APP下载

合规视角下个人数据合理使用的实证研究

2023-03-04李昊翔毛逸潇

湖南警察学院学报 2023年5期
关键词:数据安全合规体系

李昊翔,毛逸潇

(中国政法大学,北京102249 )

党的二十大报告提出要“强化数据安全保障体系建设”。迈入数字社会后,数据不再纯粹是技术代名词,而是成为人们日常生活不可或缺的组成部分,更是被确认为数字经济时代最关键的新型生产要素。然而,承载多元利益的数据正面临严重的法益侵害问题,日益严峻的数据犯罪态势给数据法律秩序和数字社会治理带来重大挑战。维系数字社会的健康可持续发展离不开对数据犯罪的有效治理,以平台企业为代表的数据处理者自觉建立数据安全合规体系是完善内部治理结构、预防数据犯罪、防范和化解自身刑事风险的重要举措。2022 年6月22 日,中央全面深化改革委员会第二十六次会议审议通过的《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出,“要建立合规高效的数据要素流通和交易制度,完善数据全流程合规和监管规则体系”。企业合规作为一种公司治理方式,本身并不会自动发挥作用,唯有建立外部激励机制,这种公司治理方式才会得到激活①参见郭传凯:《互联网平台企业反垄断合规制度的建构》,载《法学论坛》2023 年第3 期,第1 页。。确立激励机制是推动数据安全合规体系建设的关键环节,只有引入数据安全合规激励机制才能为平台企业建设数据安全合规体系提供内在动力和方向指引,才能有利于激发平台企业投入成本加强数据安全保障的积极性,最终实现保障个人数据合理使用的目的。2022 年8 月10 日,最高人民检察院发布首例数据合规不起诉的典型案例,标志着数据安全合规激励机制在司法领域也进入试点探索阶段,亟需夯实理论依据、凝练实践经验,推进数据安全合规改革向纵深发展②参见张昊:《能动履职提升企业合规改革工作质效》,载《法治日报》2022 年8 月11 日,第3 版。。

如何构建规范化的企业合规机制,如何充分发挥其保障企业合理使用个人数据的作用成了构建我国数据安全保障体系的时代问题。本文将“个人数据安全”与“企业合规”这两个重点前沿问题有机结合、深度贯通起来,在个人数据的保护措施中引入了企业合规的新模式,既是完善数据安全保障体系、推动数据治理现代化的新思路,也是数字时代企业专项合规建设的重要组成部分。

一、数字经济时代个人数据合理使用现状的类型化考察

通过实证检索北大法宝和中国裁判文书网等已公开的司法案例,并实地调研部分企业的《隐私条款》和合规建设情况,按照企业建立合规机制保障个人数据安全的不同运行方式,可以将我国当前数据合规管理模式分为三种,分别为大型网络平台个人数据合理使用的合规管理模式、国有企业数字化转型过程中个人数据合理使用的合规管理模式和中小微企业个人数据合理使用的合规管理模式。

(一)大型企业的数据安全合规机制

大型企业管理的大型网络平台承载较大的用户体量,平台收集、使用和流转等处理个人数据的行为较为频繁,个人数据被不合理使用的案发率较高,但由于大型网络平台拥有较为卓越的法律顾问单位,合规处理个人数据的意识较高,企业内部综合治理能力、治理水平较为完善。例如,腾讯集团早在2013 年就已经建立了专门的数据隐私合规团队,是国内最早进行个人数据保护和数据合规探索的互联网企业之一。

腾讯集团的数据安全合规机制有以下特点:第一,集团高层高度重视。早在合规理念还未在我国推广之时,集团高层已经开始谋划内部合规建设,设立专门负责合规建设的部门。第二,内部管理较为完善。公司内部开展多轮合规培训,覆盖公司的管理层、普通员工和新员工,提升全体员工的合规意识。第三,数据安全保障技术高。腾讯建立了自行研制的“灵犀隐私平台”,对数据进行分类分级,在共享、存储、出境等多方面建设配套的系统。第四,积极公布数据合规建设成果。2018 年腾讯集团发布了首个互联网企业的隐私保护白皮书——《腾讯隐私保护白皮书》,向用户集中展示微信、QQ 的隐私保护功能。

大型企业的用户数据庞大,公司体量大而形成的与用户不对等状态较为严重,易造成个人数据泄露等重大数据安全事件③参见《cookie 技术引发数据隐私问题,Meta 将支付9000 万美元和解诉讼》,载新浪科技,https://baijiahao.baidu.com/s?id=1725074664935127702&wfr=spider&for=pc,2023 年7 月6 日访问。,故大型企业构建数据安全合规体系迫在眉睫,但由于大型企业拥有前瞻性眼光,企业内部高度重视合规建设,内部组织体系较为完善,拥有专业化人才,较易建立有效的数据安全合规机制。

(二)国有企业的数据合规建设成果

2021 年,广州市国资委印发的《监管企业数据安全合规管理指南》(以下简称《指南》),为广州市国有控股企业、国有实际控制企业的数据安全合规工作提供了具体指导。以广州市国有企业数据合规建设成果为例,国有企业的数据合规呈现出以下特点。

第一,组织建设水平较高。国有企业内部均设立党委,贯彻落实上级领导机构提出的合规建设要求,推动形成规范有序的数据管理体制机制,保障数据安全、国家安全。

第二,数据管理层次明确。以广州市为例,广州市国资委领导下的国有企业建立了数据安全保障的“三道防线”,以职能部门为首的机构负责解决数据合规的技术性问题;以合规管理部门为首的机构负责解决合规建设中遇到的法律性问题;以数据合规办公室为首的机构负责解决合规建设的内部审计和风险管控等风险性问题,详细分工见图1。

图1 广州市国有企业数据保障分工图

第三,惩戒机制完善。对于建立了合规机制和无效合规机制的国有企业,《指南》中明确规定了国资委可以采用约谈、问责的惩戒机制,确保合规机制的有效推广。

国有企业组织体系完善,惩戒机制全面,易于建立有效的、有约束力的合规机制,但是其动力不足,往往相较于市场呈现出机制建立的滞后性。

(三)中小微企业的数据合规模式

中小微企业体量小,用户较少,因此参与处理的个人数据也较少。由于其安全意识弱、内部监管机制缺失、风险防控力较差等问题,中小微企业遇到的数据合规问题也不容忽视。以上海市普陀区Z 公司非法“爬取”数据案建立的合规机制为例④参见《涉案企业合规典型案例(第三批)》,载最高人民检察院网上发布厅, https://www.spp.gov.cn/xwfbh/wsfbt/202208/t20220810_570413.shtml#2,2023 年7 月6 日访问。,中小微企业建立的合规机制有以下特点。

第一,合规意识较差。检察机关调查时发现,Z 公司管理层及员工存在重技术开发、轻数据合规等问题,存在管理盲区、制度空白、技术滥用等合规风险,未建立有效的合规机制,也缺乏数据安全意识。

第二,风险来源广泛。小微企业内部用户较少,故需以外部合作、共享的方式获取数据。如Z 公司与E 公司达成合规数据交互约定,彻底销毁相关爬虫程序及源代码,对非法获取的涉案数据进行无害化处理,并与E 平台API 数据接口直连,实现数据来源合法化,这种外面获取数据的行为带来的额外风险会增加。

第三,合规整改较快。由于小微企业的内部体量较小,其合规问题较为突出、集中。最高检、司法部、财政部等九部委联合制定《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》后,中小微企业的整改工作较快得到落实。

中小微企业整改意愿强、建立体系快,由于其注重效益而容易出现忽视安全制度建设,造成违背市场竞争规范、侵犯个人数据合理使用的问题,且由于其体量较小,难以建立完备的、全面的合规机制,专业化程度也受到限制。

二、个人数据合理使用的合规管理体系有效性缺失表征

数据作为新兴的生产要素,统筹兼顾多元利益,其安全重要性不言而喻。针对违规处理个人数据行为的法律规制体系已逐渐完善,如何针对个人数据安全风险有效构建合规数已经成为当前学界关注的焦点,而企业合规的运行效果作为合规计划有效性的实质评判标准,主要体现为内部专项合规政策的制定、专项合规组织机构和专项合规预防体系三个方面⑤参见刘艳红:《涉案企业合规建设的有效性标准研究》,载《东方法学》2022 年第4 期,第118 页。。但在合规试点改革过程中,前述三类企业的数据安全合规体系建设均存在类似问题,反映出个人数据合理使用的合规管理体系未能有效运行。

(一)个人数据合理使用合规建设的高层重视与投入有限

尽管所有数据安全问题中个人数据泄露占比最高,且互联网领域存在数据流转迅速、违法成本低的特点,企业高层往往为了节约成本而刻意忽视个人数据合理使用体系建设,导致互联网成为个人数据泄漏的重灾区。为了解决这一问题,2020 年,我国信息安全标准化技术委员会发布了数十项网络安全国家标准,且个人数据立法保护配套的司法解释和具体实施细则正在筹备,相关执法实践逐步走向正规化,纠纷解决方式逐渐多样。针对企业个人数据使用违法违规方面的法律体系也不断完善,除《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等专门性立法外,《中华人民共和国网络安全法》第六章也规定了企业违规处理个人数据的法律责任及处罚措施。以罚款为例,我国开始向国际靠拢,要求建立和完善惩罚性赔偿和巨额罚款制度,让严重违法者付出高昂成本,这在很大程度上给企业造成了隐性压力,迫使企业不得不注重数据合规体系的构建⑥马美瑶:《企业数据合规的现实困境与实践路径》,载《信息安全与通信保密》2022 年第7 期,第115 页。。

但初步调查研究表明,以罚款为主的经济制裁倒逼企业进行个人数据合规体系建设显然是不够的,守法成本和违法成本具有相对性,仅仅增加违法的经济成本不能激发企业建设个人数据合规体系的积极性,反而滋生企业高层的侥幸心理。另外,法律制裁具有滞后性,在个人数据违规使用出现问题后再进行处罚,可能已经导致个人数据泄露、用户权益受损的后果,侵害用户的个人权益并不利于社会经济的稳定发展。因此,目前单一经济制裁项下的企业个人数据合理使用合规建设仍存在缺陷,企业高层对个人数据合理使用合规建设的重视不足、合规建设资源投入有限的现象普遍存在⑦参见于冲:《数据安全犯罪的迭代异化与刑法规制路径——以刑事合规计划的引入为视角》,载《西北大学学报》2020 年第5 期,第95 页。。

(二)个人数据合理使用专项合规体系的专业化程度不足

相较于其他领域的专项合规体系,企业构建个人数据合理使用专项合规体系需要更强的专业性。首先,企业需甄别一项数据是否属于个人数据。个人数据甄别具有较强的专业性,相关信息是否可以识别特定自然人和地域,与技术水平、投入时间、信息数量等因素有关。在实践运行中,很多新型、边缘性数据是否属于个人数据往往存在较大争议⑧参见田建立:《非法使用公民个人信息亦应入罪》,载《检察日报》2023 年2 月11 日,第3 版。。其次,企业应加强对个人数据使用的风险监测,如构建风险预警模型、制定风险评估议案、制定应急预案等。且对个人数据使用的风险监测需在识别个人数据的基础上利用大数据、AI 等先进技术,聚焦个人数据关键节点,根据企业特点构建风险预警模型,实时监测相关信息,实现风险事前预警、事中跟踪、事后问责的闭环处理机制。最后,企业需采取保障个人数据使用安全的技术措施,如数据加密、去标识化、数据备份等技术措施或其他个人数据使用的必要措施。而个人数据中涉及大量的专业化信息,包括人脸识别等生物信息、电话号码等隐私信息,这类信息和用户主体的人身权益和财产权益密切相关,涉及各行各业,所采取的技术安全措施也更具专业化。

实证研究表明,涉及个人数据合理使用的企业大部分为科技公司、网络公司、技术研发公司等从事专业化、技术化行业的企业,其因个人数据使用产生纠纷的原因基本可以分为内部风险和外部风险两类。内部个人数据安全风险即由于企业内部使用个人数据不当,如企业风险监测系统不完善、企业合规管理组织欠缺、企业个人数据处理指南不规范、企业技术防范措施落后等,导致企业个人数据使用出现问题。外部个人数据安全风险是由于企业受到黑客等第三人的恶意攻击,其利用企业系统缺陷、访问控制和权限管理不善等特定的漏洞来非法入侵企业系统、窃取企业的个人数据、干扰企业的个人数据正常使用。如Facebook 在2018 年遭遇信息泄露事件,该类风险常难以预料、无法及时应对。内、外部各种个人数据安全风险挑战使企业难以有效应对,个人数据安全风险呈现出泛在化的特征⑨参见刘双阳:《风险泛在语境下间接危险犯的扩张逻辑与教义限缩——以信息散布型网络犯罪为视角》,载《河南财经政法大学学报》2020 年第6 期,第88 页。。尽管企业已经采用了部分风险防范手段,但并未有效规避相关风险,企业在个人数据甄别、个人数据使用风险监测、个人数据安全技术措施方面仍存在不足。这在一定程度上也说明了企业在个人数据使用专项合规体系中的专业化程度不高,才持续面临企业内部风险及外部风险的个人数据使用危机。

(三)个人数据合理使用合规管理体系的纸面化现象严重

为建立企业合规体系,相关机关先后发布了《关于建立涉案企业合规第三方评估机制的指导意见(试行)》《涉案企业合规建设、评估和审查办法(试行)》《中小企业合规管理体系有效性评价团体标准》《中央企业合规管理指引(试行)》等规范性文件,最高人民检察院也适时公布合规典型案例,推动涉案企业合规改革向纵深发展。但无论是规范性文件还是指导案例,都只是对企业合规体系建设及管理提出了原则性要求及建议,并没有明确提出具体的操作标准和实践过程中的具体步骤。如《中小企业合规管理体系有效性评价团体标准》虽然尝试对各项合规工作提出了评价方法、评价指标、评价流程,却仅止步于描述,这就导致了个人数据合理使用合规管理体系的纸面化现象严重。究其原因,在于统一性规范需要尊重各行业的差异性,只能对各行业的共同特征进行规定,需要下级部门甚至企业自身来细化个人数据合理使用合规管理体系的具体标准及操作步骤。

然而,初步实证研究表明,多数企业还不能根据现有规范性文件或指导案例制定兼具合理性、合法性、实操性的个人数据合理使用合规管理体系。以个人数据收集需要获得个人同意为例,《信息安全技术 个人信息安全规范》(GB/T 35273-2020)将收集行为定义为“获得个人信息的控制权的行为”,其基础在于必须由个人数据主体即用户通过“明示肯定性动作授权”的方式进行,包括主动点击“同意”“注册”等后进行获取,用户的授权成了个人数据使用合法合规的构成要件。但是,有学者基于“平台企业与个人用户处理个人数据能力的不对等”,主张“可能造成个人数据获取模式与用户的主观意愿之间,存在着明显的分离”⑩参见王怀勇、常宇豪:《个人信息保护的理念嬗变与制度变革》,载《法制与社会发展》2020 年第6 期,第143 页。。因为数据获取并非用户看到的简单“同意”“注册”,而是一个具有技术门槛的数据处理行为,用户无法获取相关数据,会造成信息认知与获取之间的不对等⑪参见苗泽一:《数据交易市场构建背景下的个人信息保护研究》,载《政法论坛》2022 年第6 期,第59 页。。在日常生活过程中,多数用户并不会认真阅读相关隐私协议,而是跳过阅读、直接同意,这种建立在不完全知情基础上的“知情—同意”模式不仅会损害相关主体的用户权益,还借助于隐私协议使企业找到规避收集数据行为法律风险的避风港。另外,《个人信息保护法》第6 条规定,企业收集个人信息应当具有明确、合理的目的,但对于哪些个人数据是符合“明确、合理”目的要求而企业有权获取授权的,这本身就是一个不明确、无法阐明的概念,甚至对于“明确、合理”都缺乏准确的界定。因此,多数企业根据现有规范性文件或指导案例制定的个人数据合理使用合规管理体系的纸面化现象仍然严重,体系设计存在缺陷,体系执行流于形式,效果无法凸显,不能有效规避各类风险⑫参见李勇:《涉罪企业合规有效性标准研究——以A 公司串通投标案为例》,载《政法论坛》2022 年第1 期,第140 页。。

三、企业合理使用个人数据的合规治理模式应然转向

从腾讯集团等大型企业初步建立内部数据安全合规体系到大型企业、国有企业、中小微企业参与企业合规改革试点,各企业均逐步探索行之有效的合规治理模式,合规制度和合规文化在我国范围内得到全面推行⑬参见陈瑞华:《企业合规视野下的暂缓起诉协议制度 》,载《比较法研究》2020 年第1 期,第5 页。,企业合理使用个人数据的治理逻辑发生转变。

(一)引入公私合作的协同治理模式

随着我国社会主义市场经济体制的逐步建立和完善,为了发挥市场在资源配置中的决定性作用,主要职能为服务与监管的行政机关转而服务于企业发展。公私合作即被称为publicprivate-partnerships (PPP)的治理模式,该模式主张发挥双方各自的优势来提供公共服务。单纯依靠行政机关维护市场的稳定和社会秩序容易出现滞后性。由于市场的复杂性,行政机关无法做到事无巨细,并且行政机关行使处罚权时需要其执法对象有明确的违法事实。因此,等到行政机关行使处罚权时往往是问题已经产生,呈现出了滞后性,而对于个人数据的问题而言,政府采取措施时,企业已经出现了个人数据的不合理使用的问题,严重侵犯了个人的隐私,危害了个人数据安全,对用户本身产生了严重的后果。

公私合作的模式主张同时发挥企业(数据处理者)的自我管理作用和行政、司法机关的监督管理作用。它们通过完善外部激励机制促进企业建立内部自我管理的规章制度,发挥企业自身的积极性,更好地起到预防个人数据不合理使用的问题,减轻了行政机关的压力,也尽可能规避个人数据不合理使用问题的发生。因此,以公私合作的治理模式保障个人数据的合理使用,既降低了成本,也强化了效果,具有无可比拟的优越性。

(二)采取柔性治理的合规激励措施

树立回应型监管理念,以柔性治理措施为首选,以劝服替代压制。“回应性监管”的概念来源于西方发达国家,是基于对“命令控制性监管”的批判而提出的。“回应性监管理念的基本观点是为了能够有效监管,监管者和监管手段应该适应被监管机构或者个体的行动”,“行政机关可以在传统的命令与控制手段之外,将一些新的监管手段作为必要的补充”,有效规制企业的违规行为⑭参见曹炜:《环境监管中的“规范执行偏离效应”研究 》,载《中国法学》2018 年第6 期,第276 页。,如“行政约谈”便是在我国较为普遍的一种柔性治理措施。

柔性治理措施主张行政、司法机关对企业进行“劝服”,鼓励、引导企业自我调整、自我管理,自发地建立保障个人数据合理使用的机制,尽量减少对企业的打压、处罚,保障企业的活力,更好地促进企业的发展,也促进个人数据合理使用合规的不断完善。如有学者指出,“合规整改的严厉性和实效性,使其发挥超越刑罚的实质制裁和犯罪治理效果”⑮参见刘艳红:《企业合规不起诉改革的刑法教义学根基》,载《中国刑事法杂志》2022 年第1 期,第108 页。,即将合规整改作为一种新型的柔性治理措施,企业需要针对现实化的合规风险进行相应的补救完善,打造个人数据合规等专项合规计划,由于合规计划的建设、运行具有较强的制裁性,这一过程超越法律制裁,更有助于企业后续合理使用个人数据。

(三)完善个人数据合理使用的规定

企业合规作为近年来兴起的企业治理模式,正逐步在我国推广开来。我国企业建立合规管理体系的积极性越来越高,国家行政监管部门也开始在多个领域引入合规激励机制,以“合规宽大处理”的方式激励更多企业开展合规整改。2021 年11 月15 日,市场监管总局发布《企业境外反垄断合规指引》;2022 年7月5 日,浙江省市场监督管理局发布了省级地方标准《互联网平台企业竞争合规管理规范》(DB33/T 2511-2022)。在行政机关的鼓励引导下,企业内部建立符合时代化的机制,保障个人数据的安全问题。

个人数据安全合规机制兼顾自由与秩序,保障个人数据有序流通与合理使用;数据的收集、流通和使用已成为主流,大数据时代是社会发展的必然趋势,也为人们的生活带来了极大便利。因此,一味限制个人数据使其无法流通显然是不合理也无法做到的,促进大数据的有序流通对于建立国内外双循环、大市场有着重要的推动作用,而为了弥补市场的弊端、保障数据流通的规范和合法,建立规范的数据流通法律法规也是不可阻挡的必然要求。建立个人数据合理使用的合规模式,就是为了保障个人数据的有序流通,同时也保障了其合理合法使用,既促进了数字市场的发展,也维护了社会的秩序。

四、个人数据合理使用的民行刑一体化合规体系构建

随着三大数据立法特别是2021 年我国首部针对个人数据保护专门立法的《个人信息保护法》的正式实施,围绕个人数据合理使用与在大数据时代下个人数据保护等问题的研究全面展开。

(一)个人数据合理使用有效合规建设的民行刑一体化需求

数字经济时代,个人数据多层次、多维度的价值属性意味着个人数据应受到多重法律保护,也意味着个人数据处理者面临多元的数据安全风险,个人数据处理者应建立民行刑一体化的数据安全风险防控机制。

一方面,个人数据处理者违规处理数据行为面临着民行刑风险,且形成一体化的个人数据安全风险。我国当前针对个人数据处理者的违规行为,已经形成民行刑完善的严密追责体系,违规处理个人数据的行为既可能构成民事侵权行为、行政违法行为,又可能因情节严重构成侵犯公民个人信息罪等个人数据犯罪,且个人数据犯罪多为法定犯,以违反前置法规定为前提。具体而言,个人数据处理犯罪行为以违反个人数据处理规则和个人数据合规管理义务为前提⑯参见毛逸潇:《数据保护合规体系研究》,载《国家检察官学院学报》2022 年第2 期,第85-86 页。,而个人数据处理规则和个人数据合规管理义务由《中华人民共和国民法典》《中华人民共和国个人信息保护法》等民商事法律规定,个人数据处理者怠于履行义务的行为和违规处理个人数据的行为会面临民事侵权责任和行政处罚责任,故个人数据处理者一旦需承担刑事责任,一般情况下也需承担民事侵权责任和行政违法责任,企业面临着阶梯化的民事、行政、刑事合规风险,民行刑违法一体化造就了个人数据安全风险的一体化。

另一方面,面对一体化的个人数据安全风险,企业应构建一体化的风险防范机制,全面化解个人数据违规处理行为的违法风险和犯罪风险。个人数据安全风险的民行刑一体化风险类型,意味着刑事安全风险由前置违法风险积累、递进而形成。但并不否认刑事安全风险和前置违法风险的独立性,企业构建仅足以防范刑事安全风险的个人数据,刑事合规体系尚不能有效防范前置违法风险,且刑事合规体系虽获得减免刑事责任的刑事激励,但未消除再次构成违法行为的可能性,仍需面临行政处罚等非刑罚处罚措施。若企业仅构建足以防范前置违法风险的个人数据安全合规体系,则无法应对刑事安全风险,还存在个人数据犯罪的再犯可能性,缺失获得量刑激励措施的有力依据。故应以民行刑规范为指引,通过行业协会与检察机关协同治理的模式,推动企业构成民行刑一体化的风险防范机制,有效防范企业个人数据处理过程中的所有法律风险⑰参见毛逸潇:《“行检协同式”个人信息合规行刑衔接激励新模式研究》,载《法学论坛》2022 年第6 期,第65-67 页。。

(二)“过程导向、体系完整”的个人数据通用合规要素

为了有效防范风险,企业形成包含内部合规政策、组织管理流程和合规操作指南等通用因素的合规体系,并通过事前设计(Plan)、有效执行(Do)、定期评估(Check)、动态完善(Check)的PDCA 四环节,构建从合规体系设计到合规运行效果的全过程长效性合规机制⑱参见刘艳红、丁鹏:《TQM 视域下“双一流”高校硕士学位论文全流程质量监管体系探索——以G 省2019 年硕士学位论文抽检评议结果为样本》,载《甘肃政法大学学报》2021 年第4 期,第2-5 页。。

1.事前设计环节。企业需制定包含内部合规政策、组织管理体系、个人数据处理指南等全面规范个人数据处理行为的内部合规文件,类型化梳理常见的个人数据安全风险并引入可以动态识别、即时预警的风险监测机制,制定应急处置个人数据安全事件的风险响应范本,形成融“预防—监测—应对”为一体的合规体系。

2.有效执行环节。为了避免合规体系的虚置,企业应在全业务流程和全管理流程贯彻落实事前设计的合规体系,在新服务对象、新业务功能、新员工上岗等新风险源接洽、投入使用前,通过事前风险识别、员工岗前教育培训、第三方尽职调查等多种途径,提前预防个人数据安全风险。在企业日常经营、处理个人数据过程中,通过定期举办员工教育培训、开展合规审计、形成合规报告的方式,并辅以内部员工举报通道,全面监测业务流程和管理过程中的个人数据安全风险。在发生个人数据安全事件后,通过配合执法机关调查、立即开展内部调查、针对风险源处理其责任人、采取补救止损措施,并向有关部门报告,完善合规体系,有效应对个人数据安全风险。

3.定期评估环节。有效合规体系可以改善企业经营状态并形成员工兼具道德感与责任感的企业合规文化⑲参见陈瑞华:《论企业合规的性质》,载《浙江工商大学学报》2021 年第1 期,第47 页。,且规避民行刑法律风险,故应确保企业的合规体系保持常态化的良好运行效果。企业应定期开展合规运行效果评估活动,测评合规机制的实际运行效果,通过数据反馈发现合规体系的不足。

4.动态完善环节。数字技术的更新迭代会催生新型个人数据安全风险,在企业定期评估和全面监测过程中,若发现企业未规避的风险类型,需针对性加强风险防范机制,实现合规体系的持续改进和长治久新。

(三)“风险导向、针对强化”的个人数据专业合规要素

企业在处理个人数据的全生命周期都面临特有的安全风险,故个人数据合规体系还应以特有的合规风险为导向,针对性强化专业合规政策、专业合规组织、专业合规评估等个人数据专业合规要素。

第一,企业需制定专业的合规政策并形成专业合规管理组织。面对个人数据处理过程中泛在且专业的安全风险,企业需制定专业的合规政策和管理指引,明确防范对象和措施,提醒内部员工规避相关风险。面临技术性较强的专门合规风险,企业需引进专业型技术人才并设立专业的个人信息保护合规部门,通过技术手段、职业敏感性,事前预防、全面监测、识别应对相关风险。

第二,企业需开展专业的个人数据安全影响评估活动,识别、规避隐蔽的专门合规风险。根据国家市场监督管理总局公布的《信息安全技术 个人信息安全影响评估指南》(GB/T 39335-2020),专业的个人数据保护影响评估活动除却针对内部员工和合作第三方的事前评估活动,还应针对网络环境和技术措施、个人数据处理全流程、业务安全态势等特有的风险源开展个人数据安全影响评估活动,及时发现并避免专门的合规风险现实化。

第三,企业应定期组织专业的个人信息保护合规审计活动。2023 年8 月3 日,国家互联网信息办公室公布《个人信息保护合规审计管理办法(征求意见稿)》,要求个人数据处理者每两年至少开展一次个人信息保护合规审计,评估个人数据安全合规体系的实际运行效果,且应重点审查个人数据专门合规风险的防范情况,确保合规体系的有效性。

结语

随着时代发展和技术进步,数据安全保护责任逐渐由个人责任转向平台责任⑳参见刘艳红:《人工智能时代网络游戏外挂的刑法规制》,载《华东政法大学学报》2022 年第1 期,第65 页。,而平台在履行数据安全保护责任中存在内部审查机制不完善、积极保护数据信息安全的企业文化相对欠缺、数据保护系统存在技术性漏洞等问题,引入企业合规机制对于有效解决包括但不限于上述问题具有可行性且更具有优越性。但当前我国在企业数据合规和个人数据合理使用问题的研究中呈现出相互割裂的状态,缺乏从企业合规视角研究个人数据合理使用问题的学术和实证研究成果,即当前我国虽然构建起了一套复杂的数据合规与个人数据合理使用的规范体系,但存在平衡性不足,过于行业化琐碎化等问题,亟待从企业合规角度出发,出台针对个人数据合理处理的规范性文件。

在个人数据合理使用的企业合规建设方面,需要立法上的专门支持,检察院等国家机关在执法司法过程中激励企业合理使用个人数据,企业自身要充分考虑自身的特殊性,强化责任意识,积极建立行之有效且效益长远的个人数据合规机制,从源头上保障数据安全和数据的合规处理。行业协会和检察机关通力合作,发挥各自优势,破除现有弊端,构建民行刑一体化的合规机制,实现长远发展。以企业合规推进个人数据的合理使用是构建我国数据安全保障体系的时代问题,在当今大数据时代下,研究以企业合规建设保障个人数据合理使用具有重要的时代意义。同时,保障个人数据安全的同时还可以更好地促进数据流通,维护市场秩序,鼓励企业内部治理,降低企业风险,提升企业的国际竞争力,维护我国企业良好的市场形象。而此问题在我国尚属起步阶段,无论是在理论研究还是具体实践方面均没有充足的经验,因此,如何更好将企业合规同个人数据合理使用相结合,仍有待进一步研究。

猜你喜欢

数据安全合规体系
构建体系,举一反三
外贸企业海关合规重点提示
GDPR实施下的企业合规管理
云计算中基于用户隐私的数据安全保护方法
建立激励相容机制保护数据安全
大数据云计算环境下的数据安全
大数据安全搜索与共享
“曲线运动”知识体系和方法指导
“三位一体”德育教育体系评说
“三位一体”建体系 长治久安防哮喘