我国企业数据合规的理论基础、现实检视与路径选择
2024-01-11孙佑海
收稿日期:2023-08-18
基金项目:
国家社会科学基金规划重大项目“弘扬社会主义法治精神研究”(22ZDA072)。
作者简介:
孙佑海,男,山东荣成人,天津大学法学院院长、教授、博士生导师。
摘 要:
近年来,我国企业数据行为违法违规的情形屡屡发生,损害了相关主体的合法权益。推进企业数据合规建设,不仅有助于企业自身发展,而且对促进企业守法,全面建设法治社会具有重大意义。我国企业数据合规应当遵循数据安全、权利与义务、机制激励、整体治理的原则;通过调查我国数据密集型企业合规状况,发现其存在数据违规采集、利用、存储和数据违规出境等问题。对此,需要建立健全我国企业内部数据合规管理体系、合规风险识别预警机制、数据违规审查和处罚制度、培育企业合规文化,以此保障企业数据合规经营,减少法律风险。同时,强化企业外部的行政监管和司法监督,推进数据合规领域的行政执法和解,建议制定“行政执法和解法”;在总结企业数据合规成功经验的基础上修改《刑事诉讼法》《刑法》,并制定配套的司法解释。
关键词:
数据理论;数据行为;数据密集型企业;企业数据合规
中图分类号:D924.3
文献标识码:A
文章编号:1000-5099(2023)06-0078-10
一、问题的提出
习近平总书记高度重视企业合规工作。2023年4月28日,习近平总书记主持召开“分析研究当前经济形势和经济工作”会议时指出,“各类企业都要依法合规经营。要下决心从根本上解决企业账款拖欠问题。要推动平台企业规范健康发展,鼓励头部平台企业探索创新。”[1]习近平总书记强调,守法经营是任何企业都必须遵守的一个大原则,企业只有依法合规经营才能行稳致远。在当前国际竞争越来越体现为规则之争、法律之争的大背景下,我国企业面临的国内外环境和风险挑战日趋复杂严峻,必须加快提升依法合规经营管理水平,确保改革发展各项任务在法治轨道上稳步推进。因此,依法合规经营对于提高企业在市场中的竞争力,增强企业规避风险的能力具有重要意义。
从1986年开始,我国先后制定了八个“全民普法”计划,但由于各种原因,企业不守法的情形至今屡见不鲜。然而,企业对社会经济发展发挥着十分重要的作用,如果企业不守法合规,就会影响社会主义市场经济发展。如何让企业守法合规经营,也是全面依法治国题中应有之义。经过数十年的摸索,我国探索解决企业守法问题的“钥匙”,即企业合规应运而生。合规的实质,就是通过建立科学有效的管理体系,制定和实施本行业或本单位内部的规范性文件,确保法律规定的各项义务得以履行,引导企业“遵纪守法搞经营,在合法合规中提高企业竞争能力。”[2]
个人数据安全与国家安全、国家利益息息相关。数据本身蕴涵着可以被解读和分析的国家政治、经济、军事等方面重要信息,因而更加需要特殊保护[3]。个人数据除了具有人格利益之外,还具有巨大的商业利益和经济价值,特别是在电信、金融、医疗、教育等信息密集型行业,出现贩卖大量个人信息与非法使用数据产品的情形,情节严重者还构成了侵犯公民个人信息罪。国家负有对公民人格尊严进行保护的义务,在信息时代,该义务扩展到对公民个人信息相关权益的保护[4]。为此,我国出台了《网络安全法》《数据安全法》《个人信息保护法》等信息数据立法。国家从法律层面加强个人数据的安全保护,对维护网络空间主权以及国家安全,具有十分重要的现实价值。
然而,在社会生活当中,企业对个人数据的不当采集、储存和处理,侵害了公民的精神利益,还可能危害其人身安全和财产安全。从近年我国企业经营管理来看,存在多起数据密集型公司试图在境外上市,可能泄露国家重要信息和敏感信息的情况,从而有可能危害国家安全。对此,强化数据合规最为重大的意义,在于由过去的“别人要我守法”,变成“我要守法”,改變了被动地、恐惧式守法模式[5],这使得长期困扰国家主管部门的企业不守法问题得以解决。因此,强调企业数据合规必将促进企业守法,有助于推动法治社会建设。企业要实现高质量发展就要破除一系列不规范、不合规问题,在企业内部加强合规控制,建立合规管理制度体系,提高企业管理水平和经营水平[6]。这表明推动数据合规工作,不仅能预防和降低企业的经营管理风险,还能提高经营管理效率,增加企业效益与利润,有效提升企业在国际国内的核心竞争力。由此可见,加强数据合规管理对信息密集型企业具有特殊重要的意义。
综上所述,鉴于数据的极端重要性和数据领域违规行为的严重性,数据合规不仅引起国家相关部门高度的重视,而且也成为法学界研究的热点。如何将企业数据合规理论与实践相结合,成为当下法学界亟待思考的问题。对此,本文以企业数据合规理论为基础,检视我国企业数据合规的现状、问题并分析其成因,在剖析问题的基础上提出科学的治理方案,这是笔者探讨该论题的意义所在。
二、逻辑展开:我国数据合规的理论基础
(一)数据安全:逻辑主线之奠立
习近平总书记以宽广的战略思维深刻把握数据安全问题,将数据安全置于国家安全的重要地位,标志着党对国家安全工作的认识达到新高度,同时也是我国数据安全治理的根本指导思想。2016年,习近平总书记指出,“要依法加强对大数据的管理。一些涉及国家利益、国家安全的数据,很多掌握在互联网企业手里,企业要保证这些数据的安全。”[7]2018年,习近平总书记指出,要规范企业投资经营行为,合法合规经营,履行社会责任[8]。习近平总书记关于数据安全的理论,坚持国家利益至上,以人民安全为宗旨,以政治安全为根本,以经济安全为基础,统筹外部安全和内部安全,坚决维护国家主权、安全和发展,奠立了国家关于数据安全和数据治理的理论基础。数据安全的重要性随着数据事业的发展而日益凸显。我们要以习近平关于数据安全的重要理论为指导,统筹经济发展与数据安全两个大局:一方面要善于运用数据事业发展成果来提高国家安全的治理能力;另一方面又要善于塑造有利于数据事业发展的安全环境,在确保国家数据安全的基础上,促进以数据为关键要素的数字经济持续健康发展,造福于广大人民群众。
(二)权义一致:主体意识之塑造
权利和义务相一致,是保障数据合规的重要理论基础。一是法律要保障公民的数据权利。《民法典》规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。由此可见,个人信息是一项重要的民事权利。不仅如此,法律对个人数据予以保护,本质上也是保护公民的尊严和自由。保护个人数据的目的,是对宪法意义上的公民基本权利的保障,它最终根源于对人的尊严的保护[9]。因此,保护个人数据是人格权保护的重要组成部分。二是企业要全面履行自己的义务。根据权利与义务相对应理论,公民在享有自身权利的同时,其相对的一方,即企业必须履行自己的义务。只有企业全面履行自己的法定义务,公民的数据权利才能得到实现。对于企业的经营活动而言,应以履行义务为先。只有公民履行自己的法定义务,其数据权利才能得到可靠保障。三是数据权利和数据义务相辅相成。在一定意义上,企业认真履行好自己的法定数据义务,就能最大程度地保障公民的数据权利。公民依法主张自己的数据权利,客观上有助于企业更好地履行自己的法定数据义务。
(三)整体治理:治理机制之架构
整体性治理就是以公众需求为导向,以信息技术为手段,以协调、整合和义务为机制,跨越组织功能边界,在政策、法规、服务、监督等方面,对治理层级、功能、公私部门关系及信息系统等碎片化问题进行有机协调与整合,不断从分散走向集中,从部分走向整体,从破碎走向整合,为公众提供整体性服务,充分体现国家治理的包容性、整合性整体性治理理论是对19世纪末20世纪初传统官僚制政府以功能为导向而导致政府职能重复分散的批判,是对20世纪80年代新公共管理理论以客户需求为导向而导致公共服务碎片化的回应。整体性治理理论由英国学者佩里·希克斯首倡。1997年,佩里·希克斯在其《整体政府》一书中第一次提出整体性治理理念。1997年,托尼·布莱尔执政的英国工党政府以整体性治理理论作为其政府改革纲领,并提出协同政府概念。1999年,英国政府出版《现代化政府》白皮书,在对前两年工作进行总结基础上推行整体政府改革十年规划。这一模式也迅速推广诸多国家,为这些国家的治理服务。。整体性治理理论,与系统论有诸多共性。系统论偏重于自然科学,整体性治理理论偏重于社会科学。整体性治理理论对于我国推进数据合规的治理,有一定的启发意义。
整体性治理理论对数据合规治理的启发意义:一是应当以公众需求为导向,满足他们对数据安全的强烈期盼;二是以协调、整合和义务为机制,跨越部门管理边界开展合作,可以有效解决仅仅依靠行政主管部门单打独斗的局面,将行政力量和司法力量等加以协调整合,共同为数据合规服务。三是在治理手段方面,充分利用信息技术和政策、法律、服务、监督手段,在实施中对这些手段进行整合,为公众提供整体性服务;四是在整体性治理中,充分发挥政府和企业的积极性,尤其要明确,政府有关部门的监管仅仅是外部条件,企业的自觉才是内在动因。只有将企业合规的内在积极性充分调动起来,企业的合规治理才能走向自觉,从而实现可持续性。以上四个方面的有机融合,有助于实现国家治理的包容性和整合性,有助于履行经济发展和数据安全的双重使命。
(四)机制激励:实现数据合规的必由之路
激励是激发一定主体从事某一行为的动机,促使其为实现群体或组织的目标增强行为积极性的过程[10]。激励理论,即研究如何调动人的积极性的理论激励理论,即研究如何调动人的积极性的理论。它认为,工作效率和劳动效率与职工的工作态度有直接关系,而工作态度则取决于需要的满足程度和激励因素。如美国心理学家马斯洛把人的各种需求分为生理需求、安全需求、社会需求、尊重需求、自我实现需求五个层次,认为人们按照需求层次追求满足。因而管理者根据需求设置目标即可起到激励作用。另外,双因素论者赫茨伯格把影响工作态度的因素分为保健因素和激励因素两类,保健因素包括组织政策、管理技术、同事关系、工资待遇、工作环境等,这些因素的改善可消除职工的不满情绪,激励因素是适合个人心理成长,能调动积极性的因素,但只维持原有的工作效率。自从二十世纪二三十年代以来,国外许多管理学家、心理学家和社会学家结合现代管理的实践,提出了许多激励理论。这些理论按照形成时间及其所研究的侧面不同,可分为行为主义激励理论、认知派激励理论和综合型激励理论三大类。。在激励理论指引下,企业数据合规不仅是企业为督促员工遵守数据相关法律法规等规范而确立的数据密集型企业治理方式,更是政府部门监督和促进数据密集型企业依法依规运用数据的一种外部激励制度。美国自20世纪90年代建立企业合规机制以来,将合规计划作为激励机制加以使用,通过对违法企业在一定条件下给予宽大刑事、行政处理等方式,激励企业建立并实施有效的合规计划,促进企业在法治的轨道上开展经营活动。
在我国企业数据合规建设中,应当以激励理论为指引,确立三个方面的激励机制:一是行政宽大处理的激励机制,将数据合规作为行政和解适用的条件和减轻行政处罚的依据;二是刑事宽大处理的机制,将数据合规作为不起诉的依据或无罪抗辩、减免刑罚的理由,以及将数据合规作为签署暂缓起诉协议和撤销起诉的依据;三是国际组织(如世界银行)的制裁消除机制,即将企业数据合规作为附条件或无条件减免国际组织(如世界银行)制裁的依据[11]。
三、现实检视:我国数据合规的现状、问题及其原因
(一)我国企业数据合规的现状
我国金融科技、智能汽车、在线教育、互联网和电信行业数据最为密集,也是数据合规的重点。近年来,我国数据密集型行业的合规工作取得显著成就。
一是金融科技行业。金融科技行业通过利用海量数据向用户提供金融服务,如支付、征信、信贷等方式,其需要通过接受监管、主动合规以激活沉默数据、盘活数据资产、防范和化解机构的金融风险。如招商银行、平安银行等多家银行对自有App产品予以优化,通过向用户明示“隐私政策更新”,推动行业数据使用行为的合规[12]。二是智能汽车行业。智能汽车行业伴随着汽车智能化、网联化发展,越来越多涉及用户数据和车辆数据的采集、利用问题。智能汽车行业积极推进数据合规,以汽车工业协会基于《数据安全法》为指引,建立了汽车大数据委员会,探索在行业内部建立数据合规自律规范。例如,长城汽车公司通过全流程数据加密,实现数据合规管理[13]。三是在线教育行业。在线教育行业依托互联网和大数据,利用多种媒体学习资源和资源共享渠道进行线上教学,在线教育行业对用户影响较大。截至2020年12月,我国在线教育用户规模达3.42亿,占网民整体的34.6%;手机在线教育用户规模用户达3.41亿,占手机网民的34.6%[14]。海量的数据使用量及规模巨大的市场引起行政主管部门的高度重视,要求行业规范其自身数据收集、使用行为,承担社会责任。尤其是在未成年人个人数据保护方面,诸多在线教育企业进行了有益的探索。例如“作业帮”等在线教育企业联合发布《促进在线教育行业健康发展倡议书》,明确要求落实网络安全等级保护、网络安全预警通报和用户信息保护制度,保障用户数据安全和隐私[15],以此保护未成年人健康成长。四是互联网和电信行业。互联网和电信行业作为全球数字化进程的先驱,随着数字化进程的加快,数字技术已向行业全方位加速渗透、融合。一方面,在数据价值提升的背景下,数据市场驱动互联网和电信行业加强数据合规以获得数据利益;另一方面,数据安全风险暴露面、攻击面较广,使得互联网和电信行业不得不加强数据合规以避免利益损失。例如“钉钉”公司从安全合规等八个维度建立数据安全防护机制,推动数据行为全面合規[16]。
总体来讲,上述四个重点数据密集型行业在数据合规领域的有益探索,对整个数据行业的合法合规经营奠定了良好的基础。
(二)现实问题的检视
在肯定我国数据合规取得成就的同时,也要正视其存在的问题。我们以数据密集型企业为例,当前在数据合规领域存在以下问题:
其一,是数据违规采集。近年来,我国移动应用软件在一定程度上存在违规私自采集、过度采集、超范围采集用户数据信息、强制授权、不合理索取用户权限、频繁骚扰等侵害用户权益的情形,如未经用户同意自动开启采集地理位置、身份证号码、人脸、指纹,读取通讯录、使用摄像头、启用录音等功能以及与服务无关的功能。“ZAO”软件因违规收集个人信息被工信部约谈就是一个鲜活的案例2019年9月,因“ZAO”App用户隐私协议不规范,存在数据泄露风险等网络数据安全问题,工业和信息化部网络安全管理局对北京陌陌科技有限公司相关负责人进行了问询约谈。。
其二,数据违规储存。企业进行数据违规储存时,可能会产生用户数据泄露事件。例如,实践中发生的东航泄露乘客个人隐私事件参见北京市中级人民法院(2017)京01民终509号民事判决书。,以及号称史上最大的数据泄露案——瑞智华胜公司非法盗取30亿条个人网络信息被罚款1 000万,同时该公司主管人员和直接责任人构成刑事犯罪参见浙江省绍兴市越城区人民法院(2019)浙0602刑初1143号刑事判决书。。
其三,数据违规利用。有的数据密集型企业违规利用用户数据,严重侵害用户合法权益。例如,移动应用软件未经用户同意,私自将设备识别信息、商品浏览记录、搜索使用习惯、常用软件应用列表等个人信息共享或出售给第三方;又如,强制用户使用定向推送功能,即APP未向用户告知,或未以显著方式标示,将收集的用户搜索、浏览记录、使用习惯等个人信息,用于定向推送或精准营销;再如,有些精准广告是在消费者搜索某个产品或是浏览某个广告时被非法记录下来并被违规利用的,严重损害了消费者的合法权益。
其四,数据违规出境。数据安全与国家安全息息相关,其出境应当按照国家规定的要求进行。而数据违规出境,是指数据的出境没有按照国家的相关要求输出境外。例如,依规应当向网信部门申报数据出境安全评估却没有申报评估的行为。由于数据蕴含利益的多样性和交织性,涉及国家、社会和个人的具体利益,數据违规出境必然给我国的数据安全带来严重威胁。
(三)深层原因剖析
我国一些数据密集型企业合规领域问题丛生,这些问题产生的原因,既有企业数据合规意识不强,又有政府监管乏力,还有监管政策不配套等原因。
1.企业自身的原因
一是企业尚未形成科学的合规管理体系。企业发展和新型监管方式对数据安全管理提出了严格要求。例如,高科技公司,对数据安全要求极高,数据泄露影响更大。但是,笔者对一些高科技公司进行合规问题的调研表明,诸多公司依然沿用传统的管理方式,有的公司竟然不知道什么是“企业合规”。显然,如果公司的管理体系没有适应时代变化相应“升级”,必然导致因用户不断提出索赔等原因致使公司管理成本的急剧上升。二是企业的合规能力不足。数据技术的飞速发展要求数据管理能力不断提高。例如,利用大数据技术获取企业不同类型的安全数据,识别潜在的数据安全风险和威胁,非结构化数据的安全保护策略和技术实现方案等均对企业的合规管理能力提出了新要求。因此,数据安全管理能力的提升至关重要。但是,当前诸多互联网企业在能力建设上的投入依然不足,系统也不够先进,技术研发人员与实际需要匹配度过低,无法满足强化数据合规治理的能力需要。三是企业尚未形成合规文化。在整个合规体系中,合规文化的作用至关重要。
实践证明,企业要实现重大的发展进步,总是先有理念和境界,然后才有实际行动。通过考察数据密集型企业合规治理的实际情况,作者发现有很多企业,包括一些数据领域的头部公司,数据合规意识十分淡薄。我国数据密集型企业与跨国企业相比,在合规领域明显落后,很多中小公司乃至部分大公司甚至不知晓合规的概念和功能。有的企业的商业模式运转多年,至今依然采用传统的、粗放式的甚至违规的数据运营模式做支撑。根本原因在于企业缺乏合规意识。更为深层的原因,在于企业整体缺乏良好的合规文化[17]。
2.政府方面的原因
政府主管部门没有对数据密集型企业进行正确的监管和引导,也是数据不合规问题产生的重要原因。
一是行政监管“不作为”。政府有关部门的“不作为”,导致“谁守法谁吃亏”的情形时有发生。守法成本高,违法成本低,已经成为我国数据行业比较普遍的现象。因此,难以形成数据密集型企业合规的内生动力。二是行政监管“乱作为”。政府有关主管部门的“乱作为”,在法治轨道之外进行“瞎指挥”,对企业伤害极大。这些行为都造成对数据密集型企业营商环境的破坏。三是政府自身数据治理能力不足。在《数据安全法》《个人信息保护法》等新法律颁布施行的形势下,部分地方政府没有认真学法,没有及时调整治理方式,无法满足数据密集型企业的合理需求。例如,有的企业有数据跨境需求,当他们向政府咨询或者请政府相关部门予以指导时,相关部门以种种理由互相推诿,限制了企业的数据合规。
3.政策方面的原因
一是没有形成与行政监管相配套的行政和解机制。如前文所述,有的行政监管领域,政府主管部门为了支持企业的发展,采取了行政执法和解等措施,这在很大程度上支持了企业的发展。但也要清醒认识到,这些行政执法和解试点,仅仅是开始。从全国来看,一方面,国内企业数据合规还没有形成法律规范,因此,这项重要的活动缺乏法律依据,从而影响了行政执法和解工作的开展。另一方面,行政监管部门开展的行政执法和解试点“断断续续”,影响了行政和解制度的依法构建。因此,涉案企业在缴纳行政和解金之后,既不建立合规管理体系,也不针对企业的合规风险采取预防、监控和应对措施,故很难实现“纠正违法行为”和“积极整改”的目标。二是没有形成与司法监督相配套的刑事合规机制。所谓刑事合规,是指对于涉嫌犯罪或已经构成犯罪的企业,司法机关以企业制定合规计划为依据,对其作出宽大刑事处理的制度。刑事合规的目的是使企业的经营活动符合法律规定,避免新的刑事风险发生或最大程度减少企业因发生刑事风险而影响其正常的经营活动。开展刑事合规工作需要有法可依。但是,我国《刑事诉讼法》和《刑法》迄今没有将企业合规作为法定从轻或者免除刑罚的条件。这是当前司法机关虽然高度重视刑事合规工作,但推进却困难重重的原因之一。三是没有形成行政监管和刑事司法相协调的衔接机制。企业合规的核心虽然是以企业为主建立合规管理体系,但离不开国家机关的指导和监督。
从目前的实践看,笔者发现行政主管部门与司法机关各自为政,“铁路警察各管一段”,因而效果较为不佳。调研结果表明,企业合规强烈要求行政主管部门和司法机关的监管工作有机衔接。
四、路径选择:我国数据合规的整体谋划与方案设计
(一)核心环节:企业数据合规的自主建设
企业作为数据的保有者,是履行数据合规义务的主体。为此,应当从以下六个方面建立企业数据合规的科学模式。
1.建立健全企业数据合规的管理体系
数据合规的实践经验证明,合规管理的成败除与企业核心层的重视程度相关外,关键还在于是否建立了高效的内部合规管理体系。为此,企业应当基于内部管理结构,建构管理层重视、全员参与的数据合规管理体系:应当推动设置相对独立的专门合规管理机构,并合理配置该机构的职能与职责;应当加强合规管理机构与企业内部的审计部门、监察部门、内控部门等相关部门之间的协作配合;应当加强合规管理机构与执法机关、商业合作伙伴、律师事务所等外部机构的沟通协调。
根据数据合规的特点,数据密集型企业应当建立健全数据分类分级保护机制,这是实现企业数据合规的关键。《数据安全法》设计了数据分类分级保护制度,并要求各地以及各部门按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录。为此,数据密集型企业应当按照法律法规的要求,精准识别企业数据的类型,针对不同类型的数据,进行精准化的合规管理。
2.建立健全数据合规风险的识别预警机制
风险预防是做好数据合规的关键环节[18]。为此,企业应当充分了解数据合规发展所处环境,进而有效识别重要风险:从宏观上充分了解企业所在国家或地区有关数据管理的法律要求及发展趋势;从中观上深度剖析企业所在行业的数据合规的规范;从微观上全方位审视自身的数据使用偏好、业务模式、发展战略。与此同时,要合理确定需要加强数据合规风险管理的关键业务或岗位范围,有效研判企业数据合规风险发展态势,围绕企业数据合规目标,加快形成数据合规风险识别的工作方案。
3.定期开展数据合规管理评估
对企业数据合规情况开展定期评估有助于企业持续防范数据违规风险。据此,应当加强对数据合规管理制度的定期评估,对其是否符合当前法律法规和政策开展评价;加强对数据合规实施机制的定期评估,有效识别合规管理、审计、监察等部门之间的协调性,实现数据合规管理体系与企业管理體系协同性的持续监测;加强对数据合规管理人员工作绩效的定期评估,实现数据合规管理人员业务能力的持续提升。
4.建立健全数据违规审查和处罚制度
企业违规审查与违规行为处罚是对数据密集型企业进行全过程管理的重要手段。一方面,从建立健全数据合规风险审查机制审视:健全具有可操作性的数据合规审查程序,将数据合规审查机制纳入企业日常运行中;建立健全通畅的沟通机制,推动合规信息和风险的逐级传导;建立健全绩效考核机制,提升合规审查制度的执行力。另一方面,从完善违规行为处罚制度审视:畅通举报途径,建立系统的举报网络并创造安全的举报环境;严格落实纪律处分规定,必要时可向相关执法部门报告企业数据违法以及向违规者提起诉讼;完善违规行为处罚后的反馈机制,即通过采取针对性的合规整改措施,进一步改进企业数据合规管理制度[19]。
5.强化数据合规的能力建设
建立健全数据合规体系应当以能力建设为支撑[20]。数据密集型企业在强化数据合规的能力建设时,应当重点从数据风险核查能力、数据梳理能力、数据保护能力以及数据威胁监控预警能力等方面展开:应当不断完善数据梳理技术,实现对企业重要数据、敏感数据的全面排查梳理,并对不同角色进行数据处理的权限进行梳理;应当不断完善入侵防御技术,通过建立、强化数据库防火墙,实现对外部攻击及内部数据库漏洞的有效防护,防止产生用户数据泄露等问题;应当不断完善权限管控技术,针对不同访问需求,规范数据访问权限,并严格记录访问情况,实现内部数据操作行为的有效控制与监管;应当不断完善监管稽核技术,实现从数据产生到场景化使用的流向监控、精准分析;应当不断完善应急处置技术,健全应急预案和紧急情况下的应对处理机制。
6.培育企业数据合规文化
促进数据密集型企业合规经营有多种因素,但最为根本的是企业的合规文化。优秀的企业文化能够营造良好的企业发展环境,提高员工的文化素养和道德水准,形成企业的凝聚力、向心力和拘束力,产生企业不可或缺的精神力量。因此,在企业合规经营的各项要素中,合规文化具有根本性。基于合规文化,所有的数据密集型企业在数据的日常采集和处理中,都应当全面履行合规义务;企业的决策层要带头守法遵规,规范自身行为;要严格全面履行数据合规要求,绝不能允许员工为了追逐利益而从事违法违规的行为;企业应当从培养员工的数据合规意识做起,增强员工合规使用数据的自觉性,形成良好的数据合规习惯,使之成为员工的基本理念。
(二)外部保障:国家支持企业数据合规体系建设
1.政府加强数据合规行政监管
为了促进数据密集型企业实现合规经营,强化行政监管是十分必要的,也是基本的、前提性的措施。“严管就是厚爱”的逻辑也适合对数据密集型企业的监督管理。当前,有关行政监管部门在对数据密集型企业的活动实施监管时,应当加大对大数据相关技术、设备和服务提供商的风险评估和安全管理;应当组织建立健全大数据标准体系,研究制定有关大数据的基础标准、技术标准、应用标准和管理标准等;应当加快建立政府信息采集、存储、公开、共享、使用、质量保障和安全管理的技术标准;应当通过严格的行政执法,依法追究违法者的相关法律责任,倒逼数据密集型企业严格实施数据合规。
2.支持检察机关开展数据侵权公益诉讼
检察机关提起数据侵权公益诉讼,是对数据领域行政监管的不可或缺的有益补充。实践中,网络贷款、网络购物等App违规收集个人信息的情况屡屡发生,损害了社会公共利益,也暴露出仅依靠行政监管部门单打独斗不可能实现对数据密集型企业的管理和约束。检察机关提起公益诉讼可以与行政机关的行政处罚相互配合形成监管合力,突破属地管辖障碍,从而更加有效地保护个人信息安全。《数据安全法》的颁布实施,对强化企业数据行为的监管提出了新要求,检察机关在运用公益诉讼手段保障数据安全方面大有可为。《个人信息保护法》明确把个人信息保护纳入公益诉讼范畴,最高人民检察院专门颁发依法推进个人信息保护公益诉讼检察的司法文件,明确提出要延伸拓展公益诉讼检察职能,这是检察机关开展数据侵权公益诉讼的新机遇。应当明确,防范数据垄断、算法滥用均属于保护公共利益,在反数据垄断、反算法滥用方面,检察机关都可以提起公益诉讼,并以此为契机,促进数据密集型企业积极开展数据合规建设。建议国家司法机关制定相关司法解释,准确界定数据合规、数据垄断、算法滥用的司法适用的内涵,并明确检察机关提起数据侵权公益诉讼的条件和办案流程。
(三)合规升华:完善企业数据合规激励机制
1.构建数据治理行政执法和解制度
全球企业合规治理的经验和我国企业合规治理的探索与实践表明,在行政监管领域建立健全数据合规激励机制,是推动数据密集型企业合规管理体系建设的必然趋势,也是实现数据密集型企业守法合规的必然要求。为此,建议有关行政主管部门基于我国行政执法和解试点的经验,在数据合规领域建构行政执法和解制度。通过与行政违法的数据密集型企业达成和解协议、督促其缴纳和解金、向企业内部派驻合规监督专门人员等形式推动数据密集型企业建立健全合规管理体系,完善和落实合规计划,进而实现对数据密集型企业的行政监管由硬约束到软激励的转变;由“严厉处罚企业”到“严厉惩处直接责任人”的转变;由企业被动守法到主动合规的转变,有效激发数据密集型企业建立合规机制的内在动力。同时,建议国家积极开展行政执法和解的立法工作,将上述行政执法和解的有益经验转化为具体的法律制度设计,在法律层面为行政执法和解制度的推进提供有效保障。在相关立法路径的具体选择上,建议全国人大常委会根据我国开展企业合规的实際,尤其是推进行政执法和解的需要,专门制定“行政执法和解法”。如果制定专门的法律还不成熟,建议对现行的《行政处罚法》作出修改,将行政执法和解制度的基本内容纳入其中。在这个基础上,有关行政主管部门应当结合数据密集型企业合规的实际需要,制定专门的实施细则,督促并帮助数据密集型企业进行合规整改工作。
2.推进数据刑事合规立法
在数字时代,为突破数据安全治理难题,需要在法治的轨道上激励企业积极开展数据刑事合规建设。数据产业的发展情况表明,数据犯罪主要由网络平台等实体驱动,因此,有必要将管控数据犯罪风险的合规义务附加于网络平台。根据当前数据产业发展的实际状况,应当加强高科技、智能汽车、在线教育、互联网等重点领域企业的刑事合规建设。企业刑事合规建设主要涉及事前监督与事后监督两个阶段。在事前监督方面,建议检察机关在履职中及时向相关企业提出改善治理结构、封堵系统漏洞、防范刑事安全风险的检察建议,督促企业制定并实施刑事合规计划,同时协助相关企业积极进行刑事合规建设,构建全流程嵌入的综合防范体系,积极预防和控制与数据有关的犯罪。在事后监督方面,如果企业被以单位犯罪追究刑事责任,建议检察机关以检察监督方式督促企业积极进行刑事合规整改建设,以避免该单位再次实施犯罪。鉴于企业刑事合规的核心是将企业犯罪责任模式由过去的事后处置转型为事先预防,涉及通过合规计划而达到对涉嫌犯罪的企业不起诉或者从宽处理的目的,还涉及第三方的评估问题,以及刑事法律和行政法律的衔接问题。这些问题的解决,都需要有明确的法律依据。在立法路径的具体选择上,建议全国人大常委会根据我国企业刑事合规工作的实际,对《刑事诉讼法》《刑法》进行必要的修改,为开展企业刑事合规工作提供明确的法律依据。在这个基础上,建议最高人民法院和最高人民检察院根据相关法律的规定,制定专门的司法解释,以满足数据合规领域检察工作和审判工作的实际需要。鉴于刑事合规涉及行政法律与刑事法律的交叉,故建议在条件成熟时,考虑制定相关刑事法律与行政法律相衔接的规定,以保障数据密集型企业合规工作在和谐、有序、平稳、法治的轨道上运行。
3.推进数据合规协同共治
大数据时代需要协同共治的方法实现数据密集型企业合规。我国目前对于数据利用以组织内部管理为主,而跨部门、跨地区、跨行业的数据开放、共享和协作应用程度较低。这都需要通过数据开放、共享和协同,让数据更好地服务社会、造福人民,避免出现数据的独占。企业数据治理应当按照党中央关于“共建、共治、共享”的要求,精心打造开放性的生态系统,推动信息公开与公众参与,防止个别企业形成数据垄断,危害国家和人民的利益。我国政府部门拥有大量与经济社会发展密切相关的各类数据,应当按照数据分级分类保护的要求,需要公开的应当及时公开,向人民群众提供尽可能多的数据;需要保密的,应当按照《保守国家秘密法》的要求,采取必要的保密措施,以维护国家的数据安全和数据利益。
与此同时,应当充分发挥第三方评估的作用,有效开展数据安全的合规性评价。为了督促相关企业高质量开展数据合规,应当鼓励第三方机构为企业数据安全提供合规科技、风险评估与安全认证[21],引入数据“合规官”制度提升企业数据合规管理水平[22]。《数据安全法》明确支持数据安全检测评估和认证,以促进数据密集型企业实现数据合规的目标。在当前相关评估标准和制度尚未健全的情况下,相关企业可以参考等级保护、关键基础设施保护和相关行业监管制度,积极稳妥地推进数据合规各项工作的开展。
五、结语
长期以来,党和国家在推进企业守法方面做了大量工作。但由于企业守法的内生动力不足,致使企业违法经营的现象屡禁不止。尤其是在网络信息时代,互联网、大数据和人工智能在给人们带来巨大便利的同时,数据领域违法犯罪的问题也日益突出,广大人民群众深受其害,国家安全受到威胁,企业自身发展也受到不利影响。为此,应当促进数据密集型企业由“政府要我守法”,到“我要主动守法”的历史性转变。强化数据密集型企业合规是实现上述转变的必由之路。通过建立健全企业合规管理体系,建立风险识别机制和促进企业合规的各项制度,弘扬合规文化,辅之以行政监管、司法监督和社会监督的适度介入,必将有助于形成我国数据密集型企业全面守法的新态势。在确保数据资源为国家安全、经济建设、社会发展和人民生活提供高质量服务的同时,还将为我国全面建成法治社会提供有益经验。建议国家有关部门认真总结数据密集型企业合规治理的经验,加强相关立法和政策指引,通过企业数据合规治理的有序推进,为促进全民守法,全面建设社会主义现代化国家做出新贡献。
参考文献:
[1]中共中央政治局.分析研究当前经济形势和经济工作[N].人民日报,2023-04-29(001).
[2]習近平.习近平谈治国理政:第三卷[M].北京:外文出版社,2020:268.
[3]杨蓉.从信息安全、数据安全到算法安全——总体国家安全观视角下的网络法律治理[J].法学评论,2021(1):131-136.
[4]王锡锌.个人信息国家保护义务及展开[J].中国法学,2021(1):145-166.
[5]杨春福.全民守法的法理阐释[J].法制与社会发展,2015(5):66-68.
[6]朱军.在合法合规中提升民企竞争力[J].人民论坛,2019(19):84-85.
[7]习近平.在网络安全和信息化工作座谈会上的讲话[N].人民日报,2016-04-26(002).
[8]赵超,安蓓.坚持对话协商共建共享合作共赢交流互鉴 推动共建“一带一路”走深走实造福人民[N].人民日报,2018-08-28(001).
[9]张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(3):38-59.
[10]章凯.激励理论新解[J].科学管理研究,2003(2):89.
[11]陈瑞华.企业合规基本理论[M].北京:法律出版社,2021:40-60.
[12]魏倩.守住隐私!银行数据安全治理升级在行动[N].上海证券报,2021-11-11(003).
[13]中国汽车论坛组委会.圆桌对话:智能网联汽车数据安全治理与合规应对[EB/OL].(2021-06-22)[2023-06-18].http://www.caam.org.cn/search/con_5234048.html.
[14]中国互联网络信息中心.CNNIC发布第47次<中国互联网络发展状况统计报告>[EB/OL].(2021-02-03)[2023-08-12]http://www.cac.gov.cn/gzzt/ztzl/zt/cnic/A0920010802index_1.html.
[15]人民网.在线教育专业委员会成立 作业帮作为在线教育行业代表宣读倡议书[EB/OL].(2021-11-28)[2023-08-12]http://finance.people.com.cn/n1/2021/0322/c1004-32057447.html.
[16]人民网.钉钉发布安全白皮书3.0为用户构筑全链路安全防护体系[EB/OL].(2021-11-28)[2023-08-12]http://finance.people.com.cn/n1/2021/1128/c1004-32293796.html.
[17]JACKSON.J.,BRADFORD.B.,HOUGH.M.Why Do People Comply with the Law:Legitimacy and the Influence of Legal Institutions[J].British Journal of Criminology,2012(6):1 051-1 071.
[18]WITHERS.P.Data Compliance:Achieving It All[J].International Journal for the Data Protection Officer,Privacy Officer and Privacy Counsel,2019 (7):17-19.
[19]陈瑞华.有效合规管理的两种模式[J].法制与社会发展,2022(1):5-24.
[20]HORDERN.V.Data Protection Compliance in the Age of Digital Health[J].European Journal of Health Law,2016(3):248-264.
[21]丁晓东.数据交易如何破局——数据要素市场中的阿罗信息悖论与法律应对[J].东方法学,2022(2):144-158.
[22]GOSHADE.K.The Data Protection Officer (DPO) Ensuring Greater Data Protection Compliance[J].Law and World,2020(14):41-47.
(责任编辑:蒲应秋)杨 洋 杨 波,张 娅,王勤美,蒲应秋
The Theoretical Basis, Reality Check and Path Choice of Corporate Data Compliance in China
SUN Youhai
(Law School, Tianjin University, Tianjin, China, 300072)
Abstract:
In recent years, violations of corporate data have occurred repeatedly in China, damaging the legitimate rights and interests of relevant subjects. Promoting the construction of corporate data compliance is not only favorable to the development of corporates themselves, but also of great significance in promoting law-abiding corporates and comprehensively building a society based on the rule of law. Corporate data compliance should be based on the theoretical foundation of data security, rights and obligations, mechanism incentives, and overall governance; through the review of China’s data-intensive corporates, it is found that there are data violations in terms of data collection, utilization, storage, data exit and other issues. In response, corporates can adopt solutions through the establishment of a sound internal data compliance management system, a compliance risk identification and warning mechanism, a data violation review and penalty system, and the cultivation of corporate compliance culture. Thus, the corporate data compliance operation is guaranteed and legal risks can be reduced. It is necessary to strengthen the external administrative supervision and judicial supervision, to promote the administrative law enforcement and reconciliation in the field of data compliance with the proposal to formulate the “Law on Administrative Law Enforcement and Reconciliation”. It is also recommended to revise the Criminal Procedure Law and the Criminal Law on the basis of summarizing the successful experience of corporate data compliance, and formulate the supporting judicial interpretation.
Key words:
data theory;data behavior; corporate data compliance; data compliance
