從技術(shù)、管理與生態(tài)的多維治理，來看企業(yè)數(shù)據(jù)大合規(guī)路徑

　　2021年11月14日，為落實《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律關(guān)于數(shù)據(jù)安全管理的規(guī)定，規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，保護個人、組織在網(wǎng)絡(luò)空間的合法權(quán)益，維護國家安全和公共利益，根據(jù)國務(wù)院2021年立法計劃，國家互聯(lián)網(wǎng)信息辦公室會同相關(guān)部門研究起草了《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》(以下簡稱：《征求意見稿》)，并向社會公開征求意見，迅速在國內(nèi)外各界產(chǎn)生強烈社會反響。

　　《征求意見稿》共計9章75條，以前述三大上位法為依據(jù)，其包含的條文規(guī)范涉及一般數(shù)據(jù)、重要數(shù)據(jù)以及核心數(shù)據(jù)等法律治理規(guī)則，特別是有關(guān)個人信息保護、重要數(shù)據(jù)安全、數(shù)據(jù)跨境安全管理、互聯(lián)網(wǎng)平臺運營者義務(wù)等重要方面的細則規(guī)定及其價值邏輯對于各方主體的合規(guī)風控工作能夠產(chǎn)生重大影響。

　　整體來看，《征求意見稿》的制度思路已不是網(wǎng)絡(luò)安全合規(guī)、數(shù)據(jù)安全合規(guī)或者個人信息保護合規(guī)的單維方案，其可以廣泛重塑數(shù)字經(jīng)濟下的數(shù)據(jù)處理與流轉(zhuǎn)利用規(guī)則，在技術(shù)基礎(chǔ)、組織管理、價值生態(tài)等諸多層面深度改造產(chǎn)業(yè)發(fā)展模式和企業(yè)治理架構(gòu)，全面催生企業(yè)數(shù)據(jù)大合規(guī)的嶄新需求。

　　其一，在技術(shù)基礎(chǔ)層面，《征求意見稿》強調(diào)，各類數(shù)據(jù)處理者應(yīng)當按照有關(guān)法律、行政法規(guī)的規(guī)定和國家標準的強制性要求，建立完善技術(shù)保護機制，通過采取備份、加密、訪問控制等必要措施，保障數(shù)據(jù)免遭泄露、竊取、篡改、毀損、丟失、非法使用，應(yīng)對數(shù)據(jù)安全事件，防范針對和利用數(shù)據(jù)的違法犯罪活動，維護數(shù)據(jù)的完整性、保密性、可用性，并應(yīng)當按照網(wǎng)絡(luò)安全等級保護的要求，采用各種技術(shù)手段加強數(shù)據(jù)處理系統(tǒng)、數(shù)據(jù)傳輸網(wǎng)絡(luò)、數(shù)據(jù)存儲環(huán)境等安全防護，包括應(yīng)當使用密碼對重要數(shù)據(jù)和核心數(shù)據(jù)進行保護。

　　這些明示技術(shù)要求，連同匹配數(shù)據(jù)收集、提供、委托處理和交易等各種業(yè)務(wù)場景的其他技術(shù)需求(例如匿名化處理、身份驗證、個人信息轉(zhuǎn)移以及數(shù)據(jù)刪除等)，都將共同決定企業(yè)未來數(shù)據(jù)大合規(guī)的技術(shù)新面貌。

　　其二，在組織管理層面，《征求意見稿》要求各類數(shù)據(jù)處理者應(yīng)當遵從數(shù)據(jù)分類分級保護制度，建立完善數(shù)據(jù)安全管理制度，包括建立數(shù)據(jù)安全應(yīng)急處置機制，發(fā)生數(shù)據(jù)安全事件時及時啟動應(yīng)急響應(yīng)機制，采取措施防止危害擴大，消除安全隱患?！墩髑笠庖姼濉愤€要求各類數(shù)據(jù)處理者處理個人信息時，應(yīng)當制定個人信息處理規(guī)則并嚴格遵守，涉及重要數(shù)據(jù)業(yè)務(wù)時應(yīng)當明確數(shù)據(jù)安全負責人，成立數(shù)據(jù)安全管理機構(gòu)，并履行相關(guān)備案手續(xù)。凡此種種，在延展企業(yè)內(nèi)部管理體系的同時，都將共同塑造企業(yè)未來數(shù)據(jù)大合規(guī)的業(yè)務(wù)新流程。

　　其三，在價值生態(tài)層面，《征求意見稿》規(guī)定，各類數(shù)據(jù)處理者應(yīng)當接受政府和社會監(jiān)督，承擔社會責任，還應(yīng)當對境內(nèi)外第三方數(shù)據(jù)合作中的數(shù)據(jù)處理活動進行監(jiān)督，在數(shù)據(jù)跨境的情形下履行數(shù)據(jù)出境安全評估、數(shù)據(jù)出境安全報告等義務(wù)，并且非經(jīng)中華人民共和國主管機關(guān)批準，不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)。

　　此外，《征求意見稿》還要求互聯(lián)網(wǎng)平臺運營者應(yīng)當建立與數(shù)據(jù)相關(guān)的平臺規(guī)則、隱私政策和算法策略披露制度，及時披露制定程序、裁決程序，保障平臺規(guī)則、隱私政策、算法公平公正，并應(yīng)當充分采納公眾意見，接受社會監(jiān)督。此類指向突破傳統(tǒng)閉合型企業(yè)治理架構(gòu)、關(guān)注全球化時代背景下數(shù)據(jù)供應(yīng)鏈、產(chǎn)業(yè)鏈的國內(nèi)國際安全的諸多規(guī)則設(shè)計，都將共同重構(gòu)企業(yè)未來數(shù)據(jù)大合規(guī)的生態(tài)新格局。

　　在此意義上而言，《征求意見稿》所喻示的重要訊息是，企業(yè)欲求面向未來的數(shù)據(jù)合規(guī)之道，需要全面搭建一體適用于各種數(shù)據(jù)類型、融匯技術(shù)治理、組織治理與生態(tài)治理的多維體系，進而邁上數(shù)據(jù)大合規(guī)的戰(zhàn)略風控新高度。

　　第一，及時更新合規(guī)理念。包括立足“合法設(shè)計”、“倫理設(shè)計”和“安全設(shè)計”的一體化理念，科學設(shè)計雙維度合規(guī)方案，確保企業(yè)自身全面遵循法律要求免受處罰，積極運用法律懲治行業(yè)中的各類不法行為，注重合同、協(xié)議等法律工具的體系化綜合運用，充分利用法律賦予的當事方同意等正當化機制，并通過定崗定責和定崗定人強化企業(yè)內(nèi)外的違法阻斷機制建設(shè)。

　　第二，全面強化合規(guī)機制。尤其是在技術(shù)治理層面，突出數(shù)據(jù)風險監(jiān)測與處置機制的有效運行;在組織治理層面，持續(xù)完善基于合法性論證的全生命周期的數(shù)據(jù)安全管理制度，推動全員覆蓋的數(shù)據(jù)安全教育培訓，落實面對國內(nèi)外執(zhí)法機構(gòu)和司法機關(guān)的數(shù)據(jù)協(xié)助、配合、報告與批準要求;在內(nèi)容價值層面，探索實現(xiàn)數(shù)據(jù)、數(shù)據(jù)技術(shù)、數(shù)據(jù)應(yīng)用的倫理評估機制。

　　第三，戰(zhàn)略布局國際市場。重點在于積極營造全球化共生型社群生態(tài)，妥善應(yīng)對外國法長臂管轄與中國法域外適用的潛在沖突，同時持續(xù)優(yōu)化數(shù)據(jù)供應(yīng)鏈安全，在系統(tǒng)終端和業(yè)務(wù)流程等各個層面實現(xiàn)核心數(shù)據(jù)、重要數(shù)據(jù)、用戶個人信息的一體化治理，并且擴大配置國家安全絕緣層，通過設(shè)施部署、人員配置與運營架構(gòu)的立體調(diào)適最大限度地緩解、降低國家安全風險。

　　與此同時，從數(shù)據(jù)安全生態(tài)建設(shè)的更大角度而言，企業(yè)數(shù)據(jù)大合規(guī)工作的實效達成，還需要與政府監(jiān)管以及民眾參與形成廣泛的良性互動。一方面，主管機關(guān)與監(jiān)管機關(guān)在價值目標設(shè)定、方法論指導(dǎo)、政策安排、工具運用以及資源配置等各個方面給予必要支持，并適時革新與數(shù)字化、智能化的技術(shù)和產(chǎn)業(yè)環(huán)境相匹配的高效、靈敏的監(jiān)管方式和監(jiān)管方法。

　　另一方面，社會公眾在持續(xù)提升數(shù)字素養(yǎng)、提高數(shù)字治理意識的同時，積極參與數(shù)據(jù)治理的公私進程，助力數(shù)據(jù)流轉(zhuǎn)、利用與監(jiān)管等各方面的透明度和開放度建設(shè)，共同培育可持續(xù)發(fā)展的數(shù)據(jù)共治生態(tài)。

　　文 | 吳沈括

　　北京師范大學法學院網(wǎng)絡(luò)法治國際中心執(zhí)行主任、博導(dǎo)

　　中國互聯(lián)網(wǎng)協(xié)會研究中心副主任

（轉(zhuǎn)載）