肖 瑞
(安徽大学法学院,合肥 230601)
数字化时代信息的获取变得更加便捷,企业对数据的收集和使用也变得更频繁。企业在收集和使用数据的过程中,虽然给生产活动带来便利,但同时也会威胁个人信息、商业秘密以及计算机信息系统的安全,引发数据安全风险。[1]计算机软件系统依赖的各种算法以及代码难免会存在缺陷和错误,形成软件系统漏洞。这些漏洞易引发数据信息的泄露,也给网络攻击带来可乘之机。企业开展涉及数据信息的活动时,如果缺少针对数据合规活动的监管机制,则无法对数据侵权行为形成有效的预防和打击。[2]为防止数据侵权纠纷,降低数据安全风险,需要对数据活动是否合规进行监管,完善数据安全方面的立法。
目前,许多国家和地区通过制定法律法规加强了对数据安全的保护,为企业开展数据合规活动提供了法律依据。欧盟的《通用数据保护条例》(General Data Protection Regulation,简称GDPR)体现了对数据权利的持久关注和日益严格的保护。[3]新加坡新修订的《个人数据保护法》以及日本的《个人信息保护法》,都增加了数据安全保护规范,对数据合规提出了更高要求。美国的《网络安全框架》加强了数据隐私和信息安全的保护。德国的《联邦数据保护法》中列入了数字化信息的保护规范,加强了对数据安全风险的防范。我国的《民法典》明确了个人的数据信息、网络虚拟财产的合法性,《数据安全法》《网络安全法》《个人信息保护法》以及《电信和互联网用户个人信息保护规定》等不仅对非法采集和滥用数据信息的行为加强了打击,也为数据安全治理提供了保障。
数据合规活动虽然有法规的指引,但由于风险类型多样,并不是所有风险都能被及时发觉和控制,尤其是对特定时期的侵权行为以及一些境外侵权行为,合规监管难以开展。数据合规活动除了面临行业风险和侵权风险外,还面临多重阻力。而有效的风险应对措施,不仅对数据安全的维护有积极的作用,还能够提升企业的数据合规能力。
在企业开展数据合规活动时,不同行业面临的风险不同,以金融科技、智能汽车、在线教育、电信和互联网等行业为例,不同行业企业开展数据合规活动时面临的风险以及应对策略详见表1[4-5]。
表1 不同行业企业数据合规活动面临的风险及应对策略
由表1可知,不同行业的企业开展数据合规活动时,可能面临的侵权风险主要有:①侵犯个人信息权。主要表现为:利用手机应用程序违法收集并关联用户的个人信息账户;网络平台设定强制性的条款,如规定用户若拒绝提供个人信息,则不得使用相应的手机应用程序等;网络经营者违法披露用户数据信息;数据处理者未设置保护措施,加大了数据侵权风险。应对策略有:对企业利用手机应用程序实施的侵权行为加大打击力度;破除企业不公平的条款,明确对拒绝提供个人数据的用户依然要提供基础性服务;手机应用程序需要设置数据“保护屏”,防范企业的数据侵权风险。②侵犯商业秘密权。企业既可能是侵犯商业秘密的主体,也可能是被侵犯的对象,主要表现为企业内部掌握商业秘密的人员因不同原因导致的泄密。应对策略主要为加强商业秘密数据的民事、刑事以及行政方面的交叉保护,尤其需要关注《刑法修正案(十一)》对侵犯商业秘密罪刑事入罪标准、责任认定标准的修改,降低侵犯商业秘密罪的入罪门槛和裁判难度,有效地遏制和打击侵犯商业秘密的行为。[6-7]③侵犯消费者权益。主要表现为:网络购物中的“大数据杀熟”现象,例如同一商品会员用户会比普通用户看到的价格高;“默认自动消费”的格式条款侵犯了消费者的权益;数据信息的采集者和处理者滥用大数据分析消费者的消费倾向,侵犯了消费者的隐私。应对策略有:加强《个人信息保护法》《网络安全法》的司法践行力度,不得对收集的数据随意进行算法分析;要求企业对涉及消费者权益的信息进行事前告知和警示;加强对消费者隐私权的保护,严厉打击数据滥用现象。④侵犯公平交易权。主要表现为:数据处理者与数据主体的信息不对称;非面对面交易中,企业掌握数据处理的技术,数据主体往往处于弱势地位,数据的公平交易权常受到侵犯;现实交易活动中,市场准入的限度较低,缺乏对数据收集企业的资质认证。应对策略有:企业在开展数据合规活动过程中,应保障数据主体的知情权;在数字化交易中,及时在事前、事中、事后进行数据沟通,改善数据主体缺少技术知识的不利地位;提高市场准入门槛,加强对企业的资质认证。⑤侵犯信息网络安全。信息网络安全领域的数据合规活动,存在民事、刑事方面的侵权风险:非法采集、存储以及删除计算机信息系统中的数据,可能会涉罪;破坏计算机系统的处理以及传输设备,干扰网络正常运营,可能会构成“破坏计算机信息系统罪”;黑客攻击以及员工泄密,都可能会威胁信息管理活动的正常运行;网络安全管理者管控不谨慎,也可能引发侵权现象。应对策略有:企业在信息网络安全领域进行数据合规活动时,除了防范民事侵权风险外,还要打击刑事犯罪;加强网络安全管理者的数据监管权能,严厉打击信息泄露行为;对于企业拒不改正数据侵权的行为,情节严重的,以拒不履行信息网络安全管理义务罪处以刑罚。
我国目前关于数据合规的法律依据已经建立,数据安全法律体系的建立也指日可待,但是企业在开展数据合规活动时,除了存在行业风险和侵权风险外,还会面临多重阻力。
1)数据合规动力不足。事后调查和诉讼活动是侵权行为发生后的救济手段,是被动的数据合规措施,而事前的风险防范和数据安全保障措施的建立,属于主动的数据合规措施。[8]主动合规相较于被动合规,不仅能够降低成本,也能够提高数据处理者的安全防范意识。但是数据侵权所得的利益是具体的、明确的,而事前数据合规的效果具有不确定性以及长期性,侵权所得效益与合规效果之间存在一定的时间差,以致侵权获得的现实利益与数据合规的长远利益存在激烈的冲突。而且在高昂的数据合规成本压力下,企业开展合规活动的动力明显不足,事前数据合规的积极性更难调动。以跨境数据合规为例,在跨境信息流动过程中,由于缺乏统一的数据流动规则,面对各个国家不同的立法规范,可能会出现各种法律风险,而现阶段建立统一的数据流动规则尚不可能,因此,事前进行数据合规可以预防各种数据侵权风险。但是数据合规需要技术、资金等的支持,而企业在经营活动中会尽力压低成本,特别是在司法行政机关缺乏数据合规的硬性要求的情况下,企业一般不会对尚未发生的风险主动开展事前防范,这就导致跨境交易中依然存在较大风险。
2)专项合规计划对过程性侵权行为的打击不够。数据合规具有防范风险和保护信息的功能,但具体如何防范风险和开展保护工作,需要建立专项的数据合规计划,而我国目前缺乏相关经验。西门子公司反海外贿赂合规计划是专项合规计划的样本,中兴公司贸易制裁案改变了我国以往大而全的合规计划,专项数据合规计划开始制订。[9]中兴公司事件之后,我国企业特别是大型的跨国企业,开始探索数据合规方面的专项计划,为了防止数据侵权风险,开始在工作的各个环节注重合规能力的培养。但我国数据合规的专项计划强调对侵权结果的打击,忽视对合规过程中各种侵权行为的打击。侵权结果是以侵权行为为前提的,行为是过程性的,结果是终结性的,如果能够有效预防过程性侵权行为,就能避免侵权结果的发生。但无论是中兴公司的专项数据合规计划,还是其他大型企业的数据合规活动,都缺乏对过程性侵权行为的打击,在一定程度上也就无法避免侵权结果的发生。
3)部门之间缺乏监管协同。我国目前处于数据合规的初始阶段,并没有设立数据合规的专业监管部门,对数据合规的监管尚需各部门协同联动,但在联动监管过程中,不同的部门常常存在协作度不高的现象。对于事前预防性的数据合规,因为风险尚未发生,协同监管机关对此阶段的监管也就不够重视。即使出现了侵权结果,相关监管部门也难以进行联动监督,以致出现各部门按照各自的规则对侵权事件进行打击的现象,甚至会出现同一侵权行为被重复处罚的现象。
4)第三方数据合规责任不明。数据合规不仅是法律问题,也是技术问题,企业制订数据合规计划时,除了需要具备法律知识,也需要储备一定的技术知识。因此,企业在开展数据合规活动时,如果缺乏法律和技术知识,还需要第三方服务者提供帮助,比如律师事务所、会计师事务所、合规师事务所,甚至需要聘请专业的科研团队。而企业与第三方服务者共同开展数据合规活动时存在一个突出的问题,即数据合规责任究竟是由企业承担,还是第三方服务者承担,抑或是双方共同承担?这一问题不仅涉及行业区别,司法实践中也缺少可以作为参考的案例。
5)法律指引不充分。对于数据共享和数据保护方面的侵权行为,专门领域法规的制订不仅能够防范尚未发生的侵权风险,也能够有效打击已经发生的侵权现象。而我国出台的《数据安全法》《网络安全法》《个人信息保护法》等法律规范,虽然可以作为数据合规的法律依据,但是这些法规并非数据合规方面的专门立法,无法为数据合规提供具体明确的指引。因此,从整体上来看,我国数据合规方面的立法依然是滞后的,尤其在数字化时代,面对复杂的网络营商环境,在缺乏专门合规法规指引的情况下制订的数据合规计划既无法应对各种潜在的数据侵权风险,也无法对已经发生的数据侵权行为形成有效的打击。
通过激励机制激发企业主动地制订数据合规计划,防范数据风险,进而提高企业事前数据合规的积极性,一定程度上能缓和侵权所得效益与合规利益的冲突。[10]相关激励机制的建立可以从两个方面展开:
1)行政监管机制。数字化领域的行政和解可以通过制订有效的数据合规计划达成。2015年中国证监会开展行政和解试点工作之后,直到2019年才出现了第一个行政和解执法案例。虽然时间间隔较长,和解结果也缺乏公开性和透明性,但该案行政和解的相关公告表明,相关公司采取的数据安全措施有利于加强内部监管,在一定程度上预防了数据侵权行为。
2)刑事机制。有关数据合规活动的刑事机制在我国目前尚处于初探阶段,有效主动的数据合规计划是从轻处罚的事由,企业据此可以获得不被起诉或者无罪的处罚结果。我国企业刑事合规经历了两个阶段:第一个阶段是2020年3月份开展的第一批相对不起诉的试点工作,在数字化领域表现为对制订数据合规计划并取得实际效果的企业,检察机关可以作出合规不起诉或者企业附条件不起诉的决定。第二个阶段是2021年3月份开展的第二批企业合规从宽的试点工作,[11]而在数字化领域表现为对于达到起诉条件而不能作出不起诉处理的案件,司法机关可以在企业制订有效数据合规计划并实际执行之后,作出从宽处理的决定。无论是第一批还是第二批企业合规试点工作中,数字合规计划都增加了企业被从宽处理的可能性,有利于调动企业开展数据合规活动的积极性。
数字化时代,信息获取的途径更加多样,数据收集与处理也变得更加便捷,侵权结果的发生是以侵权行为为前提的,而对侵权行为的有效预防在一定程度上能够避免侵权结果的发生。单纯预防侵权结果发生的专项数据合规计划无法应对已经发生的侵权现象,也无法对侵权结果形成有效的惩处。而过程性数据合规专项计划,也即针对侵权行为进行预防和打击的计划,以积极主动预防数据侵权行为为重心,在一定程度上能够避免侵权结果的发生。
激发企业数据合规的积极性,最有效的措施是建立专业的监管机关,这样不仅能够提高企业数据合规的效率,也能够保障数据合规的合法性。不过数据合规专项活动在我国目前尚处于初探阶段,专业监管机关的建立缺乏基础,可以考虑通过加强相关部门的协作,为企业开展数据合规专项活动保驾护航。而对于实践中部门之间缺乏协同的现象,可以通过以下措施解决。首先,监管部门之间加强数据的共享,[12]在对企业数据合规的监管中增强沟通,并开展动态的协作监督,避免部门之间相互推诿;其次,各部门协同监督企业建立有效的数据合规专项计划,并合力促成合规计划的实施;最后,各部门对违规企业进行惩处时,应及时交换处罚信息,避免对违规企业进行重复处罚。
数字化时代,为了在数据合规活动中维护数据安全,企业需要在合规活动中兼顾法律问题与技术问题,而企业是从事经营活动的主体,很可能缺少法律知识与技术知识,需要第三方服务者协助。以2021年11月份施行的《个人信息保护法》为例,数字化时代,个人信息保护方面的互联网侵权案件、数据合规违法现象的预防以及侵权行为的打击,不仅需要商家也需要第三方互联网平台共同参与。而数据合规活动的责任究竟是商家承担还是第三方平台承担,是亟需明确的问题。《个人信息保护法》对平台设定了特定的个人信息保护责任,互联网平台为信息收集处理的全过程提供了技术支持,平台是否提供服务以及提供怎样的服务,需要平台做出决定,平台的决定影响着数据合规的走向。因此,除了企业自身责任外,平台也需要为自身影响数据合规的不当决定承担相应责任。
专项数据合规计划的制订虽然有《个人信息保护法》《网络安全法》《数据安全法》等法律规范作为依据,但这些法律规范毕竟不是数据合规方面的专门立法,仅是提及数据合规事项。有效的数据合规计划的建立,需要有完善的数据合规方面的法律体系的指引。因此,要保障专项数据合规计划的制订、实施获得法律的全面支持,就须建立以数据合规专门法规为基础,以信息保护、网络安全及数据安全方面的法律为支撑,以各地区以及各领域实际情况为基准的数据合规法律体系。