法律+技術+管理共同驅動數據合規——以TMT行業為視角_風聞

走出去智庫觀察

日前，由上海交通大學凱原法學院、中國人民大學國際商事爭端預防與解決研究院、北京卓緯（上海）律師事務所、走出去智庫主辦，智合、威科先行共同協辦的“高水平改革開放與企業合規”主題高峯論壇於上海舉行，探討貿易合規、數據合規方面的熱點問題。

卓緯律師事務所公司業務部合夥人宋曉然在主旨演講中指出，數據安全相關法律法規的管轄範圍非常廣，也非常繁雜，而且更新非常快，對於TMT行業的企業來説，就會面臨着一方面要在業務層面擴張，充分發掘數據資產價值，另一方面又要在監管層面做到數據合規，這種情況下做到平衡就要從法律+技術+管理共同驅動數據合規，也就是説以法律為基礎，以技術為手段，用管理來統籌，共同驅動企業做到數據合規。

TMT企業如何做好數據合規？今天，走出去智庫（CGGT）刊發宋曉然律師演講的主要內容，供關注數據合規的讀者參考。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

**文/**宋曉然

卓緯律師事務所公司業務部合夥人

數據合規的話題大家剛剛已經説了很多，再次感謝彭教授從個人信息的法律屬性角度，惠院長從數據權益和數據合規角度，範總從企業內部數據合規角度都做了精彩的演講。我現在想從TMT行業的視角來講一下數據合規，因為我自己在TMT行業從業有近20年了。

 

在座各位哪怕不是TMT行業的從業者，也一定是TMT行業產品的用户。這張PPT左邊這個圖是國內目前比較知名的一些互聯網或者APP服務提供者，中間是新老BAT，包括阿里巴巴、騰訊、字節跳動和百度，周圍這一圈是在科技、金融、教育、汽車、本地生活、零售、媒體和娛樂等各領域的知名互聯網公司。右邊是美國現在一些比較知名的互聯網公司，包括谷歌、亞馬遜、Facebook、Twitter、YouTube、Snapchat等。TMT是指科技、傳媒或者説數字媒體，還有電信。我下面列了一個圖，這是參考現在工業互聯網或者人工智能產業的分類標準把TMT行業分為基礎層、技術層和應用層。基礎層和技術層，按照現在經常提的新基建，就是指5G網絡、物聯網、工業互聯網、衞星互聯網，這是我們的網絡基礎建設；數據中心和智能計算中心，這是我們的算力基礎建設；技術層基礎建設包括人工智能、大數據、雲計算、AR/VR、區塊鏈等技術，現在甚至發展到雲上賦智、雲智融合等。在應用層，行業應用大家剛看到了，包括金融、教育、零售、媒體和娛樂等，還有產品應用，比如智能汽車、機器人、可穿戴裝備等，甚至最近新提出元宇宙的概念，就是在區塊鏈、人工智能、雲計算、AR/VR的技術基礎上融合而成的一個平行虛擬時空，非常時髦。從上面這個介紹大家可以看出TMT行業的特點：業務模式非常複雜，大部分TMT企業面向個人用户，網絡基本是沒有限界的，也就是通常説的網絡無國界，還有技術性強，迭代快。

基於TMT行業的這些特點，中國在1994年引入互聯網之後，一直對這個行業持一個比較鼓勵和引導的態度，早些年我們在這一領域的立法相對來説也比較滯後一些。但是隨着2015年《國家安全法》確立了網絡安全和數據安全的戰略地位以後，陸續在2017年出台了《網絡安全法》，今年9月1日開始施行《數據安全法》。在個人信息保護領域，我2002年在一家門户互聯網公司工作，我記得當時起草《用户協議》和《隱私政策》時就瞭解到個人信息保護在國內立法層面已經立項，但是這麼多年，無論是憲法還是之前的民法通則，對個人信息作為什麼樣的權利一直沒有定性，直到今年的《民法典》，把它在《人格權編》中確定為一個基本的民事權利，《個人信息保護法》今年11月1號才開始施行。而同步在國外，2018年歐盟的《通用數據保護條例》（GDPR），2020年美國的《加州消費者隱私法案》（CCPA），這些影響比較大的關於個人信息保護的法案也開始施行。

下面我來談一下近期一些數據合規的熱點案例。從《網絡安全法》出台以來，工信部開始對國內的APP集中進行清理整頓，今年前三個季度就做了十批次的集中檢測，到目前已經清理了將近200萬個APP，對於嚴重不合規的可能就直接清理掉了，還有一些通報整改，一些暫停下架，其中大部分都是因為違規或超範圍收集、處理個人信息。境外上市方面，滴滴的事情大家都聽過了。因為TMT行業的公司大多都是輕資產，沒有盈利，早期融資基本都是美元融資，所以大部分在早期都想着去美國上市，而根據美國《薩賓斯-奧克利法案》，要求所有在美國上市的公司必須提交審計底稿，也就是基礎數據，去年特朗普又簽發了《外國公司問責法》，對於在美國上市的海外公司，提出了更高的信息披露要求和審計要求。這種情況下，中國的互聯網公司去美國上市就必須提供數據，而中國從網絡安全、數據安全層面考慮，去年出台了《網絡安全審查辦法》，對數據出境提出概括性的網絡安全審查要求，今年7月10號，這個審查辦法又提出修改意見稿，明確規定了處理一百萬以上個人信息的處理者，如果境外上市或者涉及到數據出境，就必須經過安全審查。滴滴今年6月30號突擊上市，然後7月2號被緊急調查，同期被調查的還有BOSS直聘和滿幫，目前調查結果還未公佈。今年7月份之前國內幾十家互聯網公司有的已經提交了招股書，有的在上市籌備中，目前也都暫停了。現在立法最新的進展是《數據出境安全評估辦法》（徵求意見稿）已經出台，對數據出境提出了更嚴格的安全審查要求，對互聯網公司來説，未來境外融資、上市影響會非常大。

下一個案例是Tiktok，也就是抖音的海外公司。Tiktok在美國加州和伊利諾伊州因為違規收集個人信息在集體訴訟中被判處賠償用户9200 萬美元；在歐洲因為違反了GDPR被荷蘭數據保護局處罰75萬歐元。國外數據合規領域也有很多知名案例，一個是亞馬遜，今年9月在歐洲因違反GDPR遭受最高額罰款7.46億歐元；一個是Facebook，因Facebook個人信息數據泄露被劍橋分析利用對8700萬用户推送信息，影響了2016年美國大選，2019年被美國FTC罰款50億美元；還有最近Facebook在改名Meta後宣佈要刪除系統裏存放的將近10億人的人臉信息，實際上這並不是主動行為，而是因Facebook違規蒐集人臉識別信息今年上半年被聯邦法院判決必須執行的措施。還有一個蘋果的例子要特別講一下，在座的可能很多人是蘋果的用户，可能也注意到今年上半年蘋果在隱私政策中增加了一個選項，叫做ATT框架，“Allow Apps to Request to Track”, 中文界面上是“要求APP不跟蹤”，也就是説用户可以選擇要求APP不跟蹤個人信息，這樣這些APP就沒辦法從手機系統跟蹤用户的瀏覽記錄或軌跡，也就沒有辦法做到精準營銷。這個政策調整對於蘋果系統裏的APP產生非常大的影響。根據英國《金融時報》調查，這個政策對Google、Facebook、Twitter、Snapchat這些公司的廣告收入影響可能達到近一百億美元，而蘋果自身的廣告系統，因為這個政策，今年的廣告收入預計會增加50億，三年增加200億美元，可見隱私政策一個條款變動對整個行業的影響。

從前面提到的立法進展還有案例，我們可以看到，數據安全相關法律法規的管轄範圍非常廣，包括國內和國外；監管層面會涉及到多頭管理，包括工信部、網信辦、市場監管、行業主管、各地方主管等；法律法規非常繁雜，而且更新非常快；在法律責任層面也非常重，而且相互交叉。對於TMT行業所有的企業來説，就會面臨着一方面要在業務層面擴張，充分發掘數據資產價值，另一方面又要在監管層面做到數據合規。這種情況下怎樣能夠做到平衡，就要從我今天的演講標題來説一下：法律+技術+管理共同驅動數據合規，也就是説以法律為基礎，以技術為手段，用管理來統籌，共同驅動企業做到數據合規。

**首先，以法律為基礎，法律是為行為定性的。**在數據收集和處理過程中，大的原則是合法、正當、必要、誠信，這是《網絡安全法》、《數據安全法》和《個人信息保護法》三法一脈相承的原則。合法就是要符合數據安全相關的法律法規規定，正當包括目的正當和程序正當，必要包括合理和數據最小化，也即數據處理行為是實現目的合理必需的且要對用户影響最小，誠信則是指數據處理規則要公平、透明，不得欺騙誤導用户。

從數據處理的全流程來講，在數據收集層面，首先在網站或APP的《用户協議》和《隱私政策》中，對於收集用户個人信息要做到明確告知，然後用户主動點擊同意，而不是像以前在協議條款中寫上“只要使用服務就默認同意”，或者在協議界面默認同意，現在必須用户主動點擊勾選才可以；其次在數據蒐集的內容上，要區分基礎業務功能和擴展業務功能。基礎業務功能是説實現這個服務所必需要獲取的信息，如果只是一個信息平台，像頭條、抖音，你甚至都可以不用提供電話號碼，任何的個人信息都不提供，就可以享受服務，但是如果是電商平台，就需要提供姓名、電話、地址，付款的時候向銀行或第三方支付平台提供銀行信息，還得允許電商平台把這些個人信息傳輸給配送商，和支付機構建立連接，才能完成整個的交易。而擴展業務功能則是為了提升服務質量或擴展服務內容而收集的個人信息，通常包括用户的瀏覽記錄、地理位置等，便於企業提供優化精準的服務。這就是在不同的服務領域區分基礎業務功能和擴展業務功能的含義。最新出台的《常見類型移動互聯網應用程序必要個人信息範圍規定》中對各種服務類型APP能收集的必要個人信息範圍都做了詳細規定。另外在《個人信息安全規範》以及《個人信息告知同意指南》中，也對必要和非必要個人信息範圍做了區分。這個區分的目的就是説，用户使用服務，APP只能收集必要個人信息，如果超過這個範圍，必須明確告知用户，並得到用户單獨同意，這就給企業提出了很高的技術要求，同時這個要求對精準營銷、個性推薦等業務模式也會產生非常大的影響。在數據存儲層面，要做到數據分類分級，技術上要備份、加密、脱敏、隔離等。在數據使用層面，使用規則要公平、透明，要做到算法向善，要把算法規則向用户明確告知，不能大數據殺熟。在數據傳輸層面，涉及到個人信息的數據傳輸必須告知用户接收方名稱、聯繫方式、用途和使用方式等，並取得用户單獨同意。在數據出境層面，最新的《數據出境安全評估辦法》對關鍵信息基礎設施經營者收集產生的重要數據和個人信息、重要數據、處理超過100萬個人信息的個人信息處理者的數據出境安全評估的審查條件和程序等做了詳細規定，這裏就不展開講了。

數據合規影響特別大，不僅僅是因為數據合規內容本身複雜，而且是因為違規的法律責任非常重。在民事責任層面，首先確定了過錯推定原則，也就是説用户個人信息一旦被平台經營者違規收集處理，用户在起訴平台侵犯了個人信息權利時，平台經營者需要證明採取了必要且合理謹慎的措施、管理制度和流程，證明沒有違規，否則就要推定存在過錯並承擔責任。另外，因為這個領域涉及到眾多個人消費者，所以《個人信息保護法》裏面規定了公益訴訟，包括檢察院、消協、網信辦指定的組織等，可以代表消費者直接提起公益訴訟，這樣就有更專業的能力和資金實力對抗平台經營者。在行政責任層面，中國的《個人信息保護法》對於個人信息違規除了責令改正、沒收違法所得、暫停營業、吊銷許可證、吊銷營業執照外，可以並處罰款，而且處罰力度目前是全球最高的，比如歐盟GDPR規定罰款不超過上一年度營業額的百分之四，而中國規定罰款不超過上一年度營業額的百分之五。在刑事責任層面，目前在侵犯公民個人信息權利、侵犯信息網絡安全、危害計算機信息系統安全方面都規定了罪名，這裏特別講一個拒不履行信息網絡安全管理義務罪，這個罪名就是企業如果信息網絡安全措施沒有到位，責令整改以後，還不能做到，造成比較嚴重的後果，可能就構成單位犯罪了，企業的數據合規負責人作為直接責任人員也可能要承擔刑事責任，這個對於企業內部管理實際上是一個非常大的影響。

**其次，以技術為手段，法律法規規定的所有內容、尺度和標準，企業的所有協議、政策和制度都要技術來落實。**首先所有的數據保護、評估、風險測評，都基於數據先要分類分級。在數據類別上，可以分為關鍵信息基礎設施數據，包括國防、電力、金融、通信等；重要數據，目前各行業各地區在自己制訂；企業數據，包括運營數據、客户數據、員工數據、用户數據等；個人數據，要區分個人敏感數據和一般個人數據。數據分類以後再按保密級別分公開數據、內部數據、機密數據、絕密數據等。數據的保護、評估和風險監測，是指對數據要進行加密、備份、脱敏、隔離，設置使用權限，保留訪問日誌溯源等。數據的維護和清理是為了滿足《個人信息保護法》新提出的用户有權維護個人信息的要求。用户有權查詢、複製、補充、更正、轉移、刪除自己在APP上的個人信息，所有APP必須提供這樣的渠道，如果用户取消授權，APP必須要進行數據清理。數據安全事件應急預案，是指在出現系統漏洞、計算機病毒、黑客攻擊等網絡安全事件時要有應急機制，採取必要措施保護數據安全。

**最後，用管理來統籌。**管理分為內部治理和外部監督，在企業內部，數據合規必須要提高到戰略高度上整體推動，要任命數據合規負責人統籌管理數據合規事務，要制定數據合規管理體系、制度和流程，要採取數據合規技術措施，要對全體員工進行數據合規培訓，要定期開展企業內部合規審計和安全評估。企業外部監督，對於大型基礎性平台經營者，法律直接規定了設立外部機構監督和定期發佈個人信息保護社會責任報告等義務。對於數據合規外部審計，可以請律師事務所、合規機構或第三方數據安全測評機構，定期對企業內部的數據合規情況進行核查審計，幫助企業完善這個工作，因為數據合規是一個動態合規，數據每天都在不斷產生，企業的業務模式也在動態調整，因此數據合規這個工作也是持續完善的。