查看原文
其他

毛逸潇 | 数据保护合规体系研究

学报编辑部 国家检察官学院学报 2023-08-28

毛逸潇


北京大学法学院博士研究生



摘  要

 数据保护合规是企业为防控数据合规风险所建立的一种专项治理机制,由数据合规政策和数据合规管理流程两大要素构成。数据保护领域的合规风险包括违反合规政策性条款的数据滥用类风险,以及违反合规流程性条款的管理失职类风险。打造数据保护合规体系需要遵循有效数据合规、行政合规与刑事合规一体化建设、对外合规与对内合规相分离、全流程数据合规、数据合规技术等基本原则。面对实践中数据保护合规的纸面化和针对性、体系性、专业性不足等问题,企业需要围绕数据保护合规政策和合规管理流程两个层面完善数据保护合规体系,强化数据保护合规政策与员工手册、合规组织、防范体系、监控体系、应对体系的建设。


 数字经济时代的数据合规治理是社会治理的重要组成部分,数据保护合规迅速发展成为专项合规管理体系的重中之重。一方面,以欧盟《通用数据保护条例》和美国《加州消费者隐私法案》为代表,世界各国持续推进综合性数据保护立法进程,不仅为企业创设了严格的合规义务及罚则,而且通过数据访问地、业务关联者等长臂管辖规则拓宽本国法案的域外效力,争抢国际大数据话语权。另一方面,各国的数据保护执法机构动作频繁,对违反数据处理规则和合规管理失职的违法行为作出严厉处罚,不断刷新执法金额最高纪录,并在多起案件中通过达成和解协议要求涉案企业进行合规整改、加强数据保护合规体系建设。面对日趋严峻的立法和执法态势,数据保护合规成为企业合规治理的刚性需求,为企业应对数据合规风险提供了最佳实践。

 随着“数字中国”国家大数据战略的稳步推进,国内数据保护立法取得飞跃式发展。2017年《网络安全法》与2021年通过的《数据安全法》《个人信息保护法》共同构成我国数据保护领域的行政监管法律体系,其中不仅规定了覆盖数据全生命周期的数据处理基本规则,而且设置专章规定企业数据合规管理义务,这种预防性监管方式标志着数据领域全行业强制合规制度的确立。与此同时,国家网信办、市场监管总局等数据保护监管部门的执法力度大大增加,大量违法违规收集使用个人信息的应用程序被责令下架并立即开展合规整改;刑事执法部门更是侦办了数万起侵犯公民个人信息犯罪案件,帮助信息网络犯罪活动罪也呈现井喷式增长。除了关于数据处理规则和合规管理义务的强制性法律规定及其严厉的执法机制,我国还建立了以合规出罪为特征的数据合规激励机制。一方面,数据保护合规体系的建立可以作为无罪抗辩事由,切割企业与高管、员工和第三方的责任;另一方面,以检察机关推动的改革为依托,数据保护合规整改可以换取检察机关的不起诉决定或者宽缓量刑建议,南京市首例合规不起诉案件即为某企业涉嫌侵犯公民个人信息案,雨花台区检察院经过对涉案企业积极落实合规整改情况的验收和听证,最终作出不起诉决定。

 国内外数据保护法律制度和执法实践的迅猛发展也为学术研究提出一系列理论问题。第一是数据保护合规体系的性质与范围问题。数据保护合规是否等同于企业遵守数据保护法律条款的规定,涉及到企业合规的基本性质;而数据保护法律中的合规条款是否仅指合规管理义务条款,则是数据保护合规体系的范围问题。第二是数据保护领域合规风险的识别问题。数据保护合规的直接目的在于防控合规风险,准确识别企业面临的数据合规风险是保障合规体系有效性的基本前提。第三是数据保护合规体系的搭建问题。在企业的日常性数据合规管理,以及违法行为发生后的数据保护合规整改程序中,如何确立合规体系建设的基本思路和有效性标准,成为亟待解决的理论难题。

 我国学者关于数据保护合规体系的研究存在两种相互独立的路径,一是研究数据处理规则的遵守,二是研究数据管理义务的履行。数据处理规则的研究一般从数据的收集、利用、跨境流动等维度分析企业合法合规处理数据的规范,强调遵守合法、正当、必要的处理原则。数据管理义务的研究则讨论企业为保证数据安全所采取的管理措施和技术措施,强调从事前、事中、事后等三个方面展开合规管理。总体来看,当前的研究仍然存在一些局限。首先是数据保护合规的范围界定过窄,将其局限于数据处理的合法性,在一定程度上把企业合规与遵纪守法相等同;而将其限定为企业的管理和技术措施,则混淆了合规义务与管理义务。其次是缺乏对现阶段数据保护合规重大理论问题的系统回应,《数据安全法》和《个人信息保护法》的颁布使数据保护合规的法律内涵成为理论焦点;行政监管执法和企业合规改革的推行,则对数据保护合规体系搭建方法提出迫切的理论需求。有鉴于此,本文拟对数据保护合规体系的基本理论问题作出初步研究。本文首先讨论数据保护合规的性质与范围问题,再对企业在数据保护领域的合规风险作出类型化分析,随后,将重点研究数据保护合规体系的基本原则和搭建方法。


一、数据保护合规的性质与范围


 学界关于数据保护合规的两种研究思路引发数据保护合规性质与范围的理论问题,无论是将数据保护合规视为对数据处理规则的遵守,还是视为对数据管理义务的履行,都无法表达其完整内涵。该问题产生的根源在于企业合规进入专项领域之后,一些基本理论需要针对专项合规的实际需求重新阐释,以消除企业合规与专项领域学术研究和法律规范的分歧。

(一)数据保护合规体系的两大要素

 数据保护合规是企业为防控数据合规风险所建立的一套公司治理体系,包括数据合规政策和数据合规管理流程两大要素。

 首先,在数据保护领域中,企业合规的基本性质并未发生根本改变。根据企业合规基本理论,合规是企业为实现依法依规经营、防控合规风险所建立的治理机制,其并不是笼统地要求企业“依法依规经营”,而是要求企业针对可能出现的违法违规情况,建立一套旨在预防、识别和应对合规风险的自我监管机制。数据保护合规仍然是这样一套公司治理体系,只不过为了防范数据领域的特定合规风险,企业合规政策需要针对数据处理和管理行为进行制定,合规组织体系应由数据保护合规官、数据保护合规部等专门组织构成,预防、监控、应对等流程体系也要围绕数据保护合规管理进行针对性建构。

 其次,在有效合规计划的诸多要素中,合规政策处于核心地位,扮演了“实体法”的角色,为保障合规政策得到贯彻和执行,企业建立起“程序法”性质的合规管理流程体系。合规政策规定了专项合规的规范、标准和守则,一般表现为合规政策性文件和员工手册的形式,其实质是将专项领域行政监管和刑事法律的禁止性和义务性条款转化为企业内部规章制度,为企业及其高管、员工、第三方合作伙伴确立行为规范和边界。合规管理流程则是围绕合规政策建立的一系列管理措施,包括建立首席合规官、合规部、合规专员等专项合规组织体系,以及风险评估、尽职调查、培训沟通、违规事件举报、审计监测、奖励惩戒、持续更新等管理机制。

 最后,数据保护合规的范围同时囊括了数据处理规则的遵守和数据管理义务的履行。企业合规的基本结构是以合规政策为中心,以合规组织和各项管理流程为保障机制的治理体系,企业的合规义务既包括建立合规组织和管理机制的流程性义务,也包括制定专项合规政策的政策性义务。数据保护合规也是如此,数据专项合规政策来源于专门法律体系所确立的禁止性和义务性规则,这成为合规管理流程体系的搭建基础和服务对象。

(二)法律确立的数据保护合规条款

 我国数据保护法律围绕合规政策和合规管理流程这两大要素,确立了数据保护合规体系的法律框架。这些合规条款既包括以数据处理规则及其罚则为内容的数据合规政策性条款,也包括以数据管理和技术措施为内容的数据合规流程性条款。下文以《个人信息保护法》为例展开分析,该法的体例包括个人信息处理规则、个人信息跨境提供规则、个人信息处理者的义务、履行个人信息保护职责的部门和法律责任等七大章,按照法律条款的性质,可以分为个人信息处理规则条款、合规管理义务条款、行政监管职责条款、法律责任条款等类型。这种立法体例在一定程度上导致人们对数据保护合规范围的认识偏差,认为数据保护合规仅指特定管理流程,而数据合规条款也就是合规管理义务条款。事实上,个人信息处理规则条款和相应的法律责任条款也是合规条款的范围,与合规流程性条款不同,而属于一种合规政策性条款,代表了专项合规政策的制定内容。

 1.数据合规政策性条款

 合规政策性条款由业务行为规范及其罚则组成,凡是法律对业务行为方式作出禁止性或义务性规定,并且创设违法的行政和刑事法律后果的条款,都属于合规政策性条款。

《个人信息保护法》对个人信息处理的原则和方式作出了规范,涵盖个人信息收集、存储、使用等全生命周期的处理要求。一是确立了个人信息处理的基本原则,强调处理个人信息要采取合法、正当的方式,遵循诚信原则;具有明确、合理的目的,并应当限于实现处理目的的最小范围;遵循公开、透明的原则,明示个人信息处理规则;所处理的个人信息应当准确,并采取必要措施保障所处理个人信息的安全,将上述原则贯穿于个人信息处理的全过程和各个环节。二是确立以“告知-同意”为核心的个人信息处理规则,并且根据个人信息处理不同环节和不同信息种类,对个人信息的共同处理、委托处理、向第三方提供、公开、用于自动化决策、处理已公开个人信息等提出专门要求。此外,该法对处理敏感个人信息设立了更为严格的限制,只有在具有特定目的和充分必要性的情况下,才可以处理敏感信息,并且要取得个人的单独同意和书面同意。

《个人信息保护法》的法律责任条款对违反数据处理规则条款的行为确立了罚则。首先,违法情节轻微的,由行政部门责令改正,没收违法所得,给予警告,对应用程序责令暂停或者终止提供服务;仍然拒不改正的,可对企业处以一百万元以下的罚款;其次,违法情节严重的,可以责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下的高额罚款,还可以作出责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照等资格剥夺类的行政处罚;再次,违法处理数据的行为将被记入企业的信用档案并予以公示;最后,构成侵犯公民个人信息罪等犯罪的,依法追究刑事责任。

 2.数据合规流程性条款

 数据合规流程性条款规定了合规组织体系、合规培训、合规风险评估、合规审计等管理流程,从事前预防体系、事中监控体系、事后应对体系的角度创设企业的数据合规管理义务。《个人信息保护法》中的合规管理义务条款作为流程性条款,规定了个人信息处理者的法定数据管理流程,包括对于个人信息处理活动采取制定内部管理制度和操作规程、对个人信息实行分级分类管理、采取加密和去标识化等安全技术、合理确定个人信息处理操作权限、定期组织合规培训、制定应急预案等技术和管理措施,防止未经授权的访问以及个人信息泄露、篡改、丢失;指定个人信息保护负责人,对信息处理活动和保护措施进行监督;境外信息处理者应报送数据保护专门机构或数据合规官给信息保护部门;定期对个人信息处理活动进行专业审计;对个人信息处理活动进行个人信息保护影响评估;对信息泄露事件采取补救措施,并向信息保护部门报告,等等。

 数据合规流程性条款不仅将合规组织和管理流程引入法律,而且在法律责任条款中确立了与合规政策性条款相同的罚则,企业违反法定数据处理规则和未履行法定管理义务,都将受到相应的行政或刑事处罚,这成为数据保护合规管理体系建设强大的反向激励机制,也使数据保护合规成为我国迄今为止最为先进的全行业强制性专项合规体系。

(三)对两种观点的回应

《个人信息保护法》颁布之后,数据保护领域的法律体系趋于成熟,但是理论界关于数据保护合规性质与范围的不同认识仍然存在。一方面,以数据处理规则的遵守为对象的研究,将企业合规理解为“遵守法律规定”的字面意思,因而数据保护合规也就是遵守相关法律的数据处理规则,在收集、存储、使用等各个环节遵纪守法,避免因违法违规处理数据遭受处罚。另一方面,以数据管理义务的履行作为数据保护合规主要范围的思路,将企业合规限制于合规风险评估、合规培训、合规审计等特定管理措施和技术措施,合规义务被等同于管理义务,而法律为规范数据处理所规定的一系列禁止性和义务性条款,则被排除在数据保护合规的范围之外。

 从数据保护合规的性质来看,其是企业为防控数据合规风险所建立的一套公司治理体系,不同于“合乎数据处理规范”“遵守数据处理规则”的概念,具有公司治理的丰富内涵,尤其是数据合规流程性条款所规定的一系列管理和技术措施,当然属于数据保护合规的重要组成部分,以数据处理规则的遵守为对象的研究显然是片面的。

 从数据保护合规的范围来看,数据保护合规由数据合规政策和数据合规管理流程两大要素组成,数据保护合规条款也由合规政策性条款和合规流程性条款构成。而且,数据合规政策、标准、守则应当成为数据保护合规体系的中心,合规管理流程则处于合规政策保障性措施的地位。以合规管理义务的履行为对象的研究专注于合规流程性条款,忽略了合规政策及其法律条款的中心地位,使得数据合规体系因缺乏合规政策要素而不完整,也使合规管理流程的搭建犹如无源之水,无法发挥识别、监测、应对违法违规行为的风险防范效果。

 唯有厘清数据保护合规的性质与范围,才能正确框定数据保护合规体系的研究对象。我们需要将现有的两种研究思路加以整合,数据保护合规体系研究应兼顾数据合规政策和数据管理流程,将法律规定的合规政策性条款作为制定数据合规政策、标准、程序的主要依据,同时,将合规流程性条款融入合规组织和管理流程的打造中,保障合规政策的有效贯彻。


二、数据保护领域的合规风险


 企业建立合规计划的目的在于避免合规风险的发生。区别于企业的决策风险、经营风险、财务风险,合规风险专指企业因违法违规行为遭受行政处罚和刑事追究的风险,合规体系的政策和流程都要围绕特定合规风险进行针对性构建。通过分析我国企业在数据保护领域面临的行政风险和刑事风险,可以将数据保护合规风险分为两大类,一是违反合规政策性条款,违反数据处理规则的数据滥用类风险,二是违反合规流程性条款,怠于履行数据合规管理义务的管理失职类风险。无论是滥用类风险,还是失职类风险,都有赖于搭建数据保护合规计划予以一体化防范。

(一)数据滥用类风险

 我国数据保护法律制定了以“告知-同意”为核心的数据处理规则,并且设置了违反数据处理规则的罚则,此类数据合规风险被称为数据滥用类风险。从风险发生的场景维度,数据滥用类风险可以分为数据采集风险、数据使用风险、第三方关联风险。

 1.数据采集风险

 在数据采集阶段,常见场景分别是向用户直接采集、向第三方采集、通过爬虫获得数据,核心风险是未贯彻“告知-同意”规则,未满足充分告知、自愿同意、明确授权、变更再次告知并征得同意、允许撤回同意等完整的规范要求。具体而言,个人信息采集应保证遵守合法性、正当性、合目的性、透明性、最小必要性等原则,告知个人采集信息的目的、用途、期限和个人行使查阅、复制、更正、补充、删除、限制处理、撤回同意、免受自动化决策、数据可携带等权利的方式,取得个人的授权同意,严格控制采集个人信息的数量和频率。尤其是对于特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息,只有在具有特定目的和充分必要性时方可采集,并且要取得个人的单独同意,向个人告知处理的必要性以及对个人权益的影响。在向第三方采集和网络爬虫场景中,更加需要关注多重授权机制的落实,确保取得个人向第三方、被爬虫网站、本企业等多个采集方分别作出的同意。

 数据采集阶段的刑事合规风险主要包括:通过非法购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中非法收集公民个人信息的,可构成侵犯公民个人信息罪;通过爬虫等技术手段非法获取数据信息,可能构成非法获取计算机信息系统数据罪或者非法侵入计算机信息系统罪,获取数据过程中导致计算机信息系统不能正常运行的,可构成破坏计算机信息系统罪;明知是非法获取计算机信息系统数据犯罪所获取的数据而予以转移、收购、代为销售的,构成掩饰、隐瞒犯罪所得罪;建立网站、通讯群组非法获取公民个人信息的,还可构成非法利用信息网络罪。

 2.数据使用风险

 在数据使用阶段,常见场景包括数据提供、数据共享、用于自动化决策、跨境流动,核心风险除了违反“告知-同意”规则以外,还包括将数据用于违法犯罪活动。第一,“告知-同意”规则同样适用于数据使用环节,企业不得超出事前告知的处理目的和处理方式使用个人信息,尤其是向他人提供个人信息的,应当向个人告知接受方的名称、联系方式、处理目的、处理方式和个人信息种类,并取得个人的单独同意。第二,在数据共享场景下,未经被收集者同意,不得向他人提供个人信息,即便是对原始数据进行清洗、匿名化处理后产生的衍生数据,也仍然不能免除信息保护义务,只有经过“去身份化”处理的信息确已不能识别到特定自然人,才能在无需再次征得个人同意的情况下流转和交易。第三,在利用个人信息进行自动化决策时,应当保证决策的透明度和结果公平公正,并提供行使免受自动化决策权的便捷方式。第四,企业在进行数据跨境提供时仍应遵守“告知-同意”规则,取得个人的单独同意,关键信息基础设施运营者和达到规定数量的个人信息处理者还负有数据本地化存储义务,非经网信部门安全评估不得跨境提供。第五,企业还应防止客户、第三方将数据用于违法犯罪活动,不得设立用于实施违法犯罪行为的网站、通讯群组,确保所提供的网络产品和服务未设置恶意程序,不含有法律禁止发布的信息。

 数据使用阶段的刑事合规风险主要包括:非法出售、提供公民个人信息可构成侵犯公民个人信息罪,即便是合法收集的个人信息,只要未经被收集者同意向他人提供,并且未采取匿名化技术措施的,也构成本罪;建立网站、通讯群组非法出售、提供公民个人信息的,构成非法利用信息网络罪;将获取的个人信息出售或提供给他人从事犯罪活动的,可构成帮助信息网络犯罪活动罪或者非法经营、诈骗、传销、侵犯知识产权等相关犯罪的共犯。

 3.第三方关联风险

 企业所面临的数据合规风险常常并非来源于自身。企业作为一种具有法律人格的商业组织,经过集体决策或者经由企业负责人作出决定所实施的危害社会行为,被称为“系统性单位犯罪”,这意味着企业本身就是一个犯罪集团。这种情况虽然在现实中确实存在,但是大部分企业设立的目的不是为了犯罪,且不以犯罪为业,最终会构成犯罪是因为偶发性和不谨慎的因素。数据领域的第三方包括上游数据提供方、中游的数据代理商、下游的数据接受方等等,企业经常受到牵连而承担第三方违法犯罪的连带责任。一旦第三方实施了违法行为,由于企业采取了接受、纵容态度,没有制止或纠正数据滥用行为,没有及时填补管理漏洞、消除制度隐患,最终被推定为构成“非系统性单位犯罪”。

 企业一方面可能构成侵犯公民个人信息罪或者帮助信息网络犯罪活动罪等新型犯罪,另一方面,如果对第三方利用数据实施的传统犯罪知情,还可能构成相关犯罪的共犯。例如,第三方利用网络平台进行赌博活动或者开设赌场,企业作为平台提供方可构成开设赌场罪;而第三方利用网络平台传播淫秽视频和图片的,网络平台可构成传播淫秽物品牟利罪。在快播案中,快播公司虽然没有直接实施传播淫秽物品的行为,但是利用P2P技术提供了用户下载和上传淫秽视频的平台,并且提供缓存服务,由于放任淫秽视频在本平台上大量传播,构成传播淫秽物品牟利罪。

(二)管理失职类风险

 数据合规管理失职类风险来源于法律通过合规流程性条款为企业创设的合规管理义务,企业怠于履行义务,就有可能受到监管部门的行政处罚,一旦造成用户重大敏感信息泄露的严重后果,经监管部门责令采取改正措施而拒不改正的,还可构成拒不履行信息网络安全管理义务罪。为贯彻等级保护和分级分类管理的要求,我国数据保护法律为关键信息基础设施运营者、敏感信息处理者、提供重要互联网平台服务的数据处理者确立了更加严格的数据保护合规管理义务。管理失职类风险可以分为安全管理措施风险、安全技术措施风险、事件补救措施风险三大类。

 1.安全管理措施风险

 安全管理措施是企业为履行数据安全保护义务而采取的管理措施。企业未采取法定安全管理措施,即被认定为未履行安全管理义务,可能遭受行政或刑事处罚。这些安全管理措施主要包括:第一,设立数据安全负责人和管理机构,公开负责人的联系方式并报送职能部门;第二,合理确定内部从业人员的数据处理操作权限,并定期进行安全教育和培训;第三,定期对数据处理情况进行合规审计,加强风险监测;第四,成立主要由外部成员组成的独立机构对数据保护合规情况进行监督;第五,在处理敏感个人信息、利用个人信息进行自动化决策、向他人或境外提供个人信息、委托处理个人信息等场景下,应当事前进行个人信息保护影响评估,并报送评估报告;第六,建立安全投诉、举报制度,公布举报方式等信息,及时受理投诉和举报;第七,严格资质管理,如数据服务经营者依法取得经营业务许可或者备案等等。

 2.安全技术措施风险

 安全技术措施是指企业为保护数据安全所采取的必要技术措施,主要包括:第一,防范计算机病毒和网络攻击、网络侵入的网络运行安全技术措施;第二,检测、记录网络运行状态、网络安全事件的技术措施,留存网络日志不少于6个月;第三,防止未经授权访问以及个人信息泄露、篡改、毁损、丢失的安全技术措施,如加密、备份、去标识化等等。一般而言,数据泄露和丢失的常见风险场景有数据存储的物理介质或逻辑映像失窃、内部管理员舞弊泄露数据、应用端的数据泄露等等,企业应当采取必要的技术措施保障数据安全,为保护数据不泄露,需要采取数据加密措施;为保护数据不丢失,需要采取分类存储措施。

 3.事件补救措施风险

 我国数据保护法律的合规流程性条款高度重视违法事件发生后的补救措施,企业在下列补救措施方面懈怠失职的,不仅构成合规管理失职行为,还会导致加重处罚。第一,发生或者可能发生个人信息泄露、篡改、丢失的,企业应当立即采取补救措施,并将信息种类、事件原因、可能造成的危害、补救措施、企业的联系方式等事项通知职能部门和个人。第二,网络经营企业发现网络产品和服务存在安全缺陷、漏洞等风险的,应立即采取补救措施,并按规定及时告知用户,保存有关记录,向主管部门报告。第三,网络经营企业对于违反法律、行政法规的信息,一经发现,应立即停止传输该信息,采取消除等处置措施,防止信息扩散。第四,制定数据安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险,发生危害数据安全事件时,应立即启动应急预案,采取相应的补救措施,并按规定向主管部门报告。


三、数据保护合规体系的基本原则


 以合规政策为中心、以合规管理流程为保障的数据保护合规体系建设需要遵循一系列基本原则,包括处于核心地位的有效数据合规原则,以及为数据保护合规体系建设提供方法指导的行政合规与刑事合规一体化建设、对外合规与对内合规相分离、全流程数据合规、数据合规技术等原则。这些基本原则既体现了有效合规管理的理念和方式,也与数据保护这一专项领域相契合,贯彻了数据保护基本原则的要求,体现了数据保护合规体系的专业性。

(一)有效数据合规原则

 合规计划的生命在于有效,从价值维度分析,企业合规有助于企业减少损失,切割责任,获得行政和刑事执法上的宽大处理,实现长久的可持续发展。企业合规之所以具有法律评价和经济效益上的优待价值,关键在于其发挥了有效防控合规风险的功能。根据企业合规基本理论,有效合规计划在预防机制、识别机制、应对机制等三大标准体系中包括合规制度、合规管理机构、合规培训、合规文化、合规风险识别、合规风险评估、合规风险处置、合规审计、合规举报、内部调查、合规问责与惩戒、持续改进等十二项要素。

 数据保护合规计划同样以有效数据合规作为统领性原则,该原则的作用范围贯穿数据保护合规体系的设计、执行、效果三大环节。在设计环节,有效数据合规原则要求数据保护合规体系具有要素完备性、可行性、专业性,合规政策应穷尽相关法律对数据处理规则的禁止性和义务性规定,并针对内部员工和外部第三方涉及的业务场景进行细化制定;合规管理流程应囊括事前防范、事中监测、事后应对程序,建立数据保护管理和技术措施。在执行环节,有效数据合规原则要求企业的数据合规建设得到领导层的高度重视,具有专业的数据合规人才储备和成熟的现代企业管理结构,投入充足的人力、物力资源,具备执行合规管理体系的条件和能力。在效果环节,有效数据合规原则要求合规政策得到员工的切实遵守,合规管理流程高效运转而不至流于形式。例如,通过员工考试检验合规培训行之有效,通过受理举报、开展内部调查、处理责任人的实际案例确保合规举报和奖惩机制富有成效,通过停止存在数据安全隐患的产品和服务证明数据保护影响评估制度有效运行。

(二)行政合规与刑事合规一体化建设原则

 行政合规与刑事合规的一体化建设在日常性合规管理体系中分歧不大,毕竟,企业建立合规体系是为了避免遭受行政和刑事处罚,自然应当注重行政风险和刑事风险的一体化防控。但是在违法行为发生后的合规整改中,考虑到整改期限较短,根据针对犯罪原因而采取补救措施、预防企业再次实施犯罪的刑事合规特性,行政合规和刑事合规相分离的理念得到一定认可。论者主张企业在合规整改中应建设以制度纠错为主要方式的刑事合规,检察机关当重点审查合规计划的实施是否能够消除犯罪条件,同时建设行政合规则是既不必要、也不现实的。

 这种观点或许在其他专项合规领域具有一定合理性,但是对于数据保护合规体系而言,无论在日常性合规体系建设,还是在违法行为发生后的合规整改中,都应当遵循行政合规与刑事合规一体化建设原则。首先,行政违法和刑事犯罪之间的界限十分模糊。数据保护领域的犯罪均为法定犯,“违反国家规定”作为空白罪状意味着行政法律体系关于数据处理规则和管理义务的规定本身就是犯罪构成要件之一,在此基础上,只要符合数量、情节等特定构成要件就足以转化为犯罪。其次,数据犯罪特定构成要件的门槛极低。以侵犯公民个人信息罪为例,侵犯行踪轨迹、财产信息等敏感个人信息50条以上即可构成犯罪,对于从事海量化数据处理的现代企业而言,一旦忽视行政合规风险防控,任由侵犯50条以下公民个人信息的违法行为发生,再次构成犯罪几乎成为必然结果。最后,有效的数据合规管理体系足以实现行政合规风险和刑事合规风险的一体化防控。在合规体系建设方面,行政合规和刑事合规的区别仅在于合规政策的涵盖范围,而合规管理组织和流程则是通用和兼容的,只要合规政策将行政法律和刑事法律的规范均转化为内部守则,合规管理流程即可实现行政合规和刑事合规风险的一体化预防、识别与应对。

(三)对外合规与对内合规相分离原则

 数据跨境流动中的合规问题始终是理论界和实务界关注的焦点。在维护数据主权和保障国家安全维度,数据本地化存储至关重要;而在参与国际贸易和发展数字经济维度,数据跨境流动无法避免。学界提出“双向合规”的理论构想,意指企业应实现对外合规与对内合规的兼顾与统合。但是,从数据保护合规体系建构理念和方法来看,仍应树立对外合规和对内合规相分离的基本原则。

 首先,我国数据保护法律为对外合规设置了特殊的合规政策和管理流程。企业跨境提供数据应当满足网信部门安全评估、专业机构个人信息保护认证、与境外接收方订立合同三大条件之一,并且履行详尽告知义务。网信办更是作出细化规定,要求企业应事先开展数据出境风险自评估,凭借自评估报告和与境外接收方拟定立的合同方能向网信部门申报出境安全评估。其次,国内外数据保护法律规定的合规政策性和流程性条款存在差异。目前全球已有130余个司法辖区颁布了综合性数据保护法律,各国法律确立的合规条款不尽相同,如欧盟《通用数据保护条例》在个人信息处理合法性事由等政策性条款和数据保护影响评估等流程性条款方面,与国内法有着显著区别。企业只有在国外设立营业机构或者提供产品服务时,才需要根据当地法律进行针对性的国别差异化管控。最后,对外合规与对内合规相分离原则有助于舒缓企业的合规压力。将双向合规视为提升国家在国际贸易和全球数据治理中的竞争力和话语权的思路给企业带来过重的合规负担,而企业合规不仅是企业的义务,福利型政府也应通过公共法律服务予以保障。在当前国内数据保护合规建设的起步阶段,对外合规和对内合规相分离原则的坚守也是基于政府有限监管资源和企业有限合规资源的现实选择。

(四)全流程数据合规原则

 全流程数据合规原则要求企业的数据保护合规体系既要涵盖收集、存储、使用、加工、传输、提供、公开、删除等数据全生命周期,也要贯彻研发、设计、生产、销售、服务等业务全流程。企业打造专项合规计划时面临的巨大挑战,是如何将有效合规计划标准和要素嵌入企业生产经营活动的每一道流程,使合规计划由纸面文本顺利落地,在商业实践的各个业务环节发挥全方位风险防范和监测的作用。

 全流程数据合规原则最为典型的立法例是欧盟《通用数据保护条例》规定的设计和默认数据保护制度(Data protection by design and by default),即在产品和服务的设计之初以及业务开展全流程贯彻数据保护要求,遵守数据全生命周期处理规则和管理流程。一方面,在设计之初直至所有业务环节确保数据信息采集、存储、使用等处理活动符合合法、正当、必要、诚信、目的限制、公开透明、数据质量等基本原则和政策性规则,例如,在开展数据处理前明确数据的范围和处理方式,履行告知义务,用数据最小化原则来尽量减少个人信息的处理,并且仅处理实现目的所必须的数据;另一方面,在业务全流程中建立数据保护合规管理流程,设置数据合规官、对个人信息采取分级分类管理、开展数据保护影响评估和第三方尽职调查、采取去标识化处理等技术安全措施,等等。

(五)数据合规技术原则

 数据保护合规体系具有显著的技术依赖性,数据合规技术原则要求数据保护合规深入技术、利用技术、创新技术。首先,数据保护合规体系需要深入技术。数据与技术相伴而生,数据作为生产要素,需要通过技术手段打造成为产品和服务,方能投入市场经营。因此,数据保护合规政策的制定和管理流程的落实都必须深入技术内部,对业务活动开展所依托的网络爬虫、人工智能、区块链等技术环节实施合规管控。其次,数据保护合规体系需要利用技术。我国数据保护法律在合规流程性条款中将技术措施与管理措施并列,成为数据保护合规管理流程的重要组成部分。这些技术措施主要包括:(1)对数据进行匿名化或去标识化处理;(2)对数据进行分级分类,进行物理或逻辑隔离存储;(3)采用身份认证、进程监控、日志分析和安全审计等技术手段,对数据存取情况进行监测记录等等。最后,数据保护合规体系需要创新技术。在对海量业务数据进行合规监测和管理的过程中,传统的数据清单等方式无法记录数据的全生命周期,尤其是无法涵盖大量的非结构化数据,更无法有效识别数据类型并合理配置管理资源。实践中一种称为数据流映射或者数据流测绘(Data flow maps)的技术应运而生,该技术可以通过系统或程序描绘数据的流动过程,清晰记录数据的使用情况;可以计算处理的特定数据元素,包括对不同类型的敏感信息进行标记;可以识别数据在生命周期中不同阶段的风险,在业务流程的每个环节中进行数据保护合规管控的特别提示。数据合规技术原则深入技术、利用技术、创新技术的基本内涵,既是保障数据保护合规体系针对性和有效性的必然要求,也是持续改进合规流程体系、提高合规风险防控效果的关键措施。


四、数据保护合规体系的搭建


 企业为有效防控数据合规风险,避免遭受定罪量刑、天价罚款、取消上市资格、吊销营业执照等严厉的行政或刑事处罚,产生建立数据保护合规体系的强烈意愿。根据企业合规基本理论,有效合规管理存在两种模式,一是日常性合规管理模式,是指企业根据常态化的合规风险评估结果,为防范企业潜在的合规风险,开展合规管理体系建设的一种方式;二是合规整改模式,是指企业在面临执法调查的情况下,针对其经营模式、管理方式、决策机制等方面所存在的漏洞和隐患,进行有针对性的制度修复和纠正错误的一种治理方式。两种模式的制度构造和建设方式虽然存在一定差异,但都需要打造一套有效的数据保护合规体系,以实现整体的和长效化的数据治理。

(一)目前合规体系搭建的主要问题

 目前多数企业的数据保护合规实践尤有诸多不足。由于《个人信息保护法》等法律只是数据保护领域的基本法律,在制度建设方面还有很多需要细化的地方,企业在建设数据保护合规体系方面又缺乏丰富的经验,因此有必要提出系统性的构建方案。

 1.合规政策的针对性问题。数据保护合规政策在合规体系中处于中心地位,但是各个企业在制定合规政策和员工手册时常常出现同质化和形式化问题,缺乏针对性成为目前合规政策制定环节面临的首要问题。首先是合规政策没有针对国内法律制定,企业经常直接翻译国外数据保护法条作为合规政策,而不进行任何修改和本地化调整,从而违反对外合规和对内合规相分离原则。其次是合规政策没有针对本企业实际情况制定,而是直接复制头部企业的数据保护政策条款,既没有作出契合本企业经营情况的修改,也没有依据本企业的行业特征进行优化,使许多合规政策形同具文。最后是合规政策没有针对特定业务场景进行细化,只是对法律合规条款的简单重复,而没有深入设计、生产、经营等流程详细展开。

 2.合规流程的体系性问题。企业在实际打造合规流程时,常常只关注数据保护法律在合规流程性条款中列明的管理措施,而缺乏基本的体系性。我国数据保护法律只提及合规负责人、合规培训、合规风险评估等内容,而且这些条款大都是较为简略的原则性规定,不能为流程体系搭建提供足够的规范支撑。至于合规内部调查、合规尽职调查、合规报告、合规问责与惩戒等管理流程,则没有出现在法律中。因此,企业如果仅以流程性条款为指导,一方面,特定管理流程的建设将不成体系,无法实现制度闭环。例如,企业的合规培训流程往往忽略组织员工签署合规承诺书,以及对培训效果进行测试等环节;响应主体权利流程经常不能形成接受权利主体请求、处理请求、反馈信息的内部工作流,导致请求淹没在数据保护、信息技术、业务职能等不同部门的流转之中。另一方面,由于缺失了有效合规计划的部分要素,各个合规管理流程之间可能无法形成贯穿事前防范、事中监测、事后应对的防控系统,使管理流程因体系化不足而存在疏漏。例如,在缺乏合规内部调查机制的情况下,风险评估和违规事件应对机制根本无从运转;合规尽职调查机制的缺失,则使得企业的第三方合规管理处于失控状态,仍然暴露在巨大的第三方关联合规风险当中。

 3.合规组织的专业性问题。数据保护合规组织体系搭建的常见问题主要集中于完备性和专业性两个方面。不过,中小微企业由于客观条件的限制,无法构建完整的专项组织体系,此时只要符合最低限度的组织要求即可。最具争议的理论问题在于合规组织成员的专业性。关于合规组织组成人员的专业背景,实践中有两种模式,一种是以中兴通讯公司为代表的法律专业模式,合规团队主要由法律专业背景的人员组成;另一种是以华为公司为代表的技术专业模式,合规团队主要由通信、计算机等技术专业背景的人员组成。本文认为,企业合规是一种专业的法律风险管理活动,根据有效数据合规原则,数据保护合规组织的主体应由法律专业人员组成,确保合规政策和管理流程具有风险导向性,围绕防控行政和刑事违法事件展开。而根据数据合规技术原则,数据保护合规离不开技术措施的投入,为实现全流程数据合规管控,提升数据合规智能化和自动化水平,团队中也需要配备若干数据处理技术专业人员,专门从事数据合规技术措施的研发和运行监测。

 4.合规体系的纸面化问题。合规体系的纸面化问题是数据保护合规体系执行和效果环节暴露出的重大问题。即便合规政策和管理流程设计再良好,一旦无法得到有效执行落地,合规体系就必然是流于形式而无效的,爆发合规风险将只是时间问题。合规体系的有效执行可以通过最高层合规承诺、拥有自主权及必要资源的合规组织、有效的奖惩措施等方式来保障,效果环节的有效性则主要通过合规审计进行检查,并依据合规审计报告不断完善合规体系。当然,要使我国企业的数据保护合规体系进一步焕发生机,还要从改善合规制度的基础性条件和强化合规治理的激励性措施两个角度着力。一方面,有效合规计划需要现代公司治理结构作为基础性条件,我国公司治理中的两权分立不足、组织化水平低下、权力集中于股东会,依据公开透明的信息进行交往并不占据主导方式,导致合规的公司制度条件不足。另一方面,数据合规的行政和刑事正向激励机制有待强化,相对而言,刑事司法领域合规不起诉制度改革试点的稳步推进,使得数据保护合规获得刑事出罪的激励效果,未来应通过立法加以巩固;但是数据保护行政执法中尚未建立起合规免罚机制,仍然采取严刑峻罚的执法思路,如果能引入行政和解制度,引导企业通过数据保护合规整改换取行政免罚,将极大激励企业建立“去纸面化”的数据保护有效合规体系。

(二)数据保护合规体系的完善

 面对实践中数据保护合规的纸面化和针对性、体系性、专业性不足等问题,企业需要从数据保护合规政策和合规管理流程两个层面完善数据保护合规体系。当然,在违法行为发生后的合规整改程序中,企业应当首先采取违法违规事件的处置和补救措施;其次是开展内部调查,查找违法违规原因;再次是针对管理漏洞、隐患和缺陷,进行有针对性的制度纠错和管理修复;最后才是搭建有效的数据保护合规体系。

 1.数据保护合规政策的完善

 合规政策是面向客户、第三方、被并购企业的外向型规则,员工手册则是针对企业高管、员工、分支机构的内部守则。制定数据保护合规政策和员工手册要穷尽数据保护法律的禁止性和义务性条款,并与数据合规风险和特定业务场景相结合,实现“风险导向”和“场景细化”。例如,中兴公司建立了包括政策、手册、原则性规范、场景化指引的四级数据保护合规规则架构。首先,员工手册分为总册和业务领域分册,尤其强调引入运营商业务、政企业务、消费者业务等具体业务场景后对总册进行细化。其次,在原则性规范方面,中兴公司分别制定《数据保护合规管理规范》等管理体系类政策、《隐私通知及设置规范》等通用要求类政策、《个人数据泄露响应规范》等专项治理类政策、《供应商数据保护合规管理规范》等相关方管理类政策。最后,场景化指引是原则性规范结合业务实际场景而形成的具体指导书,明确单个业务活动中整个数据生命周期的流转和具体的风险及管控点,使得一线员工能够清晰了解合规要求和具体的合规动作,在遇到具体的合规问题时有据可依,实现规则的透明化、可视化,保障规则的及时性和可落地性。

 2.数据保护合规管理流程的完善

 其一,数据保护合规组织体系一般包括数据合规管理委员会、首席数据合规官、数据保护合规部、每个业务单元中的数据保护合规专员等四级架构。在数据合规管理实践中,中兴通讯公司成立了由总裁直接领导的合规管理委员会,作为负责合规管理体系运作的最高指导机构,听取数据保护合规重大事项汇报并进行指导。在其领导下,各业务单位、合规专业部门与合规稽查部各司其职,协调配合,构成中兴公司合规风险管理的三道防线。其中,由数据保护合规官领导的数据保护合规部是进行数据保护工作的专业部门,负责数据保护合规策略和合规规则的规划、制定、执行与监督,对具体业务流程的合规风险进行评估和审查;业务单元的数据保护合规专员关注合规政策的可落地性以及管理成本的最优化,推动合规政策落地,并评估合规政策的合理性;合规稽查部门关注规则盲点以及风控与管理的平衡问题,考察合规风险是否得到有效治理,验证合规体系的有效性。

 其二,数据保护合规防范体系由合规风险评估、合规尽职调查、合规培训三大板块构成。

 数据保护合规风险评估制度又称数据保护/个人信息保护影响评估,企业对数据处理活动存在的风险点进行定期评估,并保存评估报告和处理情况的记录,以便发现处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向第三方提供个人信息、向境外提供个人信息等过程中的合规风险点。数据保护影响评估包括三项内容,首先是个人信息的处理目的、处理方式等是否合法、正当、必要,其次是信息处理活动对个人的影响及风险程度,最后是所采取的安全保护措施是否合法、有效并与风险程度相适应。

 合规尽职调查针对客户、第三方商业伙伴、被并购方,其具有三大目的:发现合规风险、诊断商业模式和经营模式、让被调查企业接受合规管理并建立退出机制。首先,企业运用公开信息检索、调查问卷、背景调查、文件审阅、管理层访谈、现场调查等方式展开合规风险评估。其次,如果风险在承受范围之内,则需要建立分级管理机制,针对轻微风险等级的第三方只需进行日常合规培训,针对高风险等级的第三方则需要责令限期整改、提交整改方案和报告。最后,建立退出机制。一旦客户不按照要求进行合规整改,就可以责令退出、解除合同;第三方交易伙伴存在违法违规历史和隐患,未建立数据保护合规体系,拒绝进行合规整改,则立即结束合作。企业在合同中应设立合规条款或者单独签署合规协议书,实践中常见的方式是与第三方单独签署一份融入合规条款的数据处理协议,在协议中记载授权范围等事项的同时,注明本公司的合规政策、合规管控措施和退出机制。

 数据安全和个人信息保护教育培训的内容主要是数据保护合规政策和员工手册,企业要进行全程电子或书面留痕,采取录像、照片、签到本等方式,以证明公司开展合规培训的事实,并要求参加培训的员工签署合规承诺书,承诺严格依照法律法规和授权范围处理数据,员工仍然实施违规行为时责任自负,公司企业无需承担责任。

 其三,数据保护合规监控体系是对违法违规行为进行实时监测和识别的管理体系,包含全流程合规监控、合规审计、违规行为举报、合规报告四项具体流程。

 全流程合规监控要求企业在产品制造、销售、服务等生产经营全流程,针对数据全生命周期,采取必要的技术安全和管理安全措施,保障数据的有效保护和合法利用,对存在违规行为的环节实行合规一票否决制。首先,设计和默认数据保护制度要求在产品和服务的设计之初以及全流程贯彻数据保护要求,确保仅在目的范围内收集和处理个人数据、保证各项数据的质量和准确性、采取相关措施以实现数据最小化的要求、数据处理活动后会及时删除数据或进行去标识化处理。其次,数据主体权利响应制度要求企业针对相应数据主体的权利请求建立便捷的申请受理和处理机制,在产品服务端口和企业内部构建受理请求、处理请求、反馈结果的完整机制。最后,企业必须采取必要的技术和管理安全措施以保障数据信息安全,包括防范计算机病毒和网络攻击、检测记录网络运行状态和网络安全事件、数据分类、重要数据备份和加密、去标识化等技术安全措施,以及体系化的合规管理流程措施。

 数据安全投诉、举报制度要求企业实行24小时举报机制,搭建专门的举报平台,开放并公布电话举报、网络举报等途径,并对举报人进行严格保护和高额奖励。

 合规审计要求对数据信息处理活动进行专项审计和定期审计,发挥合规监控作用。企业应定期对其遵守法律法规的情况进行合规审计,监管部门有权要求企业委托专业机构进行审计。合规审计的对象主要是数据保护政策以及安全措施的有效性,审计过程中发现的个人信息违法收集、违规使用、怠于管理等情况应及时进行处理。对审计过程和结果应形成完整记录并妥善留存,确保能对安全事件的处置、应急响应和事后调查提供支撑。

 合规报告要求企业进行定期和专项报告,通过合规组织体系自下而上地将合规计划运行情况、合规风险、发生的违规行为报告给最高管理层。重要数据处理企业应将定期风险评估报告报送有关主管部门,重要互联网平台企业还应定期发布个人信息保护社会责任报告,接受社会监督。

 其四,数据保护合规应对体系是指违规行为发生后的反应机制。当违规行为发生或者被发现后,企业就要受到外部监管和执法机构的调查,此时需要建立内部的专业反应机制,如果盲目应对,或者采取毁灭、伪造证据等错误方式,就会面临更加严厉的调查和处罚。针对违规行为的应对体系包含四项要求:首先是及时进行合规内部调查;其次是尽快处理违规员工和第三方;再次是尽快发现合规体系漏洞并进行整改;最后是要积极配合调查,主动进行报告披露。

 我国数据保护法律尤其注重数据安全事件应急预案的制定和实施,以及违规事件发生后的补救措施和通报机制。围绕应对体系的四项要求,企业应针对个人信息泄露、毁损、丢失,以及系统漏洞、计算机病毒、网络攻击、网络侵入等引发的网络安全事件,制定内部调查细则、违规责任人处理办法、合规体系和技术漏洞修复措施、停止服务和消除影响补救方案等应急预案,在违规事件发生后立即实施预案,启动调查、处置和补救措施,并向主管部门报告,积极配合事件调查。

结       语


 数据保护合规体系建构的根本目的在于防范数据保护领域的合规风险,为实现这一目的,数据保护合规应当包括数据处理规则的遵守和数据管理义务的履行。在数据保护法律中,前者对应合规政策性条款,后者则对应合规流程性条款;在数据保护合规体系中,前者是处于核心地位的专项合规政策,后者则是保障前者得到贯彻落实的合规组织和管理流程体系,只有将两者相结合,数据保护合规体系才能得到完整建构,发挥有效防控风险的理想效果。相应的,企业违反数据处理规则,或者怠于履行法定的数据管理义务,都可能面临相应的行政或刑事处罚,因此数据保护合规风险可以分为数据滥用类风险和管理失职类风险。

 进入数据保护合规体系的搭建环节,首先要明确企业应当遵循的一系列基本原则,包括有效数据合规原则、行政合规与刑事合规一体化建设原则、对外合规与对内合规相分离原则、全流程数据合规原则、数据合规技术原则。注意到目前实践中的数据保护合规建设存在合规政策针对性、合规管理流程体系性、合规组织体系专业性不足,以及合规计划纸面化等问题,企业唯有从数据保护合规政策与员工手册、组织体系、防范体系、监控体系、应对体系等方面完善数据保护合规体系,才能对企业数据处理和安全管理全流程进行有效监测与防控,从而建立一种具有针对性的数据合规风险防范长效机制。







END

学报编辑部


作者系毛逸潇,北京大学法学院博士研究生。文章发表于《国家检察官学院学报》2022年第2期。微信公号文章有删节,引用请参照原文。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存