安理观法丨数据新时代：中国企业之生存之道

伴随数据开放、交换、利用而来的，是令人堪忧的隐私保护、数据安全现状。小到个人信息滥用，用户隐私泄露，大到数据黑产横行，个人的人身财产安全，乃至公共安全、国家安全受到威胁——数据保护问题早已成为世界各国“屁股上的痛点”（pain in ass）。2018年，欧盟酝酿已久的《通用数据保护条例》（GDPR）出台，甫一现身便激起剧烈反响。这个号称史上最严的个人数据保护法案，迫使技术、银行、广告、医药等各行各业作出大幅度的改变。随后，美国加州也通过了美国最严厉的数据保护法案，《2018加州消费者隐私法案》(CCPA)。

中国现阶段与数据相关的产业，更多地呈现出一种粗放发展的态势，企业对于个人信息的过度开发利用，信息系统漏洞导致的数据泄露，数据权益边界不清引发的不正当竞争，此类种种情况屡见不鲜。近期，仅金融机构侵害消费者个人信息而遭受的罚款，就达到了上千万人民币。

另一方面，对于活跃在欧洲市场上的科技公司而言，GDPR一度成为一座难以攀越的大山。据不完全统计，近两年因违反GDPR而开出的罚单已经达到3亿欧元，其中不乏美国科技巨擘谷歌、脸书、推特、苹果的身影。因为这些前车之鉴——无论是美国科技公司在欧洲市场上的惨痛经历，还是沸沸扬扬的Tiktok海外困局，在征战海外市场的征途上，很多中国公司都因为数据合规问题“望洋兴叹”，纷纷采取迂回战术，与数据利用息息相关的业务，诸如互联网、AI等，几乎都避开了欧洲市场——在GDPR的认证列表中，仅有手机、无人机等国产硬件在列。

为顺应这股世界潮流，以及为应对国内日益严峻的数据安全现状，中国亦加快立法脚步，出台《网络安全法》（以下简称“网安法”），并将个人信息权益纳入《民法典》人格权编，辅以下位的国家标准、法规规章、规范性文件，逐渐构建出网络安全和数据保护的法律框架。另一方面，《数据安全法（草案）》（以下简称“数安法”），《个人信息保护法（草案）》（以下简称“个保法”）先后公之于众，意味着数据法律体系日渐趋于完整严密。

而立法界以摧枯拉朽之势布下的新局，自然为身在其中的企业带来了巨大的合规压力。

在网安法的规制下，我国已经进入网络安全等级保护2.0时代，等级保护制度成为法律层面的义务，作为义务主体的网络运营者，不仅包括互联网企业、大数据中心、云计算平台、公众服务平台、基础网络、重要信息系统、工业控制系统、物联网等等，也包括企业日常经营中不可或缺的网站的运营者，可以说辐射面极为广阔。为应对网络安全审查的要求，网络运营者必然要按照相应的标准，分级、分类、分重点地去做合规工作。

在数据领域，数安法和个保法这两部基本法草案的出台，确立了我国数据安全管理和个人信息保护的各项基础制度，为目前法规林立、权责不清的数据保护现状厘清了方向。总得来说，数安法作为《国家安全法》的下位法，重点关注重要数据的国家安全问题，而个保法则在此基础上关注个人信息权益与数据流动、利用等问题。二者相结合，从数据安全与权益保护两个方面，涵盖数据生命周期的各个阶段——采集、传输、存储、处理、交换、销毁，不可谓不全面。

数安法和个保法这两个草案，主要体现以下七个亮点：

一是数据分级分类保护。这项制度呼应网安法的网络安全等级保护，确立了国家分级分类的数据监管模式。

二是收集使用数据要合法正当，以最小必要为原则。一方面，个保法确立了以告知个人并取得同意为核心的基本规则，辅以一些例外的合法事由。另一方面，数安法又从数据交易的角度，要求企业审查数据来源是否合法，比如数据交易中介机构在提供中介服务时，对数据来源和交易双方身份负有核验及留存记录的义务。

三是用户个人权利的扩充。在民法典已有的基础上，个保法赋予了个人信息主体更多的权利，如知情权、决定权、查询权、复制权、更正权、补充权、删除权、解释权、撤回权，并且让权利落地，明确要求企业建立个人行使权利的申请受理和处理机制。

四是数据交换中的权利义务分配。当企业委托第三方处理个人信息时，应当与受托方约定双方权利义务，并对受托方的数据处理活动进行监督。双方对外则要一视同仁地承担连带责任。

五是数据立法的域外效力延伸。数安法与个保法均设立了长臂管辖，即不仅对中国境内的数据处理行为发生效力，对于在境外处理的“境内自然人个人信息”，只要符合“向境内自然人提供产品或者服务为目的”、“为分析、评估境内自然人的行为”及其他规定情形时，也受到国内法的管辖。

六是数据跨境运输的问题。对于要运输到境外的数据，个保法要求企业告知个人并取得单独同意，在合规路径方面，规定了安全评估、个人信息保护认证、与境外接收方订立合同等方式。如果是关键信息基础设施或处理数据达到规定数量的企业，则要以境内储存数据为原则。

七是相关企业面临的法律责任。首先，两部草案都采用了双罚制，除了针对企业，还确定了负责的主管人员和其他直接负责人员的法律责任。其次，行政处罚由轻及重，从约谈整改的温和手段开始，直至五千万或营业额5%的罚款上限，令人齿寒。

面对如今“国内大循环为主体、国内国际双循环相互促进”的经济政策，企业也需要做到国内、国外两手抓。

正如前面所言，国内逐渐建立起网络安全和数据保护的基础性法律框架，涵盖数据全生命周期，企业可以从技术支持与合规管理两方面出发，构建一个完整的企业数据保护体系。

首先，针对分级分类制度的要求，企业一方面要对信息系统进行定级与整改，建立专业的安全管理团队来维护、保障网络系统安全，另一方面，要对数据进行贴标签和分级，采取相应的加密、去标识化等安全技术措施，尤其要关注关键信息基础设施，重要数据，以及个人敏感信息，设立相应负责人，落实数据安全保护责任。

其次，针对数据生命周期的各个阶段，尤其是个人信息的收集、使用、交易、传输，企业要建立内部的规章制度和标准程序，采取组织措施和技术措施，对每一个风险点和合规点进行管控。特别是与第三方合作时，要审核供应商的数据来源是否合法，评估接收方的数据保护能力，并签订数据处理协议，厘清双方在数据保护及合规处理方面的责任义务。

再次，特别针对数据的跨境运输，要建立起内部审查流程机制。除了按照数安法、个保法的规定，践行关键信息本地化存储、告知同意、安全评估、保护认证等法定义务，还需关注后期《个人信息和重要数据出境安全评估办法（征求意见稿）》《个人信息出境安全评估办法（征求意见稿）》等可操作性强的规范性文件，以落地相关配套措施。

最后，企业不仅要关注立法动向，还要关注行业协会在数据合规具体规范上的制定动向。比如金融业行业已经制定了《个人金融信息规范》《金融数据安全 数据安全分级指南》《中国人民银行金融消费者权益保护实施办法》等一系列实操性强的规范性文件，落实金融信息的分级分类保护。紧随其后的是其他与数据处理息息相关的重点行业，比如互联网、医疗保健、汽车等等。

除此之外，中国企业在开拓海外市场时，面对他国的管辖，还会遇到一些新的变数，例如陌生的宗教文化，充满博弈的国家关系，以及更为精密的数据保护规则。

如前所述，欧盟在数据保护问题上手腕强硬，GDPR的管辖效力辐射极广，即使企业未在欧盟设立经营场所，只要对欧盟境内的个人提供产品、服务，或者对他们实施监控，就要受到GDPR的约束。同样的“长臂管辖”在其他国家的法律中也有体现，可以说，只要中国公司将海外客户作为业务目标，他的数据保护能力很可能就要受到别国“试金石”的检验。因此，研读、跟踪目标国的数据保护法规是首要之任，在此基础上，需要企业分析自身数据保护现状与GDPR等所规定的义务之间的差距，依据不同合规点带来的风险程度，合理调配资源，从组织、流程、规章、技术等层面构建企业数据保护体系。

此外，中国公司在海外市场面对意识形态歧视，以及大部分西方国家对其国家安全怀有的担忧。可能需要将数据中心设立在他国境内，在与中国总部进行数据传输活动时，严格遵守所在国法律。甚至采取“去中国化”策略，尽量避免与中国总部发生数据传输活动。除此之外，是否积极配合监管机构的调查与整改，表现出尊重当地法律与文化，面对质疑时是否不卑不亢，有无迅速的危机反应与处理能力，都是中国企业在面对他国歧视时的应对原则。

数据新时代的展望，可以从两个角度追踪观察。一是数据人格，这关乎个人的尊严与自由，所以民法典将个人信息权益纳入人格权编，与隐私权地位相当，而数据利用最核心的合法性基础也是个人同意。二是数据资产，数据已经在中共中央以及国务院相关文件中，正式成为土地、劳动力、资本、技术之后的第五大生产要素。数据作为资产具有浓厚的财产权色彩，是经济发展道路上的兵家必争之地。

从长远的视角来看，预测我国将会在数据利用领域树立新规，与数安法，个保法形成三足鼎立的态势，在数据保护的基础上鼓励数据挖掘、流通、交易，进而在国际数据规则的制定中抢占一席。维护我国数据主权的同时，与他国的数据规则接轨，共同磨合数据的跨境与合作机制，从而保护中国企业，分享数据新时代的红利。

* 感谢沈文婧对此文的贡献。