下载掌阅APP,畅读海量书库
立即打开
数据安全合规的基本原则,是指规范数据的收集、存储、使用、加工、传输、提供、公开等数据全生命周期的处理活动,并指导数据安全合规监督管理的基础性法律准则,是贯穿于数据安全合规的主导思想。
总体上,数据安全合规,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
通过对数据合规相关规范性文件进行分析、提炼,可将我国数据安全合规应遵循的基本原则归纳为合法性原则、合理性原则、平衡性原则和公益性原则。
由于任何数据处理活动在客观上都可能影响数据主体的正当权益、公共安全乃至国家安全,因此数据安全合规需要遵循的首要原则是合法性原则。合法性原则,是指经过数据安全合规,必须保证数据处理活动不能侵害组织和个人的合法利益,不能影响国家安全、公共安全、经济安全和社会稳定,不能侵犯国家秘密、商业秘密和个人隐私。
数据安全合规的合法性原则应同时在两个层面得到体现:
一是形式上的合法,合规方案必须符合所有相关法律、行政法规、司法解释、部门规章、地方性法规、地方政府规章、强制性标准的规定,而非仅满足其中某一部或某几部法律。欧盟数据保护委员会(European Data Protection Broad,EDPB)的前身,第29条工作组(Article 29 Data Protection Working Party)指出,应对合法中的“法”做最为广义的解释,在欧盟立法体系中,应包括各种形式的成文法和普通法、初级立法和次级立法;立法、市政法令、先例、宪法原则、基本权利、其他法律原则及判例,换言之,所有法院在审理案件时可能考虑到的法律规范都属于合法的范畴。
当数据需要跨境传输时,需要对数据进行二重甚至多重合规,即数据处理活动必须符合每一个数据出口国和进口国的相关规定;当数据中包含个人信息时,数据处理活动必须满足《个人信息保护法》中关于个人信息保护的具体规则,并遵循合法、正当、必要、诚信原则,目的限制原则,公开透明原则,准确性原则,责任承担原则等个人信息处理原则对包含个人信息的数据进行处理。
二是实质上的合法,数据处理活动必须依照合规方案开展,合规不能只停留在纸面上。数据安全合规的实现有赖于数据处理者建立的严格内部管理制度和科学合理的操作规程,将数据合规工作标准化、系统化、制度化。
不管处理何种类型的数据,在内部管理上,企业至少要按照法律、法规的规定,采取网络安全等级保护制度,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,加强风险监测与风险补救机制建设,建立健全信息报告制度。
数据安全合规的合法性原则,还要求数据安全合规能够涵盖数据收集、存储、使用、加工、传输、提供、公开的全过程。例如,在处理资格问题上,法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可;在数据的收集和使用问题上,开展具体的数据处理活动时,任何组织、个人收集数据,均应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据;在数据传输和提供问题上,从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
数据安全合规的合理性原则是比例原则在数据安全合规领域的具体适用,其具体要求是在进行数据安全合规时,采取的措施不仅要符合法律规定,而且必须能够实现预定的数据处理目标。由于不同的数据处理活动对数据安全合规的要求不同,因此数据安全合规的首要任务是对数据进行分类分级,在分类分级的基础上对重要数据进行重点保护。这一原则在我国立法上也得到了充分体现,如《数据安全法》第二十一条规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护;《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
数据安全合规保障的安全应是动态的数据安全而非静态的数据安全,因此合规方案的制订并不是一劳永逸的,而是需要根据法律政策的变化、数据所处环境的不同、技术能力的进步等因素进行调整。正如个人信息保护需要依据具体场景进行判断,数据安全合规也需要引入场景化原则,结合具体的数据处理环境进行分别合规。这也意味着,不同的数据处理者采取的数据安全合规方案应是不同的,完全照搬照抄其他数据处理者的合规方案并不可取。
在实践层面,我国法律将保障数据安全的措施分为技术措施和其他必要措施两类,其他必要措施中,最为重要的是组织措施。因此,数据安全合规的合理性要求至少在技术措施和组织措施上,能够实现预定的数据处理目标。
技术措施,是指数据处理者采取的保障数据活动在安全范围内开展的技术方法或技术手段。为保障数据安全,应充分利用人工智能、大数据分析等技术,积极落实网络安全管理和技术防范措施,强化网络安全监测、态势感知、通报预警和应急处置等重点工作,综合采取数据安全保护、保卫、保障措施,防范和遏制重大数据安全风险、事件发生。
现阶段,在数据安全领域较为流行的技术措施有差异隐私技术、多方安全计算、联邦学习等,这些用以保障数据安全的技术措施虽然在技术原理和实现方式上各不相同,但其遵循的理念是类似的,即在不接触数据具体内容的情况下实现对数据的利用,其最终目标是在对数据进行处理的过程中对数据本身的内容一无所知。
在数据安全合规实践中,具体采取何种技术措施,应在综合考量数据的类别、处理方式、处理目的、隐含风险的大小等因素的基础上确定。
组织措施,是指数据处理者在对内部数据处理程序分工和工作流程进行合理设计的基础上,建立的内部组织架构与管理规章制度。根据处理数据类别和敏感程度的不同,数据安全合规需要采取的组织措施也不尽相同。例如,重要数据的处理者需要明确数据安全负责人和管理机构、对其数据处理活动定期开展风险评估并向有关主管部门报送风险评估报告、经过安全评估后跨境传输重要数据,但一般数据的处理者并不需要采取这些额外的组织措施;关键信息基础设施的运营者在一般网络安全保护义务的基础上,还需要采取设置专门安全管理机构和安全管理负责人,定期对从业人员进行网络安全教育、技术培训和技能考核,制订网络安全事件应急预案并定期演练等组织措施保障关键信息基础设施的安全。
平衡是一种各利益主体的核心利益得到保护和实现,并让渡非核心利益作为他方实现其核心利益的条件和基础的张力状态。
平衡性原则,是指开展数据合规,要兼顾数据安全保护与数据利用与流通,实现数据安全和数据利用的平衡。平衡原则是世界各国制定数据安全相关法律法规的核心原则。虽然各国在制定数据安全相关法律法规时,会因为数据保护理念、数据经济发展水平和立法传统的不同,而有不同的立法偏好。但此种偏好并非在数据安全保护和数据利用与流通之间进行非此即彼的二元选择,而是在同时强调数据保护和数据利用的基础上,选择稍微偏重哪一方,其背后的指导思想始终是平衡原则。
例如,我国《数据安全法》将“规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益”作为立法宗旨;美国《加州隐私权法案》( California Privacy Rights Act ,CPRA)也在立法目的一节规定,法律的实施要同时注意对商业和创新的影响,要在不损害或削弱消费者隐私的情况下促进商业效率的提高;最强调数据安全的欧盟《通用数据保护条例》,也在第一条第三款强调“不得以保护与处理的个人数据相关的自然人为由,限制或禁止个人数据在欧盟内部的自由流动”。
现代数据安全保护制度建立的现实基础是,信息革命后,以计算机为代表的自动化处理系统处理数据的能力显著提高。数据处理产生的风险与数据价值呈正相关:数据处理能力越强,数据能够被挖掘出的价值越高,数据处理活动引发的数据安全风险也越高。因此,从某种意义上来说,现代数据安全保护制度的核心目的便是通过制度性约束,在促进数字经济发展、挖掘数据价值的同时,将数据利用带来的风险降至最低,从而实现对国家安全、个人和组织合法利益的保护。
企业进行数据合规的目的是保障企业能够持续稳定地开展业务,而非将数据安全作为企业的最终目的,否则企业不收集、不分析、不传输、不存储任何数据即可。因此,企业在进行数据安全合规,采取相应的技术措施和其他必要措施以保障数据安全时,要综合考虑采取的措施对具体业务开展的影响,当存在多种合规方案时,应尽可能选择对企业影响最小的一种,避免企业成为数据孤岛。
对于不同的数据处理者,数据合规的要求也应有所区别,对于业务涉及网络销售、生活服务、社交娱乐、信息资讯、金融服务、计算应用六大类中至少两类的超级互联网平台,应施加较高的合规要求,明确内部合规治理结构,增设“守门人义务”,强化社会外部力量监督。其中,“守门人义务”,是指平台型数据处理者需要对平台生态内提供服务的第三方数据处理者通过制定合理的平台规则,一方面要求规则设定本身需要遵循公平、公正、公开的原则,接受监管和司法审查以及公众监督;另一方面需要平台对第三方遵守的情况进行监督,必要时需采取停止接入等措施。
此外,我国数据安全合规的目标应是形成社会层面的合力,以实现民众利益或福利的最大化,而非仅在短时间内实现个人数据权利的最大化。为实现这一目的,数据安全合规也并非越严格越好,以较低价格或者免费获得数字化的产品和服务也是必要的。
这也决定了,数据安全合规并非具有不可挑战性,在特殊情况下,对数据安全的保护也需要让位于其他事务。例如,根据《数据安全法》第三十五条的规定,公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。总之,将平衡性原则融入数据安全合规的全过程,不仅有利于企业创造更多的经济价值,也有利于推动信息技术的发展,促进数字经济的繁荣。
《数据安全法》第二十八条规定:“开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。”本条规定是《民法典》公序良俗原则在网络与数据法领域具象化的价值导向。数据处理者应出于良善的目的并采用符合社会公德的手段开展数据处理活动,而不被允许将收集的数据用于违背社会伦理、克减社会公共利益的途径。开展数据处理活动是一把“双刃剑”:一方面,科学技术是第一生产力。数据被誉为“信息时代的能源”,没有数据流转便没有物联网、人工智能、区块链等新兴科技的发展,数据新技术蕴含着巨大的经济价值。另一方面,技术始终是实现人类目标的手段。
庞大数据流和作为商业秘密的算法,是普通人看不见、摸不着的“黑匣子”,并不如传统领域一般容易检查与评价。
数据处理者不仅面临数据泄露、系统崩溃等技术风险,还须避免发生科技伦理问题。基于此,《数据安全法》第四章对社会公共利益的保障内化为数据处理者合规建设的法定环节,使得数据安全义务不仅不限于安全保障技术措施的内容,还覆盖了对公共利益的审慎注意义务,更要求其在收集、加工、流转等数据活动中积极追求符合社会道德与科技伦理的效果。此种意义下,数据安全义务的外延已超越“技术安全”本身。
义务主体进行数据合规治理时,应谨防逾越数据活动的“伦理红线”。实践中典型的违背社会公共利益的数据处理活动包括歧视性定价、侵犯个人隐私、搜索排名等权利异化。以“大数据杀熟”为例,所谓“杀熟”,本质是算法歧视,商家依据大数据所反映的消费者偏好针对同一商品或服务实施不同定价,榨取消费者剩余:对黏性强、消费意愿高的“熟客”展示较高价格,对黏性弱、尚未树立消费意愿的“新客”则展示较低价格,“不同的”消费者往往不知情地接受了差异化定价——在经济学中属于“一级价格歧视”,又称“完全的价格歧视”。人只能是目的而不能是手段。本是服务于人的商品和服务,却因不良商家滥用大数据分析等技术将用户沦为攫取利益的手段、沦为数字经济生产中的工具。这一行为不仅违反市场规则,更有悖商业道德,腐蚀健康发展的经济社会。符合社会公共利益义务就是要从社会意义上限缩此种过分自私的数据处理之影响范围、减少对他人的有害行为、消除两败俱伤的争斗以及社会生活中潜在的分裂力量从而加强社会和谐。
【典型案例】胡女士诉上海某旅游商务有限公司侵权纠纷案
胡女士是某旅游平台享受8.5折优惠价的钻石贵宾客户。2020年7月,原告胡女士通过该公司App以2889元订购了某酒店一间客房,然而酒店对同一房型的线下挂牌价仅为1377.63元。胡女士不仅没有享受应有优惠,反而多支付了一倍的房价。经沟通,该公司平台以其非订单的合同相对方为由仅退还了部分差价。胡女士以该公司平台采集个人非必要信息、进行“大数据杀熟”为由诉至法院,提出两项诉讼请求:其一,退一赔三;其二,该公司App为其增加不同意“服务协议”和“隐私政策”时仍可继续使用的选项。
一审法院认为:就第一项请求,被告作为中介平台对标的实际价值有如实报告义务。被告向原告承诺享有优惠价,却无价格监管措施,向原告展现了一个溢价100%的失实价格,未践行承诺。故被告存在虚假宣传、价格欺诈和欺骗行为,支持原告退一赔三。就第二项请求:用户下载该公司App后须点击同意“服务协议”“隐私政策”方能使用,是以拒绝提供服务形成对用户的强制。该公司App的“隐私政策”还要求用户授权该公司自动收集日志信息、设备信息、软件信息、位置信息等个人信息,超越了形成订单必需的要素信息范围。而且,相关“服务协议”“隐私政策”均要求用户特别授权该公司将用户信息分享给被告可随意界定的关联公司、业务合作伙伴进行进一步商业利用,既无必要性,又无限加重用户个人信息使用风险。原告因之不同意被告现有“服务协议”和“隐私政策”应予支持——这亦构成本案“大数据‘杀熟’第一案”之称号来源。
经某旅游公司上诉,二审法院维持了一审对于被告构成欺诈的认定,但驳回了原告的第二项诉讼请求。二审法院首先追认了胡女士具有非必要个人信息使用拒绝权,某旅游App的“隐私政策”明确载明该公司可能将订单数据用于分析从而形成用户画像,且消费者胡女士确实支付了不合理高价并没有得到适当补偿,因此其关于“大数据杀熟”的诉请有一定事实支持,确认了该公司处理消费者个人信息的行为超出了法律允许的范围。但消费者不可因“服务协议”“隐私政策”中个别侵犯消费者个人信息权益的条款而要求公司增加“不同意使用信息仍可使用App”的选项。虽然该决定可能会达到制止或预防侵权行为发生的目的,但亦会对众多用户的利益产生深远影响,应当慎重选择平衡信息提供者利益、数据平台使用者利益和公共利益。