数据要素是数字经济深入发展的核心引擎。数据作为新型生产要素和重要资产,在数字经济发展中起着核心关键作用,展现了巨大的价值和潜能。然而,在高速发展的同时,涉及数据安全的问题和风险也不容小觑,近年来诸如大规模数据泄露、个人隐私数据严重滥用等事件频发。为了应对数据安全问题,我国陆续出台了一系列数据安全相关的法律法规,数据监管体系日趋完善,数据监管执法力度不断加强。对企业而言,无论是出于建立完善的数据合规管理体系以符合数据合规相关法律法规强制性要求的考量,或者出于聚焦规避数据处理违法违规、数据泄露等风险及赔偿责任的角度,数据合规的重要性都愈发凸显,乃至成为一种刚需。
那么,究竟什么是数据合规?为什么要做数据合规建设?哪些企业需要数据合规?我们将简要分析。
01 什么是数据合规?
说明数据合规之前,首先要厘清数据、数据处理、数据安全这几个概念。
根据《数据安全法》第三条的规定,数据、数据处理、数据安全的定义是较为清晰明确的,数据是指任何以电子或者其他方式对信息的记录;数据处理则包括数据的收集、存储、使用、加工、传输、提供、公开等,即数据“从生到死”全流程的各个阶段;而数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
首先,数据处理的过程要采取必要的保护措施,以确保数据安全;其次,数据安全,最终也是为了确保数据可利用,促进数据处理过程,二者是相辅相成的。最后,数据合规,则是在二者基础之上,再对数据处理过程、管理过程、体系搭建过程以及所采取的具体措施和手段的合规性予以重点关注并提出要求。与其他类型的企业合规一样,数据合规中的“规”字的涵盖范围极广,上到国际条约,下到企业章程及规章制度,都可以纳入其中。
综上,数据合规是指企业及其员工对于数据收集、存储、使用、加工、传输、提供、公开等处理行为需符合国际多边条约、国内法律法规、规范性文件、行业准则、商业惯例、社会道德以及企业章程、规章制度的要求。
02 为什么要做数据合规建设?
无论是从立法层面、还是监管执法层面,数据合规的要求都越来越严格细化。那么,选择做数据合规建设的原因有哪些呢?不做数据合规或做得不好,会面临哪些风险和困境呢?
(一)监管体系日趋完善
以网络、数据、个人信息安全保护的“三驾马车”即《网络安全法》《数据安全法》《个人信息保护法》为例,其中均对企业提出了数据合规建设要求,如确定数据相关合规责任部门和责任人员、各项管控制度、风险评估、应急响应、数据合规培训、数据分类分级、重要数据出境安全评估等。
尤其是《个人信息保护法》,对企业数据的处理过程有非常严格和细化的要求,且很多是针对企业内控的要求,包括要求企业对数据做分类管理、采取相应的加密、去标识化等安全技术措施、合理确定个人信息处理的操作权限、制定并组织实施个人信息安全事件应急预案等等。
除“三驾马车”外,我国在数据保护领域的“立法热”仍在持续,2021年7月至今,《关键信息基础设施保护条例》《网络安全审查办法》《数据出境安全评估办法》等相继出台并施行。
法规建设如火如荼之余,我国数据合规监管机构的设置及职能职责完善工作也在齐头并进。首先是拟组建的国家数据局,承担着协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等职责;其次是国家互联网信息办公室(即“网信办”),其与中央网络安全和信息化委员会办公室是一个机构两块牌子,列入中共中央直属机构序列,承担了对涉嫌数据违规行为进行监管的职责;最后是公安局,负责对涉嫌违反数据安全、网络安全等行为予以行政执法。
综上,随着监管体系的日趋完善,现行法律、法规中已经设定了很多数据保护、数据合规的强制性规定,各大监管机构的职责也逐步明确、完善,相关企业需要去一一满足、遵循,如稍有忽视,等待企业的可能是民事赔偿风险、行政处罚风险及刑事犯罪风险。
(二) 监管执行日趋严格
数据合规监管执行层面,无论是处罚力度或是执行数量,近年来都处于高峰期,具备“强监管”、“多头监管”、“监管趋势多变”等特点。包括引起轰动的国家网信办向互联网巨头“滴滴”开出高达80.26亿元人民币、对滴滴董事长兼CEO程维、总裁柳青各处人民币100万元罚款的个人数据滥用罚单;上海市通信管理局通报2022年第一批侵害用户权益行为app;广东省开出首张《数据安全法》罚单,等等。
这其中尤其引起关注的是长沙市公安局岳麓分局网络安全保卫大队查处长沙市首起违反《数据安全法》并对涉案公司依法给予行政警告、处罚款5万元的案件。因为其处罚的理由和违法事实情况可能是广大科技、互联网企业都可能存在或遇到,即:该公司的相关服务器存在未授权访问漏洞,用户隐私数据存在泄露风险。经过进一步核实,该公司未制定数据安全管理制度、未开展等级保护备案工作,严重违反了《数据安全法》第二十七条、第二十九条规定。
而且,《个人信息保护法》对“违法处理个人信息,或者处理个人信息未履行规定的个人信息保护义务的,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”的法律责任的规定,也充分显示了国家对违法处理个人信息等行为的执法和惩罚决心。
综上,一方面,众多的处罚案例彰显了监管层对数据合规治理的决心,为相关企业敲响了警钟;另一方面,在强监管态势下,相关企业也寄希望于通过自身的数据合规建设,找出风险点并予以整改,避免被处罚。
哪些企业需要做数据合规?
数据合规是潮流和趋势,几乎所有类型的企业都需要进行数据合规建设,而对于如下企业而言,数据合规的建设是最有必要且最具紧迫性的:
类型一:关键信息基础设施运营者(CIIO)
根据《关键信息基础设施安全保护条例》(以下简称“《保护条例》”)的相关规定,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
针对上述关键信息基础设施的运营者及保护工作部门,《保护条例》提出了非常细致及严格的要求。针对这类型企业而言,数据合规建设是必须进行的工作。
此外,《网络安全法》的第三十一条、《个人信息保护法》的第四十条、《数据安全法》的第三十一条及《数据出境安全评估办法》的第四条,均提到了关键信息基础设施及其运营者,对应施以重点保护的范围、个人信息存储及出境安全的管理等做了规定。
类型二:涉及重要数据的企业
根据《数据出境安全评估办法》的规定,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。这类企业毫无疑问也是需要数据合规建设的。
类型三:涉及数据跨境的企业
对一些有跨境业务的互联网企业,以及从事人员外派、集团总部在境外的企业而言,涉及到数据跨境的时候,除了要符合国内数据出境安全评估等合规要求,还要充分考虑所有相关国家或者地区的数据合规立法的管辖,譬如GDPR,等等。
类型四:涉及个人信息(员工、消费者等)处理的企业
对一些传统类型企业比如餐饮企业,可能感觉数据合规离得很远,其实这是个误解。根据《个人信息保护法》的相关规定,但凡是涉及个人信息处理,无论是自己的员工、消费者亦或是供应商信息,其存储、使用等都需要做好信息保护,确保数据安全,因此也需要进行数据合规建设。
类型五:拟境外上市或已经境外上市的互联网企业
根据《网络安全审查办法》第七条的规定,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
类型六:对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务提供者
根据《网络安全审查办法》第二条的规定,关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照该办法进行网络安全审查。
类型七:其他互联网类企业
对开发、销售app及小程序等软件从而能够接触、收集到大量个人隐私的这一类互联网企业而言,《个人信息保护法》出台后,其数据合规的监管压力及风险均较高;此外,对一些互联网“灰产类”企业即业务模式为“平台共享账号”“爬虫技术”“流量对接”“刷单”“刷榜”的企业而言,无疑存在着泄露个人信息、乃至涉嫌侵犯公民个人信息罪、非法获取计算机信息系统数据罪等刑事罪名并承担刑事责任的风险。