我國數(shù)字經(jīng)濟發(fā)展過程中如何保障數(shù)據(jù)合規(guī)使用？數(shù)據(jù)法治如何賦能實體經(jīng)濟、保護個人信息和商業(yè)秘密？近日，第五屆數(shù)字中國建設峰會數(shù)據(jù)法治分論壇舉行，圍繞上述議題展開了深入研討和分享。

論壇上，多位專家共話企業(yè)合規(guī)發(fā)展，圍繞數(shù)據(jù)合規(guī)的形式要件與公平實踐、企業(yè)在內部合規(guī)與對外合作合規(guī)方面面臨的問題與解決方案、數(shù)據(jù)合規(guī)未來建設方向等議題，在數(shù)據(jù)法治推動數(shù)字經(jīng)濟發(fā)展方面，給出中國答案。 

制定與落實隱私政策是合規(guī)必選項

數(shù)字經(jīng)濟已不能再野蠻生長。今年1月，國務院印發(fā)《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》，提出數(shù)字經(jīng)濟應進入深化應用、規(guī)范發(fā)展、普惠共享的新階段。

其中，作為數(shù)字經(jīng)濟的關鍵要素，數(shù)據(jù)資源是目前行業(yè)內規(guī)范的重點，數(shù)據(jù)要素市場的構建也成為討論的熱點議題。有觀點認為，數(shù)據(jù)的價值在于處理，如果沒有解決數(shù)據(jù)確權的問題，不知道數(shù)據(jù)歸屬就不能進行數(shù)據(jù)交易，也不能市場化、要素化。

這是否意味著目前在相關問題尚未明晰的時候，所有的數(shù)據(jù)市場化行為都不可以進行？數(shù)字經(jīng)濟如何在該階段持續(xù)發(fā)展？

“當我們其他問題還沒有明晰的時候，只要數(shù)據(jù)是合規(guī)的，就可以交易。” 北京大學法學院教授張平在論壇上發(fā)言稱，這種合規(guī)，合的是現(xiàn)行法律制度的規(guī)，在尚未出臺新法律的情況之下，只要保證現(xiàn)有數(shù)據(jù)合規(guī)，就不會影響數(shù)據(jù)交易，甚至數(shù)據(jù)共享。

當前，包含個人數(shù)據(jù)在內的企業(yè)數(shù)據(jù)合規(guī)問題成為當務之急。張平認為，企業(yè)發(fā)布數(shù)據(jù)保護的相關政策聲明非常重要，這是企業(yè)合規(guī)的形式要件，同樣是合規(guī)實踐的監(jiān)督標準。

張平提出，企業(yè)的政策聲明首要遵循透明度原則，需要透明的、負責任的政策聲明。一方面從自律角度來說，是“善意的證明”，也可以作為法律執(zhí)行的依據(jù)；另一方面從法律層面而言，是《個人信息保護法》中要求的“告知-同意”的最基本原則，第二，企業(yè)要通過政策聲明進行誠實、有信用的合規(guī)實踐，在國外即“公平實踐”——要求企業(yè)在收集數(shù)據(jù)和信息時，通過政策聲明明確自身法律基本義務并誠信實施，否則將被認定為欺詐行為，不僅是簡單的違約責任，罰款將非常之高。

盡管隱私政策的發(fā)布已成為許多企業(yè)的必選項，但能否落地仍不樂觀。對于企業(yè)數(shù)據(jù)合規(guī)，張平提出10個實踐測評維度的建議，包含合法性基礎、目的明確、目的限制、公開透明、告知同意、選擇權、權益保障、質量保障、安全保障、權責一致等。

“企業(yè)能不能做到，事后還要看國家的監(jiān)管機構、企業(yè)的自律、第三方的輔助機構以及每一個消費者的維權。”張平說。

兼顧內部合規(guī)與合作合規(guī)

如何將合規(guī)理念落實到實踐中，企業(yè)需要解決內部合規(guī)和合作合規(guī)兩大方面的難題。

由于數(shù)據(jù)是在企業(yè)不同的系統(tǒng)服務器、數(shù)據(jù)庫內存儲，融合處理時會不斷發(fā)生變化，可能導致與前臺給用戶展現(xiàn)的內容有差異。對此，抖音集團企業(yè)隱私部隱私解決方案負責人朱玲鳳提出，用“數(shù)據(jù)血緣”分析技術來實現(xiàn)企業(yè)內部的合規(guī)認同。

“在目前已有的信息安全領域數(shù)據(jù)資產盤點的基礎上，基于NLP語義理解規(guī)則、機器學習的算法，提升自動識別數(shù)據(jù)類型的方式，清晰梳理數(shù)據(jù)從哪兒來，到哪兒去，在數(shù)據(jù)本身之上建立合規(guī)規(guī)則，才能把合規(guī)要求融入整個業(yè)務流程的血液當中。同時，若在數(shù)據(jù)刪除時同步刪除用戶衍生數(shù)據(jù)，唯有數(shù)據(jù)血緣可以實現(xiàn)。”朱玲鳳說。

這是企業(yè)內部實現(xiàn)合規(guī)第一步——在清晰的數(shù)據(jù)識別能力和數(shù)據(jù)血緣能力的基礎上，做到數(shù)據(jù)可知、可控，釋放數(shù)據(jù)該有的價值。

數(shù)據(jù)外部合作的過程，則必然涉及到兩個公司之間數(shù)據(jù)的交流和使用，因此合作合規(guī)也是當前的重點議題，包括數(shù)據(jù)受讓方再開發(fā)、再利用權利的范圍和邊界等。美圖公司高級法務總監(jiān)陳勁松認為，用戶的同意確認和與企業(yè)的合規(guī)體系建立是企業(yè)數(shù)據(jù)合作合規(guī)的重點。

陳勁松介紹，首要確保的是數(shù)據(jù)來源合規(guī)。用戶對企業(yè)進行明示授權，企業(yè)在隱私政策承諾的限定范圍內使用，當企業(yè)完成相關數(shù)據(jù)的匿名化以后，可以對數(shù)據(jù)進一步學習、研究、使用。其次，數(shù)據(jù)流轉需要獲得用戶的同意。在原始采集過程中，應在制度設計上向用戶完整披露數(shù)據(jù)未來的使用用途、流轉流程，并且獲得用戶的單獨同意。第三，對于敏感個人信息，要在采集信息、使用之前做到單獨同意，甚至是增強性同意。

“數(shù)據(jù)流轉過程中與其他企業(yè)合作時，擁有在數(shù)據(jù)領域的合規(guī)體系是雙方達成數(shù)據(jù)合作的基礎，否則一旦出現(xiàn)問題，雙方定性為共同處理數(shù)據(jù)信息，在法律上雙方將承擔連帶責任。”陳勁松說。

未來企業(yè)數(shù)據(jù)合規(guī)如何建設？

隨著數(shù)字經(jīng)濟迎來合規(guī)發(fā)展新階段，國家從宏觀、中觀、微觀三個層面織就了一張法網(wǎng)，《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》三部法律為數(shù)據(jù)合規(guī)指明了方向。企業(yè)如何基于這張法網(wǎng)實現(xiàn)數(shù)據(jù)合規(guī)善用？

合規(guī)代表企業(yè)競爭力，合規(guī)水平也會決定著企業(yè)的發(fā)展水平，數(shù)據(jù)管控和數(shù)據(jù)發(fā)揮效用之間需要達到平衡。西南政法大學人工智能法學院院長、教授陳亮從三個維度提出了今后企業(yè)數(shù)據(jù)合規(guī)建設的方向。

第一，全，即全鏈條管理、全員參與。第二，核，即企業(yè)數(shù)據(jù)合規(guī)管理中，合規(guī)理念與做法要融入到核心業(yè)務當中。第三，價值，即合規(guī)創(chuàng)造價值這一理念要成為企業(yè)經(jīng)營模式不可或缺的一部分。

“在數(shù)據(jù)創(chuàng)造價值這一理念的指導下，企業(yè)在合規(guī)理念的重塑、合規(guī)組織的建設、合規(guī)體系的打造、合規(guī)文化的營造、合規(guī)人才的儲備等方面都可以有所作為，從而在業(yè)務的全鏈條、全環(huán)節(jié)當中，真正實現(xiàn)數(shù)據(jù)合規(guī)的引擎和剎車雙重功能的有機結合。”陳亮說。

從企業(yè)需求的角度，陳勁松指出，現(xiàn)有法律在雙方數(shù)據(jù)合規(guī)的義務責任居多，權利方面相對不足。作為數(shù)據(jù)開發(fā)利用實踐者，考慮到在整個幾年來數(shù)據(jù)的商業(yè)實踐應用，期盼未來對數(shù)據(jù)權益進行立法。“數(shù)據(jù)本身是一種什么權利，知識產權還是所有權，在用戶授權下，平臺是否可以對數(shù)據(jù)進行占有、使用和收益。希望未來立法能夠進一步明確數(shù)據(jù)的權屬、性質和權益行使的范圍，以便企業(yè)的數(shù)據(jù)商業(yè)實踐中有法可依。”

“合規(guī)和單純去遵守法律的規(guī)定，還是不太一樣的概念。”中國法學會網(wǎng)絡與信息法學研究會副秘書長周輝特別強調了合規(guī)對企業(yè)提出的更高要求，企業(yè)不僅要遵循法律強制的規(guī)定，還要有自己的理念和規(guī)則，也要遵守自己所做的承諾。

周輝表示，在這個意義上，一方面鼓勵企業(yè)自身，能夠自己運用技術手段來確保內部業(yè)務的合規(guī)。另一方面，違法處理數(shù)據(jù)的形式和手段具有很強的隱蔽性，除了信息不對稱，還具有知識不對稱、技術不對稱的問題，需要有專門的機構提供專門的服務。周輝呼吁，能夠有第三方機構來推動、監(jiān)測、評估，通過社會監(jiān)督，推動數(shù)據(jù)合規(guī)的真正落地。