數據發(fā)展須依規(guī)而行

李遼

近年來，一些企業(yè)利用數據壟斷地位，過度獲取、不正確使用和處理用戶數據，違規(guī)跨境傳輸用戶數據，侵害公民個人信息權益，甚至危害國家數據安全。對此，國家重拳整治數據違法違規(guī)行為，倒逼企業(yè)重新審視自身隱私保護政策和數據處理方式，將數據合規(guī)建設提上日程。

數據不合規(guī)代價昂貴

大數據時代，企業(yè)每天都在生產、共享和存儲大量數據，數字經濟在迎來新發(fā)展機遇的同時，數據交易不合規(guī)現(xiàn)象也在高頻發(fā)生。

2021年2月，中國銀行遼寧分行因未按規(guī)定收集、使用消費者個人金融信息等五大事由被罰114.7萬元；同年4月，浙江省寧波市市場監(jiān)管局先后對20家房地產企業(yè)進行立案查處，及時叫停房地產領域非法收集消費者人臉識別信息的違法行為，合計罰款203萬元；2023年年初，廈門銀行因涉及違反個人金融信息保護規(guī)定等23項違法行為，被處罰款764.6萬元。

被稱為“史上最嚴”的數據保護法案——歐盟《通用數據保護條例》（下稱“GDPR”）于2018年正式生效后，任何違反 GDPR 的企業(yè)都會被處以最高2000萬歐元（或上一年全球營業(yè)額4%）的罰款。2021年7月，亞馬遜收到歐盟有史以來最大數據隱私泄露罰單，因違反 GDPR 被罰款7.46億歐元；2022年，著名社交軟件 Instagram 母公司 Meta 因允許青少年開設賬號并公開顯示其電話號碼和電子郵件地址，被愛爾蘭數據監(jiān)管機構處以4.05億歐元罰款，這也是根據 GDPR 規(guī)定對企業(yè)開出的第二高罰單。根據中國商務部官網發(fā)布的消息，2022年歐洲數據監(jiān)管機構針對 GDPR 違規(guī)的罰款額達到了創(chuàng)紀錄的29億歐元，是2021年的兩倍。

聚焦數據泄露，數據安全研究中心Ponemon Institute 分析了2019年8月至2020年4月期間發(fā)生的524起違規(guī)事件，發(fā)布了評估報告。其中指出，2020年企業(yè)數據泄露平均成本為386萬美元，比三年前的評估結果高出6.4%。而客戶個人身份信息是損失最昂貴的記錄類型。IBM Security 研究報告顯示，其統(tǒng)計的企業(yè)在2021年平均每起數據泄露事件成本為424萬美元，是2004年來的最高值。大型企業(yè)或許能承受因數據泄露帶來的違規(guī)成本，但小型企業(yè)幾乎會因此破產。

一方面，數據交易不合規(guī)行為會讓企業(yè)喪失大量客戶忠誠和信任。2016年，雅虎郵箱曝出泄密事件后，遭大批用戶棄用，正在商談收購事宜的雅虎甚至一度難以賣出。另一方面，聲望折損會導致企業(yè)股價下跌，對企業(yè)經濟利益產生直接影響。2017年，趣店發(fā)生用戶數據泄露時，股價連續(xù)下跌，一度開盤跳水30%。由此看來，數據不合規(guī)的代價對于企業(yè)來說十分昂貴。

數據合規(guī)是最確定性因素

近年來，中國相繼出臺具備系統(tǒng)性、針對性的個人信息保護法律法規(guī)、部門規(guī)章和國家標準。特別是個人信息保護法的出臺，體現(xiàn)了中國在個人信息保護領域的積極態(tài)度和未來監(jiān)管趨勢，為國民個人信息安全和隱私保護發(fā)展奠定了基礎，為全球隱私治理作出“中國貢獻”，從根本上改變了全球范圍內隱私保護的管理模式，標志著數據合規(guī)時代的到來。

廣東數字政府研究院副院長傅建平5月3日接受《法人》記者采訪時表示，數據合規(guī)是企業(yè)應對不確定性的最確定性因素，推進數據合規(guī)本質上是一個不斷調整數據生產關系，解放和發(fā)展數據生產力的過程。企業(yè)遵守數據法規(guī)，加強數據安全防范，構建數據合規(guī)體系，可以避免因罰款或違規(guī)而蒙受損失，增加確定性、創(chuàng)造價值、提升競爭力。

“未來，數據合規(guī)管理考驗著每一家企業(yè)的生存能力，將成為企業(yè)發(fā)展新常態(tài)。如果企業(yè)能跨越雷區(qū)，變風險為企業(yè)發(fā)展機遇或第二增長曲線，則可收獲數據合規(guī)利好。畢竟，誰掌握了數據，誰將掌握發(fā)展主動權；誰利用好數據，誰將贏得未來數字競爭新優(yōu)勢。”由此，傅建平認為，數據合規(guī)不僅是對數據本身的保護，也是對企業(yè)未來發(fā)展未雨綢繆的規(guī)劃。

“數據合規(guī)應該貫穿企業(yè)創(chuàng)新發(fā)展各方面和全過程，用結構性改革去破解結構性矛盾，用高水平數據治理推動高質量數據供給。”傅建平建議，企業(yè)應該從法治環(huán)境、發(fā)展戰(zhàn)略、組織變革、制度完善、流程優(yōu)化、技術支撐和文化建設等方面構建數據合規(guī)治理體系，加強數據合規(guī)師、數據管理師、首席數據官、數據安全技術等專業(yè)人才隊伍建設。

2000年左右，歐美已有至少數百家公司設有 DPO（數據安全保護官）職位。從該職業(yè)發(fā)展機遇來看，隱私、合規(guī)、數據安全崗位聘用人數在近幾年大幅增長。在中國，為應對全球數據監(jiān)管和遵循相應法律法規(guī)，企業(yè)“數據合規(guī)師”應運而生，有力保障了企業(yè)在現(xiàn)行法律框架下的正當權益。

平衡數據合規(guī)與創(chuàng)新發(fā)展

傅建平稱，在當前數據交易中，機遇與挑戰(zhàn)并存。數據要素法規(guī)制度不健全、數據要素供給側結構性矛盾突出、數據合規(guī)治理能力亟待提升等挑戰(zhàn)，使數據要素化過程存在許多不確定性，制約著數據要素更好地發(fā)揮作用。

目前橫亙在企業(yè)面前的一個難題是，在創(chuàng)新發(fā)展和數據合規(guī)建設方面如何作出平衡？數據安全法明確提出“堅持以數據開發(fā)利用和產業(yè)發(fā)展促進數據安全，以數據安全保障數據開發(fā)利用和產業(yè)發(fā)展”，“鼓勵和支持數據在各行業(yè)、各領域的創(chuàng)新應用”，但真正落到市場層面，數據開發(fā)并沒有像數據安全和保護那樣打開新局面。

今年2月13日，貴州省大數據工作會上傳出消息，截至2023年2月9日，貴陽大數據交易所累計交易額5.49億元。這對于已成立8年的貴陽大數據交易所來說并不是一個亮眼的成績。2022年4月，南都大數據研究院發(fā)布的研究報告顯示，目前場內交易在我國數據交易市場中所占份額不足5%。

某央企法務合規(guī)部門負責人周治成對記者稱，各地大數據交易中心成立了不少，但數據交易的成功示例不多。“雖然數據具有財產屬性，可少見真正將數據作為資產或權利進行出資的公司設立。相反，有些領域的數據被權利主體緊緊握在手心，不愿分享出來。”他舉例，如果想在北京買一套住宅，三四年前可以在房地產中介手機 APP 上直接查詢到意向房產的相似房產歷史成交價，買賣雙方都可以在此基礎上分析比較，選擇談判策略及出手時機，但現(xiàn)在無法查詢到這類數據。

因此，他認為，導致數據開發(fā)利用面臨市場困境的原因主要有兩個：一是大部分業(yè)務未實現(xiàn)“大數據+”的定型，這使企業(yè)不知道如何真正開發(fā)利用手中數據，不愿意為此投入經濟成本，也不敢付費合法購買數據，導致業(yè)務盈利模式不清晰。二是缺乏法律指引。通過國家近年來的積極立法，數據領域雖已形成法律體系，但因為數據及數據權利的基本理論和法律屬性至今沒有定論甚至通說，法律只規(guī)定了鼓勵數據開發(fā)利用的原則，沒有進一步細化。

某互聯(lián)網頭部企業(yè)數據合規(guī)官陳升（化名）表示：“首先，數據交易是新興事物，不斷發(fā)展變化，目前針對它的法律法規(guī)只是較粗的框架，難在具體實踐場景中落地。例如法律法規(guī)要求平臺企業(yè)在處理個人信息數據時要征求用戶同意，但這件事情本身非常寬泛——哪種情況下用戶算是同意了，哪種情況下超過了數據使用范圍，如果平臺企業(yè)再次處理某個人信息數據是否還需要重新拿到用戶有效同意？其次，定義不明確，個人信息處理看似在法律法規(guī)上有明確定義，但一旦套入實際應用場景，就沒法有效區(qū)分。例如，平臺企業(yè)對某用戶進行信息精準推送，可能是對個人信息做了處理，也有可能是基于廣泛人群類型（如對 IP 所映射的地理位置）統(tǒng)一投放。這種情況下，平臺企業(yè)如果只使用了一個 IP 地址，會不會被看作是過度使用用戶個人信息，這些問題在法律上的定義并不明確。”

因此，他認為，雖然國家一直鼓勵和提倡數據流轉，但對于平臺企業(yè)來說，比較迷茫的是不知道“紅線”在哪里。“未來，隨著執(zhí)法精細化，監(jiān)管層會在保護個人信息和發(fā)展數據之間尋找到一個合適的銜接點，充分聽取數據處理者的意見，去分析處理者在處理數據過程中是否真正尊重了用戶權利，是否保障了用戶隱私，判斷用戶到底受到了怎樣的侵害，從而適配相應法律法規(guī)。”

傅建平也認為，數字化發(fā)展帶來了政府與市場邊界的變化，政府既是監(jiān)管者，也是公共數據的持有者，需要構建一系列適應數據要素特性和數字化發(fā)展要求的上層建筑以適應經濟基礎變化，為數據要素市場健康發(fā)展提供牢固保障。他建議，應打造政府、企業(yè)和個人多方參與的“數據合規(guī)共同體”，做到價值共創(chuàng)、責任共擔、利益均衡、合規(guī)不處罰、合規(guī)不起訴，走出一條中國式數據合規(guī)治理和市場化利用之路。

（責編白馗）