互聯網企業的數據合規制度構建研究

□ 文 彭家闊

0 引言

在數字經濟背景下，數據成為社會發展的基本生產要素之一，也是互聯網企業業務開展的重要依托。在數據價值顯現的同時，企業在數據收集、存儲、加工、流轉等流程中的合規風險也逐漸凸顯。數據合規制度建立不僅是企業承擔起社會責任的外在要求，也是企業作為社會治理多元主體之一的內在追求，更是企業避免刑事和行政制裁風險的現實需要。因此，在現有法律框架下探索構建一套行之有效的數據合規制度成為必要。

1 問題的提出：數據合規風險的緣起

自2000年以來，互聯網企業在中國如雨后春筍般不斷萌發、成長、壯大，使得我國在互聯網技術和數字化建設方面處于世界第一方陣。自黨的十八大以來，數據愈來愈成為人們生活中必不可少的新型生產要素。社會數字化的不斷擴張、下沉并逐漸應用、滲透到人們生活的各方面，使得每個自然人都成為龐大的數據“持有者”，從一個具體的“物理人”變成“數字人”。而這些海量數據，不論是“私密數據”或是“公共數據”，很多由各大互聯網企業巨頭掌握。一些學者甚至主張數據是新世紀的“新型石油”，是拉動經濟增長的另一駕馬車。“十四五”規劃綱要提出推進數據跨部門、跨層級、跨地區匯聚融合，統籌數據的開發利用。這些頂層設計成為我國在數字化、信息化轉型升級中的信標燈。與此同時，數據作為一種關鍵的虛擬核心生產要素被互聯網企業通過算法等技術深度開發，隨之而來的則是一次次大規模數據泄漏事故。數據安全問題日益凸顯。例如，2021年6月在商丘市公開的一份判決書顯示，有兩名犯罪分子通過網絡爬蟲，爬取盜走淘寶近12億條數據。從2009年《刑法修正案》（七）將侵害公民個人信息的行為進行刑事歸罪，到2021年我國《數據安全法》的頒布確立了各方主體的數據保護責任。這一系列關于數據安全的法律規范，不僅涵蓋了大量的行政法規和部門規章，還涉及眾多刑事法規，從而衍生出互聯網企業數據合規需求。

2 互聯網企業履行數據合規的風險和現實考量

數據作為國家基礎性戰略資源和數字經濟的關鍵生產要素。無論是在數字導向型企業還是傳統工業型企業，都在深度使用數字技術，實現企業業務的發展。數據已然同企業的進步發展捆綁交織?；ヂ摼W企業在掌握著海量數據的同時，必然也面臨著自身技術限制或是外界網絡攻擊的現實風險。網絡的跨境性、快捷性以及放大效應，也極大可能給個人、社會、國家帶來數據安全風險。而不論是從企業社會責任、社會多元治理體系還是企業法律風險回避等角度來看，互聯網企業數據合規制度建設都具有現實緊迫性。

2.1 數據泄漏風險加劇下互聯網企業社會責任的呼吁

在數字化社會，互聯網企業所掌握的海量的個人數據和公共數據，往往關乎公民個人數據信息安全、公共利益乃至國家安全利益。如何合理規制并確認互聯網企業在數據安全保護方面所要承擔的企業責任是我們無法回避的課題。在傳統的公司法和經濟學領域視閾下，根據企業的逐利屬性，對企業的社會責任只要求高效地利用資源生產產品和提供相關服務，堅持利益為導向。但隨著社會進步和縱深發展，傳統的企業責任理論內涵與外延與社會現狀不相適應。企業在追求利益最大化的同時承擔起相應的社會責任成為現實呼吁，新的企業社會責任論也應勢而生。企業社會責任觀點從亞當·斯密古典經濟學理論中單一的經濟責任嬗變為現今的多維度社會責任理念。在數據貿易日益繁榮的當下，互聯網企業掌控的數據已經成為企業最具價值性的虛擬核心資產。與此同時，互聯網資本的無序逐利行為也給數據安全帶來挑戰。從個人來看，個人數據的隨意收集以及被泄漏與濫用事件層出不窮，利用非法收集的個人數據對用戶進行畫像也侵犯個人隱私等人格權益。對國家而言，以數據為“燃料”的數字經濟已經成為我國經濟發展的“新引擎”，且跨境數據貿易交易量也在不斷攀升，大量互聯網企業掌握的關乎國家安全、發展利益的數據出境安全問題也成為一個新的規制難題。因此，要實現個人與國家的數據安全亟須互聯網企業承擔起相應的社會責任，要求其在獲取數據紅利的必須同時將數據合規作為其承擔社會責任的核心內容。提升企業的數據合規意識，將數據合規落到實處，并把數據合規作為當下互聯網企業承擔社會責任的新內涵，是新時代賦予互聯網企業的新要求。

2.2 網絡犯罪不斷攀升下互聯網企業作為多元治理主體的要求

近年來，網絡財產詐騙案件攀升，而詐騙團伙非法獲取的被害人詳細信息，大多都來自互聯網企業泄漏的個人數據而后由詐騙團伙買入。因此，加強掌握大量數據的互聯網企業的數據合規建設也是從源頭消滅犯罪的重要手段，是建設和諧社會的重要方式。進入新時代以來，完善社會治理能力體系和治理現代化成為社會改革的一大熱點，而創新社會治理方式是實現多元社會治理的重要路徑。隨著近年來網絡犯罪率的不斷攀升，公安部門也意識到在防控數據網絡犯罪時需要多方主體協作才能高效地打擊犯罪，鑒于此，提出了由網絡平臺、公安機關、網絡安全技術企業三方組成的網絡生態治理體系。在社會治理的多元化體系中，掌握大量數據的互聯網企業進行數據合規治理不僅僅有利于企業實現良性發展，也是其參與構建多元社會治理體系的關鍵舉措。

2.3 互聯網企業權力擴張下觸法甚至觸刑風險的提高

隨著數字化、智能化的不斷深入，互聯網企業不斷利用數據、算法開發各種新興應用。對于互聯網企業來說，數據就是生產力，其推出的移動終端程序、互聯網平臺都憑借著獲取的數據而向用戶提供著個性化服務而實現增長。于是，其在規定的各種用戶隱私政策中通過簡單的“告知-同意”規則向用戶索取數據并利用非脫敏數據進行數據挖掘、分析、訓練算法，侵害用戶的數據權益，從而產生“權力”異化并導致數據合規風險。互聯網企業收集超出企業實際運營需要的數據、改變適用原使用范圍等情況下，即便用戶同意，也是不合規的非法行為。一旦數據發生泄漏，互聯網企業可能涉嫌違法，承擔相應的行政或刑事責任。因此，建立數據合規體系成為消弭企業法律風險的有效事前干預手段。

3 數據合規具體展開

在數據安全保障的法律法規體系下，存在大量行政法律以及部門規章，由此就引出了互聯網企業數據合規中的行政合規和刑事合規問題。

3.1 數據合規之行政合規

數據合規中的行政合規主要是指企業在進行數據的收集、存儲、加工以及管理等活動符合行政法規要求。其主要環節包括個人數據的收集、存儲、訪問與開發、個人數據委托處理、共享、轉讓、刪除、數據出境以及數據危機處理等。對于互聯網企業而言，數據符合行政部門監管規定是其在數據合規建設問題中的首要問題。但大多數互聯網企業更重視對數據的開發和利用，強調企業利益，忽視數據的個人屬性和國家利益屬性，被動地接受行政機關的數據安全行政監管，從而導致重大數據安全事故。因此，作為掌握龐大數據的互聯網企業，應當拋棄舊有觀念，將數據安全問題與企業利益并重。

3.2 數據合規之刑事合規

數據合規概念中的刑事合規主要是指企業在進行數據的收集、存儲、加工以及管理等活動中符合刑事法律法規之要求。相較于數據合規的行政合規，數據合規的刑事合規問題往往更加重要，因為這會涉及企業的生死存亡和企業高級管理人員的刑事責任承擔，可能會觸犯的罪名主要有：侵犯公民個人信息罪、拒不履行網絡安全管理義務罪、侵犯商業秘密罪、關于國家秘密犯罪等。

4 針對互聯網企業的數據合規制度思考

隨著數據安全領域“強監管”的到來，掌握大量數據信息的互聯網企業數據合規制度的建構成為必要，根據我國現有的《民法典》《侵權責任法》《行政處罰法》《個人信息保護法》《數據安全法》《網絡安全法》《信息網絡傳播權保護條例》、國家標準性文件《個人信息安全規范》以及《信息安全技術公共及商用服務信息系統個人信息保護指南》《互聯網電子公告服務管理辦法》等法律法規、標準作為規范指引，筆者認為，互聯網企業的數據合規制度應當從以下幾個方面進行建構。

4.1 組建獨立的數據合規部門及流程制度

企業若要形成一套行之有效的合規制度，組建獨立的數據合規部門十分必要。該部門必須在公司內部管理中享有相對獨立的內部合規審查權，才能讓數據合規管理更高效，也更有利于企業數據安全責任的落實與追責。其次，數據合規部門組建時，設置合理的流程體系也至關重要，通過流程設計將數據按照數據流轉順序的不同，分解給不同的部門、崗位。從而通過數據流轉流程實現數據溯源治理，并將管理制度中規定的權限、責任進行具體落實。

4.2 建立首席數據保護官負責制

若一個國家甚至部門體系想要實現高效的運轉，管理“核心”的設置至關重要，這個核心不僅享有更大的權力，同時也應承擔更多的責任。故落實企業首席數據官負責制，成為現行法律體系下企業數據治理最佳手段。不論是域外的《通用數據保護條例》（GDPR）還是國內的《數據安全法》《個人信息保護法》都要求建立數據信息安全的負責人制度，但并未提及“數據保護官”的具體地位。在筆者看來，應當在互聯網企業管理架構中中獨立設置首席數據保護官，由董事會進行選舉、任命并能列席董事會、行使表決權，且“董監高”不得兼任，從而保障其獨立行使職權。

4.3 建立分類分級數據保護合規制度

在現有法律框架下，不同等級、類別的數據享有不同的保護措施以及違法處罰規定，故企業在進行數據合規時應當根據現行法規將所掌握的數據進行再分類分級，強化落實保護責任，從而避免合規風險。具言之，可將法律規定的非核心數據在企業內部再分為個人數據、非個人數據。其中，個人數據又可以分為敏感個人數據和非敏感個人數據，非個人數據可以將其具體細分為政府數據以及企業數據等，或根據企業所處的行業、領域做出針對性的分類，便于公司內部管理。公司加工得到的脫敏數據也應進行分級分類存儲。

4.4 建立定期開展數據合規檢查制度

互聯網企業產生合規風險，主要是因其并未定期開展內部數據合規檢查而導致，故企業應當結合自身經營情況，定期開展所持有數據全流程檢查活動，排查出合規風險并及時予以糾正。本環節建立的關鍵是要首先落實以上三步，通過在組織和人員兩方面對數據合規制度進行保障，由此才能開展定期的數據合規自我糾察。同時可探索建立網絡巡查機制，通過計算機網絡的自動預警來輔助人力糾察，從而形成完善的數據合規檢查機制，達到法律法規要求的數據合規義務，有效避免行政以及刑事數據合規風險。

4.5 建立數據流動以及數據出境匯報制度

在總體國家安全觀的指引下，數據安全已然成為國家安全的重要組成部分，而掌握著海量數據的互聯網企業成了維護國家數據安全的重要一環。故企業應根據法律法規準確評估自身擁有數據是否屬于關鍵信息基礎設置運營者，建立數據流動和出境審查制度，時刻關注數據出境安全管理辦法的規范更新情況，配合相關行政部門審查?？傮w而言，應當要求在境外的數據處理者處理我國境內的自然人數據或者在跨境集團內部傳輸的場景中，應該由境內特定機構或者跨國集團內部一方向政府相關部門申請認證。具體的申請認證規則應要求境內或者境外的數據處理者與境外接收方簽訂法律協議（如數據處理協議或承諾函）、遵守統一的數據跨境處理規則，并做好雙方的組織管理、數據保護影響評估、數據主體權益保障等事項。只有在認證獲批后方可在法定或者約定范圍內進行數據跨境傳輸。

5 結束語

隨著數智化水平的不斷提升，我們將生活在一個被數據包裹的世界，每個人都會成為數據的生產者、攜有者以及權利歸屬者。數據已然具有個人資產屬性，而我們產生并擁有的海量數據將會被互聯網公司所掌握并進行開發利用，如何保護數據安全成為當下必須關注的問題。因而，互聯網企業進行數據合規制度建設不僅是企業基于自身利益所必須，也是保障個人數據安全和國家安全的需要。本文在現有法律框架下提供一條互聯網企業數據合規制度構建路徑。但并未深入分析國內外互聯網企業數據合規現狀，還存在欠缺。在多元主體社會治理體系指引下，構建制度化的互聯網企業數據合規機制、高效化的數據處理流程體系，不僅是確?；ヂ摼W企業長遠發展利益以及避免行政處罰和刑事風險的必要準備，更是積極承擔社會責任的重要體現。