热点解读 | 从滴滴APP下架看企业数据合规

在《数字经济蓝皮书·基础篇·2019》中对“数据”作出了定义，“数据是数字的一种重要的表现，数字才是基础。数据往往是配合量纲等辅助参数，才能表征具体的含义和特征。它仅仅能够代表一批静态的数字所表达的数量概念。而且数据往往是成批出现的，在一批数据中，往往有一些是无效数据，要被处理过才能使用。数据的内容复杂多变，但数据的属性比较单一，远远没有像数字那样包含丰富的内涵。数据在保持原始性的前提下，数据可重复使用。”[1]在市场经济中，数据合规往往与公共领域的国家安全和私权社会的信息保护紧密相连。违反法律规定，大到国家安全，小到企业生存、投资者利益，都会受到不同程度的影响。

首先，数据合规关乎国家安全。数据安全是国家安全网络体系的重要组成部分。根据《国家安全法》第二十五条规定，国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。数据本身是以电子或其他方式对信息的记录，地理、人口、交通道路、公民信息等均属于数据的范围，无论是敏感信息、数据汇总、数据加工等，数据对国家安全、公共利益有着重要影响。

其次，数据合规关涉企业健康发展与公民人身权益。对于大数据公司而言，数据合规意味着企业生命的常青，对个人而言，数据泄露关乎财产、生命健康。目前，随着信息网络的发达与繁荣，大数据公司如雨后春笋一般迅速增长，但是，不少公司违法违规采集市场主体的数据，侵犯自身和市场主体信息权利，也给市场公平竞争带来消极影响。2021年3月11日，工信部通信管理局发布《关于侵害用户权益行为的App通报》，其中草料二维码就因为违规收集个人信息被纳入通报整治的范围。2017年，为了避免大数据公司滥用技术损害社会信用、公民信息，中国人民银行征信管理局下发《关于开展金融信用信息基础数据库接入机构征信信息泄露风险自查的通知》(简称《通知》)的特急文件，要求人行各分支机构组织开展人民银行分支行征信查询和金融信用信息数据库接入机构征信信息泄露风险自查工作。此前，“徐玉玉被电信诈骗案”中，已经收到大学录取通知书的徐玉玉因电信诈骗，将学费一次性打入对方提供的账号后，发现被骗，并且突然晕厥后失去了宝贵的生命。

再者，数据合规影响财产安全。2020年，某银行因泄露客户信息遭致百万处罚，中国银保监会消费者权益保护局发布通告，就该银行未经客户本人授权，向第三方提供个人银行账户交易明细，违背存款人保密原则，违反《商业银行法》和银保监会关于个人信息保护的监管规定，损害消费者信息安全权、消费者合法权益的行为，进行了处罚。无独有偶，在监管部门清理活动中，多家银行均受到处罚与整顿，个人信息受到国家的保护日益增强。

2018年5月25日，《欧盟数据保护通用条例》（General Data Protection Regulation, GDPR）全面实施，关于公民信息的保护覆盖儿童个人数据、针对基因、生物识别、健康数据等内容。在跨境数据领域，2018年3月，签署生效了美国的《澄清海外合法使用数据法》，保护信息在全球范围内日益达成共识。

（一）对个人信息的合理使用

所谓个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

2019年7月24日，美国司法部、联邦贸易委员会与Facebook就保护用户隐私达成一项为期20年的和解协议，公司设立独立委员会加强对隐私数据使用监管，CEO定期向FTC汇报公司遵守隐私保护情况，若出现超过500名用户隐私受到侵犯的情况，FTC将要求公司在30日内向其报告数据泄漏情况。[2]个人信息何以在美国引起了轩然大波，主要在于个人信息涉及到公民基本权利。我国《民法典》第一百一十一条规定个人信息受法律保护，任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

个人信息合理使用，包括几个层面：（1）信息取得合法，即符合《网络安全法》《消费者权益保护法》等有关法律规定，不能违法取得；（2）信息安全，不能公开、散布个人信息，为信息提供安全的“容器”；同时，在收集阶段、注销阶段，需要告知个人，内容正确、安全保护与及时补救[3]；（3）不得非法收集、使用、加工、传输、买卖、提供他人信息等，信息本身是有价值的，但是，违法收集信息并获利是违规的。

此外，我国《刑法》《最高人民法院 最高人民检察院 关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等对于刑事领域的有关个人刑事犯罪的定罪量刑进行了具体规定。

（二）对企业数据的管理合规

企业层面，如能源、教育、信息、数据公司等，对于数据的合法管理、公民信息的合法使用需要关注到对于公民信息的合理使用，避免泄露因工作需要对客户、消费者的信息泄露。具体而言：

1. 责任到个人。在技术上对于数据锁定，能够通过审查访问日志找对泄露人员[4]，避免无法追责，或承担单位责任，而其他工作人员也因为短期利益纷纷效仿，最终导致公司利益受损，甚至违法犯罪；

2. 建立符合企业文化、业务领域的数据合规管理体系，从信息录入、信息管理、信息输入、大数据分析等整个流程的合规管理，在不同环节，信息的管理有不同的特征，只有数据的全流程管理才能避免遗漏合规管理，实现企业自上而下、方方面面的合规；

3. 培育合规文化，合规不是海市蜃楼、不是条条框框，而是一种潜移默化的文化、无孔不入的理念、人人懂得的文化，合规文化的培养，需要学习法律法规、企业合规制度、学习他人经验教训，才能将合规的概念、品质、影响渗透到企业及其员工的日常行为中，而非停留在表面、流于形式。

（一）严格依法，熟悉与业务有关的法律法规合规文件

我国关于数据合规的法律主要有《国家安全法》、《网络安全法》、《数据安全法》，以及将要出台的《个人信息保护法》。此外，各行政部门规章、规定、标准、规范等也是数据法律规则体系非常重要的组成部分。对于上述法律法规，企业内部有关部门要进行认真研读，明确对数据收集、存储、使用、加工、传输、提供、公开等每一个环节的权限，严格遵守法律法规规章对企业数据利用的规制范围，明晰哪些可以为，哪些不可为。如建立数据合规相关政策文件清单及相关内部制度管理办法等。

（二）理念先导，合规意识与合规制度相辅相成

首先，合规意识的培养需要专业化、体系化、规范化的定期、不定期培训。企业应当通过合规官、外聘合规领域专业律师组织开展数据合规培训。企业经营者、管理者要有数据合规的意识，对其重要性、必要性有充分的认识，进而将数据合规、数据安全意识在企业日常经营管理中向下传递，同时兼顾国家安全与社会公共利益。

其次，高度警惕不合规可能出现的危害。数据的收集、存储、使用、加工、传输、提供、公开，每一个环节都可能有合规风险。对于企业自身而言，数据不合规将面临警告、罚款、暂停业务、停业整顿、吊销许可证或营业执照等行政处罚，对企业的商誉无疑会造成巨大的损害。对于企业负责人，则有可能面临刑事处罚。

再者，建立企业专属数据合规管理制度。数据合规风险防范需要从文字走向实践，让合规覆盖制度、机构组织、文化理念等，同时，加强对合规的监督与执行，保持合规的独立与保障功能，结合企业实际制定合规制度，保障合规制度的效力与执行力，尤其是避免合规流于形式，缺乏对企业应有的保障功能；在责任承担方面，要设置责任到人，人人讲合规才能打造一支合规战队。

（三）三省吾身，企业内省矫正不规范行为

《论语·学而》 曾子曰：“吾日三省吾身，为人谋而不忠乎？与朋友交而不信乎？传不习乎？”个人需要如此，何况在市场竞争中，面临如此复杂环境的企业。企业对于经营、组织等活动中是否合规行为需要进行定期、不定期检查，尤其是出现问题、出台新法的时候，需要及时自我检查，如何解决问题、完善合规制度，避免损失、提升企业抗风险能力，同时，自查自纠有利于及时整改自身的问题。