法治政府示范|数字经济时代数据合规建设路径分析【走出去智库】
当前,受逆全球化影响,中国走出去企业不断遭遇国际贸易摩擦和日趋严格的国际监管环境,甚至因对合规经营管理风险预判不足和应对不当而遭受巨大经济损失。“经国序民,正其制度。”强化合规管理是企业在经济全球化大潮中得以行稳致远的“安全阀”和“压舱石”,对于走出去的中国企业来说,合规经营是必然选择。
深圳在践行中国特色社会主义先行示范区方面积极谋划合规顶层设计,率先开展合规体系建设,打造合规示范区,推动出台全国第一个地方合规建设指导性文件,为深圳合规建设制定时间表和路线图。中共深圳市委全面依法治市委员会办公室和深圳市司法局主办的内参《深圳法治评论》特设合规栏目,从企业合规、行业合规、司法合规入手,大力开展合规宣传与强化合规管理意识,让合规精神成为企业的内在特质,在走出去过程中更加行稳致远。
走出去智库(CGGT)为《深圳法治评论》提供学术资源支持,与业界专家深度开展合规课题研究,并与国际化头部企业探讨跨境合规实务,发表系列合规文章。今天我们刊发走出去智库(CGGT)特约法律专家、北京师范大学网络法治国际中心执行主任吴沈括的文章,供关注数据合规管理的读者参考。
要 点
CGGT,CHINA GOING GLOBAL THINKTANK
1、自2021年1月1日起施行的《民法典》,首次在民法层面就个人信息问题做出了明确、直接的立法规定,在我国《刑法》与《网络安全法》之外,为公民的个人信息保护提供了进一步的法律依据,补齐了长期以来我国民事法律制度中的一块短板,具有重大里程碑意义。
2、在行业监管层面,金融、医疗健康、教育、电子商务、寄递、人工智能等重点数据相关行业或领域将进一步加强行业内网络安全和信息安全的规范和监管工作。
3、欧盟《一般数据保护条例》(GDPR)对于公民权利、经济自由、数据主权、公共安全等多重诉求在不同产业、不同情境中引入了新的动态平衡取舍,包括充实个人的权利内容,提升欧盟内部市场的价值位阶,强调规范落实的机制保障以及建构个人数据跨境传输的全球化管控机制。
4、深圳在制定相关数据合规政策时有必要坚持数据安全可控原则,全面培育发展数字经济,切实保障数据依法有序流动与跨境传输。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
数字经济条件下,数据作为关键要素对经济制度基础和经济发展方式的战略性意义在党和国家层面已经成为共识:2017年12月,在中共中央政治局就实施国家大数据战略进行的第二次集体学习中,习近平总书记强调“要构建以数据为关键要素的数字经济”;2019年10月,十九届四中全会把数据与劳动、资本、土地、知识、技术、管理并列为生产要素;2020年4月9日,中共中央、国务院公布《关于构建更加完善的要素市场化配置体制机制的意见》,明确提出“加快培育数据要素市场”。
毋庸置疑,中国社会正快速进入以数据为新驱动的历史新阶段:一方面,着眼各类数据资源的流转利用,在以大数据、云计算、物联网以及人工智能等为代表的新一代信息技术的普及应用过程中,不断涌现更多的发展机遇;另一方面,着眼各类数据资源的安全保护,在数字化迭代的环境中也持续出现来源更为广泛、程度更为深刻的安全风险。数字化转型已经成为国家各项政策战略和大政方针的核心组成部分,在数字经济的培育建设当中,数据合规的权重和意义也在不断地更新和提升。
中国数据合规体系
(一)相关法律法规
2017年6月1日,《网络安全法》正式施行。基于《网络安全法》的总体制度框架,在《网络安全法》实施的当日,《网络产品和服务安全审查办法(试行)》[1]《互联网新闻信息服务管理规定》和《互联网信息内容管理行政执法程序规定》等配套规定也生效实施。此外,《关键信息基础设施安全保护条例》作为《网络安全法》最重要的配套规定,在同年7月11日已经由中央网信办公开征求意见。随着网络安全法治体系的不断完善,国家标准、部门规章、行政法规等诸多规范将不断提供《网络安全法》实施的配套细则。
作为我国电商领域首部综合性法律,自2019年1月1日施行的《电子商务法》为电商行业的发展带来了重要影响。对于电商纳税、微商代购、押金退还、信誉评价、大数据杀熟等行为的正确引导,促进了平台的合规管理,有利于电子商务的健康发展。
自2021年1月1日起施行的《民法典》,首次在民法层面就个人信息问题做出了明确、直接的立法规定,在我国《刑法》与《网络安全法》之外,为公民的个人信息保护提供了进一步的法律依据,补齐了长期以来我国民事法律制度中的一块短板,具有重大里程碑意义。关于个人信息,《民法典》人格权编第1032条延续了《电信和互联网用户个人信息保护规定》《侵害消费者权益行为处罚办法》和《网络安全法》等法规的基本定义,采用“识别性”界定标准;而对于隐私权,《民法典》人格权编第1032条基本采纳了目前关于隐私权界定的通说,突出了不愿为他人知晓的私密性要求。
2020年7月3日,《数据安全法(草案)》向社会公开征求意见。从立法定位上来看,我们可以认为《数据安全法》是一部《国家安全法》之下、《网络安全法》之上的立法。在其立法指向中,强调安全是国家利益,发展也是国家利益,安全和发展是同举并重的关系。该草案设计了双重权利保障框架,第一是对国家机关的权利保障,相关条款涉及国家与国家工作人员依法行政、依法执法的过程;第二是面对市场环境的权利保障,主要指向三类主体:数据交易中介机构、无照经营者和一般主体。这样的制度设计,为企业面对国家机关,为企业面对产业生态提供了双层的保护屏障。从内容设计来看,《数据安全法(草案)》着眼于国家利益的数据管理要求。
在《刑法》中,涉数据犯罪主要包括第285条第2款非法获取计算机信息系统数据罪的获取型数据犯罪,以及第286条破坏计算机信息系统罪第2款删除、修改、增加数据之规的破坏型数据犯罪,还包括对于个人信息、商业秘密、国家安全的侵犯。
此外,对于个人信息的保护方面,2021年4月26日至29日举行的十三届全国人大常委会第二十八次会议上,个人信息保护法草案二次提交审议。个人信息保护的立法进程与实施进展可以说是《网络安全法》下数据合规相关立法中发展最快的领域。
(二)相关指南及标准
2018年6月11日,全国信息安全标准化技术委员会发布《信息安全技术 个人信息安全影响评估指南》(征求意见稿)。
2019年3月3日,App违法违规收集使用个人信息专项治理工作组发布《App违法违规收集使用个人信息自评估指南》,App自身在可能引起App专项治理工作组关注之前先进行自查自纠。
2019年4月10日,《互联网个人信息安全保护指南》发布。
2020年4月28日国家市场监督管理总局和国家标准化管理委员会发布了《GBT 22240-2020信息安全技术网络安全等级保护定级指南》,新的国标自2020年11月1日正式实施。
这些标准和指南的发布,体现出我国现阶段对于数据保护及数据安全越来越重视,数字经济的发展离不开上层建筑的完善。
(三)发展趋势
在立法层面上,《数据安全法(草案)》已经出台,个人信息保护法也已提上日程,《网络安全法》相关配套法律法规(包括各行业领域数据合规立法)正在逐步完善,《网络安全法》确立的等级保护制度、信息安全和个人信息保护原则逐次得以细化实施。
在执法层面上,以网络安全和个人信息保护为重点内容的执法活动仍将活跃,执法活动在实践经验的积累下有可能向更多领域展开,同时呈现专项治理与日常常态化监管并重的态势。
在行业监管层面,金融、医疗健康、教育、电子商务、寄递、人工智能等重点数据相关行业或领域将进一步加强行业内网络安全和信息安全的规范和监管工作。
欧美数据合规前沿路径
(一)欧盟模式
1.欧盟《一般数据保护条例》(GDPR)的制度特色与核心要求
关于GDPR的制度特色,需要指出的是,它在很大程度上反映了欧盟立法者面对云计算、大数据以及数字单一市场的深入发展,互联网金融以及跨境电商等新经济样态的伴生风险而倾向采纳的风险管理新路径。
由此不难理解,在宏观框架层面,GDPR对于公民权利、经济自由、数据主权、公共安全等多重诉求在不同产业、不同情境中引入了新的动态平衡取舍,包括充实个人的权利内容,提升欧盟内部市场的价值位阶,强调规范落实的机制保障以及建构个人数据跨境传输的全球化管控机制。
在微观制度层面,应当强调的是,一方面,根据GDPR的条文设计,欧盟个人数据治理的制度规范将扩展适用于处理欧盟主体个人数据的所有外国主体;另一方面,GDPR广受瞩目的新举措是适应新技术新应用的具体场景为欧盟公民和居民提供了一系列新型“数字权利”,包括被遗忘权、数据可携权等。此外,GDPR还引入了极为严格的责任条款,并通过最高处罚为涉事主体全球营收总额4%的惩罚机制予以强化,引领了高额处罚的国际潮流。
在此图景下,GDPR制度规范涵盖的一系列条款值得给予特别关注,包括第7条关于强化监督数据持有第三方的规定,第8条关于儿童特别保护的规定,第12-14条关于权利人被告知权的规定,第17条关于被遗忘权的规定,第20条关于数据可携权的规定,第21条关于数据挖掘限制的规定,以及第33、第34条关于严重数据侵权事件报告制度的规定,等等。
2. 欧盟《非个人数据自由流动条例》的制度设计
在技术驱动创新的大数据时代,数据逐渐以核心竞争力的姿态出现。随着技术的发展与创新,数据的流转机制在不断演进,非个人数据作为数据流转的B面,提出了与个人数据保护不同的规制要求。非个人数据流转问题的背景主要在于技术驱动的不断创新,数据流转机制的不断演进,数据流的各种模式不断发生变化,数据经济也在不断发展。
(二)美国模式
美国法制框架下,目前最具风向标色彩的立法动向莫过于2018年6月28日由加州州长签署公布并于2020年1月1日起正式施行的《加利福尼亚州消费者隐私保护法案》(California Consumer Privacy Act of 2018,缩写为CCPA)。
对于消费者的权利内容,该法案规定了消费者对于个人数据信息所拥有的一系列权利,这些权利包括:①要求收集消费者个人信息的企业向消费者披露企业收集的个人信息的类别和具体要素的权利;②要求商家删除其所收集的有关消费者的个人信息的权利;③要求企业向消费者披露收集个人信息的目的以及与之共享信息的第三方的权利;④选择不出售个人数据信息的权利等。
有关企业的义务范围,该法案规定:①企业根据消费者的要求披露收集信息的种类和目的以及共享数据的第三方的义务;②根据消费者的要求删除所收集信息的义务;③尊重消费者选择不出售个人数据信息权利的义务,不得通过拒绝给消费者提供商品或服务,对商品或者服务收取不同的价格或费率等方式来歧视消费者行使该项权利等。
此外,根据该法案的规定,一旦企业违反隐私保护要求,将面临支付给每位消费者最高750美元的损害赔偿金。加利福尼亚总检察长将负责决定是否针对违法企业采取法律行动。该法案中的主体规定与欧盟GDPR相类似,但并非完全是该条例的翻版,例如并没有像GDPR一样规定告知消费者数据泄露事件的特定时限。
对于深圳市数据合规体系培育的建议
(一)政策定位:平衡发展与安全的价值设定
结合上述中国数据合规体系与欧美数据合规前沿路径,深圳在制定相关数据合规政策时有必要坚持数据安全可控原则,全面培育发展数字经济,切实保障数据依法有序流动与跨境传输。
价值清晰的顶层设计框架建构、有效的规则体系的建立需要指向明确、逻辑清晰的顶层制度设计。在此环节,应当以总体国家安全观为指导,在网络安全、信息安全的高度将数据的可控性、可用性、完整性与保密性四项核心诉求作为数据合规体系培育的价值出发点与落脚点。与此同时,作为顶层设计的重要组成部分,有必要专门授权成立专业、独立的数据监管机关,负责数据规范的具体落实、数据传输的业务协调以及数据安全的风险评估等职能活动,确保在该领域可以保持不间断的能力建设,也能更好地完成国际博弈任务。
(二)机制设计:政府激励企业合规提升公私合作水平
公私合作、协作治理与我国网络空间治理进程中政府引领、多方参与的理念相契合。数据所栖身的网络空间是由互联网企业、用户、政府乃至国际组织等多元主体构成的虚拟空间,数据合规亦应是由所有利益相关方共同参与的治理过程。正如习近平总书记所强调的,要发挥政府、国际组织、互联网企业、技术社群、民间机构、公民个人等各个主体作用,实现共同治理。为此需要重点发力的工作方向包括:
其一,突破信任度瓶颈。一方面,政府需要全面摒弃大包大揽的传统行政思维与工作模式,转为着力划定数据采集、共享和利用等环节的业务规则与责任红线,专注谋划能够确保提高数据质量和规范性、有助于丰富数据产品的数据管理制度以及分级分类等安全保护制度。另一方面,企业则需要诚意秉持“安全设计”“隐私设计”以及“伦理设计”等现代数据治理理念,聚焦投入技术工具与解决方案的创新研发与全流程合规风控,通过企业主体责任的充分实践达到既“取信于民”也“取信于官”的效果。
其二,突破透明度瓶颈。伴随新数字技术的爆发,原有监管治理体系面临技术能力不对称与执法监管工具不充分的掣肘,而作为技术弱势方的公众广泛存在的技术恐惧感也造成数据治理透明度危机日渐加深,需要政企分工合作的方式创新提升各方透明度水平。在此意义上,吸收借鉴欧美跨国企业以及中国龙头企业的海外实践,通过政企分工合作建设“透明中心”具有积极的制度价值,既增进企业和民众对于政府的监管逻辑、工作思路与执法能力的深度认识与信赖,也增进民众和政府对于企业的业务逻辑、运营思路与技术能力的全面了解与信任,还增进政府和企业对于民众的应用喜好、利益诉求与核心关切的动态体认与回应。
注:
1.2020年6月1日,由国家互联网信息办公室等12部门联合发布的《网络安全审查办法》实施,《网络产品和服务安全审查办法(试行)》同时废止。
吴沈括
北京师范大学网络法治国际中心执行主任、互联网发展研究院院长助理、博士生导师。联合国网络安全与网络犯罪问题高级顾问。最高人民法院咨询监督专家。中共北京市委政法委法学专家库专家。中国互联网协会研究中心副主任。中国信息化百人会数据治理委员会主任。意大利维罗纳大学法学博士、博士后、助理研究员、访问教授。意大利都灵大学合同研究员。QS集团世界高校学术声誉调查专家库专家、欧洲法学权威期刊《Diritto Penale XXI Secolo》编委。
已在欧洲以意大利文、英文等出版专著2部,合著2部,外文核心期刊发文近20篇,在《清华法学》等CSSCI核心刊物发文20余篇;在《光明日报》等核心报刊发文逾20篇。主持意大利教育、大学和科研部、中央银行、都灵大学以及Cariverona基金会等多项国际科研项目。主持国家社科基金、最高人民检察院、中央网信办、商务部、国家发改委、司法部、教育部以及北京市等多项网络与数字治理项目课题。
研究领域:网络治理、网络法治、数字经济、数字政府、数字贸易、数据安全、网络安全、网络犯罪等。
法治政府观察 | 企业合规中律师的价值体现
法治政府示范 | 深圳打造企业合规示范区的法治化路径
企业合规观察 | 深圳企业合规管理体系建设对策研究
《深圳法治评论》是由中共深圳市委全面依法治市委员会办公室和深圳市司法局主办的法律类连续性出版物,定位于高端领导决策读物,聚焦深圳法治建设,刊发高水平、可实操的应用性政策研究,辅助市领导及本市党政机关领导干部法治建设方面决策,畅通法治城市示范建设意见交流,宣传深圳法治城市示范建设活动。走出去智库(CGGT)为《深圳法治评论》提供学术资源支持。
走出去智库全球领先的法律、投行、税收筹划、项目估值、银行保险、人力资源、风险管理、公共关系专家可以为中国企业境外投资并购提供相关咨询服务,如有需要,可给我们(cggthinktank)留言“公司+姓名+职位+手机号码+企业邮箱+需求”,获得专家帮助。
走出去智库(CGGT)
不谈大道理,只讲干货。国内外一流投行、法律、会计、风险管理、银行/保险、品牌、人力资源、估值、境外信息情报和数据管理9个领域的专业人士联袂。走出去一站式专业实务和数据信息平台,企业跨境投资并购智囊团。
更多信息请访问:www.cggthinktank.com
版权声明:走出去智库(CGGT)欢迎转载,请注明来源:走出去智库(CGGT)。如不署名来源,CGGT将追究其相关法律责任。