强化数据治理背景下企业的数据合规体系建设（上）

1

（一）域外数据保护监管严格 

1. 全球多个国家制定数据保护相关立法

随着越来越多的产品和服务线上化，数据保护以及网络安全的重要性日益凸显，现今全球已经有130多个国家制定了数据保护相关立法。例如，美国的《国家安全与个人数据保护法》（National Security and Personal Data Protection Act of 2019）《加州消费者保护法》（California Consumer Protection Act 2020），欧洲的《通用数据保护条例》（The EU General Data Protection Regulation，GDPR），俄罗斯的《个人数据法》（Personal Data Act 2015），加拿大的《数字宪章》（Digital Charter 2019），印度的《个人数据保护法》（Personal Data Protection Bill 2019），澳大利亚的《消费者数据权利法案》（Consumer Data Right 2019）等。

纵观域外多国的数据保护立法发现，在个人数据及隐私保护领域，对于个人信息的保护重点是“隐私保护”。以美国为例，美国的数据隐私保护主要通过政府监管和隐私诉讼的方式来实现，在联邦层面和州层面均有相关的立法。例如，在联邦政府监管层面，有针对消费者保护的《联邦贸易委员会法》（The Federal Trade Commission Act, FTCA）、针对医疗记录的《健康保险隐私及责任法案》（Health Insurance Portability and Accountability Act, HIPAA）、针对儿童的《儿童线上隐私保护法》（Children's Online Privacy Protection Act, COPPA）等法案；在州层面，有保护消费者个人信息的《加州消费者保护法》（California Consumer Protection Act, CCPA）、伊利诺亚州的《生物识别信息隐私法案》（Biometric Information Privacy Act, BIPA）等法律。美国联邦政府通过隐私权保护的方式保护个人数据，主要规制政府机关涉及利用个人数据的领域，在数据的获取、发布和隐私等与数据相关的政策上制定了一整套复杂且不断变化的法律、法规和备忘录[2]。对企业来说，遵循自身的隐私政策是其合规的重要内容。 

同时，欧盟的《通用数据保护条例》（以下简称GDPR）于2018年5月25日生效，对于个人数据的保护标准非常之高，突出表现在凡是处理欧盟居民个人数据的企业，无论其本身是否设于欧盟境内，一律必须遵守这项规范；并且，违规罚金也相当严苛。面对GDPR，企业通常有三种选择，一是承担罚款，二是退出欧洲市场，三是做到合规。对于第一种选择，企业会被处以高达2000万欧元或全球营业额4%的罚款，且以其中金额较高者为准，违法成本非常高，因此几乎不存在愿意承担如此巨额罚款的企业。第二种路径似乎也不可行，欧洲有5亿多用户，市场规模巨大，放弃欧洲对于大型跨国企业来说，显然不是一个明智的选择。这样一来，仅剩下第三种选择即努力做到合规，这会是绝大部分企业的选择[3]。 

不难看出，众多严格的数据保护法律法规为企业的经营带来了一定的挑战，企业需要在很多方面做出改进，运营成本可能会增加，甚至会影响其收益。但是，数据保护立法也是企业加强数据保护的一个良好契机，它倒逼企业审视自己的隐私保护政策和数据处理方式，使企业的价值得到提升，创造竞争优势，同时也使企业的经营能够行稳致远。

2. 全球数据保护监管执法活跃

自2018年5月GDPR出台以来，美国、加拿大、欧盟（西班牙、法国、意大利等国）等国数据执法活动最为活跃。以欧盟监管为例，欧洲数据保护当局已开出了与GDPR有关的300多张罚单，罚款总额近3亿欧元[4]，罚款案例中不乏谷歌、英国航空、万豪等世界知名企业。除罚款外，业务强制关停、相关责任人被监禁等处罚手段对企业而言也是重大打击。

分析众多数据保护监管的执法案例发现，数据保护监管的罚款原因主要集中于以下两点：第一，未采取充分的技术和管理措施确保信息安全，如数据泄露。例如，英国航空公司因数据泄露而被英国数据保护机构罚款2000万英镑。英国航空公司因未能检测到公司的网络安全系统受攻击，导致公司掌握的429, 612名客户和员工的个人数据遭泄露，泄露的信息包括客户的姓名、地址、支付卡号和安全码，以及员工和管理员账户的用户名和密码等信息。[5] 第二，违反一般的数据处理原则。非法存储或使用个人身份信息和不遵守数据主体访问请求，是导致企业被数据监管机构罚款的另一个主要原因。例如，H&M公司因非法监控员工的行为，违反了一般的数据处理原则，被数据保护监管机构罚款3500万欧元。德国数据保护监管机构通过调查发现，H&M公司存在大范围收集和存储员工家庭情况、宗教信仰、假期、医疗情况和疾病诊断记录等个人信息的行为，并将这些信息用于评估工作绩效和作为雇佣决定的参考。[6]

3. 全球用户数据保护意识提高

《2020安永全球消费者隐私保护调查报告》结果显示，与组织共享个人数据时，63%的消费者最看重的因素是收集和存储的安全性。如果组织无法提供以上这些保证，消费者将选择其他组织进行数据共享。大多数消费者表示，他们将继续依靠已经有过接触的组织，以安全透明的方式收集、处理和管理其个人数据。另外，54%的消费者认为，组织未经其本人明确同意就与第三方共享消费者的数据的行为，会降低消费者对组织收集、存储和使用其数据的信任程度。[7]

在信息社会，科技与数据的结合，在便利和丰富了个人的日常生活的同时，也带来各种数据隐私安全问题。我们使用的社交网络、购物平台、酒店入住、出行订票等平台，一般都能获取到涉及包括姓名、电话号码、住址、浏览习惯、消费倾向等基本的个人信息，还有“人脸识别”“指纹验证”等生物识别技术也在金融、医疗、交通、支付等场景大范围使用，这些数据一旦泄露或被恶意出售，则相关个人可能会因此收到针对性的电话骚扰或诈骗行为。例如，曾经引起社会高度关注的“徐玉玉案”[8]便是一起典型的因个人信息被犯罪分子非法利用而发生的电信诈骗案件。另外，企业掌握大量员工和客户的数据，一旦泄露，企业可能因此导致资产损失、损害商业形象等难以挽回的后果。例如，2020年10月份，电商购物平台唯品会因用户数据泄露问题，致使其用户被骗数万元。这种事件的发生很大程度上影响了唯品会的企业形象，也减损了消费者对该企业的信任度。正是由于现代信息社会出现越来越多的数据安全问题，且这些问题都涉及到企业与个人的切身利益，因此，个人信息安全逐渐引起全球用户的重视。

（二）我国数据保护力度加强 

1. 新法规、指引、标准密集出台

自GDPR生效以来，海外相继出台或修订数据合规相关立法，数据合规立法已成为全球合规监管的主流趋势。[9] 我国也不例外，自2017年实施《网络安全法》以来，数据保护的立法节奏不断加快。一方面，《民法典》人格权编有一个专章对隐私权和个人信息保护进行了规定，《数据安全法》《个人信息保护法（草案）》《数据安全管理办法（征求意见稿）》《深圳经济特区数据条例》等数据安全及隐私保护专门立法相继紧密出台；另一方面，《网络安全法》管理体系逐渐形成，《网络关键设备和网络安全专用产品目录（第一批）》《网络安全审查办法》《网络安全漏洞管理规定（征求意见稿）》《网络关键设备安全检测实施办法（征求意见稿）》《个人信息出境安全评估办法（征求意见稿）》《关键信息基础设施安全保护条例（征求意见稿）》、等级保护2.0等各类相关国家标准均相继制定发布，不断完善我国网络安全的法律监管体系。

2. 执法和检查日益频繁

网信办、工信部、公安部、市场监管总局开展APP违法违规收集使用个人信息专项治理；市场监管部门开展打击侵害消费者个人信息违法行为专项执法行动。在数据保护的执法行动中，监管部门重点打击以下三类违规行为：一是未经消费者同意，收集、使用消费者个人信息违法行为；二是泄露、出售或者非法向他人提供所收集的消费者个人信息违法行为；三是未经消费者同意或者请求，或者消费者明确表示拒绝的，向其发送商业信息违法行为。在数据安全监管的日常执法活动中，众多APP因违法收集或使用个人信息而被行政部门处罚。例如，2021年1月，广东省通信管理局通报215款存在侵害用户权益和安全隐患问题的APP；2021年5月，48款网络借贷类APP因违法违规收集使用个人信息情况被通报。

企业数据合规工作不到位，将对企业的发展乃至生存产生重大的安全隐患。一方面，企业数据不合规将直接影响企业的发展。例如，2019年墨迹天气因数据不合规问题致使其自身IPO被否。另一方面，企业数据不合规也可能会面临行政乃至刑事处罚。例如，今年7月初，正值“滴滴出行”在美国上市之际，国家网信办依据《国家安全法》《网络安全法》对“滴滴出行”实施网络安全审查。审查结果认为，滴滴出行APP存在严重违法违规收集使用个人信息的问题，并通知应用商店下架滴滴出行APP。遭遇严厉审查的滴滴企业不仅因此股价大跌，同时核心业务也在短期内无法正常开展，企业经营受到了重大影响。而在之后的7月16日，国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监督总局等部门联合进驻滴滴出行，开展网络安全审查。这是自2020年4月《网络安全审查办法》实施以来的首次公开审查，同时也标志着该《办法》正式进入实操阶段。该事项进一步敲响了企业数据安全合规的警钟。[10]

2

（一）数据保护法律框架日趋完善

《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》提出，建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范，推动数据资源开发利用，保障国家数据安全，加强个人信息保护。2020年底召开的中央经济工作会议也强调，要依法规范发展，健全数字规则。

纵览我国数据保护法律框架，我国在数据保护方面秉持着个人信息保护和重要数据保护两手抓的立法思路。我国数据保护法律框架呈“两主线、多维度”的立法特点，以“个人信息保护”和“重要数据保护”为两大主线，针对这两主线的法律规范设计不仅覆盖基础性法律规范如《网络安全法》《数据安全法》《个人信息保护法》《刑法》和《民法典》，还涵盖中央和地方性法规及规章、司法解释和规范性文件。另外，需注意的是，各法律规范之间的设计和适用并非完全割裂，而是可以相互借鉴和相互联系的。例如，对个人信息的立法保护，不仅规定于《个人信息保护法（草案）》，还规定在《刑法》《民法典》《网络安全法》《未成年人保护法》等法律当中；对重要数据的保护，不仅在《网络安全法》《数据安全法》中有对重要数据发布、共享、交易、跨境传输等作出直接规定，同时，在《密码法》《档案法》等法律法规中也涉及到特定产品或服务的安全管理、数据出境等问题。由此可见，我国的数据保护法律框架在多个维度上不断完善对个人信息和重要数据的法律保障。

目前，我国的数据治理仍处于起步阶段，数据市场治理法治化程度有较大的提高空间，对数据要素权益、数据交易的分级分类制度、数据市场治理等方面仍需设计相应的数据治理机制。

（二）多头监管的数据保护执法特点

1. 多头监管。我国当前的数据市场监管呈现多头监管的特色，一个领域的数据市场治理问题往往涉及多个数据市场监管部门。例如，在金融数据监管领域，网信办、工信部、公安部、国家安全部、市场监督管理局、行业监管机关（例如，中国人民银行、中国银行保险监督管理委员会）等均有权对金融领域的数据市场进行监管执法。多头监管在执法效果上可以形成较大的威慑力，对相关涉案企业进行数据合规整改产生强有力的督促。但另一方面，多头监管也反映出当前数据市场监管存在协调不足的问题，数据市场监管职能分散，各部门监管边界不清，多头监管和监管空白并存，容易产生重复监管，难以形成数据市场监管合力。[11]

2. 专项行动。当前我国数据市场监管执法主要以专项行动为主，多个监管部门在短期内联合执法，对某一领域的数据不合规问题进行集中治理。例如，2019年1月至12月，网信办、工信部、公安部、市场监管总局在全国范围内组织开展APP违法违规收集使用个人信息专项治理；市场监管部门等八部门联合开展2019网络市场监管专项行动（网剑行动），严查未经同意收集个人信息行为；公安部组织部署全国公安机关开展“净网2019”专项行动、“净网2020”专项行动等。专项行动为主的“运动式”执法方式在短期内能解决数据市场监管面临的急迫问题，但具有被动性和功利性弱点。[12] 由于我国目前数据保护法律体系尚未形成体系性的法律与制度框架，数据市场监管体系有较大的完善空间，这使得当前各监管部门的职责边界模糊，数据市场监管执法较难划分出清晰合理的分工，联合专项治理的监管执法方式是在此短期形势下的优选方案。

2021年7月16日，国家七部门进驻滴滴出行，开展网络安全审查，表明我国数据市场监管领域的多头监管模式依然强势，也是目前整治数据市场乱象的有力手段。接下来，随着我国数据保护监管执法体系的完善，各部门监管制度规则的细化，相信数据市场监管职权分工将会更加合理明晰，监管方式也将会朝着自主化、常态化的方向发展。

（未完待续）