基于个人信息保护的数据合规管理路径探析

王千石

摘 要：网络平台处理用户个人信息时违法违规的行为不但侵害用户的个人信息权益，也会给互联网平台企业的经营和发展带来不利影响。在国家加强个人信息保护和数据安全立法的背景下，互联网平台企业亟须构建基于个人信息保护的数据合规管理模式。企业应充分考虑相关法律法规的规定，组建数据合规团队、完善数据合规流程、提高技术保障水平，对个人信息等数据处理中的法律风险形成预防—监管—应对“三位一体”的数据合规管理制度。

关键词：网络平台 数据合规 个人信息保护 合规管理

2021年5月，国家互联网信息办公室发布了《关于抖音等105款App违法违规收集使用个人信息情况的通报》（以下简称“《通报》”），其中曝光了抖音、快手、百度等常用App（小程序）普遍存在的收集使用用户个人信息的违法违规问题，包括：“未经用户同意收集使用个人信息”;“违反必要原则，收集与其提供的服务无关的个人信息”;“未公开收集使用规则”等。对此，国家网信办责令相关App运营者限期整改，否则将面临“下架”的后果。随着数据安全法与个人信息保护法的颁行以及刑法相关规定的完善，对于违法违规互联网平台企业，等待它们的将是更严厉的行政处罚甚至刑事责任。因此，建立数据合规管理制度对于网络平台及其背后的互联网平台企业来说是势在必行的选择。

一、网络平台亟须建立数据合规管理制度

數据合规管理，是企业针对自身在进行数据处理中可能发生的违法违规行为进行预防与整改的管理方法，目的是避免企业因数据处理违法违规而承担法律责任，影响企业运行。根据数据安全法与个人信息保护法的规定，数据是指以电子或者其他方式对信息的记录;而个人信息则是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。据此可知，数据是（个人）信息的载体，信息是数据的实质内容。同样依照上述法律的规定，数据（个人信息）处理，是指对数据（个人信息）进行收集、存储、使用、加工、传输、提供、公开、删除等活动。因此，网络平台对用户个人信息的收集、存储、使用、加工、传输、提供、公开、删除等操作都属于数据处理活动。随着我国数据保护立法的日趋完善，互联网平台企业应当尽快从内部建立数据合规管理制度，以应对企业内部可能存在的因侵犯用户个人信息而导致的法律风险。

（一）网络平台违法违规处理数据侵害用户权益

民法典和个人信息保护法确认了“个人信息权益”这种权利（益）类型，并且明确了处理个人信息所要遵循基本原则，包括合法、正当、必要与诚信原则，目的原则，公开透明原则，质量原则和责任原则。[1]根据《通报》可知，大量网络平台在数据处理中存在违法违规行为，这些行为无一不侵犯了用户的个人信息权益。尽管对于个人信息权益究竟属于传统的人格权范畴还是一种新型权利，法学界仍存在不同观点，但可以确定的是，网络平台用户的个人信息权益是与其人身和财产都息息相关的一种法益。即便不考虑个人信息权益的公共属性，仅从私权保护的维度看，个人信息权益至少应当包含自然人的隐私权、名誉权及相关标识性人格权益、人身安全和财产安全等民事实体法益。[2]网络平台在处理用户个人信息时出现的违法违规行为，不但侵犯了用户个人的隐私权、名誉权等人格权益，还有可能因没有尽到安全保障义务，导致用户个人信息泄露而为犯罪分子利用去进行网络诈骗、盗窃、敲诈勒索等财产犯罪，甚至进行更加严重的人身犯罪。基于保护用户权益的理由，网络平台应当尽快规范数据处理活动。

（二）网络平台违法违规处理数据影响自身经营

在一些企业看来，规范数据处理要耗费人力物力，反之则可以节约成本、提高效益;甚至一些违法处理用户信息的行为（如将用户信息出卖给他人）还能在短期内带来巨大收益，因此许多企业明知其数据处理环节存在问题，但选择“睁一只眼、闭一只眼”，甚至在有关部门责令整改后，仍不愿投入整改成本，宁可被“下架”也不愿整改。其实，这种经营策略对于企业自身的负面影响是很大的。结合个人信息保护法的规定可知，网络平台如果在用户信息处理中存在违法或未履行义务的情况，轻则由相关部门责令其运营者（通常为互联网平台企业）改正并没收违法所得，重则处以巨额罚款（最高达到五千万元或者上一年度营业额的百分之五），甚至有可能被吊销营业执照，彻底丧失经营资格。除了处罚企业之外，企业的有关负责人也要承担高昂的罚款（最高一百万元）和禁止从事相关行业的严厉处罚。数据安全法也对不履行数据安全保障法律义务的企业和个人规定了严厉的处罚措施。除了行政处罚之外，企业因处理个人信息而侵犯用户权益造成损害的，还要承担相应的民事赔偿责任;一旦构成犯罪，则要承担刑事责任。这些法律责任，无论轻重都会对涉案企业及其相关人员造成恶劣的影响。因此，为了追求短期利益而忽视对网络平台数据处理的合规管理，将会严重影响企业的正常运行，对于企业来说是得不偿失的。

（三）网络平台违法违规处理数据阻碍行业发展

通过《通报》公布的105款违法违规APP可知，网络平台违法违规处理数据绝不是个别现象，而是具有普遍性的“行业怪相”。或许对于这些APP的运营者来说，既然行业中普遍存在类似的违法违规行为，那人们对这个行为就应当“见怪不怪”，甚至将这种现象看作互联网发展的必然产物。然而事实上，无论是对于互联网平台企业、用户还是行政执法部门来说，存在“见怪不怪”这样的想法都是危险的。在网络平台深入影响人们生活的今天，互联网平台行业更应当在法律的轨道上发展壮大，任何试图以这个行业取得的成就来掩盖其经营过程中的违法违规行为对社会造成的伤害的企图都是错误的。数据处理的违法违规只是网络平台缺乏合规管理带来的大量问题中浮出水面的冰山一角，其背后还存在更多的隐患（诸如行业垄断、国家安全等问题）。如果不从源头上规范互联网平台企业对数据的处理行为，任由这种“怪相”愈演愈烈，将会给国家和社会带来不可估量的危害，同时也会严重阻碍该行业自身的发展。

二、建立数据合规管理制度的基本思路

既然合规管理的目的是避免企业自身陷入违法犯罪的风险，那么互联网平台企业在建立基于个人信息保护的数据合规管理制度时，就要充分考量与个人信息保护和数据安全相关的法律规定，有针对性地避免数据处理中违法犯罪行为的发生。

（一）针对个人信息保护法的合规管理思路

个人信息保护法将个人信息分为一般个人信息和敏感个人信息。根据该法对个人信息处理的一般规定，网络平台在处理用户个人信息时应当注意下列问题：第一，一般情况下，必须保证用户充分知情并获得其明确同意，才能对其个人信息进行处理。第二，若要改变处理用户个人信息的目的、方式以及所处理信息的种类，必须重新获得用户同意。第三，即使用户已经做出同意处理其个人信息的承诺，该同意也可以随时撤回，应当提供给客户便捷的撤回方式。第四，即使用户不同意处理其个人信息或将同意撤回，也不能拒绝为其提供产品或服务，除非该产品或服务的提供以处理用户个人信息为必要条件。第五，处理用户个人信息前应当主动将下列事项告知用户：① 自己的基本信息，包括名称、联系方式;② 处理用户个人信息的目的、方式、种类和保存期限;③ 用户维权的方式和程序等。第六，未经用户单独同意，不得将处理的用户个人信息擅自公开或告知他人。第七，由于企业变更等原因需要转移用户个人信息的，应当告知用户。除了上述一般注意事项之外，网络平台在处理用户的敏感个人信息（如生物识别信息）时，还应满足下列三个条件：① 为了特定的目的;② 具有充分必要性;③ 已经采取严格的保护措施。只有当这三个条件全部满足，并充分保障用户知情同意的权利时，才能处理用户的敏感个人信息。对于不满14周岁的未成年人的个人信息，必须经过其父母或监护人的同意并制定专门的处理规则后方可处理。

（二）针对数据安全法的合规管理思路

数据安全法对“数据安全保护义务”做出了具体规定。由于数据安全法是国家整体安全观的重要组成部分，其所规定的“数据”不仅仅包括承载了“个人信息”的数据，更包括任何“以电子或者其他方式对信息的记录”，因此对数据安全的保护也绝不仅仅是对个人信息权益保护，而是上升到“国家安全保护”这一更加宏大的命题上。但数据安全法对于数据处理者所规定的数据安全保护义务，对于网络平台处理用户个人信息这种数据的活动是同样适用的。根据数据安全法对数据处理者所规定的安全保护义务可知，网络平台在处理用户个人信息这种数据时应当注意以下问题：第一，应当建立并完善数据安全管理制度;第二，采取有效的技术措施和其他必要的安全措施，坚决保障用户的数据安全;第三，加强对数据风险的监测，一旦发现存在安全缺陷、漏洞等风险，应当立即采取补救措施，并积极查找原因，预防风险再次发生;第四，一旦发生数据安全事件（如用户个人信息大量泄露），应当立即启动应急预案，并及时通知用户和有关主管部门;第五，应当按照规定对重要数据处理活动定期开展风险评估，并将风险评估报告报送有关主管部门。

（三）针对刑法的合规管理思路

个人信息保护法和数据安全法等法律法规都明确指出，违法违规处理个人信息（数据），构成犯罪的，应当承担刑事责任。网络平台违法违规处理数据的行为最有可能触犯的罪名主要有侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、破坏计算机信息系统罪等。刑法对这些犯罪都做出了单位犯罪的规定，如果网络平台在数据处理中触犯上述罪名，其背后的互联网平台企业和直接责任人员都要接受刑法的制裁。为了避免承担罪责的风险，网络平台在进行数据合规管理时应当注意下列问题：第一，严格遵守个人信息保护法、数据安全法等法律和相关行政法规关于数据（个人信息）处理的规定，积极履行数据安全保护法律义务。这是由于上述罪名的成立通常以行为违反了相关前置法的规定为前提，例如，刑法規定，出售和提供个人信息的行为要构成犯罪，须以“违反国家有关规定”为前提;拒不履行信息网络安全管理义务罪的成立须以主体“不履行法律、行政法规规定的信息网络安全管理义务”为前提;对计算机信息系统中的数据进行删改等行为要构成犯罪，须以“违反国家规定”为前提。因此，只要网络平台勤勉地保证自身行为不违反前置法的规定，就能最大限度地避免触犯刑法。第二，严格监控数据处理环节，对已经发现的违法违规行为及时进行补救，面对监管部门责令整改的，立即采取有效整改措施。这是由于刑法中相关犯罪的构成要件往往要求“情节严重”或者“造成严重后果”，所以只要企业在合规管理过程中发现了违法违规操作的现象，立刻纠正，避免损害扩大，也可以将犯罪的风险降低。第三，建立有效的合规计划，以适配企业合规的立法趋势。近年来，我国从域外引入了合规理念并在刑事司法领域试行“合规不起诉”制度，已经取得了良好的效果;刑法学界也在积极探索企业合规作为排除犯罪事由的可行性。具体而言，就是当企业涉嫌单位犯罪时，如果能够证明自己已经进行了有效的合规管理（例如展示合规计划并接受有关部门检验），则可以作为程序法中不起诉的理由或者实体法中排除刑事责任的理由。尽管这一构想在我国的刑事立法和司法实践中仍处于探索阶段，但作为互联网平台企业，不妨未雨绸缪，紧跟法治发展趋势，通过合规管理来实现自身长期发展及利益最大化的目标。

三、网络平台建立数据合规管理制度的具体方案

（一）设立专门的数据合规管理组织

企业合规管理模式主要分为日常性合规管理和合规整改两种。其中日常性合规管理是预防性管理，合规整改是企业已经面临制裁警告时的针对性管理。[3]在这个意义上，网络平台的数据合规管理应当采取日常性合规管理为主、合规整改为补充的模式。企业在数据合规管理组织的设立上可以分为纵、横两个维度。从纵向上，由上至下设置合规管理委员会、专项合规小组、合规专员等层级。其中，合规管理委员会应设置于董事会内部，具有较高级别和权限，内设首席合规官;专项合规小组是指专门负责某个具体领域合规问题的团队，例如数据合规、反垄断合规等，专门负责数据合规的管理部门即属于专项合规小组;合规专员则是专项合规小组的组成人员。从横向上，数据合规管理团队应当囊括企业的管理人员、法务人员、业务人员和技术人员以及专职合规专员，其中管理、法务、业务、技术人员来自企业的各部门，他们的职责都与数据合规管理存在密切联系，专职合规专员则专门负责合规管理，并协调合规团队中各部门组成人员的关系，保障合规管理顺利进行。

（二）完善数据合规管理的制度流程

首先，要制定内部规范，作为数据合规管理的依据。比如制定《数据合规管理章程》，对于数据采集的规范、敏感数据的定义以及相应数据的安全保护策略等做出具体界定。[4]其次，明确数据合规管理的流程。从各国的经验看，合规管理主要包括三大基本流程，即防范、监控、应对。[5]与之相对应，数据合规管理也应分为三个部分：一是数据风险防范体系，即预防数据处理违法违规事件发生的管理流程;二是数据风险监控体系，即及时识别数据风险并将其报告给管理层的管理流程;三是数据违规应对体系，即当数据处理违法违规事件发生后，如何进行查处、降低损失的管理流程。

（三）提升数据安全保护的技术水平

根据个人信息保护法的要求，网络平台及其运营者作为个人信息处理者，应当采取相应的安全技术措施（如加密处理、去标识化等）来保障用户的个人信息安全。数据安全法也要求数据处理活动中必须采取相应的安全技术措施以及其他必要的措施，保障数据安全。互联网平台企业要履行个人信息保护和数据安全保护的法律义务，必须具备相应的技术水平。为此，首先，要保证企业内部的技术人员具有相应的资质和业务能力;其次，应定期对从业人员进行技术培训和法律培训，保障技术团队具有识别和预防数据风险的能力，并且在发生了个人信息安全事件或者发现了数据安全漏洞等风险时能够及时补救，将损失降到最低;最后，必要时企业可以聘请外部的技术团队提供技术服务，或者在发生了重大信息泄露事件或者数据安全漏洞而企业内部无法自行解决时，及时求助于外部专业技术团队，尽可能最快修复漏洞，控制损害范围。

四、结语

当我们讨论网络平台进行合规管理的必要性和紧迫性时，给出的理由主要是如果不這样做将会有怎样的弊端，而在诸多弊端中，真正引起平台运营者重视的，恐怕只有自身的法律风险这一条。但是，法律在企业合规管理中的作用绝不仅仅是以法律制裁来威慑企业自觉，更存在一种如果企业进行了合规管理，将获得法律的奖励这种正向的激励关系（合规不起诉即可以看作是法律对合规管理企业的奖励）。回归到本文关注的问题，若要真正有效地规范网络平台对用户个人信息的处理行为，仅靠企业自觉还不够，只有当法律真正为合规管理的企业提供奖励，企业才更有动力去自发地进行合规管理。

参考文献：

[1] 张新宝.个人信息处理的基本原则[J].中国法律评论， 2021（5）：18-27.

[2] 王锡锌.个人信息权益的三层构造及保护机制[J].现代法学， 2021（5）：105-123.

[3] 陈瑞华.有效合规管理的两种模式[J].法制与社会发展，2021（1）：5-24.

[4] 杜泽.平台“守法”才能长远发展[J].中国信息界，2021（4）：58-62.

[5] 陈瑞华.企业合规基本理论[M].北京：法律出版社， 2021：5-6.