李遼

近年來(lái)，一些企業(yè)利用數(shù)據(jù)壟斷地位，過度獲取、不正確使用和處理用戶數(shù)據(jù)，違規(guī)跨境傳輸用戶數(shù)據(jù)，侵害公民個(gè)人信息權(quán)益，甚至危害國(guó)家數(shù)據(jù)安全。對(duì)此，國(guó)家重拳整治數(shù)據(jù)違法違規(guī)行為，倒逼企業(yè)重新審視自身隱私保護(hù)政策和數(shù)據(jù)處理方式，將數(shù)據(jù)合規(guī)建設(shè)提上日程。

數(shù)據(jù)不合規(guī)代價(jià)昂貴

大數(shù)據(jù)時(shí)代，企業(yè)每天都在生產(chǎn)、共享和存儲(chǔ)大量數(shù)據(jù)，數(shù)字經(jīng)濟(jì)在迎來(lái)新發(fā)展機(jī)遇的同時(shí)，數(shù)據(jù)交易不合規(guī)現(xiàn)象也在高頻發(fā)生。

2021年2月，中國(guó)銀行遼寧分行因未按規(guī)定收集、使用消費(fèi)者個(gè)人金融信息等五大事由被罰114.7萬(wàn)元；同年4月，浙江省寧波市市場(chǎng)監(jiān)管局先后對(duì)20家房地產(chǎn)企業(yè)進(jìn)行立案查處，及時(shí)叫停房地產(chǎn)領(lǐng)域非法收集消費(fèi)者人臉識(shí)別信息的違法行為，合計(jì)罰款203萬(wàn)元；2023年年初，廈門銀行因涉及違反個(gè)人金融信息保護(hù)規(guī)定等23項(xiàng)違法行為，被處罰款764.6萬(wàn)元。

被稱為“史上最嚴(yán)”的數(shù)據(jù)保護(hù)法案——?dú)W盟《通用數(shù)據(jù)保護(hù)條例》（下稱“GDPR”）于2018年正式生效后，任何違反 GDPR 的企業(yè)都會(huì)被處以最高2000萬(wàn)歐元（或上一年全球營(yíng)業(yè)額4%）的罰款。2021年7月，亞馬遜收到歐盟有史以來(lái)最大數(shù)據(jù)隱私泄露罰單，因違反 GDPR 被罰款7.46億歐元；2022年，著名社交軟件 Instagram 母公司 Meta 因允許青少年開設(shè)賬號(hào)并公開顯示其電話號(hào)碼和電子郵件地址，被愛爾蘭數(shù)據(jù)監(jiān)管機(jī)構(gòu)處以4.05億歐元罰款，這也是根據(jù) GDPR 規(guī)定對(duì)企業(yè)開出的第二高罰單。根據(jù)中國(guó)商務(wù)部官網(wǎng)發(fā)布的消息，2022年歐洲數(shù)據(jù)監(jiān)管機(jī)構(gòu)針對(duì) GDPR 違規(guī)的罰款額達(dá)到了創(chuàng)紀(jì)錄的29億歐元，是2021年的兩倍。

聚焦數(shù)據(jù)泄露，數(shù)據(jù)安全研究中心Ponemon Institute 分析了2019年8月至2020年4月期間發(fā)生的524起違規(guī)事件，發(fā)布了評(píng)估報(bào)告。其中指出，2020年企業(yè)數(shù)據(jù)泄露平均成本為386萬(wàn)美元，比三年前的評(píng)估結(jié)果高出6.4%。而客戶個(gè)人身份信息是損失最昂貴的記錄類型。IBM Security 研究報(bào)告顯示，其統(tǒng)計(jì)的企業(yè)在2021年平均每起數(shù)據(jù)泄露事件成本為424萬(wàn)美元，是2004年來(lái)的最高值。大型企業(yè)或許能承受因數(shù)據(jù)泄露帶來(lái)的違規(guī)成本，但小型企業(yè)幾乎會(huì)因此破產(chǎn)。

一方面，數(shù)據(jù)交易不合規(guī)行為會(huì)讓企業(yè)喪失大量客戶忠誠(chéng)和信任。2016年，雅虎郵箱曝出泄密事件后，遭大批用戶棄用，正在商談收購(gòu)事宜的雅虎甚至一度難以賣出。另一方面，聲望折損會(huì)導(dǎo)致企業(yè)股價(jià)下跌，對(duì)企業(yè)經(jīng)濟(jì)利益產(chǎn)生直接影響。2017年，趣店發(fā)生用戶數(shù)據(jù)泄露時(shí)，股價(jià)連續(xù)下跌，一度開盤跳水30%。由此看來(lái)，數(shù)據(jù)不合規(guī)的代價(jià)對(duì)于企業(yè)來(lái)說(shuō)十分昂貴。

數(shù)據(jù)合規(guī)是最確定性因素

近年來(lái)，中國(guó)相繼出臺(tái)具備系統(tǒng)性、針對(duì)性的個(gè)人信息保護(hù)法律法規(guī)、部門規(guī)章和國(guó)家標(biāo)準(zhǔn)。特別是個(gè)人信息保護(hù)法的出臺(tái)，體現(xiàn)了中國(guó)在個(gè)人信息保護(hù)領(lǐng)域的積極態(tài)度和未來(lái)監(jiān)管趨勢(shì)，為國(guó)民個(gè)人信息安全和隱私保護(hù)發(fā)展奠定了基礎(chǔ)，為全球隱私治理作出“中國(guó)貢獻(xiàn)”，從根本上改變了全球范圍內(nèi)隱私保護(hù)的管理模式，標(biāo)志著數(shù)據(jù)合規(guī)時(shí)代的到來(lái)。

廣東數(shù)字政府研究院副院長(zhǎng)傅建平5月3日接受《法人》記者采訪時(shí)表示，數(shù)據(jù)合規(guī)是企業(yè)應(yīng)對(duì)不確定性的最確定性因素，推進(jìn)數(shù)據(jù)合規(guī)本質(zhì)上是一個(gè)不斷調(diào)整數(shù)據(jù)生產(chǎn)關(guān)系，解放和發(fā)展數(shù)據(jù)生產(chǎn)力的過程。企業(yè)遵守?cái)?shù)據(jù)法規(guī)，加強(qiáng)數(shù)據(jù)安全防范，構(gòu)建數(shù)據(jù)合規(guī)體系，可以避免因罰款或違規(guī)而蒙受損失，增加確定性、創(chuàng)造價(jià)值、提升競(jìng)爭(zhēng)力。

“未來(lái)，數(shù)據(jù)合規(guī)管理考驗(yàn)著每一家企業(yè)的生存能力，將成為企業(yè)發(fā)展新常態(tài)。如果企業(yè)能跨越雷區(qū)，變風(fēng)險(xiǎn)為企業(yè)發(fā)展機(jī)遇或第二增長(zhǎng)曲線，則可收獲數(shù)據(jù)合規(guī)利好。畢竟，誰(shuí)掌握了數(shù)據(jù)，誰(shuí)將掌握發(fā)展主動(dòng)權(quán)；誰(shuí)利用好數(shù)據(jù)，誰(shuí)將贏得未來(lái)數(shù)字競(jìng)爭(zhēng)新優(yōu)勢(shì)?！庇纱耍到ㄆ秸J(rèn)為，數(shù)據(jù)合規(guī)不僅是對(duì)數(shù)據(jù)本身的保護(hù)，也是對(duì)企業(yè)未來(lái)發(fā)展未雨綢繆的規(guī)劃。

“數(shù)據(jù)合規(guī)應(yīng)該貫穿企業(yè)創(chuàng)新發(fā)展各方面和全過程，用結(jié)構(gòu)性改革去破解結(jié)構(gòu)性矛盾，用高水平數(shù)據(jù)治理推動(dòng)高質(zhì)量數(shù)據(jù)供給?！备到ㄆ浇ㄗh，企業(yè)應(yīng)該從法治環(huán)境、發(fā)展戰(zhàn)略、組織變革、制度完善、流程優(yōu)化、技術(shù)支撐和文化建設(shè)等方面構(gòu)建數(shù)據(jù)合規(guī)治理體系，加強(qiáng)數(shù)據(jù)合規(guī)師、數(shù)據(jù)管理師、首席數(shù)據(jù)官、數(shù)據(jù)安全技術(shù)等專業(yè)人才隊(duì)伍建設(shè)。

2000年左右，歐美已有至少數(shù)百家公司設(shè)有 DPO（數(shù)據(jù)安全保護(hù)官）職位。從該職業(yè)發(fā)展機(jī)遇來(lái)看，隱私、合規(guī)、數(shù)據(jù)安全崗位聘用人數(shù)在近幾年大幅增長(zhǎng)。在中國(guó)，為應(yīng)對(duì)全球數(shù)據(jù)監(jiān)管和遵循相應(yīng)法律法規(guī)，企業(yè)“數(shù)據(jù)合規(guī)師”應(yīng)運(yùn)而生，有力保障了企業(yè)在現(xiàn)行法律框架下的正當(dāng)權(quán)益。

平衡數(shù)據(jù)合規(guī)與創(chuàng)新發(fā)展

傅建平稱，在當(dāng)前數(shù)據(jù)交易中，機(jī)遇與挑戰(zhàn)并存。數(shù)據(jù)要素法規(guī)制度不健全、數(shù)據(jù)要素供給側(cè)結(jié)構(gòu)性矛盾突出、數(shù)據(jù)合規(guī)治理能力亟待提升等挑戰(zhàn)，使數(shù)據(jù)要素化過程存在許多不確定性，制約著數(shù)據(jù)要素更好地發(fā)揮作用。

目前橫亙?cè)谄髽I(yè)面前的一個(gè)難題是，在創(chuàng)新發(fā)展和數(shù)據(jù)合規(guī)建設(shè)方面如何作出平衡？數(shù)據(jù)安全法明確提出“堅(jiān)持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展”，“鼓勵(lì)和支持?jǐn)?shù)據(jù)在各行業(yè)、各領(lǐng)域的創(chuàng)新應(yīng)用”，但真正落到市場(chǎng)層面，數(shù)據(jù)開發(fā)并沒有像數(shù)據(jù)安全和保護(hù)那樣打開新局面。

今年2月13日，貴州省大數(shù)據(jù)工作會(huì)上傳出消息，截至2023年2月9日，貴陽(yáng)大數(shù)據(jù)交易所累計(jì)交易額5.49億元。這對(duì)于已成立8年的貴陽(yáng)大數(shù)據(jù)交易所來(lái)說(shuō)并不是一個(gè)亮眼的成績(jī)。2022年4月，南都大數(shù)據(jù)研究院發(fā)布的研究報(bào)告顯示，目前場(chǎng)內(nèi)交易在我國(guó)數(shù)據(jù)交易市場(chǎng)中所占份額不足5%。

某央企法務(wù)合規(guī)部門負(fù)責(zé)人周治成對(duì)記者稱，各地大數(shù)據(jù)交易中心成立了不少，但數(shù)據(jù)交易的成功示例不多。“雖然數(shù)據(jù)具有財(cái)產(chǎn)屬性，可少見真正將數(shù)據(jù)作為資產(chǎn)或權(quán)利進(jìn)行出資的公司設(shè)立。相反，有些領(lǐng)域的數(shù)據(jù)被權(quán)利主體緊緊握在手心，不愿分享出來(lái)。”他舉例，如果想在北京買一套住宅，三四年前可以在房地產(chǎn)中介手機(jī) APP 上直接查詢到意向房產(chǎn)的相似房產(chǎn)歷史成交價(jià)，買賣雙方都可以在此基礎(chǔ)上分析比較，選擇談判策略及出手時(shí)機(jī)，但現(xiàn)在無(wú)法查詢到這類數(shù)據(jù)。

因此，他認(rèn)為，導(dǎo)致數(shù)據(jù)開發(fā)利用面臨市場(chǎng)困境的原因主要有兩個(gè)：一是大部分業(yè)務(wù)未實(shí)現(xiàn)“大數(shù)據(jù)+”的定型，這使企業(yè)不知道如何真正開發(fā)利用手中數(shù)據(jù)，不愿意為此投入經(jīng)濟(jì)成本，也不敢付費(fèi)合法購(gòu)買數(shù)據(jù)，導(dǎo)致業(yè)務(wù)盈利模式不清晰。二是缺乏法律指引。通過國(guó)家近年來(lái)的積極立法，數(shù)據(jù)領(lǐng)域雖已形成法律體系，但因?yàn)閿?shù)據(jù)及數(shù)據(jù)權(quán)利的基本理論和法律屬性至今沒有定論甚至通說(shuō)，法律只規(guī)定了鼓勵(lì)數(shù)據(jù)開發(fā)利用的原則，沒有進(jìn)一步細(xì)化。

某互聯(lián)網(wǎng)頭部企業(yè)數(shù)據(jù)合規(guī)官陳升（化名）表示：“首先，數(shù)據(jù)交易是新興事物，不斷發(fā)展變化，目前針對(duì)它的法律法規(guī)只是較粗的框架，難在具體實(shí)踐場(chǎng)景中落地。例如法律法規(guī)要求平臺(tái)企業(yè)在處理個(gè)人信息數(shù)據(jù)時(shí)要征求用戶同意，但這件事情本身非常寬泛——哪種情況下用戶算是同意了，哪種情況下超過了數(shù)據(jù)使用范圍，如果平臺(tái)企業(yè)再次處理某個(gè)人信息數(shù)據(jù)是否還需要重新拿到用戶有效同意？其次，定義不明確，個(gè)人信息處理看似在法律法規(guī)上有明確定義，但一旦套入實(shí)際應(yīng)用場(chǎng)景，就沒法有效區(qū)分。例如，平臺(tái)企業(yè)對(duì)某用戶進(jìn)行信息精準(zhǔn)推送，可能是對(duì)個(gè)人信息做了處理，也有可能是基于廣泛人群類型（如對(duì) IP 所映射的地理位置）統(tǒng)一投放。這種情況下，平臺(tái)企業(yè)如果只使用了一個(gè) IP 地址，會(huì)不會(huì)被看作是過度使用用戶個(gè)人信息，這些問題在法律上的定義并不明確?！?/p>

因此，他認(rèn)為，雖然國(guó)家一直鼓勵(lì)和提倡數(shù)據(jù)流轉(zhuǎn)，但對(duì)于平臺(tái)企業(yè)來(lái)說(shuō)，比較迷茫的是不知道“紅線”在哪里。“未來(lái)，隨著執(zhí)法精細(xì)化，監(jiān)管層會(huì)在保護(hù)個(gè)人信息和發(fā)展數(shù)據(jù)之間尋找到一個(gè)合適的銜接點(diǎn)，充分聽取數(shù)據(jù)處理者的意見，去分析處理者在處理數(shù)據(jù)過程中是否真正尊重了用戶權(quán)利，是否保障了用戶隱私，判斷用戶到底受到了怎樣的侵害，從而適配相應(yīng)法律法規(guī)?！?/p>

傅建平也認(rèn)為，數(shù)字化發(fā)展帶來(lái)了政府與市場(chǎng)邊界的變化，政府既是監(jiān)管者，也是公共數(shù)據(jù)的持有者，需要構(gòu)建一系列適應(yīng)數(shù)據(jù)要素特性和數(shù)字化發(fā)展要求的上層建筑以適應(yīng)經(jīng)濟(jì)基礎(chǔ)變化，為數(shù)據(jù)要素市場(chǎng)健康發(fā)展提供牢固保障。他建議，應(yīng)打造政府、企業(yè)和個(gè)人多方參與的“數(shù)據(jù)合規(guī)共同體”，做到價(jià)值共創(chuàng)、責(zé)任共擔(dān)、利益均衡、合規(guī)不處罰、合規(guī)不起訴，走出一條中國(guó)式數(shù)據(jù)合規(guī)治理和市場(chǎng)化利用之路。

（責(zé)編白馗）