沙龙回顾|张建民:数据治理的最新进展-立法、执法与司法案例分析
PKUGSM BUSINESS ANALYTICS
11月9日,大成律师事务所合伙人张建民律师来到北京大学光华管理学院BA项目行业沙龙活动,与大家分享数据治理话题。
01
数据行业监管风暴
张建民律师首先以近期某企业IPO被否作为引入,发审委对其获取、使用、管理、流转用户数据合法、合规性提出疑问。虽然这不是监管部门在IPO审核中第一次关注数据问题,但因数据问题IPO被否,此次却是开了先河。
此外,2019年9月以来,数据行业经受了一场极为严峻的监管风暴,爬虫公司遭到集中整肃。公开信息显示,侵犯公民个人信息、非法获取计算机系统数据等涉数刑事案件也呈逐年增长趋势。
但张建民律师指出,这一切并非没有先兆。
2017年互联网金融风险专项整治早就提及规范催收过程中的用户信息使用。今年6月13日公安部门发起的“云剑”行动,目标之一就是“打掉套路贷和暴力催收的数据源头”。
02中国数据治理的立法脉络
张建民律师接着向大家梳理了中国数据治理的主要立法脉络。
刑法“先行一步”。因数据黑灰产的盛行,数据治理的刑事规制最早进入立法视野,成为规制数据行为的切入点。从2009年刑法修正案(七)到2015年的刑法修正案(九),再到2017年“两高”司法解释,刑事打击涉数违法行为的标准大幅降低,这导致合规风险和刑事风险界限模糊,中间几乎没有过度地带,企业及从业人员涉数刑事风险全面升级。
行政执法悄然来临。 《网络安全法》发布后,明确了数据监管的执法主体。自此,数据监管的行政执法常态化。特别是2019年以来,网信办牵头发起了APP违法违规收集使用个人信息专项治理行动。于此同时,《网络安全法》配套规则及标准规范密集出台。数据执法准据层面,呈现“软法不软、硬法不硬”的特征,“硬法”层面,《个人信息保护法》还在制定之中,已经出台的《民法总则》的相关规定还较为宽泛。这导致合规的界限较为模糊,企业及数据从业者对于“合规”认知不足。“软法”层面,各项国家标准和指南类文件规定了较为繁重的合规义务,与此同时,网信、公安部等部门却以该等“软法”作为执法依据。
民法保护初步回应。民法总则规定了“自然人的个人信息受法律保护”,也规定了“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。无论是个人信息保护还是热议的“数据资产”,均处于悬而未决的状态,具体的确认还需待《个人信息保护法》及相关法律的出台。
03
数据合规法律规制体系
张建民律师谈到,尽管数据治理的立法还有很多不足或滞后,但是我国已经初步构建了数据合规的法律体系。
民事方面,主要由民法总则、侵权责任法等规范构成。合规风险在于:可能构成侵犯隐私权、侵犯著作权和构成不正当竞争行为,并承担相应的民事责任。
行政方面,主要由网络安全法、消费者权益保护法、电子商务法、广告法等规范构成。合规风险在于,可能因违规行为遭受包括约谈、责令改正、警告、公开曝光、没收非法所得、罚款、暂停相关业务、停业整顿、关闭网站、吊销业务执照等处罚。
刑事方面,主要由刑法及“两高”司法解释规范构成。刑事风险是数据公司主要面临的风险,常见的涉数据犯罪包括涉嫌侵犯公民个人信息罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、非法入侵计算机系统、拒不履行网络安全义务罪等。
04
涉及个人信息数据合规
核心规则
张建民律师还向大家分享了个人信息数据合规的核心规则:
透明度。要求数据收集合法、正当、必要,用户的知情和同意非常关键。这意味着,不可私自收集、私自共享、超范围采集、过度索权、强制索权或非法获取。
控制力。控制力意味着用户有删除、更正、查询和撤回的权利。例如,目前用户账号注销难的问题,就是赋予用户“控制力”不足,存在合规问题。
数据安全。在数据存储、传输、访问、复制数据的过程中,应当保证数据不被泄露、损毁、篡改。数据安全是个人信息合规的前提。
05
应对数据治理
张建民律师还向大家分享了应当如何应对数据治理:
国家将数据置于“基础性战略资源”的高度,全球数据治理监管体系也呈现出愈发严格的态势。那么正处当下,我们应该如何应对数据治理监管的大趋势呢?
首先,我们要清楚地认识到,数据产业有灰度,但是红线不能碰。数据公司可以利用数据标识,但不得利用数据追踪;可以利用数据联络,但不得利用数据骚扰;可以利用数据协助,但不得利用数据掠夺;可以利用数据评价,但不得利用数据实施侵害。
其次,数据因其特殊性,导致相关风险具有“传染性”,因此数据企业在选择合作伙伴时应更加谨慎。
第三,数据行业要整体合规、主动合规。合规创造价值,合规更是金色盾牌。
本次沙龙回顾就到这里,敬请期待下次沙龙活动!