香港跨境物流
合規不是做一套書面的計劃也不是做一套紙面的規章制度
數據合規高端論壇在京舉行
發佈時間:2021-09-29 10:06 星期三
來源:法治日報——法制網

法治日報全媒體記者 蔣安傑

  近年來,隨着大數據、雲計算、移動互聯網的不斷髮展,特別是大數據與5G、人工智能、區塊鏈等新一代信息技術的融合發展日益緊密,數據種類日益增多,數據規模急劇增長,數據合規越來越受到社會各界的普遍關注和立法部門的普遍重視。9月25日,由中國人民大學刑事法律科學研究中心、北京市東衞律師事務所共同舉辦的“數據合規高端論壇”在京舉行,來自學術界、實務界近60位代表與會。全國人大法工委經濟法室林一英,最高檢第四檢察廳俞啓泳,北京大學法學院教授陳瑞華,中國人民大學法學院教授張新寶、劉品新,北京師範大學法學院教授張遠煌等分別作主題演講。

  中國人民大學刑事法律科學研究中心主任時延安和北京市東衞律師事務所主任郝春莉分別代表主辦方致辭。時延安表示,對數據安全的維護,首先就要認識到數據對於當前政治、經濟、社會的重要意義。對數據重要性的理解,可以從兩方面來認識:一是,數據的生產資料化;二是,數據的資產化。圍繞數據的享有、處理形成了一個綜合法益,其中包括安全、社會秩序以及個人利益。因而,對數據安全的維護,也必須依靠多個法律來實現,包括數據安全法、個人信息保護法、網絡安全法,也包括民法、刑法,乃至憲法。從企業經營來講,維護數據安全就要大大加強合規建設,而且要形成一個綜合性、結構化的體系,不能僅向數據安全法看齊,而是要向多個法律看齊。在合規計劃制定上,不僅要考慮和用户的關係,更要將政治安全、經濟安全、社會安全等因素考慮進去,尤其是網絡服務提供者,要切實充分考慮數據安全所具有的多面性、多層性,要充分考慮到數據處理當中的各種風險,進而通過合規建設防範風險於未然。

  郝春莉表示,繼民法典、網絡安全法、電子商務法頒佈以來,今年6月10日、8月20日又相繼通過了數據安全法、個人信息保護法,下一步還會有更多數據合規的法律法規陸續出台。與當前日益趨緊的措施和法律法規不相適應的是,目前國內一些企業在收集和使用用户個人信息方面,還存在着慣性的商業邏輯和商業思維,很多做法與現在的法律法規相違背。數字經濟時代在智能+的產業數字化轉型中,數據合規勢必成為維護產業平穩健康發展,保障公司商業利益和正常運營的重要基石。我們舉辦數據合規高端論壇,就是為了凝聚包括立法、司法、理論、企業、律師等社會各界力量,強化數據合規理論與實務研究,完善數據合規的建設以及開拓數據合規法律研究和法律服務的新藍海。

數據合規治理的重要性

  林一英從立法背景和意義、法律定位以及涉及合規要點的主要制度介紹了個人信息保護法(以下簡稱《個保法》)的基本情況。在數字經濟背景下,《個保法》的出台不但有利於促進數據經濟健康持續的發展,維護人民羣眾在網絡空間的合法權益,還標誌着我國法律制度逐步走向體系化、專門化和系統化,併為國際數字治理貢獻出“中國方案”。她認為,《個保法》對規範個人信息的處理行為不同於民法的人格權保護制度,其主要採取了公法與私法兼顧的綜合性保護手段,而且主要進行事前預防的保護。因此,《個保法》是我國在網絡空間和數字經濟領域重要的一個綜合性法律。

  張新寶從數據合規的角度介紹了數據合規治理的重要性、完善個人信息權益保護的措施及加強企業合規治理的內部建設等內容。

  張新寶認為,數據合規包括數據安全、數據監管、數據存儲等物理層面的安全問題,也包括個人信息處理的各個環節。因此,在現有的數據合規法律基本框架下,如何落實和實施法律法規,是未來數據合規治理的努力方向。個人信息保護合規是數據合規治理的重要組成部分,對個人信息保護合規應當進一步加強制度規範供給。例如,對個人信息實行分類合規治理,將個人信息分為一般、敏感以及私密三個等級,並強化對敏感信息和私密信息的保護。同時,對個人信息處理者進行分類施策。

  張新寶以超大網絡平台個人信息合規為例,結合《個保法》第五十八條規定,提出了幾點思考:一是如何鑑定大型平台;二是關於“成立主要由外部成員組成的獨立機構”的問題;三是如何明確平台規則的制定標準;四是適用停止服務的問題。

  張新寶建議,企業內應當設立專人進行數據合規工作,對企業法務部門的職能進行調整,還要建立相關的規章制度,制定處理個人信息的規則。數據合規作為法律服務的一個新領域,還應加強律師的合規培訓,學界也應加強相關研究。

數據合規研究需要注意的四個問題

  陳瑞華指出,在研究數據合規時,有四個問題應當重點關注:第一,企業數據合規的價值。為企業在市場競爭中提供誠信度背書;將企業責任與員工責任、上下游企業責任進行有效切割;最大限度預防行政違規與刑事犯罪危險。第二,網絡安全法、數據安全法、個人信息保護法中包含的合規義務。他認為,重要數據處理者應當定期進行風險評估;個人信息處理者應當定期對處理的個人信息遵守法律、行政法規的情況進行合規審計;企業應當在發生網絡、數據、個人信息安全事件時,立即採取補救措施,並通知有關行政部門和可能受影響的個人。第三,數據合規的兩種模式。危機發生前的日常性合規體系,即數據風險評估與預防;危機發生後的合規整改體系,即通過合規整改換取寬大處理。第四,合規與危機處理的關係。陳瑞華認為,企業面臨的最嚴重的危機是行政處罰和刑事追責;合規整改方案是要解決問題,糾正錯誤,填補制度漏洞,完善治理結構,改變經營模式;合規整改方案的本質就是防止再次發生類似的行政違法行為和刑事犯罪行為。

  陳瑞華表示,不管是日常合規管理體系,還是合規整改體系,根本目的是要預防違規、預防再次發生違規和違法犯罪活動,合規不是做一套書面的計劃,也不是做一套紙面的規章制度,而是要把合規的管理模式、體系、整改方案有效運行起來,有效地識別違規行為,預防數據領域的違法行為,監控整個公司的運營情況,一旦發生危機能進行自我處理和有效的監管。

  張遠煌指出,合規的本質是防控違法犯罪風險。企業合規需要打破傳統部門法之間的界限,形成從違規、違法到犯罪預防的整體性合規思維。張遠煌着重從犯罪預防角度分析了數據合規對企業的影響以及企業如何做到有效合規。

  他説,當前數據合規的外部規制主要體現在三個方面:一是非刑事領域出台了網絡安全法、數據安全法以及個人信息保護法等專門立法;二是刑事領域原本就有關於個人信息和網絡信息保護的規定;三是最高人民檢察院開始啓動具有刑事司法性質的企業合規改革試點,意味着作為企業合規高端形態的刑事合規已經現實呈現,對企業合規提出了更高要求。當前,數據安全問題不僅涉及公民個人的基本權利,更關係到數字經濟的健康發展,也涉及國家的整體安全。為此,數據合規正在經歷重要轉型:一方面,在規制體系上,對企業的外部管理要向企業內部的自我監督轉移,使國家外部監督與企業自我監管形成合力;另一方面,在規制力度上,企業合規要從民事、行政規制向刑事規則升級發展,制度化、機制化地貫徹“懲罰並舉,預防為主”方針,實現企業違法犯罪的源頭治理。

  張遠煌認為,有效合規是當前最緊迫的問題。他提出了評價企業有效合規的三條實質性標準建議:一是企業制定的合規計劃應當具有特定的針對性。合規計劃必須是基於企業的規模和實際面臨的合規風險建立起來的,而不是照搬法律規定或通用合規指南;二是企業內部的合規監管機構應當具有獨立性與充分的資源配置;三是對發現的違法違規行為及時妥當地處置。企業要用證據和實際行動表明,只要企業成員在企業運行過程中實施了違規行為、不論其層級如何,都予以了一視同仁的處理。這是判斷企業是否在着力倡導合規文化的重要標誌。

數據刑事合規方案應當採取“三線”標準

  劉品新認為,數據刑事合規的研究既有理論問題,也有實務問題。為什麼要進行數據合規?在劉品新看來,不僅因為我們正處在大數據時代,數據合規與個人信息保護、國家安全緊密相關,還因為在涉數據犯罪案件中,如果提出數據合規整改,就可能形成一個真正意義上的“認罪”,可能會爭取到刑法上的緩刑或者其他的從寬效果。

  數據刑事合規是什麼?簡單來講,數據刑事合規與行政合規、民事合規最明顯的區別在於它會產生刑事責任減免的效果,是“皇冠”意義上的數據合規。

  數據刑事合規應採取怎樣的標準?劉品新認為,檢察機關驗收數據刑事合規整改應當採取相對主義的標準:一是對象相對,合規的對象不是一個罪名,也不是全部罪名,而是數據具體業態涉及一系列關聯罪名;二是合規結果相對,不要簡單地追求合規後絕對不再犯罪,而是要審查有關平台進行數據刑事合規整改力度是否足以預見其涉嫌犯罪的罪量、可能性等現有風險。

  第三方組織等主體提出數據刑事合規方案應當採取反向標準:作為第三方組織或者律師介入數據合規時,不能告知當事人這樣做可以不犯罪,而要告知其某種做法可能觸犯哪幾個罪名及構罪的可能性。

  數據平台等主體制定數據刑事合規方案應當採取“三線”標準。第一是以刑法、司法解釋等規範中刑事責任條款為紅線,梳理具體業務涉及哪些罪名,做重點防範;第二是以觸犯數據安全法三大法律、行政處罰條款或者其他的行政法規為黃線,梳理可能因情節嚴重便構成犯罪的數據違規情節,謹慎避免;第三是綠線,是指民事法規、技術規範或者行業標準裏面完全允許的數據行為。

  這個“三線”標準是動態標準。考慮到我國這方面的法律、技術、規範在不斷演變,建議至少每年要對有關標準進行一次更新。

  俞啓泳介紹,數據安全問題日益凸顯,嚴重影響着數字經濟發展和個人信息保護。特別是互聯網壟斷和不正當競爭問題日益突出,數字經濟發展面臨新風險。檢察辦案環節反映出,近年來,數字經濟競爭愈發激烈,網絡製假售假、虛假廣告、流量劫持、刷單炒信、大數據殺熟、“二選一”等新型違法犯罪大量滋生,平台內部貪腐案件多發,嚴重影響行業生態,侵蝕公眾數據安全,成為平台治理新問題。在數據壟斷方面,平台企業獨佔海量數據,其中,不僅有合法取得的商業數據,也有處於灰色地帶的越界索權、過度收集信息,涉及侵犯公民個人信息問題,成為平台壟斷的重要根源。在算法壟斷上,平台確立以企業利益為中心的算法規則,由於這些規則不透明不公開且技術性強,形成“算法黑箱”,對其監管和違法調查存在困境。在資本壟斷上,頭部企業規模過大、橫縱跨越、樹立壁壘,已引起社會對資本無序擴張的關注。

  俞啓泳表示,2020年11月,最高檢向工信部制發“六號檢察建議”,圍繞網絡黑灰產業鏈條整治、App違法違規收集個人信息、未成年人網絡保護等問題提出治理建議。當前,涉案企業合規改革試點還處在起步期、培育期,需要我們勇於嘗試、大膽創新,推動建立現代企業規制司法制度的“中國方案”。

  據悉,論壇上,圍繞着“數據安全風險的一般問題”“數據處理中的風險點”“數據安全犯罪問題”“數據安全合規領域的主要問題”為內容的圓桌研討同時進行。

責任編輯:武卓立
8606222