戚凯月
摘 要:隨着数字经济的发展,数据安全合规不仅是经济发展的要求,更是保护国家安全的重点要求。在推进数据流通的过程中,面临着数据泄露、权利属性不明、监管不易、法律不完备等一系列问题,为了更好地发挥数据的价值,促进社会发展,保障数据安全合规是国家发展的必然要求。从多角度考虑建立监管体系、增强个人和企业的管理意识和能力,构建分级分类制度,推动数据安全合规有效管理。
关键词:数字经济;数据安全合规;分级分类制度
中图分类号:F49 文献标志码:A 文章编号:1673-291X(2021)36-0095-03
随着数字经济时代的到来,数据不合规问题越来越突出,数据安全保护工作更是重中之重。《数据安全法》自2021年9月1日起施行,这也是国家在数字经济条件下对数据安全合规问题的重要解答。那么,数据在现代社会中起着什么样的作用?如何保证数据的安全与合规又如何促进国家发展?
一、数据安全合规的理论基础与现实意义
(一)数据安全合规的理论基础
数据安全合规是指企业数据运营合乎相关法律、法规、标准等,其中包含两个层面的含义,一是确保数据自身的安全,二是需要满足数据所在环境的安全合规[1]。要求数据本身和所处环境都要合规。具体来说,数据合规要求企业的行为符合国家的法律、规章等,也不得违背企业内部制定的制度。数据管理是预防企业产生风险的必要手段,也是对企业进行高质量管理的基本内容。数据平台在进行一些活动时,有时会产生一些不合规的行为,给合规管理带来挑战。规则的疏密与企业可能面临的制裁风险成正比[2],因此在人员设置方面,从事合规管理的工作人员不得同时从事收集使用数据等方面的工作,保障其独立性,防止产生利益矛盾;实行数据管理要对企业的整体水平进行评估,提升管理的有效性与高效性;由于互联网企业的快速发展,管理的结构与方案也应该及时变化,跟上脚步,不得做无用功;管理的范围要面对整个企业的各部门、各个项目,对企业的决定和执行进行全面监管,在和谐共事的前提上,互相沟通,对工作的衔接与管控要及时交流,对合规管理共同负责,共同进步。
(二)现实意义:数据合规推动发展
在数字经济时代,各种各样的海量数据推动了许多新兴产业的发展,给人们带来极大便利的同时也产生了许多问题。在数据保护与数据流通过程中,可能会引起危害个人人身财产安全、企业发展困难倒闭,甚至是影响国家安全引起动荡等问题。因此,数据安全合规是数字经济时代亟须重视的课题。数据保护和数据流通是数字经济发展的关键,只有在数据安全合规的前提下两者才能相辅相成,推动国家实力的提升。随着全球化的发展,人类之间的信息交集也越来越频繁,数据成为不同国家、地区重要竞争力的体现,它不仅代表个人实力,更是国家实力的一部分。另外,数据需要创新,而数据创新的前提是数据能够安全稳定发展,因此,必须加大对数据的合规管理和安全保护,如果不能合规管理数据,保证数据安全则会导致创新力不足,抑制科技的进步,甚至阻碍整个数字经济的长期发展。所以,通过制度和规章等对数据进行合规管理,确立以防范、监控和应对为支柱的合规管理体系[3]保证数据安全,确保数字经济健康完善地发展是我国实力突破的重要指标。
二、数据合规管理面临的挑战
(一)数据权利归属不明确
目前数字经济快速发展,各种类型的数据在大规模地扩散传播,在数据经济纷繁复杂的情况下,大量数据被无数主体私下贩卖、无序竞争,主要的一部分原因还是数据的权利归属不明确,这不仅导致数据不易合规管理还可能导致多条产业链发展停滞,阻碍国家经济发展。由于数据的权利属性不同,在流通过程中,多个主体都会接触到数据,主体之间观念的不同、需求的不同就会使不同主体之间产生斗争。近年来关于数据权利归属的案件也不少,数据拥有者与数据传播者、数据传播者之间等都有冲突。数据权利归属的本质还是由数据而获得的利益分配给谁,在数字经济时代,做好价值分配才能进一步发挥数据的功能促进发展。如果不能合理分配数据价值,合规管理数据,那么影响的不仅是数据持有者,甚至会阻碍整个产业链的发展,整个数字经济的发展。
(二)数据流转范围太广不易监管
数据具有流动性,流动的范围越广,活动的场景越大,它所带来的价值就越大。数据不仅在国内范围中流动还有从国内与国外的流动,扩大了流动的范围的同时也加大了监管的难度。第一,对于网络技术水平也在不断提高,但是对数据难以进行全面覆盖。数据平台依据网络技术对数据进行收集并及时对产品数据进行更新,这使得监管手段难以及时创新和改革。第二,数据处理具有多个环节,流转的主体过多而且收集使用数据成本较低,在数据流转过程中就较容易泄露且不易找出泄露的源头,难以监管到最初的责任主体。第三,数据跨境流动带来机会的同时也带来了很大的危机,数据交流带动了全球经济增长但也产生了风险,某个国家可以通过大量的数据来分析他国的情况,危害国家安全。
(三)数据违规收集、泄露、使用
我国出现数据违规不安全的问题一大部分现实原因是数据大范围、大规模地被数据平台私下泄露、收集和使用,有些企业的经营活动没有道德底线,数据泄露事件频出[4]。现在市场上各种电子产品安装的应用软件想尽各种办法收集用户个人信息,数据平台无法管理好用户信息是一部分原因,平台自身的信息保护系统等级不够,无法保护平台的基本信息;内部人员为了牟利也可能擅自泄露用户信息;平台的防护系统可能不够安全,当受到外界互联网病毒攻击的情况下,就会泄露用户的信息[5]。某些数据平台为例谋取利益,最大限度地利用用户的信息,违背了法律和道德原则[6]。面对此类问题,数据平台在自我监察的过程中可以结合其他行业的力量共同合作,共同努力。
三、保障数据安全合规的对策
(一)多角度保障数据安全合规
保证我国数据安全合规,解决各方面的危险,预防数据不安全现象的发生,就要从各种角度综合思考,从整体视角对合规问题的全新研究[7],尽力综合各个方面达成一个更好的目标。
1.建立数据安全监管体系。建立安全监管体系促进数据安全合规。数字经济时代,数据的风险大多来源于它的不可控性。若任由其发展,不加以把控,数据的安全性会越来越不可靠,人们对信息流共享也会丧失信心,但是在流通共享的每个环节中都存在着数据安全风险,每次创新之后都会有新的挑战。我们要解决困难并利用它们发展新的思维,创新数据新的模式,完成数据价值最大化。人们获得和使用数据来源于它的流通与共享,而这个前提是确保数据安全合规。因此,要建立一个良好的安全监管体系,通过数据交易中心对数据进行各方面综合的监管,实行获取数据—交易中心处理数据—安全监管的模式,维护数据市场交易稳定,推动数据市场稳定发展。而且建立的数据安全监管体系要重视数据的合规性,比如数据本身、数据交易对象、数据交易方式等是否合规,有标准、有计划地对不合规的数据以及行为进行及时预警。
2.建立平台企业数据有序发展机制。建立数据平台有序发展机制促进数据合规使用。第一,增强数据平台的监督与管理职责。目前我国大量数据由专门的平台企业进行收集管理,对此,对这些企业平台要进行一定的监管。我们可以事前建立备案制度,对重要的数据进行记载整理;事中建立实时监测制度,对数据运用进行实时监控,发现不合规或者不安全的数据或现象及时预警;事后建立数据泄露责任追究制度,及时追究个人或企业违规责任。第二,鼓励企业参加安全性竞争的比赛。加强企业的安全意识与社会责任感,加大对企业数据安全性的宣传,优化企业形象加强群众对企业的信心,树立良好的榜样,并且让企业内部人员对数据是否安全合规进行自我辨别、自我监督,进一步对数据安全合规进行保障。第三,针对企业数据本身,为了保障其安全合规,在其采集、传输、共享等环节中明确用途,采用不同的防护标准,并且可以建立一个企业安全合规部门,专门对数据进行把控,对数据合规的内容、合规方式、合规结果等方面进行评估与反馈。
3.增强个人数据安全防范意识。加强用户对于数据的安全防范意识预防数据泄露滥用。随着人们在生活中遇到的网络信息越来越多,各种APP也不断出现,人们被采集的信息也越来越多,比如姓名、年龄、身份证号等一系列信息都被网络所吸取。与此同时,有很大部分人在下载APP时对软件的默认选项也不做出更改,导致一些其他软件用户可以通过随意拨打个人电话、发信息、追踪用户所处位置等方式来骚扰其他用户。在这种情况下,不仅是网络平台需要做一些改变,个人也需要对个人数据进行保护。虽然说,数据需要交流共享,但是要注重数据共享与数据安全的关系,它们并不是完全对立的,要把握好它们之间的动态平衡关系,才能使人们以创新的方式使用数据[8]。正是因为数据交流共享,才需要更高水平的数据保护。因此,每个人都需要有数据安全防范意识,使数据更安全地流转,更好地利用数据的价值,而不是让数据来损害经济主体的利益。
(二)从企业角度进一步保障数据合规
目前,国家已建立数据分级分类保护制度,对重点数据与普通数据区别保护,企业要对个人隐私、企业资产等法律法规及规章制度规定的一系列敏感数据予以重点保護,履行企业的合规义务。
对于互联网服务平台企业来说,数据分类制度是企业保护数据的基本安全性工作之一。首先,要结合企业的具体服务方向,将企业数据划分类型,比如说划分为用户数据管理、产品本身数据管理等一些方面的类型。其次,结合企业的具体服务对象,将相关的数据进行整合梳理,并按第一步的几个类型将数据划分在某一具体服务事件中。最后,再进行更为细致的分类,将上述类型划分为子类型,比如说将用户数据划分为用户个人信息、用户对产品的评价、用户后续的问题、如何引导用户再次使用等一些子类型。企业的数据依据业务变化不断发展变化,分类标准也需要不断完善。
数据分级制度是根据数据的敏感程度、价值、是否可以公开等综合判断划分为何种等级。在企业合规的基础上,企业可以用尽量简化的方式来给数据划分等级,比如说将数据划分为可公开、不可公开、公开但有限度。数据分级制度与数据分类制度在一些方面是不同的,为了保护数据的隐蔽性和稳定性,如果分级制度是合规有效的,原则上不可以更改,但不一定是一成不变的,在企业采取删除关键词、脱敏等一些技术手段后,可以对数据的等级进行上升或下降。另外,还有一些数据层级需要发生变化,比如数据本身的内容发生变化,原来的等级已经不能够保护好现有数据;过了一定的期限导致数据在社会上的重要性升高或者降低,不适合使用原有等级;法律或者国家相关部门做出了特殊规定,需要对保护等级进行调整等。
数据资源的挖掘与利用成为数据经济发展的“石油”[9],如果企业对所有数据采用同等保护要求和保护手段,必然会导致资源紧缺和资源浪费,对于重要的数据的保护力度不够大,泄露重要信息,牺牲的不仅仅是企业利益,更是国家的利益;对于相对不是那么重要的数据,予以同样的保护力度也是大可不必的。另外,对于数据分类和分级管理也不是越细致越好,这样的话,企业所花费的成本也会很高,也许会得不偿失。数据没有损失只是一个理想状态,是难以达到的目标,对数据分级分类差别对待,综合考量管理成本与所得利润,使数据安全合规和企业发展双轨并进,达到双赢,才是企业目前能够达到的理想状态,也是数据分类分级的重要意义。在数字经济时代下,我国企业应当在数据安全合规的基础上,分类分级保护数据,通过对数据的创新来促进新的生产力,通过合规来促进企业的稳定和繁荣发展。
参考文献:
[1] 陈兵,胡珍.数字经济下统筹数据安全与发展的法治路径[J].长白学刊,2021,(9):.
[2] 李本灿.我国企业合规研究的阶段性梳理与反思[J].华东政法大学学报,2021,(4):121-137.
[3] 陈瑞华.论企业合规的性质[J].浙江工商大学学报,2021,(1):46-60.
[4] 许多奇.论跨境数据流动规制企业双向合规的法治保障[J].东方法学,2020,(2):185-197.
[5] 梅傲,侯之帅.互联网企业跨境数据合规的困境及中国应对[J].中国行政管理,2021,(6):56-62.
[6] 杨毅.数据权属与合规交易研究[J].武汉金融,2021,(5):82-88.
[7] 陈瑞华.企业合规制度的三个维度——比较法视野下的分析[J].比较法研究,2019,(3):61-77.
[8] 王博,温继文.基于元数据的林业开放政府数据质量评估[J].情报学报,2021,(2):173-183.
[9] 李延舜.隐私政策在企业数据合规实践中的功能定位[J].江汉论坛,2020,(10):136-144.