党的十九届四中全会提出要坚持和完善中国特色社会主义制度,推进国家治理体系和治理能力现代化,而推进网络空间治理体系和治理能力现代化是国家治理体系和治理能力现代化的重要一环。21世纪是网络时代,是信息时代,是数据时代,是智能时代。2017年生效的网络安全法为我国网络及数据安全奠定了坚实的基础,为企业指明数据合规的方向。在网络安全的大背景之下,在信息密集型行业,如电信、教育、医疗、金融、互联网等行业,数据合规成为一个重要的时代课题,数据合规对于加强数据保护,维护国家网络空间主权、安全和发展利益具有重大意义。
所谓合规,一般指企业合规,即企业及其员工的经营管理行为需合乎规则,既要遵守国际条约、国内法律法规规章以及其他规范性文件的规定,也要符合行业准则、商业惯例、社会道德以及公司规章制度的要求。如果企业及其员工存在不合规的行为,可能会产生法律责任、造成经济或声誉损失以及其他负面影响,这种可能性便是合规风险。我们常说的合规管理指的就是以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。
目前学术界与实务界对合规的关注点主要聚焦于公司法合规、行政法合规以及刑事合规,对数据合规关注较少,仅有少数学者对数据合规进行了研究,如许多奇指出:“在数据跨境问题上,‘走出去’和‘引进来’的企业都面临必须满足国内外公权力机关依本国法所提出的数据收集、传输和使用等要求,即实现双向合规。”李延舜对我国移动应用软件隐私政策的合规审查进行了研究,其认为“我国应用软件隐私政策虽然受法律的影响在文本上进行了调整,但是仍广泛存在隐私政策出场、数据收集、数据留存期限、数字广告推送、数据安全保护以及数据的共享、披露和转移等方面的合规问题”,但总体而言,学界对于数据合规研究的还不太深入。笔者试图在网络安全的背景下论述数据合规的基本理论、审视数据合规存在的问题、提出数据合规的中国方案,希冀为中国信息密集型企业的数据合规工作提供建设性意见。
二、数据合规的基本理论
数据与数据合规
1.数据相关概念的词义辨析
提及个人数据,我们常会想到个人数据的相关概念,比如个人信息、个人隐私。这些概念之间有何联系,有何区别,这是我们应该厘清的一个基本问题。笔者从词义学角度对这一问题进行简单分析:
个人信息与个人数据二者之间也具有一定相似性,特别在大数据时代,数据治理问题突出的背景下,合理界定二者的界限具有重要意义。计算机专业背景下的数据是指在计算机及网络上流通的在二进制的基础上以0和1的组合而表现出来的比特形式。所谓个人信息,其官方定义是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。个人信息概念的核心在于可识别性,“凡是能够识别特定个人的信息,无论是直接识别还是间接识别特定个人的信息,均为个人信息。”程啸教授对信息与数据的关系作出精辟分析,其认为“信息是数据的内容,数据是信息的形式,在大数据时代,无法将数据与信息加以分离而抽象地讨论数据上的权利。就个人数据而言,其之所以具有经济利益或者涉及人格利益,就是因为包含着个人信息。没有个人信息的数据不是个人数据,而只是以二进制代码表现出来的比特形式”。而梅夏英教授则指出:“数据没有特定性、独立性,亦不属于无形物,不能归入表彰民事权利的客体;数据无独立经济价值,其交易性受制于信息的内容,且其价值实现依赖于数据安全和自我控制保护。”
个人数据、个人信息比个人隐私的范围更大更广,个人隐私是指“人的与公共利益、群体利益无关的,不愿他人知道或他人不便知道的信息,不愿他人干涉或他人不便干涉的个人私事和不愿他人侵入或他人不便侵入的个人领域”。从概念上来看,个人信息与隐私具有明显区别,前者强调可识别性,后者强调私密性。个人信息的概念外延比隐私更宽,个人信息与个人隐私有重合部分,但有的个人信息并不具有私密性,而具有公开性,比如社会职业。此外,二者的内容、侵害方式与保护方式也不同。
值得说明的是,数据安全法(草案)第2条规定了数据是指任何以电子或者非电子形式对信息的记录,个人数据与个人信息在一定程度和范围内高度重合,故本文若无特别说明,后文论述个人数据与个人信息两个概念一般进行通用。
2.数据合规之核心内涵
数据合规指的是企业及其员工对于数据收集、存储、使用、处理、共享、转让、跨境或非跨境传输、流动、保护的行为需符合国际条约、国内法律法规规章、其他规范性文件、行业准则、商业惯例、社会道德以及企业章程、规章制度的要求。企业数据可分为个人数据与非个人数据,前者是指具有可识别性的个人数据,如员工数据与客户(用户)数据,后者是指与个人无关的数据,如企业经营记录、日常管理记录、财务会计记录。特别说明的是本文探讨的数据仅限于企业数据中的个人数据,非个人数据不在本文的讨论范围。数据法律关系主体包括数据主体、数据控制者、数据处理者,在本文语境下,数据主体是数据的来源者和权利人,数据控制者为公司,数据处理者为公司员工。
数据合规中“规”字涵盖范围广,上到国际条约,下到企业规章制度,笔者对数据合规领域中具有典型性、代表性、前沿性的规范进行简要归纳,如下表:
规范种属
规范列举法律民法典、刑法、网络安全法司法解释《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》行政法规互联网信息服务管理办法、计算机信息系统安全保护条例部门规章《儿童个人信息网络保护规定》国务院规范性文件《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》部委规范性文件《互联网个人信息安全保护指南》国家标准GB/T35770-2017《合规管理体系指南》GB/T35273-2017《个人信息安全规范》
行业规定《中国互联网行业自律公约》企业规章制度例如阿里巴巴、腾讯、百度等互联网公司的公司章程
