◎文 《法人》雜志全媒體記者 李遼
▲CFP
近年來,一些企業(yè)利用數(shù)據(jù)壟斷地位�����,過度獲取�����、不正確使用和處理用戶數(shù)據(jù)���,違規(guī)跨境傳輸用戶數(shù)據(jù)����,侵害公民個(gè)人信息權(quán)益��,甚至危害國家數(shù)據(jù)安全��。對(duì)此��,國家重拳整治數(shù)據(jù)違法違規(guī)行為�����,倒逼企業(yè)重新審視自身隱私保護(hù)政策和數(shù)據(jù)處理方式,將數(shù)據(jù)合規(guī)建設(shè)提上日程���。
數(shù)據(jù)不合規(guī)代價(jià)昂貴
大數(shù)據(jù)時(shí)代����,企業(yè)每天都在生產(chǎn)���、共享和存儲(chǔ)大量數(shù)據(jù)���,數(shù)字經(jīng)濟(jì)在迎來新發(fā)展機(jī)遇的同時(shí),數(shù)據(jù)交易不合規(guī)現(xiàn)象也在高頻發(fā)生����。
2021年2月,中國銀行遼寧分行因未按規(guī)定收集���、使用消費(fèi)者個(gè)人金融信息等五大事由被罰114.7萬元;同年4月���,浙江省寧波市市場(chǎng)監(jiān)管局先后對(duì)20家房地產(chǎn)企業(yè)進(jìn)行立案查處����,及時(shí)叫停房地產(chǎn)領(lǐng)域非法收集消費(fèi)者人臉識(shí)別信息的違法行為,合計(jì)罰款203萬元��;2023年年初�����,廈門銀行因涉及違反個(gè)人金融信息保護(hù)規(guī)定等23項(xiàng)違法行為��,被處罰款764.6萬元�。
被稱為“史上最嚴(yán)”的數(shù)據(jù)保護(hù)法案——?dú)W盟《通用數(shù)據(jù)保護(hù)條例》(下稱“GDPR”)于2018年正式生效后,任何違反GDPR的企業(yè)都會(huì)被處以最高2000萬歐元 (或上一年全球營業(yè)額4%)的罰款�����。2021年7月���,亞馬遜收到歐盟有史以來最大數(shù)據(jù)隱私泄露罰單���,因違反GDPR被罰款7.46億歐元;2022年��,著名社交軟件Instagram母公司Meta因允許青少年開設(shè)賬號(hào)并公開顯示其電話號(hào)碼和電子郵件地址����,被愛爾蘭數(shù)據(jù)監(jiān)管機(jī)構(gòu)處以4.05億歐元罰款��,這也是根據(jù)GDPR規(guī)定對(duì)企業(yè)開出的第二高罰單�。根據(jù)中國商務(wù)部官網(wǎng)發(fā)布的消息�����,2022年歐洲數(shù)據(jù)監(jiān)管機(jī)構(gòu)針對(duì)GDPR違規(guī)的罰款額達(dá)到了創(chuàng)紀(jì)錄的29億歐元�,是2021年的兩倍。
聚焦數(shù)據(jù)泄露��,數(shù)據(jù)安全研究中心Ponemon Institute分析了2019年8月至2020年4月期間發(fā)生的524起違規(guī)事件���,發(fā)布了評(píng)估報(bào)告�。其中指出��,2020年企業(yè)數(shù)據(jù)泄露平均成本為386萬美元�,比三年前的評(píng)估結(jié)果高出6.4%。而客戶個(gè)人身份信息是損失最昂貴的記錄類型�。IBM Security研究報(bào)告顯示,其統(tǒng)計(jì)的企業(yè)在2021年平均每起數(shù)據(jù)泄露事件成本為424萬美元�,是2004年來的最高值��。大型企業(yè)或許能承受因數(shù)據(jù)泄露帶來的違規(guī)成本�,但小型企業(yè)幾乎會(huì)因此破產(chǎn)�。
一方面�,數(shù)據(jù)交易不合規(guī)行為會(huì)讓企業(yè)喪失大量客戶忠誠和信任。2016年��,雅虎郵箱曝出泄密事件后��,遭大批用戶棄用�,正在商談收購事宜的雅虎甚至一度難以賣出。另一方面�����,聲望折損會(huì)導(dǎo)致企業(yè)股價(jià)下跌��,對(duì)企業(yè)經(jīng)濟(jì)利益產(chǎn)生直接影響����。2017年,趣店發(fā)生用戶數(shù)據(jù)泄露時(shí)�,股價(jià)連續(xù)下跌,一度開盤跳水30%���。由此看來���,數(shù)據(jù)不合規(guī)的代價(jià)對(duì)于企業(yè)來說十分昂貴�����。
數(shù)據(jù)合規(guī)是最確定性因素
近年來�����,中國相繼出臺(tái)具備系統(tǒng)性����、針對(duì)性的個(gè)人信息保護(hù)法律法規(guī)�、部門規(guī)章和國家標(biāo)準(zhǔn)。特別是個(gè)人信息保護(hù)法的出臺(tái)�,體現(xiàn)了中國在個(gè)人信息保護(hù)領(lǐng)域的積極態(tài)度和未來監(jiān)管趨勢(shì),為國民個(gè)人信息安全和隱私保護(hù)發(fā)展奠定了基礎(chǔ)����,為全球隱私治理作出“中國貢獻(xiàn)”,從根本上改變了全球范圍內(nèi)隱私保護(hù)的管理模式���,標(biāo)志著數(shù)據(jù)合規(guī)時(shí)代的到來�。
廣東數(shù)字政府研究院副院長傅建平5月3日接受《法人》記者采訪時(shí)表示�,數(shù)據(jù)合規(guī)是企業(yè)應(yīng)對(duì)不確定性的最確定性因素��,推進(jìn)數(shù)據(jù)合規(guī)本質(zhì)上是一個(gè)不斷調(diào)整數(shù)據(jù)生產(chǎn)關(guān)系����,解放和發(fā)展數(shù)據(jù)生產(chǎn)力的過程��。企業(yè)遵守?cái)?shù)據(jù)法規(guī)��,加強(qiáng)數(shù)據(jù)安全防范����,構(gòu)建數(shù)據(jù)合規(guī)體系���,可以避免因罰款或違規(guī)而蒙受損失�,增加確定性�����、創(chuàng)造價(jià)值��、提升競爭力�����。
“未來,數(shù)據(jù)合規(guī)管理考驗(yàn)著每一家企業(yè)的生存能力�,將成為企業(yè)發(fā)展新常態(tài)。如果企業(yè)能跨越雷區(qū)��,變風(fēng)險(xiǎn)為企業(yè)發(fā)展機(jī)遇或第二增長曲線��,則可收獲數(shù)據(jù)合規(guī)利好��。畢竟�,誰掌握了數(shù)據(jù),誰將掌握發(fā)展主動(dòng)權(quán)���;誰利用好數(shù)據(jù)����,誰將贏得未來數(shù)字競爭新優(yōu)勢(shì)�����?!庇纱耍到ㄆ秸J(rèn)為��,數(shù)據(jù)合規(guī)不僅是對(duì)數(shù)據(jù)本身的保護(hù)�����,也是對(duì)企業(yè)未來發(fā)展未雨綢繆的規(guī)劃。
“數(shù)據(jù)合規(guī)應(yīng)該貫穿企業(yè)創(chuàng)新發(fā)展各方面和全過程��,用結(jié)構(gòu)性改革去破解結(jié)構(gòu)性矛盾����,用高水平數(shù)據(jù)治理推動(dòng)高質(zhì)量數(shù)據(jù)供給�。”傅建平建議���,企業(yè)應(yīng)該從法治環(huán)境�、發(fā)展戰(zhàn)略�����、組織變革��、制度完善�����、流程優(yōu)化�����、技術(shù)支撐和文化建設(shè)等方面構(gòu)建數(shù)據(jù)合規(guī)治理體系,加強(qiáng)數(shù)據(jù)合規(guī)師��、數(shù)據(jù)管理師����、首席數(shù)據(jù)官、數(shù)據(jù)安全技術(shù)等專業(yè)人才隊(duì)伍建設(shè)���。
2000年左右�,歐美已有至少數(shù)百家公司設(shè)有DPO(數(shù)據(jù)安全保護(hù)官)職位�。從該職業(yè)發(fā)展機(jī)遇來看,隱私����、合規(guī)、數(shù)據(jù)安全崗位聘用人數(shù)在近幾年大幅增長�����。在中國�����,為應(yīng)對(duì)全球數(shù)據(jù)監(jiān)管和遵循相應(yīng)法律法規(guī),企業(yè)“數(shù)據(jù)合規(guī)師”應(yīng)運(yùn)而生��,有力保障了企業(yè)在現(xiàn)行法律框架下的正當(dāng)權(quán)益�。
平衡數(shù)據(jù)合規(guī)與創(chuàng)新發(fā)展
傅建平稱,在當(dāng)前數(shù)據(jù)交易中�,機(jī)遇與挑戰(zhàn)并存。數(shù)據(jù)要素法規(guī)制度不健全�����、數(shù)據(jù)要素供給側(cè)結(jié)構(gòu)性矛盾突出����、數(shù)據(jù)合規(guī)治理能力亟待提升等挑戰(zhàn)��,使數(shù)據(jù)要素化過程存在許多不確定性��,制約著數(shù)據(jù)要素更好地發(fā)揮作用����。
目前橫亙?cè)谄髽I(yè)面前的一個(gè)難題是,在創(chuàng)新發(fā)展和數(shù)據(jù)合規(guī)建設(shè)方面如何作出平衡��?數(shù)據(jù)安全法明確提出“堅(jiān)持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全�����,以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展”,“鼓勵(lì)和支持?jǐn)?shù)據(jù)在各行業(yè)�、各領(lǐng)域的創(chuàng)新應(yīng)用”,但真正落到市場(chǎng)層面��,數(shù)據(jù)開發(fā)并沒有像數(shù)據(jù)安全和保護(hù)那樣打開新局面���。
今年2月13日����,貴州省大數(shù)據(jù)工作會(huì)上傳出消息�,截至2023年2月9日,貴陽大數(shù)據(jù)交易所累計(jì)交易額5.49億元�。這對(duì)于已成立8年的貴陽大數(shù)據(jù)交易所來說并不是一個(gè)亮眼的成績。2022年4月��,南都大數(shù)據(jù)研究院發(fā)布的研究報(bào)告顯示�����,目前場(chǎng)內(nèi)交易在我國數(shù)據(jù)交易市場(chǎng)中所占份額不足5%�。
某央企法務(wù)合規(guī)部門負(fù)責(zé)人周治成對(duì)記者稱,各地大數(shù)據(jù)交易中心成立了不少,但數(shù)據(jù)交易的成功示例不多�。“雖然數(shù)據(jù)具有財(cái)產(chǎn)屬性����,可少見真正將數(shù)據(jù)作為資產(chǎn)或權(quán)利進(jìn)行出資的公司設(shè)立。相反�,有些領(lǐng)域的數(shù)據(jù)被權(quán)利主體緊緊握在手心,不愿分享出來����。”他舉例�����,如果想在北京買一套住宅���,三四年前可以在房地產(chǎn)中介手機(jī)APP上直接查詢到意向房產(chǎn)的相似房產(chǎn)歷史成交價(jià),買賣雙方都可以在此基礎(chǔ)上分析比較�,選擇談判策略及出手時(shí)機(jī),但現(xiàn)在無法查詢到這類數(shù)據(jù)���。
因此���,他認(rèn)為�����,導(dǎo)致數(shù)據(jù)開發(fā)利用面臨市場(chǎng)困境的原因主要有兩個(gè):一是大部分業(yè)務(wù)未實(shí)現(xiàn)“大數(shù)據(jù)+”的定型���,這使企業(yè)不知道如何真正開發(fā)利用手中數(shù)據(jù),不愿意為此投入經(jīng)濟(jì)成本��,也不敢付費(fèi)合法購買數(shù)據(jù)����,導(dǎo)致業(yè)務(wù)盈利模式不清晰。二是缺乏法律指引�。通過國家近年來的積極立法,數(shù)據(jù)領(lǐng)域雖已形成法律體系�,但因?yàn)閿?shù)據(jù)及數(shù)據(jù)權(quán)利的基本理論和法律屬性至今沒有定論甚至通說,法律只規(guī)定了鼓勵(lì)數(shù)據(jù)開發(fā)利用的原則���,沒有進(jìn)一步細(xì)化����。
某互聯(lián)網(wǎng)頭部企業(yè)數(shù)據(jù)合規(guī)官陳升(化名)表示:“首先����,數(shù)據(jù)交易是新興事物�,不斷發(fā)展變化�,目前針對(duì)它的法律法規(guī)只是較粗的框架,難在具體實(shí)踐場(chǎng)景中落地����。例如法律法規(guī)要求平臺(tái)企業(yè)在處理個(gè)人信息數(shù)據(jù)時(shí)要征求用戶同意,但這件事情本身非常寬泛——哪種情況下用戶算是同意了����,哪種情況下超過了數(shù)據(jù)使用范圍,如果平臺(tái)企業(yè)再次處理某個(gè)人信息數(shù)據(jù)是否還需要重新拿到用戶有效同意��?其次�����,定義不明確�����,個(gè)人信息處理看似在法律法規(guī)上有明確定義���,但一旦套入實(shí)際應(yīng)用場(chǎng)景,就沒法有效區(qū)分。例如����,平臺(tái)企業(yè)對(duì)某用戶進(jìn)行信息精準(zhǔn)推送,可能是對(duì)個(gè)人信息做了處理���,也有可能是基于廣泛人群類型(如對(duì)IP所映射的地理位置)統(tǒng)一投放���。這種情況下,平臺(tái)企業(yè)如果只使用了一個(gè)IP地址��,會(huì)不會(huì)被看作是過度使用用戶個(gè)人信息����,這些問題在法律上的定義并不明確?!?/p>
因此,他認(rèn)為�,雖然國家一直鼓勵(lì)和提倡數(shù)據(jù)流轉(zhuǎn),但對(duì)于平臺(tái)企業(yè)來說�,比較迷茫的是不知道“紅線”在哪里?��!拔磥?����,隨著執(zhí)法精細(xì)化����,監(jiān)管層會(huì)在保護(hù)個(gè)人信息和發(fā)展數(shù)據(jù)之間尋找到一個(gè)合適的銜接點(diǎn),充分聽取數(shù)據(jù)處理者的意見�,去分析處理者在處理數(shù)據(jù)過程中是否真正尊重了用戶權(quán)利,是否保障了用戶隱私��,判斷用戶到底受到了怎樣的侵害�,從而適配相應(yīng)法律法規(guī)?���!?/p>
傅建平也認(rèn)為,數(shù)字化發(fā)展帶來了政府與市場(chǎng)邊界的變化����,政府既是監(jiān)管者,也是公共數(shù)據(jù)的持有者�����,需要構(gòu)建一系列適應(yīng)數(shù)據(jù)要素特性和數(shù)字化發(fā)展要求的上層建筑以適應(yīng)經(jīng)濟(jì)基礎(chǔ)變化����,為數(shù)據(jù)要素市場(chǎng)健康發(fā)展提供牢固保障。他建議�����,應(yīng)打造政府�����、企業(yè)和個(gè)人多方參與的“數(shù)據(jù)合規(guī)共同體”��,做到價(jià)值共創(chuàng)����、責(zé)任共擔(dān)、利益均衡��、合規(guī)不處罰����、合規(guī)不起訴,走出一條中國式數(shù)據(jù)合規(guī)治理和市場(chǎng)化利用之路��。
責(zé)編|白 馗
編審|崔曉林
校對(duì)|張波張雪慧
