人工智能���、云計算、區(qū)塊鏈�、物聯(lián)網���,這些詞匯耳熟能詳�。世界邁入大數(shù)據(jù)時代后,數(shù)據(jù)的開發(fā)利用已經滲透進社會生活的方方面面�,引發(fā)了一輪又一輪的科技創(chuàng)新,經濟模式革新���。由代碼開源到數(shù)據(jù)共享����,互聯(lián)網行業(yè)的免費模式收割了大量用戶��。大數(shù)據(jù)建模勾勒用戶畫像����,出售廣告位進行精準營銷——這便是流量變現(xiàn)臻至化境的互聯(lián)網廣告領域,也是數(shù)據(jù)利用的冰山一角�。世界正在面臨新的結構性變革,中國企業(yè)應該主動填補短板��,探索出數(shù)據(jù)新時代的對策��。
伴隨數(shù)據(jù)開放�、交換����、利用而來的���,是令人堪憂的隱私保護��、數(shù)據(jù)安全現(xiàn)狀���。小到個人信息濫用,用戶隱私泄露�,大到數(shù)據(jù)黑產橫行,個人的人身財產安全�����,乃至公共安全�、國家安全受到威脅——數(shù)據(jù)保護問題早已成為世界各國“屁股上的痛點”(pain in ass)。2018年��,歐盟醞釀已久的《通用數(shù)據(jù)保護條例》(GDPR)出臺���,甫一現(xiàn)身便激起劇烈反響�����。這個號稱史上最嚴的個人數(shù)據(jù)保護法案���,迫使技術、銀行�����、廣告�、醫(yī)藥等各行各業(yè)作出大幅度的改變。隨后��,美國加州也通過了美國最嚴厲的數(shù)據(jù)保護法案�,《2018加州消費者隱私法案》(CCPA)。
中國現(xiàn)階段與數(shù)據(jù)相關的產業(yè)���,更多地呈現(xiàn)出一種粗放發(fā)展的態(tài)勢��,企業(yè)對于個人信息的過度開發(fā)利用����,信息系統(tǒng)漏洞導致的數(shù)據(jù)泄露�����,數(shù)據(jù)權益邊界不清引發(fā)的不正當競爭,此類種種情況屢見不鮮����。近期,僅金融機構侵害消費者個人信息而遭受的罰款���,就達到了上千萬人民幣�。
另一方面����,對于活躍在歐洲市場上的科技公司而言,GDPR一度成為一座難以攀越的大山���。據(jù)不完全統(tǒng)計�����,近兩年因違反GDPR而開出的罰單已經達到3億歐元�,其中不乏美國科技巨擘谷歌��、臉書�����、推特、蘋果的身影���。因為這些前車之鑒——無論是美國科技公司在歐洲市場上的慘痛經歷�,還是沸沸揚揚的Tiktok海外困局��,在征戰(zhàn)海外市場的征途上���,很多中國公司都因為數(shù)據(jù)合規(guī)問題“望洋興嘆”,紛紛采取迂回戰(zhàn)術����,與數(shù)據(jù)利用息息相關的業(yè)務,諸如互聯(lián)網���、AI等�,幾乎都避開了歐洲市場——在GDPR的認證列表中���,僅有手機�、無人機等國產硬件在列���。
為順應這股世界潮流���,以及為應對國內日益嚴峻的數(shù)據(jù)安全現(xiàn)狀,中國亦加快立法腳步����,出臺《網絡安全法》(以下簡稱“網安法”),并將個人信息權益納入《民法典》人格權編����,輔以下位的國家標準、法規(guī)規(guī)章���、規(guī)范性文件����,逐漸構建出網絡安全和數(shù)據(jù)保護的法律框架�����。另一方面��,《數(shù)據(jù)安全法(草案)》(以下簡稱“數(shù)安法”),《個人信息保護法(草案)》(以下簡稱“個保法”)先后公之于眾��,意味著數(shù)據(jù)法律體系日漸趨于完整嚴密�����。
而立法界以摧枯拉朽之勢布下的新局���,自然為身在其中的企業(yè)帶來了巨大的合規(guī)壓力�。
在網安法的規(guī)制下�,我國已經進入網絡安全等級保護2.0時代���,等級保護制度成為法律層面的義務�,作為義務主體的網絡運營者���,不僅包括互聯(lián)網企業(yè)�����、大數(shù)據(jù)中心��、云計算平臺��、公眾服務平臺�、基礎網絡、重要信息系統(tǒng)�、工業(yè)控制系統(tǒng)、物聯(lián)網等等�����,也包括企業(yè)日常經營中不可或缺的網站的運營者���,可以說輻射面極為廣闊�����。為應對網絡安全審查的要求����,網絡運營者必然要按照相應的標準�,分級、分類�����、分重點地去做合規(guī)工作�����。
在數(shù)據(jù)領域,數(shù)安法和個保法這兩部基本法草案的出臺���,確立了我國數(shù)據(jù)安全管理和個人信息保護的各項基礎制度���,為目前法規(guī)林立、權責不清的數(shù)據(jù)保護現(xiàn)狀厘清了方向�����。總得來說�,數(shù)安法作為《國家安全法》的下位法,重點關注重要數(shù)據(jù)的國家安全問題��,而個保法則在此基礎上關注個人信息權益與數(shù)據(jù)流動�、利用等問題�。二者相結合,從數(shù)據(jù)安全與權益保護兩個方面�,涵蓋數(shù)據(jù)生命周期的各個階段——采集、傳輸�、存儲、處理�����、交換、銷毀����,不可謂不全面。
數(shù)安法和個保法這兩個草案,主要體現(xiàn)以下七個亮點:
一是數(shù)據(jù)分級分類保護�����。這項制度呼應網安法的網絡安全等級保護�,確立了國家分級分類的數(shù)據(jù)監(jiān)管模式。
二是收集使用數(shù)據(jù)要合法正當�����,以最小必要為原則�����。一方面����,個保法確立了以告知個人并取得同意為核心的基本規(guī)則�,輔以一些例外的合法事由��。另一方面���,數(shù)安法又從數(shù)據(jù)交易的角度����,要求企業(yè)審查數(shù)據(jù)來源是否合法���,比如數(shù)據(jù)交易中介機構在提供中介服務時�,對數(shù)據(jù)來源和交易雙方身份負有核驗及留存記錄的義務�。
三是用戶個人權利的擴充。在民法典已有的基礎上���,個保法賦予了個人信息主體更多的權利,如知情權�����、決定權����、查詢權�、復制權�����、更正權�����、補充權�����、刪除權���、解釋權���、撤回權,并且讓權利落地�,明確要求企業(yè)建立個人行使權利的申請受理和處理機制。
四是數(shù)據(jù)交換中的權利義務分配��。當企業(yè)委托第三方處理個人信息時��,應當與受托方約定雙方權利義務,并對受托方的數(shù)據(jù)處理活動進行監(jiān)督�����。雙方對外則要一視同仁地承擔連帶責任���。
五是數(shù)據(jù)立法的域外效力延伸����。數(shù)安法與個保法均設立了長臂管轄�����,即不僅對中國境內的數(shù)據(jù)處理行為發(fā)生效力�����,對于在境外處理的“境內自然人個人信息”�����,只要符合“向境內自然人提供產品或者服務為目的”���、“為分析��、評估境內自然人的行為”及其他規(guī)定情形時�����,也受到國內法的管轄�。
六是數(shù)據(jù)跨境運輸?shù)膯栴}����。對于要運輸?shù)骄惩獾臄?shù)據(jù),個保法要求企業(yè)告知個人并取得單獨同意���,在合規(guī)路徑方面�����,規(guī)定了安全評估�����、個人信息保護認證����、與境外接收方訂立合同等方式�。如果是關鍵信息基礎設施或處理數(shù)據(jù)達到規(guī)定數(shù)量的企業(yè)���,則要以境內儲存數(shù)據(jù)為原則。
七是相關企業(yè)面臨的法律責任��。首先�,兩部草案都采用了雙罰制,除了針對企業(yè)���,還確定了負責的主管人員和其他直接負責人員的法律責任�����。其次����,行政處罰由輕及重�,從約談整改的溫和手段開始,直至五千萬或營業(yè)額5%的罰款上限�����,令人齒寒���。
面對如今“國內大循環(huán)為主體��、國內國際雙循環(huán)相互促進”的經濟政策��,企業(yè)也需要做到國內�����、國外兩手抓��。
正如前面所言����,國內逐漸建立起網絡安全和數(shù)據(jù)保護的基礎性法律框架,涵蓋數(shù)據(jù)全生命周期�����,企業(yè)可以從技術支持與合規(guī)管理兩方面出發(fā)��,構建一個完整的企業(yè)數(shù)據(jù)保護體系���。
首先�,針對分級分類制度的要求,企業(yè)一方面要對信息系統(tǒng)進行定級與整改�����,建立專業(yè)的安全管理團隊來維護���、保障網絡系統(tǒng)安全�,另一方面���,要對數(shù)據(jù)進行貼標簽和分級���,采取相應的加密、去標識化等安全技術措施�����,尤其要關注關鍵信息基礎設施�����,重要數(shù)據(jù)��,以及個人敏感信息,設立相應負責人����,落實數(shù)據(jù)安全保護責任。
其次����,針對數(shù)據(jù)生命周期的各個階段���,尤其是個人信息的收集��、使用���、交易、傳輸��,企業(yè)要建立內部的規(guī)章制度和標準程序���,采取組織措施和技術措施��,對每一個風險點和合規(guī)點進行管控����。特別是與第三方合作時,要審核供應商的數(shù)據(jù)來源是否合法�,評估接收方的數(shù)據(jù)保護能力,并簽訂數(shù)據(jù)處理協(xié)議�����,厘清雙方在數(shù)據(jù)保護及合規(guī)處理方面的責任義務�����。
再次���,特別針對數(shù)據(jù)的跨境運輸���,要建立起內部審查流程機制。除了按照數(shù)安法�、個保法的規(guī)定,踐行關鍵信息本地化存儲���、告知同意�、安全評估���、保護認證等法定義務�����,還需關注后期《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》《個人信息出境安全評估辦法(征求意見稿)》等可操作性強的規(guī)范性文件�,以落地相關配套措施。
最后���,企業(yè)不僅要關注立法動向���,還要關注行業(yè)協(xié)會在數(shù)據(jù)合規(guī)具體規(guī)范上的制定動向。比如金融業(yè)行業(yè)已經制定了《個人金融信息規(guī)范》《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》《中國人民銀行金融消費者權益保護實施辦法》等一系列實操性強的規(guī)范性文件��,落實金融信息的分級分類保護���。緊隨其后的是其他與數(shù)據(jù)處理息息相關的重點行業(yè),比如互聯(lián)網���、醫(yī)療保健���、汽車等等。
除此之外���,中國企業(yè)在開拓海外市場時��,面對他國的管轄����,還會遇到一些新的變數(shù),例如陌生的宗教文化�����,充滿博弈的國家關系����,以及更為精密的數(shù)據(jù)保護規(guī)則。
如前所述�,歐盟在數(shù)據(jù)保護問題上手腕強硬,GDPR的管轄效力輻射極廣���,即使企業(yè)未在歐盟設立經營場所�����,只要對歐盟境內的個人提供產品����、服務��,或者對他們實施監(jiān)控,就要受到GDPR的約束��。同樣的“長臂管轄”在其他國家的法律中也有體現(xiàn)�����,可以說��,只要中國公司將海外客戶作為業(yè)務目標��,他的數(shù)據(jù)保護能力很可能就要受到別國“試金石”的檢驗�����。因此����,研讀�����、跟蹤目標國的數(shù)據(jù)保護法規(guī)是首要之任���,在此基礎上�,需要企業(yè)分析自身數(shù)據(jù)保護現(xiàn)狀與GDPR等所規(guī)定的義務之間的差距,依據(jù)不同合規(guī)點帶來的風險程度�,合理調配資源,從組織���、流程�、規(guī)章����、技術等層面構建企業(yè)數(shù)據(jù)保護體系。
此外���,中國公司在海外市場面對意識形態(tài)歧視���,以及大部分西方國家對其國家安全懷有的擔憂??赡苄枰獙?shù)據(jù)中心設立在他國境內,在與中國總部進行數(shù)據(jù)傳輸活動時��,嚴格遵守所在國法律����。甚至采取“去中國化”策略,盡量避免與中國總部發(fā)生數(shù)據(jù)傳輸活動。除此之外�����,是否積極配合監(jiān)管機構的調查與整改����,表現(xiàn)出尊重當?shù)胤膳c文化,面對質疑時是否不卑不亢���,有無迅速的危機反應與處理能力����,都是中國企業(yè)在面對他國歧視時的應對原則�。
數(shù)據(jù)新時代的展望,可以從兩個角度追蹤觀察���。一是數(shù)據(jù)人格��,這關乎個人的尊嚴與自由,所以民法典將個人信息權益納入人格權編�,與隱私權地位相當,而數(shù)據(jù)利用最核心的合法性基礎也是個人同意�����。二是數(shù)據(jù)資產,數(shù)據(jù)已經在中共中央以及國務院相關文件中��,正式成為土地���、勞動力��、資本�、技術之后的第五大生產要素����。數(shù)據(jù)作為資產具有濃厚的財產權色彩,是經濟發(fā)展道路上的兵家必爭之地�����。
從長遠的視角來看�����,預測我國將會在數(shù)據(jù)利用領域樹立新規(guī)���,與數(shù)安法�����,個保法形成三足鼎立的態(tài)勢�����,在數(shù)據(jù)保護的基礎上鼓勵數(shù)據(jù)挖掘����、流通、交易�����,進而在國際數(shù)據(jù)規(guī)則的制定中搶占一席����。維護我國數(shù)據(jù)主權的同時,與他國的數(shù)據(jù)規(guī)則接軌����,共同磨合數(shù)據(jù)的跨境與合作機制,從而保護中國企業(yè)�,分享數(shù)據(jù)新時代的紅利。
* 感謝沈文婧對此文的貢獻���。
