互联网企业的数据合规制度构建研究

□ 文 彭家阔

0 引言

在数字经济背景下，数据成为社会发展的基本生产要素之一，也是互联网企业业务开展的重要依托。在数据价值显现的同时，企业在数据收集、存储、加工、流转等流程中的合规风险也逐渐凸显。数据合规制度建立不仅是企业承担起社会责任的外在要求，也是企业作为社会治理多元主体之一的内在追求，更是企业避免刑事和行政制裁风险的现实需要。因此，在现有法律框架下探索构建一套行之有效的数据合规制度成为必要。

1 问题的提出：数据合规风险的缘起

自2000年以来，互联网企业在中国如雨后春笋般不断萌发、成长、壮大，使得我国在互联网技术和数字化建设方面处于世界第一方阵。自党的十八大以来，数据愈来愈成为人们生活中必不可少的新型生产要素。社会数字化的不断扩张、下沉并逐渐应用、渗透到人们生活的各方面，使得每个自然人都成为庞大的数据“持有者”，从一个具体的“物理人”变成“数字人”。而这些海量数据，不论是“私密数据”或是“公共数据”，很多由各大互联网企业巨头掌握。一些学者甚至主张数据是新世纪的“新型石油”，是拉动经济增长的另一驾马车。“十四五”规划纲要提出推进数据跨部门、跨层级、跨地区汇聚融合，统筹数据的开发利用。这些顶层设计成为我国在数字化、信息化转型升级中的信标灯。与此同时，数据作为一种关键的虚拟核心生产要素被互联网企业通过算法等技术深度开发，随之而来的则是一次次大规模数据泄漏事故。数据安全问题日益凸显。例如，2021年6月在商丘市公开的一份判决书显示，有两名犯罪分子通过网络爬虫，爬取盗走淘宝近12亿条数据。从2009年《刑法修正案》（七）将侵害公民个人信息的行为进行刑事归罪，到2021年我国《数据安全法》的颁布确立了各方主体的数据保护责任。这一系列关于数据安全的法律规范，不仅涵盖了大量的行政法规和部门规章，还涉及众多刑事法规，从而衍生出互联网企业数据合规需求。

2 互联网企业履行数据合规的风险和现实考量

数据作为国家基础性战略资源和数字经济的关键生产要素。无论是在数字导向型企业还是传统工业型企业，都在深度使用数字技术，实现企业业务的发展。数据已然同企业的进步发展捆绑交织。互联网企业在掌握着海量数据的同时，必然也面临着自身技术限制或是外界网络攻击的现实风险。网络的跨境性、快捷性以及放大效应，也极大可能给个人、社会、国家带来数据安全风险。而不论是从企业社会责任、社会多元治理体系还是企业法律风险回避等角度来看，互联网企业数据合规制度建设都具有现实紧迫性。

2.1 数据泄漏风险加剧下互联网企业社会责任的呼吁

在数字化社会，互联网企业所掌握的海量的个人数据和公共数据，往往关乎公民个人数据信息安全、公共利益乃至国家安全利益。如何合理规制并确认互联网企业在数据安全保护方面所要承担的企业责任是我们无法回避的课题。在传统的公司法和经济学领域视阈下，根据企业的逐利属性，对企业的社会责任只要求高效地利用资源生产产品和提供相关服务，坚持利益为导向。但随着社会进步和纵深发展，传统的企业责任理论内涵与外延与社会现状不相适应。企业在追求利益最大化的同时承担起相应的社会责任成为现实呼吁，新的企业社会责任论也应势而生。企业社会责任观点从亚当·斯密古典经济学理论中单一的经济责任嬗变为现今的多维度社会责任理念。在数据贸易日益繁荣的当下，互联网企业掌控的数据已经成为企业最具价值性的虚拟核心资产。与此同时，互联网资本的无序逐利行为也给数据安全带来挑战。从个人来看，个人数据的随意收集以及被泄漏与滥用事件层出不穷，利用非法收集的个人数据对用户进行画像也侵犯个人隐私等人格权益。对国家而言，以数据为“燃料”的数字经济已经成为我国经济发展的“新引擎”，且跨境数据贸易交易量也在不断攀升，大量互联网企业掌握的关乎国家安全、发展利益的数据出境安全问题也成为一个新的规制难题。因此，要实现个人与国家的数据安全亟须互联网企业承担起相应的社会责任，要求其在获取数据红利的必须同时将数据合规作为其承担社会责任的核心内容。提升企业的数据合规意识，将数据合规落到实处，并把数据合规作为当下互联网企业承担社会责任的新内涵，是新时代赋予互联网企业的新要求。

2.2 网络犯罪不断攀升下互联网企业作为多元治理主体的要求

近年来，网络财产诈骗案件攀升，而诈骗团伙非法获取的被害人详细信息，大多都来自互联网企业泄漏的个人数据而后由诈骗团伙买入。因此，加强掌握大量数据的互联网企业的数据合规建设也是从源头消灭犯罪的重要手段，是建设和谐社会的重要方式。进入新时代以来，完善社会治理能力体系和治理现代化成为社会改革的一大热点，而创新社会治理方式是实现多元社会治理的重要路径。随着近年来网络犯罪率的不断攀升，公安部门也意识到在防控数据网络犯罪时需要多方主体协作才能高效地打击犯罪，鉴于此，提出了由网络平台、公安机关、网络安全技术企业三方组成的网络生态治理体系。在社会治理的多元化体系中，掌握大量数据的互联网企业进行数据合规治理不仅仅有利于企业实现良性发展，也是其参与构建多元社会治理体系的关键举措。

2.3 互联网企业权力扩张下触法甚至触刑风险的提高

随着数字化、智能化的不断深入，互联网企业不断利用数据、算法开发各种新兴应用。对于互联网企业来说，数据就是生产力，其推出的移动终端程序、互联网平台都凭借着获取的数据而向用户提供着个性化服务而实现增长。于是，其在规定的各种用户隐私政策中通过简单的“告知-同意”规则向用户索取数据并利用非脱敏数据进行数据挖掘、分析、训练算法，侵害用户的数据权益，从而产生“权力”异化并导致数据合规风险。互联网企业收集超出企业实际运营需要的数据、改变适用原使用范围等情况下，即便用户同意，也是不合规的非法行为。一旦数据发生泄漏，互联网企业可能涉嫌违法，承担相应的行政或刑事责任。因此，建立数据合规体系成为消弭企业法律风险的有效事前干预手段。

3 数据合规具体展开

在数据安全保障的法律法规体系下，存在大量行政法律以及部门规章，由此就引出了互联网企业数据合规中的行政合规和刑事合规问题。

3.1 数据合规之行政合规

数据合规中的行政合规主要是指企业在进行数据的收集、存储、加工以及管理等活动符合行政法规要求。其主要环节包括个人数据的收集、存储、访问与开发、个人数据委托处理、共享、转让、删除、数据出境以及数据危机处理等。对于互联网企业而言，数据符合行政部门监管规定是其在数据合规建设问题中的首要问题。但大多数互联网企业更重视对数据的开发和利用，强调企业利益，忽视数据的个人属性和国家利益属性，被动地接受行政机关的数据安全行政监管，从而导致重大数据安全事故。因此，作为掌握庞大数据的互联网企业，应当抛弃旧有观念，将数据安全问题与企业利益并重。

3.2 数据合规之刑事合规

数据合规概念中的刑事合规主要是指企业在进行数据的收集、存储、加工以及管理等活动中符合刑事法律法规之要求。相较于数据合规的行政合规，数据合规的刑事合规问题往往更加重要，因为这会涉及企业的生死存亡和企业高级管理人员的刑事责任承担，可能会触犯的罪名主要有：侵犯公民个人信息罪、拒不履行网络安全管理义务罪、侵犯商业秘密罪、关于国家秘密犯罪等。

4 针对互联网企业的数据合规制度思考

随着数据安全领域“强监管”的到来，掌握大量数据信息的互联网企业数据合规制度的建构成为必要，根据我国现有的《民法典》《侵权责任法》《行政处罚法》《个人信息保护法》《数据安全法》《网络安全法》《信息网络传播权保护条例》、国家标准性文件《个人信息安全规范》以及《信息安全技术公共及商用服务信息系统个人信息保护指南》《互联网电子公告服务管理办法》等法律法规、标准作为规范指引，笔者认为，互联网企业的数据合规制度应当从以下几个方面进行建构。

4.1 组建独立的数据合规部门及流程制度

企业若要形成一套行之有效的合规制度，组建独立的数据合规部门十分必要。该部门必须在公司内部管理中享有相对独立的内部合规审查权，才能让数据合规管理更高效，也更有利于企业数据安全责任的落实与追责。其次，数据合规部门组建时，设置合理的流程体系也至关重要，通过流程设计将数据按照数据流转顺序的不同，分解给不同的部门、岗位。从而通过数据流转流程实现数据溯源治理，并将管理制度中规定的权限、责任进行具体落实。

4.2 建立首席数据保护官负责制

若一个国家甚至部门体系想要实现高效的运转，管理“核心”的设置至关重要，这个核心不仅享有更大的权力，同时也应承担更多的责任。故落实企业首席数据官负责制，成为现行法律体系下企业数据治理最佳手段。不论是域外的《通用数据保护条例》（GDPR）还是国内的《数据安全法》《个人信息保护法》都要求建立数据信息安全的负责人制度，但并未提及“数据保护官”的具体地位。在笔者看来，应当在互联网企业管理架构中中独立设置首席数据保护官，由董事会进行选举、任命并能列席董事会、行使表决权，且“董监高”不得兼任，从而保障其独立行使职权。

4.3 建立分类分级数据保护合规制度

在现有法律框架下，不同等级、类别的数据享有不同的保护措施以及违法处罚规定，故企业在进行数据合规时应当根据现行法规将所掌握的数据进行再分类分级，强化落实保护责任，从而避免合规风险。具言之，可将法律规定的非核心数据在企业内部再分为个人数据、非个人数据。其中，个人数据又可以分为敏感个人数据和非敏感个人数据，非个人数据可以将其具体细分为政府数据以及企业数据等，或根据企业所处的行业、领域做出针对性的分类，便于公司内部管理。公司加工得到的脱敏数据也应进行分级分类存储。

4.4 建立定期开展数据合规检查制度

互联网企业产生合规风险，主要是因其并未定期开展内部数据合规检查而导致，故企业应当结合自身经营情况，定期开展所持有数据全流程检查活动，排查出合规风险并及时予以纠正。本环节建立的关键是要首先落实以上三步，通过在组织和人员两方面对数据合规制度进行保障，由此才能开展定期的数据合规自我纠察。同时可探索建立网络巡查机制，通过计算机网络的自动预警来辅助人力纠察，从而形成完善的数据合规检查机制，达到法律法规要求的数据合规义务，有效避免行政以及刑事数据合规风险。

4.5 建立数据流动以及数据出境汇报制度

在总体国家安全观的指引下，数据安全已然成为国家安全的重要组成部分，而掌握着海量数据的互联网企业成了维护国家数据安全的重要一环。故企业应根据法律法规准确评估自身拥有数据是否属于关键信息基础设置运营者，建立数据流动和出境审查制度，时刻关注数据出境安全管理办法的规范更新情况，配合相关行政部门审查。总体而言，应当要求在境外的数据处理者处理我国境内的自然人数据或者在跨境集团内部传输的场景中，应该由境内特定机构或者跨国集团内部一方向政府相关部门申请认证。具体的申请认证规则应要求境内或者境外的数据处理者与境外接收方签订法律协议（如数据处理协议或承诺函）、遵守统一的数据跨境处理规则，并做好双方的组织管理、数据保护影响评估、数据主体权益保障等事项。只有在认证获批后方可在法定或者约定范围内进行数据跨境传输。

5 结束语

随着数智化水平的不断提升，我们将生活在一个被数据包裹的世界，每个人都会成为数据的生产者、携有者以及权利归属者。数据已然具有个人资产属性，而我们产生并拥有的海量数据将会被互联网公司所掌握并进行开发利用，如何保护数据安全成为当下必须关注的问题。因而，互联网企业进行数据合规制度建设不仅是企业基于自身利益所必须，也是保障个人数据安全和国家安全的需要。本文在现有法律框架下提供一条互联网企业数据合规制度构建路径。但并未深入分析国内外互联网企业数据合规现状，还存在欠缺。在多元主体社会治理体系指引下，构建制度化的互联网企业数据合规机制、高效化的数据处理流程体系，不仅是确保互联网企业长远发展利益以及避免行政处罚和刑事风险的必要准备，更是积极承担社会责任的重要体现。