數(shù)字企業(yè)數(shù)據(jù)跨境流動(dòng)合規(guī)治理法治化進(jìn)路
2023-12-14 00:00:00陳兵
法治研究 2023年2期
關(guān)鍵詞:數(shù)字企業(yè) 數(shù)據(jù)跨境流動(dòng) 企業(yè)合規(guī) 合規(guī)激勵(lì) 數(shù)據(jù)安全
一、問(wèn)題的提出
伴隨著以數(shù)據(jù)跨境流動(dòng)為核心的國(guó)際數(shù)字貿(mào)易蓬勃發(fā)展,數(shù)據(jù)要素的巨大價(jià)值和重要地位愈發(fā)顯著。2016 年2 月,麥肯錫全球研究院(MGI)發(fā)布的《數(shù)據(jù)全球化:全球流動(dòng)的新時(shí)代》顯示,數(shù)據(jù)跨境流動(dòng)對(duì)全球經(jīng)濟(jì)增長(zhǎng)的貢獻(xiàn)已經(jīng)超過(guò)傳統(tǒng)的跨國(guó)貿(mào)易和投資,數(shù)據(jù)全球化成為推動(dòng)全球經(jīng)濟(jì)發(fā)展的重要力量。①為回應(yīng)數(shù)字經(jīng)濟(jì)發(fā)展和社會(huì)公共訴求,近年來(lái)我國(guó)出臺(tái)并實(shí)施了《民法典》《電子商務(wù)法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律規(guī)范,體現(xiàn)出全球共識(shí)和本土經(jīng)驗(yàn)的融合。②
與此同時(shí),我國(guó)高度重視企業(yè)合規(guī)風(fēng)險(xiǎn)管理,推動(dòng)企業(yè)對(duì)標(biāo)國(guó)際標(biāo)準(zhǔn)加強(qiáng)合規(guī)建設(shè)。2006 年10 月,原中國(guó)銀監(jiān)會(huì)借鑒巴塞爾銀行監(jiān)管委員會(huì)制定《合規(guī)與銀行內(nèi)部合規(guī)部門》,發(fā)布《商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理指引》,推廣國(guó)際銀行業(yè)金融機(jī)構(gòu)合規(guī)風(fēng)險(xiǎn)管理的良好做法。③ 2017 年2 月,國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)借鑒國(guó)際標(biāo)準(zhǔn)化組織(ISO)發(fā)布的《合規(guī)管理體系指南》國(guó)際標(biāo)準(zhǔn),制定了《合規(guī)管理體系指南》國(guó)家標(biāo)準(zhǔn)。2021 年4 月,基于企業(yè)合規(guī)管理實(shí)踐,ISO發(fā)布《合規(guī)管理體系要求及使用指南》,代替《合規(guī)管理體系指南》,我國(guó)則相應(yīng)出臺(tái)了《合規(guī)管理體系要求及使用指南》國(guó)家標(biāo)準(zhǔn)征求意見(jiàn)稿。
總體而言,我國(guó)主要通過(guò)行政主導(dǎo)機(jī)制督促企業(yè)建設(shè)內(nèi)部合規(guī)管理體系,具體包括強(qiáng)制合規(guī)、合規(guī)報(bào)告、合規(guī)評(píng)估、合規(guī)監(jiān)管等措施。④該機(jī)制在推動(dòng)企業(yè)提升合規(guī)管理水平、增強(qiáng)國(guó)際競(jìng)爭(zhēng)力等方面發(fā)揮了積極作用。然而在數(shù)據(jù)跨境流動(dòng)合規(guī)治理領(lǐng)域,目前尚缺乏針對(duì)性的數(shù)據(jù)合規(guī)規(guī)范,面對(duì)日趨復(fù)雜的數(shù)據(jù)跨境流動(dòng)國(guó)內(nèi)國(guó)外合規(guī)形勢(shì),我國(guó)數(shù)字企業(yè)出海上市或拓展海外業(yè)務(wù)難免陷入合規(guī)困境。
2020 年8 月6 日,特朗普政府以危害美國(guó)國(guó)家安全和外交政策為由宣布封禁TikTok ;⑤ 2021 年7 月,移動(dòng)出行巨頭“滴滴出行”未經(jīng)安全審查赴美上市,國(guó)家網(wǎng)信辦等七部門旋即聯(lián)合進(jìn)駐并開(kāi)展安全審查,防止數(shù)據(jù)安全風(fēng)險(xiǎn)擴(kuò)大化;⑥ 2022 年1 月,美國(guó)聯(lián)邦通信委員會(huì)以危害國(guó)家安全為由決定撤銷中國(guó)聯(lián)通美洲公司的214 牌照,工信部隨即表示堅(jiān)決反對(duì)。⑦由此觀之,圍繞數(shù)據(jù)跨境流動(dòng)合規(guī)治理產(chǎn)生的國(guó)家利益博弈不斷激化,增強(qiáng)數(shù)字企業(yè)數(shù)據(jù)合規(guī)意識(shí)、強(qiáng)化數(shù)據(jù)跨境流動(dòng)合規(guī)治理已刻不容緩。
在理論研究方面,有關(guān)數(shù)據(jù)跨境流動(dòng)治理的研究已較為豐富,但聚焦于數(shù)字企業(yè)合規(guī)的成果相對(duì)較少。較為詳實(shí)的討論如:張翔、楊東基于美國(guó)政府封禁TikTok 事件,對(duì)我國(guó)出海企業(yè)數(shù)據(jù)合規(guī)治理進(jìn)行反思,提出維護(hù)出海企業(yè)權(quán)益與國(guó)家數(shù)據(jù)利益的合規(guī)路徑。⑧許多奇基于企業(yè)“走出去”和“引進(jìn)來(lái)”雙向合規(guī),探討解決企業(yè)數(shù)據(jù)跨境流動(dòng)合規(guī)難的法治保障方案。⑨黃志雄、韋欣妤以《隱私盾協(xié)議》無(wú)效判決為視角,分析美歐數(shù)據(jù)跨境流動(dòng)規(guī)則博弈對(duì)我國(guó)數(shù)字技術(shù)型公司合規(guī)成本的影響與對(duì)策。⑩梅傲、侯之帥則針對(duì)互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)跨境面臨的國(guó)際數(shù)據(jù)治理趨勢(shì),構(gòu)建現(xiàn)代化、創(chuàng)新型跨境數(shù)據(jù)合規(guī)體系。?總體言,現(xiàn)有數(shù)字企業(yè)數(shù)據(jù)跨境合規(guī)治理的討論側(cè)重于制度建構(gòu)層面,有關(guān)數(shù)字企業(yè)國(guó)內(nèi)國(guó)外雙重合規(guī)的對(duì)策性研究仍然不足,有待對(duì)企業(yè)內(nèi)部數(shù)據(jù)合規(guī)制度、合規(guī)激勵(lì)機(jī)制等實(shí)操層面進(jìn)行深入細(xì)致的分析探討。
數(shù)字經(jīng)濟(jì)時(shí)代,數(shù)據(jù)要素成為經(jīng)濟(jì)發(fā)展的基礎(chǔ)戰(zhàn)略資源和關(guān)鍵創(chuàng)新要素,數(shù)據(jù)跨境流動(dòng)合規(guī)治理成為主要國(guó)家或地區(qū)獲取數(shù)據(jù)資源優(yōu)勢(shì)、發(fā)展數(shù)字產(chǎn)業(yè)的博弈焦點(diǎn)。2022 年1 月12 日,國(guó)務(wù)院發(fā)布《關(guān)于印發(fā)“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃的通知》,明確提出“探索建立與數(shù)字經(jīng)濟(jì)持續(xù)健康發(fā)展相適應(yīng)的治理方式”“健全完善數(shù)據(jù)跨境流動(dòng)安全管理相關(guān)制度規(guī)范”“積極借鑒國(guó)際規(guī)則和經(jīng)驗(yàn),圍繞數(shù)據(jù)跨境流動(dòng)等重大問(wèn)題探索建立治理規(guī)則。”?為此,有必要充分掌握全球數(shù)據(jù)跨境監(jiān)管的實(shí)踐動(dòng)向,全面分析我國(guó)數(shù)字企業(yè)數(shù)據(jù)跨境合規(guī)面臨的現(xiàn)實(shí)挑戰(zhàn),推動(dòng)構(gòu)建系統(tǒng)化、法治化、常態(tài)化的數(shù)字企業(yè)數(shù)據(jù)跨境合規(guī)治理體系,助力我國(guó)數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展。
二、我國(guó)數(shù)據(jù)跨境治理現(xiàn)狀及域外實(shí)踐動(dòng)向
當(dāng)前,數(shù)字企業(yè)數(shù)據(jù)跨境合規(guī)治理已成為國(guó)際社會(huì)關(guān)注的焦點(diǎn)。國(guó)內(nèi)治理方面,針對(duì)重要數(shù)據(jù)和個(gè)人信息等監(jiān)管重點(diǎn),初步建立了以數(shù)據(jù)本地化存儲(chǔ)為原則、數(shù)據(jù)出境安全評(píng)估為例外的數(shù)據(jù)跨境治理模式。域外方面,美國(guó)、歐盟等發(fā)達(dá)數(shù)字經(jīng)濟(jì)體紛紛制定數(shù)據(jù)跨境監(jiān)管規(guī)則,日本、新加坡等新興數(shù)字經(jīng)濟(jì)體也相繼出臺(tái)相關(guān)法律政策,以求在新一輪科技革命中占得先機(jī),提升數(shù)字經(jīng)濟(jì)國(guó)際競(jìng)爭(zhēng)力。
(一)我國(guó)數(shù)據(jù)跨境治理現(xiàn)狀
我國(guó)的數(shù)據(jù)立法起步較晚,目前尚未出臺(tái)數(shù)據(jù)跨境治理專門性立法,但以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》為基礎(chǔ)的數(shù)據(jù)跨境治理法律體系已對(duì)此問(wèn)題予以回應(yīng),該體系的核心在于數(shù)據(jù)本地化存儲(chǔ)原則與數(shù)據(jù)出境安全評(píng)估機(jī)制。
1. 數(shù)據(jù)本地化存儲(chǔ)原則
為維護(hù)國(guó)家數(shù)據(jù)主權(quán)、安全和發(fā)展利益,我國(guó)實(shí)行較為嚴(yán)格的數(shù)據(jù)本地化存儲(chǔ)模式。2017 年6 月1 日生效的《網(wǎng)絡(luò)安全法》首次從法律層面提出了數(shù)據(jù)本地化存儲(chǔ)原則,該法第37 條明確要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)將在我國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)存儲(chǔ)在境內(nèi)。該法出臺(tái)后不久,微軟、亞馬遜、蘋果等國(guó)外互聯(lián)網(wǎng)巨頭紛紛在華設(shè)立數(shù)據(jù)中心,并將存儲(chǔ)在國(guó)外的中國(guó)用戶數(shù)據(jù)一并遷至國(guó)內(nèi)數(shù)據(jù)中心,以滿足數(shù)據(jù)本地化存儲(chǔ)的合規(guī)要求。? 2021 年9 月1 日生效的《數(shù)據(jù)安全法》和同年11 月1 日生效的《個(gè)人信息保護(hù)法》承繼了這一要求。在一些特定行業(yè)的部門法和管理文件中,也同樣存在諸多數(shù)據(jù)跨境規(guī)范,明確了數(shù)據(jù)本地化存儲(chǔ)原則。?
2. 數(shù)據(jù)出境安全評(píng)估機(jī)制
為順應(yīng)全球數(shù)據(jù)自由流動(dòng)趨勢(shì),推動(dòng)我國(guó)數(shù)字企業(yè)“走出去”,我國(guó)允許數(shù)據(jù)經(jīng)安全評(píng)估后出境。根據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》,數(shù)據(jù)出境安全評(píng)估的對(duì)象為個(gè)人信息和重要數(shù)據(jù),如果數(shù)據(jù)處理者跨境傳輸?shù)臄?shù)據(jù)不涉及前二者,則無(wú)需進(jìn)行安全評(píng)估。由于上述三部法律僅對(duì)數(shù)據(jù)出境安全評(píng)估進(jìn)行了原則性規(guī)定,并未涉及數(shù)據(jù)出境安全評(píng)估的標(biāo)準(zhǔn)、程序等制度規(guī)范,我國(guó)先后頒布多部配套規(guī)范,具體落實(shí)數(shù)據(jù)出境安全評(píng)估機(jī)制。目前主要參考的配套規(guī)范包括目前主要參考的配套規(guī)范包括《數(shù)據(jù)出境安全評(píng)估辦法》《數(shù)據(jù)出境安全評(píng)估申報(bào)指南(第一版)》《數(shù)據(jù)出境安全評(píng)估申報(bào)指南》《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見(jiàn)稿)》(簡(jiǎn)稱《評(píng)估辦法一(征求意見(jiàn)稿)》)、《個(gè)人信息出境安全評(píng)估辦法(征求意見(jiàn)稿)》(簡(jiǎn)稱《評(píng)估辦法二(征求意見(jiàn)稿)》)、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》(簡(jiǎn)稱《網(wǎng)安條例(征求意見(jiàn)稿)》)等。其中,《數(shù)據(jù)出境安全評(píng)估辦法》和《數(shù)據(jù)出境安全評(píng)估申報(bào)指南(第一版)》已于2022 年9 月正式施行,進(jìn)一步明確了數(shù)據(jù)出境安全評(píng)估的監(jiān)管主體、評(píng)估對(duì)象和實(shí)施流程等內(nèi)容,但在實(shí)施過(guò)程中仍需要更加細(xì)化,具體實(shí)施效果如何仍有待實(shí)踐檢驗(yàn)。
(二)域外數(shù)據(jù)跨境監(jiān)管實(shí)踐動(dòng)向
1. 美國(guó):以維護(hù)數(shù)字產(chǎn)業(yè)優(yōu)勢(shì)為主線,拓展長(zhǎng)臂管轄
在數(shù)字產(chǎn)業(yè)領(lǐng)域,美國(guó)具有全球領(lǐng)先地位,故在構(gòu)建數(shù)據(jù)跨境流動(dòng)規(guī)則時(shí)推崇數(shù)據(jù)自由流動(dòng),在與各國(guó)的貿(mào)易談判中積極加入“數(shù)據(jù)跨境自由流動(dòng)”條款。?譬如在美國(guó)主導(dǎo)下,《美墨加協(xié)定》(The UnitedStates-Mexico-Canada Agreement,簡(jiǎn)稱USMCA)刪除了針對(duì)“跨境數(shù)據(jù)自由流動(dòng)”及“數(shù)據(jù)存儲(chǔ)非強(qiáng)制本地化”等數(shù)據(jù)流動(dòng)規(guī)則的“例外條款”,即無(wú)論締約方是出于國(guó)家公共安全還是各自的規(guī)制要求,都不能妨礙USMCA 所定義的“跨境數(shù)據(jù)自由流動(dòng)”,對(duì)數(shù)據(jù)跨境自由流動(dòng)的監(jiān)管相對(duì)較為寬松。? 2022 年4 月21 日,美國(guó)宣布建立“全球跨境隱私規(guī)則”體系(Global Cross-Border Privacy Rules System),意圖將亞太經(jīng)濟(jì)合作組織主導(dǎo)下的跨境隱私規(guī)則體系(Cross-Border Privacy Rules,簡(jiǎn)稱CBPR 體系)轉(zhuǎn)變成所有國(guó)家或地區(qū)都可以加入的體系,擴(kuò)大了全球數(shù)據(jù)自由流動(dòng)的范圍。?
同時(shí),美國(guó)還通過(guò)“長(zhǎng)臂管轄”強(qiáng)化對(duì)境外數(shù)據(jù)的管制力。2018 年3 月,美國(guó)國(guó)會(huì)通過(guò)《澄清境外數(shù)據(jù)的合法使用法案》(the Clarifying Lawful Overseas Use of Data Act,簡(jiǎn)稱CLOUD 法案),賦予美國(guó)執(zhí)法機(jī)關(guān)調(diào)取美國(guó)企業(yè)存儲(chǔ)在境外服務(wù)器上的用戶數(shù)據(jù)的權(quán)力,此舉打破了數(shù)據(jù)跨國(guó)調(diào)取實(shí)踐中慣常遵循的數(shù)據(jù)屬地管轄模式,嚴(yán)重沖擊其他國(guó)家的數(shù)據(jù)主權(quán)。?
2. 歐盟:以構(gòu)建歐盟單一數(shù)字市場(chǎng)為目標(biāo),實(shí)施多種合規(guī)工具
2018 年5 月6 日,歐盟委員會(huì)出臺(tái)“單一數(shù)字市場(chǎng)”(Digital Single Market)戰(zhàn)略,以打破歐盟內(nèi)部的數(shù)字市場(chǎng)壁壘,推動(dòng)構(gòu)建歐盟單一數(shù)字市場(chǎng)。?為此,歐盟先后頒布《通用數(shù)據(jù)保護(hù)條例》(General DataProtection Regulation,簡(jiǎn)稱GDPR)和《非個(gè)人數(shù)據(jù)在歐盟境內(nèi)自由流動(dòng)框架條例》(簡(jiǎn)稱《條例》)。其中,GDPR 明確將數(shù)據(jù)權(quán)利定義為一種基本權(quán)利,創(chuàng)建了個(gè)人數(shù)據(jù)跨境流動(dòng)、提升數(shù)據(jù)權(quán)保護(hù)水平的立法范式;《條例》則通過(guò)消除各成員國(guó)的數(shù)據(jù)本地化限制政策,促進(jìn)歐盟境內(nèi)的數(shù)據(jù)自由流動(dòng)。
雖然歐盟致力于實(shí)現(xiàn)成員國(guó)之間個(gè)人數(shù)據(jù)自由流動(dòng),但是對(duì)非歐盟成員國(guó)則采取更加嚴(yán)格的管控措施。其一,通過(guò)“充分性認(rèn)定”設(shè)定數(shù)據(jù)跨境流動(dòng)白名單國(guó)家,只有相關(guān)國(guó)家或地區(qū)的數(shù)據(jù)保護(hù)水平達(dá)到歐盟要求,向其傳輸數(shù)據(jù)方可無(wú)需經(jīng)過(guò)歐盟的額外批準(zhǔn)和授權(quán);?其二,在缺乏“充分性認(rèn)定”的情況下,通過(guò)“標(biāo)準(zhǔn)合同條款”和“有約束力的公司規(guī)則”(BCRs)等保障措施允許企業(yè)跨境傳輸個(gè)人數(shù)據(jù);其三,歐盟還規(guī)定了在獲得用戶明確同意或出于公共利益目的等特定情形下的減損條款,允許個(gè)人數(shù)據(jù)出境。(21)
3. 日本、新加坡等新興數(shù)字經(jīng)濟(jì)體:積極參與數(shù)據(jù)跨境流動(dòng)國(guó)際合作,發(fā)展數(shù)字經(jīng)濟(jì)
日本同時(shí)加強(qiáng)與歐盟、美國(guó)的銜接,構(gòu)建“匿名化數(shù)據(jù)處理”的跨境數(shù)據(jù)自由流動(dòng)規(guī)則。(22)在數(shù)據(jù)跨境監(jiān)管規(guī)則上,日本參考?xì)W盟GDPR 制定知情同意原則、設(shè)定白名單國(guó)家等,并制定補(bǔ)充規(guī)則(SupplementaryRules)縮小與歐盟在數(shù)據(jù)保護(hù)規(guī)則上的差異;積極跟隨美國(guó)的數(shù)據(jù)跨境自由流動(dòng)政策,參與CBPR 體系,在美國(guó)退出《跨太平洋伙伴關(guān)系協(xié)定》(Trans- Pacific Partnership Agreement,簡(jiǎn)稱TPP)后主導(dǎo)《全面與進(jìn)步跨太平洋伙伴關(guān)系協(xié)定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,簡(jiǎn)稱CPTPP)。
新加坡將高水平的數(shù)據(jù)保護(hù)和數(shù)據(jù)自由流動(dòng)相結(jié)合。其一,禁止數(shù)據(jù)向低于本國(guó)數(shù)據(jù)保護(hù)水平的國(guó)家或地區(qū)轉(zhuǎn)移,并規(guī)定了特定情況下的豁免條件;其二,以建設(shè)亞太地區(qū)數(shù)據(jù)中心為戰(zhàn)略目標(biāo),鼓勵(lì)跨國(guó)公司在本國(guó)建立數(shù)據(jù)中心;其三,加入CBPR 規(guī)則體系,積極參與數(shù)據(jù)跨境流動(dòng)區(qū)域合作,尋求區(qū)域內(nèi)數(shù)據(jù)自由流動(dòng)。(23)
三、數(shù)據(jù)跨境流動(dòng)合規(guī)治理的難題審視
隨著數(shù)字經(jīng)濟(jì)時(shí)代的到來(lái),各國(guó)圍繞數(shù)據(jù)跨境合規(guī)治理展開(kāi)的利益博弈愈發(fā)激烈,數(shù)字企業(yè)出海上市或拓展海外業(yè)務(wù)面臨的境內(nèi)、境外雙重合規(guī)風(fēng)險(xiǎn)更加嚴(yán)峻。2021 年9 月,商務(wù)部在《中國(guó)數(shù)字貿(mào)易發(fā)展報(bào)告2020》中指出,2019 年我國(guó)數(shù)據(jù)跨境流動(dòng)量約為1.11 億Mbps,占全球數(shù)據(jù)跨境流動(dòng)量的23%,位居世界第一。(24)為此有必要深入探析我國(guó)數(shù)字企業(yè)數(shù)據(jù)跨境合規(guī)治理存在的多方面難題,審視其面臨的內(nèi)外部合規(guī)瓶頸。
(一)企業(yè)內(nèi)部數(shù)據(jù)合規(guī)管理體系不完善,合規(guī)有效性不足
目前,我國(guó)數(shù)字企業(yè)在數(shù)據(jù)合規(guī)實(shí)踐方面存在諸多不足,究其原因,根本在于企業(yè)尚未建立科學(xué)系統(tǒng)的內(nèi)部數(shù)據(jù)合規(guī)管理體系,致使數(shù)據(jù)合規(guī)有效性大打折扣,因此有必要系統(tǒng)審視數(shù)字企業(yè)內(nèi)部數(shù)據(jù)合規(guī)體系的不足之處。
其一,數(shù)據(jù)合規(guī)理念缺乏系統(tǒng)性和針對(duì)性。隨著數(shù)據(jù)監(jiān)管形勢(shì)日趨嚴(yán)格,數(shù)字企業(yè)紛紛制定數(shù)據(jù)合規(guī)政策,設(shè)計(jì)數(shù)據(jù)管理流程,建立與現(xiàn)行數(shù)據(jù)法律規(guī)范相適應(yīng)的數(shù)據(jù)合規(guī)工作制度,但是在數(shù)據(jù)合規(guī)理念方面存在明顯不足。譬如,數(shù)據(jù)合規(guī)工作制度流于形式,簡(jiǎn)單援引國(guó)內(nèi)法律規(guī)范或國(guó)外數(shù)據(jù)保護(hù)政策,規(guī)定企業(yè)合規(guī)負(fù)責(zé)人、合規(guī)培訓(xùn)、合規(guī)風(fēng)險(xiǎn)評(píng)估等原則性事項(xiàng),未能結(jié)合本行業(yè)、本企業(yè)數(shù)據(jù)合規(guī)實(shí)際需求,沒(méi)有明確數(shù)據(jù)合規(guī)內(nèi)部調(diào)查、合規(guī)盡職調(diào)查、合規(guī)報(bào)告、合規(guī)問(wèn)責(zé)與懲戒等具體舉措,數(shù)據(jù)合規(guī)管理體系的價(jià)值難以實(shí)現(xiàn)。(25)另一方面,缺乏全流程、全周期數(shù)據(jù)合規(guī)理念,使數(shù)據(jù)合規(guī)工作制度局限于數(shù)據(jù)風(fēng)險(xiǎn)事前防范階段,有關(guān)事中風(fēng)險(xiǎn)監(jiān)測(cè)、事后風(fēng)險(xiǎn)應(yīng)對(duì)等階段的制度設(shè)計(jì)則相對(duì)欠缺,一旦關(guān)聯(lián)第三方如境外數(shù)據(jù)接收者產(chǎn)生數(shù)據(jù)合規(guī)法律風(fēng)險(xiǎn),我國(guó)數(shù)字企業(yè)將處于更加被動(dòng)的局面。
其二,數(shù)據(jù)合規(guī)人才隊(duì)伍不充實(shí)。數(shù)據(jù)合規(guī)治理具有顯著的多學(xué)科跨領(lǐng)域特征,涵蓋法學(xué)、計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)安全、密碼學(xué)等眾多專業(yè)領(lǐng)域,因此,數(shù)字企業(yè)更需要既懂得數(shù)據(jù)合規(guī)法律規(guī)范,又了解大數(shù)據(jù)技術(shù)和保密技術(shù)的復(fù)合型合規(guī)人才。然而此類人才需求類別多樣且門檻較高,數(shù)字企業(yè)原有的合規(guī)人才隊(duì)伍難以滿足要求,中小企業(yè)囿于經(jīng)營(yíng)成本,又難以大量擴(kuò)充數(shù)據(jù)合規(guī)人才隊(duì)伍。況且,企業(yè)合規(guī)團(tuán)隊(duì)需同時(shí)負(fù)擔(dān)合同擬定與審查、業(yè)務(wù)合規(guī)調(diào)研、法律風(fēng)險(xiǎn)評(píng)估、訴訟等日常事項(xiàng),使數(shù)據(jù)合規(guī)工作更加捉襟見(jiàn)肘。此外,數(shù)據(jù)合規(guī)治理具有動(dòng)態(tài)性和開(kāi)放性特質(zhì),數(shù)字?jǐn)?shù)據(jù)技術(shù)和信息通信技術(shù)更新迭代,監(jiān)管規(guī)則和法律政策不斷調(diào)整,致使數(shù)字企業(yè)數(shù)據(jù)合規(guī)團(tuán)隊(duì)難以及時(shí)進(jìn)行合規(guī)工作制度調(diào)整,進(jìn)而規(guī)避實(shí)踐中不斷升級(jí)的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)。
其三,部門間分工協(xié)作機(jī)制不成熟。如前所述,數(shù)據(jù)合規(guī)治理涉及眾多專業(yè)領(lǐng)域,這決定了數(shù)據(jù)合規(guī)工作應(yīng)以數(shù)據(jù)合規(guī)部門為中心,其他職能部門加強(qiáng)信息共享與協(xié)同配合,避免出現(xiàn)數(shù)據(jù)合規(guī)部門“單打獨(dú)斗”的孤立局面。然而,數(shù)據(jù)合規(guī)部門并未得到應(yīng)有的重視,企業(yè)數(shù)據(jù)合規(guī)工作常常倒置于職能部門方案制定完成后,更多的在于實(shí)現(xiàn)合規(guī)成本最優(yōu)化甚或違法成本最小化。由于業(yè)務(wù)部門與數(shù)據(jù)合規(guī)部門缺少溝通協(xié)作機(jī)制,數(shù)據(jù)合規(guī)部門無(wú)法全流程參與數(shù)據(jù)相關(guān)方案制定,對(duì)日常業(yè)務(wù)具體涉及的數(shù)據(jù)類型與使用方式、數(shù)據(jù)跨境傳輸對(duì)象與途徑等都缺少清晰的認(rèn)識(shí),無(wú)法有效建立符合企業(yè)實(shí)際合規(guī)需求的管理機(jī)制。
(二)國(guó)內(nèi)國(guó)外合規(guī)風(fēng)險(xiǎn)加大,合規(guī)成本高企
1. 國(guó)內(nèi)數(shù)據(jù)法律規(guī)范可操作性不強(qiáng)
其一,合規(guī)主體不明確。《網(wǎng)絡(luò)安全法》首次對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的數(shù)據(jù)跨境傳輸行為進(jìn)行規(guī)范,但何為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者,《網(wǎng)絡(luò)安全法》第31 條的規(guī)定較為模糊。(26)根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第10 條,被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者將收到認(rèn)定通知,進(jìn)而滿足相關(guān)監(jiān)管規(guī)范。(27)然而,《數(shù)據(jù)安全法》第31 條將“其他數(shù)據(jù)處理者”納入監(jiān)管范圍,《個(gè)人信息保護(hù)法》第40 條將“處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者”納入監(jiān)管范圍,《數(shù)據(jù)出境安全評(píng)估辦法》更是將規(guī)范對(duì)象明確為“數(shù)據(jù)處理者”。這一方面反映出我國(guó)對(duì)數(shù)據(jù)跨境監(jiān)管日漸嚴(yán)格的立場(chǎng)和態(tài)度,另一方面導(dǎo)致數(shù)據(jù)出境合規(guī)主體的不確定性,加重了數(shù)字企業(yè)的合規(guī)負(fù)擔(dān)。
其二,數(shù)據(jù)跨境法律規(guī)范不清晰。《網(wǎng)安條例(征求意見(jiàn)稿)》到2021年不等,至今均未正式施行,對(duì)數(shù)字企業(yè)數(shù)據(jù)跨境合規(guī)的指引作用十分有限。況且上述文件在監(jiān)管對(duì)象、監(jiān)管范圍、評(píng)估標(biāo)準(zhǔn)等方面存在重疊、交叉,如何確定數(shù)據(jù)出境安全評(píng)估的順序及流程均不夠清晰,致使數(shù)字企業(yè)大規(guī)模數(shù)據(jù)跨境面臨“有法難依”的合規(guī)難題。
數(shù)據(jù)跨境法律規(guī)范的不清晰同樣體現(xiàn)在“重要數(shù)據(jù)”的定義上。《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》均對(duì)重要數(shù)據(jù)出境提出監(jiān)管要求,但何為重要數(shù)據(jù),二者均未予以定義。《數(shù)據(jù)出境安全評(píng)估辦法》第19 條雖規(guī)定重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全等的數(shù)據(jù)。但對(duì)如何確定重要數(shù)據(jù)并未做出明確規(guī)定。根據(jù)《數(shù)據(jù)安全法》第21條,國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄,加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。據(jù)此,數(shù)字企業(yè)應(yīng)對(duì)照重要數(shù)據(jù)目錄,確定需進(jìn)行安全評(píng)估的數(shù)據(jù)范圍和規(guī)模。然而,相關(guān)重要數(shù)據(jù)目錄仍未出臺(tái),已出臺(tái)的配套規(guī)范中,《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》和國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)重要數(shù)據(jù)識(shí)別指南(征求意見(jiàn)稿)》對(duì)重要數(shù)據(jù)識(shí)別作出了進(jìn)一步規(guī)定,但均未生效實(shí)施。
2. 國(guó)外法律政策環(huán)境更趨復(fù)雜
首先,我國(guó)數(shù)字企業(yè)面臨外國(guó)政府歧視性貿(mào)易待遇和不正當(dāng)打壓風(fēng)險(xiǎn)。以美國(guó)為例,近年來(lái),美國(guó)頻頻推行數(shù)據(jù)霸權(quán)主義,對(duì)我國(guó)數(shù)字企業(yè)實(shí)施歧視性貿(mào)易待遇或動(dòng)用行政力量進(jìn)行打壓,致使我國(guó)數(shù)字企業(yè)境外合規(guī)面臨的不確定性明顯增加。在特朗普政府封禁TikTok 事件中,美國(guó)政府濫用“國(guó)家安全”概念打壓我國(guó)數(shù)字企業(yè),TikTok 雖選擇起訴特朗普政府以延緩禁令生效,為企業(yè)爭(zhēng)取了制定對(duì)策的寶貴時(shí)間,但仍處于被動(dòng)接受審查的尷尬境地。在此期間,美國(guó)社交巨頭Facebook 在旗下Instagram 平臺(tái)上線Reels功能,對(duì)標(biāo)TikTok 搶奪短視頻用戶,嚴(yán)重影響了我國(guó)數(shù)字企業(yè)的正當(dāng)商業(yè)利益。
根據(jù)聯(lián)合國(guó)貿(mào)發(fā)會(huì)發(fā)布的《2019 年數(shù)字經(jīng)濟(jì)報(bào)告:價(jià)值創(chuàng)造和捕獲,對(duì)發(fā)展中國(guó)家的影響》,中美兩國(guó)在數(shù)字技術(shù)的眾多領(lǐng)域具有領(lǐng)先地位。具體而言,中美兩國(guó)區(qū)塊鏈專利技術(shù)占全球的75%,互聯(lián)網(wǎng)開(kāi)支占全球的50%,云計(jì)算市場(chǎng)占全球的75%。(28)盡管我國(guó)數(shù)字經(jīng)濟(jì)在規(guī)模和質(zhì)量上仍然與美國(guó)存在較大差距,但伴隨著我國(guó)數(shù)字經(jīng)濟(jì)的迅猛發(fā)展,美國(guó)在全球網(wǎng)絡(luò)空間發(fā)展格局的主導(dǎo)地位正受到挑戰(zhàn),這引發(fā)了美國(guó)政府的極大擔(dān)憂。2021 年3 月3 日,美國(guó)白宮國(guó)家安全委員會(huì)發(fā)布《臨時(shí)國(guó)家安全戰(zhàn)略方針》(InterimNational Security Strategic" Guidance),把應(yīng)對(duì)中國(guó)的挑戰(zhàn)列為八大戰(zhàn)略優(yōu)先事項(xiàng)之一。有鑒于此,我國(guó)數(shù)字企業(yè)境外合規(guī)面臨的境外法律政策環(huán)境勢(shì)必更趨復(fù)雜。
其次,國(guó)內(nèi)國(guó)外法律規(guī)則沖突加劇。各個(gè)國(guó)家及地區(qū)法律制度存在較大差異,這無(wú)疑對(duì)我國(guó)數(shù)字企業(yè)境外合規(guī)造成挑戰(zhàn)。2021 年3 月,美國(guó)證監(jiān)會(huì)通過(guò)《外國(guó)公司責(zé)任法案》(Holding Foreign Companies"Accountable Act,簡(jiǎn)稱HFCA 法案)最終修正案,要求所有在美國(guó)上市的外國(guó)公司接受對(duì)會(huì)計(jì)底稿的審查。(29)如果國(guó)內(nèi)數(shù)字企業(yè)遵守該法案,則直接違反了我國(guó)《證券法》第177 條(30),導(dǎo)致中概股面臨境內(nèi)境外法律沖突的兩難局面,企業(yè)合規(guī)成本大幅提升,京東、網(wǎng)易、中通快遞等多家中國(guó)企業(yè)被迫赴港二次上市。與此同時(shí),為加強(qiáng)境內(nèi)企業(yè)境外發(fā)行上市相關(guān)的保密和檔案管理工作,2022 年4 月,我國(guó)證監(jiān)會(huì)發(fā)布《關(guān)于加強(qiáng)境內(nèi)企業(yè)境外發(fā)行證券和上市相關(guān)保密和檔案管理工作的規(guī)定(征求意見(jiàn)稿)》,明確上市公司信息安全責(zé)任,防范境外監(jiān)管機(jī)構(gòu)對(duì)我國(guó)數(shù)據(jù)安全帶來(lái)的挑戰(zhàn)。由此,我國(guó)數(shù)字企業(yè)數(shù)據(jù)跨境尤需關(guān)注各國(guó)行政監(jiān)管和訴訟程序,避免因國(guó)家間法律規(guī)則沖突造成企業(yè)數(shù)據(jù)合規(guī)困境。
(三)合規(guī)激勵(lì)機(jī)制不健全
數(shù)據(jù)合規(guī)治理本質(zhì)上是一種基于內(nèi)部數(shù)據(jù)風(fēng)險(xiǎn)防控的公司治理方式,然而,若不從刑事司法、行政執(zhí)法等方面建立強(qiáng)有力的正向合規(guī)激勵(lì)機(jī)制,數(shù)字企業(yè)將缺乏建立數(shù)據(jù)合規(guī)管理體系的內(nèi)在動(dòng)力。(31)
在刑事司法合規(guī)激勵(lì)方面,我國(guó)檢察機(jī)關(guān)已開(kāi)始探索企業(yè)合規(guī)不起訴制度,在該制度下,檢察機(jī)關(guān)選擇合規(guī)不起訴的理由,并非傳統(tǒng)法定不起訴制度下的犯罪情節(jié)顯著輕微,危害不大,依法可以不予起訴,(32)而是企業(yè)在積極配合、有效補(bǔ)救的前提下推行合規(guī)計(jì)劃,消除合規(guī)管理漏洞,并在檢察機(jī)關(guān)設(shè)定的合規(guī)考察期內(nèi)實(shí)施有效合規(guī)計(jì)劃,接受檢察機(jī)關(guān)的持續(xù)監(jiān)督和評(píng)估。目前,刑事司法領(lǐng)域合規(guī)不起訴制度改革試點(diǎn)穩(wěn)步推進(jìn),使得數(shù)字企業(yè)數(shù)據(jù)保護(hù)合規(guī)獲得重要的“出罪”激勵(lì)效果。但是,受限于罪刑法定原則和罪刑相適應(yīng)基本原則的限制,檢察機(jī)關(guān)在適用企業(yè)合規(guī)不起訴制度時(shí)仍然存在不同的理解,對(duì)于涉嫌較為嚴(yán)重?cái)?shù)據(jù)相關(guān)犯罪的數(shù)字企業(yè),僅將其合規(guī)計(jì)劃作為寬大量刑的依據(jù),而非合規(guī)“出罪”理由。盡管如此,合規(guī)“出罪”制度在激勵(lì)數(shù)字企業(yè)數(shù)據(jù)合規(guī)管理方面仍然具有不可忽視的重要價(jià)值。(33)
在行政執(zhí)法合規(guī)激勵(lì)方面,我國(guó)在反壟斷執(zhí)法領(lǐng)域已經(jīng)進(jìn)行了實(shí)踐。2007 年8 月出臺(tái)的《反壟斷法》確立了經(jīng)營(yíng)者承諾制度(第45 條),根據(jù)該制度,對(duì)反壟斷執(zhí)法機(jī)構(gòu)調(diào)查的涉嫌壟斷行為,被調(diào)查的經(jīng)營(yíng)者承諾在反壟斷執(zhí)法機(jī)構(gòu)認(rèn)可的期限內(nèi)采取具體措施消除該行為后果的,反壟斷執(zhí)法機(jī)構(gòu)可以決定中止調(diào)查。其作用機(jī)理在于,執(zhí)法機(jī)關(guān)通過(guò)制度安排使經(jīng)營(yíng)者確信,在任何情況下“自證其罪”都是自己的最優(yōu)選擇,同時(shí),接受經(jīng)營(yíng)者“自證其罪”并兌現(xiàn)承諾也是執(zhí)法機(jī)關(guān)的最優(yōu)選擇。(34)如此方能使反壟斷執(zhí)法機(jī)構(gòu)與經(jīng)營(yíng)者在動(dòng)態(tài)博弈中形成一種最優(yōu)選擇,進(jìn)而實(shí)現(xiàn)降低執(zhí)法成本與減輕企業(yè)合規(guī)負(fù)擔(dān)的正反饋激勵(lì)效應(yīng)。然而在數(shù)據(jù)保護(hù)行政執(zhí)法領(lǐng)域,我國(guó)尚未建立起類似的合規(guī)激勵(lì)機(jī)制,現(xiàn)行數(shù)據(jù)法律規(guī)范仍然采取較為嚴(yán)格的合規(guī)監(jiān)管態(tài)度,難以激發(fā)數(shù)字企業(yè)數(shù)據(jù)合規(guī)的主動(dòng)性與積極性。
總體而言,我國(guó)數(shù)字企業(yè)數(shù)據(jù)合規(guī)面臨的難題,既包括因國(guó)內(nèi)國(guó)外法律環(huán)境差異產(chǎn)生的合規(guī)成本高昂?jiǎn)栴},也涉及企業(yè)內(nèi)部數(shù)據(jù)合規(guī)管理體系不完善的問(wèn)題,同時(shí)應(yīng)當(dāng)認(rèn)識(shí)到,健全的數(shù)據(jù)合規(guī)激勵(lì)機(jī)制在降低執(zhí)法成本、提升企業(yè)合規(guī)積極性方面的重要價(jià)值。故此,應(yīng)圍繞數(shù)字企業(yè)特定數(shù)據(jù)合規(guī)風(fēng)險(xiǎn),對(duì)數(shù)字企業(yè)數(shù)據(jù)跨境合規(guī)治理法治化進(jìn)路進(jìn)行針對(duì)性構(gòu)建。
四、推進(jìn)我國(guó)數(shù)字企業(yè)
數(shù)據(jù)跨境合規(guī)的法治保障理路數(shù)據(jù)跨境合規(guī)既是數(shù)字企業(yè)應(yīng)當(dāng)履行的社會(huì)責(zé)任,也是打造企業(yè)核心競(jìng)爭(zhēng)力、開(kāi)拓海外市場(chǎng)的重要保障,為此,數(shù)據(jù)跨境合規(guī)治理應(yīng)當(dāng)以企業(yè)主動(dòng)合規(guī)為抓手,推動(dòng)國(guó)內(nèi)立法與加強(qiáng)國(guó)際合作并進(jìn),為數(shù)字企業(yè)數(shù)據(jù)跨境流動(dòng)提供穩(wěn)定有序的合規(guī)環(huán)境;同時(shí)優(yōu)化合規(guī)激勵(lì)機(jī)制,激活企業(yè)合規(guī)動(dòng)力。在規(guī)范中發(fā)展,在發(fā)展中規(guī)范,(35)探索出一條立足中國(guó)數(shù)字經(jīng)濟(jì)發(fā)展實(shí)際、符合中國(guó)數(shù)字企業(yè)數(shù)據(jù)跨境現(xiàn)實(shí)要求的法治化進(jìn)路。
(一)推動(dòng)企業(yè)主動(dòng)合規(guī),建立健全內(nèi)部數(shù)據(jù)合規(guī)管理體系
1. 樹立科學(xué)系統(tǒng)的數(shù)據(jù)合規(guī)理念,密切關(guān)注國(guó)內(nèi)國(guó)外數(shù)據(jù)合規(guī)監(jiān)管動(dòng)態(tài)
面對(duì)日趨嚴(yán)格的數(shù)據(jù)監(jiān)管形勢(shì),數(shù)字企業(yè)必須充分認(rèn)識(shí)數(shù)據(jù)合規(guī)的重要性和必要性,以實(shí)際問(wèn)題為導(dǎo)向建立數(shù)據(jù)合規(guī)工作制度,并立足于數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)和特定業(yè)務(wù)場(chǎng)景進(jìn)行針對(duì)性制度設(shè)計(jì)。例如,對(duì)企業(yè)內(nèi)部涉及數(shù)據(jù)跨境流程的相關(guān)人員的分工、職責(zé)及具體業(yè)務(wù)操作方式提供明確指引,細(xì)化數(shù)據(jù)使用的權(quán)限審批及管理控制,或建立常態(tài)化數(shù)據(jù)合規(guī)自評(píng)估制度,定期開(kāi)展數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)自我審查,保障數(shù)據(jù)合規(guī)工作制度的有效實(shí)施。
同時(shí),數(shù)字企業(yè)應(yīng)密切關(guān)注數(shù)據(jù)合規(guī)監(jiān)管動(dòng)態(tài)。國(guó)內(nèi)方面,除了參照目前已施行的《數(shù)據(jù)出境安全評(píng)估辦法》等文件開(kāi)展內(nèi)部合規(guī)自查,還需重點(diǎn)關(guān)注行業(yè)主管部門結(jié)合本行業(yè)實(shí)際出臺(tái)的網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)監(jiān)管新規(guī),尤其是對(duì)于大型數(shù)字企業(yè),一旦出現(xiàn)數(shù)據(jù)泄露、數(shù)據(jù)濫用等安全事件,將對(duì)個(gè)人隱私、企業(yè)商業(yè)秘密、國(guó)家重要數(shù)據(jù)等帶來(lái)嚴(yán)重的安全挑戰(zhàn),即使現(xiàn)行立法并未作出相關(guān)規(guī)定,大型數(shù)字企業(yè)也應(yīng)防患于未然,承擔(dān)更為嚴(yán)格的數(shù)據(jù)安全責(zé)任和合規(guī)整改責(zé)任,以備未來(lái)數(shù)據(jù)合規(guī)監(jiān)管的不時(shí)之需。
國(guó)際方面,近年來(lái)我國(guó)積極參與全球數(shù)字經(jīng)濟(jì)治理,簽署了一系列包含數(shù)字經(jīng)濟(jì)規(guī)則的國(guó)際經(jīng)貿(mào)協(xié)定,例如《中國(guó)-澳大利亞自由貿(mào)易協(xié)定》《中國(guó)- 韓國(guó)自由貿(mào)易協(xié)定》等,加入了《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》(Regional Comprehensive Economic Partnership,簡(jiǎn)稱RCEP,已于2022 年1 月1 日正式生效),也于2021 年9 月16 日正式提出申請(qǐng)加入CPTPP。故此,數(shù)字企業(yè)既要根據(jù)我國(guó)已簽訂的國(guó)際雙邊或多邊協(xié)定加強(qiáng)合規(guī)管理,又要密切關(guān)注CPTPP 等我國(guó)尚未加入的國(guó)際協(xié)定的談判進(jìn)展,提前把握國(guó)際規(guī)則環(huán)境變化。
2. 復(fù)合型合規(guī)人才隊(duì)伍建設(shè)與專家?guī)旖ㄔO(shè)并舉
關(guān)于企業(yè)合規(guī)人才隊(duì)伍建設(shè),實(shí)踐中有兩種模式:一種是以中興通訊為代表的法律專業(yè)模式,即合規(guī)團(tuán)隊(duì)主要為法律專業(yè)背景人員;另一種是以華為為代表的技術(shù)專業(yè)模式,即合規(guī)團(tuán)隊(duì)主要為通信、計(jì)算機(jī)等技術(shù)專業(yè)背景人員。(36)由于數(shù)據(jù)合規(guī)治理具有顯著的多學(xué)科跨領(lǐng)域特征,數(shù)字企業(yè)既需要法律專業(yè)人才強(qiáng)化風(fēng)險(xiǎn)導(dǎo)向、降低法律風(fēng)險(xiǎn),又需要技術(shù)人才從事數(shù)據(jù)合規(guī)技術(shù)研發(fā),提升數(shù)據(jù)合規(guī)智能化水平。為此,復(fù)合型數(shù)據(jù)合規(guī)人才隊(duì)伍建設(shè)尤其必要,數(shù)字企業(yè)一方面應(yīng)引進(jìn)數(shù)據(jù)合規(guī)專業(yè)人才,幫助企業(yè)綜合多領(lǐng)域?qū)I(yè)知識(shí)制定合規(guī)制度,另一方面應(yīng)加強(qiáng)對(duì)合規(guī)人才隊(duì)伍的定期數(shù)據(jù)安全合規(guī)培訓(xùn)與考核,提升專業(yè)素質(zhì)。
除此之外,有實(shí)力的數(shù)字企業(yè)可以通過(guò)加強(qiáng)與高校、科研機(jī)構(gòu)的深入合作,建設(shè)數(shù)據(jù)跨境合規(guī)治理專家?guī)欤浞纸柚鷮<抑腔郏瑴?zhǔn)確把握境外數(shù)據(jù)接收方所在國(guó)家或地區(qū)的數(shù)據(jù)合規(guī)法律制度,并結(jié)合企業(yè)自身技術(shù)條件、業(yè)務(wù)需求等內(nèi)容,對(duì)企業(yè)數(shù)據(jù)資源實(shí)行系統(tǒng)化、全面化管理。同時(shí),靈活應(yīng)對(duì)域外法律環(huán)境或監(jiān)管政策的變化,在企業(yè)正當(dāng)數(shù)據(jù)權(quán)益遭受侵害時(shí),加強(qiáng)與專家學(xué)者的溝通合作,在采取有效措施避免或降低對(duì)我國(guó)數(shù)據(jù)安全損害的前提下,提高綜合利用各類維權(quán)工具的能力,及時(shí)化解侵權(quán)危機(jī),降低企業(yè)損失。
3. 以數(shù)據(jù)合規(guī)部門為中心,建立多部門協(xié)同合規(guī)機(jī)制
數(shù)據(jù)合規(guī)工作高度專業(yè)化和規(guī)范化,對(duì)數(shù)字企業(yè)全周期、全場(chǎng)景、全流程、全空域做好合規(guī)提出了更高要求,因而建立以數(shù)據(jù)合規(guī)部門為中心,技術(shù)研發(fā)、產(chǎn)品銷售、商務(wù)合作、公共服務(wù)等職能部門協(xié)同配合的整體合規(guī)機(jī)制已成必要。在機(jī)制設(shè)計(jì)上,數(shù)據(jù)合規(guī)部門應(yīng)當(dāng)定期召集各個(gè)職能部門,共同了解企業(yè)當(dāng)前的數(shù)據(jù)安全與合規(guī)現(xiàn)狀,從業(yè)務(wù)戰(zhàn)略與目標(biāo)出發(fā),明確整理出數(shù)據(jù)合規(guī)的關(guān)鍵需求;在整體的信息化規(guī)劃下進(jìn)行數(shù)據(jù)合規(guī)體系、架構(gòu)等具體制度的設(shè)計(jì)規(guī)劃,并在落實(shí)數(shù)據(jù)合規(guī)的相關(guān)制度時(shí),注重實(shí)施情況的反饋與制度的持續(xù)性改進(jìn)。(37)
針對(duì)數(shù)據(jù)跨境不可逆的特性,數(shù)字企業(yè)還可以充分運(yùn)用合規(guī)新工具提升數(shù)據(jù)合規(guī)實(shí)效。一方面,可探索設(shè)計(jì)更加完善的數(shù)據(jù)跨境交易合同,強(qiáng)化境外數(shù)據(jù)接收者的數(shù)據(jù)保護(hù)義務(wù),規(guī)避數(shù)據(jù)出境后的合規(guī)風(fēng)險(xiǎn)。例如在香港個(gè)人資料私隱專員公署近期發(fā)布的《跨境資料轉(zhuǎn)移指引:建議合約條文范本》中,設(shè)定了“資料保安條款”和“保留及刪除資料條款”等內(nèi)容,前者要求資料(數(shù)據(jù))接收者采取協(xié)議規(guī)定的保安(保護(hù))措施使用或處理個(gè)人資料(數(shù)據(jù)),后者則要求資料(數(shù)據(jù))接收者保留個(gè)人資料(數(shù)據(jù))的時(shí)間僅限于達(dá)致轉(zhuǎn)移目的所需時(shí)間,并在達(dá)到轉(zhuǎn)移目的后刪除有關(guān)資料。(38)另一方面,可建立專業(yè)的“數(shù)據(jù)合規(guī)官”
或引入第三方合規(guī)評(píng)估機(jī)構(gòu),對(duì)多部門協(xié)同合規(guī)機(jī)制的實(shí)施效果進(jìn)行綜合評(píng)定。例如在《數(shù)字服務(wù)法案》(Digital Services Act)中,歐盟要求超大型平臺(tái)指定至少一個(gè)獨(dú)立的“合規(guī)官”,進(jìn)而履行更多數(shù)據(jù)義務(wù)。(39)盡管該制度側(cè)重于加強(qiáng)數(shù)字平臺(tái)在打擊非法內(nèi)容和虛假新聞方面的責(zé)任,但仍然可以為數(shù)字企業(yè)數(shù)據(jù)合規(guī)所借鑒。
(二)完善國(guó)內(nèi)立法與加強(qiáng)國(guó)際合作并進(jìn),系統(tǒng)化解數(shù)字企業(yè)雙重合規(guī)風(fēng)險(xiǎn)
1. 盡快出臺(tái)實(shí)施數(shù)據(jù)立法配套規(guī)范,營(yíng)造良好的國(guó)內(nèi)合規(guī)環(huán)境
針對(duì)國(guó)內(nèi)數(shù)據(jù)法律規(guī)范可操作性不強(qiáng)的問(wèn)題,一方面,應(yīng)落實(shí)好《數(shù)據(jù)出境安全評(píng)估辦法》與《數(shù)據(jù)出境安全評(píng)估申報(bào)指南(第一版)》的相關(guān)規(guī)定,同時(shí)加快《網(wǎng)安條例(征求意見(jiàn)稿)》等配套規(guī)范的出臺(tái),為數(shù)字企業(yè)數(shù)據(jù)出境合規(guī)提供更加明確的方案指引。在合規(guī)主體上,考慮到數(shù)字企業(yè)數(shù)據(jù)類型多樣、涉及領(lǐng)域眾多且規(guī)模較為龐大,為全面保障國(guó)家數(shù)據(jù)安全和個(gè)人信息權(quán)益,可以適當(dāng)擴(kuò)充重點(diǎn)領(lǐng)域或重要行業(yè)的數(shù)據(jù)出境安全評(píng)估范圍,避免出現(xiàn)監(jiān)管漏洞。在重要數(shù)據(jù)的界定上,除了加快制定重要數(shù)據(jù)目錄,還可以充分發(fā)揮行業(yè)協(xié)會(huì)的積極性與能動(dòng)性,推動(dòng)行業(yè)協(xié)會(huì)立足本行業(yè)數(shù)據(jù)保護(hù)實(shí)際,根據(jù)我國(guó)數(shù)據(jù)跨境法律規(guī)范制定重要數(shù)據(jù)行業(yè)指南或數(shù)據(jù)跨境合規(guī)行業(yè)細(xì)則,為數(shù)字企業(yè)數(shù)據(jù)跨境合規(guī)提供行業(yè)指引。在這一過(guò)程中也應(yīng)充分考察和吸收域外主要國(guó)家和地區(qū)就數(shù)據(jù)跨境流動(dòng)合規(guī)的相關(guān)原則、規(guī)則、指南等,做好我國(guó)規(guī)則與國(guó)際規(guī)則的接軌,避免數(shù)字企業(yè)在參與國(guó)際化運(yùn)營(yíng)時(shí)面臨雙重合規(guī)風(fēng)險(xiǎn)。
另一方面,推動(dòng)數(shù)據(jù)分級(jí)分類制度落地實(shí)施。《數(shù)據(jù)安全法》第21 條明確提出“國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度”,《網(wǎng)安條例(征求意見(jiàn)稿)》第5 條指出“按照數(shù)據(jù)對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益的影響和重要程度,將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù),不同級(jí)別的數(shù)據(jù)采取不同的保護(hù)措施”。在建立數(shù)據(jù)分類分級(jí)制度過(guò)程中,應(yīng)當(dāng)明確重要數(shù)據(jù)與核心數(shù)據(jù)的界限,更好地確定對(duì)兩者采取的保護(hù)程度和具體措施,同時(shí)明確各地方、各部門對(duì)各類數(shù)據(jù)的監(jiān)管職責(zé),提升可操作性。在數(shù)據(jù)分類分級(jí)的基礎(chǔ)上,還應(yīng)進(jìn)一步細(xì)化涉?zhèn)€人隱私、商業(yè)利益和國(guó)家安全等各類數(shù)據(jù)的跨境評(píng)估內(nèi)容、評(píng)估標(biāo)準(zhǔn)、評(píng)估程序等事項(xiàng),對(duì)不同類型數(shù)據(jù)制定不同的保護(hù)標(biāo)準(zhǔn)。
2. 積極參與數(shù)據(jù)跨境治理國(guó)際合作,協(xié)調(diào)和穩(wěn)定外部發(fā)展環(huán)境
在當(dāng)前的國(guó)際形勢(shì)及國(guó)際數(shù)字經(jīng)貿(mào)往來(lái)背景下,我國(guó)需要積極回應(yīng)國(guó)際數(shù)據(jù)安全態(tài)勢(shì)和競(jìng)爭(zhēng)格局,推動(dòng)數(shù)據(jù)跨境治理國(guó)際合作。(40)其一,加強(qiáng)與美國(guó)、歐盟等司法管轄區(qū)域的平等磋商與協(xié)調(diào),在平等互利的基礎(chǔ)上,通過(guò)達(dá)成數(shù)據(jù)共享諒解備忘錄、簽署司法或執(zhí)法互助條約等方式加強(qiáng)數(shù)據(jù)跨境治理國(guó)際合作,化解外國(guó)政府或執(zhí)法機(jī)構(gòu)對(duì)我國(guó)數(shù)字企業(yè)的信任危機(jī),減少甚至消除我國(guó)數(shù)字企業(yè)可能面臨的歧視性貿(mào)易待遇和不正當(dāng)打壓,降低數(shù)字企業(yè)境外合規(guī)成本。正如2022 年3 月16 日,劉鶴副總理主持召開(kāi)國(guó)務(wù)院金融穩(wěn)定發(fā)展委員會(huì)專題會(huì)議,并就中概股問(wèn)題指出,目前中美雙方監(jiān)管機(jī)構(gòu)保持了良好溝通,已取得積極進(jìn)展,正致力于形成具體合作方案,中國(guó)政府繼續(xù)支持各類企業(yè)到境外上市。換言之,國(guó)家層面的政策協(xié)調(diào)實(shí)際上更容易避免基于國(guó)內(nèi)國(guó)外法律規(guī)則沖突所帶來(lái)的合規(guī)風(fēng)險(xiǎn)。與此同時(shí),也可以從數(shù)字經(jīng)濟(jì)發(fā)展的一般規(guī)律與國(guó)際經(jīng)驗(yàn)層面,通過(guò)對(duì)國(guó)際規(guī)則的了解與把握,做好合理借鑒,以此推動(dòng)我國(guó)國(guó)內(nèi)相關(guān)規(guī)則的制定與完善,并通過(guò)國(guó)內(nèi)規(guī)則體系的構(gòu)建與輸出,建立和增強(qiáng)我國(guó)在參與數(shù)據(jù)跨境流動(dòng)治理上的話語(yǔ)權(quán)與影響力,為我國(guó)數(shù)字企業(yè)出海競(jìng)爭(zhēng)提供切實(shí)保障,真正實(shí)現(xiàn)國(guó)內(nèi)國(guó)際雙向正反饋。
其二,可由商務(wù)部牽頭會(huì)同工信部、網(wǎng)信辦、市監(jiān)總局等部委局協(xié)同組織國(guó)內(nèi)各大數(shù)字企業(yè),建立海外合規(guī)信息與資源共享平臺(tái)(41),及時(shí)發(fā)布數(shù)據(jù)跨境國(guó)際合作雙邊或多邊協(xié)定,以及我國(guó)主要數(shù)字貿(mào)易國(guó)的最近數(shù)據(jù)合規(guī)政策和執(zhí)法動(dòng)態(tài)等文本資料,為數(shù)字企業(yè)制定海外經(jīng)營(yíng)策略和法律風(fēng)險(xiǎn)應(yīng)對(duì)預(yù)案提供合規(guī)信息參考,避免因不了解境外數(shù)據(jù)合規(guī)法律政策陷入被動(dòng)合規(guī)境地。
同時(shí),在確保風(fēng)險(xiǎn)可控的前提下,分階段分層次推廣更高標(biāo)準(zhǔn)的數(shù)據(jù)自由流動(dòng)模式,增強(qiáng)與各發(fā)達(dá)數(shù)字經(jīng)濟(jì)體以及CPTPP 等自由貿(mào)易協(xié)定的互利合作,避免西方發(fā)達(dá)數(shù)字經(jīng)濟(jì)體以我國(guó)數(shù)據(jù)流動(dòng)缺乏自由度為由,強(qiáng)制要求我國(guó)數(shù)字企業(yè)將數(shù)據(jù)中心建在海外,或限制我國(guó)數(shù)字企業(yè)參與國(guó)際數(shù)字經(jīng)濟(jì)貿(mào)易。
(三)強(qiáng)化合規(guī)激勵(lì)機(jī)制,激發(fā)企業(yè)合規(guī)動(dòng)力
如前所述,合規(guī)激勵(lì)機(jī)制主要分為行政執(zhí)法激勵(lì)和刑事司法激勵(lì)兩大類,該機(jī)制的存在不僅有助于國(guó)家數(shù)據(jù)法律規(guī)范的良好貫徹,有效預(yù)防企業(yè)內(nèi)部違法違規(guī)行為,還有助于節(jié)約司法和執(zhí)法資源。(42)為此,應(yīng)強(qiáng)化數(shù)據(jù)跨境領(lǐng)域的合規(guī)激勵(lì)機(jī)制,推動(dòng)我國(guó)數(shù)字企業(yè)開(kāi)展合規(guī)建設(shè)與合法經(jīng)營(yíng)。
在刑事司法領(lǐng)域,一旦檢察機(jī)關(guān)通過(guò)提起公訴使數(shù)字企業(yè)接受刑事處罰,將對(duì)數(shù)字企業(yè)的社會(huì)聲譽(yù)和業(yè)務(wù)資質(zhì)造成重大打擊,企業(yè)同時(shí)將面臨巨額罰金處罰與業(yè)務(wù)收入驟減的巨大代價(jià),因此,刑事司法領(lǐng)域的合規(guī)激勵(lì)機(jī)制尤其關(guān)鍵。具體言,應(yīng)填補(bǔ)合規(guī)激勵(lì)機(jī)制的立法空白,在法律上明確法院可以將數(shù)字企業(yè)建立數(shù)據(jù)合規(guī)機(jī)制作為減輕刑事處罰的依據(jù),檢察機(jī)關(guān)對(duì)于已經(jīng)建立數(shù)據(jù)合規(guī)計(jì)劃的數(shù)字企業(yè),還可以根據(jù)其犯罪的情況以及合規(guī)計(jì)劃的有效程度,與其達(dá)成暫緩起訴協(xié)議或者不起訴協(xié)議,并設(shè)置合規(guī)考察期,對(duì)數(shù)字企業(yè)實(shí)施數(shù)據(jù)合規(guī)計(jì)劃進(jìn)行持續(xù)監(jiān)管。在合規(guī)考察期結(jié)束后,根據(jù)企業(yè)履行上述協(xié)議的情況,檢察機(jī)關(guān)甚至可以撤銷起訴。(43)
在行政執(zhí)法合規(guī)激勵(lì)方面,可將行政和解制度引入數(shù)據(jù)合規(guī)行政執(zhí)法。具體而言,首先,在行政監(jiān)管部門因數(shù)據(jù)合規(guī)問(wèn)題對(duì)數(shù)字企業(yè)進(jìn)行行政執(zhí)法時(shí),對(duì)于已經(jīng)建立內(nèi)部數(shù)據(jù)合規(guī)管理體系的涉案數(shù)字企業(yè),可以優(yōu)先適用行政和解制度,或根據(jù)數(shù)字企業(yè)的申請(qǐng)適用該制度,并在適用行政和解時(shí)將其作為酌定情節(jié)予以考慮;對(duì)于尚未建立內(nèi)部數(shù)據(jù)合規(guī)管理體系,但申請(qǐng)適用行政和解制度的,監(jiān)管部門應(yīng)保持更加嚴(yán)格的合規(guī)監(jiān)督立場(chǎng),在深入了解企業(yè)性質(zhì)、經(jīng)營(yíng)范圍及違法違規(guī)原因等情況的基礎(chǔ)上,提出有針對(duì)性的合規(guī)整改方案,督促數(shù)字企業(yè)建立完善的數(shù)據(jù)合規(guī)體系。其次,監(jiān)管部門應(yīng)立足數(shù)字企業(yè)數(shù)據(jù)跨境合規(guī)實(shí)際建立合規(guī)考察制度,例如確定合規(guī)考察期,加強(qiáng)對(duì)數(shù)字企業(yè)的合規(guī)整改監(jiān)督。最后,建立合規(guī)評(píng)估驗(yàn)收機(jī)制,在合規(guī)考察期屆滿之前,對(duì)數(shù)字企業(yè)內(nèi)部數(shù)據(jù)合規(guī)管理體系的建設(shè)實(shí)效進(jìn)行綜合性評(píng)估或驗(yàn)收,以決定終止或恢復(fù)行政執(zhí)法程序,保障合規(guī)激勵(lì)機(jī)制實(shí)效。(44)
五、結(jié)語(yǔ)
當(dāng)前,數(shù)據(jù)跨境流動(dòng)成為各個(gè)國(guó)家或地區(qū)信息交流和經(jīng)貿(mào)往來(lái)的重要渠道。數(shù)據(jù)跨境合規(guī)既是數(shù)字企業(yè)應(yīng)當(dāng)履行的社會(huì)責(zé)任,也是打造企業(yè)核心競(jìng)爭(zhēng)力、開(kāi)拓海外市場(chǎng)的重要保障。當(dāng)前,我國(guó)數(shù)字企業(yè)數(shù)據(jù)跨境流動(dòng)合規(guī)治理面臨諸多“堵點(diǎn)”,限制了數(shù)字企業(yè)充分釋放合規(guī)潛力和創(chuàng)新活力。聚焦于此,推動(dòng)構(gòu)建系統(tǒng)化、法治化、常態(tài)化的數(shù)字企業(yè)數(shù)據(jù)跨境合規(guī)治理體系成為必由之路。結(jié)合上述分析,應(yīng)堅(jiān)持規(guī)范與發(fā)展并重,多維度多層次推進(jìn)數(shù)字企業(yè)數(shù)據(jù)跨境合規(guī)治理。其一,企業(yè)層面應(yīng)增強(qiáng)主動(dòng)合規(guī)意識(shí),建立健全內(nèi)部數(shù)據(jù)合規(guī)管理體系,推動(dòng)數(shù)據(jù)合規(guī)理念革新、建設(shè)數(shù)據(jù)合規(guī)人才隊(duì)伍與專家?guī)臁⒔⒍嗖块T協(xié)作機(jī)制等;其二,國(guó)家層面應(yīng)堅(jiān)持國(guó)內(nèi)立法與加強(qiáng)國(guó)際合作并進(jìn),系統(tǒng)化解數(shù)字企業(yè)雙向合規(guī)風(fēng)險(xiǎn);其三,合規(guī)激勵(lì)層面應(yīng)重點(diǎn)在刑事司法和行政執(zhí)法兩方面引入激勵(lì)舉措,激發(fā)企業(yè)合規(guī)動(dòng)力。
