肖 瑞

（安徽大學(xué)法學(xué)院，合肥 230601）

1 問題的提出

數(shù)字化時代信息的獲取變得更加便捷，企業(yè)對數(shù)據(jù)的收集和使用也變得更頻繁。企業(yè)在收集和使用數(shù)據(jù)的過程中，雖然給生產(chǎn)活動帶來便利，但同時也會威脅個人信息、商業(yè)秘密以及計算機信息系統(tǒng)的安全，引發(fā)數(shù)據(jù)安全風(fēng)險。[1]計算機軟件系統(tǒng)依賴的各種算法以及代碼難免會存在缺陷和錯誤，形成軟件系統(tǒng)漏洞。這些漏洞易引發(fā)數(shù)據(jù)信息的泄露，也給網(wǎng)絡(luò)攻擊帶來可乘之機。企業(yè)開展涉及數(shù)據(jù)信息的活動時，如果缺少針對數(shù)據(jù)合規(guī)活動的監(jiān)管機制，則無法對數(shù)據(jù)侵權(quán)行為形成有效的預(yù)防和打擊。[2]為防止數(shù)據(jù)侵權(quán)糾紛，降低數(shù)據(jù)安全風(fēng)險，需要對數(shù)據(jù)活動是否合規(guī)進行監(jiān)管，完善數(shù)據(jù)安全方面的立法。

目前，許多國家和地區(qū)通過制定法律法規(guī)加強了對數(shù)據(jù)安全的保護，為企業(yè)開展數(shù)據(jù)合規(guī)活動提供了法律依據(jù)。歐盟的《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱GDPR）體現(xiàn)了對數(shù)據(jù)權(quán)利的持久關(guān)注和日益嚴格的保護。[3]新加坡新修訂的《個人數(shù)據(jù)保護法》以及日本的《個人信息保護法》，都增加了數(shù)據(jù)安全保護規(guī)范，對數(shù)據(jù)合規(guī)提出了更高要求。美國的《網(wǎng)絡(luò)安全框架》加強了數(shù)據(jù)隱私和信息安全的保護。德國的《聯(lián)邦數(shù)據(jù)保護法》中列入了數(shù)字化信息的保護規(guī)范，加強了對數(shù)據(jù)安全風(fēng)險的防范。我國的《民法典》明確了個人的數(shù)據(jù)信息、網(wǎng)絡(luò)虛擬財產(chǎn)的合法性，《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《個人信息保護法》以及《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等不僅對非法采集和濫用數(shù)據(jù)信息的行為加強了打擊，也為數(shù)據(jù)安全治理提供了保障。

數(shù)據(jù)合規(guī)活動雖然有法規(guī)的指引，但由于風(fēng)險類型多樣，并不是所有風(fēng)險都能被及時發(fā)覺和控制，尤其是對特定時期的侵權(quán)行為以及一些境外侵權(quán)行為，合規(guī)監(jiān)管難以開展。數(shù)據(jù)合規(guī)活動除了面臨行業(yè)風(fēng)險和侵權(quán)風(fēng)險外，還面臨多重阻力。而有效的風(fēng)險應(yīng)對措施，不僅對數(shù)據(jù)安全的維護有積極的作用，還能夠提升企業(yè)的數(shù)據(jù)合規(guī)能力。

2 企業(yè)數(shù)據(jù)合規(guī)活動面臨的侵權(quán)風(fēng)險及應(yīng)對

在企業(yè)開展數(shù)據(jù)合規(guī)活動時，不同行業(yè)面臨的風(fēng)險不同，以金融科技、智能汽車、在線教育、電信和互聯(lián)網(wǎng)等行業(yè)為例，不同行業(yè)企業(yè)開展數(shù)據(jù)合規(guī)活動時面臨的風(fēng)險以及應(yīng)對策略詳見表1[4-5]。

表1 不同行業(yè)企業(yè)數(shù)據(jù)合規(guī)活動面臨的風(fēng)險及應(yīng)對策略

由表1可知，不同行業(yè)的企業(yè)開展數(shù)據(jù)合規(guī)活動時，可能面臨的侵權(quán)風(fēng)險主要有：①侵犯個人信息權(quán)。主要表現(xiàn)為：利用手機應(yīng)用程序違法收集并關(guān)聯(lián)用戶的個人信息賬戶；網(wǎng)絡(luò)平臺設(shè)定強制性的條款，如規(guī)定用戶若拒絕提供個人信息，則不得使用相應(yīng)的手機應(yīng)用程序等；網(wǎng)絡(luò)經(jīng)營者違法披露用戶數(shù)據(jù)信息；數(shù)據(jù)處理者未設(shè)置保護措施，加大了數(shù)據(jù)侵權(quán)風(fēng)險。應(yīng)對策略有：對企業(yè)利用手機應(yīng)用程序?qū)嵤┑那謾?quán)行為加大打擊力度；破除企業(yè)不公平的條款，明確對拒絕提供個人數(shù)據(jù)的用戶依然要提供基礎(chǔ)性服務(wù)；手機應(yīng)用程序需要設(shè)置數(shù)據(jù)“保護屏”，防范企業(yè)的數(shù)據(jù)侵權(quán)風(fēng)險。②侵犯商業(yè)秘密權(quán)。企業(yè)既可能是侵犯商業(yè)秘密的主體，也可能是被侵犯的對象，主要表現(xiàn)為企業(yè)內(nèi)部掌握商業(yè)秘密的人員因不同原因?qū)е碌男姑?。?yīng)對策略主要為加強商業(yè)秘密數(shù)據(jù)的民事、刑事以及行政方面的交叉保護，尤其需要關(guān)注《刑法修正案（十一）》對侵犯商業(yè)秘密罪刑事入罪標準、責(zé)任認定標準的修改，降低侵犯商業(yè)秘密罪的入罪門檻和裁判難度，有效地遏制和打擊侵犯商業(yè)秘密的行為。[6-7]③侵犯消費者權(quán)益。主要表現(xiàn)為：網(wǎng)絡(luò)購物中的“大數(shù)據(jù)殺熟”現(xiàn)象，例如同一商品會員用戶會比普通用戶看到的價格高；“默認自動消費”的格式條款侵犯了消費者的權(quán)益；數(shù)據(jù)信息的采集者和處理者濫用大數(shù)據(jù)分析消費者的消費傾向，侵犯了消費者的隱私。應(yīng)對策略有：加強《個人信息保護法》《網(wǎng)絡(luò)安全法》的司法踐行力度，不得對收集的數(shù)據(jù)隨意進行算法分析；要求企業(yè)對涉及消費者權(quán)益的信息進行事前告知和警示；加強對消費者隱私權(quán)的保護，嚴厲打擊數(shù)據(jù)濫用現(xiàn)象。④侵犯公平交易權(quán)。主要表現(xiàn)為：數(shù)據(jù)處理者與數(shù)據(jù)主體的信息不對稱；非面對面交易中，企業(yè)掌握數(shù)據(jù)處理的技術(shù)，數(shù)據(jù)主體往往處于弱勢地位，數(shù)據(jù)的公平交易權(quán)常受到侵犯；現(xiàn)實交易活動中，市場準入的限度較低，缺乏對數(shù)據(jù)收集企業(yè)的資質(zhì)認證。應(yīng)對策略有：企業(yè)在開展數(shù)據(jù)合規(guī)活動過程中，應(yīng)保障數(shù)據(jù)主體的知情權(quán)；在數(shù)字化交易中，及時在事前、事中、事后進行數(shù)據(jù)溝通，改善數(shù)據(jù)主體缺少技術(shù)知識的不利地位；提高市場準入門檻，加強對企業(yè)的資質(zhì)認證。⑤侵犯信息網(wǎng)絡(luò)安全。信息網(wǎng)絡(luò)安全領(lǐng)域的數(shù)據(jù)合規(guī)活動，存在民事、刑事方面的侵權(quán)風(fēng)險：非法采集、存儲以及刪除計算機信息系統(tǒng)中的數(shù)據(jù)，可能會涉罪；破壞計算機系統(tǒng)的處理以及傳輸設(shè)備，干擾網(wǎng)絡(luò)正常運營，可能會構(gòu)成“破壞計算機信息系統(tǒng)罪”；黑客攻擊以及員工泄密，都可能會威脅信息管理活動的正常運行；網(wǎng)絡(luò)安全管理者管控不謹慎，也可能引發(fā)侵權(quán)現(xiàn)象。應(yīng)對策略有：企業(yè)在信息網(wǎng)絡(luò)安全領(lǐng)域進行數(shù)據(jù)合規(guī)活動時，除了防范民事侵權(quán)風(fēng)險外，還要打擊刑事犯罪；加強網(wǎng)絡(luò)安全管理者的數(shù)據(jù)監(jiān)管權(quán)能，嚴厲打擊信息泄露行為；對于企業(yè)拒不改正數(shù)據(jù)侵權(quán)的行為，情節(jié)嚴重的，以拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪處以刑罰。

3 企業(yè)數(shù)據(jù)合規(guī)活動面臨的阻力

我國目前關(guān)于數(shù)據(jù)合規(guī)的法律依據(jù)已經(jīng)建立，數(shù)據(jù)安全法律體系的建立也指日可待，但是企業(yè)在開展數(shù)據(jù)合規(guī)活動時，除了存在行業(yè)風(fēng)險和侵權(quán)風(fēng)險外，還會面臨多重阻力。

1)數(shù)據(jù)合規(guī)動力不足。事后調(diào)查和訴訟活動是侵權(quán)行為發(fā)生后的救濟手段，是被動的數(shù)據(jù)合規(guī)措施，而事前的風(fēng)險防范和數(shù)據(jù)安全保障措施的建立，屬于主動的數(shù)據(jù)合規(guī)措施。[8]主動合規(guī)相較于被動合規(guī)，不僅能夠降低成本，也能夠提高數(shù)據(jù)處理者的安全防范意識。但是數(shù)據(jù)侵權(quán)所得的利益是具體的、明確的，而事前數(shù)據(jù)合規(guī)的效果具有不確定性以及長期性，侵權(quán)所得效益與合規(guī)效果之間存在一定的時間差，以致侵權(quán)獲得的現(xiàn)實利益與數(shù)據(jù)合規(guī)的長遠利益存在激烈的沖突。而且在高昂的數(shù)據(jù)合規(guī)成本壓力下，企業(yè)開展合規(guī)活動的動力明顯不足，事前數(shù)據(jù)合規(guī)的積極性更難調(diào)動。以跨境數(shù)據(jù)合規(guī)為例，在跨境信息流動過程中，由于缺乏統(tǒng)一的數(shù)據(jù)流動規(guī)則，面對各個國家不同的立法規(guī)范，可能會出現(xiàn)各種法律風(fēng)險，而現(xiàn)階段建立統(tǒng)一的數(shù)據(jù)流動規(guī)則尚不可能，因此，事前進行數(shù)據(jù)合規(guī)可以預(yù)防各種數(shù)據(jù)侵權(quán)風(fēng)險。但是數(shù)據(jù)合規(guī)需要技術(shù)、資金等的支持，而企業(yè)在經(jīng)營活動中會盡力壓低成本，特別是在司法行政機關(guān)缺乏數(shù)據(jù)合規(guī)的硬性要求的情況下，企業(yè)一般不會對尚未發(fā)生的風(fēng)險主動開展事前防范，這就導(dǎo)致跨境交易中依然存在較大風(fēng)險。

2)專項合規(guī)計劃對過程性侵權(quán)行為的打擊不夠。數(shù)據(jù)合規(guī)具有防范風(fēng)險和保護信息的功能，但具體如何防范風(fēng)險和開展保護工作，需要建立專項的數(shù)據(jù)合規(guī)計劃，而我國目前缺乏相關(guān)經(jīng)驗。西門子公司反海外賄賂合規(guī)計劃是專項合規(guī)計劃的樣本，中興公司貿(mào)易制裁案改變了我國以往大而全的合規(guī)計劃，專項數(shù)據(jù)合規(guī)計劃開始制訂。[9]中興公司事件之后，我國企業(yè)特別是大型的跨國企業(yè)，開始探索數(shù)據(jù)合規(guī)方面的專項計劃，為了防止數(shù)據(jù)侵權(quán)風(fēng)險，開始在工作的各個環(huán)節(jié)注重合規(guī)能力的培養(yǎng)。但我國數(shù)據(jù)合規(guī)的專項計劃強調(diào)對侵權(quán)結(jié)果的打擊，忽視對合規(guī)過程中各種侵權(quán)行為的打擊。侵權(quán)結(jié)果是以侵權(quán)行為為前提的，行為是過程性的，結(jié)果是終結(jié)性的，如果能夠有效預(yù)防過程性侵權(quán)行為，就能避免侵權(quán)結(jié)果的發(fā)生。但無論是中興公司的專項數(shù)據(jù)合規(guī)計劃，還是其他大型企業(yè)的數(shù)據(jù)合規(guī)活動，都缺乏對過程性侵權(quán)行為的打擊，在一定程度上也就無法避免侵權(quán)結(jié)果的發(fā)生。

3)部門之間缺乏監(jiān)管協(xié)同。我國目前處于數(shù)據(jù)合規(guī)的初始階段，并沒有設(shè)立數(shù)據(jù)合規(guī)的專業(yè)監(jiān)管部門，對數(shù)據(jù)合規(guī)的監(jiān)管尚需各部門協(xié)同聯(lián)動，但在聯(lián)動監(jiān)管過程中，不同的部門常常存在協(xié)作度不高的現(xiàn)象。對于事前預(yù)防性的數(shù)據(jù)合規(guī)，因為風(fēng)險尚未發(fā)生，協(xié)同監(jiān)管機關(guān)對此階段的監(jiān)管也就不夠重視。即使出現(xiàn)了侵權(quán)結(jié)果，相關(guān)監(jiān)管部門也難以進行聯(lián)動監(jiān)督，以致出現(xiàn)各部門按照各自的規(guī)則對侵權(quán)事件進行打擊的現(xiàn)象，甚至?xí)霈F(xiàn)同一侵權(quán)行為被重復(fù)處罰的現(xiàn)象。

4)第三方數(shù)據(jù)合規(guī)責(zé)任不明。數(shù)據(jù)合規(guī)不僅是法律問題，也是技術(shù)問題，企業(yè)制訂數(shù)據(jù)合規(guī)計劃時，除了需要具備法律知識，也需要儲備一定的技術(shù)知識。因此，企業(yè)在開展數(shù)據(jù)合規(guī)活動時，如果缺乏法律和技術(shù)知識，還需要第三方服務(wù)者提供幫助，比如律師事務(wù)所、會計師事務(wù)所、合規(guī)師事務(wù)所，甚至需要聘請專業(yè)的科研團隊。而企業(yè)與第三方服務(wù)者共同開展數(shù)據(jù)合規(guī)活動時存在一個突出的問題，即數(shù)據(jù)合規(guī)責(zé)任究竟是由企業(yè)承擔(dān)，還是第三方服務(wù)者承擔(dān)，抑或是雙方共同承擔(dān)？這一問題不僅涉及行業(yè)區(qū)別，司法實踐中也缺少可以作為參考的案例。

5)法律指引不充分。對于數(shù)據(jù)共享和數(shù)據(jù)保護方面的侵權(quán)行為，專門領(lǐng)域法規(guī)的制訂不僅能夠防范尚未發(fā)生的侵權(quán)風(fēng)險，也能夠有效打擊已經(jīng)發(fā)生的侵權(quán)現(xiàn)象。而我國出臺的《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《個人信息保護法》等法律規(guī)范，雖然可以作為數(shù)據(jù)合規(guī)的法律依據(jù)，但是這些法規(guī)并非數(shù)據(jù)合規(guī)方面的專門立法，無法為數(shù)據(jù)合規(guī)提供具體明確的指引。因此，從整體上來看，我國數(shù)據(jù)合規(guī)方面的立法依然是滯后的，尤其在數(shù)字化時代，面對復(fù)雜的網(wǎng)絡(luò)營商環(huán)境，在缺乏專門合規(guī)法規(guī)指引的情況下制訂的數(shù)據(jù)合規(guī)計劃既無法應(yīng)對各種潛在的數(shù)據(jù)侵權(quán)風(fēng)險，也無法對已經(jīng)發(fā)生的數(shù)據(jù)侵權(quán)行為形成有效的打擊。

4 企業(yè)開展數(shù)據(jù)合規(guī)活動的策略

4.1 主動開展事前數(shù)據(jù)合規(guī)

通過激勵機制激發(fā)企業(yè)主動地制訂數(shù)據(jù)合規(guī)計劃，防范數(shù)據(jù)風(fēng)險，進而提高企業(yè)事前數(shù)據(jù)合規(guī)的積極性，一定程度上能緩和侵權(quán)所得效益與合規(guī)利益的沖突。[10]相關(guān)激勵機制的建立可以從兩個方面展開：

1)行政監(jiān)管機制。數(shù)字化領(lǐng)域的行政和解可以通過制訂有效的數(shù)據(jù)合規(guī)計劃達成。2015年中國證監(jiān)會開展行政和解試點工作之后，直到2019年才出現(xiàn)了第一個行政和解執(zhí)法案例。雖然時間間隔較長，和解結(jié)果也缺乏公開性和透明性，但該案行政和解的相關(guān)公告表明，相關(guān)公司采取的數(shù)據(jù)安全措施有利于加強內(nèi)部監(jiān)管，在一定程度上預(yù)防了數(shù)據(jù)侵權(quán)行為。

2)刑事機制。有關(guān)數(shù)據(jù)合規(guī)活動的刑事機制在我國目前尚處于初探階段，有效主動的數(shù)據(jù)合規(guī)計劃是從輕處罰的事由，企業(yè)據(jù)此可以獲得不被起訴或者無罪的處罰結(jié)果。我國企業(yè)刑事合規(guī)經(jīng)歷了兩個階段：第一個階段是2020年3月份開展的第一批相對不起訴的試點工作，在數(shù)字化領(lǐng)域表現(xiàn)為對制訂數(shù)據(jù)合規(guī)計劃并取得實際效果的企業(yè)，檢察機關(guān)可以作出合規(guī)不起訴或者企業(yè)附條件不起訴的決定。第二個階段是2021年3月份開展的第二批企業(yè)合規(guī)從寬的試點工作，[11]而在數(shù)字化領(lǐng)域表現(xiàn)為對于達到起訴條件而不能作出不起訴處理的案件，司法機關(guān)可以在企業(yè)制訂有效數(shù)據(jù)合規(guī)計劃并實際執(zhí)行之后，作出從寬處理的決定。無論是第一批還是第二批企業(yè)合規(guī)試點工作中，數(shù)字合規(guī)計劃都增加了企業(yè)被從寬處理的可能性，有利于調(diào)動企業(yè)開展數(shù)據(jù)合規(guī)活動的積極性。

4.2 建立過程性專項合規(guī)計劃

數(shù)字化時代，信息獲取的途徑更加多樣，數(shù)據(jù)收集與處理也變得更加便捷，侵權(quán)結(jié)果的發(fā)生是以侵權(quán)行為為前提的，而對侵權(quán)行為的有效預(yù)防在一定程度上能夠避免侵權(quán)結(jié)果的發(fā)生。單純預(yù)防侵權(quán)結(jié)果發(fā)生的專項數(shù)據(jù)合規(guī)計劃無法應(yīng)對已經(jīng)發(fā)生的侵權(quán)現(xiàn)象，也無法對侵權(quán)結(jié)果形成有效的懲處。而過程性數(shù)據(jù)合規(guī)專項計劃，也即針對侵權(quán)行為進行預(yù)防和打擊的計劃，以積極主動預(yù)防數(shù)據(jù)侵權(quán)行為為重心，在一定程度上能夠避免侵權(quán)結(jié)果的發(fā)生。

4.3 加強部門之間的協(xié)同

激發(fā)企業(yè)數(shù)據(jù)合規(guī)的積極性，最有效的措施是建立專業(yè)的監(jiān)管機關(guān)，這樣不僅能夠提高企業(yè)數(shù)據(jù)合規(guī)的效率，也能夠保障數(shù)據(jù)合規(guī)的合法性。不過數(shù)據(jù)合規(guī)專項活動在我國目前尚處于初探階段，專業(yè)監(jiān)管機關(guān)的建立缺乏基礎(chǔ)，可以考慮通過加強相關(guān)部門的協(xié)作，為企業(yè)開展數(shù)據(jù)合規(guī)專項活動保駕護航。而對于實踐中部門之間缺乏協(xié)同的現(xiàn)象，可以通過以下措施解決。首先，監(jiān)管部門之間加強數(shù)據(jù)的共享，[12]在對企業(yè)數(shù)據(jù)合規(guī)的監(jiān)管中增強溝通，并開展動態(tài)的協(xié)作監(jiān)督，避免部門之間相互推諉；其次，各部門協(xié)同監(jiān)督企業(yè)建立有效的數(shù)據(jù)合規(guī)專項計劃，并合力促成合規(guī)計劃的實施；最后，各部門對違規(guī)企業(yè)進行懲處時，應(yīng)及時交換處罰信息，避免對違規(guī)企業(yè)進行重復(fù)處罰。

4.4 明確數(shù)據(jù)合規(guī)的主體責(zé)任

數(shù)字化時代，為了在數(shù)據(jù)合規(guī)活動中維護數(shù)據(jù)安全，企業(yè)需要在合規(guī)活動中兼顧法律問題與技術(shù)問題，而企業(yè)是從事經(jīng)營活動的主體，很可能缺少法律知識與技術(shù)知識，需要第三方服務(wù)者協(xié)助。以2021年11月份施行的《個人信息保護法》為例，數(shù)字化時代，個人信息保護方面的互聯(lián)網(wǎng)侵權(quán)案件、數(shù)據(jù)合規(guī)違法現(xiàn)象的預(yù)防以及侵權(quán)行為的打擊，不僅需要商家也需要第三方互聯(lián)網(wǎng)平臺共同參與。而數(shù)據(jù)合規(guī)活動的責(zé)任究竟是商家承擔(dān)還是第三方平臺承擔(dān)，是亟需明確的問題?！秱€人信息保護法》對平臺設(shè)定了特定的個人信息保護責(zé)任，互聯(lián)網(wǎng)平臺為信息收集處理的全過程提供了技術(shù)支持，平臺是否提供服務(wù)以及提供怎樣的服務(wù)，需要平臺做出決定，平臺的決定影響著數(shù)據(jù)合規(guī)的走向。因此，除了企業(yè)自身責(zé)任外，平臺也需要為自身影響數(shù)據(jù)合規(guī)的不當(dāng)決定承擔(dān)相應(yīng)責(zé)任。

4.5 完善數(shù)據(jù)合規(guī)法律體系

專項數(shù)據(jù)合規(guī)計劃的制訂雖然有《個人信息保護法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律規(guī)范作為依據(jù)，但這些法律規(guī)范畢竟不是數(shù)據(jù)合規(guī)方面的專門立法，僅是提及數(shù)據(jù)合規(guī)事項。有效的數(shù)據(jù)合規(guī)計劃的建立，需要有完善的數(shù)據(jù)合規(guī)方面的法律體系的指引。因此，要保障專項數(shù)據(jù)合規(guī)計劃的制訂、實施獲得法律的全面支持，就須建立以數(shù)據(jù)合規(guī)專門法規(guī)為基礎(chǔ)，以信息保護、網(wǎng)絡(luò)安全及數(shù)據(jù)安全方面的法律為支撐，以各地區(qū)以及各領(lǐng)域?qū)嶋H情況為基準的數(shù)據(jù)合規(guī)法律體系。