随着人类社会逐步进入信息社会大数据时代,数据已经和土地、劳动力、资本、技术等传统要素并列为现代社会5大生产要素。以美、英、德、法、日、韩为代表的发达国家都已将大数据定性为重要的战略资源,将大数据研究和发展定位在国家战略高度。我国目前处于工业化的中期阶段,迈向信息社会仍是一个中长期的发展战略目标。下面,我们将从数据的基本概念、数据合规的立法现状、企业数据合规风险、企业数据合规建议这四个方面,深入阐述我们对数据安全的理解以及数据合规建议。
根据《中华人民共和国数据安全法》(简称“《数据安全法》”)第三条,数据是指“任何以电子或者其他方式对信息的记录”。根据不同的标准,可以将数据进行不同的分类。例如,以数据是否合法为标准,可以把数据分为合法数据和非法数据。以固定数据的载体为标准,可以将数据划分为电子数据和非电子数据。根据数据在经济社会发展中的重要程度,以及若遭到篡改、破坏、泄露或者非法获取、非法利用将对国家安全、公共利益或者个人、组织合法权益造成的危害程度,可以将数据分为核心数据、重要数据和一般数据。以数据的权利或者管理主体为标准,可以将数据分为个人数据、企业数据和公共数据。
近年来,我国加快推进数据领域顶层设计,网络安全政策法规体系不断健全。为了构建网络和数据安全的法律体系,我国在《中华人民共和国宪法》的框架下,制定了多部法律法规,覆盖了我国法律体系中的各个层级,包括法律、行政法规、部门规章、政策文件,以及若干国家标准等。其中,《中华人民共和国个人信息保护法》(简称“《个人信息保护法》”)与《中华人民共和国网络安全法》(简称“《网络安全法》”)《数据安全法》,共同构成了中国网络安全与数据合规法律体系的“三驾马车”。
《个人信息保护法》第六十九条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
《个人信息保护法》第七章、《网络安全法》第六章、《数据安全法》第六章均规定了对企业责令改正、警告、罚款、没收违法所得、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证、吊销营业执照或类似的行政责任。此外,针对企业开展数据处理活动中的高管及第一责任人也有单独的行政处罚措施。
无论是企业还是企业责任人,非法处理数据都有可能构成刑事犯罪。例如,非法获取服务器中存储、处理、传输的数据,情节严重的,可能构成非法获取计算机信息系统数据罪。此外,假如数据处理者利用“爬虫”等网络抓取技术侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统,则可能构成非法侵入计算机信息系统罪。
商誉的价值对于企业而言无需置疑。一旦企业发生数据安全事件,将会对企业的商誉大打折扣,导致客户流失,而且还可能引发一系列诉讼。
《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0(征求意见稿)》第二条“认证主体”中增加了“申请认证的个人信息处理者应取得合法的法人资格,正常经营且具有良好的信誉、商誉”这一要求,因此,对于个人信息跨境活动的处理者而言,缺乏商誉将导致其无法满足认证的要求,进而难以满足《个人信息保护法》跨境传输的条件。
根据普华永道的相关数据,GDPR的施行让68%的公司预计将在数据合规上花费100万到1000万美元。[1]看似巨额的成本,与滴滴因数据安全问题导致的80亿罚款相比则是九牛一毛。同样,对于企业产品来说,研发、上市、运营等环节都投入了很大的成本,如果因合规问题导致产品无法上线或者被处罚,对于企业而言损失将是更为巨大的。
首先,在管理层层面,企业的最高决策机构需要有数据合规的意识和愿望,假如缺少最高决策机构的重视和支持,企业将难以构建数据合规体系。
其次,企业应当根据自身数据业务的规模大小、所处行业、数据体量等考虑是否设置专门的数据合规管理部门,或者将数据合规管理职能融入现有的企业合规管理体系,并设置数据合规第一责任人。
此外,数据合规管理部门应加强与业务部门的分工协作。这也就意味着在执行层面,相关业务部门如市场部、财务部、人事部等,应主动进行日常数据合规管理工作,识别业务范围内的合规要求,制定并落实业务管理制度和风险防范措施,配合数据合规管理部门进行合规风险审查、评估和调查、处置、整改工作。
对于企业本身而言,不论处于何种行业,只要在经营过程中涉及数据,都需要关注数据处理全生命周期中的相关义务。而除此之外,数据主体在企业处理数据过程中所享有的权利同样是企业数据合规的关键。
根据《个人信息保护法》第五、第六、第十三条,企业收集个人信息应当取得个人同意并进行充分告知,符合合法、正当、最小必要原则。而根据第二十八条及第三十一条等,企业收集敏感信息、儿童个人信息时,需要获取单独同意,并且具有特定的目的和充分的必要性/制定专门的信息处理规则。
根据《个人信息保护法》第五、第六条,企业处理个人信息要符合目的最小、公开透明、合法正当等原则。根据第二十七条,企业可以处理个人自行公开或者其他已经合法公开的个人信息,但是需在合理的范围内处理。此外,处理敏感信息和儿童个人信息,也同样要遵守第二十八条及第三十一条的规定。
《网络安全法》第二节、《个人信息保护法》第三章等规定,企业作为关键信息基础设施运营者,或处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估。
根据《个人信息保护法》第六条,企业对于数据的存储时间要满足最小化要求。根据第四十条,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。
根据《个人信息保护法》第二十条至二十三条,企业作为两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。而且,企业还应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。
《网络安全法》第四十三条规定,企业作为网络运营者收集、存储的其个人信息有错误的,应当采取措施予以删除或者更正。《个人信息保护法》第二十一条规定,企业作为受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。第四十七条规定,在特定情形下,企业作为个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除。
企业在处理数据的过程中,除了要注意自身所应当履行的义务,同样要考虑如何对个人信息主体所享有的权利请求进行响应。
《个人信息保护法》赋予了主体十大法定权利,包括第二十四条“自动化决策”相关权利,第四十四条“知情权、决定权、限制权、拒绝权”,第四十五条“查阅权、复制权、可携带权”,第四十六条“更正权”和第四十七条“删除权”。
因此,对于企业而言,响应个人信息主体行使上述权利将构成其在《个人信息保护法》的法定义务。企业应当参照《个人信息保护法》第五十条,建立便捷的个人行使权利的申请受理和处理机制。具体而言,企业至少应当为个人信息主体提供查询个人信息、获取(下载)个人信息的渠道,更正或补充个人信息的渠道,删除个人信息、撤回同意的渠道以及注销账户和可携带权的指引。
企业内部的数据合规体系建设,可以从管理制度建设、部门建设、设立负责人、风险处理、数据合规培训等方面着手:
制度建设是构建企业数据安全合规体系的重点,也决定了后续制度能否顺利运行。一般而言,无论企业处于何种行业,制度的设计应当围绕如下几个要点进行:
该制度应该包括企业在数据收集、使用、加工、提供、委托处理、共享、存储、删除销毁整个流程中的合规要求,充分适用法律规定中的原则性条款,并将原则性条款与企业的经营生产特点相融合,体现出自身合规要求的特性。
《网络安全法》第二十一条、《数据安全法》第二十一条及《个人信息保护法》第五十一条中都提出,对于不同数据的处理要进行分类保护,例如一般数据、重要数据、核心数据的区分;个人信息及敏感个人信息、儿童个人信息的区分。因此,企业需要通过对所收集的数据信息进行分级管理,进而确保每一项数据处理活动均按照法律规定的制度和流程进行,也提高企业对于数据的运用效率。
企业在面临接受、提供、向境外提供、共同处理、委托处理等数据内外交互的处理过程时,应当根据法律规定履行合作方的管理义务。具体而言,应当明确合作方的权利与义务,并且按照合同约定的方式、目的、范围处理数据。
制度的运行需要通过完善的组织部门、将数据合规的义务责任落实到具体部门和人员。参考上海首份《企业数据合规指引》第七条和第十条,应当鼓励各类企业设置专门的数据合规管理部门,或者将数据合规管理职能融入现有的企业合规管理体系。数据合规管理部门应与其他具有合规管理职能的监督部门(如法务部门、审计部门、监察部门等)建立明确的合作和信息交流机制,加强协调配合。
目前,《网络安全法》《数据安全法》及《个人信息保护法》中分别明确规定了指定负责人的情形;企业数据不合规时,第一责任人也将承担一定后果。因此对企业而言,在构建数据合规管理制度后,下一步就是确定数据合规事宜的负责人。《企业数据合规指引》第十条指出,“企业的最高管理者是数据合规的第一责任人。”
《个人信息保护法》第五十七条规定,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。因此,企业应建立健全数据安全事件应急预案与风险处置机制,对识别和评估的各类数据风险设置恰当的控制、应对措施来降低风险,必要时停止相关风险行为。发生个人信息等数据泄露、篡改、丢失等事件的,数据处理者应当立即采取补救措施,并通知所在地区的数据监管部门。安全事件涉嫌犯罪的,应当及时向公安机关报案。
《网络安全法》第三十条、《个人信息保护法》第五十一条规定,数据处理者的义务也包括了对相关人员的数据合规培训。数据合规培训有助于增强企业制定完善的数据合规管理制度,同时提高企业工作人员数据合规的意识,使其了解、掌握岗位角色和职责、最新的法律法规和监管动态,保证日常经营中的决策和行为符合监管规定。
随着大数据相关法律体系的不断完善,监管机构对于企业数据合规的执法标准将愈加明确,执法的力度也将愈加严厉。因此,企业的数据合规之路将任重道远。唯有从自身实际经营情况出发,做到数据合规的内外兼修和全面覆盖,才能充分发挥数据的经济价值,积极应对未来的监管挑战。
[1]参见:https://m.21jingji.com/article/20221105/herald/4c847b2911cef912ea1d788003b289c3.html
专注领域:“一带一路”与海外投资、跨境争议解决、跨境电商、新兴科技(人工智能、区块链、数据安全与信息保护)等
全国律协涉外律师领军人才、全国律协外事委委员、一带一路律师联盟广州中心副主任、省律协国际贸易委员会主任,省商务厅涉外经贸法律服务律师团队成员;在涉外法律领域16年的工作中,累积了丰富的实践经验。在数据合规领域,闪涛律师已取得国际认证机构EXIN的DPO(数据合规官)认证,具备在欧盟GDPR项下担任大型企业法定DPO职务的资格,并已通过隐私与数据保护专业考试、ISO27001信息安全考试。
专注领域:民商事诉讼、企业常年法律顾问、国有资产管理、融资担保、股权投资与并购
执业十年,先后担任广州工业投资控股集团有限公司及其下属公司、广州市广永国有资产经营有限公司等近13家国有企业的常年及专项法律顾问,为广州市国有资产监督管理委员会、广州市发展和改革委员会等行政管理部门提供专项法律服务。
专注领域:涉外法律、数据合规、个人信息保护、公司法务与劳动争议
广州市涉外律师领军人才,曾参与多项境内企业海外投资项目,为境内企业提供全流程法律服务,曾经或现在为多家民营、国企、外资、政府机构以及个人提供常年法律顾问服务,涉及科技、交通、物流、教育、房地产等行业
*声明:本微信订阅号对所有原创、转载、分享的内容、陈述、观点判断均保持中立,推送文章仅供读者参考。本订阅号发布的文章、图片等版权归作者享有,如需转载原创文章,或因部分转载作品、图片的作者来源标记有误或涉及侵权,请通过留言方式联系本订阅号运营者。谢谢!
