范对企业过错法律责任的规定愈加严厉和具体。简言之,主管机构对于企业进行数据合规要求更为明确严厉,也由此导致了企业更大的责任承担风险。因此,加强企业自治,推行企业内部的预防性合规则显得尤为必要。有学者指出,实现有效的数据合规管理需要良好公司治理、以标准化和认证为核心的行业自治以及能动、有效的行政监管三者的有机统一(注释6)。
概言之,应当充分推行企业事先进行规范化、常态化的自查自纠。一方面,依托企业自身数据平台系统,进行相关技术项目的检测、升级,提升数据防护、抵御侵害能力;另一方面,重视第三方机构的监督、监控作用,引入外部专业机构对企业数据处理过程进行详细梳理、把控,及时抓住企业在数据收集、使用等处理过程中的风险点,事先规避、提前预防,对漏洞空白及时填补。
(二)梳理企业数据合规相关的规范准则
首先需要强调的是,数据合规中“规”字涵盖范围广,上到国际条约,下到企业规章制度(注释7)。如前述,所谓企业数据处理合乎规范,重点在于依照遵循,但抓手却在于规范的明确,具体来讲,相关规范行为需符合国际条约、国内法律法规规章、其他规范性文件、行业准则、商业惯例、社会道德以及企业章程、规章制度的要求。换言之,数据合规的要求不仅仅限定于基础法律的遵循,更是在于所有关联准则的对照。
首先,从最高层级的法律文件来看,与数据安全相关的包括:《国家安全法》、《网络安全法》、《民法典》、《刑法》、以及最新的《数据安全法》。辅之以相关的司法解释则包括,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。
其次,从部门规章来看,相关安全分类标准可谓纷繁众多。包括:全国金融标准化技术委员会发布的《金融数据安全数据安全分级指南》、中国银行保险监督管理委员会印发的《监管数据安全管理办法(试行)》、工业和信息化部办公厅印发的《电信和互联网行业提升网络数据安全保护能力专项行动方案》。而在2021年2月,全国信息安全标准化技术委员会秘书处连续发布了11项国家标准的草案征求意见稿,包括《信息安全技术数据安全能力成熟度模型》、《信息安全技术、基因识别数据安全要求》、《信息安全技术、人脸识别数据安全要求》、《信息安全技术、声纹识别数据安全要求》、《信息安全技术、网络支付服务数据安全指南》等。
再次,从各地方性规范来看,2021年贵州市人大修订出台《贵阳市大数据安全管理条例》,2020年宁波市政府出台《宁波市公共数据安全管理暂行规定》,而具体到江苏地区,2021年南京市市场监管局、知识产权局联合发布《政务数据安全管理指南(征求意见稿)》,是着重对政务数据的管理规范要求。
最后,从行业规定来看,具体也包括《中国互联网行业自律公约》、《上海票据交易所数据安全管理专项审计服务项目竞争性磋商公告》等。
简言之,相关行业规范准则实际繁杂众多,可以谨慎整理作为合规参照依据的主要抓手。
(三)细化企业数据处理全流程的管控义务
在明确合规的规范要求的基础上,进一步应当针对数据处理过程中的风险环节进行具体的合规化处理。
1、数据收集的合规管理
首先,明确数据收集的前提条件。在既有的法律规范体系下,用户数据的收集仍旧是以用户明确的“授权同意”为前提。
一方面,征求授权的数据范围应当进行限缩。依据国家市场监管总局、国家标准化管理委员会联合发布的《信息安全技术移动互联网应用收集个人信息基本规范》,其对包括地图导航、网络约车、即时通讯、博客论坛、网络支付、新闻资讯、网上购物等21种常用服务类型可收集的最少信息(注释8),以及最少信息所涉的最少必要权限范围进行了表格式的列举规。避免应用软件在企业经营需要之外,进行数据的过度收集引发风险。
另一方面,征求授权的告知提示应当履行详尽透明原则。企业在隐私协议等征求用户授权同意的文本中,需要详细列举收集使用数据的类型、范围、目的、方式,对于因后期商业利用扩大需要再次收集的数据或初始授权瑕疵的存量数据,企业则应当通过更新提醒、补充告知等方式,取得用户进一步授权。否则,就应当对风险数据进行分类管理、乃至删除清理。
其次,明确数据收集的规范途径。一般来说,数据的规范化收集途径为用户主动提供或使用软件app时留存的信息记录,但除此之外,则需要注意的是企业对爬虫技术的利用。作为按照一定的规则,自动地抓取万维网信息的一种程序或脚本,爬虫技术能够在最短时间内大量汲取其他数据积聚平台上的海量数据。因此,需要谨慎避免违规抓取数据的操作行为,不当触犯“非法获取计算机信息系统数据罪”或“侵犯公民个人信息罪”。
2、数据使用的合规管理
数据的使用安全核心就在于牢守数据商业化利用的边界。商业化利用是企业数据收集的直接目的,本质在于最大限度挖掘数据资产的价值。因此,在控制数据来源的基础上,进一步就是保证使用过程中的谨慎合规。事实上,数据的商业化利用往往包含多企业、多渠道的合作,因此,相较收集过程中的单一企业角色,风险更加明显。
一方面,明确企业的角色定位。一般来说,数据法律关系中牵涉的主体可以分为数据主体、数据控制者、数据处理者三类。而作为进行商业运营的公司,可能承担的角色实际为数据控制者(包括共同数据控制者)以及数据处理者。在此基础上,立足不同的角色定位,与其他数据关联方通过协议、审计等方式落实相应的安全保护义务、职责。
另一方面,合理设计知情授权的协议约定。原则来说,企业商业利用的范围不应当超出初始的用户授权。当然,数据资产价值的挖掘中,数据使用范围的扩大是不可避免,因此,企业可以考虑在扩大使用范围之前,对用户进行二次的补充授权征求,或者在初始的授权协议中设置一定的弹性空间,以保证对企业后续开发利用的必要空间,但如何在符合监管规定,详尽数据使用范围、内容的基础上,保留必要的处理余地,需要谨慎考虑。
3、数据传输的合规管理
首先,谨慎考虑数据的第三方共享。事实上,数据驱动型企业运营下,数据的多方流转是扩大实现数据价值的常见模式,但由此带来的数据安全风险也必然增大。因此,第一,需要保证用户对数据第三方移转的知情同意,包括数据移转的对象、移转的目的,以及移转后的用途;第二,企业在数据转移前应进行充分的风险评估,对是否符合数据用户的主体授权,是否采取必要措施避免过程泄漏等环节进行评估。同时,通过协议约定等方式将双方之间的角色义务予以明确,固定双方的权利义务,以保证在数据安全风险发生时快速进行终止转移等救济;第三,保留数据转移的必要记录。企业应当对数据向外移转的全过程进行完整记录,包括数据转移的内容、时间、范围、形式,做好规范的数据活动模本以供备查。
其次,企业内部跨境数据的移转。事实上,应当企业内部常态化的自查自纠,提升企业保护用户数据权益、商业秘密和国家总体安全的责任感,加强跨境数据流动企业数据合规的自觉性。由于数据的境外传输,不仅需要遵守国内的数据传输合规,还需要保证境外的传输地的法律规范,简言之,需要同时把握包括数据传输目的地、传输地、数据控制者、处理者、数据主体的之间的多重授权合规。
一方面,为避免陷入跨境强制信息披露的难堪境地,需要预先考察输入地数据传输的风险,选择适当的数据输入地。虽然各国数据立法的进度各有不同,但是各国数据主权的规定的总体趋势日渐严格。尽心海外上市或外贸经营的企业需要预先对目标国家或地区的数据保护规定、转移传输要求进行必要的调查和了解,避免过于严苛不利的信息报告义务对企业安全造成影响。
另一方面,为规避数据转移外包操作后导致的泄漏事故,需要考核外包公司的专业能力。企业可以应当构建一整套的自我保护制度,针对外包方进行风险管理和专业考核,避免外包企业操作导致的风险由企业自身承担。并应特别关注其在数据保护方面的能力和状况、外包合作资质,并通过评审、调研、补充签署协议等方式规避数据跨境传输风险。
注 释
1、颜新华:《网络安全视裕下的数据合规:基本理论、问题审视与中国方案》,载《上海法学研究》集刊2021年第1卷.
2、宁宣凤,吴涵,包达,林云汉:《企业上市关注的重点数据合规问题》,载《上海法学研究》集刊2020年第13卷。
3、参见惠志斌:《数据经济时代企业跨境数据流动风险管理》,社会科学文献出版社2018年版,第102-107页。
4、《网络出版服务管理规定》第8条第(三)项规定:“有从事网络出版服务所需的必要的技术设备,相关服务器和存储设备必须存放在中华人民共和国境内。”
5、许多奇:《论跨境数据流动规制企业双向合规的法治保障》,载《东方法学》2020年第2期。
参见《全国人大常委会2020年度立法工作计划》,载中国人大网
6、http://www.npc.gov.cn/npc/c30834/202006/b46fd4cb-dbbb4b8faa9487da9e76e5f6.shtml,2020年6月20日。
7、颜新华:《网络安全视裕下的数据合规:基本理论、问题审视与中国方案》,载《上海法学研究》集刊2021年第1卷。
8、最少信息:保障某一服务类型正常运行所必需的个人信息,包括与服务类型直接相关,一旦缺少将导致该类型服务无法实现或无法正常运行的个人信息,以及法律法规等规范性文件要求必须收集的个人信息。
