大數據環境下企業數據合規發展瓶頸
本文轉自【法治參考】;
本刊記者焦豔整理
近年來,數據服務的場景不斷拓寬,大數據和人工智能等新型技術給人們生活帶來極大便利。數據是資產、數據有價值已經是一種社會共識,與此同時,企業之間的數據流通、數據交易、數據控制者與數據主體之間的合規問題逐漸顯現,學界認為現有規則制度已難以適應不斷髮展的大數據產業,並就企業數據權保護與規制展開討論。
大數據行業面臨的主要問題
周婷婷在《中央財經大學學報》2016年第10期《大數據公司的結構調整:組織與治理維度》一文中認為,數據日益成為組織核心競爭力構建過程中必爭的重要戰略資源,也不再專屬於互聯網企業。通過電子設備、互聯網、物聯網、信息系統等手段,金融業、零售業、物流業、醫療衞生業、傳媒業等都能夠坐擁海量大數據。但大數據集成系統存在着分離識別侵害自由權、關聯分析侵害平等權、技術壟斷侵害知情權以及資源獨佔侵害發展權等諸多問題。大數據產業的發展在未來可能會遇到更多的挑戰,如隱私保護、數據治理等問題。
王慧斌、趙雪冰在《法制與社會》2019年第8期《大數據交易中法律問題的規制》一文中認為,首先,隨着我國的大數據交易量逐年快速增長,伴隨而來的問題是數據權屬歸屬還沒有得到解決。具體涉及:個人數據產權的歸屬、原數據所有權與一系列數據組成的大數據所有權歸屬未能在法律上予以明確,易引發對個人隱私權侵犯的不良社會現象頻繁出現。另外,目前我國針對數據交易主體如何具體分配彼此之間的責任,還沒有明確規定。其次,我國目前還沒有針對數據交易主體之間責任劃分的專門性規定,依靠其他法律規定進行責任劃分也很困難。最後,隱私權範圍不明確,造成難以認定侵犯隱私權,這也造成難以確定交易主體侵犯隱私權的侵權責任,並且也是制約個人隱私數據清洗的因素之一。
大數據公司違規行為的刑法規制
唐稷堯在《山東警察學院學報》2019年第3期《大數據時代中國刑法對企業數據權的保護與規制論綱》一文中認為,從我國當前的法律體系來看,對企業數據權的關注遠遠小於對個人數據權的關注,這在刑法上尤為明顯。作者認為刑法對企業數據保護在犯罪對象方面存在缺位。就刑法條文而言,刑法直接規定數據保護的罪名只有兩個,即第285條第2款規定的非法獲取計算機信息系統數據罪與第286條規定的破壞計算機信息系統罪。從犯罪對象或保護對象來看,作者認為我國刑法對數據的保護體系主要圍繞個人數據、涉及國家秘密的數據展開,刑法用多個專條、規定多種行為類型對這兩類對象予以較為周密的保護,但企業數據則是保護的弱項。
從犯罪手段上看,目前刑法有關數據保護的罪名大致涉及三大類:一是非法獲取、持有類,包括竊取與截取、購買與收受、交換或者其他非法方法;二是破壞類,主要包括篡改、刪除、增加、干擾等方法;三是(廣義的)不法使用類,主要包括出售、向他人提供、通過網絡或其他途徑發佈、泄露等方式。但從分佈狀況來看,刑法就企業數據的保護而言,僅涉及竊取(即非法獲取計算機信息系統數據罪中的“侵入並獲取”)、部分的破壞(即破壞計算機信息系統罪中的“刪除、修改或增加”)和對商業秘密類數據的泄露。面對海量的數據、極速的傳播速度、低廉的傳播成本、日益豐富的數據類型和日益凸顯、不斷被挖掘的數據商業價值以及企業日益增加的數據收集、儲存、整理成本,對企業數據的保護需要進行適當調整。
建立大數據企業合規體系
史晨陽在《金融電子化》2019年第7期《大數據體系下數據安全治理》一文中認為,首先,在大數據背景下,要實現數據安全治理,需要釐清兩個關係。一是大數據治理和數據安全治理的關係;二是大數據體系下的數據安全治理和傳統數據安全治理的關係。對於前者,作者認為隨着對數據資產的高度重視和對個人隱私數據的強監管要求,數據共享越來越頻繁,數據安全領域變得更加重要,成為數據治理領域裏非常突出和核心的子領域。其次,數據治理和數據安全治理都是覆蓋行內外所有類型的數據,實現數據全生命週期的管理,提升數據資產的質量,讓數據資產在安全可控的範圍內使用,併發揮數據的價值。最後,數據安全管理要求的落地,與數據模型設計相結合,做到事前控制,並在數據的採集、存儲、加工和使用流程中實現數據安全管理要求。對於後者,相比較與傳統數據安全管理工作,作者從數據安全治理對象、環境、人員、流程全覆蓋着手,大數據體系下的數據安全治理是和數據日常工作深度結合,在數據的採集、加工、存儲、應用、銷燬等數據流程中提出具體明確的要求,通過管理和日常工作流程的結合,從事前、事中、事後多個維度全面開展數據安全工作。
陳瑞華在《中國律師》2020年第1期《大數據公司的合規管理問題》一文中,談及大數據企業建立合規體系應注意七個具體方面:一是,企業需要根據網絡安全法、刑法規定,制定個人信息保護合規政策,制定員工行為準則,清晰地界定企業經營行為的法律邊界。二是,企業應注意合理限定收集信息的範圍,做到採集內容與產品或服務具有直接關聯性,並將採集的頻率和獲取的數量控制在合理限度內。三是,在數據保存環節,企業應根據實際需要對個人信息做“去標識化處理”,並將去標識化後的數據與可用於恢復識別個人的信息分開存儲,確保在後續的個人信息處理中不再重新識別個人。在傳輸和存儲個人信息時,採取嚴格的加密措施,設置一定的訪問權限。四是,向他人提供公民個人信息,需要遵循:經過被收集者同意、授權;未經被收集者同意,則所提供的信息進行匿名化處理,或者經過處理無法識別特定個人,並且不可復原;確保信息接收方具有合法的使用目的,避免個人信息被用於違法犯罪活動三項原則。五是,對合作夥伴或第三方開展盡職調查,防範違法犯罪風險。六是,在銀行、教育、工商、電信、快遞、證券、電商等行業,內部人員犯罪已經成為監管執法和刑事偵查的重點領域。企業要在技術上對於數據的方位保證可回溯性,以便在發生數據泄露時,能夠通過審查訪問日誌等技術手段來找到對應的泄露人員。七是,企業要建立一套較為完整的個人信息保護合規政策,履行信息網絡安全管理義務。