点击蓝字关注我们
企业数据合规的困境纾解与体系构建
鄢浩宇,武汉大学资本市场法治研究中心助理研究员
原载《华中科技大学学报(社会科学版)》
2024年第4期
摘要:在国际数据治理规则制定话语权争夺日益白热化的当下,我国数据治理制度体系面临自律治理不足的问题,企业数据合规制度作为自治—问责的治理模式,能够将企业作为数据治理的参与者和义务人,矫正数据治理中风险的错配和责任的转嫁,促进数字社会的多元治理,完善我国的数据治理制度体系。当下企业数据合规制度建设面临三重困境:制度激励的不足使得企业缺乏建设数据合规制度的内生动力,规则标准的散乱使得企业数据合规的实践缺乏统一明确的依据,组织架构的模糊使得相关义务和责任的承担缺乏实体。应当在分析借鉴域外数据合规相关制度经验的基础上,对我国企业数据合规制度构建作出制度性安排,建立体系化的合规激励机制,提炼系统性的合规规范体系,组建独立性和穿透性的合规组织实体,形成具有中国特色和制度优势的企业数据合规制度。
关键词:企业合规;数据合规;公司治理;合规激励;自治—问责
数字时代,各国都在积极探索数据治理的有效方案,争取抢占数据治理国际规则制定中的话语权。欧盟基于《一般数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)构建了以个人权利救济体系、合规问责制度(accountability)和行政监管体系为主的数据治理制度体系;美国基于联邦层面的《联邦贸易委员会法案》(Federal Trade Commission Act,以下简称“FTC法案”)第五章节的“禁止实施商业欺诈或不公平行为”条款以及各州层面的数据保护法案,构建了以企业隐私政策制定和履行为核心的自治—问责的数据治理制度体系;我国的数据治理制度体系主要由赋权—维权的个人权利救济体系和调查—执行的行政监管体系构成,对于市场和行业主体参与的自治—问责的自律治理体系重视不足,单纯依靠个人权利救济和行政监督管理使得我国在数据治理中容易落入数据主体自决能力不足和调查执行能效有限的制度窠臼。在“一带一路”倡议和制度型开放的背景下,数据要素市场的对外开放和数据治理规则的对标国际是制度型开放的重要部分,构建高水平的数据治理本土制度规则,对接甚至引领国际数据治理实践,是推进制度型开放的基本逻辑。企业数据合规制度作为一种自治—问责的治理模式,能够有效补充我国数据治理中自律治理欠缺的现实困境,构建多元共治的数据治理模式,完善数据治理制度体系,形成国际层面的数据治理制度优势。《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)中亦提出,要“鼓励企业创新内部数据合规管理体系”,企业数据合规制度的建设因而成为重要议题。
已有研究较少专门关注企业合规中数据合规制度的建设,多数研究主要集中于反垄断、反贿赂、知识产权及商业秘密等传统合规领域,例如在企业合规视角下探讨反垄断合规的制度价值、合规激励、标准和体系化建设,反贿赂合规的英美制度经验和本土制度探索,知识产权及商业秘密合规的制度价值、困境分析和制度完善等。部分研究关注企业数据合规的问题,并对制度的构建进行了一定的有益尝试,但或是仅停留于形而上的制度框架搭建,或是局限于犯罪治理、刑事合规的部门法研究视角,难言真正阐释了企业数据合规的制度价值,亦未能充分结合企业数据合规的具体实践和关键问题,从功能性和系统性层面为企业数据合规的制度建设提供理论供给。
本文从企业数据合规的现实需求和制度功能出发,提出企业数据合规应将企业作为数据治理的参与者和义务人,能够激发企业的自律治理能效,对于矫正数据治理中风险的错配和责任的转嫁、实现数字社会的多元共治具有重要意义。当下企业数据合规制度的建设面临合规激励不充分、规则标准不清晰、组织架构不健全等一系列现实困境,应当分析借鉴域外数据合规相关制度经验,建立体系化的合规激励机制,提炼系统性的数据合规规范体系,组建独立性和穿透性的合规组织实体,形成体系性的企业数据合规制度安排。
一、重新审视企业数据合规:通过自治和问责构建数字秩序
数字时代,企业的数字化转型能够实现降本增效,但同样带来了不可忽视的数据风险问题。企业数据合规不能被视为一种命令式安排,落入为了合规而合规的窠臼,而应当将其作为一种数据治理的重要手段,通过对企业的问责使其承担起应有的责任义务,实现企业与政府对数据活动的多元共治,达到更好的数据治理效果。
(一)从放任到问责:矫正数据治理的风险错配与责任转嫁
受制于传统权利保护路径的依赖,步入数字经济社会后,数据权利的保护在很大程度上仍然依靠数据主体的行权维权来实现,在以知情同意为核心的数据处理规则下,数据主体看似拥有了对自身数据权利的决定权,但受限于自身决策意愿的淡漠、认知和专业能力的限制,对于数据收集后如何处理、数据处理可能存在的风险无从知晓,亦无从判断,使得其所作出的自决行为实际上是形式化的。在数据收集处理活动中,数据处理者是风险的生产者和活动的受益者,本应承担相应的责任,但实践中数据处理者通过形式化的知情同意获得授权和免责,而数据主体这一相对弱势的群体,却承担了管理和保护数据的首要责任,相应的数据风险被默认转嫁给了数据主体。这一制度模式体现了数据风险和法律责任的不当配置,导致数据资源的利用存在较大的负外部性。为此,数据保护模式应当从关注数据主体的行权维权,转向关注数据处理者的行为规制,将制度重心放在数据处理者的数据处理行为及责任承担上,而不是放在收集数据之初的授权和同意上。企业数据合规制度转变了单一的赋权—维权的数据治理模式,关注企业在数据处理活动中的组织规范、行为规范和管理规范,使其真正承担起应有的数据保护责任,矫正数据治理中风险的错配和责任的转嫁,调整数据处理者和数据主体间不平衡的权利义务架构。
在互联网兴起的早期阶段,数据治理中的风险错配和责任转嫁导致的数据利用负外部性并未引起足够重视,而在高度网络化和数字化的数字社会,这一风险错配和责任转嫁将严重影响数字经济的发展秩序,亟须通过对数据处理者的问责来进行相应的矫正。互联网技术发展和应用的早期阶段,数据毁损、篡改和泄露的后果通常表现为局部区域内的影响,彼时制定的《计算机信息系统安全保护条例》等法规及相关配套办法均针对计算机信息系统及其相关设备设施的安全保护,对于数据安全、相关主体的数据权益保护并未给予充分重视。随着互联网技术的发展成熟和数字技术的蓬勃兴起,在大数据、算法、人工智能等技术加持下,数据毁损、泄露、篡改的风险被放大,泄露的数据经由技术性的处理,可以更为便捷和精准地单独或与其他信息相结合识别到特定的主体,并在算法和人工智能的技术辅助下对被识别的特定主体采取差异化和针对性的措施。由此,数据泄露的风险不再仅仅表现为对某一局部区域内的影响,而是在网络和技术的加持下,产生损害范围上的传递性和损害程度上的深入性。数字时代,继续放任数据风险的错配和数据责任的转嫁将严重制约数字经济的发展,企业数据合规制度旨在加强对企业数据处理活动的问责,使企业承担起应有的数据保护责任,矫正数据治理中的风险错配和责任转嫁,降低数据利用的负外部性,以规范数据活动的秩序,促进数字经济的健康发展。
(二)从管制到共治:实现数据治理的模式进阶
中国的社会治理经历了从一元治理到多元治理、从集权到分权、从管制政府到服务政府的变迁,社会治理模式的转变蕴含的是多元主体的互动、协商与合作,而不再仅仅是自上而下单方面的控制与命令。企业作为公共管理的子系统和社会治理的微结构,在数字治理中发挥着重要作用,企业内部建立数据合规治理体系,对于社会层面整体的数据治理具有重要意义。
数据治理体现出很强的技术性、专业性和广泛性特征,对政府的监管和执法能力提出了更高的要求,传统命令控制型的治理方式预设政府全知全能的监管者角色,忽视了政府在数据治理中可能面临的一系列困境。其一,数据活动的信息不对称可能导致政府监管面临信息失灵的困境。政府作为市场活动之外的第三方主体,并未直接参与市场活动,对市场的主体和行为信息了解有限,即使通过报告、通知等方式也仍可能造成信息获取上的滞后性和片面性,因此难以做到对市场状况的及时、准确、完整的了解,导致政府所作出的监管决策可能存在缺陷。其二,数据活动的广泛性和专业性可能导致政府监管面临执法效能的困境。随着数字经济的发展和市场需求的增加,数据活动愈发频繁,涉及的问题更为复杂和专业,而政府由于监管资源相对有限、技术手段相对滞后,难以事无巨细地实现对所有微观层面数据活动的治理监管。在上述两个现实困境的影响下,政府对数据的监管可能因治理能力的缺失落入“科林格里奇”陷阱,造成数据监管的畸松或畸严,甚至出现监管权力的扩张和寻租,导致数据活动的失序。
企业数据合规制度下,企业通过自我监管的强化形成自律治理和落实主体责任,政府从直接监管具体微观事务变为监管企业的内部自律治理情况,从而提高政府监管的效率,形成“后设监管”的监管架构,构建多元共治的数据治理模式。对于企业而言,企业数据合规制度能够激励企业在数据活动中自我监管、自我报告、自我披露和自我整改,将数据合规的行政强制转化为企业内部的自律治理,尊重不同企业合规条件和合规需求的差异性,发挥企业的主观能动性。对于政府而言,企业数据合规的自律监管可以避免政府直接介入微观具体的数据活动监管中,从直接监管者转变为监管“构建者”,降低政府的监管和执法成本,提高政府监管的容错率,将治理监管精力放在更为中观和宏观的强制力威慑、监管评估和规则制定上。由此,企业数据合规制度使企业从单纯的被监管对象转变为数据治理的参与者,有利于企业和政府之间形成双向互动关系,构建自治和他治的数据多元共治格局,实现更加科学有效的数据治理。
二、制度实施的三重困境:激励缺乏、标准不清与组织失位
实践中,企业数据合规制度的实施面临三重困境,即制度激励的缺乏使得形式合规和实际合规呈现“两层皮”,制度规则的散乱使得对数据合规的依据和义务履行的判断缺乏标准,合规组织的失位使得义务的履行和责任的承担缺乏依托的实体,由此导致企业数据合规如同空中楼阁,难以真正落实并发挥制度效果。
(一)激励缺乏:刑事与行政合规激励不足
企业数据合规作为自治—问责的治理模式,其核心在于政府通过激励手段诱导企业建立内部的自律治理体系,并以强制力作为威慑,规范企业的自律治理,因此合规激励是企业数据合规制度启动和延续的关键。目前,我国的企业数据合规激励机制并不充分,以刑事合规激励和行政合规激励为代表的合规激励机制未能完全发挥效用。
在企业数据合规中,刑事合规激励的运用面临以下几个方面的问题:首先,刑法在众多部门法当中具有最为明显的谦抑性,其作为社会治理的最后手段,显然无法普遍和广泛地介入所有数据治理中,仅有极少部分数据活动可能涉及刑法规制,因此从一开始就决定了刑事合规激励极为有限的适用范围;其次,合规不起诉主要适用于轻微刑事案件,不适用于严重的刑事犯罪,否则将突破罪行法定和罪责相适应原则,由此进一步缩减了刑事合规激励的适用范围;再次,减免量刑建议在数据合规当中的适用效果有限,检察机关提出的合规减免刑罚的量刑建议对于法院量刑的影响存在不确定性,未必能够产生实质性的合规激励。最后,合规不起诉面临手段合理性和目的正当性缺失的问题,目前合规不起诉尚不存在实体法上的依据,可能产生违反刑法平等原则、扩张检方权力、诱发制度异化的风险,还存在刑事程序衔接难、合规考察期限把控难、案件整改验收难等问题,使得其在企业数据合规中的应用面临较大的不稳定性。
除刑事合规激励外,企业合规还包括行政合规激励。相较于刑事合规激励,行政合规激励是适用范围更为广泛、应用前景更为广阔的合规激励机制,但行政合规激励也难以直接适用于企业数据合规激励中。理论上,行政合规激励主要包括三个方面:一是事前合规激励,可以将企业事前已建立并实施的合规制度作为2021年新修订《行政处罚法》(以下简称“新《行政处罚法》”)第33条第2款规定的“当事人有证据足以证明没有主观过错”的情形,从而使企业免于行政处罚;二是事后合规激励,可以将企业事后建立或整改合规制度作为新《行政处罚法》及相关部门法中规定的“及时纠正并消除损害后果”的情形,从而使企业减轻或免受行政处罚;三是行政和解激励,可以将企业建立、实施或整改企业内部合规体系作为适用行政执法和解制度(也称“行政执法当事人承诺制度”)的条件或参考因素,使企业能够与执法机关达成行政和解协议或承诺认可协议,从而免受处罚。但行政合规激励适用于企业数据合规中面临以下几个方面的问题:首先,事前合规激励需要突破传统行政处罚中的客观归责原则。传统行政处罚持客观归责立场,即不考虑行政相对人的主观过错,而以客观损害后果作为行政处罚构成的依据。虽然新《行政处罚法》转为采用主客观相统一的归责模式,将主观过错作为行政处罚是否成立的要件,但在实际执法中能否摆脱传统客观归责的路径依赖、如何证明合规体系的建立与企业主观无过错的关联性等问题,成为企业适用事前合规激励的难点。其次,事后合规激励中的免予处罚面临行政权不可处分的法教义学解释难题。减轻处罚属于行政机关的选择裁量,涉及罚多或罚少,可以解释为自由裁量,但免予处罚属于决定裁量,关涉到罚与不罚,必须获得严格的立法授权,否则将面临权力失控的风险,新《行政处罚法》第33条第1款中仅提供了“行为轻微并及时整改,没有造成危害后果”的极为有限的事后免罚依据,其他情形下的合规整改免予处罚难以完全获得法教义学上的合理解释,从功能主义视角采取法政策学的解释路径亦存在争议,导致事后合规激励适用范围较为有限。再次,行政和解制度的适用面临合规导向不明、立法授权空白的困境。行政和解制度发端于反垄断执法中,后在证券期货执法中试点并推行。在反垄断执法和证券期货执法的行政和解中,执法机构更多的是通过宽大处理的方式诱导被执法对象与执法机构达成承诺和协议,由此来提高执法效率,节约行政成本,化解执法纠纷;要求被执法对象在规定期限内合规整改,及时报告整改情况,以防止再次出现违规行为。在这一行政和解模式下,执法机构对于被执法对象事前是否建立和实施了合规机制并不关注,仅关注事后的合规整改,只能起到违规事件已经发生后的控制风险、减小损害的作用,对于事前事中的预防治理和合规激励效果有限。最后,与反垄断执法和证券期货执法不同,在数据监管执法中,立法并未授权执法机构能够通过行政和解的方式与被执法对象达成和解协议,从而不予处罚,导致行政和解制度在数据监管执法中的适用面临困境。
已有的刑事合规激励机制和行政合规激励机制都无法完全适用和满足企业数据合规,须调整和完善现有的合规激励机制,建立适应于企业数据合规的激励体系。
(二)标准不清:制度要求和规范依据散乱无序
首先,企业数据合规的规范渊源不清。我国存在大量与企业合规和数据合规相关的规则、标准和指南,数量众多、内容繁杂,不仅缺乏整体的规范渊源体系,而且不同规范渊源之间的效力层级模糊。《中央企业合规管理办法》将合规的规范渊源归纳为法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求;《合规管理体系 要求及使用指南》(以下简称《合规管理指南》)将合规的规范渊源归纳为法律法规、监管要求、行业准则和组织标准,以及良好的治理标准、普遍接受的最佳实践、道德规范和社区期望;还有观点认为合规的规范渊源应当包括法院的判决、监管机构的执法和行政决定。在数量众多的企业数据合规的规范渊源中,若不提炼归纳核心的制度规则体系、不区分不同规范渊源的效力层级,将导致企业数据合规义务的严重泛化,给数字企业带来沉重的合规负担。
其次,企业数据合规的规范内容不清。法律层面出于稳定性和包容性的考量,对于企业数据合规的具体要求和细化规则做了大量留白,使得实践中企业数据合规制度的建立实施在很大程度上需要参照行业标准、推荐指南等软性规范中的规则内容,但不同行业、不同领域的标准和指南间却存在规则内容上的难以兼容甚至矛盾冲突,可能导致实践中企业数据合规制度建设的混乱。其一,部分标准指南与现行法律法规存在冲突。在目前的数据保护实践中,《信息安全技术 个人信息安全规范》(以下简称“《个人信息安全规范》”)是业内较为认可的标准指南,被广泛适用于企业的数据合规建设甚至行政机构的监管执法中,但《个人信息安全规范》存在的部分缺陷使其难以完全作为企业数据合规的参考标准。一方面,《个人信息安全规范》的推出早于《个人信息保护法》的颁布,意味着其不能直接作为《个人信息保护法》的一项针对性的解释性规范,而仅具有参考意义;另一方面,《个人信息安全规范》与《个人信息保护法》中的相关规定存在不一致和不统一之处,若不进行一定的调和适用,可能导致实践中企业数据合规制度建设的混乱。例如,《个人信息安全规范》中对于收集敏感个人信息、共享转让和公开披露个人信息采取的是“明示同意”的授权标准,而《个人信息保护法》对于以上几种个人信息处理方式采取的是“单独同意”的标准;《个人信息安全规范》中对于应当进行个人信息保护影响评估的几种个人信息处理情形与《个人信息保护法》中的规定也存在差异,由此导致标准指南与现行法律的冲突。其二,不同标准指南之间存在不兼容与不统一。例如,《数据安全法》中的数据分类分级保护制度是数据合规中的一项重要制度,其中的数据分级标准和重要数据识别标准是制度的关键,但实践中《金融数据安全 数据分类分级指南》《证券期货业数据分类分级指引》《工业数据分类分级指南(试行)》等不同标准指南对于数据具体应当如何分级、重要数据如何识别判定等问题存在较大分歧。现有关于数据合规的标准指南存在以上不同程度的缺陷,作为企业合规统一参照标准的《合规管理指南》又无力对数据合规这一专门性的问题作出针对性的规范,导致企业数据合规制度建设缺乏统一的规范指引。
(三)组织失位:义务主体和组织架构模糊缺位
在企业数据合规中,网络安全负责人、数据安全负责人、个人信息保护负责人等相关负责人(以下简称数据保护相关负责人)是重要的监督和责任人员,数据合规委员会、数据合规部门等是必要的合规组织体系,但实践中,数据保护相关负责人的定位和职能不清,数据合规组织体系建设混乱,导致企业数据合规的制度效用难以发挥。
首先,数据保护相关负责人的制度实施标准不清。其一,设立条件和选任标准不清。《网络安全法》《数据安全法》《个人信息保护法》中分别规定一定情况下企业应当设立网络安全负责人、数据安全负责人和个人信息保护负责人,除网络安全负责人的设立要求较为明确外,数据安全负责人设立涉及的“重要数据”和个人信息保护负责人设立涉及的“处理个人信息达到一定规模”均未给出明确的判断标准,相关负责人的选任应当满足何种资质水平、经过何种选任程序、是否应当专职等问题并不明确。其二,相关负责人的职责定位不清。实践中,部分企业并未明晰不同数据保护负责人的职责定位,数据安全负责人、个人信息保护负责人、网络安全负责人由同一人兼任,导致职责上的混同。其三,相关负责人的具体职责内容不清。个人信息保护负责人的具体职责在《个人信息保护法》第52条中有部分界定,但极为原则;数据安全负责人、网络安全负责人的具体职责则几乎没有法律层面的界定,导致实践中即使设置了数据保护相关负责人,却不明确其具体的监督和工作职责,也无法判断其是否充分履行相关义务。
其次,数据合规组织架构在企业已有组织架构中的嵌入与衔接不清。其一,数据保护相关负责人在企业管理和业务层中的嵌入问题。实践中,企业的数据保护相关负责人在职级上与董事层、经理层之间的关系不明,在职务上与商业实践中的首席数据官、首席信息官、首席技术官等职务区分较为模糊,往往直接由党委书记、董事长、法定代表人、总经理、副总经理、法务总监等兼任,导致数据保护相关负责人或是缺乏足够的资源和威慑力对企业的数据活动进行监督,或是职务兼任中产生利益冲突和职责矛盾。其二,数据合规委员会、数据合规部门等数据合规治理组织在企业已有的合规治理组织和业务经营部门中的嵌入问题。传统的企业合规组织架构中已经形成了合规委员会或审计委员会的合规决策和管理组织,并形成了专门性的合规部门,将数据合规组织体系直接并入传统的合规组织架构中,可能会产生权力掣肘问题,独立于传统的合规组织架构又将造成职能重叠和过大的制度成本,给数据合规组织架构的设计带来挑战。
三、制度构建的体系安排:合规激励下的规则和组织建设
企业数据合规制度体系的构建包括三个方面的内容:首先,需要完整有效的合规激励机制,促使企业建立并实施数据合规制度;其次,需要统一明确的规则标准,指引企业履行数据合规的具体要求,规范数据收集处理活动;最后,需要职责清晰的组织架构,作为各项数据合规义务履行和责任承担的实体,确保企业数据合规制度的真正落实。
(一)加强合规激励:构建体系化的合规激励机制
企业数据合规制度之所以难以发挥制度效果,很大程度上是由于相对匮乏的制度激励手段难以调动企业建立内部数据自律治理体系的积极性,导致自我监管强化的失效。因此,数据合规制度启动和延续的关键在于建立一套完整有效的合规激励机制,促进企业建立“去纸面化”的有效数据合规体系。
在欧盟和美国的企业数据合规制度建设中,分别采用了不同的合规激励手段,体现了不同制度环境下合规激励的因地制宜。欧盟GDPR通过行为准则(codes of conduct)和认证(certification)两种方式来实现对企业数据合规的激励。行为准则是指行业协会和市场主体根据不同行业特征和不同企业规模制定的促进GDPR合理适用的细化规则和标准;认证是指经官方认可的认证机构出具的相关数据处理操作符合GDPR规定的证明,该证明被称为欧盟数据保护印章(the European Data Protection Seal)。行为准则的功能类似于安全港规则(safe harbor rule),一旦某项行为准则被监管机构批准,依照该行为准则进行的数据处理活动就能够获得相应的责任豁免,一些行为准则还可能最终上升为欧盟层级的数据保护法律。认证并不能够和行为准则一样豁免企业的数据处理责任,但能够一定程度降低合规风险,并通过市场筛选机制使得已经通过认证的企业获得行业商誉和消费者的认可。美国通过行政和解令的方式来实现对企业数据合规的激励,当企业违规处理数据活动时,可以与监管机构达成和解协议以避免市场资格被剥夺和高额罚款等严苛的惩罚责任,代价是违规企业需要履行和解协议中的各项内容,包括及时纠正相关违规行为、控制违规数据行为造成的风险和减少损害、对相关受侵害主体进行经济赔偿、整改数据合规制度、定期进行数据合规报告等。其中,整改数据合规制度、定期进行数据合规报告即在于促使企业建立和落实数据合规制度,预防相关数据违规事件的再次发生。
我国并不存在欧盟合规激励模式中监管机构批准行业行为准则的执法惯例,也缺乏美国合规激励模式中数据监管执法机构实施行政和解的立法授权,因此欧美的合规激励机制仅能够提供一定的经验借鉴,本土化的企业数据合规激励仍需结合我国的制度语境和法律体系进行构建。具体而言,可以从以下两个方面构建企业数据合规的激励机制:首先,应当加强事前合规激励的解释适用和配套制度建设。可以将企业已建立并实施数据合规制度作为新《行政处罚法》第33条第2款规定的主观无过错情形从而免予处罚,借鉴欧盟GDPR中行为准则和认证制度来作为判断标准,当企业依据行业普遍认可的标准指南建立并实施数据合规制度,并且经过独立、权威的第三方机构认证满足合规标准时,可以认定企业不存在数据违规的主观过错,从而免予处罚,仅须要求企业及时整改并消除损害后果,以此形成对企业数据合规制度建设的制度激励。作为制度配套,应当加快形成具有统领性和认可度的合规标准指南,培育独立性和权威性的第三方数据合规认证机构。其次,在条件成熟时,应当通过立法授予数据监管执法机构行政和解权限,一方面规定已经建立、实施数据合规制度的企业能够获得更大限度的行政和解机会,从而形成对企业数据合规制度的建设激励;另一方面应当在和解协议中明确企业的整改措施应当包括建立完整有效的数据合规制度,并定期报告、确保落实,从而加强行政和解的合规导向,促进企业合规制度的建设。
(二)明确规范指引:形成系统性的数据合规规范体系
企业数据合规的规范渊源数量众多,若不加区分地要求企业全部遵守,将导致数据合规义务的严重泛化,给企业带来沉重负担。应当提炼归纳核心的数据合规要求,区分不同规范渊源的效力等级,形成系统性的数据合规规范体系。具体而言,包括三个方面:其一,法律法规、监管要求属于强制性规定,应当留有数据合规自律治理和数字经济自由发展的空间;其二,司法判决、监管执法案例并不具有普适性,但可以作为司法和行政层面对于数据合规制度实践的指导,通过能动性的司法审判和行政执法不断细化和明确数据合规的标准;其三,行业协会、市场主体形成的标准指南是具有软法意义的推荐性规范,数据治理的普遍性、技术性、复杂性、应时性决定了强制性的法律法规无力对其进行常规的、定准的调整,而具有软法性质的标准指南将发挥最为直接和最为广泛的作用。
首先,应当形成具有统领性的数据合规标准指南。标准指南中应当包括企业数据合规的核心制度规则,具体可以归纳为:数据合规处理规则和数据风险管理规则,前者是指数据处理中的行为规范要求,后者是指数据活动中的风险管理要求。数据处理合规要求包括数据收集合规和数据使用合规,前者包括直接收集、间接收集、公开爬取三种基本数据收集渠道的合规要求,后者应当涵盖数据的存储、访问、分析、共享、传输和公开等数据处理全生命周期的合规要求。数据风险管理要求包括数据风险的预防机制、识别机制和应对机制三大内容,三大内容项下又分别包含一系列的风险管理制度规则(图1),从而形成标准指南中的核心规范内容。
其次,应当通过司法审判和行政执法指引企业数据合规实践,不断细化和明确数据合规标准。司法审判层面,我国虽然不存在英美法系的判例法传统,但仍然可以通过司法公开的个案示范的方式为企业数据合规的实践提供指引和准则。行政执法层面,美国FTC通过大量实施的和解令将自身的执法行为体系化,不同行业和领域的和解令经过专门设计并充分公开透明,旨在对相同行业和领域内的数据合规实践产生指导性的影响。我国的数据监管执法虽然不具备实施行政和解的条件,但仍然可以通过发布执法公告的方式援引与数据合规相关的规范要求,并对企业的具体违规事项进行说明,通过行政执法来实现对企业数据合规体系建设的指引。
最后,应当保持法律法规等数据合规强制性规范的包容审慎。数字经济产业作为新型业态,在产业模式、行为方式和组织形式等方面与传统产业存在较大差距,对其监管相较于传统行业而言应当具有更高的包容性,以避免对产业创新的扼杀。实证研究表明,企业合规成本不仅包括人员薪酬成本、资产筹备成本等直接成本,还包括机会成本、守法成本、信息成本等间接成本,过高的合规要求可能使企业有限的资源更多地配置在业务合规而非业务创新上,影响数字企业的创新活力和数字经济的持续发展。因此,法律法规作为企业数据合规的强制性规范,应当恪守包容审慎,避免一刀切的制度规定和形式化、指标性的企业合规要求;以切实防范、识别和应对风险作为企业数据合规的建设目标,充分发挥企业自治。
通过以上三方面的企业数据合规规范建设,最终形成一个法律法规等强制性规范明确核心和原则要求、司法审判和行政执法指引和确认合规实践、标准指南等软性规范发挥最大程度自律治理的系统性规范体系。
(三)优化组织架构:组建独立性和穿透性的合规实体
合规组织有效发挥作用应当具备四大条件:独立、权威、资源和信息。独立是指合规组织部门的职位不能有利益冲突,应当与业务部门、财务部门进行分离,且合规组织部门的人员选任程序应当相对独立,相关人员不能被随意罢免;权威是指合规组织部门应当具备一定的职级地位,拥有一定的权力威望,具备足够的监督话语权;资源是指合规组织部门应当具有必要的人力、物力和财力投入,使得相关合规工作的开展具备经济和技术上的基础;信息是指合规组织部门应当具备上下畅通的沟通渠道,对下拥有相对便利的渠道获知企业内部的业务合规情况,对上可以直接将相关合规事项向主要负责人汇报。以上四大条件中,独立性是合规组织应当具备的首要条件,否则将从根本上消解合规组织的意义;权威、资源和信息可以归结为合规组织的穿透性,保障合规组织能够渗透企业的每一个业务条线和数据处理活动,充分发挥合规组织的监督作用。因此,企业数据合规组织架构的建设应当注重独立性和穿透性两大要素。
首先,应当厘清数据保护相关负责人的设立条件和选任标准,明确相应的职级定位和职责内容。在设立条件上,《个人信息保护法》仅规定了“处理个人信息达到一定规模”需设立个人信息保护负责人的模糊标准,《个人信息安全规范》第11.1.c项中从定量的角度对其进行了一定的细化,但其作为一项在《个人信息保护法》出台之前公布的国家推荐性标准不具备强制力和针对性的解释力,仅具有一定的参考性,未来仍应以修订标准或出台司法解释的方式确认个人信息保护负责人的设立条件,并且为防止企业通过数量操作的方式规避设立个人信息保护负责人,在设立条件的判断上不应拘泥于数据处理的数量标准,除定量的规定外,还应加入兜底性和概括性的定性考量。在选任标准上,个人信息保护负责人应当具备相关管理工作经历和个人信息保护专业知识,不得兼任业务、财务相关的职务,且应当为专职人员。在职级定位上,为突出个人信息保护负责人的独立性和监督职能,可以在企业章程中规定个人信息保护负责人的任免条件和任免程序,应当将其定位为董事或企业高级管理人员,并可以就个人信息保护相关事项直接向主要负责人汇报。在职责内容上,《个人信息保护法》仅做了“对个人信息处理活动以及采取的保护措施等进行监督”的极为原则性的规定,《个人信息安全规范》第11.1.d项中对个人信息保护负责人的职责内容作了更为细化的规定,但同样面临不具备强制力和针对性解释力的问题,且从职责定位上看,与《个人信息保护法》中的规定存在明显差异。从制度目的和规则解释的角度,个人信息保护负责人的职责内容应当从监督企业个人信息处理活动和监督企业采取的个人信保护措施两个方面出发,一方面应当监督个人信息的收集、存储、访问、分析、共享、传输和公开等处理活动是否符合合规要求,另一方面应当监督企业是否已经建立并执行个人信息保护的风险预防、风险识别和风险应对等保护措施。
网络安全负责人属于网络运营者均应设立的职位。从制度目的上看,网络安全负责人并未被赋予法定的监督和管理职责,更多的是作为承担网络运营法律后果的最终责任人而存在,因此其一般可以由企业的法定代表人或主要负责人来兼任。数据安全负责人的设立以重要数据的识别为前提,其职责以重要数据的保护义务为核心,明确重要数据的识别标准和重要数据保护义务的内容即能够明确数据安全负责人的设立条件和职责内容。在数据安全负责人选任标准和职级定位方面,与个人信息保护负责人具有较高的相似性,可以以个人信息保护负责人的相关讨论为参考。
其次,应当明确数据合规委员会、数据合规部门等数据合规组织架构在企业已有组织架构中的嵌入和衔接。数据合规委员会—数据合规负责人—数据合规部门—数据合规专员的数据合规组织架构是较为理想的组织架构模式,其目的在于将数据合规渗入企业的每一个业务条线,形成对企业数据处理活动和数据保护措施的“穿透式监管”。数据合规委员会属于数据合规组织架构的最高议事机构,单独在董事会下设立数据合规委员会可能与企业原有的合规委员会或审计委员会形成职能上的重叠和职权上的冲突,可以将数据合规委员会内嵌入企业已有的合规委员会中,确保合规委员会中设有一定数量的数据合规法律和技术人员,将数据合规事项作为合规委员会的专门性议事事项。数据合规负责人属于数据合规的专门性管理人员,一般为企业的内部人员,其与企业已有的总合规负责人可以是隶属关系或兼任关系,也可以具有一定的独立性。为突出数据合规负责人的独立性,可以在企业章程中规定数据合规负责人的职责、任免条件和任免程序,并赋予其高级管理人员的职级权限,可以允许其就重大的数据合规事项直接向企业主要负责人汇报。数据合规部门是数据合规监督的专门性部门,由分布在各业务部门的数据合规专员组成,主要负责调查并汇报企业各业务部门的数据合规情况,监督企业具体业务中的数据处理活动。
应当注意的是,数据合规具有一定的制度成本,企业是否设置以及设置何种形态的数据合规组织架构,完全取决于不同企业的风险状况、企业规模和企业性质。2023年新修订的《公司法》第177条仅强调了国家出资公司应当建立健全合规治理体系,而并未对上市公司、非上市公众公司和其他类型公司作特殊规定;《中央企业合规管理办法》第11、12条允许合规委员会与企业其他已有委员会合署办公,合规负责人不增设新的岗位和职数;《个人信息保护法》仅在第58条加重了大型网络平台建立个人信息保护合规制度的义务,而并未对一般数字企业的个人信息保护合规制度建设给予强调。以上规定均是立法层面对尽可能避免增加企业合规制度成本的考量。实际上,数据合规监管的重点并非对具体合规组织架构的监管,而是对整体数据合规制度有效性的监管,对于中小规模企业、数据业务有限或数据风险较低的企业,不宜强制性要求其在已经高度精简的组织机构上设置额外的数据合规机构、增设额外的数据合规岗位、配备额外的数据合规人员,否则不仅难增收益,反而徒生成本。因此,除网络安全负责人、数据安全负责人、个人信息保护负责人等相关负责人在企业参与网络数据活动达到一定程度必须强制设立外,数据合规组织架构的设置应当是推荐性而非强制性的,作为一种最优组织架构模式的参考,供企业根据自身实际情况进行选择和调整。
四、结语
乌尔里希·贝克在20世纪80年代预言,步入工业社会后随着科学和技术的发展,人类将“生活在现代文明的火山口”,未知的、意料之外的后果将使得所有人都可能处于危险之中。社会风险作为现代化自反性的后果,随着科技发展和全球化趋势的加快,其范围将愈发扩大并变得空前深刻。数字时代,人们在享受科技带来诸多便利的同时,事实上也正在被科技奴役,企业在数据活动中产生的各类风险可能使个人和组织权益、社会公共利益甚至国家安全遭到侵蚀,并在数字化和网络化的环境下产生损害范围的传递性和损害程度的深入性,最终造成不可逆的后果。企业数据合规制度旨在激励企业建立数据合规体系,预防、识别和应对企业在业务活动中可能产生的数据风险,通过问责机制强化企业的自律治理和自我监管,矫正数据治理中的风险错配和责任转嫁,促进数字社会的多元共治,完善我国的数据治理制度体系,实现由数字大国向数字强国的转型。
- 欢迎关注本微信公众号 -
《华中科技大学学报(社会科学版)》
唯一官方微信平台
联系电话:027-87543616
投稿网站:http://hzls.cbpt.cnki.net/
版权所有
欢迎个人转发,媒体转载请联系授权
(文中插图未经注明均来自网络)
长按识别二维码关注我们
点“阅读原文”了解更多