数据合规｜从数据“三法”出发探索现行数据合规立法架构

作者：刘璐 

前言

众所周知，数字经济已成为21世纪重要的经济形态之一。根据国家统计局发布的《数字经济及其核心产业统计分类（2021）》文件中的定义，数字经济，是指以数据资源为关键生产要素，以现代信息网络作为重要载体，以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力的一系列经济活动。数据作为新型的关键生产要素，交织着个体权利、商业价值、产业发展及战略部署、公共利益、国家安全等诸多因素，属于国家基础性战略资源，其重要性不言而喻。为兼顾数据资源的合理利用和充分保护，自2013年起，国家各部委就开始陆续出台相关规章制度，意在规范处理数据行为，保护数据权利人合法权利。本文以《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》（下文分别简称为《网络安全法》、《数据安全法》、《个保法》）为出发点，系统梳理了我国截至目前已形成的数据法律法规核心架构情况，旨在帮助读者对当今数据立法现状加以了解。

一

数据“三法”——构建核心体系

（一）

《网络安全法》：强调保护网络主权与网络安全

2017年6月1日，《网络安全法》开始施行，该法作为我国网络安全领域的第一部法律，在强调网络运行安全和网络信息安全的同时也囊括了诸多与数据保护、个人信息保护相关的要求，为后续《数据安全法》、《个人信息保护法》等法律法规的出台做了良好铺垫。

1

以法律形式明确全面开展“网络实名制”。《网络安全法》第二十四条规定：“网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。”我国坚持在电信、通讯、银行、金融等生活中不可或缺的关键领域网络服务中施行“后台实名、前台自愿”原则，一旦网络服务使用者触犯法律规定，即可关联后台的实名信息，进而追踪到行为人，该制度很大程度上约束了网络用户的言行，防止其利用网络的虚拟性行不法之事。

2

加强网络运营者的安全义务。伴随着实名制的施行，网络的所有者、管理者和网络服务提供者可以收集到大量的个人信息，可一旦收集的个人信息发生大批量泄漏，将产生无法预估的数据安全风险。据此，《网络安全法》赋予了个人信息所有者一定程度的监督权，同时为网络运营者设置了例如制定网络安全事件紧急预案、留存网络日志不少于六个月、行为禁令、处罚标准等要求。

3

强调维护关键信息基础设施的运行安全。关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的系统和设施，例如公共通信、能源、交通、水利、金融、公共服务、电子政务等等。网络运行安全是网络安全的重心，关键信息基础设施安全则是重中之重，与国家安全和社会公共利益息息相关。为此，《网络安全法》强调在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护，明确关键信息基础设施的运营者负有更多的安全保护义务，并配以国家安全审查、重要数据强制本地存储等法律措施，确保关键信息基础设施的运行安全。

（二）

《数据安全法》：监管数据处理活动

2021年9月1日，《数据安全法》正式施行，与《网络安全法》强调网络空间安全的立法目的不同，《数据安全法》更多的是从监管者的角度出发，对我国境内外的数据处理活动及其安全监管均进行了全面的制度统筹。

1

明确了数据的相关定义和数据安全的规制范围。根据《数据安全法》第三条，数据是指任何以电子或者其他方式对信息的记录，即只要对信息进行了记录记载，无论是否通过电子介质进行存储，均构成该法所指的数据。根据《数据安全法》第三条，数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等各个环节在内的行为总和。

根据以上规定，《数据安全法》对数据的概念规定得较为宽泛，具体落实到企业层面，企业在日常经营过程中产生的企业经营数据（包括因业务而收集到的客户信息、消费过程中产生的交易数据）、企业管理数据（包括财务数据、员工数据）以及企业的研发数据、项目数据等数据类型，均属于《数据安全法》的规制范围。

2

明确了对数据合法合规性要求适用于境内外。根据《数据安全法》第二条，在我国境内开展数据处理活动及安全监管，需适用该法；同时在我国境外开展数据处理活动的，如损害我国国家安全、公共利益或者公民、组织合法权益的，亦依据该法追究法律责任。此条意在表明我国严厉打击世界范围内侵害我国国家及公民数据安全的行为，涉及数据跨境传输的跨国企业应当尤其引起重视。

3

提出企业应落实的数据合规措施。

主要包括以下内容：

（1）加强企业数据保护的制度设计。该法第二十七条规定，数据处理者应当建立健全全流程数据安全管理制度，组织开展相关教育培训，采取相应的基础措施和其他必要措施，保障数据安全。关于保障数据安全的具体标准，企业可以参考全国信息安全标准化技术委员会颁布的《信息安全技术大数据安全管理指南》、《互联网信息服务安全通用要求》、《信息安全技术个人信息安全规范》等国家标准类文件中的规定。

（2）建立风险监测与定期评估制度。该法第二十九条规定，开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，依规及时告知用户并报告主管部门。

（3）企业重要数据出境应当履行行政前置审批手续。根据该法第三十一条，企业在数据处理过程中，如涉及到关键信息或重要数据需要出境的，应当依据《网络安全法》和国家网信部门等国家机构制定的法律法规依法履行行政前置审批手续。

（三）

《个人信息保护法》：聚焦个人信息处理和保护

2021年11月1日，历经三次审议的《个人信息保护法》正式生效，相较于此前散落于《民法典》、《网络安全法》、《消费者权益保护法》等法律的个人信息保护条款，《个人信息保护法》以集中立法的方式，确定了个人信息保护的核心与基本准则。

虽说《个保法》与《网络安全法》《数据安全法》并称为我国数据治理领域的“法律三部曲”，但相较于其他两法，《个保法》更强调法律本身的落地性和可操作性。它借鉴了诸多欧盟《通用数据保护条例》（General Data Protection Regulation,下称GDPR）中的优秀做法，在强调保护个人信息所有者权利的同时，通过增加其他合法性基础场景的方式，为个人数据处理者的个别行为提供了合法性基础，弥补了我国此前数据保护立法中的单一性。同时，《个保法》的大部分条款都规定得十分清晰具体，便于自然人和个人信息处理者理解和使用该法。

1

构建起“个人+信息处理者+监管部门”三重体系。《个保法》第四、五、六章分别规定了个人权利、个人信息处理者义务和责任、监管部门权责。

第一，个人信息主体权利是《个保法》的核心。第四章赋予个人信息主体在信息处理过程中的权利，包括知情权、决定权、查阅权、复制权、可携带权、更正补充权、删除权。其中关于可携带权，是指个人信息主体有权请求个人信息处理者将其个人信息转移至其指定的个人信息处理者，且在符合国家网信部门规定条件的前提下，个人信息处理者应当提供转移的途径。可携带权这一概念源自于欧盟《通用数据保护条例》（GDPR），我国以立法形式明确可携带权，标志着个人信息主体权利的进一步扩大，也体现了国家旨在通过立法赋予个人信息主体对其个人信息的支配权利。

第二，与第四章个人权利相对应，《个保法》在第五章明确了个人信息处理者的法定义务。除了信息处理告知义务、征得同意义务、保障个人信息主体实现第四章所规定的个人权利以外，个人信息处理者还应当通过采取包括但不限于制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的加密、去标识化等安全技术措施、合理确定个人信息处理的操作权限、制定并组织实施个人信息安全事件应急预案等。

第三，为保障个人信息主体权利、督促处理者履行义务，该法第六章明确了监管部门的分工和权限。监管职责部门可以通过例如询问调查、书面审查、现场检查等方式监督个人信息处理者，必要时有权采取查封扣押、要求合规审计等强制措施。

2

扩大了处理个人信息的合法性基础。《个保法》生效前，《网络安全法》将个人信息所有者的“同意”视为个人信息处理的唯一合法性基础，这一规定虽然充分体现了国家尊重和保障个人信息主体权利的立法态度，但却忽略了实务中大量存在涉及签订和履行合同所必需、涉及自然人重大利益和公共利益等多种个人信息处理场景。《民法典》对这方面有所补充，但仅限于已公开信息和维护公共利益、自然人合法权益的情形，仍无法根治个人信息处理的合法性缺失问题。《个保法》第十三条扩大了处理个人信息的合法性基础，除取得个人同意外，为订立或履行个人作为一方当事人的合同所必需、为履行法定职责或法定义务所必需、为应对突发公共卫生事件或紧急情况下为保护自然人的生命健康和财产安全所必需、为维护公共利益所必需、在合理范围内处理个人自行公开或其他已经合法公开的个人信息时，不需取得个人同意即可处理个人信息。

3

加大对违法行为的处罚力度。《个保法》第六十六条设置的高额罚金是该法的威慑力体现。针对违法处理个人信息、未履行个人信息保护义务的个人信息处理者，不再单单采取责令改正、给予警告、没收违法所得、小额罚款等处罚方式，情节严重的，直接由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。同时，该法第六十九条规定了过错推定的归责原则，个人信息处理者需“自证清白”，这对个人信息处理者提出了极高的合规要求。

二

大量配套文件出台，巩固“三法”实施

三法之下，配套的司法解释和指导性意见、行政法规、地方性法规、部门规章、部门规范性文件等陆续发布，各行业领域的纵向标准也不断更新。

以最高院和最高检的动态为例，2021年7月27日，最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》；2021年8月21日，最高检下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》。

以山东省地方立法为例，2021年9月30日，山东省人大常委会发布《山东省大数据发展促进条例》，立足于山东省大数据发展实际情况，对数据交易、数据融合应用、数据安全、数据创新发展等方面作出了具体规定和要求；2022年1月31日，山东省政府公布《山东省公共数据开放办法》，自2022年4月1日起施行，明确了《办法》的适用主体以及重点优先开放的数据范围，旨在规范公共数据开放，保障公共数据安全。

关于纵向标准，以个人信息保护的国家标准为例，国家标准化管理委员会陆续发布了《信息安全技术 个人信息安全规范》《信息安全技术 个人信息去标识化指南》《信息安全技术 个人信息安全影响评估指南》等国家标准化文件，旨在为各行业的信息处理者制订其内部合规制度提供具体依据。又比如工业与信息化部近日印发的《车联网网络安全和数据安全标准体系建设指南》，在汽车这一特定行业，结合行业特点及行业惯例，为汽车企业量身定制符合其自身发展的网络安全和数据安全标准。

三

企业应对建议

企业以“三法”作为出发点，搭建科学全面的数据合规体系，不是一蹴而就的。一方面，多数配套法律法规颁布不久甚至尚在制定中，监管尺度不清晰，对企业的合规指引性尚低；另一方面，司法判例较少，加上数据处理的复杂性，导致企业缺乏成熟可行的实践指引，例如个人信息处理者如何获得个人的有效同意、个人信息所有者如何真正实现“撤回同意”。基于此，我们从以下几方面为企业提出应对建议，希望能够帮助企业逐步推进数据合规建设：

首先，企业要树立正确的数据合规意识，加强对现行数据制度的了解，勿想继续钻数据保护的“漏洞”。如果说《网络安全法》、《数据安全法》对个人信息保护的规定尚不清晰，那么《个保法》及配套各类标准化文件在2021年下半年的集中发布就是填补了这一漏洞。回顾《个保法》颁布以来的监管动态，举几个具有代表性的例子。2022年1月10日，中国人民银行上海分行网站发布的行政处罚信息显示，东亚银行（中国）有限公司因违反信用信息采集、提供、查询及相关管理规定，被责令限期改正并处罚款1674万元，且去年底，香港金管局完成对具本地系统重要性认可机构(D-SIB)名单的年度评估，决定将东亚银行剔出、不再被识别为具本地系统重要性认可机构。由此可以看出，忽略数据保护对于企业的影响不再是单一的行政罚款，而是可能会上升到企业运营资质、名誉等各方各面。又如，2022年2月23日，邮储银行湖南省分行因9项违法行为被中国人民银行长沙中心支行处以187.7万罚款，相关经办人员处以罚款或停职，其中与数据违规的有关的处罚行为包括：未经书面同意查询个人征信信息；未经消费者申请、授权或同意擅自收集、使用消费者个人金融信息办理ETC业务；未按规定履行客户身份识别义务。从目前的执法情况来看，国家对于数据保护已不再是若干年前的“喊口号式”的执法，而是主动出击、严厉处罚，且关联到企业各个方面。因此，企业应当认识到数据合规的重要性，树立数据合规意识，有计划地开展数据合规体系的建设。

其次，正确认识数据合规的概念和范围，勿将数据合规片面地理解为个人信息处理合规。数据合规包含数据安全和数据处理两方面，其中数据安全是指通过采取必要措施，确保数据处于合法利用和有效保护的状态，强调的是数据应当呈现出的状态，是一个静态的目的性概念；数据处理指的是数据“从生到死”的各个阶段，从收集、存储，到使用、加工，再到销毁、删除，是一个动态的过程性概念，二者的结合才能构建起完整的数据保护和合规体系。而个人信息处理合规，是以个人信息为保护对象、以个人信息处理者为监管对象的特定类型信息保护，它是基于个人信息的隐私性而特别设置的专有领域信息保护。个人信息处理合规固然重要，但若将数据合规片面理解为个人信息处理合规，将会忽视例如企业财务数据、研发数据、商业秘密数据等多种类型的数据合规管理，致使企业的数据体系依旧存在风险。

再者，针对跨国企业，务必区分本地化数据和跨境数据路径。由于关系到国家安全及公民个人信息的对外“输出”，《数据安全法》和《个保法》均对数据处理行为实行“长臂管辖”，这就要求国际化企业首先对出境数据作出筛选。考虑数据出境的必要性，将非必要出境的数据划归为本地化数据，这是第一阶段的筛选；对于具有出境必要性的数据，判断其是否属于国家核心数据和重要数据、处理数量是否符合网信办的标准等，作第二阶段的筛选。

最后，建立信息安全突发事件应急机制。信息化企业的运作是靠数据支撑的，一旦发生数据泄露，整个企业都有可能陷入危机。因此，企业应当建立应急机制，包括制定日常的风险识别和筛查、风险报告、应急处理、定期演练等制度，应对各类网络攻击和数据泄露事件的突发。

刘璐律师

个人简介

刘璐，国曜琴岛（青岛）律师事务所实习律师，中山大学法学学士，英国爱丁堡大学法学硕士，具有法律职业资格。

刘律师曾任职于合生创展商业地产公司，对于公司法人治理、商业地产项目建设运营、数据合规等业务具有较为丰富的法律服务经验，可流利使用中文、英文作为工作语言。