數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)衍生與網(wǎng)絡(luò)安全治理

閆 東

北京盈科（沈陽）律師事務(wù)所，遼寧 沈陽 110000

由于個人信息被濫用行為屢禁不止，引發(fā)數(shù)據(jù)安全“立法熱”［1］，《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）等多項(xiàng)法律的頒布實(shí)施，為我國網(wǎng)絡(luò)信息安全奠定了強(qiáng)而有力的基礎(chǔ)，為企業(yè)明確指出數(shù)據(jù)合規(guī)的方向。在網(wǎng)絡(luò)安全的大背景之下，數(shù)據(jù)合規(guī)成為一個重要的時代課題［2］，數(shù)據(jù)合規(guī)對于進(jìn)一步提高數(shù)據(jù)安全，維護(hù)國家網(wǎng)絡(luò)空間主權(quán)意義重大。

一、法規(guī)梳理下的數(shù)據(jù)合規(guī)與網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全審查制度與數(shù)據(jù)安全審查制度是《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》確立的兩項(xiàng)重要國家安全審查制度。2021年6月10日全國人民代表大會常務(wù)委員會出臺了《數(shù)據(jù)安全法》，于9月1日起正式施行，此法作為我國數(shù)據(jù)安全領(lǐng)域的專門法律，其目的是為保障國家、企業(yè)及個人的數(shù)據(jù)安全，為個人信息數(shù)據(jù)保護(hù)提供可靠的法律依據(jù)?！稊?shù)據(jù)安全法》共七章五十五條，圍繞數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護(hù)義務(wù)、政務(wù)數(shù)據(jù)安全與開放等提出系列要求，在完善數(shù)據(jù)安全保護(hù)的同時，也為企業(yè)未來數(shù)據(jù)合規(guī)指明了道路。

《數(shù)據(jù)安全法》將數(shù)據(jù)定義為，任何以電子或者其他方式對信息的記錄，這進(jìn)一步擴(kuò)大了數(shù)據(jù)保護(hù)的范圍?！稊?shù)據(jù)安全法》最大的特色就是將數(shù)據(jù)安全與數(shù)據(jù)開發(fā)利用提升至同等重要的高度。其設(shè)立專章，明確提出“國家統(tǒng)籌發(fā)展和安全，堅(jiān)持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展”，并從技術(shù)研發(fā)、標(biāo)準(zhǔn)體系建設(shè)、檢測評估認(rèn)證、數(shù)據(jù)交易管理、教育培訓(xùn)、人才培養(yǎng)等多方面，體現(xiàn)數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全治理并行的思想內(nèi)涵。該法雖然稱為《數(shù)據(jù)安全法》，但卻不只關(guān)注于安全，而是將安全與發(fā)展同步考慮?！稊?shù)據(jù)安全法》另一大重要變化就是首次提出“國家核心數(shù)據(jù)”概念，明確關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，并增加了相應(yīng)處罰措施，規(guī)定違反國家核心數(shù)據(jù)管理制度，危害國家主權(quán)安全的可處200萬至1000萬的罰款。2017年《網(wǎng)絡(luò)安全法》首次提出了重要數(shù)據(jù)的概念，而《數(shù)據(jù)安全法》在“重要數(shù)據(jù)”之外又新增了“國家核心數(shù)據(jù)”概念，更加彰顯了貫徹對數(shù)據(jù)實(shí)行分類分級保護(hù)的思想，對未來出臺數(shù)據(jù)分類分級統(tǒng)一標(biāo)準(zhǔn)或細(xì)則提供了更加精細(xì)化的設(shè)計(jì)思路。

2017年6月1日，《網(wǎng)絡(luò)安全法》正式施行，其作為我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律為中國網(wǎng)絡(luò)安全保護(hù)奠定了基礎(chǔ)?！毒W(wǎng)絡(luò)安全法》從2013年下半年就被列入立法日程，2016年底即被頒布，速度之快充分說明黨的十八大期間出臺這部法律的重要性和緊迫性?！毒W(wǎng)絡(luò)安全法》共七章七十九條，內(nèi)容十分豐富，具有六大亮點(diǎn)。第一，明確了網(wǎng)絡(luò)空間主權(quán)原則。該法在第一條就明確規(guī)定要維護(hù)我國的網(wǎng)絡(luò)空間主權(quán)，網(wǎng)絡(luò)空間主權(quán)最初是規(guī)定在《中華人民共和國國家安全法》中，在《網(wǎng)絡(luò)安全法》中又進(jìn)一步明確。網(wǎng)絡(luò)空間主權(quán)是一國國家主權(quán)在網(wǎng)絡(luò)空間的自然延伸和表現(xiàn)。［3］第二，明確了網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的安全義務(wù)。網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求。第三，明確了網(wǎng)絡(luò)運(yùn)營者的安全義務(wù)。網(wǎng)絡(luò)經(jīng)營者要遵守法律、遵守社會公德、遵守商業(yè)道德、負(fù)有誠實(shí)信用義務(wù)等。第四，進(jìn)一步完善了個人信息保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，必須符合合法、正當(dāng)、必要的要求，不得違反法律、行政法規(guī)使用個人信息。第五，建立關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度。關(guān)鍵信息基礎(chǔ)建設(shè)是指那些一經(jīng)破壞，就會喪失功能泄露數(shù)據(jù)，嚴(yán)重危害到國家安全及公共利益的設(shè)施。第六，確立了關(guān)鍵信息基礎(chǔ)設(shè)施重要數(shù)據(jù)跨境傳輸規(guī)則?！啊毒W(wǎng)絡(luò)安全法》具有整體性、協(xié)調(diào)性、穩(wěn)定性和可操作性等特征，是我國應(yīng)對國際網(wǎng)絡(luò)安全挑戰(zhàn)、維護(hù)網(wǎng)絡(luò)空間主權(quán)、保障公民網(wǎng)絡(luò)空間的合法權(quán)益不受侵害、保障國家安全的利器，為全球互聯(lián)網(wǎng)的治理貢獻(xiàn)了中國智慧?！保?］《網(wǎng)絡(luò)安全法》正式施行已經(jīng)超過四年，《數(shù)據(jù)安全法》也已生效并展現(xiàn)出執(zhí)行力，我們正親歷并見證我國網(wǎng)絡(luò)安全、數(shù)據(jù)安全這座大廈從最初的夯實(shí)地基，到如今搭建起房梁支柱，相應(yīng)地配套法律法規(guī)和規(guī)范性文件也逐步頒布，將一步步落實(shí)國家總體安全觀下的網(wǎng)絡(luò)空間治理的智慧。

二、網(wǎng)絡(luò)安全視角下的數(shù)據(jù)合規(guī)與數(shù)據(jù)安全

（一）網(wǎng)絡(luò)安全治理的關(guān)鍵：數(shù)據(jù)安全。數(shù)字經(jīng)濟(jì)時代，數(shù)據(jù)安全必須成為當(dāng)下各個公司網(wǎng)絡(luò)安全的紅線與底線問題，尤其是置身數(shù)字業(yè)務(wù)的公司，在共享和傳輸大量個人數(shù)據(jù)的在線環(huán)境中，應(yīng)越來越重視數(shù)據(jù)信息的安全。以數(shù)據(jù)泄露為例，其通常涉及各種類型的個人數(shù)據(jù)，例如財(cái)務(wù)賬戶信息、駕駛執(zhí)照號碼、生物識別標(biāo)識和身份證信息。如果公司未能充分盡職履行數(shù)據(jù)安全的義務(wù)，黑客可以輕而易舉地訪問公司的計(jì)算機(jī)網(wǎng)絡(luò)，竊取數(shù)千人的敏感個人數(shù)據(jù)而導(dǎo)致黑客從中掌握了公司與用戶的數(shù)據(jù)鑰匙：身份證件信息、生物識別標(biāo)識和公司財(cái)務(wù)信息。因此，無論是公司內(nèi)部安全機(jī)制漏洞，還是由于第三方供應(yīng)商、勒索軟件攻擊導(dǎo)致的數(shù)據(jù)泄露，犯罪分子都有無窮無盡的機(jī)會竊取企業(yè)與個人數(shù)據(jù)的敏感信息。

（二）網(wǎng)絡(luò)安全治理的核心：數(shù)據(jù)合規(guī)。數(shù)據(jù)合規(guī)是數(shù)據(jù)保護(hù)合規(guī)的簡寫，是遵循各種法規(guī)和標(biāo)準(zhǔn)以維護(hù)受監(jiān)管數(shù)據(jù)（例如個人身份信息、醫(yī)療信息）或敏感數(shù)據(jù)（例如客戶名單）的完整性和可用性的過程。數(shù)據(jù)合規(guī)性的關(guān)鍵在于跟蹤正在存儲的數(shù)據(jù)類型和數(shù)量，以及在其生命周期中管理存儲的數(shù)據(jù)，數(shù)據(jù)合規(guī)是確保企業(yè)對敏感數(shù)據(jù)進(jìn)行管理的過程實(shí)現(xiàn)對適用法律、法規(guī)和標(biāo)準(zhǔn)的遵守。數(shù)據(jù)合規(guī)包括企業(yè)使用其個人數(shù)據(jù)以及授權(quán)消費(fèi)者在個人信息應(yīng)修改時與企業(yè)溝通等規(guī)則，同時按照規(guī)律賦予用戶個人訪問、糾正或請求刪除數(shù)據(jù)的權(quán)利。

（三）網(wǎng)絡(luò)安全治理的監(jiān)管：風(fēng)險(xiǎn)處理。當(dāng)網(wǎng)絡(luò)安全問題涉及公司與用戶的數(shù)據(jù)風(fēng)險(xiǎn)時，風(fēng)險(xiǎn)很容易被處理、量化并考慮到公司業(yè)務(wù)決策中，因?yàn)槿藗儗ξ磥碜龀龅娜魏螞Q定都必須考慮到一定程度的不確定性與數(shù)據(jù)風(fēng)險(xiǎn)的負(fù)外部性。一方面，內(nèi)部風(fēng)險(xiǎn)源于企業(yè)內(nèi)部。當(dāng)下公司不斷共享數(shù)據(jù)以進(jìn)行協(xié)作并推動業(yè)務(wù)向前發(fā)展，無論在辦公環(huán)境還是遠(yuǎn)程工作，只需點(diǎn)擊幾下鼠標(biāo)即可輕松共享文件，在此過程中網(wǎng)絡(luò)安全的內(nèi)部風(fēng)險(xiǎn)純粹是偶然的，因?yàn)閿?shù)據(jù)泄露涉及安全信息的無意發(fā)布。另一方面，外部風(fēng)險(xiǎn)包括來自網(wǎng)絡(luò)犯罪分子的攻擊。以身份信息盜用后的處理為例，身份盜用的問題在于，個人數(shù)據(jù)不能像銀行卡號那樣輕易地被“取消”，身份證號碼不能更改，指紋或眼部掃描、健康信息和基因數(shù)據(jù)等生物特征數(shù)據(jù)無法變更，而且犯罪分子可能會在獲取受害者的個人數(shù)據(jù)后的數(shù)月或數(shù)年后使用，此時的風(fēng)險(xiǎn)更是隱藏于事后的風(fēng)險(xiǎn)。

三、法律規(guī)制視域下的數(shù)據(jù)合規(guī)與安全治理

當(dāng)下，針對數(shù)據(jù)合規(guī)與安全治理問題，域外的立法與法規(guī)圍繞數(shù)據(jù)安全和網(wǎng)絡(luò)安全對不同的行業(yè)而展開規(guī)制。以數(shù)據(jù)安全為例，以下是一些域外著名的數(shù)據(jù)保護(hù)法規(guī)與規(guī)則（見表1）。

因此，國內(nèi)根據(jù)我國最新的《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律規(guī)定的內(nèi)容，國外根據(jù)全球網(wǎng)絡(luò)數(shù)據(jù)安全規(guī)范性法律文件立法的經(jīng)驗(yàn)，當(dāng)下企業(yè)的數(shù)據(jù)合規(guī)與網(wǎng)絡(luò)安全治理應(yīng)注重以下幾點(diǎn)：

（一）數(shù)據(jù)合規(guī)與安全治理：安全性。當(dāng)下企業(yè)用戶數(shù)據(jù)已成為企業(yè)在線業(yè)務(wù)中最敏感的部分。許多公司將有關(guān)客戶或員工的敏感個人信息保存在其文件或網(wǎng)絡(luò)中，由于企業(yè)在互聯(lián)網(wǎng)上留下了大量的數(shù)字足跡，因此企業(yè)保護(hù)和謹(jǐn)防用戶個人數(shù)據(jù)泄露變得至關(guān)重要，尤其是需確保受監(jiān)管和敏感數(shù)據(jù)免遭未經(jīng)授權(quán)的使用。企業(yè)針對數(shù)據(jù)合規(guī)中的未經(jīng)授權(quán)的訪問情況，對管理有權(quán)訪問數(shù)據(jù)的人員，必須確保相關(guān)人員了解網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)，明確他/她在保護(hù)敏感數(shù)據(jù)方面的責(zé)任。因此數(shù)據(jù)安全性問題可能會導(dǎo)致無法挽回的聲譽(yù)損害，因此公司需要制定完善的安全計(jì)劃確保數(shù)據(jù)安全并安全處置數(shù)據(jù)，切實(shí)履行保護(hù)敏感數(shù)據(jù)的法律義務(wù)。

（二）數(shù)據(jù)合規(guī)與安全治理：隱私權(quán)。公司在處理或傳輸個人敏感數(shù)據(jù)之前需獲得“肯定的明確同意”，發(fā)布透明的隱私政策，實(shí)施“合理的數(shù)據(jù)安全實(shí)踐”，同時公司需向消費(fèi)者披露隱私政策，詳細(xì)說明他們的數(shù)據(jù)收集、處理和傳輸活動，并將這些活動的任何重大變化通知消費(fèi)者并允許用戶訪問、更正、刪除和移植用戶個人的數(shù)據(jù)。以敏感信息的合規(guī)為例，如果信息揭示了一個用戶想要向他人隱瞞的令人尷尬或損害名譽(yù)的事情，則該信息可能是敏感的，針對此，應(yīng)考慮為用戶提供訪問、更正、刪除和可移植性的權(quán)利。

（三）數(shù)據(jù)合規(guī)與安全治理：責(zé)任制。網(wǎng)絡(luò)安全中數(shù)據(jù)的收集、存儲、處理、獲取、維護(hù)都需要約束性規(guī)則和問責(zé)制度。網(wǎng)絡(luò)數(shù)據(jù)安全責(zé)任制度在于事后規(guī)制身份盜用和數(shù)據(jù)泄露的網(wǎng)絡(luò)安全影響。網(wǎng)絡(luò)數(shù)據(jù)安全責(zé)任制度的目的在于督促網(wǎng)絡(luò)平臺企業(yè)遵守正在進(jìn)行的、預(yù)定的粉碎和數(shù)據(jù)銷毀程序性的規(guī)則，從而避免數(shù)據(jù)泄露的風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全隱患。網(wǎng)絡(luò)數(shù)據(jù)安全責(zé)任制度需要自我或共同監(jiān)管機(jī)制來監(jiān)管隱私和數(shù)據(jù)保護(hù)，為保護(hù)個人數(shù)據(jù)的權(quán)利建立強(qiáng)有力的具體保障措施。一方面，為公司員工制定與實(shí)體營業(yè)場所外記錄和個人信息的收集、存儲、訪問和運(yùn)輸相關(guān)的可靠安全政策，針對違反信息安全計(jì)劃的行為制定和實(shí)施紀(jì)律處分規(guī)則。另一方面，與服務(wù)提供商或服務(wù)組織合作并對其進(jìn)行監(jiān)督，要求他們遵守企業(yè)客戶的個人信息安全措施。

四、結(jié)語

當(dāng)今世界已經(jīng)進(jìn)入數(shù)據(jù)時代，隨著數(shù)據(jù)價值不斷升高，數(shù)據(jù)安全風(fēng)險(xiǎn)也不斷升高。數(shù)據(jù)權(quán)屬之爭，歸根結(jié)底還是利益之爭。［5］《數(shù)據(jù)安全法》等法律的相繼生效，我國迎來了全面的數(shù)據(jù)安全與個人信息保護(hù)的新周期，這也彰示著我國從規(guī)范監(jiān)管層面順應(yīng)時代信息的系統(tǒng)設(shè)計(jì)，但我們還需要關(guān)注每一處細(xì)節(jié)的合規(guī)風(fēng)險(xiǎn)管控，實(shí)時關(guān)注著來自技術(shù)發(fā)展與監(jiān)管所帶來的新要求，在企業(yè)數(shù)據(jù)驅(qū)動的經(jīng)營理念中樹立起合規(guī)價值的認(rèn)知。