□ 文 彭家闊

0 引言

在數(shù)字經(jīng)濟(jì)背景下，數(shù)據(jù)成為社會發(fā)展的基本生產(chǎn)要素之一，也是互聯(lián)網(wǎng)企業(yè)業(yè)務(wù)開展的重要依托。在數(shù)據(jù)價值顯現(xiàn)的同時，企業(yè)在數(shù)據(jù)收集、存儲、加工、流轉(zhuǎn)等流程中的合規(guī)風(fēng)險也逐漸凸顯。數(shù)據(jù)合規(guī)制度建立不僅是企業(yè)承擔(dān)起社會責(zé)任的外在要求，也是企業(yè)作為社會治理多元主體之一的內(nèi)在追求，更是企業(yè)避免刑事和行政制裁風(fēng)險的現(xiàn)實(shí)需要。因此，在現(xiàn)有法律框架下探索構(gòu)建一套行之有效的數(shù)據(jù)合規(guī)制度成為必要。

1 問題的提出：數(shù)據(jù)合規(guī)風(fēng)險的緣起

自2000年以來，互聯(lián)網(wǎng)企業(yè)在中國如雨后春筍般不斷萌發(fā)、成長、壯大，使得我國在互聯(lián)網(wǎng)技術(shù)和數(shù)字化建設(shè)方面處于世界第一方陣。自黨的十八大以來，數(shù)據(jù)愈來愈成為人們生活中必不可少的新型生產(chǎn)要素。社會數(shù)字化的不斷擴(kuò)張、下沉并逐漸應(yīng)用、滲透到人們生活的各方面，使得每個自然人都成為龐大的數(shù)據(jù)“持有者”，從一個具體的“物理人”變成“數(shù)字人”。而這些海量數(shù)據(jù)，不論是“私密數(shù)據(jù)”或是“公共數(shù)據(jù)”，很多由各大互聯(lián)網(wǎng)企業(yè)巨頭掌握。一些學(xué)者甚至主張數(shù)據(jù)是新世紀(jì)的“新型石油”，是拉動經(jīng)濟(jì)增長的另一駕馬車?！笆奈濉币?guī)劃綱要提出推進(jìn)數(shù)據(jù)跨部門、跨層級、跨地區(qū)匯聚融合，統(tǒng)籌數(shù)據(jù)的開發(fā)利用。這些頂層設(shè)計成為我國在數(shù)字化、信息化轉(zhuǎn)型升級中的信標(biāo)燈。與此同時，數(shù)據(jù)作為一種關(guān)鍵的虛擬核心生產(chǎn)要素被互聯(lián)網(wǎng)企業(yè)通過算法等技術(shù)深度開發(fā)，隨之而來的則是一次次大規(guī)模數(shù)據(jù)泄漏事故。數(shù)據(jù)安全問題日益凸顯。例如，2021年6月在商丘市公開的一份判決書顯示，有兩名犯罪分子通過網(wǎng)絡(luò)爬蟲，爬取盜走淘寶近12億條數(shù)據(jù)。從2009年《刑法修正案》（七）將侵害公民個人信息的行為進(jìn)行刑事歸罪，到2021年我國《數(shù)據(jù)安全法》的頒布確立了各方主體的數(shù)據(jù)保護(hù)責(zé)任。這一系列關(guān)于數(shù)據(jù)安全的法律規(guī)范，不僅涵蓋了大量的行政法規(guī)和部門規(guī)章，還涉及眾多刑事法規(guī)，從而衍生出互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)合規(guī)需求。

2 互聯(lián)網(wǎng)企業(yè)履行數(shù)據(jù)合規(guī)的風(fēng)險和現(xiàn)實(shí)考量

數(shù)據(jù)作為國家基礎(chǔ)性戰(zhàn)略資源和數(shù)字經(jīng)濟(jì)的關(guān)鍵生產(chǎn)要素。無論是在數(shù)字導(dǎo)向型企業(yè)還是傳統(tǒng)工業(yè)型企業(yè)，都在深度使用數(shù)字技術(shù)，實(shí)現(xiàn)企業(yè)業(yè)務(wù)的發(fā)展。數(shù)據(jù)已然同企業(yè)的進(jìn)步發(fā)展捆綁交織。互聯(lián)網(wǎng)企業(yè)在掌握著海量數(shù)據(jù)的同時，必然也面臨著自身技術(shù)限制或是外界網(wǎng)絡(luò)攻擊的現(xiàn)實(shí)風(fēng)險。網(wǎng)絡(luò)的跨境性、快捷性以及放大效應(yīng)，也極大可能給個人、社會、國家?guī)頂?shù)據(jù)安全風(fēng)險。而不論是從企業(yè)社會責(zé)任、社會多元治理體系還是企業(yè)法律風(fēng)險回避等角度來看，互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)合規(guī)制度建設(shè)都具有現(xiàn)實(shí)緊迫性。

2.1 數(shù)據(jù)泄漏風(fēng)險加劇下互聯(lián)網(wǎng)企業(yè)社會責(zé)任的呼吁

在數(shù)字化社會，互聯(lián)網(wǎng)企業(yè)所掌握的海量的個人數(shù)據(jù)和公共數(shù)據(jù)，往往關(guān)乎公民個人數(shù)據(jù)信息安全、公共利益乃至國家安全利益。如何合理規(guī)制并確認(rèn)互聯(lián)網(wǎng)企業(yè)在數(shù)據(jù)安全保護(hù)方面所要承擔(dān)的企業(yè)責(zé)任是我們無法回避的課題。在傳統(tǒng)的公司法和經(jīng)濟(jì)學(xué)領(lǐng)域視閾下，根據(jù)企業(yè)的逐利屬性，對企業(yè)的社會責(zé)任只要求高效地利用資源生產(chǎn)產(chǎn)品和提供相關(guān)服務(wù)，堅持利益為導(dǎo)向。但隨著社會進(jìn)步和縱深發(fā)展，傳統(tǒng)的企業(yè)責(zé)任理論內(nèi)涵與外延與社會現(xiàn)狀不相適應(yīng)。企業(yè)在追求利益最大化的同時承擔(dān)起相應(yīng)的社會責(zé)任成為現(xiàn)實(shí)呼吁，新的企業(yè)社會責(zé)任論也應(yīng)勢而生。企業(yè)社會責(zé)任觀點(diǎn)從亞當(dāng)·斯密古典經(jīng)濟(jì)學(xué)理論中單一的經(jīng)濟(jì)責(zé)任嬗變?yōu)楝F(xiàn)今的多維度社會責(zé)任理念。在數(shù)據(jù)貿(mào)易日益繁榮的當(dāng)下，互聯(lián)網(wǎng)企業(yè)掌控的數(shù)據(jù)已經(jīng)成為企業(yè)最具價值性的虛擬核心資產(chǎn)。與此同時，互聯(lián)網(wǎng)資本的無序逐利行為也給數(shù)據(jù)安全帶來挑戰(zhàn)。從個人來看，個人數(shù)據(jù)的隨意收集以及被泄漏與濫用事件層出不窮，利用非法收集的個人數(shù)據(jù)對用戶進(jìn)行畫像也侵犯個人隱私等人格權(quán)益。對國家而言，以數(shù)據(jù)為“燃料”的數(shù)字經(jīng)濟(jì)已經(jīng)成為我國經(jīng)濟(jì)發(fā)展的“新引擎”，且跨境數(shù)據(jù)貿(mào)易交易量也在不斷攀升，大量互聯(lián)網(wǎng)企業(yè)掌握的關(guān)乎國家安全、發(fā)展利益的數(shù)據(jù)出境安全問題也成為一個新的規(guī)制難題。因此，要實(shí)現(xiàn)個人與國家的數(shù)據(jù)安全亟須互聯(lián)網(wǎng)企業(yè)承擔(dān)起相應(yīng)的社會責(zé)任，要求其在獲取數(shù)據(jù)紅利的必須同時將數(shù)據(jù)合規(guī)作為其承擔(dān)社會責(zé)任的核心內(nèi)容。提升企業(yè)的數(shù)據(jù)合規(guī)意識，將數(shù)據(jù)合規(guī)落到實(shí)處，并把數(shù)據(jù)合規(guī)作為當(dāng)下互聯(lián)網(wǎng)企業(yè)承擔(dān)社會責(zé)任的新內(nèi)涵，是新時代賦予互聯(lián)網(wǎng)企業(yè)的新要求。

2.2 網(wǎng)絡(luò)犯罪不斷攀升下互聯(lián)網(wǎng)企業(yè)作為多元治理主體的要求

近年來，網(wǎng)絡(luò)財產(chǎn)詐騙案件攀升，而詐騙團(tuán)伙非法獲取的被害人詳細(xì)信息，大多都來自互聯(lián)網(wǎng)企業(yè)泄漏的個人數(shù)據(jù)而后由詐騙團(tuán)伙買入。因此，加強(qiáng)掌握大量數(shù)據(jù)的互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)合規(guī)建設(shè)也是從源頭消滅犯罪的重要手段，是建設(shè)和諧社會的重要方式。進(jìn)入新時代以來，完善社會治理能力體系和治理現(xiàn)代化成為社會改革的一大熱點(diǎn)，而創(chuàng)新社會治理方式是實(shí)現(xiàn)多元社會治理的重要路徑。隨著近年來網(wǎng)絡(luò)犯罪率的不斷攀升，公安部門也意識到在防控數(shù)據(jù)網(wǎng)絡(luò)犯罪時需要多方主體協(xié)作才能高效地打擊犯罪，鑒于此，提出了由網(wǎng)絡(luò)平臺、公安機(jī)關(guān)、網(wǎng)絡(luò)安全技術(shù)企業(yè)三方組成的網(wǎng)絡(luò)生態(tài)治理體系。在社會治理的多元化體系中，掌握大量數(shù)據(jù)的互聯(lián)網(wǎng)企業(yè)進(jìn)行數(shù)據(jù)合規(guī)治理不僅僅有利于企業(yè)實(shí)現(xiàn)良性發(fā)展，也是其參與構(gòu)建多元社會治理體系的關(guān)鍵舉措。

2.3 互聯(lián)網(wǎng)企業(yè)權(quán)力擴(kuò)張下觸法甚至觸刑風(fēng)險的提高

隨著數(shù)字化、智能化的不斷深入，互聯(lián)網(wǎng)企業(yè)不斷利用數(shù)據(jù)、算法開發(fā)各種新興應(yīng)用。對于互聯(lián)網(wǎng)企業(yè)來說，數(shù)據(jù)就是生產(chǎn)力，其推出的移動終端程序、互聯(lián)網(wǎng)平臺都憑借著獲取的數(shù)據(jù)而向用戶提供著個性化服務(wù)而實(shí)現(xiàn)增長。于是，其在規(guī)定的各種用戶隱私政策中通過簡單的“告知-同意”規(guī)則向用戶索取數(shù)據(jù)并利用非脫敏數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘、分析、訓(xùn)練算法，侵害用戶的數(shù)據(jù)權(quán)益，從而產(chǎn)生“權(quán)力”異化并導(dǎo)致數(shù)據(jù)合規(guī)風(fēng)險。互聯(lián)網(wǎng)企業(yè)收集超出企業(yè)實(shí)際運(yùn)營需要的數(shù)據(jù)、改變適用原使用范圍等情況下，即便用戶同意，也是不合規(guī)的非法行為。一旦數(shù)據(jù)發(fā)生泄漏，互聯(lián)網(wǎng)企業(yè)可能涉嫌違法，承擔(dān)相應(yīng)的行政或刑事責(zé)任。因此，建立數(shù)據(jù)合規(guī)體系成為消弭企業(yè)法律風(fēng)險的有效事前干預(yù)手段。

3 數(shù)據(jù)合規(guī)具體展開

在數(shù)據(jù)安全保障的法律法規(guī)體系下，存在大量行政法律以及部門規(guī)章，由此就引出了互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)合規(guī)中的行政合規(guī)和刑事合規(guī)問題。

3.1 數(shù)據(jù)合規(guī)之行政合規(guī)

數(shù)據(jù)合規(guī)中的行政合規(guī)主要是指企業(yè)在進(jìn)行數(shù)據(jù)的收集、存儲、加工以及管理等活動符合行政法規(guī)要求。其主要環(huán)節(jié)包括個人數(shù)據(jù)的收集、存儲、訪問與開發(fā)、個人數(shù)據(jù)委托處理、共享、轉(zhuǎn)讓、刪除、數(shù)據(jù)出境以及數(shù)據(jù)危機(jī)處理等。對于互聯(lián)網(wǎng)企業(yè)而言，數(shù)據(jù)符合行政部門監(jiān)管規(guī)定是其在數(shù)據(jù)合規(guī)建設(shè)問題中的首要問題。但大多數(shù)互聯(lián)網(wǎng)企業(yè)更重視對數(shù)據(jù)的開發(fā)和利用，強(qiáng)調(diào)企業(yè)利益，忽視數(shù)據(jù)的個人屬性和國家利益屬性，被動地接受行政機(jī)關(guān)的數(shù)據(jù)安全行政監(jiān)管，從而導(dǎo)致重大數(shù)據(jù)安全事故。因此，作為掌握龐大數(shù)據(jù)的互聯(lián)網(wǎng)企業(yè)，應(yīng)當(dāng)拋棄舊有觀念，將數(shù)據(jù)安全問題與企業(yè)利益并重。

3.2 數(shù)據(jù)合規(guī)之刑事合規(guī)

數(shù)據(jù)合規(guī)概念中的刑事合規(guī)主要是指企業(yè)在進(jìn)行數(shù)據(jù)的收集、存儲、加工以及管理等活動中符合刑事法律法規(guī)之要求。相較于數(shù)據(jù)合規(guī)的行政合規(guī)，數(shù)據(jù)合規(guī)的刑事合規(guī)問題往往更加重要，因?yàn)檫@會涉及企業(yè)的生死存亡和企業(yè)高級管理人員的刑事責(zé)任承擔(dān)，可能會觸犯的罪名主要有：侵犯公民個人信息罪、拒不履行網(wǎng)絡(luò)安全管理義務(wù)罪、侵犯商業(yè)秘密罪、關(guān)于國家秘密犯罪等。

4 針對互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)合規(guī)制度思考

隨著數(shù)據(jù)安全領(lǐng)域“強(qiáng)監(jiān)管”的到來，掌握大量數(shù)據(jù)信息的互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)合規(guī)制度的建構(gòu)成為必要，根據(jù)我國現(xiàn)有的《民法典》《侵權(quán)責(zé)任法》《行政處罰法》《個人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》、國家標(biāo)準(zhǔn)性文件《個人信息安全規(guī)范》以及《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》《互聯(lián)網(wǎng)電子公告服務(wù)管理辦法》等法律法規(guī)、標(biāo)準(zhǔn)作為規(guī)范指引，筆者認(rèn)為，互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)合規(guī)制度應(yīng)當(dāng)從以下幾個方面進(jìn)行建構(gòu)。

4.1 組建獨(dú)立的數(shù)據(jù)合規(guī)部門及流程制度

企業(yè)若要形成一套行之有效的合規(guī)制度，組建獨(dú)立的數(shù)據(jù)合規(guī)部門十分必要。該部門必須在公司內(nèi)部管理中享有相對獨(dú)立的內(nèi)部合規(guī)審查權(quán)，才能讓數(shù)據(jù)合規(guī)管理更高效，也更有利于企業(yè)數(shù)據(jù)安全責(zé)任的落實(shí)與追責(zé)。其次，數(shù)據(jù)合規(guī)部門組建時，設(shè)置合理的流程體系也至關(guān)重要，通過流程設(shè)計將數(shù)據(jù)按照數(shù)據(jù)流轉(zhuǎn)順序的不同，分解給不同的部門、崗位。從而通過數(shù)據(jù)流轉(zhuǎn)流程實(shí)現(xiàn)數(shù)據(jù)溯源治理，并將管理制度中規(guī)定的權(quán)限、責(zé)任進(jìn)行具體落實(shí)。

4.2 建立首席數(shù)據(jù)保護(hù)官負(fù)責(zé)制

若一個國家甚至部門體系想要實(shí)現(xiàn)高效的運(yùn)轉(zhuǎn)，管理“核心”的設(shè)置至關(guān)重要，這個核心不僅享有更大的權(quán)力，同時也應(yīng)承擔(dān)更多的責(zé)任。故落實(shí)企業(yè)首席數(shù)據(jù)官負(fù)責(zé)制，成為現(xiàn)行法律體系下企業(yè)數(shù)據(jù)治理最佳手段。不論是域外的《通用數(shù)據(jù)保護(hù)條例》（GDPR）還是國內(nèi)的《數(shù)據(jù)安全法》《個人信息保護(hù)法》都要求建立數(shù)據(jù)信息安全的負(fù)責(zé)人制度，但并未提及“數(shù)據(jù)保護(hù)官”的具體地位。在筆者看來，應(yīng)當(dāng)在互聯(lián)網(wǎng)企業(yè)管理架構(gòu)中中獨(dú)立設(shè)置首席數(shù)據(jù)保護(hù)官，由董事會進(jìn)行選舉、任命并能列席董事會、行使表決權(quán)，且“董監(jiān)高”不得兼任，從而保障其獨(dú)立行使職權(quán)。

4.3 建立分類分級數(shù)據(jù)保護(hù)合規(guī)制度

在現(xiàn)有法律框架下，不同等級、類別的數(shù)據(jù)享有不同的保護(hù)措施以及違法處罰規(guī)定，故企業(yè)在進(jìn)行數(shù)據(jù)合規(guī)時應(yīng)當(dāng)根據(jù)現(xiàn)行法規(guī)將所掌握的數(shù)據(jù)進(jìn)行再分類分級，強(qiáng)化落實(shí)保護(hù)責(zé)任，從而避免合規(guī)風(fēng)險。具言之，可將法律規(guī)定的非核心數(shù)據(jù)在企業(yè)內(nèi)部再分為個人數(shù)據(jù)、非個人數(shù)據(jù)。其中，個人數(shù)據(jù)又可以分為敏感個人數(shù)據(jù)和非敏感個人數(shù)據(jù)，非個人數(shù)據(jù)可以將其具體細(xì)分為政府?dāng)?shù)據(jù)以及企業(yè)數(shù)據(jù)等，或根據(jù)企業(yè)所處的行業(yè)、領(lǐng)域做出針對性的分類，便于公司內(nèi)部管理。公司加工得到的脫敏數(shù)據(jù)也應(yīng)進(jìn)行分級分類存儲。

4.4 建立定期開展數(shù)據(jù)合規(guī)檢查制度

互聯(lián)網(wǎng)企業(yè)產(chǎn)生合規(guī)風(fēng)險，主要是因其并未定期開展內(nèi)部數(shù)據(jù)合規(guī)檢查而導(dǎo)致，故企業(yè)應(yīng)當(dāng)結(jié)合自身經(jīng)營情況，定期開展所持有數(shù)據(jù)全流程檢查活動，排查出合規(guī)風(fēng)險并及時予以糾正。本環(huán)節(jié)建立的關(guān)鍵是要首先落實(shí)以上三步，通過在組織和人員兩方面對數(shù)據(jù)合規(guī)制度進(jìn)行保障，由此才能開展定期的數(shù)據(jù)合規(guī)自我糾察。同時可探索建立網(wǎng)絡(luò)巡查機(jī)制，通過計算機(jī)網(wǎng)絡(luò)的自動預(yù)警來輔助人力糾察，從而形成完善的數(shù)據(jù)合規(guī)檢查機(jī)制，達(dá)到法律法規(guī)要求的數(shù)據(jù)合規(guī)義務(wù)，有效避免行政以及刑事數(shù)據(jù)合規(guī)風(fēng)險。

4.5 建立數(shù)據(jù)流動以及數(shù)據(jù)出境匯報制度

在總體國家安全觀的指引下，數(shù)據(jù)安全已然成為國家安全的重要組成部分，而掌握著海量數(shù)據(jù)的互聯(lián)網(wǎng)企業(yè)成了維護(hù)國家數(shù)據(jù)安全的重要一環(huán)。故企業(yè)應(yīng)根據(jù)法律法規(guī)準(zhǔn)確評估自身擁有數(shù)據(jù)是否屬于關(guān)鍵信息基礎(chǔ)設(shè)置運(yùn)營者，建立數(shù)據(jù)流動和出境審查制度，時刻關(guān)注數(shù)據(jù)出境安全管理辦法的規(guī)范更新情況，配合相關(guān)行政部門審查?？傮w而言，應(yīng)當(dāng)要求在境外的數(shù)據(jù)處理者處理我國境內(nèi)的自然人數(shù)據(jù)或者在跨境集團(tuán)內(nèi)部傳輸?shù)膱鼍爸?，?yīng)該由境內(nèi)特定機(jī)構(gòu)或者跨國集團(tuán)內(nèi)部一方向政府相關(guān)部門申請認(rèn)證。具體的申請認(rèn)證規(guī)則應(yīng)要求境內(nèi)或者境外的數(shù)據(jù)處理者與境外接收方簽訂法律協(xié)議（如數(shù)據(jù)處理協(xié)議或承諾函）、遵守統(tǒng)一的數(shù)據(jù)跨境處理規(guī)則，并做好雙方的組織管理、數(shù)據(jù)保護(hù)影響評估、數(shù)據(jù)主體權(quán)益保障等事項(xiàng)。只有在認(rèn)證獲批后方可在法定或者約定范圍內(nèi)進(jìn)行數(shù)據(jù)跨境傳輸。

5 結(jié)束語

隨著數(shù)智化水平的不斷提升，我們將生活在一個被數(shù)據(jù)包裹的世界，每個人都會成為數(shù)據(jù)的生產(chǎn)者、攜有者以及權(quán)利歸屬者。數(shù)據(jù)已然具有個人資產(chǎn)屬性，而我們產(chǎn)生并擁有的海量數(shù)據(jù)將會被互聯(lián)網(wǎng)公司所掌握并進(jìn)行開發(fā)利用，如何保護(hù)數(shù)據(jù)安全成為當(dāng)下必須關(guān)注的問題。因而，互聯(lián)網(wǎng)企業(yè)進(jìn)行數(shù)據(jù)合規(guī)制度建設(shè)不僅是企業(yè)基于自身利益所必須，也是保障個人數(shù)據(jù)安全和國家安全的需要。本文在現(xiàn)有法律框架下提供一條互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)合規(guī)制度構(gòu)建路徑。但并未深入分析國內(nèi)外互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)合規(guī)現(xiàn)狀，還存在欠缺。在多元主體社會治理體系指引下，構(gòu)建制度化的互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)合規(guī)機(jī)制、高效化的數(shù)據(jù)處理流程體系，不僅是確?；ヂ?lián)網(wǎng)企業(yè)長遠(yuǎn)發(fā)展利益以及避免行政處罰和刑事風(fēng)險的必要準(zhǔn)備，更是積極承擔(dān)社會責(zé)任的重要體現(xiàn)。