基于個人信息保護的數據合規管理路徑探析

王千石

摘 要：網絡平臺處理用戶個人信息時違法違規的行為不但侵害用戶的個人信息權益，也會給互聯網平臺企業的經營和發展帶來不利影響。在國家加強個人信息保護和數據安全立法的背景下，互聯網平臺企業亟須構建基于個人信息保護的數據合規管理模式。企業應充分考慮相關法律法規的規定，組建數據合規團隊、完善數據合規流程、提高技術保障水平，對個人信息等數據處理中的法律風險形成預防—監管—應對“三位一體”的數據合規管理制度。

關鍵詞：網絡平臺 數據合規 個人信息保護 合規管理

2021年5月，國家互聯網信息辦公室發布了《關于抖音等105款App違法違規收集使用個人信息情況的通報》（以下簡稱“《通報》”），其中曝光了抖音、快手、百度等常用App（小程序）普遍存在的收集使用用戶個人信息的違法違規問題，包括：“未經用戶同意收集使用個人信息”;“違反必要原則，收集與其提供的服務無關的個人信息”;“未公開收集使用規則”等。對此，國家網信辦責令相關App運營者限期整改，否則將面臨“下架”的后果。隨著數據安全法與個人信息保護法的頒行以及刑法相關規定的完善，對于違法違規互聯網平臺企業，等待它們的將是更嚴厲的行政處罰甚至刑事責任。因此，建立數據合規管理制度對于網絡平臺及其背后的互聯網平臺企業來說是勢在必行的選擇。

一、網絡平臺亟須建立數據合規管理制度

數據合規管理，是企業針對自身在進行數據處理中可能發生的違法違規行為進行預防與整改的管理方法，目的是避免企業因數據處理違法違規而承擔法律責任，影響企業運行。根據數據安全法與個人信息保護法的規定，數據是指以電子或者其他方式對信息的記錄;而個人信息則是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息。據此可知，數據是（個人）信息的載體，信息是數據的實質內容。同樣依照上述法律的規定，數據（個人信息）處理，是指對數據（個人信息）進行收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動。因此，網絡平臺對用戶個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等操作都屬于數據處理活動。隨著我國數據保護立法的日趨完善，互聯網平臺企業應當盡快從內部建立數據合規管理制度，以應對企業內部可能存在的因侵犯用戶個人信息而導致的法律風險。

（一）網絡平臺違法違規處理數據侵害用戶權益

民法典和個人信息保護法確認了“個人信息權益”這種權利（益）類型，并且明確了處理個人信息所要遵循基本原則，包括合法、正當、必要與誠信原則，目的原則，公開透明原則，質量原則和責任原則。[1]根據《通報》可知，大量網絡平臺在數據處理中存在違法違規行為，這些行為無一不侵犯了用戶的個人信息權益。盡管對于個人信息權益究竟屬于傳統的人格權范疇還是一種新型權利，法學界仍存在不同觀點，但可以確定的是，網絡平臺用戶的個人信息權益是與其人身和財產都息息相關的一種法益。即便不考慮個人信息權益的公共屬性，僅從私權保護的維度看，個人信息權益至少應當包含自然人的隱私權、名譽權及相關標識性人格權益、人身安全和財產安全等民事實體法益。[2]網絡平臺在處理用戶個人信息時出現的違法違規行為，不但侵犯了用戶個人的隱私權、名譽權等人格權益，還有可能因沒有盡到安全保障義務，導致用戶個人信息泄露而為犯罪分子利用去進行網絡詐騙、盜竊、敲詐勒索等財產犯罪，甚至進行更加嚴重的人身犯罪?；诒Ｗo用戶權益的理由，網絡平臺應當盡快規范數據處理活動。

（二）網絡平臺違法違規處理數據影響自身經營

在一些企業看來，規范數據處理要耗費人力物力，反之則可以節約成本、提高效益;甚至一些違法處理用戶信息的行為（如將用戶信息出賣給他人）還能在短期內帶來巨大收益，因此許多企業明知其數據處理環節存在問題，但選擇“睜一只眼、閉一只眼”，甚至在有關部門責令整改后，仍不愿投入整改成本，寧可被“下架”也不愿整改。其實，這種經營策略對于企業自身的負面影響是很大的。結合個人信息保護法的規定可知，網絡平臺如果在用戶信息處理中存在違法或未履行義務的情況，輕則由相關部門責令其運營者（通常為互聯網平臺企業）改正并沒收違法所得，重則處以巨額罰款（最高達到五千萬元或者上一年度營業額的百分之五），甚至有可能被吊銷營業執照，徹底喪失經營資格。除了處罰企業之外，企業的有關負責人也要承擔高昂的罰款（最高一百萬元）和禁止從事相關行業的嚴厲處罰。數據安全法也對不履行數據安全保障法律義務的企業和個人規定了嚴厲的處罰措施。除了行政處罰之外，企業因處理個人信息而侵犯用戶權益造成損害的，還要承擔相應的民事賠償責任;一旦構成犯罪，則要承擔刑事責任。這些法律責任，無論輕重都會對涉案企業及其相關人員造成惡劣的影響。因此，為了追求短期利益而忽視對網絡平臺數據處理的合規管理，將會嚴重影響企業的正常運行，對于企業來說是得不償失的。

（三）網絡平臺違法違規處理數據阻礙行業發展

通過《通報》公布的105款違法違規APP可知，網絡平臺違法違規處理數據絕不是個別現象，而是具有普遍性的“行業怪相”?；蛟S對于這些APP的運營者來說，既然行業中普遍存在類似的違法違規行為，那人們對這個行為就應當“見怪不怪”，甚至將這種現象看作互聯網發展的必然產物。然而事實上，無論是對于互聯網平臺企業、用戶還是行政執法部門來說，存在“見怪不怪”這樣的想法都是危險的。在網絡平臺深入影響人們生活的今天，互聯網平臺行業更應當在法律的軌道上發展壯大，任何試圖以這個行業取得的成就來掩蓋其經營過程中的違法違規行為對社會造成的傷害的企圖都是錯誤的。數據處理的違法違規只是網絡平臺缺乏合規管理帶來的大量問題中浮出水面的冰山一角，其背后還存在更多的隱患（諸如行業壟斷、國家安全等問題）。如果不從源頭上規范互聯網平臺企業對數據的處理行為，任由這種“怪相”愈演愈烈，將會給國家和社會帶來不可估量的危害，同時也會嚴重阻礙該行業自身的發展。

二、建立數據合規管理制度的基本思路

既然合規管理的目的是避免企業自身陷入違法犯罪的風險，那么互聯網平臺企業在建立基于個人信息保護的數據合規管理制度時，就要充分考量與個人信息保護和數據安全相關的法律規定，有針對性地避免數據處理中違法犯罪行為的發生。

（一）針對個人信息保護法的合規管理思路

個人信息保護法將個人信息分為一般個人信息和敏感個人信息。根據該法對個人信息處理的一般規定，網絡平臺在處理用戶個人信息時應當注意下列問題：第一，一般情況下，必須保證用戶充分知情并獲得其明確同意，才能對其個人信息進行處理。第二，若要改變處理用戶個人信息的目的、方式以及所處理信息的種類，必須重新獲得用戶同意。第三，即使用戶已經做出同意處理其個人信息的承諾，該同意也可以隨時撤回，應當提供給客戶便捷的撤回方式。第四，即使用戶不同意處理其個人信息或將同意撤回，也不能拒絕為其提供產品或服務，除非該產品或服務的提供以處理用戶個人信息為必要條件。第五，處理用戶個人信息前應當主動將下列事項告知用戶：① 自己的基本信息，包括名稱、聯系方式;② 處理用戶個人信息的目的、方式、種類和保存期限;③ 用戶維權的方式和程序等。第六，未經用戶單獨同意，不得將處理的用戶個人信息擅自公開或告知他人。第七，由于企業變更等原因需要轉移用戶個人信息的，應當告知用戶。除了上述一般注意事項之外，網絡平臺在處理用戶的敏感個人信息（如生物識別信息）時，還應滿足下列三個條件：① 為了特定的目的;② 具有充分必要性;③ 已經采取嚴格的保護措施。只有當這三個條件全部滿足，并充分保障用戶知情同意的權利時，才能處理用戶的敏感個人信息。對于不滿14周歲的未成年人的個人信息，必須經過其父母或監護人的同意并制定專門的處理規則后方可處理。

（二）針對數據安全法的合規管理思路

數據安全法對“數據安全保護義務”做出了具體規定。由于數據安全法是國家整體安全觀的重要組成部分，其所規定的“數據”不僅僅包括承載了“個人信息”的數據，更包括任何“以電子或者其他方式對信息的記錄”，因此對數據安全的保護也絕不僅僅是對個人信息權益保護，而是上升到“國家安全保護”這一更加宏大的命題上。但數據安全法對于數據處理者所規定的數據安全保護義務，對于網絡平臺處理用戶個人信息這種數據的活動是同樣適用的。根據數據安全法對數據處理者所規定的安全保護義務可知，網絡平臺在處理用戶個人信息這種數據時應當注意以下問題：第一，應當建立并完善數據安全管理制度;第二，采取有效的技術措施和其他必要的安全措施，堅決保障用戶的數據安全;第三，加強對數據風險的監測，一旦發現存在安全缺陷、漏洞等風險，應當立即采取補救措施，并積極查找原因，預防風險再次發生;第四，一旦發生數據安全事件（如用戶個人信息大量泄露），應當立即啟動應急預案，并及時通知用戶和有關主管部門;第五，應當按照規定對重要數據處理活動定期開展風險評估，并將風險評估報告報送有關主管部門。

（三）針對刑法的合規管理思路

個人信息保護法和數據安全法等法律法規都明確指出，違法違規處理個人信息（數據），構成犯罪的，應當承擔刑事責任。網絡平臺違法違規處理數據的行為最有可能觸犯的罪名主要有侵犯公民個人信息罪、拒不履行信息網絡安全管理義務罪、破壞計算機信息系統罪等。刑法對這些犯罪都做出了單位犯罪的規定，如果網絡平臺在數據處理中觸犯上述罪名，其背后的互聯網平臺企業和直接責任人員都要接受刑法的制裁。為了避免承擔罪責的風險，網絡平臺在進行數據合規管理時應當注意下列問題：第一，嚴格遵守個人信息保護法、數據安全法等法律和相關行政法規關于數據（個人信息）處理的規定，積極履行數據安全保護法律義務。這是由于上述罪名的成立通常以行為違反了相關前置法的規定為前提，例如，刑法規定，出售和提供個人信息的行為要構成犯罪，須以“違反國家有關規定”為前提;拒不履行信息網絡安全管理義務罪的成立須以主體“不履行法律、行政法規規定的信息網絡安全管理義務”為前提;對計算機信息系統中的數據進行刪改等行為要構成犯罪，須以“違反國家規定”為前提。因此，只要網絡平臺勤勉地保證自身行為不違反前置法的規定，就能最大限度地避免觸犯刑法。第二，嚴格監控數據處理環節，對已經發現的違法違規行為及時進行補救，面對監管部門責令整改的，立即采取有效整改措施。這是由于刑法中相關犯罪的構成要件往往要求“情節嚴重”或者“造成嚴重后果”，所以只要企業在合規管理過程中發現了違法違規操作的現象，立刻糾正，避免損害擴大，也可以將犯罪的風險降低。第三，建立有效的合規計劃，以適配企業合規的立法趨勢。近年來，我國從域外引入了合規理念并在刑事司法領域試行“合規不起訴”制度，已經取得了良好的效果;刑法學界也在積極探索企業合規作為排除犯罪事由的可行性。具體而言，就是當企業涉嫌單位犯罪時，如果能夠證明自己已經進行了有效的合規管理（例如展示合規計劃并接受有關部門檢驗），則可以作為程序法中不起訴的理由或者實體法中排除刑事責任的理由。盡管這一構想在我國的刑事立法和司法實踐中仍處于探索階段，但作為互聯網平臺企業，不妨未雨綢繆，緊跟法治發展趨勢，通過合規管理來實現自身長期發展及利益最大化的目標。

三、網絡平臺建立數據合規管理制度的具體方案

（一）設立專門的數據合規管理組織

企業合規管理模式主要分為日常性合規管理和合規整改兩種。其中日常性合規管理是預防性管理，合規整改是企業已經面臨制裁警告時的針對性管理。[3]在這個意義上，網絡平臺的數據合規管理應當采取日常性合規管理為主、合規整改為補充的模式。企業在數據合規管理組織的設立上可以分為縱、橫兩個維度。從縱向上，由上至下設置合規管理委員會、專項合規小組、合規專員等層級。其中，合規管理委員會應設置于董事會內部，具有較高級別和權限，內設首席合規官;專項合規小組是指專門負責某個具體領域合規問題的團隊，例如數據合規、反壟斷合規等，專門負責數據合規的管理部門即屬于專項合規小組;合規專員則是專項合規小組的組成人員。從橫向上，數據合規管理團隊應當囊括企業的管理人員、法務人員、業務人員和技術人員以及專職合規專員，其中管理、法務、業務、技術人員來自企業的各部門，他們的職責都與數據合規管理存在密切聯系，專職合規專員則專門負責合規管理，并協調合規團隊中各部門組成人員的關系，保障合規管理順利進行。

（二）完善數據合規管理的制度流程

首先，要制定內部規范，作為數據合規管理的依據。比如制定《數據合規管理章程》，對于數據采集的規范、敏感數據的定義以及相應數據的安全保護策略等做出具體界定。[4]其次，明確數據合規管理的流程。從各國的經驗看，合規管理主要包括三大基本流程，即防范、監控、應對。[5]與之相對應，數據合規管理也應分為三個部分：一是數據風險防范體系，即預防數據處理違法違規事件發生的管理流程;二是數據風險監控體系，即及時識別數據風險并將其報告給管理層的管理流程;三是數據違規應對體系，即當數據處理違法違規事件發生后，如何進行查處、降低損失的管理流程。

（三）提升數據安全保護的技術水平

根據個人信息保護法的要求，網絡平臺及其運營者作為個人信息處理者，應當采取相應的安全技術措施（如加密處理、去標識化等）來保障用戶的個人信息安全。數據安全法也要求數據處理活動中必須采取相應的安全技術措施以及其他必要的措施，保障數據安全?；ヂ摼W平臺企業要履行個人信息保護和數據安全保護的法律義務，必須具備相應的技術水平。為此，首先，要保證企業內部的技術人員具有相應的資質和業務能力;其次，應定期對從業人員進行技術培訓和法律培訓，保障技術團隊具有識別和預防數據風險的能力，并且在發生了個人信息安全事件或者發現了數據安全漏洞等風險時能夠及時補救，將損失降到最低;最后，必要時企業可以聘請外部的技術團隊提供技術服務，或者在發生了重大信息泄露事件或者數據安全漏洞而企業內部無法自行解決時，及時求助于外部專業技術團隊，盡可能最快修復漏洞，控制損害范圍。

四、結語

當我們討論網絡平臺進行合規管理的必要性和緊迫性時，給出的理由主要是如果不這樣做將會有怎樣的弊端，而在諸多弊端中，真正引起平臺運營者重視的，恐怕只有自身的法律風險這一條。但是，法律在企業合規管理中的作用絕不僅僅是以法律制裁來威懾企業自覺，更存在一種如果企業進行了合規管理，將獲得法律的獎勵這種正向的激勵關系（合規不起訴即可以看作是法律對合規管理企業的獎勵）?；貧w到本文關注的問題，若要真正有效地規范網絡平臺對用戶個人信息的處理行為，僅靠企業自覺還不夠，只有當法律真正為合規管理的企業提供獎勵，企業才更有動力去自發地進行合規管理。

參考文獻：

[1] 張新寶.個人信息處理的基本原則[J].中國法律評論， 2021（5）：18-27.

[2] 王錫鋅.個人信息權益的三層構造及保護機制[J].現代法學， 2021（5）：105-123.

[3] 陳瑞華.有效合規管理的兩種模式[J].法制與社會發展，2021（1）：5-24.

[4] 杜澤.平臺“守法”才能長遠發展[J].中國信息界，2021（4）：58-62.

[5] 陳瑞華.企業合規基本理論[M].北京：法律出版社， 2021：5-6.