法治政府示範｜數字經濟時代數據合規建設路徑分析【走出去智庫】_風聞

走出去智库-走出去智库官方账号-2021-05-11 21:18

2021-05-11

走出去智庫觀察

當前，受逆全球化影響，中國走出去企業不斷遭遇國際貿易摩擦和日趨嚴格的國際監管環境，甚至因對合規經營管理風險預判不足和應對不當而遭受巨大經濟損失。“經國序民，正其制度。”強化合規管理是企業在經濟全球化大潮中得以行穩致遠的“安全閥”和“壓艙石”，對於走出去的中國企業來説，合規經營是必然選擇。****

深圳在踐行中國特色社會主義先行示範區方面積極謀劃合規頂層設計，率先開展合規體系建設，打造合規示範區，推動出台全國第一個地方合規建設指導性文件，為深圳合規建設制定時間表和路線圖。中共深圳市委全面依法治市委員會辦公室和深圳市司法局主辦的內參《深圳法治評論》特設合規欄目，從企業合規、行業合規、司法合規入手，大力開展合規宣傳與強化合規管理意識，讓合規精神成為企業的內在特質，在走出去過程中更加行穩致遠。

走出去智庫（CGGT）為《深圳法治評論》提供學術資源支持，與業界專家深度開展合規課題研究，並與國際化頭部企業探討跨境合規實務，發表系列合規文章。今天我們刊發走出去智庫（CGGT）特約法律專家、北京師範大學網絡法治國際中心執行主任吳沈括的文章，供關注數據合規管理的讀者參考。

要點

CGGT，CHINA GOING GLOBAL THINKTANK

1、********自2021年1月1日起施行的《民法典》，首次在民法層面就個人信息問題做出了明確、直接的立法規定，在我國《刑法》與《網絡安全法》之外，為公民的個人信息保護提供了進一步的法律依據，補齊了長期以來我國民事法律制度中的一塊短板，具有重大里程碑意義。****

2、****在行業監管層面，金融、醫療健康、教育、電子商務、寄遞、人工智能等重點數據相關行業或領域將進一步加強行業內網絡安全和信息安全的規範和監管工作。

3、歐盟《一般數據保護條例》（GDPR）對於公民權利、經濟自由、數據主權、公共安全等多重訴求在不同產業、不同情境中引入了新的動態平衡取捨，包括充實個人的權利內容，提升歐盟內部市場的價值位階，強調規範落實的機制保障以及建構個人數據跨境傳輸的全球化管控機制。

4、深圳在制定相關數據合規政策時有必要堅持數據安全可控原則，全面培育發展數字經濟，切實保障數據依法有序流動與跨境傳輸。

正文

CGGT，CHINA GOING GLOBAL THINKTANK

數字經濟條件下，數據作為關鍵要素對經濟制度基礎和經濟發展方式的戰略性意義在黨和國家層面已經成為共識：2017年12月，在中共中央政治局就實施國家大數據戰略進行的第二次集體學習中，習近平總書記強調“要構建以數據為關鍵要素的數字經濟”；2019年10月，十九屆四中全會把數據與勞動、資本、土地、知識、技術、管理並列為生產要素；2020年4月9日,中共中央、國務院公佈《關於構建更加完善的要素市場化配置體制機制的意見》,明確提出“加快培育數據要素市場”。

毋庸置疑，中國社會正快速進入以數據為新驅動的歷史新階段：一方面，着眼各類數據資源的流轉利用，在以大數據、雲計算、物聯網以及人工智能等為代表的新一代信息技術的普及應用過程中，不斷湧現更多的發展機遇；另一方面，着眼各類數據資源的安全保護，在數字化迭代的環境中也持續出現來源更為廣泛、程度更為深刻的安全風險。數字化轉型已經成為國家各項政策戰略和大政方針的核心組成部分，在數字經濟的培育建設當中，數據合規的權重和意義也在不斷地更新和提升。

中國數據合規體系

（一）相關法律法規

2017年6月1日,《網絡安全法》正式施行。基於《網絡安全法》的總體制度框架,在《網絡安全法》實施的當日,《網絡產品和服務安全審查辦法(試行)》[1]《互聯網新聞信息服務管理規定》和《互聯網信息內容管理行政執法程序規定》等配套規定也生效實施。此外,《關鍵信息基礎設施安全保護條例》作為《網絡安全法》最重要的配套規定,在同年7月11日已經由中央網信辦公開徵求意見。隨着網絡安全法治體系的不斷完善,國家標準、部門規章、行政法規等諸多規範將不斷提供《網絡安全法》實施的配套細則。

作為我國電商領域首部綜合性法律，自2019年1月1日施行的《電子商務法》為電商行業的發展帶來了重要影響。對於電商納税、微商代購、押金退還、信譽評價、大數據殺熟等行為的正確引導，促進了平台的合規管理，有利於電子商務的健康發展。

自2021年1月1日起施行的《民法典》，首次在民法層面就個人信息問題做出了明確、直接的立法規定，在我國《刑法》與《網絡安全法》之外，為公民的個人信息保護提供了進一步的法律依據，補齊了長期以來我國民事法律制度中的一塊短板，具有重大里程碑意義。****關於個人信息，《民法典》人格權編第1032條延續了《電信和互聯網用户個人信息保護規定》《侵害消費者權益行為處罰辦法》和《網絡安全法》等法規的基本定義，採用“識別性”界定標準；而對於隱私權，《民法典》人格權編第1032條基本採納了目前關於隱私權界定的通説，突出了不願為他人知曉的私密性要求。

2020年7月3日，《數據安全法（草案）》向社會公開徵求意見。從立法定位上來看，我們可以認為《數據安全法》是一部《國家安全法》之下、《網絡安全法》之上的立法。在其立法指向中，強調安全是國家利益，發展也是國家利益，安全和發展是同舉並重的關係。該草案設計了雙重權利保障框架，第一是對國家機關的權利保障，相關條款涉及國家與國家工作人員依法行政、依法執法的過程；第二是面對市場環境的權利保障，主要指向三類主體：數據交易中介機構、無照經營者和一般主體。這樣的制度設計，為企業面對國家機關，為企業面對產業生態提供了雙層的保護屏障。從內容設計來看，《數據安全法（草案）》着眼於國家利益的數據管理要求。

在《刑法》中，涉數據犯罪主要包括第285條第2款非法獲取計算機信息系統數據罪的獲取型數據犯罪，以及第286條破壞計算機信息系統罪第2款刪除、修改、增加數據之規的破壞型數據犯罪，還包括對於個人信息、商業秘密、國家安全的侵犯。

此外，對於個人信息的保護方面，2021年4月26日至29日舉行的十三屆全國人大常委會第二十八次會議上,個人信息保護法草案二次提交審議。個人信息保護的立法進程與實施進展可以説是《網絡安全法》下數據合規相關立法中發展最快的領域。

（二）相關指南及標準

2018年6月11日，全國信息安全標準化技術委員會發布《信息安全技術個人信息安全影響評估指南》（徵求意見稿）。

2019年3月3日，App違法違規收集使用個人信息專項治理工作組發佈《App違法違規收集使用個人信息自評估指南》，App自身在可能引起App專項治理工作組關注之前先進行自查自糾。

2019年4月10日，《互聯網個人信息安全保護指南》發佈。

2020年4月28日國家市場監督管理總局和國家標準化管理委員會發佈了《GBT 22240-2020信息安全技術網絡安全等級保護定級指南》,新的國標自2020年11月1日正式實施。

這些標準和指南的發佈，體現出我國現階段對於數據保護及數據安全越來越重視，數字經濟的發展離不開上層建築的完善。

（三）發展趨勢

在立法層面上，《數據安全法（草案）》已經出台，個人信息保護法也已提上日程，《網絡安全法》相關配套法律法規（包括各行業領域數據合規立法）正在逐步完善，《網絡安全法》確立的等級保護制度、信息安全和個人信息保護原則逐次得以細化實施。

在執法層面上，以網絡安全和個人信息保護為重點內容的執法活動仍將活躍，執法活動在實踐經驗的積累下有可能向更多領域展開，同時呈現專項治理與日常常態化監管並重的態勢。

在行業監管層面，金融、醫療健康、教育、電子商務、寄遞、人工智能等重點數據相關行業或領域將進一步加強行業內網絡安全和信息安全的規範和監管工作。

歐美數據合規前沿路徑

（一）歐盟模式

1.歐盟《一般數據保護條例》（GDPR）的制度特色與核心要求

關於GDPR的制度特色，需要指出的是，它在很大程度上反映了歐盟立法者面對雲計算、大數據以及數字單一市場的深入發展，互聯網金融以及跨境電商等新經濟樣態的伴生風險而傾向採納的風險管理新路徑。

由此不難理解，在宏觀框架層面，GDPR對於公民權利、經濟自由、數據主權、公共安全等多重訴求在不同產業、不同情境中引入了新的動態平衡取捨，包括充實個人的權利內容，提升歐盟內部市場的價值位階，強調規範落實的機制保障以及建構個人數據跨境傳輸的全球化管控機制。

在微觀制度層面，應當強調的是，一方面，根據GDPR的條文設計，歐盟個人數據治理的制度規範將擴展適用於處理歐盟主體個人數據的所有外國主體；另一方面，GDPR廣受矚目的新舉措是適應新技術新應用的具體場景為歐盟公民和居民提供了一系列新型“數字權利”，包括被遺忘權、數據可攜權等。此外，GDPR還引入了極為嚴格的責任條款，並通過最高處罰為涉事主體全球營收總額4%的懲罰機制予以強化，引領了高額處罰的國際潮流。

在此圖景下，GDPR制度規範涵蓋的一系列條款值得給予特別關注，包括第7條關於強化監督數據持有第三方的規定，第8條關於兒童特別保護的規定，第12-14條關於權利人被告知權的規定，第17條關於被遺忘權的規定，第20條關於數據可攜權的規定，第21條關於數據挖掘限制的規定，以及第33、第34條關於嚴重數據侵權事件報告制度的規定，等等。

**2.**歐盟《非個人數據自由流動條例》的制度設計

在技術驅動創新的大數據時代，數據逐漸以核心競爭力的姿態出現。隨着技術的發展與創新，數據的流轉機制在不斷演進，非個人數據作為數據流轉的B面，提出了與個人數據保護不同的規制要求。非個人數據流轉問題的背景主要在於技術驅動的不斷創新，數據流轉機制的不斷演進，數據流的各種模式不斷髮生變化，數據經濟也在不斷發展。

（二）美國模式

美國法制框架下，目前最具風向標色彩的立法動向莫過於2018年6月28日由加州州長簽署公佈並於2020年1月1日起正式施行的《加利福尼亞州消費者隱私保護法案》（California Consumer Privacy Act of 2018，縮寫為CCPA）。

對於消費者的權利內容,該法案規定了消費者對於個人數據信息所擁有的一系列權利,這些權利包括：①要求收集消費者個人信息的企業向消費者披露企業收集的個人信息的類別和具體要素的權利；②要求商家刪除其所收集的有關消費者的個人信息的權利；③要求企業向消費者披露收集個人信息的目的以及與之共享信息的第三方的權利；④選擇不出售個人數據信息的權利等。

有關企業的義務範圍，該法案規定：①企業根據消費者的要求披露收集信息的種類和目的以及共享數據的第三方的義務；②根據消費者的要求刪除所收集信息的義務；③尊重消費者選擇不出售個人數據信息權利的義務，不得通過拒絕給消費者提供商品或服務，對商品或者服務收取不同的價格或費率等方式來歧視消費者行使該項權利等。

此外，根據該法案的規定，一旦企業違反隱私保護要求，將面臨支付給每位消費者最高750美元的損害賠償金。加利福尼亞總檢察長將負責決定是否針對違法企業採取法律行動。該法案中的主體規定與歐盟GDPR相類似,但並非完全是該條例的翻版，例如並沒有像GDPR一樣規定告知消費者數據泄露事件的特定時限。

對於深圳市數據合規體系培育的建議

（一）政策定位：平衡發展與安全的價值設定

結合上述中國數據合規體系與歐美數據合規前沿路徑，深圳在制定相關數據合規政策時有必要堅持數據安全可控原則，全面培育發展數字經濟，切實保障數據依法有序流動與跨境傳輸。

價值清晰的頂層設計框架建構、有效的規則體系的建立需要指向明確、邏輯清晰的頂層制度設計。在此環節，應當以總體國家安全觀為指導，在網絡安全、信息安全的高度將數據的可控性、可用性、完整性與保密性四項核心訴求作為數據合規體系培育的價值出發點與落腳點。與此同時，作為頂層設計的重要組成部分，有必要專門授權成立專業、獨立的數據監管機關，負責數據規範的具體落實、數據傳輸的業務協調以及數據安全的風險評估等職能活動，確保在該領域可以保持不間斷的能力建設，也能更好地完成國際博弈任務。

（二）機制設計：政府激勵企業合規提升公私合作水平

公私合作、協作治理與我國網絡空間治理進程中政府引領、多方參與的理念相契合。數據所棲身的網絡空間是由互聯網企業、用户、政府乃至國際組織等多元主體構成的虛擬空間，數據合規亦應是由所有利益相關方共同參與的治理過程。正如習近平總書記所強調的，要發揮政府、國際組織、互聯網企業、技術社羣、民間機構、公民個人等各個主體作用，實現共同治理。為此需要重點發力的工作方向包括：

****其一，突破信任度瓶頸。****一方面，政府需要全面摒棄大包大攬的傳統行政思維與工作模式，轉為着力劃定數據採集、共享和利用等環節的業務規則與責任紅線，專注謀劃能夠確保提高數據質量和規範性、有助於豐富數據產品的數據管理制度以及分級分類等安全保護制度。另一方面，企業則需要誠意秉持“安全設計”“隱私設計”以及“倫理設計”等現代數據治理理念，聚焦投入技術工具與解決方案的創新研發與全流程合規風控，通過企業主體責任的充分實踐達到既“取信於民”也“取信於官”的效果。

****其二，突破透明度瓶頸。****伴隨新數字技術的爆發，原有監管治理體系面臨技術能力不對稱與執法監管工具不充分的掣肘，而作為技術弱勢方的公眾廣泛存在的技術恐懼感也造成數據治理透明度危機日漸加深，需要政企分工合作的方式創新提升各方透明度水平。在此意義上，吸收借鑑歐美跨國企業以及中國龍頭企業的海外實踐，通過政企分工合作建設“透明中心”具有積極的制度價值，既增進企業和民眾對於政府的監管邏輯、工作思路與執法能力的深度認識與信賴，也增進民眾和政府對於企業的業務邏輯、運營思路與技術能力的全面瞭解與信任，還增進政府和企業對於民眾的應用喜好、利益訴求與核心關切的動態體認與回應。

注：

1.2020年6月1日，由國家互聯網信息辦公室等12部門聯合發佈的《網絡安全審查辦法》實施，《網絡產品和服務安全審查辦法（試行）》同時廢止。