导读
数据合规是专项治理中每个公司都不可或缺的内容,需要重点关注与积极探索。
基本问题讨论
数据合规之所以重要,是因为数据很重要。
大数据之所以有价值,就在于它能预测。对于一个国家来说,它能够预测各种各样的政治风险,能够进行国家的治理。对于商业机构来说,基本上可以做到精准的营销。
我国数据立法及保护原则
2020年,中共中央、国务院的文件就提出培育数据要素市场的目标,后来又进一步提出要建立数据产权的交易市场。新出台的《数据安全法》以及《个人信息保护法》给出了一个非常详尽、严格的法律管控范围,使其法律门槛迅速提升。
中国在数据保护和利用的问题上,有两条轨道:一条轨道是以网信办为主的执法部门,其下有一系列的执法机构,严格进行数据应用监管;另一条轨道是以发改委系统为主,鼓励数据的应用与交易,实现以数字经济为发展目标的国家发展战略。
全球主要国家和地区数据立法分析
纵观欧盟、美国等国家和地区,由于历史沿革与宏观环境的不同,其对于数据立法的考虑维度与定义都不尽相同。而对于中国而言,个人信息保护在法律上的规定有着历史演进的过程。
中国企业未来不可能做到全球合规,只能做到区域合规,然后分国家地区来去管理。
企业数据合规政策及实践
对国企的数据合规而言,首先需要有隐私政策以符合形式要件。在合规实践上,要做到定期更新评估监督、制定不同服务类型的个人信息保护政策、总部及各分支机构人员培训这三个环节的良性循环,以及在事前及事后都制定详细的措施,做到事前保障安全、事后降低风险损失。
图片
北京大学法学院教授张平发表主题演讲
公司治理,从宏观上来讲有全面治理或综合治理,从微观上讲还有专项治理。专项治理对公司的补益作用是显而易见的,它具有灵活、成本产出比高等优势,在公司治理中颇受青睐。在众多的专项治理当中,并不是所有的项类都是每个公司需要的,而数据合规是专项治理中每个公司都不可或缺的,需要重点关注、积极探索。
一 基本问题讨论
数据合规之所以重要,是因为数据很重要;而这里的数据,不是单条的信息数据,而是指大数据。大数据一般有很多类型,如公共数据、商业数据、科学数据、个人数据等。一般来说,从其他国家立法上看,大数据最早是规制政府数据的,就是规制公共数据,之后延伸到企业数据、科学数据。这三种数据基本上公共数据和科学数据都有一种共享的需求,而商业数据虽也共享,但是是有条件的共享,是有合作的、有对价的、有盈利的。最后是个人数据,大数据时代就是把个人数据汇集到一起以后,赋予了一些新的价值。所以我们说大数据时代,根据数据的不同而分类,但是总而言之,一定是数据汇聚到一起,这种大数据才有价值。具体到技术上它也有一种分类方法,大数据可分为结构化的数据,它是比较成熟的,有数据库模型可以方便的检索和分析;还有非结构化的数据,它没有统一的标准规则,比如说爬虫技术爬到的,还有在网上输入关键词检索到的一些数据。这样的一些数据,如果要做数据处理的时候,也有数据的合规的需求。
大数据之所以有价值,就在于它能预测。对于一个国家来说,它能够预测各种各样的政治风险,能够进行国家的治理。对于商业机构来说,基本上可以做到精准的营销。目前我们可以感受到,这种预测在精准广告方面应用的非常广泛,零星的检索词、打电话时提到过的词汇,都可能导致未来会收到相关的一些广告。美国谷歌是全球最大的这种数据公司,它的数据有专门的数据公司进行处理,几乎覆盖了全球所有的商业模式。之所以欧洲始终都在打击谷歌的数据商业模式,就是因为它掌控了所有未来潜在的电子商务模式的发展趋势。
二 我国数据立法及保护原则
许多发达国家都预见到了大数据的价值,在2000年、2010年的时候,均已发布了这种国家发展战略。中国在2015年才开始,已经稍微落后了一点,到了2019年的时候,我们中央的文件里就把数据作为继劳动资本、土地知识技术管理之后的另外一种生产要素,那么就意味着进入到市场的阶段了。
所以在2020年的时候,中央的国务院的文件就提出培育数据要素市场的这样一个目标,2020年10月,又进一步提出要建立数据产权的交易市场。但是到目前为止,交易中心交易的数据量远远没有达到大数据产业发展战略目标的期望值,这是因为大数据利用有非常严格的法律规制——之前仅在《网络安全法》《消费者权益保护法》《电子商务法》或者《侵权责任法》中有所体现,现在新出台的《数据安全法》以及《个人信息保护法》给出了一个非常详尽、严格的法律管控的范围,使其法律门槛迅速提升。
现在中国在数据保护和利用的问题上,有两条轨道,一个轨道是以网信办为主的执法部门,其下有一系列的执法机构,严格进行数据应用监管,比如对网上的各种APP的执法、调研;另一个轨道是以发改委系统为主的,鼓励数据的应用、交易,实现以数字经济为发展目标的国家发展战略。这两条轨道并行,才能够保证在数据合规的情况下,让数字经济飞速发展。
不论是公共数据还是商业数据,都是由个人数据构成,在处理个人数据的基本原则上,我国《个人信息保护法》中给出了一个非常明确的要求,就是合法、正当、必要、诚信,其下再展开诸多具体的原则。对于敏感的信息以及未成年人的信息,在《数据安全法》《个人信息保护法》当中都提到了“重要数据”,加上国家安全数据,它的通知同意、跨境以及评估都有十分严格的要求。而且这些基本原则贯穿在处理个人信息或者叫处理数据的全过程当中。所谓的收集、储存、使用、加工、传输、提供、公开、删除,都要遵循。
举一个例子,告知同意原则,就是在收集别人信息、软件升级、发生数据泄露、进入市场、加工、分享等众多环节都要告知,如果要跨境传输,还要去评估、审查。同意的内涵也进一步丰富,增加了可撤回的概念。比如说在网上订机票,大部分人跳过阅读长长的合同,直接拉到下边点击同意,其实如果后来发现有对自己不利的情况,《个人信息保护法》还支持同意的撤回。同意具有明示同意、默示同意,很多企业就在上边做文章,比如不通过点击,只要登陆企业主页就叫同意,这样的陷阱是不可以的,《个人信息保护法》中规定,同意必须是明确的、主动的、在充分知情的情况下去同意。举个例子,免密支付就是一个陷阱,像在使用打车软件时只要确定约车就直接付了车费。如果要想撤回这个免密支付,还要去找设置或客服,经过种种环节取消,这个也是不可以的。由此可见,《个人信息保护法》对个人信息的要求是非常之高的。
三 全球主要国家和地区数据立法分析
在我们国家的法律上,一直沿用个人信息这一个概念,但实际在国际上像欧盟的GDPR,即通用数据保护条例,它定义或它的保护的内容,叫personal date,翻译为个人数据。美国的法律中,基本它的法案的名称都叫隐私法,但它的隐私法里面保护的内容也是个人信息。再如台湾地区,它的立法的名称就叫个人资料保护法。所以我们看到,虽然其名称不一样,但内涵是一致的。在实践当中,比如企业合规制定政策,叫隐私政策亦或是个人信息保护政策,都无所谓。出于对受众的考量,如果业务是在国际上,最好称之为隐私政策,如果业务主要在国内,就称之为个人信息政策、隐私官或信息保护官。
关于个人信息保护,我国在法律上的规定是有一个历史演进过程的,不同的法律中个人信息定义还在文字上略有差别。比如《全国人民代表大会常务委员会关于加强网络信息保护的决定》,当时是首个法律上定义公民个人信息的,讲到的是“能够识别公民个人身份的信息”,它强调的是具有识别性。
那么到了网络安全法的时候,这种识别性的表述就变成了“单独或者是与其他信息组合能够识别自然人身份的”,这一类的信息也属于个人信息,也必须要合规加以保护。比如今天没有任何一个人透露我在这里做讲座,但是有人可能会通过我打车的轨迹,通过我入校门的轨迹,通过法宝发布的一些信息直接定位我在这个时间与地点做了这样的一个讲座。所以像这样一些组合的信息去识别一个人也应该是在法律保护范围之内。
接下来《民法典》直接沿袭了《网络安全法》的一个定义,但是它略有一点区别,讲的是特定自然人,加了“特定”二字,但它前面的前缀都是叫“单独或者是其他信息组合识别”。
比较可惜的是,《个人信息保护法》中没有沿用上述概念,讲的是“已识别或可识别的自然人的各种信息”,“已识别和可识别” 与“单独和组合识别”实际上是有区别的。
从简单的逻辑上来看,单独或者组合识别的范围更广,已识别或可识别的范围稍微窄一点:已识别是指拿一个身份证号码就能识别出来,可识别是指拿一些信息能够识别出来,但并没有说组合。而组合又没有条数的限制,如果用100条信息,什么人的画像都可以画得非常精准。《个人信息保护法》的制定参考了欧洲的GDPR,直接引用了其中个人数据的定义。但是《个人信息保护法》中没有关注到GDPR相应条款中后面的半句话——有关的一个或多个特定因素来识别人的信息,所以GDPR里面是将“已识别和可识别” 与“单独和组合识别”都涵盖在内的。
再来看美国加州的《消费者隐私保护法》,名称叫隐私法,但是实际上它的定义就是个人信息,包括了消费者以及消费者家庭,也就是说这部法律它不仅管到个人上,还管到他的家庭信息。家庭信息,包括煤气、水电费等信息,甚至包括家庭垃圾排放的信息。如果这些信息被收集了,也可以做预测:比如家庭排放许多高价值消费的垃圾,可能资金的来源会有问题;甚至现在中国也有一批企业,特别的希望调查某一个小区的水电煤气的消费量,以预测这户家庭是不是经常住在这个地方,来预测这个地区配备多少用电量,配备多少管道煤气的输送量,实际上它还可能用于其他更多的目的。所以像这类的信息在美国的这部法律当中,未经授权是不可以收集的,但我们现在很多小区把这些信息就直接给出去了,认为要是做投资、做资源的配备,就应该给出去。
重点介绍一下美国颁布的《通讯协助执法法》,它要求所有的通讯电信设备商必须有后门,即必须带有监听功能,令联邦政府能够实时监听。所以为什么特朗普咬定中国企业所有的电信设备里面都是有后门可监听的,是因为他们的法律要求、他们的运营商就是这样。现在美国把这部法律又扩展了,不但适用于电信运营商和电信设备商,还要覆盖所有宽带互联网通讯的企业,所以用到美国所有的产品,一定是可监听和有后门的,没有就是不合规。
还有一部法律在美国也是非常重要的,叫《澄清域外合法使用数据法案》,它赋予了美国政府机关直接调用在美国企业的海外数据的权利。只不过在这里面也提到了,如果美国政府或者是机关想要调取的话,必须要有法官的搜查令,但向法官要一个搜查令是非常容易的。
美国的执法是FTC, FTC大多数在数据方面的案件都是以行政和解、巨额罚款为结束。比如说他对Facebook和谷歌的这种罚款。FTC每年颁布评估报告,评估报告里面包括各国的企业,也包括中国的企业。所以正因为这样,FTC每年发布的报告,在美国就形成了所谓的隐私法学,也就是说企业和律师想要关注美国的隐私保护的现状,不用去看其他的教科书,就看FTC的报告就可以了,这也形象的凸显出它的重要性。隐私保护与技术发展是美国发展历史的两辆马车,而且隐私是美国民主社会从一开始就维护的核心价值,所以它就会以隐私或者是数据保护为由,把它上升到一个很高的地位来对其他国家的企业进行制裁,这就是数据贸易壁垒。
再来看欧盟的立法,其实是基于它人权保护的历史,1980年的OECD,即《关于保护个人数据隐私和跨境流动指南的建议》,奠定了现在GDPR的基础。GDPR的范围比我们更广,乃至包括生理的、心理的信息。实际上很多公司都在挖掘这一类的业务,比如在国外就有通过分析某一个交互平台上使用者对某一篇文章点赞的心理表达,来进行数据分析。它可以预测或是干扰政治选举,或者是可以干扰消费心态。所以说欧洲的GDPR是包括了心理的、文化和社会特征的,这些信息都属于个人保护信息的范畴之内。GDPR还着重关注了被遗忘权和可携权,保证了在特定情形下,用户可请求删除、获取和移转相关数据,这给我国目前的立法发展提供了非常重要的参考。GDPR当年颁布的时候非常严格,虽然是欧洲条款,但是只要其所加工的个人信息与欧洲的公民有关,或者与欧洲的产品与服务有关,即使是非欧洲组织也会受到此条例的影响。但后来发现这会制约、影响大数据产业的发展,所以也开始逐步放宽了。不过它在全球的选择性执法意识也非常强烈,比如对美国大型公司的制裁,所以现在美国面对欧盟的高标准的要求,开始调整了政策。这也是我们中国企业调整政策的未来的方向和趋势,也就是不可能做到全球合规,只能做到区域合规,然后分国家地区来去管理。
四 企业数据合规政策及实践
数据合规,首先第一就是要有隐私政策,没有隐私政策,形式要件就不符合。所以各大国有企业第一个任务就是把隐私政策全都写好。尽管隐私政策是一个形式,几乎没有人阅读,但是也要有,因为有了就证明是善意的,就形式合规了,有可能就不起诉而只是罚款了。隐私政策写的好一点,罚款也可能不那么高了,这是交给社会的一个监督标准。
在合规实践上,要做到定期更新评估监督、制定不同服务类型的个人信息保护政策、总部及各分支机构人员培训这三个环节的良性循环,在事前及事后都制定详细的措施,做到事前保障安全、事后降低风险损失。透明度也是非常重要的一点,要做到负责任的信息共享,详尽透明的公布自己每一个环节涉及到的信息使用情况。
在隐私政策的制定中,有两个立场,一个立场就是法律风险的防控,要保证高管不被刑事处罚、公司不被行政处罚,这是最低的法律合规的要求。另外一个更为高要求的立场就是在消费者的体验上、从企业社会形象上来感受,以高标准规范自己的隐私使用政策,会取得非常好的社会效果,形成企业与市场良性互动,这是我们最希望看到的。
联系我们请点击:
数邦客
