查看原文
其他

张平教授:数据合规的全球立法及实践

北大法宝 2024-01-17

⊙ 本文长约5000字,阅读需时13分钟  



导读

数据合规是专项治理中每个公司都不可或缺的内容,需要重点关注与积极探索。


基本问题讨论


数据合规之所以重要,是因为数据很重要。


大数据之所以有价值,就在于它能预测。对于一个国家来说,它能够预测各种各样的政治风险,能够进行国家的治理。对于商业机构来说,基本上可以做到精准的营销。


我国数据立法及保护原则


2020年,中共中央、国务院的文件就提出培育数据要素市场的目标,后来又进一步提出要建立数据产权的交易市场。新出台的以及给出了一个非常详尽、严格的法律管控范围,使其法律门槛迅速提升。


中国在数据保护和利用的问题上,有两条轨道:一条轨道是以网信办为主的执法部门,其下有一系列的执法机构,严格进行数据应用监管;另一条轨道是以发改委系统为主,鼓励数据的应用与交易,实现以数字经济为发展目标的国家发展战略。


全球主要国家和地区数据立法分析


纵观欧盟、美国等国家和地区,由于历史沿革与宏观环境的不同,其对于数据立法的考虑维度与定义都不尽相同。而对于中国而言,个人信息保护在法律上的规定有着历史演进的过程。


中国企业未来不可能做到全球合规,只能做到区域合规,然后分国家地区来去管理。


企业数据合规政策及实践


对国企的数据合规而言,首先需要有隐私政策以符合形式要件。在合规实践上,要做到定期更新评估监督、制定不同服务类型的个人信息保护政策、总部及各分支机构人员培训这三个环节的良性循环,以及在事前及事后都制定详细的措施,做到事前保障安全、事后降低风险损失。


北京大学法学院教授张平发表主题演讲

公司治理,从宏观上来讲有全面治理或综合治理,从微观上讲还有专项治理。专项治理对公司的补益作用是显而易见的,它具有灵活、成本产出比高等优势,在公司治理中颇受青睐。在众多的专项治理当中,并不是所有的项类都是每个公司需要的,而数据合规是专项治理中每个公司都不可或缺的,需要重点关注、积极探索。

 

基本问题讨论


数据合规之所以重要是因为数据很重要而这里的数据,不是单条的信息数据,而是指大数据大数据一般有很多类型,如公共数据、商业数据、科学数据、个人数据等。一般来说从其他国家立法看,大数据最早是规制政府数据的,就是规制公共数据之后延伸到企业数据、科学数据。这三种数据基本上公共数据和科学数据都有一种共享的需求,而商业数据虽也共享,但是是有条件的共享,是有合作的有对价的有盈利的最后是个人数据,大数据时代就是把个人数据汇集到一起以后,赋予了一些新的价值所以我们说大数据时代根据数据的不同分类,但是总而言之一定是数据汇聚到一起,这种大数据才有价值。具体到技术上它也有一种分类方法,大数据可分为结构化的数据,它是比较成熟的,有数据库模型可以方便的检索和分析还有非结构的数据,它没有统一的标准规则,比如说爬虫技术爬到的,还有在网上输入关键词检索到的一些数据这样的一些数据,如果要做数据处理的时候,也有数据的合规的需求


大数据之所以有价值,就在于它能预测。对于一个国家来说,它能够预测各种各样的政治风险,能够进行国家的治理。对于商业机构来说,基本上可以做到精准的营销。目前我们可以感受到,这种预测在精准广告方面应用的非常广泛,零星的检索词、打电话时提到过的词汇,都可能导致未来会收到相关的一些广告。美国谷歌是全球最大的这种数据公司,它的数据有专门的数据公司进行处理,几乎覆盖了全球所有的商业模式。之所以欧洲始终都在打击谷歌的数据商业模式,就是因为它掌控了所有未来潜在的电子商务模式的发展趋势。

 

我国数据立法及保护原则


许多发达国家都预见到了大数据的价值,在2000年、2010年的时候,均已发布了这种国家发展战略。中国在2015年才开始,已经稍微落后了一点,到了2019年的时候,我们中央的文件里就把数据作为继劳动资本、土地知识技术管理之后的另外一种生产要素,那么就意味着进入到市场的阶段了。


所以在2020年的时候,中央的国务院的文件就提出培育数据要素市场的这样一个目标,2020年10月,又进一步提出要建立数据产权的交易市场。但是到目前为止,交易中心交易的数据量远远没有达到大数据产业发展战略目标的期望值,这是因为大数据利用有非常严格的法律规制——之前仅在或者中有所体现,现在新出台的以及给出了一个非常详尽、严格的法律管控的范围,使其法律门槛迅速提升。


现在中国在数据保护和利用的问题上,有两条轨道,一个轨道是以网信办为主的执法部门,其下有一系列的执法机构,严格进行数据应用监管,比如对网上的各种APP的执法、调研;另一个轨道是以发改委系统为主的,鼓励数据的应用、交易,实现以数字经济为发展目标的国家发展战略。这两条轨道并行,才能够保证在数据合规的情况下,让数字经济飞速发展。


不论是公共数据还是商业数据,都是由个人数据构成,在处理个人数据的基本原则上,我国中给出了一个非常明确的要求,就是合法、正当、必要、诚信,其下再展开诸多具体的原则。对于敏感的信息以及未成年人的信息,在当中都提到了“重要数据”,加上国家安全数据,它的通知同意、跨境以及评估都有十分严格的要求。而且这些基本原则贯穿在处理个人信息或者叫处理数据的全过程当中。所谓的收集、储存、使用、加工、传输、提供、公开、删除,都要遵循。


举一个例子,告知同意原则,就是在收集别人信息、软件升级、发生数据泄露、进入市场、加工、分享等众多环节都要告知,如果要跨境传输,还要去评估、审查。同意的内涵也进一步丰富,增加了可撤回的概念。比如说在网上订机票,大部分人跳过阅读长长的合同,直接拉到下边点击同意,其实如果后来发现有对自己不利的情况,还支持同意的撤回。同意具有明示同意、默示同意,很多企业就在上边做文章,比如不通过点击,只要登陆企业主页就叫同意,这样的陷阱是不可以的,中规定,同意必须是明确的、主动的、在充分知情的情况下去同意。举个例子,免密支付就是一个陷阱,像在使用打车软件时只要确定约车就直接付了车费。如果要想撤回这个免密支付,还要去找设置或客服,经过种种环节取消,这个也是不可以的。由此可见,对个人信息的要求是非常之高的。


全球主要国家和地区数据立法分析


在我们国家的法律上,一直沿用个人信息这一个概念,但实际在国际上像欧盟的GDPR,即通用数据保护条例,它定义或它的保护的内容,叫personal data,翻译为个人数据。美国的法律中,基本它的法案的名称都叫隐私法,但它的隐私法里面保护的内容也是个人信息。再如台湾地区,它的立法的名称就叫个人资料保护法。所以我们看到,虽然其名称不一样,但内涵是一致的。在实践当中,比如企业合规制定政策,叫隐私政策亦或是个人信息保护政策,都无所谓。出于对受众的考量,如果业务是在国际上,最好称之为隐私政策,如果业务主要在国内,就称之为个人信息政策、隐私官或信息保护官。


关于个人信息保护,我国在法律上的规定是有一个历史演进过程的,不同的法律中个人信息定义还在文字上略有差别。比如,当时是首个法律上定义公民个人信息的,讲到的是“能够识别公民个人身份的信息”,它强调的是具有识别性。


那么到了网络安全法的时候,这种识别性的表述就变成了“单独或者是与其他信息组合能够识别自然人身份的”,这一类的信息也属于个人信息,也必须要合规加以保护。比如今天没有任何一个人透露我在这里做讲座,但是有人可能会通过我打车的轨迹,通过我入校门的轨迹,通过法宝发布的一些信息直接定位我在这个时间与地点做了这样的一个讲座。所以像这样一些组合的信息去识别一个人也应该是在法律保护范围之内。


接下来直接沿袭了的一个定义,但是它略有一点区别,讲的是特定自然人,加了“特定”二字,但它前面的前缀都是叫“单独或者是其他信息组合识别”。


比较可惜的是,中没有沿用上述概念,讲的是“已识别或可识别的自然人的各种信息”,“已识别和可识别” 与“单独和组合识别”实际上是有区别的。


从简单的逻辑上来看,单独或者组合识别的范围更广,已识别或可识别的范围稍微窄一点:已识别是指拿一个身份证号码就能识别出来,可识别是指拿一些信息能够识别出来,但并没有说组合。而组合又没有条数的限制,如果用100条信息,什么人的画像都可以画得非常精准。的制定参考了欧洲的GDPR,直接引用了其中个人数据的定义。但是中没有关注到GDPR相应条款中后面的半句话——有关的一个或多个特定因素来识别人的信息,所以GDPR里面是将“已识别和可识别” 与“单独和组合识别”都涵盖在内的。


再来看美国加州的《消费者隐私保护法》,名称叫隐私法,但是实际上它的定义就是个人信息,包括了消费者以及消费者家庭,也就是说这部法律它不仅管到个人上,还管到他的家庭信息。家庭信息,包括煤气、水电费等信息,甚至包括家庭垃圾排放的信息。如果这些信息被收集了,也可以做预测:比如家庭排放许多高价值消费的垃圾,可能资金的来源会有问题;甚至现在中国也有一批企业,特别的希望调查某一个小区的水电煤气的消费量,以预测这户家庭是不是经常住在这个地方,来预测这个地区配备多少用电量,配备多少管道煤气的输送量,实际上它还可能用于其他更多的目的。所以像这类的信息在美国的这部法律当中,未经授权是不可以收集的,但我们现在很多小区把这些信息就直接给出去了,认为要是做投资、做资源的配备,就应该给出去。


重点介绍一下美国颁布的《通讯协助执法法》,它要求所有的通讯电信设备商必须有后门,即必须带有监听功能,令联邦政府能够实时监听。所以为什么特朗普咬定中国企业所有的电信设备里面都是有后门可监听的,是因为他们的法律要求、他们的运营商就是这样。现在美国把这部法律又扩展了,不但适用于电信运营商和电信设备商,还要覆盖所有宽带互联网通讯的企业,所以用到美国所有的产品,一定是可监听和有后门的,没有就是不合规。


还有一部法律在美国也是非常重要的,叫《澄清域外合法使用数据法案》,它赋予了美国政府机关直接调用在美国企业的海外数据的权利。只不过在这里面也提到了,如果美国政府或者是机关想要调取的话,必须要有法官的搜查令,但向法官要一个搜查令是非常容易的。


美国的执法是FTC, FTC大多数在数据方面的案件都是以行政和解、巨额罚款为结束。比如说他对Facebook和谷歌的这种罚款。FTC每年颁布评估报告,评估报告里面包括各国的企业,也包括中国的企业。所以正因为这样,FTC每年发布的报告,在美国就形成了所谓的隐私法学,也就是说企业和律师想要关注美国的隐私保护的现状,不用去看其他的教科书,就看FTC的报告就可以了,这也形象的凸显出它的重要性。隐私保护与技术发展是美国发展历史的两辆马车,而且隐私是美国民主社会从一开始就维护的核心价值,所以它就会以隐私或者是数据保护为由,把它上升到一个很高的地位来对其他国家的企业进行制裁,这就是数据贸易壁垒。


再来看欧盟的立法,其实是基于它人权保护的历史,1980年的OECD,即《关于保护个人数据隐私和跨境流动指南的建议》,奠定了现在GDPR的基础。GDPR的范围比我们更广,乃至包括生理的、心理的信息。实际上很多公司都在挖掘这一类的业务,比如在国外就有通过分析某一个交互平台上使用者对某一篇文章点赞的心理表达,来进行数据分析。它可以预测或是干扰政治选举,或者是可以干扰消费心态。所以说欧洲的GDPR是包括了心理的、文化和社会特征的,这些信息都属于个人保护信息的范畴之内。GDPR还着重关注了被遗忘权和可携权,保证了在特定情形下,用户可请求删除、获取和移转相关数据,这给我国目前的立法发展提供了非常重要的参考。GDPR当年颁布的时候非常严格,虽然是欧洲条款,但是只要其所加工的个人信息与欧洲的公民有关,或者与欧洲的产品与服务有关,即使是非欧洲组织也会受到此条例的影响。但后来发现这会制约、影响大数据产业的发展,所以也开始逐步放宽了。不过它在全球的选择性执法意识也非常强烈,比如对美国大型公司的制裁,所以现在美国面对欧盟的高标准的要求,开始调整了政策。这也是我们中国企业调整政策的未来的方向和趋势,也就是不可能做到全球合规,只能做到区域合规,然后分国家地区来去管理。

 

企业数据合规政策及实践


数据合规,首先第一就是要有隐私政策,没有隐私政策,形式要件就不符合。所以各大国有企业第一个任务就是把隐私政策全都写好。尽管隐私政策是一个形式,几乎没有人阅读,但是也要有,因为有了就证明是善意的,就形式合规了,有可能就不起诉而只是罚款了。隐私政策写的好一点,罚款也可能不那么高了,这是交给社会的一个监督标准。


在合规实践上,要做到定期更新评估监督、制定不同服务类型的个人信息保护政策、总部及各分支机构人员培训这三个环节的良性循环,在事前及事后都制定详细的措施,做到事前保障安全、事后降低风险损失。透明度也是非常重要的一点,要做到负责任的信息共享,详尽透明的公布自己每一个环节涉及到的信息使用情况。


在隐私政策的制定中,有两个立场,一个立场就是法律风险的防控,要保证高管不被刑事处罚、公司不被行政处罚,这是最低的法律合规的要求。另外一个更为高要求的立场就是在消费者的体验上、从企业社会形象上来感受,以高标准规范自己的隐私使用政策,会取得非常好的社会效果,形成企业与市场良性互动,这是我们最希望看到的。



背景资料:
为响应国资委深化法治央企建设的号召,北大法学院秉承法治初心、坚守法治信念;北京大学法学院主办,国务院国有资产监督管理委员会政策法规局指导,北京大学中国企业法律风险管理研究中心、北京大学法律人工智能研究中心,北大法宝协办的2021年央企法治与合规线上论坛,于2021年12月29日召开。来自北京大学法学院、国务院国资委政策法规局,以及70余家央企国企法务/合规部门代表,近1400人在线参加了本次论坛。
北京大学法学院教授,博士生导师,北京大学知识产权学院常务副院长,北京大学粤港澳大湾区知识产权发展研究院执行院长,北京大学人工智能研究院双聘教授张平出席论坛并做了《数据合规的全球立法及实践》的精彩演讲。北大法宝智慧法务研究院经张平教授定稿和授权,本文为张平教授的演讲稿全文。


-END-


编辑排版丨王梦雨

审核人员丨蒋秋怡

本文声明丨本文章仅为交流之目的,不代表北大法宝的法律意见或对相关法规/案件/事件等的解读。 


▼往期精彩回顾▼


迈向合规管理强化年 | 2021央企法治与合规线上论坛张平教授主编 |《中华人民共和国个人信息保护法理解适用与案例解读》《中华人民共和国数据安全法理解适用与案例解读》
中国数据合规制度2021年总结与2022年展望
重磅发布 |《中国上市公司数据合规案例研究报告》


点击下方公众号名片

获取更多信息


继续滑动看下一个

张平教授:数据合规的全球立法及实践

向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存