企业数据合规如何实现?多位专家建言隐私政策与内外合规建设方向

我国数字经济发展过程中如何保障数据合规使用?数据法治如何赋能实体经济、保护个人信息和商业秘密?近日,第五届数字中国建设峰会数据法治分论坛举行,围绕上述议题展开了深入研讨和分享。   论坛上,多位专家共话企业合规发展,围绕数据合规的形式要件与公平实践、企业在内部合规与对外合作合规方面面临的问题与解决方案、数据合规未来建设方向等议题,在数据法治推动数字经济发展方面,给出中国答案。   制定与落实隐私政策是合规必选项   数字经济已不能再野蛮生长。今年1月,国务院印发《“十四五”数字经济发展规划》,提出数字经济应进入深化应用、规范发展、普惠共享的新阶段。   其中,作为数字经济的关键要素,数据资源是目前行业内规范的重点,数据要素市场的构建也成为讨论的热点议题。有观点认为,数据的价值在于处理,如果没有解决数据确权的问题,不知道数据归属就不能进行数据交易,也不能市场化、要素化。   这是否意味着目前在相关问题尚未明晰的时候,所有的数据市场化行为都不可以进行?数字经济如何在该阶段持续发展?   “当我们其他问题还没有明晰的时候,只要数据是合规的,就可以交易。” 北京大学法学院教授张平在论坛上发言称,这种合规,合的是现行法律制度的规,在尚未出台新法律的情况之下,只要保证现有数据合规,就不会影响数据交易,甚至数据共享。   当前,包含个人数据在内的企业数据合规问题成为当务之急。张平认为,企业发布数据保护的相关政策声明非常重要,这是企业合规的形式要件,同样是合规实践的监督标准。   张平提出,企业的政策声明首要遵循透明度原则,需要透明的、负责任的政策声明。一方面从自律角度来说,是“善意的证明”,也可以作为法律执行的依据;另一方面从法律层面而言,是《个人信息保护法》中要求的“告知-同意”的最基本原则,第二,企业要通过政策声明进行诚实、有信用的合规实践,在国外即“公平实践”——要求企业在收集数据和信息时,通过政策声明明确自身法律基本义务并诚信实施,否则将被认定为欺诈行为,不仅是简单的违约责任,罚款将非常之高。   尽管隐私政策的发布已成为许多企业的必选项,但能否落地仍不乐观。对于企业数据合规,张平提出10个实践测评维度的建议,包含合法性基础、目的明确、目的限制、公开透明、告知同意、选择权、权益保障、质量保障、安全保障、权责一致等。   “企业能不能做到,事后还要看国家的监管机构、企业的自律、第三方的辅助机构以及每一个消费者的维权。”张平说。   兼顾内部合规与合作合规   如何将合规理念落实到实践中,企业需要解决内部合规和合作合规两大方面的难题。   由于数据是在企业不同的系统服务器、数据库内存储,融合处理时会不断发生变化,可能导致与前台给用户展现的内容有差异。对此,抖音集团企业隐私部隐私解决方案负责人朱玲凤提出,用“数据血缘”分析技术来实现企业内部的合规认同。   “在目前已有的信息安全领域数据资产盘点的基础上,基于NLP语义理解规则、机器学习的算法,提升自动识别数据类型的方式,清晰梳理数据从哪儿来,到哪儿去,在数据本身之上建立合规规则,才能把合规要求融入整个业务流程的血液当中。同时,若在数据删除时同步删除用户衍生数据,唯有数据血缘可以实现。”朱玲凤说。   这是企业内部实现合规第一步——在清晰的数据识别能力和数据血缘能力的基础上,做到数据可知、可控,释放数据该有的价值。   数据外部合作的过程,则必然涉及到两个公司之间数据的交流和使用,因此合作合规也是当前的重点议题,包括数据受让方再开发、再利用权利的范围和边界等。美图公司高级法务总监陈劲松认为,用户的同意确认和与企业的合规体系建立是企业数据合作合规的重点。   陈劲松介绍,首要确保的是数据来源合规。用户对企业进行明示授权,企业在隐私政策承诺的限定范围内使用,当企业完成相关数据的匿名化以后,可以对数据进一步学习、研究、使用。其次,数据流转需要获得用户的同意。在原始采集过程中,应在制度设计上向用户完整披露数据未来的使用用途、流转流程,并且获得用户的单独同意。第三,对于敏感个人信息,要在采集信息、使用之前做到单独同意,甚至是增强性同意。   “数据流转过程中与其他企业合作时,拥有在数据领域的合规体系是双方达成数据合作的基础,否则一旦出现问题,双方定性为共同处理数据信息,在法律上双方将承担连带责任。”陈劲松说。   未来企业数据合规如何建设?   随着数字经济迎来合规发展新阶段,国家从宏观、中观、微观三个层面织就了一张法网,《网络安全法》《数据安全法》《个人信息保护法》三部法律为数据合规指明了方向。企业如何基于这张法网实现数据合规善用?   合规代表企业竞争力,合规水平也会决定着企业的发展水平,数据管控和数据发挥效用之间需要达到平衡。西南政法大学人工智能法学院院长、教授陈亮从三个维度提出了今后企业数据合规建设的方向。   第一,全,即全链条管理、全员参与。第二,核,即企业数据合规管理中,合规理念与做法要融入到核心业务当中。第三,价值,即合规创造价值这一理念要成为企业经营模式不可或缺的一部分。   “在数据创造价值这一理念的指导下,企业在合规理念的重塑、合规组织的建设、合规体系的打造、合规文化的营造、合规人才的储备等方面都可以有所作为,从而在业务的全链条、全环节当中,真正实现数据合规的引擎和刹车双重功能的有机结合。”陈亮说。   从企业需求的角度,陈劲松指出,现有法律在双方数据合规的义务责任居多,权利方面相对不足。作为数据开发利用实践者,考虑到在整个几年来数据的商业实践应用,期盼未来对数据权益进行立法。“数据本身是一种什么权利,知识产权还是所有权,在用户授权下,平台是否可以对数据进行占有、使用和收益。希望未来立法能够进一步明确数据的权属、性质和权益行使的范围,以便企业的数据商业实践中有法可依。”   “合规和单纯去遵守法律的规定,还是不太一样的概念。”中国法学会网络与信息法学研究会副秘书长周辉特别强调了合规对企业提出的更高要求,企业不仅要遵循法律强制的规定,还要有自己的理念和规则,也要遵守自己所做的承诺。   周辉表示,在这个意义上,一方面鼓励企业自身,能够自己运用技术手段来确保内部业务的合规。另一方面,违法处理数据的形式和手段具有很强的隐蔽性,除了信息不对称,还具有知识不对称、技术不对称的问题,需要有专门的机构提供专门的服务。周辉呼吁,能够有第三方机构来推动、监测、评估,通过社会监督,推动数据合规的真正落地。

标签

发表评论