近几年发生的几次特大的数据违法犯罪事件已经向我们呈现了一个不争的事实,即企业数据可能带来社会治理风险。有专家学者认为该风险主要表现有两大类:第一类是因数据违规直接引发的风险,1如企业在收集与处理数据过程中,侵犯了个人信息权益或相关公共利益的,引发不利法律后果;第二类为数据违规的派生性或次生性风险,2主要是因数据违规间接引发的扩散性风险。这些风险将使包括企业在内的多方主体遭受巨大损失。
基于此,当前在广大企业积极推进的合规建设中,数据专项合规已经受到了广泛重视。企业开展数据合规根据不同维度可以分为事前合规与事后合规、主动合规与被动合规等,其中主动合规是指企业基于创新管理方式和承担社会责任而进行的数据合规,被动合规是企业为了化解已经出现的数据合规风险而开展的补救式合规。目前多数司法工作者以及学者专家积极倡导企业进行事前合规、主动合规,尤其是要加强数据合规建设。
企业开展数据合规之所以具有紧迫性,是因为企业数据独特的属性。首先,企业数据的来源具有广泛性,涉及到采集公民个人身份信息、生物信息、消费习惯、地理位置、社会关系等,涉及到市场经济规模的相关数据、市场成分、市场发展前景以及需求,涉及到国家重要基础设施的地理信息以及人口密度和年龄结构等,而且往往涉及人员众多。其次,企业数据的严肃性。企业数据安全管理方式关系到数据安全和国家安全,首当其冲的就是涉密数据出入境管理,在互联网公司境外上市和跨境数据司法协助等情景经常遇到此问题,并在此基础上衍生的关乎国家秘密的安全问题。再次,企业数据的脆弱性。企业拥有的海量数据一旦遭遇严重泄露,不利后果将难以彻底消除。由于数据具有可复制和独立存储的基本属性,导致数据一旦泄露就“覆水难收”,无法阻断传播和消除后患,任何一个掌握泄露的数据的主体,都可能拿到最原始的数据并开展不受他人控制和影响的非法数据活动。企业数据的运用方式和保护手段的重要性已经显而易见,企业开展数据合规的重要性也不言而喻。而在数据合规建设中,企业一方面要把握企业数据的特殊规律,另一方面又要注重结合行业特点,方能达到应有效果。
一、把握企业数据合规治理重点
在互联网商业运营背景下,商业信息的生成基本都是通过数据来实现的,只有少部分的商业信息通过其他方式来传递,因此商业信息的本质也是数据,这体现了数据处理“直观、便捷”的特点。“数据(data)”是事实或观察的结果,是对客观事物的逻辑归纳,是用于表示客观事物的未经加工的原始素材。数据可以是连续的值,比如声音、图像,称为模拟数据;也可以是离散的,如符号、文字,称为数字数据。在计算机系统中,数据以二进制信息单元0、1的形式表示。”企业运用数据的形式采集、传输、存储与自身商业利益相关的信息,通过分析数据可以得到直接运用于生产经营的信息。也就是说,数据已经是企业重要的生产资料。
企业数据包括在运营和管理过程中收集、分析、存储、传输、查询、利用、删除以及向境外提供(以下统称处理)的个人信息或重要数据。企业数据合规的治理对象主要有两个层面:对于数据收集的治理,以及收集以后对数据处理、运用的规制,这是企业数据合规建设的两大重点。
(一)企业数据收集的合规治理
从上述对企业数据的定义可以将数据管理方式划分为诸多环节,首当其冲的就是数据采集。不管是《个人信息保护法》还是地方条例,或者行业规范,都要求企业采集、存储用户数据需要做到“知情”、“同意”,通过《隐私协议》或《用户须知》的方式获取用户授权以后方能合法采集。此外,企业采集数据的范围和种类不能仅仅通过“一揽子授权”的方式,更需要做到“必要性”和“适当性”,真正做到数据的商业利用和用户数据权益保护。“2021年滴滴事件”就为广大互联网企业树立了典型,其所触及的“数据非法采集八大条”也正是企业合规采集需要注意的事项。企业数据采集环节如果违法违规,所采集的数据内容便不受法律保护,那么数据存储、分析、交换等环节的合规建设也就无从谈起。基于企业需求和成本,企业对于数据的收获可能是直接获取,也有可能是间接获取,即“二手数据”,对于企业数据合规的要求自然也有所不同,对于后者,企业不但不能“如释重负”,认为数据安全事故与自己遥遥万里,反而应当理性客观看待多方参与下数据治理的困难和安全挑战,不能幻想“独善其身”。
首先需要解决的是“企业向谁采集数据”的问题。《个人信息保护法》《网络安全法》《数据安全法》都从公民、社会、国家三个维度对数据(以及通过数据分析得到的信息)进行宏观分类,企业进行数据合规体系建设必然需要遵循这个最基本的治理原则。对于许多企业而言,数据就是企业的生命,但是企业之间的数据需求不尽相同,需要明确企业数据行为的访问对象,避免盲目采集数据、过度收集数据。例如医疗机构通过互联网采集的数据主要是患者的身份信息和问诊信息,而不需要因为同一商业行为向其他医疗机构获取患者数据,更不需要为此与“百度地图”“腾讯地图”等企业合作搜集患者的地理信息和行动轨迹。又例如网约车运营过程中只需要或者乘客的出行数据、身份信息和支付数据等与出行相关的数据,而不需要向“敏感地区”的涉密单位获取地理位置和人员流动情况等数据。企业获取数据应当严格遵守行业规范,切实结合自身需要,通过合法合规的手段向特定主体获取数据。基于此,企业数据合规治理的第一步就是接受多方权力和权利主体的授权和监督,在不违背法律和行业规范的前提下获取数据,做到“非经授权不获取”“特殊主体数据慎获取”。
其次,企业要解决好“数据采集的范围或界线”的问题。企业经营内容对于数据内容具有导向性,例如电子游戏平台需要采集用户的设备数据、身份认证数据、支付相关数据、IP地址等,同样是游戏平台,APP游戏基于安全需要还会采集用户的生物数据(例如人脸识别产生的数据、以及声音、性别),而微信小程序等就不需要复杂多样的用户数据。《个人信息保护法》《数据安全法》《网络安全法》都确立了数据处理活动的最小必要原则,防止企业利用正常商业行为过度采集数据,给权利主体的造成损失或者现实的信息安全风险。当然,为了保证企业数据价值的实现,企业所采集的数据应当具有“完整性”,即所采集的数据能够充分实现其采集目的,这也是“最小必要原则”的内在逻辑。
(二)企业数据管理方式上的合规治理
企业针对所掌握的数据是否能安全、合理的使用和存储、监管是合规的第二难点。也即数据流程的管理问题,涉及分析、存储、传输、查询、利用、删除以及向境外提供等多个环节,还涉及数据处理的人员问题。
企业为达到预测市场和制定策略的目标,往往会利用技术或者聘请数据分析专家进行系统的数据分析,实现数据价值1至100的价值聚变。海量的企业数据汇集在一起,为企业提供了分析的基础条件,但也为企业涉及行政违法或者刑事犯罪创造了可能。一方面,企业对数据的分析如果违背了其采集数据的初衷,肆意、过度分析数据以获得与企业经营无关的信息,即有可能侵犯公民个人隐私,还有可能危害社会或者国家安全,“2015年滴滴研究院事件”就是一个活生生的例子。另一方面,由于数据具有易传输、易复制的特征,互联网企业之间进行的数据交易并产生数据对比和碰撞,从而使得企业拥有的数据体系升级,发生质的转变,如名言:你有一个苹果,我有一个苹果,我们互相交换,每人还是一个苹果;你有一个思想,我有一个思想,我们互相交换之后每个人就有两个思想。用新词汇“信息聚合”来形容这种企业数据的处理态势可能也不会过分。
此外,在数据的存储问题上,由于数据的易更改属性,企业为了防止数据丢失,通常会将数据储存器分布开来,这种做法好比“狡兔三窟”,但是如果其中一个洞口开在了狼窝边上,就不见得是一件好事。这就是企业数据存储的问题,参与国际经济活动的企业如果将数据存储总服务器建立在海外,无疑是对国家数据安全的挑战;在数据传输的问题上,企业数据在“端口—通道—载体”的不同阶段可能面临不同的风险,即数据采集平台是否安全、数据传输过程中是否被偷窥、数据的的保存介质是否可靠;在数据的查询和利用问题上,是否能受到保护,而不是内部或者外部自助采集和利用。由于数据可复制属性,企业如何向用户保证商业利用后,根据用户的要求能够及时删除并不会产生数据残留?以及,企业尤其海外投资企业在接到司法机关要求提供用户数据时该如何应对?
以上问题都是企业数据合规过程中需要面对和解决的问题,笔者认为都属于企业数据管理方式的范畴,通过采取有效的措施,培养合乎规范的数据处理行为习惯,这些问题都可以得到解决。
二、企业数据合规建设的必要措施
时代赋予企业数据的三个标签是价值利用、隐私保护、数据安全。这三点既是合规问题也是合规目的,只有企业数据治理合规,做到用户隐私保护和数据安全,数据的价值才能最大发挥。在做到企业数据内容合规以及数据处理合规的同时,也要主动接受社会和政府的监督,更好的发挥合规体系的效能。
(一)企业数据内容收集合规
确保数据承受主体知情和授权,明确数据种类、用途、明确数据采集的限度。主动在数据安全监管机构进行报备,借助第三方进行安全审查,以及法律专业进行数据安全评估,防止掉入数据泥潭。
企业应当与用户在采集数据的问题上产生良好互动,向用户解释说明数据采集的用途、保护方式,积极寻求获得用户的信任和授权,以保证数据采集的内容和结果合乎规范。就公民个人信息而言,企业在数据的质量上需要进行把控,数据的采集不能盲目,数据内容明确具体,并且在数据采集的同时或者采集结束后,要进行“脱敏”处理,避免数据内容具有用户身份的“识别性”,保护公民的个人数据真实、可靠、安全,并在此基础上进行数据活动和实现数据价值的实现。对于特殊建筑或区域、特殊行业等不易采集数据的主体,应当严格遵守法律法规以及相关文件的要求,确有必要,在承担社会责任的前提下通过市场监管部门以及保密单位的同意与授权,才可以将相关数据纳入采集的范围内。企业确定数据采集范围一定要做到“有法有据”,做好时刻数据安全检查的工作准备,而不能为了短浅的数据收益触及到不该触及的数据。
(二)数据处理流程合规
企业数据处理流程合规需要关注的问题有:数据分级分类、数据流程跟踪、数据流转、数据销毁、数据专员队伍建设、数据保护技术升级、数据风险预警等问题。
第一,企业开展数据分级分类工作有利于围绕据保护对象明确数据保护重点,并以此采取针对性措施。2021年,《数据安全法》正式提出从国家制度层面建立数据分类分级保护制度,根据不同的重要程度匹配相应的保护和管理措施。当前针对数据分级分类的法律文件和行业规范比较齐全且细致,企业可以结合行业特点参照2021年12月31日全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南——网络数据分类分级指引》对企业数据进行分类。第二,企业可以利用区块链技术对企业数据进行加密和跟踪,确保数据不会被污染、窃取,确保企业对数据的安全控制。亦或者同时建立数据处理台账,定期进行汇总检测,对于数据采集、分析、存储、传输、查询、利用、删除以及跨境流动等处理周期的记录做到心中有数。第三,数据的采集和交易是企业对数据管控环节的始末,避免数据非法交易是企业数据合规建设的题中之义,当前全国已经有贵阳、深圳等多地成立了数据交易所,数据作为生产要素可以进行估价出售并且合法购买经过处理的数据,通过数据交易所实现盈利已经成为现实。同时,数据交易所对于数据提供方业务资质、经营资质、经营实力、经营状况、企业信誉、过往项目经历经过严格审查,解决企业数据交易合法性的后顾之忧。第四,数据销毁结果最能够体现企业对于数据的治理能力。这需要企业从掌握数据开始就能够做到“账目明晰”,如果企业数据销毁不能做到准确、高效、彻底,那么数据权利主体的权益和安全需要就无法保证。通过区块链等技术可以实现数据管控和销毁,目前已经有非常多的企业与区块链技术公司达成了合作。第五,企业数据的操作者需要经过技能培训,签订数据安全责任书,配置独立操作权限,并接受数据合规官的监督。第六,针对企业数据频频遭遇“内鬼”泄露和“黑客”盗窃这一问题,企业应当采取针对性措施,例如建立独立数据存储器、定期对系统进行升级,从技术层面杜绝此类事件发生。第七,企业数据风险监测、预警及应对方案的合规建设可以从数据安全事故的事前和事中环节减免企业和用户的数据权益损失,这也是当前企业制定数据合规计划的关键部分。
(三)接受外部监督
腾讯公司近几年对于数据合规治理的经验值得其他互联网企业借鉴,尤其定期向用户推送数据安全治理报告的做法十分值得肯定。
互联网用户作为原始数据的权利主体,在接受互联网服务的同时依然享有“合同权利”,对于与自身权益相关的数据活动依法享有知情权,定期向用户公示企业数据的治理情况有利于发现企业数据安全管理的不足和漏洞,有利于增进用户对企业的信任,形成良好互动。基于此,企业开展数据合规治理,在保护商业秘密的前提下,应当接受原始数据权利主体的监督。
有权对企业数据合规治理进行监督的主体还有市场监督部门、经授权或者委托的第三方合规监管机构,涉及社会重大问题的企业数据治理情况还要接受相关职权部门的监督,例如公安机关和国家安全机关。
三、企业数据合规的有效性评估
当前很多涉案企业开展数据合规建设是被动的、事后补救式的,在现实紧迫的刑事风险面前,自内而外开展数据合规具备充足动力。但是主动的、预防式的企业数据合规则面临动力不足的问题和合规有效性的问题。如果企业不能保证数据合规的有效性,导致企业数据合规体系最终只是被“挂在墙上”,那么之前的所有合规动作都会成为无用功,不但不能有效预防和化解潜在的合规风险,不能在涉案后迅速达到合规不起诉的目的,而且会浪费企业有限的行政资源,挫败企业合规文化,可谓赔了夫人又折兵。
实务界和学术界对于企业合规有效性的问题关注度不断高涨,纷纷提出十分有学习价值的观点,例如周振杰在《合规计划有效性评估》一文中提出:企业合规有效性至少应当从四个方面进行评价:第一,评估主体是谁,即谁来评估?第二评估对象,即评估的具体内容应当包括哪些?第三,有效合规的评价标准是什么?第四,有效性评价的需要遵循的原则是什么。具体来说:(1)法学教授马明亮认为涉案企业制定合规计划的监督评估大致可以分为三种模式: 检察院自我承担模式、委托行政机关模式与委托独立监管人(合规监督员、独立监控人)模式。这为企业预防性数据合规的评估提供了参照。作为自我治理的方式,企业数据合规有效性评估不需要检察机关和行政机关介入,虽然前两种模式能够起到督促作用,但是容易造成政府资源的浪费。第三种委托独立监管人模式比较适应企业预防性合规评估工作的开展。虽然这要求企业承担监管人(评估主体)的相关费用,但是对于企业而言,是行百里之最后一公里冲刺。一方面这能够体现企业合规建设的恒心和促进企业合规文化建设,另一方面也体现了企业合规的决心,对于应对将来的合规风险,具有十分重要且现实的价值。因此,企业委托第三方独立监管人的模式是企业数据合规建设的不二选择。(2)评估工作应当围绕什么召开。上文我们从企业数据合规的内容和流程两个方面进行了简述,笔者认为开展评估工作仍然需要从这两个方面开展。审核企业数据合规内容的数据采集对象是否合法、范围明确规范,是一件复杂且必要的评估工作。对内容合规的评估工作相对稳定,一经评估,只需要定期复评即可,但是对数据活动流程的合规评估则不然,企业数据活动流程合规的动态性和参与主体的复杂性,决定了合规评估工作也是动态的、复杂的。(3)关于企业合规有效性的评价标准,需要从合规细节和宏观把握两个层面理解。从合规细节来看,就是对企业数据内容和数据处理流程制定明确清晰、易于操作的的规范和标准,数据合规体系结构运行高效,人员权限配置科学合理,企业数据处理各个环节都符合规范,数据保护技术得到升级,数据处理违规行为易于发觉……从宏观层面来讲,有效的合规计划应具备针对性、适应性、完整性和修复性四个特征,即“以问题为导向”、“从自身治理能力出发”、“点-线-面,一体化治理”、“洞悉差错,亡羊补牢”。这四个基本特征可以保证企业开展数据合规建设从实际出发,重点解决自身治理痛点,多种措施相互配合,协调运转,能够切实解决数据治理的问题,并且能够及时对合规体系进行校正。(4)企业数据合规有效性评价应当遵循的原则包括“坚持动态评估原则”、“坚持第三方评估制约原则”、“坚持客观评估原则”、“坚持数据安全短板重点评估原则”、“坚持评估结果可公开原则”等。
四、结语
企业数据合规时不我待,树立风险意识、及早化解矛盾,是企业成功应对数据安全风险的必然要求。企业需要从多角度审视数据合规的重要性,全面客观地对自身数据安全治理情况进行评估,针对性的填补数据安全漏洞,将数据合规治理作为企业安身立命之道、持续发展之要。
[1]例:北京某信息咨询有限公司2015年7月成立后,最初主要是网络商业推广,后公司出现亏损。解某某、辛某某便决定出售公民信息牟利。2018年1月至2019年6月,解某某、辛某某雇佣吴某某、郝某、李某某等50余人通过在网上刊登贷款广告、在公司的“点有钱”微信公众号设置贷款广告链接,吸引有贷款需求的人填写“姓名、手机号、有无本地社保和公积金、有无负债、房产和车辆持有状况、工资收入、有无保险、征信情况、借款需求、还款周期”等信息。获取上述信息后,解某某、辛某某指使员工将上述信息上传到公司开发的“点有钱”App,再通过在微信群搜集、在“点有钱”微信公众号发放广告,获取银行、金融公司信贷员的姓名和手机号。通过与信贷员联系,吸引他们在App注册充值。信贷员充值后,解某某、辛某某等人在未经信息权利人同意的情况下,将信息以每条30元至150元的价格出售给信贷员。通过出售上述信息,解某某、辛某某等人违法所得共计450余万元。
[2]例:2018年7月,深圳市宝安区人民检察院依法以涉嫌侵犯公民个人信息罪,对深圳某航空服务公司的副总经理李某、网管员汪某等人提起公诉,揭开了倒卖航班信息链条的一角。该航空服务公司作为一家经营国内、国际机票的代理公司,经授权取得账号和密码,可以用来登录航空公司售票相关系统,开展相关业务。为了便于公司的工作人员查询票务信息、出售机票等,该航空服务公司从2014年开始,,将授权的原始账号放大为多个子账号。2016年,公司经营出现困难,这时候他们开始打起子账号的主意。该航空服务公司的副总经理李某、网管员汪某,将授权账号放大得到70多个子账号之后,竟将40个左右的子账号租出去牟利。通过出租子账号,该航空服务公司赚了7万元左右,汪某还偷偷地截留几个子账号自己租出去,私下里又赚了3万元左右。贺某原是该航空公司的前网管员,离职后,他租用汪某发布的子账号,重新放大再租出去,同样以流量收费的方式,赚了近2万多元。虽然获利都不算多,但是按照他们一般2个流量可查询一条完整航班信息的供述,汪某租出去的子账号及流量,对应的可是查询航班信息340多万条。贺某重新放大再租出去的子账号及流量,对应的查询航班信息也高达150多万条。租客向汪某支付费用租用子账号,再利用租来的子账号非法获取航班信息,然后以1000元一条的价格提供给讨债人员,从中非法获利1万多元。2017年6月,在发现有授权账号批量下载旅客航班信息,还通过姓名或身份证号查询明星等人出行信息后,相关单位报了警。宝安区检察院依法对李某、汪某、贺某、张某提起了公诉,法院分别判处他们十一个月至一年六个月有期徒刑,并处罚金。
企业数据合规治理体系的构建
作者:路皓来源:兰台律师事务所

近几年发生的几次特大的数据违法犯罪事件已经向我们呈现了一个不争的事实,即企业数据可能带来社会治理风险。