重视数据安全，构建数据安全合规体系

　　随着科学技术的迅猛发展，合规建设越来越受到企业普遍重视，成为企业行稳致远的重要保障。大数据与5G、人工智能、区块链等信息技术融合，成为一种新的生产要素；自然资源的滥采，加剧了社会进步与环境保护之间的矛盾。由此推动“数据”与“合规”、“环保”与“合规”的联结，围绕数据安全合规、环境合规的规范体系审视、风险甄别、体系构建也由此展开，成为企业合规未来发展方向。 

　　

　　随着大数据与5G、人工智能、区块链等新一代信息技术的日益融合发展，数据作为一种新的生产要素，不仅种类日益增多、规模极速扩张，其价值也进一步被延展和释放。数据安全合规越来越受到普遍重视，甚至成为现代企业生存发展的关键。“数据”与“合规”的联结主要体现在三个层面：一是基于各类实体法规定开展合规建设，防范企业因涉嫌违法犯罪而遭受行政处罚或刑罚的风险；二是在程序法层面利用刑事诉讼制度引导、激励企业建立和执行合规计划；三是投射数字法治的更大视域，通过强化企业在数据和数字技术方面的刑事诉讼协助义务，推动犯罪治理的数字化转型。围绕数据安全合规的规范审视、风险甄别、困境探析和体系构建也由此展开。

　　

　　我国与数据安全合规联系最为密切的三部法律，分别是网络安全法、数据安全法和个人信息保护法。其中，2017年实施的网络安全法作为我国首部全面规范网络空间安全管理方面问题的基础性法律，不仅重点规范网络运行安全、关键信息基础设施的运行安全，也提出了有关数据安全与个人信息保护的一般规定。2021年实施的数据安全法和个人信息保护法，则明确规定了数据处理者的合规义务。包括：第一，建立数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。第二，处理重要数据应当设立数据安全负责人和管理机构。第三，合理确定内部从业人员的数据处理操作权限，并定期进行安全教育和培训。第四，按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。第五，个人信息处理者应当公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。第六，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。第七，处理个人信息应采取相应的加密、去标识化等安全技术措施。第八，建立安全投诉、举报制度，公布举报方式等信息，及时受理投诉和举报。第九，发生或者可能发生个人信息泄露、篡改、丢失的，应当立即采取补救措施，并将信息种类、事件原因、可能造成的危害、补救措施、企业的联系方式等事项，通知职能部门和个人。第十，建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息，等等。

　　其次，针对数据的跨境流动问题，我国网络安全法、数据安全法以及个人信息保护法，均明确作出了境内数据实行本地存储的限制性规定。比如网络安全法第37条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估等。网络安全法对关键信息基础设施运营者在境内收集和产生的个人信息和重要数据应当本地化储存，确需向境外提供的，按照有关办法进行安全评估等规定。2022年，国家网信办发布的《数据出境安全评估办法》（以下简称《评估办法》）和《数据出境安全评估申报指南（第一版）》（以下简称《评估指南》）构建了数据安全评估的基本框架，具体规定了安全评估的适用范围、评估程序、评估内容、评估方法等。关于数据跨境也需关注境外规范的发展。目前世界各国采取不同模式，尚未达成共识。比如欧盟对数据跨境流动采取了比较严格的限制政策，主要依据是《一般数据保护规则》(GDPR) 和《非个人数据在欧盟境内自由流动框架条例》，明确了数据跨境流动的“充分性”标准，为数据流动的安全提供了保障，但复杂的认定程序与高标准在一定程度上限制了数据的自由流动。与欧盟的严格限制不同，美国采取鼓励数据自由流动的宽松政策，将“跨境数据自由流动”作为贸易协议的内容，以此打破其他国家的数据出境壁垒并希望构建无障碍数据流动圈。美国出台的《澄清境外数据的合法使用法案》( CLOUD 法案) 更是允许政府跨境获取数据，打破数据属地管辖模式，实现长臂管辖。

　　此外，我国网络安全法、数据安全法均规定了网络运营者等组织、个人协助我国执法司法机关侦查犯罪、调取数据的义务。如数据安全法第35条规定，公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合，并在第48条规定了不予协助的罚则。在国际司法协助方面，数据安全法第36条规定，非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。国际刑事司法协助法第4条亦有类似规定。

　　

　　企业开展数据安全合规防范的风险，主要包括以下六种类型：

　　一是侵犯个人信息。主要表现为利用手机应用程序违法收集并关联用户的个人信息账户；网络平台设定强制性的条款，如规定用户若拒绝提供个人信息，则不得使用相应的手机应用程序等；网络经营者违法披露用户数据信息；数据处理者未设置保护措施，加大了数据侵权风险。对此，2021年5月实施的《常见类型移动互联网应用程序必要个人信息范围规定》中，明确了39种常见类型应用必要的个人信息收集范围，并且要求应用程序不得因为用户拒绝提供非必要个人信息而拒绝用户使用其基本服务。刑法层面，非法出售、提供公民个人信息或者在履行职责、提供服务过程中非法收集公民个人信息的，可能构成侵犯公民个人信息罪。

　　二是侵犯商业秘密。企业既存在着商业数据秘密被他人侵犯的风险，也存在着侵犯他人商业数据秘密的风险。我国为应对商业数据秘密泄露提供了民事、行政以及刑事层面的多重保护，特别是《刑法修正案（十一）》对侵犯商业秘密罪刑事入罪标准、责任认定标准的修改，通过降低侵犯商业秘密罪的入罪标准，加大对侵犯商业秘密的行为的打击与震慑。

　　三是侵犯消费者权益。比如网络购物中的“大数据杀熟”现象，同一商品老用户会比普通用户看到的价格高；“默认自动消费”的格式条款侵犯了消费者的权益；数据信息的采集者和处理者滥用大数据分析消费者的消费倾向，侵犯了消费者的隐私。对此，除了加强个人信息保护法、网络安全法的执法司法力度，也需关注行政机关的应对机制，比如2021年国务院反垄断委员会发布了《关于平台经济领域的反垄断指南》，对侵犯消费者权益的平台不公平价格行为进一步加强监管。

　　四是构成不正当竞争。主要表现为企业未经许可利用信息技术在互联网上抓取商业数据、掌握消费者偏好，从而提供能够替代其他经营者所提供的产品和服务的行为，受反不正当竞争法的规制。

　　五是危害网络安全。主要表现为：通过爬虫等技术手段非法获取数据信息，可能构成非法获取计算机信息系统数据罪或者非法侵入计算机信息系统罪；获取数据过程中导致计算机信息系统不能正常运行的，可构成破坏计算机信息系统罪；建立网站、通讯群组非法出售、提供公民个人信息的，构成非法利用信息网络罪；将获取的个人信息出售或提供给他人从事犯罪活动的，可构成帮助信息网络犯罪活动罪或者非法经营、诈骗、传销、侵犯知识产权等相关犯罪的共犯；明知是非法获取计算机信息系统数据犯罪所获取的数据而予以转移、收购、代为销售的，可能构成掩饰、隐瞒犯罪所得罪。

　　六是危害国家安全。数据跨境流动除了带来以上风险，还有可能危害国家安全。如前所述，网络安全法、数据安全法、个人信息保护法均对数据跨境流动作出限制，评估办法和评估指南也均要求可能影响国家安全、经济发展、公共利益的数据在出境前应先报请行业主管或监管部门组织安全评估。企业若未经国家相关部门批准而将数据擅自传输至国外，也可能面临行政处罚或者构成刑法中国家安全犯罪的风险。

　　

　　随着数据安全合规立法的快速跟进、对数据安全合规风险的准确识别，我国数据安全合规建设在更好适应社会网络化、数字化发展的同时，也面临着操作层面的三重困境：

　　首先是由国内法律义务冲突引发的合规困境，主要指向刑事诉讼协助义务与其他有关数据的法律义务的衔接、协调问题。如前所述，三部数据法律均同时规定了维护网络安全及个人信息和协助侦查机关调取数据的义务，但是仅个人信息保护法简要规定了不同义务发生冲突时的衔接协调机制。比如第13条规定了处理个人信息不需取得个人同意的例外情形，第18条规定了可以不向个人告知处理其信息的紧急情况，第35条规定了妨碍国家机关履行法定职责可不告知的例外情形。这些规定虽然基本确立了刑事诉讼协助义务的优先性，但是缺少机制层面的对应。具体而言：一是未明确协助范围是基于企业自身业务还是运营网络控制或处理的全部还是部分数据；二是未明确协助期限是围绕个案还是一定期限内的常态协助；三是未明确侦查机关要求提供协助的具体程序；四是刑事诉讼制度本身没有对于上述紧急、例外的审查程序和有关协助的运行机制。如果不对这些衔接协调机制进行细化，企业难免处于违反个人信息保护与妨碍刑事诉讼顺利进行的两难境地。

　　其次是由国际法律义务冲突引发的合规困境。网络空间的弱地域性与网络规则的强地域性抵牾导致越来越多的组织或个人陷于多国法律、国际规则的交叉适用甚至冲突之中。如前所述，我国法律明确限制企业未经许可自愿向境外司法执法机构提供数据或协助侦查取证，但这些机构是根据其本国法判断取证的合法性与合目的性。2019年三家中资银行以违反中国法律为由，拒绝美国法院调取指定客户数据的要求，结果被美国法院判藐视法庭罪并被处以每日五万美元的罚金正是这一矛盾升级的典型例证。在各国普遍扩张执法管辖权却又不断强化数据流动边界的情况下，简单以国内外法律冲突为由已经很难让企业免予法律追究了。除此之外，数据跨境还面临着个人信息保护范畴内的诸多挑战，比如不同司法执法管辖区域，对个人信息保护制度中的术语概念、适用范围、分类标准、保护措施、义务主体等都有不同的规定。更勿论各国在刑事司法与个人信息保护的衔接机制上还存在很大差异。

　　最后是由合规成本引发的合规困境。一方面，企业在防范数据安全合规风险上的投入，甚至即便是在涉罪前提下进行合规整改的成本，都与其商业利益存在一定的冲突；另一方面，企业在为执法司法机关提供数据或技术协助时，无论是在个案中配合具体诉讼措施，还是建立常态化的协助平台或机制，通常都需要采取特定技术或流程保障数据安全、减轻或避免妨碍业务正常运营，而执法司法机关提供的协助补偿通常难以全面覆盖其成本。

　　

　　数据安全合规规范的蓬勃发展叠加企业合规改革的强劲势头，促使企业在更加准确识别合规风险的同时，也面临着诸多合规困境。立足企业良性运营、个人信息保护、数字经济发展、数字法治转型、国家安全保障的多维价值高地，数据安全合规体系的构建需要以下三个方面的共同进益：

　　一是完善数据安全合规技术体系。数据必须依靠技术实现储存、转化与利用，因此打造数据安全合规体系的前提是不断精进相应技术。具体包括：创新对数据进行匿名化或去标识化处理的技术；创新数据分级分类，进行物理或逻辑隔离存储；创新采用身份认证、进程监控、日志分析和安全审计等技术手段，对数据存取情况进行监测记录的技术，等等。

　　二是完善数据安全合规管理体系。具体包括：建立由数据安全合规管理委员会、首席数据安全合规官、数据保护合规部、每个业务单元中的数据保护合规专员等组成的多级合规组织；对企业在产品制造、销售、服务等生产经营全流程、数据生命的全周期进行监控，并对数据信息处理活动进行专项审计和定期审计；对数据处理活动存在的风险点进行定期评估，并保存评估报告和处理情况的记录；针对客户、第三方商业伙伴、被并购方认真开展尽职调查；制定数据安全应急预案以及违规事件发生后的补救措施和整改机制；制定数据安全合规手册加强对员工的数据安全和个人信息保护培训。与此同时，企业应当通过不断优化数据安全合规结构，降低合规成本，以确保合规建设的可持续发展。

　　三是完善数据安全合规规范体系。在国内法层面，在刑事诉讼法中增加关于企业合规的一般规范，包括激励机制和适用程序，并增加关于刑事诉讼协助义务的规定，明确侦查机关调取数据的紧急和例外情形；在数据信息立法中进一步明确刑事司法活动的优先性及其具体衔接机制。在国际法层面，积极探索数据跨境通道，同时积极参与、推进联合国当前正在进行的新网络犯罪公约的起草和谈判工作，尽可能为开展跨境犯罪治理夯实规范基础。

　　〔本文为国家社科基金“把社会主义核心价值观融入法治建设”重大研究专项《社会主义核心价值观融入检察机关服务保障民营经济健康发展研究》（批准号：20VHJ004）的阶段性成果。〕

　　● 责任编辑：刘海燕