数据合规视野下的政府责任

北京市金杜（苏州）律师事务所 周姗姗，潘瑶

随着数字经济的蓬勃发展，数据作为数字经济的核心资源，已经被公认为第五大“生产要素”。小到公民自身，大到国家治理，数据的利用与保护早就与社会各个主体的权益息息相关，如何更好地进行数据的利用与保护成为各国政府急需思考与解决的问题。目前从各国实践可以看出，各国政府纷纷选择通过法律层面的框架构建与细则完善来进行数据治理。自2016年《网络安全法》正式颁布以来，我国就加紧脚步探索数据合规领域的法治建设，在近两年接连制定并颁布《数据安全法》《个人信息保护法》等重要的数据合规领域法律。由此，企业数据合规迅速成为理论与实务中的热点，但是数据合规视野下的政府责任却较少有人提及。本人从该角度切入，结合我国数据合规的多维现状，重点论述政府在数据合规中需要承担的多种责任。

一、数据合规之法律规范体系

我国数据合规的法律规范体系已经逐渐趋于体系化，除了三部主要的法律，还包括与此相关的行政法规、规章、规范性文件及国家标准。

（一）法律

我国数据合规领域的基本法律主要包含《网络安全法》《数据安全法》和《个人信息保护法》三部，三者既相互独立又彼此补充，构建出我国数据保护的顶层建筑。其中，《网络安全法》主要适用于网络数据，《个人信息保护法》主要涉及个人信息，而《数据安全法》则包括所有类型的数据。2017年6月1日，《网络安全法》应运而生，作为网络空间治理的综合性法律，该法定义了网络数据以及个人信息的概念，对于网络数据安全、开发与利用进行了相关规定。2021年9月1日，《数据安全法》正式实施，该法确定了适用范围以及数据的概念，明确了政府对于数据处理与数据安全的双重职责，同时提出了建立国家数据安全工作协调机制、数据分类分级保护、数据安全风险评估、数据安全应急处置、数据安全审查等具体的数据处理与数据保护制度。2021年11月1日，《个人信息保护法》正式实施，标志着我国在个人信息保护领域的法律框架基本确立。该法围绕自然人的个人信息保护，严格限缩处理个人信息的范围，规定未经个人同意不得公开个人信息，强化个人信息处理者的删除义务，以及个人信息处理的合规审计制度等。

另外，我国《消费者权益保护法》《民法典》《刑法》也存在数据合规的相关规定，比如《消费者权益保护法》规定经营者收集和使用消费者个人信息的规则；《民法典》规定自然人的个人信息的保护以及个人隐私权的保护；《刑法》规定信息安全保护相应的罪名，主要包括侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、非法控制计算机信息系统罪等。

（二）行政法规

早在2013年，为了规范相关行业的数据合规问题，国务院出台了《征信业管理条例》和《信息网络传播权保护条例》，对于个人信息的采集、查询、使用、提供提出了相关要求并明确了相应的法律责任。

2021年7月30日，国务院颁布了《关键信息基础设施安全保护条例》，对2016年《网络安全法》第三十一条“关键信息基础设施的具体范围和安全保护办法由国务院制定”之规定进行了衔接与细化。该条例以“重要行业和领域”加“严重危害后果”的方式对关键信息基础设施运营者进行“定性式”界定，避免了“过宽或过窄”的问题，细化了关键信息基础设施认定、运营者责任义务、政府部门对此的保障和促进职责以及不同行为主体违规的法律责任等。

（三）部门规章及其他规范性文件

根据职责范围的不同，国务院各部门分别制定了一系列部门规章，比如网信办、工信部等部门联合出台《汽车数据安全管理若干规定（试行）》《常见类型移动互联网应用程序必要个人信息范围规定》《APP违法违规收集使用个人信息行为认定方法》，银保监针对银行业颁布《银行业金融机构数据治理指引》，国家邮政局针对物流行业颁布《寄递服务用户个人信息安全管理规定》，网信办针对儿童群体颁布《儿童个人信息网络保护规定》，工信部针对工信领域颁布《电信和互联网用户个人信息保护规定》。除此之外，公安部制定了《公安机关互联网安全监督检查规定》，最高检制定了《检察机关办理侵犯公民个人信息案件指引》。上述规范从不同角度规制了不同行业和领域的数据合规要求。

（四）国家标准

2016年，全国信息安全标准化技术委员会专门成立了大数据安全标准化特别工作组，连续开展了数项数据安全标准研制项目。[1]截至目前，已经发布了诸多信息安全技术要求和指南，如《信息安全技术大数据服务安全能力要求》（GB/T35274-2017）、《信息安全技术数据交易服务安全要求》（GB/T37932-2019）、《信息安全技术大数据安全管理指南》（GB/T37973-2019）、《信息安全技术数据安全能力成熟度模型》（GB/T37988-2019）。上述技术规范为数据安全和个人信息保护提供了更加具体的指引。

二、数据合规之多维现状

（一）缺乏全面、完善、明确的法律依据

虽然自2016年《网络安全法》正式颁布以来，我国就加紧脚步探索数据合规领域的法治建设，但是这还远远不够，我国需要加速数据合规领域的更加全面详尽的法律规则制度构建。作为数据领域基础性法律，《数据安全法》主要规定了数据领域的顶层设计和基本制度安排，而众多规则和制度的落地，还有待于国务院、网信办、各部委和各地方出台配套的规范性文件。另外，由于原则性规范具有较大的自由裁量空间，对于某些重要数据或者核心数据安全的保护，如果仅有原则性规范进行保护，可能会构成相应数据安全的巨大漏洞，为实质上的不合规行为留下隐患。

此外，因为《个人信息保护法》将大量决策型功能通过立法方式授权给监管部门，包括规则和标准制定，评估和服务体系建立等，但多数授权条款本身没有特别明确授权的目的、事项、范围、以及被授权机关实施授权决定应当遵循的原则。这虽然在一定程度体现出对“激励相容”的个人数据治理模式的探索，但同时也要看到，近乎“空白授权”的法律机制也容易面临合规风险。[2]

（二）企业内部监管不足与政府外部监管无力的双重困境

近年来，由于数据带来巨大商业价值，大部分企业为了背后隐藏的巨大利益而铤而走险，导致数据安全事件频发，主要表现为App违法违规收集个人信息、未经许可抓取人脸信息、大数据杀熟、个人信息买卖、数据泄露等违法行为，例如网信办在某网约车平台的通报中说明存在“严重违法违规收集和使用个人信息问题”；央视“3.15”晚会曝光某卫浴品牌门店安装了带有人脸识别功能的摄像头，未经同意抓取人脸数据等。

在数据保护与安全方面，我国不断加大执法力度并呈现出常态化的趋势，但从执法活动的主体看，目前没有统一的数据监管部门，而是由各部门单独执法或者多个监管部门联动执法。虽然对数据领域的监管力度不断加强，但政府在开展数据合规的行政执法过程中，也存在权责不清、效率低下的困境。一些地方网络信息安全多头管理问题比较突出，但在发生信息泄露等信息安全事件后，用户又经常遇到投诉无门、部门之间推诿扯皮的问题。[3]另外，从具体措施角度分析，大多数执法主体通过约谈、警告、责令整改、罚款等手段监管各类违法行为，并未将数据合规作为一种激励的手段。

（三）政务数据开放中的个人信息保护欠缺

目前，我国政府数据开放的制度建构采用“中央政策引导、地方立法先行先试的立法路径”，中央政策包括《促进大数据发展行动纲要》和《公共信息资源开放试点工作方案》，地方立法包括《上海市公共数据开放暂行办法》《浙江省公共数据开放与安全管理暂行办法》等。从具体内容上看，我国地方政府数据开放立法倾向于将个人信息权益保护置于较促进个人信息合理利用更优先的地位，对涉及个人信息的公共数据开放实行严格管控。实践中，政府数据安全管理主体分散，法律问责机制缺失，一旦发生数据泄露，对相关责任人的惩处力度不足，往往导致当事人对数据合规问题不重视。

《个人信息保护法》在第二章中用专节的方式设置了“国家机关处理个人信息的特别规定”，区分了国家机关作为个人信息处理者时的特别规范。但是《个人信息保护法》的立法定位是以个人权益保护为中心，通过赋予个人知情权、决定权等个人控制权，经由知情同意规则等私法保护路径规范私主体的信息处理活动。《个人信息保护法》现有的规范框架未考虑到个人信息的公共面向，没有为处于实践探索阶段的政府数据开放制度中个人信息的合理利用预留相应空间。[4]

三、政府责任之多面解析

（一）完善现有法律规范，提供制度支撑

现有的法律体系中原则性、框架性规范太多，而实践性、操纵性规范太少，需要更加详细明确的规则或者标准指引数据合规实践。

1.国家数据安全层面

首先，上级政府需要完善数据分类分级保护制度，并统筹协调有关部门制定全面的重要数据目录，各地方政府需要按照数据分类分级保护制度，确定更小切口的重要数据具体目录；其次，政府需要对国家核心数据制定特殊的、更加严格的管理制度；最后，政府需要同步建立数据安全审查制度，数据安全风险评估、报告、信息共享、监测预警机制以及数据安全应急处置机制。

2.个人数据安全层面

首先，国家机关收集个人信息的范围应当被更严格具体地限制。政府及相关主管部门需要制定不同部门、不同层级、不同情况下收集个人信息的具体范围、具体规则；其次，国家机关对于已经收集到的个人信息、个人隐私应当依法保密。政府及相关主管部门需要制定内部处理、严格保护个人信息、个人隐私的具体流程、具体制度；最后，政府及相关主管部门需要统筹协调有关部门继续推进完善个人信息保护投诉、举报工作机制以及违法责任的细化。

（二）加强行政监管，构建激励机制

由于数据合规管理费用高昂、覆盖面广、专业化程度高，仅靠企业的自身监管是无法完全保障数据安全与数据利用，需要政府作为外界力量进行外部监管。[5]政府需要构建数据合规激励机制，具体包括行政监管激励与刑事激励机制。

1.增加行政许可范围与加强行政处罚力度

其一，增加行政许可的范围。《数据安全法》第三十四条和《个人信息保护法》第三十二条分别规定法律、行政法规规定对于提供数据处理相关服务者和对敏感个人信息规定应当取得行政许可的，应当依法取得许可。随着个别强监管的行业领域数据服务样态与形式的日趋丰富，政府可以考虑将传统经营领域内专门针对数据处理服务模块纳入监管范畴并新设许可事项，例如在个人征信领域内提供相关数据服务需取得许可证或与具有许可证的实体通过协议合作的方式展开。其二，加强行政处罚的力度。首先，鉴于目前数据监管存在多头执法和执法真空的现象，为了有效推进执法工作，应当加强网信办的统筹职能或者设立一个专门的数据监管部门；其次，由于目前我国对于数据违法违规行为的行政处罚力度较低，过低的违法成本无法有效防范企业的数据违规行为，因此可以加大行政处罚力度并将有效的数据合规作为自由裁量的考量因素；最后，对数据安全的执法应有重点、有区分，重点稽查、惩治涉及人民生命健康、财产安全的行业，尽可能做到执法环节的松紧有度。

2.构建合理的激励机制

其一，行政合规激励机制通常包含实体激励和程序激励两个部分。实体激励包含合规免责和合规从宽，具体是指对于违法时已经建立合规体系的企业，行政监管部门对其免于或从轻、减轻处罚。程序激励是指行政监管部门与企业签订行政和解协议，对承诺建立和完善合规体系的企业给予合规考察并暂缓实施处罚。[6]目前，我国仅在《反不正当竞争法》和《证券法》中确定实体激励机制，建议在数据合规领域的相关法律规定中将已经建立合规体系的企业纳入应当从轻和减轻的情形。另外，尝试引入行政和解制度，其中要注意明确以企业具备有效的数据合规制度作为适用条件之一。[7]其二，目前我国的刑事合规业务还处于探索阶段，自2020年以来，在最高人民检察院的推动下，一些地方检察院开始试行刑事合规不起诉的试点工作，对合规不起诉制度的探索能更大程度激励企业进行数据合规。曾在2019年，最高人民检察院发布全国检察机关社会治理类优秀检察建议，其中上海市人民检察院就互联网应用商店对收录软件个人信息保护未履行管理责任问题向某网络科技有限公司制发检察建议，督促企业根据检察建议落实整改。因此，建议检察机关在依法不捕、不诉、减轻量刑等方面积极探索与完善数据合规领域的激励方式。

（三）提高政务数据治理水平，保护个人信息

良好的数据治理可以帮助政府实现更多的数据外部访问与内部共享，但是，在推动政务数据开放共享的过程中，需要同步关注数据合规问题。

1.设立专业的数据管理部门和人员

数据治理涉及技术、管理、法律等多门学科，因此建议从国家层面成立专门的数据治理委员会，地方政府以数据开放平台为中心任命首席数据治理官以及数据开放联络员等专业的机构和人员，专门负责政府数据开放、利用、数据安全风险评估、个人数据保护等[8]。同时，加强数据安全组织文化建设，提高专业人员数据素养，追究相关责任人的法律责任。

2.设置个人信息差异化保护体系

政府数据开放包括多种开放类型,不同开放类型下个人信息的种类、个人信息保护的重点、相应的个人信息处理者保护义务均不同。政府数据开放中个人信息保护的核心原则为根据个人信息的不同识别能力设置相应的信息处理活动规制手段,具体可以参考《信息安全技术个人信息去标识化效果分级评估规范》（征求意见稿）的分级，将聚合数据、重标识风险可接受数据两类重标识风险较低的个人信息纳入完全开放范围，将能直接识别主体的数据和消除直接标识符的数据这两类重新识别风险较高的个人信息通过有限开放予以保护利用。[9]除此之外，应尽快出台法律或行政法规级别的政府数据开放的相关立法，从而为政府数据开放中的个人信息处理行为提供合法依据。