數據要素是數字經濟深入發展的核心引擎。數據作為新型生產要素和重要資產,在數字經濟發展中起著核心關鍵作用,展現了巨大的價值和潛能。然而,在高速發展的同時,涉及數據安全的問題和風險也不容小覷,近年來諸如大規模數據洩露、個人隱私數據嚴重濫用等事件頻發。為了應對數據安全問題,我國陸續出台了一系列數據安全相關的法律法規,數據監管體係日趨完善,數據監管執法力度不斷加強。對企業而言,無論是出於建立完善的數據合規管理體係以符合數據合規相關法律法規強制性要求的考量,或者出於聚焦規避數據處理違法違規、數據洩露等風險及賠償責任的角度,數據合規的重要性都愈發凸顯,乃至成為一種剛需。

那麼,究竟什麼是數據合規?為什麼要做數據合規建設?哪些企業需要數據合規?我們將簡要分析。

數據要素是數字經濟深入發展的核心引擎。數據作為新型生產要素和重要資產,在數字經濟發展中起著核心關鍵作用,展現了巨大的價值和潛能。然而,在高速發展的同時,涉及數據安全的問題和風險也不容小覷,近年來諸如大規模數據洩露、個人隱私數據嚴重濫用等事件頻發。為了應對數據安全問題,我國陸續出台了一系列數據安全相關的法律法規,數據監管體係日趨完善,數據監管執法力度不斷加強。對企業而言,無論是出於建立完善的數據合規管理體係以符合數據合規相關法律法規強制性要求的考量,或者出於聚焦規避數據處理違法違規、數據洩露等風險及賠償責任的角度,數據合規的重要性都愈發凸顯,乃至成為一種剛需。

那麼,究竟什麼是數據合規?為什麼要做數據合規建設?哪些企業需要數據合規?我們將簡要分析。

01什麼是數據合規?

說明數據合規之前,首先要釐清數據、數據處理、數據安全這幾個概念。

根據《數據安全法》第三條的規定,數據、數據處理、數據安全的定義是較為清晰明確的,數據是指任何以電子或者其他方式對信息的記錄;數據處理則包括數據的收集、存儲、使用、加工、傳輸、提供、公開等,即數據“從生到死”全流程的各個階段;而數據安全,是指通過採取必要措施,確保數據處於有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。

首先,數據處理的過程要採取必要的保護措施,以確保數據安全;其次,數據安全,最終也是為了確保數據可利用,促進數據處理過程,二者是相輔相成的。最後,數據合規,則是在二者基礎之上,再對數據處理過程、管理過程、體系搭建過程以及所採取的具體措施和手段的合規性予以重點關注並提出要求。與其他類型的企業合規一樣,數據合規中的“規”字的涵蓋範圍極廣,上到國際條約,下到企業章程及規章制度,都可以納入其中。

綜上,數據合規是指企業及其員工對於數據收集、存儲、使用、加工、傳輸、提供、公開等處理行為需符合國際多邊條約、國內法律法規、規範性文件、行業準則、商業慣例、社會道德以及企業章程、規章制度的要求。

02 為什麼要做數據合規建設?

無論是從立法層面、還是監管執法層面,數據合規的要求都越來越嚴格細化。那麼,選擇做數據合規建設的原因有哪些呢?不做數據合規或做得不好,會面臨哪些風險和困境呢?

(一)監管體係日趨完善

以網絡、數據、個人信息安全保護的“三駕馬車”即《網絡安全法》《數據安全法》《個人信息保護法》為例,其中均對企業提出了數據合規建設要求,如確定數據相關合規責任部門和責任人員、各項管控制度、風險評估、應急響應、數據合規培訓、數據分類分級、重要數據出境安全評估等。

尤其是《個人信息保護法》,對企業數據的處理過程有非常嚴格和細化的要求,且很多是針對企業內控的要求,包括要求企業對數據做分類管理、採取相應的加密、去標識化等安全技術措施、合理確定個人信息處理的操作權限、制定並組織實施個人信息安全事件應急預案等等。

除“三駕馬車”外,我國在數據保護領域的“立法熱”仍在持續,2021年7月至今,《關鍵信息基礎設施保護條例》《網絡安全審查辦法》《數據出境安全評估辦法》等相繼出台並施行。

法規建設如火如荼之餘,我國數據合規監管機構的設置及職能職責完善工作也在齊頭並進。首先是擬組建的國家數據局,承擔著協調推進數據基礎制度建設,統籌數據資源整合共享和開發利用,統籌推進數字中國、數字經濟、數字社會規劃和建設等職責;其次是國家互聯網信息辦公室(即“網信辦”),其與中央網絡安全和信息化委員會辦公室是一個機構兩塊牌子,列入中共中央直屬機構序列,承擔了對涉嫌數據違規行為進行監管的職責;最後是公安局,負責對涉嫌違反數據安全、網絡安全等行為予以行政執法。

綜上,隨著監管體系的日趨完善,現行法律、法規中已經設定了很多數據保護、數據合規的強制性規定,各大監管機構的職責也逐步明確、完善,相關企業需要去一一滿足、遵循,如稍有忽視,等待企業的可能是民事賠償風險、行政處罰風險及刑事犯罪風險。

(二) 監管執行日趨嚴格

數據合規監管執行層面,無論是處罰力度或是執行數量,近年來都處於高峰期,具備“強監管”、“多頭監管”、“監管趨勢多變”等特點。包括引起轟動的國家網信辦向互聯網巨頭“滴滴”開出高達80.26億元人民幣、對滴滴董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款的個人數據濫用罰單;上海市通信管理局通報2022年第一批侵害用戶權益行為app;廣東省開出首張《數據安全法》罰單,等等。

這其中尤其引起關注的是長沙市公安局岳麓分局網絡安全保衛大隊查處長沙市首起違反《數據安全法》並對涉案公司依法給予行政警告、處罰款5萬元的案件。因為其處罰的理由和違法事實情況可能是廣大科技、互聯網企業都可能存在或遇到,即:該公司的相關服務器存在未授權訪問漏洞,用戶隱私數據存在洩露風險。經過進一步核實,該公司未制定數據安全管理制度、未開展等級保護備案工作,嚴重違反了《數據安全法》第二十七條、第二十九條規定。

而且,《個人信息保護法》對“違法處理個人信息,或者處理個人信息未履行規定的個人信息保護義務的,情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,並處五千萬元以下或者上一年度營業額百分之五以下罰款,並可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人”的法律責任的規定,也充分顯示了國家對違法處理個人信息等行為的執法和懲罰決心。

綜上,一方面,眾多的處罰案例彰顯了監管層對數據合規治理的決心,為相關企業敲響了警鐘;另一方面,在強監管態勢下,相關企業也寄希望於通過自身的數據合規建設,找出風險點並予以整改,避免被處罰。

哪些企業需要做數據合規?

數據合規是潮流和趨勢,幾乎所有類型的企業都需要進行數據合規建設,而對於如下企業而言,數據合規的建設是最有必要且最具緊迫性的:

類型一:關鍵信息基礎設施運營者(CIIO)

根據《關鍵信息基礎設施安全保護條例》(以下簡稱“《保護條例》”)的相關規定,關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據洩露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。

針對上述關鍵信息基礎設施的運營者及保護工作部門,《保護條例》提出了非常細緻及嚴格的要求。針對這類型企業而言,數據合規建設是必須進行的工作。

此外,《網絡安全法》的第三十一條、《個人信息保護法》的第四十條、《數據安全法》的第三十一條及《數據出境安全評估辦法》的第四條,均提到了關鍵信息基礎設施及其運營者,對應施以重點保護的範圍、個人信息存儲及出境安全的管理等做了規定。

類型二:涉及重要數據的企業

根據《數據出境安全評估辦法》的規定,重要數據是指一旦遭到篡改、破壞、洩露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據。這類企業毫無疑問也是需要數據合規建設的。

類型三:涉及數據跨境的企業

對一些有跨境業務的互聯網企業,以及從事人員外派、集團總部在境外的企業而言,涉及到數據跨境的時候,除了要符合國內數據出境安全評估等合規要求,還要充分考慮所有相關國家或者地區的數據合規立法的管轄,譬如GDPR,等等。

類型四:涉及個人信息(員工、消費者等)處理的企業

對一些傳統類型企業比如餐飲企業,可能感覺數據合規離得很遠,其實這是個誤解。根據《個人信息保護法》的相關規定,但凡是涉及個人信息處理,無論是自己的員工、消費者亦或是供應商信息,其存儲、使用等都需要做好信息保護,確保數據安全,因此也需要進行數據合規建設。

類型五:擬境外上市或已經境外上市的互聯網企業

根據《網絡安全審查辦法》第七條的規定,掌握超過100萬用戶個人信息的網絡平台運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。

類型六:對關鍵信息基礎設施安全、網絡安全和數據安全有重要影響的網絡產品和服務提供者

根據《網絡安全審查辦法》第二條的規定,關鍵信息基礎設施運營者採購網絡產品和服務,網絡平台運營者開展數據處理活動,影響或者可能影響國家安全的,應當按照該辦法進行網絡安全審查。

類型七:其他互聯網類企業

對開發、銷售app及小程序等軟件從而能夠接觸、收集到大量個人隱私的這一類互聯網企業而言,《個人信息保護法》出台後,其數據合規的監管壓力及風險均較高;此外,對一些互聯網“灰產類”企業即業務模式為“平台共享賬號”“爬蟲技術”“流量對接”“刷單”“刷榜”的企業而言,無疑存在著洩露個人信息、乃至涉嫌侵犯公民個人信息罪、非法獲取計算機信息系統數據罪等刑事罪名並承擔刑事責任的風險。