人工智能�、云計算�、區塊鏈���、物聯網�,這些詞匯耳熟能詳。世界邁入大數據時代后,數據的開發利用已經滲透進社會生活的方方面面��,引發了一輪又一輪的科技創新���,經濟模式革新�。由代碼開源到數據共享��,互聯網行業的免費模式收割了大量用戶�。大數據建模勾勒用戶畫像,出售廣告位進行精準營銷——這便是流量變現臻至化境的互聯網廣告領域�,也是數據利用的冰山一角。世界正在面臨新的結構性變革�����,中國企業應該主動填補短板,探索出數據新時代的對策。
伴隨數據開放�、交換��、利用而來的,是令人堪憂的隱私保護、數據安全現狀���。小到個人信息濫用��,用戶隱私泄露��,大到數據黑產橫行��,個人的人身財產安全�,乃至公共安全��、國家安全受到威脅——數據保護問題早已成為世界各國“屁股上的痛點”(pain in ass)��。2018年���,歐盟醞釀已久的《通用數據保護條例》(GDPR)出臺����,甫一現身便激起劇烈反響���。這個號稱史上最嚴的個人數據保護法案,迫使技術���、銀行����、廣告��、醫藥等各行各業作出大幅度的改變。隨后��,美國加州也通過了美國最嚴厲的數據保護法案,《2018加州消費者隱私法案》(CCPA)����。
中國現階段與數據相關的產業,更多地呈現出一種粗放發展的態勢����,企業對于個人信息的過度開發利用,信息系統漏洞導致的數據泄露�����,數據權益邊界不清引發的不正當競爭,此類種種情況屢見不鮮��。近期�,僅金融機構侵害消費者個人信息而遭受的罰款���,就達到了上千萬人民幣�����。
另一方面�,對于活躍在歐洲市場上的科技公司而言�,GDPR一度成為一座難以攀越的大山。據不完全統計���,近兩年因違反GDPR而開出的罰單已經達到3億歐元����,其中不乏美國科技巨擘谷歌���、臉書��、推特、蘋果的身影。因為這些前車之鑒——無論是美國科技公司在歐洲市場上的慘痛經歷�,還是沸沸揚揚的Tiktok海外困局�,在征戰海外市場的征途上��,很多中國公司都因為數據合規問題“望洋興嘆”���,紛紛采取迂回戰術����,與數據利用息息相關的業務���,諸如互聯網���、AI等,幾乎都避開了歐洲市場——在GDPR的認證列表中,僅有手機�、無人機等國產硬件在列。
為順應這股世界潮流��,以及為應對國內日益嚴峻的數據安全現狀,中國亦加快立法腳步���,出臺《網絡安全法》(以下簡稱“網安法”)�,并將個人信息權益納入《民法典》人格權編,輔以下位的國家標準�、法規規章�����、規范性文件�,逐漸構建出網絡安全和數據保護的法律框架�����。另一方面�,《數據安全法(草案)》(以下簡稱“數安法”),《個人信息保護法(草案)》(以下簡稱“個保法”)先后公之于眾��,意味著數據法律體系日漸趨于完整嚴密��。
而立法界以摧枯拉朽之勢布下的新局����,自然為身在其中的企業帶來了巨大的合規壓力����。
在網安法的規制下����,我國已經進入網絡安全等級保護2.0時代,等級保護制度成為法律層面的義務,作為義務主體的網絡運營者����,不僅包括互聯網企業�、大數據中心�����、云計算平臺�����、公眾服務平臺����、基礎網絡、重要信息系統、工業控制系統�����、物聯網等等��,也包括企業日常經營中不可或缺的網站的運營者,可以說輻射面極為廣闊。為應對網絡安全審查的要求�,網絡運營者必然要按照相應的標準���,分級���、分類��、分重點地去做合規工作�����。
在數據領域�����,數安法和個保法這兩部基本法草案的出臺���,確立了我國數據安全管理和個人信息保護的各項基礎制度�,為目前法規林立、權責不清的數據保護現狀厘清了方向。總得來說�����,數安法作為《國家安全法》的下位法�����,重點關注重要數據的國家安全問題,而個保法則在此基礎上關注個人信息權益與數據流動�、利用等問題。二者相結合�,從數據安全與權益保護兩個方面,涵蓋數據生命周期的各個階段——采集�����、傳輸��、存儲、處理、交換、銷毀,不可謂不全面。
數安法和個保法這兩個草案����,主要體現以下七個亮點:
一是數據分級分類保護。這項制度呼應網安法的網絡安全等級保護�,確立了國家分級分類的數據監管模式��。
二是收集使用數據要合法正當���,以最小必要為原則。一方面��,個保法確立了以告知個人并取得同意為核心的基本規則�����,輔以一些例外的合法事由���。另一方面�,數安法又從數據交易的角度���,要求企業審查數據來源是否合法��,比如數據交易中介機構在提供中介服務時�����,對數據來源和交易雙方身份負有核驗及留存記錄的義務�。
三是用戶個人權利的擴充。在民法典已有的基礎上,個保法賦予了個人信息主體更多的權利�,如知情權����、決定權、查詢權、復制權、更正權�、補充權、刪除權、解釋權�、撤回權,并且讓權利落地,明確要求企業建立個人行使權利的申請受理和處理機制�����。
四是數據交換中的權利義務分配。當企業委托第三方處理個人信息時�,應當與受托方約定雙方權利義務�����,并對受托方的數據處理活動進行監督。雙方對外則要一視同仁地承擔連帶責任�。
五是數據立法的域外效力延伸。數安法與個保法均設立了長臂管轄�����,即不僅對中國境內的數據處理行為發生效力,對于在境外處理的“境內自然人個人信息”�����,只要符合“向境內自然人提供產品或者服務為目的”���、“為分析�����、評估境內自然人的行為”及其他規定情形時�����,也受到國內法的管轄���。
六是數據跨境運輸的問題。對于要運輸到境外的數據����,個保法要求企業告知個人并取得單獨同意��,在合規路徑方面���,規定了安全評估��、個人信息保護認證�、與境外接收方訂立合同等方式�����。如果是關鍵信息基礎設施或處理數據達到規定數量的企業�,則要以境內儲存數據為原則。
七是相關企業面臨的法律責任�����。首先,兩部草案都采用了雙罰制�����,除了針對企業��,還確定了負責的主管人員和其他直接負責人員的法律責任。其次��,行政處罰由輕及重,從約談整改的溫和手段開始����,直至五千萬或營業額5%的罰款上限����,令人齒寒。
面對如今“國內大循環為主體、國內國際雙循環相互促進”的經濟政策����,企業也需要做到國內�、國外兩手抓�����。
正如前面所言����,國內逐漸建立起網絡安全和數據保護的基礎性法律框架,涵蓋數據全生命周期�����,企業可以從技術支持與合規管理兩方面出發�����,構建一個完整的企業數據保護體系����。
首先,針對分級分類制度的要求,企業一方面要對信息系統進行定級與整改�����,建立專業的安全管理團隊來維護��、保障網絡系統安全��,另一方面�����,要對數據進行貼標簽和分級�����,采取相應的加密�����、去標識化等安全技術措施,尤其要關注關鍵信息基礎設施,重要數據,以及個人敏感信息,設立相應負責人���,落實數據安全保護責任。
其次,針對數據生命周期的各個階段��,尤其是個人信息的收集�����、使用��、交易、傳輸��,企業要建立內部的規章制度和標準程序����,采取組織措施和技術措施,對每一個風險點和合規點進行管控����。特別是與第三方合作時��,要審核供應商的數據來源是否合法���,評估接收方的數據保護能力���,并簽訂數據處理協議��,厘清雙方在數據保護及合規處理方面的責任義務。
再次���,特別針對數據的跨境運輸�����,要建立起內部審查流程機制。除了按照數安法�、個保法的規定,踐行關鍵信息本地化存儲��、告知同意、安全評估�����、保護認證等法定義務,還需關注后期《個人信息和重要數據出境安全評估辦法(征求意見稿)》《個人信息出境安全評估辦法(征求意見稿)》等可操作性強的規范性文件���,以落地相關配套措施���。
最后,企業不僅要關注立法動向�,還要關注行業協會在數據合規具體規范上的制定動向��。比如金融業行業已經制定了《個人金融信息規范》《金融數據安全 數據安全分級指南》《中國人民銀行金融消費者權益保護實施辦法》等一系列實操性強的規范性文件��,落實金融信息的分級分類保護���。緊隨其后的是其他與數據處理息息相關的重點行業�����,比如互聯網��、醫療保健�����、汽車等等��。
除此之外���,中國企業在開拓海外市場時�,面對他國的管轄,還會遇到一些新的變數,例如陌生的宗教文化����,充滿博弈的國家關系���,以及更為精密的數據保護規則�����。
如前所述��,歐盟在數據保護問題上手腕強硬���,GDPR的管轄效力輻射極廣�,即使企業未在歐盟設立經營場所�����,只要對歐盟境內的個人提供產品、服務�,或者對他們實施監控���,就要受到GDPR的約束���。同樣的“長臂管轄”在其他國家的法律中也有體現,可以說,只要中國公司將海外客戶作為業務目標,他的數據保護能力很可能就要受到別國“試金石”的檢驗。因此,研讀���、跟蹤目標國的數據保護法規是首要之任����,在此基礎上��,需要企業分析自身數據保護現狀與GDPR等所規定的義務之間的差距����,依據不同合規點帶來的風險程度��,合理調配資源��,從組織�、流程�、規章�����、技術等層面構建企業數據保護體系���。
此外���,中國公司在海外市場面對意識形態歧視,以及大部分西方國家對其國家安全懷有的擔憂�����?����?赡苄枰獙祿行脑O立在他國境內�,在與中國總部進行數據傳輸活動時�,嚴格遵守所在國法律�。甚至采取“去中國化”策略,盡量避免與中國總部發生數據傳輸活動�����。除此之外����,是否積極配合監管機構的調查與整改,表現出尊重當地法律與文化��,面對質疑時是否不卑不亢�����,有無迅速的危機反應與處理能力�����,都是中國企業在面對他國歧視時的應對原則�。
數據新時代的展望��,可以從兩個角度追蹤觀察����。一是數據人格�����,這關乎個人的尊嚴與自由����,所以民法典將個人信息權益納入人格權編��,與隱私權地位相當,而數據利用最核心的合法性基礎也是個人同意�。二是數據資產��,數據已經在中共中央以及國務院相關文件中��,正式成為土地����、勞動力、資本��、技術之后的第五大生產要素�。數據作為資產具有濃厚的財產權色彩���,是經濟發展道路上的兵家必爭之地���。
從長遠的視角來看�����,預測我國將會在數據利用領域樹立新規,與數安法��,個保法形成三足鼎立的態勢,在數據保護的基礎上鼓勵數據挖掘、流通��、交易,進而在國際數據規則的制定中搶占一席。維護我國數據主權的同時��,與他國的數據規則接軌,共同磨合數據的跨境與合作機制,從而保護中國企業,分享數據新時代的紅利��。
* 感謝沈文婧對此文的貢獻。
