史上最大罚单问世!因个人信息泄露被处以逾150亿韩元巨额罚款!剖析数据合规的灰色地带丨律新调研
作者丨覃方
出品丨律新社研究中心
数据日益成为新型生产要素,对传统产权、流通、分配、治理等制度提出了全新的挑战与要求。
韩国个人信息保护委员会(PIPC)于2024年5月23日正式公布了针对媒体报道的Kakao用户个人信息非法交易事件的调查结果。经过审慎评估,PIPC认定Kakao公司违反了《个人信息保护法》(PIPA)的相关规定,并决定对其处以高达150亿韩元(折合约为11,076,717美元)的罚款,以及780万韩元(折合约为5,721美元)的罚金。该决定是PIPC开出的金额最高的罚款[1]。
随着第四次工业革命的深入,云计算、AI、IoT等技术增强了各行业的数据处理能力和商业洞察,但也给数据合规带来了新挑战。AI算法的黑箱特性使得数据主体难以理解个人信息的处理过程,这违反了《欧盟通用数据保护条例》(GDPR)中的“可解释性”原则,即数据主体有权了解对其个人数据进行自动化处理的逻辑和结果。目前尚无统一标准和方法实现算法透明度和可解释性,形成了合规盲区。此外,区块链技术在确保数据不可篡改的同时,如何在链上存储与处理个人数据,而又不违反数据最小化原则和删除权,也是当前合规实践中的一大难题。
自2024年4月起,律新社持续开展《精品法律服务品牌指南(2024):数据合规领域》的专项调研工作。此次调研面向数据合规领域的杰出律师。律新社研究中心在调研过程中了解到,大数据产业中尚未被充分关注的灰色地带是数据合规领域中的复杂敏感问题,如何推动数据的依法有序使用,促进数据合规领域的健康发展,依然需要多方接力。
一、边界模糊:数据合规“数据”何为
数据合规中的“数据”一词,其含义远比传统认知要复杂。根据相关文献,数据合规官在企业数据治理中的角色被定义为具有独立地位的企业战略性高级管理人员,其职能覆盖数据认知、数据咨询和数据处理等多个方面[2]。这表明数据不仅仅包括可量化的数值信息,还涵盖了广泛的非结构化信息,如文本、图像、音频和视频等。数据的边界随着技术的发展和应用场景的多样化而变得模糊,这要求我们在数据合规的实践中必须对数据的含义有更深入的理解。
根据《“十四五”大数据产业发展规划》,数据被视为重要的生产要素,大数据产业是激活数据要素潜能的关键支撑,对于经济社会发展的质量和效率变革具有重要作用。该规划强调了大数据产业作为战略性新兴产业的重要性,突出了数据在经济社会发展中的价值[3]。《“数据要素×”三年行动计划(2024—2026年)》进一步指出,数据作为核心生产要素的价值日益显现,并特别强调了数据要素报酬递增、低成本复用等特点,以及数据在优化资源配置、赋能实体经济方面的积极作用[4]。《中华人民共和国数据安全法》第三条则对“数据”进行了明确的法律界定,即数据是指任何以电子或其他方式记录的信息,数据处理则涵盖了收集、存储、使用、加工、传输、提供、公开等一系列活动。《中共中央国务院关于构建数据基础制度更好发挥要素作用的意见》中虽然没有直接定义“数据”一词,但强调了构建数据基础制度、更好发挥数据要素作用的重要性[5]。
通过对比这些法律法规,可以发现,尽管普遍认同数据作为重要生产要素的地位及其对经济社会发展的关键作用,但在具体描述数据的含义和应用场景时,各文件之间存在一定的差异和侧重点。部分着重强调数据作为基础资源和创新引擎的作用,有的则聚焦于数据的流通与交易,还有的关注数据在特定行业中的实际应用。
这种多样性和侧重点的差异反映了数据的复杂性和多变性。数据的多样性和复杂性也是其含义和边界模糊性的主要来源。在数字化转型中,数据的类型和形态不断演变,从结构化数据到非结构化数据,从静态数据到动态实时数据,每一种数据都有其独特的属性和应用场景。例如,社交媒体上的用户行为数据、物联网设备生成的传感器数据、个人生物识别信息等,对这些不同类型的数据,在合规问题上需要有不同的考量和处理方式。
在数据合规领域中,对于数据的含义及其边界的界定,始终是一个持续演进、动态发展的过程。伴随科技的不断进步以及应用场景的日益拓展,数据的形态与价值呈现出日益丰富的变化,同时其边界也逐渐变得模糊。尽管相关政策文件为我们提供了基本的方向和指导原则,但在实际应用中,我们仍需不断深化探索,积极进行创新,以适应数据合规所面临的新形势、新挑战。通过对数据进行系统而细致的分类、深入的分析以及全面的评估,我们能够更为精准地界定数据的边缘与范围,从而确保数据的合法性、安全性与有效利用。这一工作不仅有助于维护数据主体的合法权益,也有助于促进数据的合规流通与共享,推动数字经济的健康发展。
二、风险浮影:灰色地带的潜在威胁
数据合规灰色地带指的是在数据收集、处理、存储、传输和删除等环节中,由于法律法规的不完善或解释上的模糊,导致企业难以准确判断其行为是否合规的区域。这一概念源于现行法律框架与快速变化的数据处理实践之间的矛盾。
(一)法律滞后:快速变化中的规则空白
在数据合规领域,法律的滞后现象尤为显著,这一问题对“数据”含义的界定产生了不可忽视的影响。数字技术的日新月异带来了数据形态和应用方式的不断演变。然而,法律规则在适应这种快速变化方面往往显得力不从心,造成了规则空白的存在。这种滞后性不仅导致了数据界定的模糊性,也给数据合规管理带来了重大的挑战。
袁立志
竞天公诚律师事务所合伙人
竞天公诚律师事务所合伙人袁立志在接受律新社调研时提到,数据合规领域有一个显著的特点,就是实践先于理论。数据领域都是技术和商业实践引领的,而且迭代速度很快,摩尔定律的影响是根本性的,而现有法律及相应的法律理论主要形成于工业时代,是以工业时代的实践为基础和对象的。如果我们承认信息时代、人工智能时代与工业时代存在着显著的实质的差异,那我们就要承认,新的时代需要新的法律和新的法律理论。而新的法律和理论主要来源于实践,而不是书斋,这就是实践先于理论。这就要求我们必须身临一线,去发现和解决实践中的问题,即使一时找不到解决方案也没关系。
这就意味着在数据领域,技术进步和商业实践往往走在法律理论和规定之前。数据的快速增长和迭代速度受摩尔定律影响,而现有的法律框架主要基于工业时代的实践,这导致了法律和现实之间存在时间差,即法律的更新速度跟不上技术发展的步伐。
这种法律滞后性造成了合规不确定性,尤其是在数据合规领域,企业面临着既要遵守现有法规又要应对快速变化的技术环境的双重压力。尽管数据安全和个人信息保护的法律框架已相当完善,但在促进数据自由流动和高效利用方面,现行法律体系仍显得相对薄弱且宏观,这在很大程度上限制了数据的深度开发和广泛流通。为解决这一结构性不平衡,国家数据局正致力于数据资源管理、交易等方面的探索,以期填补法律空白,促进数据合规领域的健康发展。
陈元熹
海华永泰律师事务所合伙人
海华永泰律师事务所合伙人陈元熹指出,数据被视为企业运营的核心资产,在数字化时代占据关键地位。与传统合规业务不同,数据合规面临多国、多地区乃至各行业的复杂监管环境,这要求企业需应对多样化的数据分类、重要数据界定及定期报告义务。技术应用方面,数据合规需覆盖数据从采集到销毁的全生命周期管理,强调从源头规避风险。风险管理则体现在需增设数据合规人员,建立专门的管理机制,甚至通过合规体系认证融入整体管理框架。
随着网络安全和人工智能技术的发展,数据合规的边界变得模糊,引发风险防控难题。AI的应用使个人活动受到持续监控,科技公司过度收集信息成为普遍现象,不仅限于购物App,还包括AIoT设备。AI技术还可能在训练数据中泄露用户信息,生成不当内容,这要求监管机构建立举报与审查机制,对违规企业进行处罚。
在数据驱动的商业模式中,企业需平衡数据利用与隐私保护,实施最佳实践,如加强告知、限制数据收集、匿名化处理、及时响应消费者需求、允许数据访问与修改、优先使用非个人数据,并建立合规团队与制度。IPO企业尤其要关注AI模型的合法备案、数据来源合法性、遵守个人信息保护法规,以及网络信息安全。
数据合规法律的滞后性导致了合规不确定性,法律法规的更新难以跟上技术发展步伐。例如,各国数据保护法规的差异,使得企业在全球化经营中难以形成统一标准;新兴技术如AI的快速迭代,对现有法律框架提出了挑战,造成适用性困境。此外,数据的广泛收集与使用模式变化迅速,但法律往往滞后于这些变化,无法即时提供清晰指导。因此,企业在遵循现有法规的同时,还需密切关注法律动态,灵活调整合规策略,以适应不断变化的技术环境。律师在提供服务时,需具备跨学科知识,深入理解客户业务与技术特性,以弥补法律更新速度与技术发展的不匹配。
综上,数据的重要性及其合规挑战凸显了法律更新速度与技术发展速度之间的不匹配,这种不匹配不仅增加了合规的难度,也要求法律从业者必须紧跟技术前沿,灵活应对不断变化的法律环境。
(二)数据贩卖:个人信息黑市的隐秘链条
在当前的数字经济中,数据贩卖现象已经发展成为一个庞大而复杂的灰色产业链。这一行为本身涉及对个人信息的非法收集、交易和利用,形成了一个从数据获取、分发到利用的完整链条。数据贩卖者采用多种非法手段获取个人信息,包括网络钓鱼、恶意软件攻击、利用系统漏洞,甚至通过贿赂企业内部人员来窃取敏感数据。这些手段的非法性和隐蔽性使得数据贩卖行为难以被及时察觉和制止。
获取数据后,贩卖者通常会对数据进行分类和整理,根据信息的敏感程度和潜在价值进行定价。接着,这些数据通过网络平台、暗网,甚至传统的黑市进行交易。数据买家可能是电信诈骗团伙、广告推销公司,甚至是有特定目的的个人或组织。这些买家利用购买来的数据进行精准诈骗、商业推广,甚至政治操作等活动,从而获取非法利益。
数据贩卖行为的猖獗,揭示了当前数据保护机制的不足。在某些情况下,由于法律法规的不完善,数据贩卖者可以轻易地逃避法律的制裁。即便在有相关法律的情况下,由于执法资源有限、技术手段不足、国际合作困难等原因,数据贩卖行为仍然难以被有效遏制。此外,数据贩卖行为的隐蔽性也给监管带来了挑战。数据交易往往在匿名的网络空间中进行,交易双方使用加密通讯和数字货币进行支付,使得追踪和取证变得极为困难。
数据贩卖行为对社会的负面影响不容忽视。个人信息的非法交易不仅侵犯了公民的隐私权,还可能引发一系列财产和精神层面的损害。在更宏观的层面,这种行为破坏了市场的公平竞争秩序,损害了消费者的合法权益,降低了公众对数字服务的信任感。若长期放任数据贩卖行为的存在,无疑将对数字经济的健康发展构成严重威胁,甚至可能对整个社会的稳定与和谐造成不良影响。
(三)数据垄断:市场公平竞争的隐性威胁
随着平台经济的快速发展,数据垄断问题逐渐浮现,成为市场竞争中的新型挑战。数据垄断主要表现为数据量的集中和以数据作为强化垄断的工具,具体包括使用数据和算法达成垄断协议、基于数据优势滥用市场地位以及数据驱动型经营者集中等行为。这些行为不仅限制了市场的公平竞争,还可能导致市场结构失衡,对消费者权益和数据安全造成威胁。
我国虽然在立法层面较早地回应了数据垄断的规制需求,如《关于平台经济领域的反垄断指南》的发布和《反垄断法》及相关配套法规的修订,但在实践中,数据垄断的认定和监管仍面临诸多挑战。
数据垄断问题的复杂性在于,它并不总是直接违反现有的反垄断法规。在数据垄断的背景下,数据合规的灰色地带变得更加模糊和难以界定。现行的反垄断法律制度在数字经济新业态、新模式、新技术下呈现出适用不能或适用失能的问题。例如,《反垄断法》第22条虽对经营者利用数据和算法等从事滥用市场支配地位行为作出了禁止性规定,但在操作性方面存在不足。数据与竞争的关系复杂,需要考虑行业和商业模式的动态创新变化以及数据的充分流动。此外,传统监管制度亟待更新,如相关市场界定、市场竞争状况分析、经营者集中规制等方面,都需要根据数字经济的特点进行调整和优化。
(四)数据泄露:隐私保护的脆弱防线
在Kakao个人信息泄露一案中,经过PIPC的深入调查,结果显示Kakao公司未能切实履行PIPA第29条规定的安全措施义务。具体表现为,该公司对其聊天功能中存在的安全漏洞未给予充分重视,未进行及时有效的审核与改进,致使会员序列号和临时ID的链接中泄露了用户的个人信息。此外,PIPC还注意到,尽管开发者社区已经意识到通过分析KaKaoTalk传输方法的开放API可以提取用户信息,但Kakao公司并未采取足够有力的改进措施以防范此类风险。PIPC指出,在媒体曝光和PIPC调查期间,Kakao公司已知悉个人信息正在被泄露的情况,却未按照PIPA第39-4(1)条的规定,履行泄露报告通知义务。
根据苹果公司近日发布的数据泄露报告,2021年和2022年,全球泄露了惊人的26亿条个人记录,仅2022年一年就泄漏了约15亿条个人记录。2023年全球数据泄漏规模将创下历史新高,前九个月有3.6亿人的敏感数据遭泄漏,比2022年全年高出20%[6]。2024年上半年,全球范围内频发的数据泄露事件再次敲响了数据安全的警钟。从金融行业到教育行业,从政府部门到私营企业,数据泄露的风险无处不在。
数据泄露的本质并非仅限于传统意义上的数据丢失,而是广泛涵盖了未经授权的数据访问、查看、使用、复制乃至删除等多种情形。其核心问题在于数据安全状态的严重破坏,这一现象在法律层面上被视为对数据保护义务的严重违背,具体表现为对数据机密性、完整性和可用性的全面破坏。无论是国内立法还是国际规范,如GDPR等,均对数据泄露的定义及范畴进行了明确界定,并着重强调了数据控制者在数据安全保护方面所承担的重要责任[7]。
然而,数据泄露事件的频繁发生,凸显了当前企业在数据安全防护方面所面临的严峻挑战和脆弱性。尤其是内部威胁与外部攻击的双重压力,使得数据安全形势愈发严峻。根据Verizon《2023年数据泄露调查报告》,内部威胁占据数据泄露事件的25%,而75%的数据泄露是由外部攻击导致,其中过半涉及组织犯罪集团,这无疑增加了数据泄露的复杂性和防范难度[8]。
三、防控矩阵:构建有效的风险应对体系
数据合规的灰色地带在于,数据产权的界定模糊导致数据权利、义务、责任的边界不清晰。在这一背景下,数据泄露、数据滥用、数据窃取等风险事件频发,对个人隐私、企业信誉乃至国家安全构成威胁。数据合规的不确定性增加了企业的运营成本,限制了对数据潜在价值的挖掘,同时也给监管机构带来了挑战。
2024年5月24日,在第七届数字中国建设峰会的数据资源与数字安全分论坛上,国家数据局党组成员、副局长陈荣辉郑重宣布,国家将出台一系列重要举措以推动数据资源的规范利用和市场化配置改革。这些措施将奠定数据资源开发利用的基础,为数据要素市场化配置改革提供支撑。国家层面的数据产权制度确立后,其执行层面的核心细节将决定制度的实际效果。数据产权制度的实施,旨在让数据持有者通过法律手段保护自身权益,激励数据交易,同时也为数据流通秩序的形成提供了法律框架。然而,数据产权制度的有效性仍需观察,尤其是能否真正激发数据持有者的分享意愿。
吴卫明
锦天城律师事务所高级合伙人、上海数据治理与安全产业专家委员会委员
锦天城律师事务所高级合伙人、上海数据治理与安全产业专家委员会委员吴卫明在接受律新社调研时指出,在构建高效的数据合规体系以防范灰色地带风险时,必须重视体系化、清晰化以及完备性立法。他强调,近年来,我国在数据安全及个人信息保护领域相继出台了一系列政策法规,如《网络安全法》《数据安全法》以及《个人信息保护法》,这些法律的出台标志着我国立法体系正在逐步健全和完善。同时,《关键信息基础设施安全保护条例》《网络数据安全管理条例》以及《数据出境安全评估办法》等法规的出台,也充分体现了国家对数据资源作为社会基础性生产要素的高度重视。
吴卫明认为,数据合规旨在实现数据资源的合理利用与安全保护双重目标,二者相辅相成,共同促进社会福利和进步,并增进社会安全。未来,数据合规将面临如何在数据价值流动与安全之间找到平衡点的挑战。在此背景下,律师与企业法务部门应密切协作,发挥各自优势,实现数据合规项目的顺利实施。律师凭借其对行业实践和法律问题的专业见解,能够提供客观视角;而企业法务部门则更熟悉内部业务流程和管理文化,有助于项目推动与部门间协同。双方的深度合作,特别是外部律师对企业业务实质的深度挖掘,是支持企业战略目标的关键。为平衡数据利用与个人隐私保护,吴卫明推荐采用隐私计算技术,实现数据可用不可见,以保障提取数据价值的同时避免直接触及个人隐私。
张楠
上海瀛东律师事务所高级合伙人、互联网法律事务部主任
上海瀛东律师事务所高级合伙人、互联网法律事务部主任张楠表示,构建有效的数据合规灰色地带风险应对体系,首要的是创建一个灵活且高效的合规管理体系。这需要设立由法律和技术专家组成的合规团队,负责跟踪法规变动,确保操作指南的及时更新。企业应制定详尽的合规政策与流程,覆盖数据生命周期的所有环节,并设定违规惩罚措施,同时定期审视与法规的同步性。利用加密、脱敏和访问控制等技术工具,确保数据安全,结合大数据与AI进行实时监控预警,以防控潜在风险。员工合规培训与教育至关重要,应通过定期培训提升员工意识,激励其主动参与合规管理。此外,企业需与监管机构保持紧密沟通,及时掌握监管动态,调整合规策略。
最后,张楠建议企业建立与监管机构的良好沟通机制,定期报告合规工作情况,参加行业交流会议,及时了解监管动态和最新要求。他还强调了聘请专业人士对跨境数据流动的风险进行评估和应对的重要性,以确保企业能够及时制定并执行有效的风险管理策略。通过这些综合性措施,企业可以更有效地管理和应对数据合规的灰色地带风险。
结语
对于数据合规领域存在的灰色地带,企业务必保持高度的警觉性和敏感性,精准地辨识合规的模糊边界,同时采取切实有效的风险防控措施,以防范潜在的法律风险。此外,随着技术的日新月异以及全球化趋势的不断加强,数据合规领域亦将面临更加复杂多变的挑战与广阔的发展机遇。因此,企业应当积极应对变革,不断创新数据合规的管理策略与实践,以适应日益严峻的法规环境和多变的市场需求,确保企业稳健合规发展。
资料参考:
[1] 亚太简评 | 韩国PIPC开出史上最大罚单,Kakao因个人信息泄露被重罚逾150亿韩元!
[2]齐鹏云. 企业数据合规官的治理边界及其规范体系[J]. 信息资源管理学报, 2023, 13(6): 85-98.
[3]《“十四五”大数据产业发展规划》解读_政策解读_中国政府网 (www.gov.cn),https://www.gov.cn/zhengce/2021-12/01/content_5655197.htm.
[4] 十七部门关于印发《“数据要素×”三年行动计划(2024—2026年)》的通知_中央网络安全和信息化委员会办公室 (cac.gov.cn),https://www.cac.gov.cn/2024-01/05/c_1706119078060945.htm.
[5] “数据二十条”对外发布,构建数据基础制度体系——做强做优做大数字经济_政策解读_中国政府网 (www.gov.cn),https://www.gov.cn/zhengce/2022-12/21/content_5732906.htm.
[6] 2023年数据泄露事件盘点,
[7] 不识庐山真面目,只缘身在此山中——数据泄露是一个难题还是错题?
[8] Verizon:2023年数据泄露报告(中文版)
END