数据资源“入表”在即,企业更需筑牢数据合规防线。但企业主企业购买数据、获取数据到底是否合法合规,入表如何防范合规风险?上周三,亿信华辰邀请到北京鑫诺律师事务所高级合伙人、管委会副主任武婕将和大家分享《数据入表法律合规实务和实施路径建议》,解答企业主为什么要做数据合规以及如何防范数据合规风险等关键问题。
01为什么要做数据合规
1.数据合规是启动数据资源的先决条件
今天是在数据资产入表的背景下讲数据合规,其实数据合规和数据入表是独立的两件事。
数据入表是今年的新政策,拥有数据资产的企业都很开心,但早在几年前,就出现很多与此相关的词,比如数据登记、数据流通、数据交易等。之前市场上数据交易实际非常活跃,只是在没有交易所的时候没有公开。很多企业之间已经形成了很成熟的数据的交易与流通。数据合作、数据入场,甚至近几年全球关注的数据出境,都是数据交易领域的发展和延伸。
但未来无论你手上有多少有价值的数据资产,只要想让企业的资源去完成对外的,不管是交流、买卖还是出境,就必须先完成数据合规,否则可能触及一些法律红线。数据合规是启动数据资源的先决条件。在数据入表的政策背景下,也能看到数据入表的第一步也是数据合规,只有完成了合规,才能将数据在财务报表上进行价值体现。
2.三部立法开启数据监管与合规新时代
数据合规第一点就是确认数据来源的正当性。完成正当性的确认,才拥有相应的数据权利,才能进行相关处理。以前数据没有法律法规,没有被定性,也无法确定它到底合不合法,但现实中也被使用着,确实也能带来很多收益。但一旦想让它稳定地在市场中流通,它的权属是必须明确的。数据合规在具体实务中,关键的其实都是数据来源的审查。
2021年有三部重要的法律完成了立法工作:《网络安全法》、《数据安全法》和《个人信息保护法》。这三部法律正式确定了数据相关法律框架,也是法律合规的基本依据。
《个人信息保护法》非常重要,是具体指导数据合规和企业日常使用数据的法律。这个立法是因为目前数据市场还未完全建立起来,无法自上而下的立法,所以就选择了一个最简单最实用的方法,就是自下。先去设立一些红线和底线,把红线设立完后,对于红线之外能干的目前是空白状态,在这样的法律框架下,目前还是处在一个比较灵活的空间。《个人信息保护法》70多条,其核心内容就是为什么要做数据合规,就是把手上这些拿过来的数据做合法性的确认,确认是合法来源,是属于企业拥有的数据资产。个人同意是数据合规里很重要的一部分,因为需要保护的数据大部分是个人数据,目前企业大部分走的是不正当竞争的立法范畴。
《个人信息保护法》第四条明确指出“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。什么是匿名化处理,就是尽管拥有很多个人数据,但始终看不到数据最后能够绑定的是哪个个人。也就是说如果公司自己有匿名化处理专业技术,在目前法律下是可以自由使用这些数据的。所以只要不触碰法律明确规定的红线,企业在做数据相关的业务时就没太大风险了。只要企业的数据是获得了合法授权,并明确后面怎么用,就基本上没有太大法律问题。
《个人信息保护法》是数据合规的根本。这部法的发条和要义较多,主要梳理了7大核心权利:知情同意权、撤回权、公开权、查阅复制权、删除权、有权知晓信息处理者的相关信息、自动化决策控制权。知情同意权是如果企业有了相关的数据,但在未经个人同意的情况下,是不太能动这些数据的。还有一个很重要的是撤回权,比如我作为用户把一部分信息给到了APP、公司或平台,但我可以随时撤回,如果我要求撤回授权,那平台就不能再拿着这个数据进行相应开发。
3.数据资源具有特殊性
(1)权属不清
数据资源区别于一般的动产、不动产、现金,它具有一个很大的特殊性,即权属不清。比如很多互联网企业拥有很多数据,但此数据到底是属于提供数据的个人还是属于企业呢?毕竟数据是企业收集、开发、应用的。传统资产的权属肯定是能说清楚的,哪怕是约定共同拥有、按份拥有,它也都是能明确的。唯独数据资产权属目前全球都没有一个精准的概念。
关于数据资源的权属,有一个三权分置的划分方式:数据资源的持有权、数据加工使用权和数据产品经营权。如果企业没有完成数据合规,对于权属没有精准确定的话,数据资产后续无论是入表确认还是资产交易,都无法继续进行。
(2)高敏感性和高后果性
因为目前数据相关的法律不多,但违反这些法律的后果是超出很多企业想象的,尤其是《个人信息保护法》。
比如现在网信办会定期对所有平台进行轮查,大概是每三个月做一次合规审查的通报。而且目前行政监管非常严格,民营企业、事业单位和政府部分全都在监管范围内。比如某市的交管部门因为交管APP涉及到过度采集而被罚款。
数据相关的刑事责任在法条里有将近10条罪名,其中最常见的就是侵犯公民个人信息罪。大概从2018年开始,全国做了很多大范围针对贩卖个人数据的专项整治活动,现在每年定期国家在全国范围内也会开展相关专项活动。
现在对数据领域的监管叫做越来越严,司法圈里也能明确感受到每年的变化,比如案例增加、法律解释精细度提升等。而现在很多企业主或者平台方,手上拿着很多数据但却没有相关的敏感性。举个身边的例子,有个小姑娘前阵子被抓了,起因就是她以前也是在相关数据推送的公司工作,可能是从私下的网站或者是别人手上拿到了大概7万条公民个人的身份证号信息,她就在某个群里说了一下这个事然后说有兴趣来找我,后来被人举报,被判了一年多。这是一个很小的例子,企业更不用说,每年因为相关问题被抓的特别多。
4.数据合规一把手负责
目前在数据相关法律中有一个不同于其他领域的特殊立法,即数据合规一把手负责制。企业完成数据合规的第一步就是要设计专门数据合规负责人岗位,整个岗位建议直接的法定代表人或者主要管理者来担任。因为一旦出现违规情况,不仅企业会受罚,企业相关责任人也会负一定责任。
02怎样做到数据合规
我们结合上海数据交易所、深圳数据交易整理的数据合规内容,给大家搭建了一个数据合规实施框架。
1. 主体合规
这一部分主要看企业是不是合法主体,是否具备相应的合规经营能力。只要是正常经营主体,具备相关备案和证书,比如电商需要有EDI经营许可证、涉及到区块链新兴技术的企业需要有相关区块链的备案等,这其实也属于网络安全范畴。
2. 数据内容合规
目前这块的审查没办法做到特别业务化、特别具体,它整体是看数据内容本身是否设计国家机密、公共数据等,是否有侵犯他人权益,以及内容本身会不会带违法性的内容。
3. 数据来源合规
这是数据合规过程需要耗费较长时间的部分。数据来源合规是数据合规框架里的重中之重。因为来源是目前法律重点考量和审核的地方,只要将来源说清楚,来源不存在问题,那么后续基本也不会出太大问题。
目前数据主要有4个来源:一是收集公开数据,包括爬虫数据;二是自行生产数据,也就是我们自行创造的数据;三是协议获取数据,比如买卖或者合作获取的数据;四是收集个人信息数据。这四个来源中,自行生产、协议获取一般都不会出太大问题,因为来源是合法的;最敏感的是收集公开数据和个人信息数据,因为公开数据中可能包含或者隐藏了个人信息数据。获得个人信息数据没有得到相关个人的同意,或者是否进行了过度收集,比如通过技术窃取用户手机里其他应用的数据、图片或行动轨迹等,这些部分的审核是要花最长时间的。
4. 数据全生命周期合规
个人信息处理的范围,从收集、加工使用、传输以及到最后的删除,全都包含在《个人信息保护法》法律框架内。所以在做数据合规时,也会涉及到数据收集是否合规、数据存储是不是按照相关技术要求存储、是否在规定期限内销毁数据等等。
5. 数据合规管理体系搭建
这一部分也非常重要,要做数据合规绕不开合法性审查。合法性审查就是切片一个时间点,去审查在那个时间点上的主体、数据内容、数据来源等是否合法。合法性审查并不是一个动态的审查,而是一个一个的固态的切片状态。但是在整个合规体系搭建中,企业要动态处于合规状态中,不仅仅靠这种静态的片面审查,而是要有一套完整且合理的管理体系。所以要真正去做数据合规的话,这一块也是目前很多企业做数据合规时头疼的部分。比如某些企业可能一般的管理体系还没完善,再要去单独搭数据合规管理体系还是有一定难度。
数据合规管理体系建设包含的一个重要部分是企业要实现动态的自内而外的合规状态,相应的组织建设必不可少。企业可以结合自身实际情况来进行组织建设,比如对于央国企业和大型企业来说,可能需要成立独立的数据合规部门;对于小型企业来说,那就是专门需要一个专人来负责数据合规事项。组织建设还包括建设完组织后要对相关的人定期进行各种培训,及时更新数据合规相关知识。此外,管理体系建设还包括违规处罚机制、定期审计机制等。要搭建这么庞大的体系确实不容易,数据合规如果要往深了做是可以做到很深的,但至少企业的组织结构上应该是有相应调整的,数据合规不能处于没人管的状态。
第二个很重要的部分就是数据分级分类管理。法律规定所有数据要先完成分级分类管理后才能进行后续使用。这是比较技术的工作,客观来说并不是每一个企业都具有把自己庞大数据进行分级分类和安全管理的一个能力。像亿信华辰这目前就可以提供相应的产品和服务,帮助大家实现数据分级分类和数据治理。
此外管理体系中应有数据全生命周期管理规范、数据安全事件应急响应机制等。
所以简单来说,数据合规是由合法性审查和相关管理体系搭建这两部分组成。企业做数据合规可以列出清单自查,清单可包括有没有明确组织架构、有没有明确部门、有没有明确相关管理、法务等人员配备、有没有指定企业数据安全负责人是谁、有没有定期内部发布相关制度并生效以及定期监督修订管理等。
以上只是数据合规的相关介绍。目前亿信华辰可以为客户提供数据资产入表及数据资产交易等一站式解决方案,包括:咨询规划、数据资产管理、会计审计、法律咨询、安全监管等服务能力。如有需求,欢迎联系~
