颜新华｜网络安全视阈下的数据合规：基本理论、问题审视与中国方案

颜新华｜网络安全视阈下的数据合规：基本理论、问题审视与中国方案 原创 颜新华 上海市法学会 东方法学 收录于话题#上海法学研究 322 个内容 #原创首发 668 个内容 #法学 573 个内容 #核心期刊 517 个内容

颜新华

中国社会科学院大学硕士研究生

要目

一、引言

二、数据合规的基本理论

三、数据合规的问题审视

四、数据合规的中国方案

五、代结语：网络安全与数据合规双轨并进

数据合规是指企业及其员工的数据活动需要符合一切规则。网络安全法为企业指明数据合规的方向，数据合规成为一个重要的时代课题。数据与信息、隐私既有联系，也有区别，需要合理界分使用。数据合规的理论基础在于保护个人基本权利，加强个人数据保护，强化数据合规管理对于个人、企业、社会、国家都具有重大意义。当前，数据合规管理领域出现三大挑战：数据违规收集问题、用户数据泄露问题、数据非法使用问题。对此我们需要提出中国方案，即优化顶层设计，完善数据立法；紧追世界数据合规潮流，汲取他国优秀数据合规经验；实现行政监管与公司治理、行业自治相结合，打造具有中国特色的数据合规管理体系。

一、引言

党的十九届四中全会提出要坚持和完善中国特色社会主义制度，推进国家治理体系和治理能力现代化，而推进网络空间治理体系和治理能力现代化是国家治理体系和治理能力现代化的重要一环。21世纪是网络时代，是信息时代，是数据时代，是智能时代。2017年生效的网络安全法为我国网络及数据安全奠定了坚实的基础，为企业指明数据合规的方向。在网络安全的大背景之下，在信息密集型行业，如电信、教育、医疗、金融、互联网等行业，数据合规成为一个重要的时代课题，数据合规对于加强数据保护，维护国家网络空间主权、安全和发展利益具有重大意义。

所谓合规，一般指企业合规，即企业及其员工的经营管理行为需合乎规则，既要遵守国际条约、国内法律法规规章以及其他规范性文件的规定，也要符合行业准则、商业惯例、社会道德以及公司规章制度的要求。如果企业及其员工存在不合规的行为，可能会产生法律责任、造成经济或声誉损失以及其他负面影响，这种可能性便是合规风险。我们常说的合规管理指的就是以有效防控合规风险为目的，以企业和员工经营管理行为为对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。

目前学术界与实务界对合规的关注点主要聚焦于公司法合规、行政法合规以及刑事合规，对数据合规关注较少，仅有少数学者对数据合规进行了研究，如许多奇指出：“在数据跨境问题上，‘走出去’和‘引进来’的企业都面临必须满足国内外公权力机关依本国法所提出的数据收集、传输和使用等要求，即实现双向合规。”李延舜对我国移动应用软件隐私政策的合规审查进行了研究，其认为“我国应用软件隐私政策虽然受法律的影响在文本上进行了调整，但是仍广泛存在隐私政策出场、数据收集、数据留存期限、数字广告推送、数据安全保护以及数据的共享、披露和转移等方面的合规问题”，但总体而言，学界对于数据合规研究的还不太深入。笔者试图在网络安全的背景下论述数据合规的基本理论、审视数据合规存在的问题、提出数据合规的中国方案，希冀为中国信息密集型企业的数据合规工作提供建设性意见。

二、数据合规的基本理论

数据与数据合规

1.数据相关概念的词义辨析

提及个人数据，我们常会想到个人数据的相关概念，比如个人信息、个人隐私。这些概念之间有何联系，有何区别，这是我们应该厘清的一个基本问题。笔者从词义学角度对这一问题进行简单分析：

个人信息与个人数据二者之间也具有一定相似性，特别在大数据时代，数据治理问题突出的背景下，合理界定二者的界限具有重要意义。计算机专业背景下的数据是指在计算机及网络上流通的在二进制的基础上以0和1的组合而表现出来的比特形式。所谓个人信息，其官方定义是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。个人信息概念的核心在于可识别性，“凡是能够识别特定个人的信息，无论是直接识别还是间接识别特定个人的信息，均为个人信息。”程啸教授对信息与数据的关系作出精辟分析，其认为“信息是数据的内容，数据是信息的形式，在大数据时代，无法将数据与信息加以分离而抽象地讨论数据上的权利。就个人数据而言，其之所以具有经济利益或者涉及人格利益，就是因为包含着个人信息。没有个人信息的数据不是个人数据，而只是以二进制代码表现出来的比特形式”。而梅夏英教授则指出：“数据没有特定性、独立性，亦不属于无形物，不能归入表彰民事权利的客体；数据无独立经济价值，其交易性受制于信息的内容，且其价值实现依赖于数据安全和自我控制保护。”

个人数据、个人信息比个人隐私的范围更大更广，个人隐私是指“人的与公共利益、群体利益无关的，不愿他人知道或他人不便知道的信息，不愿他人干涉或他人不便干涉的个人私事和不愿他人侵入或他人不便侵入的个人领域”。从概念上来看，个人信息与隐私具有明显区别，前者强调可识别性，后者强调私密性。个人信息的概念外延比隐私更宽，个人信息与个人隐私有重合部分，但有的个人信息并不具有私密性，而具有公开性，比如社会职业。此外，二者的内容、侵害方式与保护方式也不同。

值得说明的是，数据安全法（草案）第2条规定了数据是指任何以电子或者非电子形式对信息的记录，个人数据与个人信息在一定程度和范围内高度重合，故本文若无特别说明，后文论述个人数据与个人信息两个概念一般进行通用。

2.数据合规之核心内涵

数据合规指的是企业及其员工对于数据收集、存储、使用、处理、共享、转让、跨境或非跨境传输、流动、保护的行为需符合国际条约、国内法律法规规章、其他规范性文件、行业准则、商业惯例、社会道德以及企业章程、规章制度的要求。企业数据可分为个人数据与非个人数据，前者是指具有可识别性的个人数据，如员工数据与客户（用户）数据，后者是指与个人无关的数据，如企业经营记录、日常管理记录、财务会计记录。特别说明的是本文探讨的数据仅限于企业数据中的个人数据，非个人数据不在本文的讨论范围。数据法律关系主体包括数据主体、数据控制者、数据处理者，在本文语境下，数据主体是数据的来源者和权利人，数据控制者为公司，数据处理者为公司员工。

数据合规中“规”字涵盖范围广，上到国际条约，下到企业规章制度，笔者对数据合规领域中具有典型性、代表性、前沿性的规范进行简要归纳，如下表：

规范种属

规范列举

法律

民法典、刑法、网络安全法

司法解释

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

行政法规

互联网信息服务管理办法、计算机信息系统安全保护条例

部门规章

《儿童个人信息网络保护规定》

国务院规范性文件

《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》

部委规范性文件

《互联网个人信息安全保护指南》

国家标准

GB/T35770-2017《合规管理体系指南》

GB/T35273-2017《个人信息安全规范》

行业规定

《中国互联网行业自律公约》

企业规章制度

例如阿里巴巴、腾讯、百度等互联网公司的公司章程

通过上表可以看出，我国数据合规领域中的规则数量众多，分工明细，各位阶之例皆有。数据时代下数据合规工作会不断改进，而数据合规所遵守的规则也会随之更新。除了已经出台的网络安全法、电子商务法等法律之外，个人信息保护法、数据安全法等数据合规领域的最高位阶之法已经入选全国人大常委会最新的立法规划，未来还会有更多的数据领域的规则产生。

数据合规的理论基础

数据合规的理论基础即我们为什么要去保护个人数据（信息）？我们保护个人数据（信息）的理论根源是什么？个人数据（信息）保护的理论基础在于个人数据（信息）是一种民事权利（权益）。民法典第111条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”学界对于个人信息到底是一种民事权利（个人信息权）还是一种民事权益（信息保护、自决与控制）存在分歧。如叶名怡教授认为“个人信息属于人格要素，其内涵明确，外延清楚，可为他人行为设定禁区，可以成为一项具体人格权”。程啸教授认为从法解释的角度来看，民法典第111条并没有确立自然人对个人信息享有民事权利即个人信息权的结论，现代社会的个人信息上除了传统的人格利益以外，还附着着一种应当受到保护的防御性或保护性利益。从目前情况来看，在立法未予以明确的情况下，民法对自然人个人信息提供的保护既可能是一项民事权利，也可能仅仅是一项民事权益。

法律对自然人个人数据（信息）予以保护，本质上是保护其人格利益，包括人的尊严和自由。“个人数据保护的目的是人权法或宪法意义上的‘个人基本权利和自由’，它最终根源于对‘人的尊严’（human dignity）的保护。”保护个人数据（信息）即保护我们个人的人格尊严，这便是个人数据（信息）保护的理论基石。

数据合规的实践意义

数据合规的实践意义即保护数据的意义是什么？个人数据（信息）除了具有人格利益之外，还具有巨大的商业利益和经济价值，这就是为什么目前个人数据（信息）泄露与非法利用事件层出不穷的根本原因，特别是在信息密集型行业，如电信、金融、教育行业，出现大量个人信息贩卖与非法使用情形，情形严重者还构成了侵犯公民个人信息罪，个人数据（信息）安全遭受严重威胁。

加强个人数据（信息）保护，强化数据合规管理对于个人、企业、社会、国家都具有重大意义。

第一，加强个人数据保护，强化数据合规管理有利于维护和保障个人数据安全，保护人格尊严。“个人数据的不当使用不仅可能侵害个人基本权利或精神利益，而且还可能危害个人的人身安全和财产安全，侵害个人的安全利益。”保护好我们的个人数据，避免自己的信息落入不法之徒，有利于预防信息违法犯罪，减少和消除人身和财产风险，保障个人数据安全。

第二，强化数据合规管理是信息密集型企业合规工作的重中之重，其顺位一定程度上要优于其他领域的合规工作，做好数据合规工作，不仅能预防和降低企业的运营管理风险，提高运营管理效率，增加企业效益与利润，最终促进企业的可持续稳定健康发展。此外，当企业面临行政处罚或刑事指控之时，良好的合规体系是构成减轻或免除企业行政处罚和刑事处罚的合理理由之一，如证券行政执法领域的行政和解制度，行政和解除了要求违规企业缴纳高额的行政和解金之外，还要附加合规计划的实施，此时合规不再只是一种公司治理方式，进入行政监管领域，合规已经成为一种行政监管激励机制，企业可以用合规作无责任抗辩；在美国刑事司法实践中，如果一个企业涉嫌犯罪后，只要具有或者承诺建立有效的合规计划，就可以得到不起诉处理，或者定罪后被宽大量刑，或者以其作为无罪抗辩事由。综合言之，数据合规管理对于企业的利处有二：一是降低风险，提高效益；一是减轻、免除行政或刑事处罚。

第三，个人数据与整个公共社会密切相关，我们除了要保护数据，更重要的是，合理利用数据来促进经济发展与社会进步。在大数据社会，加强数据和信息合法与合理利用，充分利用信息与数据的经济价值，来发展大数据产业和互联网信息产业，促使数据资产化，促进中国社会经济和谐有序稳定创新发展。

第四，对于国家而言，个人数据安全也是属于国家安全的一部分，国家对于数据和信息的跨境流动与传输进行管制的目的就在于维护国家安全。个人数据安全与国家安全、国家主权、国家利益息息相关。网络安全法的出台就是为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展而制定的。个人数据安全成为国家安全重要的组成部分。

三、数据合规的问题审视

数据合规管理主要是针对数据收集、存储、传输、处理、使用等数据活动，信息密集型企业在进行各式各样的数据活动之时，会产生各种各样的不合规问题，给数据合规工作提出严峻挑战，其中，最为核心的三个问题是数据违规收集问题、用户数据泄露问题、数据非法使用问题。

数据违规收集问题

数据合规面临的第一个挑战便是数据违规收集问题，近年来，我国移动应用软件或多或少都存在违规私自收集、过度收集、超范围收集用户数据信息、强制授权、不合理索取用户权限、频繁骚扰、侵害用户权益，如未经用户同意自动开启收集地理位置、身份证号、人脸、指纹、读取通讯录、使用摄像头、启用录音等功能以及与服务无关的功能。

社会实践中违规收集用户数据的热点事件层出不穷，如“ZAO”软件因违规收集个人信息被工信部约谈、抖音海外版违规收集儿童信息被美国联邦贸易委员会(FTC)罚款570万美元等。针对实践中出现的移动应用软件乱象，2019年1月，中央网信办、工业和信息化部、公安部、市场监管总局四部分联合开展App违法违规收集使用个人信息专项治理；2019年11月，工业和信息化部关于这一严峻问题又开展了APP侵害用户权益专项整治活动。国家部委先后两次对移动应用软件违规收集用户数据问题进行专项整治行动，可见当前数据违规收集问题之严峻。

用户数据泄露问题

数据合规面临第二个问题是用户数据泄露问题。企业进行数据收集、存储、传输、处理、使用等数据活动之时，可能会产生用户数据泄露事件，大体来说，主要有以下几个原因：一是企业自身数据安全保护系统存在漏洞，企业关键信息基础设施容易被攻击、侵入、干扰和破坏，数据处于暴露在阳光下的风险当中；二是企业员工故意或过失泄露用户数据，或逐利，或泄愤，或报复；或竞争；三是外部力量或人员利用木马、病毒、爬虫等计算机网络技术措施对目标企业的数据系统发起攻击，窃取用户数据。如实践中发生的东航泄露乘客个人隐私事件、去哪儿网泄露用户隐私，以及号称史上最大的数据泄露案——瑞智华胜公司非法盗取30亿条个人网络信息被罚款1000万，且公司主管人员和直接责任人构成刑事犯罪。用户数据泄露问题已经成为数据合规工作中的重点防控领域。

数据非法使用问题

数据合规面临第三个挑战是非法使用用户数据为自己谋利，严重侵害用户合法权益，具体有以下几种常见情形：第一，移动应用软件未经用户同意，私自将设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等个人信息共享给第三方；第二，强制用户使用定向推送功能，即“APP未向用户告知，或未以显著方式标示，将收集到的用户搜索、浏览记录、使用习惯等个人信息，用于定向推送或精准营销，且未提供关闭该功能的选项”。例如我们常见的精准广告，“在网络时代，每当消费者搜索某个产品或是浏览某个广告时，他的这些活动就会被迅速地记录到一份详细的个人档案中，而这种信息搜集过程完全是背着消费者进行的”。应用软件经营者为了谋求自身商业利益最大化，对违规收集的消费者个人信息进行最大限度的商业利用，追逐最大限度的可得利润，此举是完全有悖于法治精神与商业道德。

四、数据合规的中国方案

数据合规管理是以有效防控数据合规风险为目的，以互联网企业为代表的信息密集型企业及其员工的数据活动为对象，开展包括数据合规制度制定、数据合规风险识别、数据合规审查、数据合规风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。合规管理是信息密集型公司全面风险管理的一项重要内容，也是实施有效内部控制的一项基础性工作。

数据合规管理应该坚持四个基本原则，第一是独立性原则，数据合规管理应从制度设计、机构设置、岗位安排以及汇报路径等方面保证独立性，数据合规管理机构及人员承担的其他职责不应与数据合规职责产生利益冲突。第二是适用性原则，数据合规管理应从经营范围、组织结构和业务规模等实际出发，兼顾成本与效率，强化数据合规管理制度的可操作性，提高数据合规管理的有效性。同时，企业应随着内外部环境的变化持续调整和改进数据合规管理体系。第三是全面性原则，要将数据合规要求覆盖各业务领域、各部门、各级子企业和分支机构、全体员工，贯穿决策、执行、监督全流程。第四是联动性原则，我们要推动数据合规管理与法律风险防范、监察、审计、内控、风险管理等工作相统筹、相衔接，确保数据合规管理体系有效运行。

前文所述，数据合规面临三大挑战：数据违规收集问题、用户数据泄露问题、数据非法使用问题。面对此三大问题，我们应该一一处理并给出解决方法，既要立足本国国情、社情、民情，因地制宜，也要汲取世界法律之精华，为我所用，最终形成数据合规管理的“中国方案”。

优化顶层设计，完善数据立法，为数据合规管理提供法治保障

当前我国仍没有专门的数据立法，有关数据合规的规则分散于各位阶，未成体系。目前，个人信息保护法、数据安全法等数据合规领域的最高位阶之法已经入选全国人大常委会最新的立法规划。为保障数据安全，促进数据开发利用，保护公民、组织的合法权益，数据安全法应当规定支持促进数据安全与发展的措施，建立健全国家数据安全管理制度，落实开展数据活动的组织、个人的主体责任等。我们应该紧紧把握这次契机，将近年来数据合规领域出现的重大的难点、热点、疑点问题一一回应并作出相应规定，为数据合规管理提供有效的法治保障。

例如，前文提及的数据合规面临的三大挑战便可以在个人信息保护法、数据安全法的立法过程中予以回应。对于数据违规收集问题，我们要在立法中制定并公开收集使用规则，明确收集使用个人信息的目的、种类、数量、频度、方式、范围等以及个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法。立法应当禁止信息密集型企业以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

紧追世界数据合规潮流，汲取他国优秀数据合规经验

对于用户数据泄露问题，我们可以吸收借鉴欧盟的“被遗忘权”的权利设计规则。欧盟之前颁布的GDPR（中文译为通用数据保护条例或一般数据保护条例）中提出了一个核心的概念就是“被遗忘权”（又称删除权），即数据主体有权要求数据控制者删除其个人数据，已达到其被收集的数据处于“被遗忘”的状态。企业要严格遵守安全性原则，不仅应确保其现阶段数据使用的安全，还应考虑到使用结束后的数据更正和删除问题。GDPR除了规定数据主体具有删除权外，还赋予其访问权、更正权、限制处理权、数据携带权、反对权等一系列权利，一定程度上使数据主体与数据控制者的权利失衡状态稍微变得平衡一点。对此，数据安全法立法之时，可以规定网络运营者应当采用数据分类、备份、加密等措施加强对个人数据保护。企业保存个人信息不应超出收集使用规则中的保存期限，用户注销账号后应当及时删除其个人信息，企业收到有关个人信息查询、更正、删除以及用户注销账号请求时，应当在合理时间和代价范围内予以查询、更正、删除或注销账号。

此外，合规作为一种行政监管激励机制和刑事激励机制，我们可以借鉴美国证券交易委员会以及美国司法部的合规处理方法引入中国数据合规领域，即将行政和解机制与刑事暂缓起诉或免予起诉机制引入中国数据合规领域。立法可以规定一个良好的数据合规管理体系可以成为减轻或免除行政处罚或刑事处罚的法定事由，以此激励信息密集型企业精心打造良好完善的数据合规管理体系。

实现行政监管与公司治理、行业自治相结合

实现有效的数据合规管理需要良好公司治理、以标准化和认证为核心的行业自治以及能动、有效的行政监管三者的有机统一。面对现实生活中多发的数据违规收集、泄露、非法使用问题，我们应该予以严厉监管。一方面，推动问题企业自查自纠，及时整改；另一方面，技管结合，综合运用技术检测和检查、社会监督、用户和专家评议等手段，充分发挥第三方机构、媒体和用户的共同监督作用，构建政府管理、社会协同、公众参与、媒体监督、行业自律、科技支撑的全方位综合监管体系。具体的监管措施包括责令整改、向社会公告、下架产品、停止接入服务，以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等手段，严重者使用行政罚款或刑事处罚措施。

五、代结语：网络安全与数据合规双轨并进

身处网络信息时代，网络空间法治化已经成为不可阻挡的趋势，在信息社会、互联网、大数据、人工智能大背景之下，加强数据合规管理具有重大的现实意义。数据合规管理的两条底线分别是合乎一切规则和不得侵害他人权益，企业进行数据合规管理要紧紧把握这两条底线原则。数据安全法（草案）的立法宗旨与目的就是为了“保障数据安全，促进数据开发利用，保护公民、组织的合法权益，维护国家主权、安全和发展利益”。我们要通过采取必要措施，保障数据得到有效保护和合法利用，并持续处于安全状态。维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力，我们要坚持维护数据安全和促进数据开发利用并重，以数据开发利用和产业发展促进数据安全，建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制、数据安全应急处置机制、数据安全审查制度和数据安全协同治理体系。网络安全法为我们指明了数据合规的方向，即在网络安全的背景下进行数据合规管理，数据需要通过网络进行传输、流动、增值，网络需要数据才能发挥其最大功效，二者相辅相成，相互成就，保护数据安全就是维护网络安全，保障网络安全是为了更好进行数据合规管理，二者应该双轨并进。

往期精彩回顾

王林：国家安全治理体系与治理能力现代化探究

原标题：《颜新华｜网络安全视阈下的数据合规：基本理论、问题审视与中国方案》

阅读原文