数据合规2022年展望
朱玲凤“数据合规展望系列”
疫情伴随我们的生活也到了第三个年头。疫情序幕开启打乱了我的第一篇数据合规2020年展望传递给大家,却在疫情过去半年后被频繁转载,促使我希望能每年能产出一篇数据合规展望的小小想法,以我的一个小小视角折射整个行业的微妙变化与趋势。没有想到的居然是疫情仍在无数预测与变化中伴随着我们的生活,迎来了第三年的数据合规展望的撰写。貌似我连着写了三年的数据合规展望与疫情的关系是偶然,然则不是,疫情的突如其来加快了经济的大变革,给数字经济的快速发展加了一剂催化剂。数字经济中不容忽视的就是数据合规,这是数字经济发展的安全底座。2021年是如此艰难和漫长的一年,甚至可以说是数据合规的黄金时代。让我们回顾,让我们展望。
一、回顾2021年:我预测到了什么?
1.预测:数据合规行业进入了高速发展 VS 现实:发展趋势更为强劲
《数据合规2021年展望》预测随着人才供给和市场需求的双向拉动,以及《个人信息保护法》等法的出台,数据合规已然成为独立的综合学科和岗位,并将继续保持高速发展的态势。
回顾2021年来看,数据合规人才行业发展趋势更为强劲,尤其相比疫情下各行各业的就业和薪酬被频频负面影响的情况下。从宏观视角分析,从事数据合规岗位的雇员数量依据《安永联合IAPP发布2021年度隐私治理报告》,“截至2021年中期,受访企业平均有18名全职或兼职员工从事隐私工作,在欧盟的隐私工作员工数量比(平均:9名全职,12名兼职)在美国的(平均:6名全职,11名兼职)要多”。再从数据合规岗位的平均收入来看,依据《2021 IAPP Privacy Professionals Salary Survey》,“数据合规岗位人员的平均年薪接近14.1万美元,并在持续提高中,比2019年同比高出6000多美元”。
从微观视角分析,《个保法》明确规定“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督”,实则设立了数据合规的法定岗位。更进一步而言,2021年出台了《广东省首席数据官制度试点工作方案》,将选取6个省直部门、10个地市开展试点工作。
2.预测:移动应用已经形成综合治理体系 VS 现实:APP监管治理网严密,操作系统更进一步
《数据合规2021年展望》预测监管机构持续纵深推进APP个人信息保护综合治理,操作系统、应用商店等自发展开净化移动生态的工作,预计APP个人信息保护乱象在未来一段时间内可以终结。
回顾2021年,移动生态治理从移动应用、应用商店逐步拓展到了移动生态中的其他重要形态SDK和小程序,2021年10月15日,“工信部下架96款侵害用户权益APP、通报3款违规SDK”首次通报SDK;2021年11月3日,网信海南“关于对‘[某]自助点餐’等11款小程序违法违规收集使用个人信息情况的通报”首次通报小程序。[1]当前小程序都逐步增加了隐私政策以及用户同意的机制。移动生态个人信息保护治理进入常态化监管,通过“回头看”等项目严格落实个人信息保护合规要求。
透明度成为了个人信息保护的主要方向之一。《关于开展信息通信服务感知提升行动的通知》要求“双清单”,即各相关企业应于2021年12月底前完成建立已收集个人信息清单和与第三方共享个人信息清单,并在APP二级菜单中展示,方便用户查询。iOS推出了追踪许可框架,要求APP就访问IDFA追踪用户的行为向用户告知目的与征得用户同意,动摇了移动广告市场的根基,造成了行业内的讨论,逐步向保护用户隐私的广告模式转变。iOS15进一步提出了隐私活动报告,将APP调用系统权限的行为和频率以可视化的方式提供给用户,增加用户的透明度。
3.预测:数据合规立法和标准稳步出台 VS 现实:三驾马车顶层设计构成
《数据合规2021年展望》预测“顶层的《个人信息保护法》、《数据安全法》均会生效,与《民法典》共同成为个人信息保护和数据合规立法层面的顶层设计,同时在立法和标准的颗粒度上将进一步精细化,能实现与欧盟EDPB能从车联网、员工个人信息保护、视频监控等细节方面详细规定”。
回顾2021年,9月1日《数据安全法》生效,11月1日《个人信息保护法》生效,与已生效的《网络安全法》构成了完整的三驾马车架构,如环球律师事务所孟律师所绘制的图,已经形成了3+3+N的法律规范性体系[2]:
4.预测:数据要素推动下的数据安全治理和隐私增强性技术 VS 现实:数据安全治理在规范层面得到大力推动以及隐私计算提前进入应用领域
《数据合规2021年展望》预测:在数据生产要素的充分挖掘时,数据安全会被更强地推动,数据安全管理能力可能成为组织管理的基本范畴;同时隐私增强性技术在市场需求的推动下将从实验室到实践,乃至于标准化方向发展。
回顾2021年,数据安全治理和隐私计算被充分的提上日程并被广泛的推进。从政策层面,地方数据立法层出不穷,《深圳经济特区数据条例》、《上海市数据条例》、《浙江省数字经济促进条例》,强化数据安全、促进公共数据的利用以及数据流通;国家层面,国务院办公厅印发《要素市场化配置综合改革试点总体方案》,在“探索建立数据要素流通规则”试点任务下具体提出了“探索原始数据不出域,数据可用不可见的交易范式”,”加强数据安全保护”。
从落地实施层面,基于国家标准《数据管理能力成熟度评估模型》制定了团体标准《数据安全治理能力评估方法》,中国信通院使用此标准开战了国内首个数据安全治理能力评估,截止至2021年10月共3批次33家企业完成了评估,其中90.3%的企业已经制定了数据分类分级策略,可据此实现不同类别和级别的数据在全生命周期流转过程的精细化管理,其中80.7%的企业已经部分或全部展开数据安全风险评估。[3] 强大的数据价值挖掘和数据流通诉求下,国内隐私计算等增强性技术快速地从概念验证到全面实施,如下图所示,目前超过了81%的隐私计算产品进入了试点部署或实施阶段。[4]
5.预测:人工智能的伦理问题进入研究和重点关注领域 VS 现实:人脸识别规制规则清晰和算法综合治理
《数据合规2021年展望》预测:人脸识别方面的规则将逐渐清晰,人工智能的伦理问题将进入研究,并于若干年内得到一定水平,落实到法律规制中。
回顾2021年,人脸识别的数据合规从规则、执法和司法判例多方向快速提升了规制成熟度。从2021年“315晚会”曝光线下门店人脸识别技术滥用乱象后,人脸识别的数据合规就一发不可收,势不可挡,最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干规定》、信安标委《信息安全技术 人脸识别数据安全要求》,各地监管的执法案例频出,例如,2021年 7月,杭州市市场监督管理局因某房地产公司在未征得顾客同意的前提下抓拍人脸信息,对其处以25万元人民币罚款;2021年12月,上海市市场监督管理局因某汽车公司擅自采集人脸照片,对其处以10万元人民币罚款等。
算法规制从研究层面仿佛一夜进入了监管规则,快速赶上了其他各国的监管速度,并且从与人们生活密切相关的“大数据杀熟”、“用户画像”等入手切实地进行了管控。九部委发布《关于加强互联网信息服务算法综合治理的指导意见》,提出利用三年时间建立健全算法治理机制、完善监管体系与算法生态规范的算法安全治理格局。网信办发布《互联网信息服务算法推荐管理规定》,首次提出对算法推荐的规制。这两部重要规定体现了几个重要方向:第一,首次提出算法分级分类治理,明确提出备案制度;第二,开展算法安全评估机制,以高效的识别高风险算法;第三,强化算法的正确导向性,防范算法的滥用;第四,强化以企业主体责任制为重要的规制方法;第四,保证公开透明,做好算法结果解释等。
二、回顾2021年:什么是我们没有预见的
1. 数据合规和平台经济反垄断规制接壤
平台经济反垄断在2021年有了很大的进展,并且与数字经济和数据合规密不可分。国内:发布《国务院反垄断委员会关于平台经济领域的反垄断指南》,国家市场监督管理总局对阿里巴巴集团作出处罚,认定违反《反垄断法》处以182亿人民币罚款,《个人信息保护法》对大型平台设定了类似“守门人”的机制,强化个人信息保护责任。国际:欧盟正式通过了《数字市场法》,对大型企业设定了守门人责任,尤其是在使用用户数据时的要求。
目前互联网平台经济企业在日常运营中收集了大量的用户数据,且可能产生强大的网络效应,于是导致了平台经济企业收集使用用户数据时除了符合个人信息保护相关的规定外,也避免不正确地利用数据所带来的竞争优势。
2. 跨境传输合规规则格局变化
国际上今年最受瞩目的案件无疑是Schrems II案,造成了欧盟数据跨境传输到第三国的规则重大变化,导致数据本地化浪潮进一步推起来。因为欧洲法院的裁决,欧盟与美国之间跨境传输的隐私盾被废,并导致标准合同条款(SCC)不再成为最便捷的跨境传输合规机制,仍然需要评估目的国的隐私保护水平,如果可能导致接收方无法遵守SCC的,需要采取补充措施。在IAPP与安永的联合报告里所述,受访的隐私专家表示该案产生了重大的影响,目前94%的公司都依赖SCC作为主要的跨境传输合规机制,据此在部分场景下需要增加补充措施。也出现了本地化存储和限制传输的趋势,如下图所示,8%的受访者采取了本地化存储至欧盟内,4%采取了禁止传输数据到欧盟之外,3%停止在欧盟范围内提供产品或者服务。如DIGITALEUROPE所预测的,这将导致欧盟每年减少4%的出口以及1%的国内收入,至2030,损失将达到1.3万亿欧元以及130万就业机会。[5]
国内出境安全评估机制逐步清晰,《个保法》确定了出境的合规机制,《数据出境安全评估办法(征求意见稿)》明确了数据出境风险安全评估机制,以及数据出境安全评估申报流程。同时,中国积极地参与到国际跨境规则的谈判以及加入相关国际规则,2020年11月15日,中国与其他14个国家正式签署了《区域全面经济伙伴关系协定》(RCEP)。RCEP主要在电子商务的框架下规定了数据跨境流动的内容,主要的要求是明确各成员方不能将设施本地化作为在其领土内开展业务的条件,也不能阻止为实现业务需要而开展的数据跨境流动活动。2021年9月16日,中国申请参加全面与进步跨太平洋伙伴关系协定》(CPTPP)。2021年10月30日中国申请加入《数字经济伙伴关系协定》(DEPA)。中国正在着力推进数字经济国际合作,促进跨境数据流动。
三、展望2022年:我们还是风口上的猪吗?
如前所述,三年以来国内的数据合规行业蒸蒸日上,到了2021年已经如日中天。无论从监管侧、企业需求侧和人才供给侧都可以说趋于成熟和稳定。那数据合规行业的同学们,问一句,2022年,我们还是风口上的猪吗?
当然是!正如中共中央总书记、国家主席、中央军委主席习近平新年讲话《不断做强做优做大我国数字经济》所提出的“数字经济事关国际发展大局”,提出了三项重要任务“规范数字经济发展、完善数字经济治理体系和积极参与数字经济国际合作”均涉及数据合规工作。数据合规岗位是数字经济时代的必然产物。
然则是否只要进入了数据合规行业,则如风口上的猪都能飞起来?行业进入了稳定期,各方面的需求都是更精细更深入,如出境合规、数据竞争等都是更为细化的专业方向,如在国际数据合规行业专业人才都有各自专长的方向,如用户权利处理、隐私透明中心设立、隐私计算、隐私架构设计等等。同时,在数字经济的推动下,数据合规再也不是单一的安全诉求,而且国内数据合规发展速度非常快,已经走在了全球的领先地位,需要中国式路径。
所以,2022年展望不从数据合规大局上去分析,更多从数据合规岗位专业人才角度给大家需要关注的方向,找到自己的成长路径,成为风口上真正能飞起来的猪。
1. 从独立的人才行业进一步拓展为细分领域
依据《安永联合IAPP发布2021年度隐私治理报告》,90%以上隐私团队的职责包括但不限于以下内容:隐私政策制定和流程及治理(99%)、公司范围内的隐私相关意识培训(97%)、事件响应(96%)、追踪隐私和数据保护的立法发展(96%)、现有产品和服务的隐私问题(96%)、隐私影响或数据保护评估(95%)、隐私相关的沟通(95%)、隐私控制的设计和实施(95%)、数据主体访问请求的处理(93%)等。实现上述职责需要综合的能力图谱,包括隐私法律理解和分析等法律素养、制度制定和流程管理的项目管理能力,隐私相关沟通和数据主体权利处理等涉及的沟通运营能力,隐私意识培训所涉及的培训能力和文化推广能力,隐私控制的设计和实施等产品设计、研发和工程能力,更进一步的技术方向如隐私计算,据估计,隐私计算技术的全球市场规模达到一万亿,Gartner更是它作为2022年需要探索的重要战略技术。
虽然当前整个人才行业发展趋势非常强劲,但是数据合规工作随着进一步纵深推进,对综合能力的需求更为迫切。同时当该行业人才缺口持续扩大情况下,会大量地吸引更多的人才涌入该行业。已入数据合规行业的人才就需要进一步纵深发展,在细分领域中构建能力的护城河。
2. 《个保法》落地实施推动下的执法、诉讼
以GDPR生效后的三年数据来类比,如下图所示,GDPR于2018年生效,该年的处罚案例数量仅为10例,更偏程序性。2019年执法案例数量达到100个,2020年和2021年差不多每年600个执法案例,达到了稳定的执法数量。再看国内,因APP四部委治理自2019年开始,且前期有大量的国家标准、规范性文件等,所以《个保法》执法高潮会来的比GDPR更早一些。
更进一步来说,《个保法》出台后相继出台了大量的配套性文件,各项合规要求会进一步细化清晰,而且各部委有成熟的执法经验,执法节奏仍会持续。作为数据合规人才,应当在处理不同部委在不同方面合规要求执法案例时积累更多经验,将合规要求转化为实际落地执行的组织流程和技术措施,并且对执法方向和重点有预判能力。
在个人数据保护比较有历史的国家,关于用户数据的诉讼量是不少的,更是有大量的公益诉讼,从而给企业造成更大的合规威慑力。国内已经有数据合规相关的诉讼甚至集体公益诉讼,数据合规民事诉讼案件的处理方面需要结合数据合规的专业知识以及民事案件的处理能力,包括损害赔偿的界定、举证责任倒置的处理等,都将在争议解决领域诞生一类新的诉讼案件处理人才。
3. 国际化视野下的数据合规
关注国际化视野的原因在于两点:首先,国内众多公司的业务是面向全球市场的,据据胡润研究院数据,全球共有1058家独角兽企业,分布在42个国家,221个城市。其中,美国以487家排名第一,比去年增加254家;中国以301家排名第二,比去年增加74家。美国和中国占全球独角兽总数的74%。目前业务出海,数据合规是必须谨慎对待,提前布局。
其次,即使所在公司并无海外业务,也需要有国际视野。数据合规的法律要求类似知识产权,具有国际通用性,绝大多数国家的数据合规是来源于欧盟95年指令。世界各国数据合规的法律规定变化是可能影响其他国家的立法进程的,比如欧盟和美国是不同的数据合规法律体系,在GDPR的影响下也开始筹备联邦层面的数据合规立法。所以国际上数据合规立法的变化是可能影响国内立法趋势的。更进一步而言,习总书记提出了应当积极参与数字经济国际合作,推动双边多边数字治理合作,则意味着中国不会脱离开全球化的大局。具备国际视野,可以使数据合规人才更具有前瞻性,实际推动落地工作时可避免反复改造等。
4.平台型企业的数据合规落地
平台型企业目前面临更为严格的管制,除了《个保法》等数据合规相关法律中的更高要求外,还有反垄断等法律将拥有大量用户数据作为判断支配性地位的依据以及提出了对应的滥用行为限制。平台企业因其用户量和影响性大,且负有更高的责任,导致罚款会跟高额,如亚马逊、Facebook旗下即时通讯软件WhatsApp因违反GDPR分别被罚款7.46亿、2.25亿欧元。平台型企业从实际业务情况来说,用户量巨大、后台技术架构复杂、多个产品形成闭环,所以会有复杂的数据合规场景,将导致数据合规落地机制更难实施和监控。
所以,若在平台型企业从事数据合规岗位,需要关注平台型企业在不同法律中的相关规定,合规要求的落地机制,并运用管理体系、技术工具等多种手段更有创造性地落地实施数据合规要求,实现合规与业务发展的平衡。
5. 人工智能领域的立法进一步推进,算法层面的规制更清晰
2021年国内在算法规制领域做了很大的尝试,推出了较多的规范性文件,包括《关于加强互联网信息服务算法综合治理的指导意见》、《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定(征求意见稿)》。企业方面为了实现算法的可解释性,也作出了一些尝试,如美团公布了骑手配送算法逻辑。
目前业务过程中使用了大量的人工智能算法模型,在模型设计、模型运用、模型回归等方面运用了大量的用户数据,如果使用了深度学习算法,那模型参数更是持续变化且难以解释。数据合规人员对人工智能领域的数据合规和其他合规进行落地实施时,需要充分理解算法的基础知识、算法规制规则,并在算法规制规则征求意见充分反映规范性文件的可实践性,以及在实施合规要求时准确把握各个风险卡口,落实到位。
6. 隐私保护会更侧重从用户视角出发
用户是隐私合规的中心,从用户的视角认定是否充分告知以及是否有选择权,而随着隐私合规要求的变化以及行业的变化,用户的隐私期待也是会发生变化的,这就是隐私数据合规最大的难点之一。
我们从监管侧和生态系统侧来看非常具有用户导向。欧盟今年有一个重点的执法方向就是cookie及追踪技术的管控。CNIL对GOOGLE和FACEBOOK不遵守法国法律的行为各罚款1.5亿欧元和6000万欧元。在Whatsapp案中裁决书明确指出是否符合透明性原则,应当从用户视角来分析是否能简单地了解所有数据处理活动有关的信息,包括展示形式和内容。从生态系统管控侧来看,iOS着重治理了用户追踪行为,iOS14.5推出追踪透明框架,让用户选择是否同意被追踪;iOS15推出了隐私活动报告,让用户可以透明地了解各APP权限调用的情况。
数据合规人员应当经常以用户的视角来分析合规机制的产品设计和数据收集、使用的合理性,以用户研究的视角分析合规性。
第三年的数据合规展望,从一个人才发展的视角提出了可以关注的数据合规方向,希冀能给大家一些深耕的方向和启示。期待明年同一时间再来关注我的2023年数据合规展望。
王源:中国数据合规制度2021年总结与2022年展望,https://mp.weixin.qq.com/s/gVUZpFJ1k6mQwuWikRLtPQ
环球律师事务所孟洁律师团队:《致礼2022 成熟的数据合规年——监管动态总结与趋势预判》。
中国信通院:《大数据白皮书(2021)》,http://www.caict.ac.cn/kxyj/qwfb/bps/202112/P020211220495261830486.pdf。
中国信通院:《隐私计算白皮书》。
IAPP-EY Annual Privacy Governance Report 2021,请见 https://iapp.org/media/pdf/resource_center/IAPP_EY_Annual_Privacy_Governance_Report_2021.pdf