数据合规观察 | 法律+技术+管理共同驱动数据合规——以TMT行业为视角【走出去智库】
The following article is from 北京卓纬律师事务所 Author 卓纬律师事务所
日前,由上海交通大学凯原法学院、中国人民大学国际商事争端预防与解决研究院、北京卓纬(上海)律师事务所、走出去智库主办,智合、威科先行共同协办的“高水平改革开放与企业合规”主题高峰论坛于上海举行,探讨贸易合规、数据合规方面的热点问题。
卓纬律师事务所公司业务部合伙人宋晓然在主旨演讲中指出,数据安全相关法律法规的管辖范围非常广,也非常繁杂,而且更新非常快,对于TMT行业的企业来说,就会面临着一方面要在业务层面扩张,充分发掘数据资产价值,另一方面又要在监管层面做到数据合规,这种情况下做到平衡就要从法律+技术+管理共同驱动数据合规,也就是说以法律为基础,以技术为手段,用管理来统筹,共同驱动企业做到数据合规。
TMT企业如何做好数据合规?今天,走出去智库(CGGT)刊发宋晓然律师演讲的主要内容,供关注数据合规的读者参考。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
文/宋晓然
卓纬律师事务所公司业务部合伙人
数据合规的话题大家刚刚已经说了很多,再次感谢彭教授从个人信息的法律属性角度,惠院长从数据权益和数据合规角度,范总从企业内部数据合规角度都做了精彩的演讲。我现在想从TMT行业的视角来讲一下数据合规,因为我自己在TMT行业从业有近20年了。
在座各位哪怕不是TMT行业的从业者,也一定是TMT行业产品的用户。这张PPT左边这个图是国内目前比较知名的一些互联网或者APP服务提供者,中间是新老BAT,包括阿里巴巴、腾讯、字节跳动和百度,周围这一圈是在科技、金融、教育、汽车、本地生活、零售、媒体和娱乐等各领域的知名互联网公司。右边是美国现在一些比较知名的互联网公司,包括谷歌、亚马逊、Facebook、Twitter、YouTube、Snapchat等。TMT是指科技、传媒或者说数字媒体,还有电信。我下面列了一个图,这是参考现在工业互联网或者人工智能产业的分类标准把TMT行业分为基础层、技术层和应用层。基础层和技术层,按照现在经常提的新基建,就是指5G网络、物联网、工业互联网、卫星互联网,这是我们的网络基础建设;数据中心和智能计算中心,这是我们的算力基础建设;技术层基础建设包括人工智能、大数据、云计算、AR/VR、区块链等技术,现在甚至发展到云上赋智、云智融合等。在应用层,行业应用大家刚看到了,包括金融、教育、零售、媒体和娱乐等,还有产品应用,比如智能汽车、机器人、可穿戴装备等,甚至最近新提出元宇宙的概念,就是在区块链、人工智能、云计算、AR/VR的技术基础上融合而成的一个平行虚拟时空,非常时髦。从上面这个介绍大家可以看出TMT行业的特点:业务模式非常复杂,大部分TMT企业面向个人用户,网络基本是没有限界的,也就是通常说的网络无国界,还有技术性强,迭代快。
基于TMT行业的这些特点,中国在1994年引入互联网之后,一直对这个行业持一个比较鼓励和引导的态度,早些年我们在这一领域的立法相对来说也比较滞后一些。但是随着2015年《国家安全法》确立了网络安全和数据安全的战略地位以后,陆续在2017年出台了《网络安全法》,今年9月1日开始施行《数据安全法》。在个人信息保护领域,我2002年在一家门户互联网公司工作,我记得当时起草《用户协议》和《隐私政策》时就了解到个人信息保护在国内立法层面已经立项,但是这么多年,无论是宪法还是之前的民法通则,对个人信息作为什么样的权利一直没有定性,直到今年的《民法典》,把它在《人格权编》中确定为一个基本的民事权利,《个人信息保护法》今年11月1号才开始施行。而同步在国外,2018年欧盟的《通用数据保护条例》(GDPR),2020年美国的《加州消费者隐私法案》(CCPA),这些影响比较大的关于个人信息保护的法案也开始施行。
下面我来谈一下近期一些数据合规的热点案例。从《网络安全法》出台以来,工信部开始对国内的APP集中进行清理整顿,今年前三个季度就做了十批次的集中检测,到目前已经清理了将近200万个APP,对于严重不合规的可能就直接清理掉了,还有一些通报整改,一些暂停下架,其中大部分都是因为违规或超范围收集、处理个人信息。境外上市方面,滴滴的事情大家都听过了。因为TMT行业的公司大多都是轻资产,没有盈利,早期融资基本都是美元融资,所以大部分在早期都想着去美国上市,而根据美国《萨宾斯-奥克利法案》,要求所有在美国上市的公司必须提交审计底稿,也就是基础数据,去年特朗普又签发了《外国公司问责法》,对于在美国上市的海外公司,提出了更高的信息披露要求和审计要求。这种情况下,中国的互联网公司去美国上市就必须提供数据,而中国从网络安全、数据安全层面考虑,去年出台了《网络安全审查办法》,对数据出境提出概括性的网络安全审查要求,今年7月10号,这个审查办法又提出修改意见稿,明确规定了处理一百万以上个人信息的处理者,如果境外上市或者涉及到数据出境,就必须经过安全审查。滴滴今年6月30号突击上市,然后7月2号被紧急调查,同期被调查的还有BOSS直聘和满帮,目前调查结果还未公布。今年7月份之前国内几十家互联网公司有的已经提交了招股书,有的在上市筹备中,目前也都暂停了。现在立法最新的进展是《数据出境安全评估办法》(征求意见稿)已经出台,对数据出境提出了更严格的安全审查要求,对互联网公司来说,未来境外融资、上市影响会非常大。
下一个案例是Tiktok,也就是抖音的海外公司。Tiktok在美国加州和伊利诺伊州因为违规收集个人信息在集体诉讼中被判处赔偿用户9200 万美元;在欧洲因为违反了GDPR被荷兰数据保护局处罚75万欧元。国外数据合规领域也有很多知名案例,一个是亚马逊,今年9月在欧洲因违反GDPR遭受最高额罚款7.46亿欧元;一个是Facebook,因Facebook个人信息数据泄露被剑桥分析利用对8700万用户推送信息,影响了2016年美国大选,2019年被美国FTC罚款50亿美元;还有最近Facebook在改名Meta后宣布要删除系统里存放的将近10亿人的人脸信息,实际上这并不是主动行为,而是因Facebook违规搜集人脸识别信息今年上半年被联邦法院判决必须执行的措施。还有一个苹果的例子要特别讲一下,在座的可能很多人是苹果的用户,可能也注意到今年上半年苹果在隐私政策中增加了一个选项,叫做ATT框架,“Allow Apps to Request to Track”, 中文界面上是“要求APP不跟踪”,也就是说用户可以选择要求APP不跟踪个人信息,这样这些APP就没办法从手机系统跟踪用户的浏览记录或轨迹,也就没有办法做到精准营销。这个政策调整对于苹果系统里的APP产生非常大的影响。根据英国《金融时报》调查,这个政策对Google、Facebook、Twitter、Snapchat这些公司的广告收入影响可能达到近一百亿美元,而苹果自身的广告系统,因为这个政策,今年的广告收入预计会增加50亿,三年增加200亿美元,可见隐私政策一个条款变动对整个行业的影响。
从前面提到的立法进展还有案例,我们可以看到,数据安全相关法律法规的管辖范围非常广,包括国内和国外;监管层面会涉及到多头管理,包括工信部、网信办、市场监管、行业主管、各地方主管等;法律法规非常繁杂,而且更新非常快;在法律责任层面也非常重,而且相互交叉。对于TMT行业所有的企业来说,就会面临着一方面要在业务层面扩张,充分发掘数据资产价值,另一方面又要在监管层面做到数据合规。这种情况下怎样能够做到平衡,就要从我今天的演讲标题来说一下:法律+技术+管理共同驱动数据合规,也就是说以法律为基础,以技术为手段,用管理来统筹,共同驱动企业做到数据合规。
首先,以法律为基础,法律是为行为定性的。在数据收集和处理过程中,大的原则是合法、正当、必要、诚信,这是《网络安全法》、《数据安全法》和《个人信息保护法》三法一脉相承的原则。合法就是要符合数据安全相关的法律法规规定,正当包括目的正当和程序正当,必要包括合理和数据最小化,也即数据处理行为是实现目的合理必需的且要对用户影响最小,诚信则是指数据处理规则要公平、透明,不得欺骗误导用户。
从数据处理的全流程来讲,在数据收集层面,首先在网站或APP的《用户协议》和《隐私政策》中,对于收集用户个人信息要做到明确告知,然后用户主动点击同意,而不是像以前在协议条款中写上“只要使用服务就默认同意”,或者在协议界面默认同意,现在必须用户主动点击勾选才可以;其次在数据搜集的内容上,要区分基础业务功能和扩展业务功能。基础业务功能是说实现这个服务所必需要获取的信息,如果只是一个信息平台,像头条、抖音,你甚至都可以不用提供电话号码,任何的个人信息都不提供,就可以享受服务,但是如果是电商平台,就需要提供姓名、电话、地址,付款的时候向银行或第三方支付平台提供银行信息,还得允许电商平台把这些个人信息传输给配送商,和支付机构建立连接,才能完成整个的交易。而扩展业务功能则是为了提升服务质量或扩展服务内容而收集的个人信息,通常包括用户的浏览记录、地理位置等,便于企业提供优化精准的服务。这就是在不同的服务领域区分基础业务功能和扩展业务功能的含义。最新出台的《常见类型移动互联网应用程序必要个人信息范围规定》中对各种服务类型APP能收集的必要个人信息范围都做了详细规定。另外在《个人信息安全规范》以及《个人信息告知同意指南》中,也对必要和非必要个人信息范围做了区分。这个区分的目的就是说,用户使用服务,APP只能收集必要个人信息,如果超过这个范围,必须明确告知用户,并得到用户单独同意,这就给企业提出了很高的技术要求,同时这个要求对精准营销、个性推荐等业务模式也会产生非常大的影响。在数据存储层面,要做到数据分类分级,技术上要备份、加密、脱敏、隔离等。在数据使用层面,使用规则要公平、透明,要做到算法向善,要把算法规则向用户明确告知,不能大数据杀熟。在数据传输层面,涉及到个人信息的数据传输必须告知用户接收方名称、联系方式、用途和使用方式等,并取得用户单独同意。在数据出境层面,最新的《数据出境安全评估办法》对关键信息基础设施经营者收集产生的重要数据和个人信息、重要数据、处理超过100万个人信息的个人信息处理者的数据出境安全评估的审查条件和程序等做了详细规定,这里就不展开讲了。
数据合规影响特别大,不仅仅是因为数据合规内容本身复杂,而且是因为违规的法律责任非常重。在民事责任层面,首先确定了过错推定原则,也就是说用户个人信息一旦被平台经营者违规收集处理,用户在起诉平台侵犯了个人信息权利时,平台经营者需要证明采取了必要且合理谨慎的措施、管理制度和流程,证明没有违规,否则就要推定存在过错并承担责任。另外,因为这个领域涉及到众多个人消费者,所以《个人信息保护法》里面规定了公益诉讼,包括检察院、消协、网信办指定的组织等,可以代表消费者直接提起公益诉讼,这样就有更专业的能力和资金实力对抗平台经营者。在行政责任层面,中国的《个人信息保护法》对于个人信息违规除了责令改正、没收违法所得、暂停营业、吊销许可证、吊销营业执照外,可以并处罚款,而且处罚力度目前是全球最高的,比如欧盟GDPR规定罚款不超过上一年度营业额的百分之四,而中国规定罚款不超过上一年度营业额的百分之五。在刑事责任层面,目前在侵犯公民个人信息权利、侵犯信息网络安全、危害计算机信息系统安全方面都规定了罪名,这里特别讲一个拒不履行信息网络安全管理义务罪,这个罪名就是企业如果信息网络安全措施没有到位,责令整改以后,还不能做到,造成比较严重的后果,可能就构成单位犯罪了,企业的数据合规负责人作为直接责任人员也可能要承担刑事责任,这个对于企业内部管理实际上是一个非常大的影响。
其次,以技术为手段,法律法规规定的所有内容、尺度和标准,企业的所有协议、政策和制度都要技术来落实。首先所有的数据保护、评估、风险测评,都基于数据先要分类分级。在数据类别上,可以分为关键信息基础设施数据,包括国防、电力、金融、通信等;重要数据,目前各行业各地区在自己制订;企业数据,包括运营数据、客户数据、员工数据、用户数据等;个人数据,要区分个人敏感数据和一般个人数据。数据分类以后再按保密级别分公开数据、内部数据、机密数据、绝密数据等。数据的保护、评估和风险监测,是指对数据要进行加密、备份、脱敏、隔离,设置使用权限,保留访问日志溯源等。数据的维护和清理是为了满足《个人信息保护法》新提出的用户有权维护个人信息的要求。用户有权查询、复制、补充、更正、转移、删除自己在APP上的个人信息,所有APP必须提供这样的渠道,如果用户取消授权,APP必须要进行数据清理。数据安全事件应急预案,是指在出现系统漏洞、计算机病毒、黑客攻击等网络安全事件时要有应急机制,采取必要措施保护数据安全。
最后,用管理来统筹。管理分为内部治理和外部监督,在企业内部,数据合规必须要提高到战略高度上整体推动,要任命数据合规负责人统筹管理数据合规事务,要制定数据合规管理体系、制度和流程,要采取数据合规技术措施,要对全体员工进行数据合规培训,要定期开展企业内部合规审计和安全评估。企业外部监督,对于大型基础性平台经营者,法律直接规定了设立外部机构监督和定期发布个人信息保护社会责任报告等义务。对于数据合规外部审计,可以请律师事务所、合规机构或第三方数据安全测评机构,定期对企业内部的数据合规情况进行核查审计,帮助企业完善这个工作,因为数据合规是一个动态合规,数据每天都在不断产生,企业的业务模式也在动态调整,因此数据合规这个工作也是持续完善的。
宋晓然
走出去智库(CGGT)特邀演讲嘉宾
卓纬律师事务所合伙人
执业领域主要集中于股权投融资、上市重组、网络安全与数据保护、公司合规等方面。宋晓然律师在互联网、电子商务、传媒及高科技(TMT)行业具有近二十年法律从业经历,曾在多家TMT行业大型知名公司担任首席法务官、法务总监、法律顾问等职务,在公司私募融资、股权投资、上市重组、公司治理、网络安全与数据保护、公司合规、合同管理、知识产权及争议解决等领域具有丰富的专业经验。
中美观察 | 拜登政府对华贸易议程——竞争,对抗,还是举棋不定?
贸易合规观察 | 中国企业国际贸易合规新问题及应对
数据合规观察 | 如何打通个人信息保护与数据市场化利用的矛盾?
贸易合规观察 | 欧盟贸易政策与贸易救济调查规则的演变及中国企业面临的挑战
《美国政策研判和风险预警》是走出去智库(CGGT)出品,跟踪分析美国最新对华政策动向,内容涵盖华府风向标、科技竞争、贸易战、金融市场、实体清单、焦点企业等。如您希望参阅,请给走出去智库公众号后台留言(姓名、单位、职务、电话、邮箱)。
合作、业务咨询:
servicecenter@cggthinktank.com
走出去智库(CGGT)
不谈大道理,只讲干货。国内外一流投行、法律、会计、风险管理、银行/保险、品牌、人力资源、估值、境外信息情报和数据管理9个领域的专业人士联袂。走出去一站式专业实务和数据信息平台,企业跨境投资并购智囊团。
更多信息请访问:www.cggthinktank.com
版权声明:走出去智库(CGGT)欢迎转载,请注明来源:走出去智库(CGGT)。如不署名来源,CGGT将追究其相关法律责任。