网络民营企业数据合规的风险防范与体系建设——以Z公司非法获取计算机信息系统数据案为视角

数据合规作为信息网络社会中企业合规的具体类型之一,它通过促进信息网络公司依法依规处理信息数据,实现企业利益与国家安全、个人信息保护的有效平衡,有利于实现个人信息保护和数据安全领域的“国家监管”向“合规治理”模式转变。信息网络公司作为数字经济时代和网络社会的“看门人”,数据合规是其履行信息网络安全管理义务的必要途径。从数据的完整生命周期来看,数据合规风险主要包括数据收集中的合规风险、数据提供中的合规风险、数据跨境中的合规风险等不同类型。企业需要根据《数据安全法》《个人信息保护法》等法律法规来制定相应的合规政策,在数据分类分级基础上确立不同类型数据的处理流程和内部规则,建立贯穿数据收集、存储、处理、提供、销毁等完整生命周期的数据合规体系,在公司治理结构中设置以数据安全负责人/个人信息保护负责人为核心的数据合规组织机构。     

数据安全刑事治理的冗余机制

作为国家治理的重要领域，数据安全治理具有系统复杂性，需要增强应对数据安全刑事风险的适应性。系统论中冗余控制原理与风险刑法观念契合，数据安全刑事治理冗余机制包括风险识别、法益衡量、责任分担、入罪缓冲等内容。对于冗余机制应当合理设置并限制运用，以避免产生负面效应。构建数据安全刑事治理体系，须具备内外部两方面的冗余机制。体系内部冗余包括两方面：在立法层面，刑法总则与分则条文之间、刑法分则的罪名之间和罪状之中，以及刑事制裁措施及附属刑法规范中都具有相应的冗余机制；在司法层面，刑事裁量与刑事执行、刑事司法解释、刑行关系衔接中也蕴含着冗余机制。外部冗余机制有硬法和软法两种形式，包括数据犯罪的前置性行政法、民法规范、刑事政策以及企业刑事合规中的冗余机制。上述冗余机制的有机结合，能够为数据安全刑事治理体系运行提供安全、稳定的保障，是数据安全刑事治理现代化的可行路径。     

个人敏感数据的法律保护：欧盟立法及借鉴

互联网时代,个人敏感数据的泄露将导致个人权利和利益受到重大威胁,亟需保护。欧盟通过隐私权和数据保护权双管齐下的方式对其予以保护,但囿于隐私权保护的范围、消极性和救济不足,数据保护权的一般保护规则、救济规则和保障义务不足,无法提供充分有效保护。欧盟针对个人敏感数据创设了差异化禁止处理规则、例外规则、个人特别救济规则,并课以数据服务方严格保障义务,以期实现保护适当、利用合理、救济及时、权责对等,值得借鉴。我国应根据数据敏感程度设置差别保护,创设例外规则,禁止格式条款,严格保障机制。     

数据安全出境评估规则与适用——《数据出境安全评估办法》解读

数据安全出境评估是我国《网络安全法》《数据安全法》《个人信息保护法》确立的一项重要国家数据安全出境评估法律制度。通过分析《数据出境安全评估办法》出台的背景及法律依据,围绕《数据出境安全评估办法》确立的规则,深度解析了数据出境与数据出境安全评估规则的适用、数据出境评估的基本原则和需要申报数据出境评估的情形、数据提供者开展数据出境风险自评估的要点、国家数据出境安全评估的程序和风险点,以及签订数据出境标准合同应注意的事项等。     

数据权、数据主权的确立与大数据保护的基本原则

随着云计算、物联网、传感网、移动互联网等蓬勃发展,催生了数据规模的爆炸式增长,人类已大步迈入大数据时代。大数据蕴含着巨大的经济、社会、科研价值和无限的开发潜能,若治理不当,不仅会引发隐私问题、个人信息安全问题,甚至还会影响国家安全和社会稳定。为迎接大数据时代的机遇和挑战,对大数据保护应遵循数据主权原则、数据保护原则、数据自由原则和数据安全原则等基本原则,并在此基础上构建数据主权和数据权法律制度。数据主权主要包括数据管理权和数据控制权,对数据跨国流通的管理和控制是其中最为重要的内容。数据权包括个人数据权和数据财产权。     

论生态文明演进中的能源数据分类分级制度构建

能源数据分类分级制度以价值位阶和风险管理理论为基石,旨在科学归类和定级能源数据,以便为不同类型和级别的能源数据配置相应的保护和流通规则,是平衡能源数据安全保护与流通利用的关键性制度。在该制度中,分类以“属性”为标准,全面考量了治理目标、保护需求以及对分级的铺垫作用等多方面因素,将能源数据划分为三个主要类型：个人能源数据、企业能源数据和公共能源数据。在此基础上,分级以“后果”为标准,对这三种类型的能源数据分别进行定级,形成了具体的分级体系。其中,个人能源数据被细分为一般和敏感两个级别,企业能源数据被分为四级,而公共能源数据则涵盖五个不同级别。这一制度的确立有助于在确保能源数据安全的前提下,推动数据的流通和应用,提升能源数据管理的高效性和可行性,对于维护国家能源安全和促进生态文明建设具备重要意义。     

数据全球化与数据主权的对抗态势和中国应对 ——基于数据安全视角的分析

数据主权是网络主权延伸到数据层面的必然结果,其背后折射的是国家主权利益,但在行使方式上可能存在不同的利益诉求,并将深刻影响数据跨境流动的效率和成本.自"棱镜门"等多起网络安全事件爆发后,出于维护国家安全、加强公众个人信息保护和促进数字经济发展的现实需要,世界各国(地区)政府纷纷采取措施规制数据跨境流动,催生了美国"云法案"等一批将传统管辖权伸及网络空间的制度设计,深刻地挑战了网络空间秩序,印度等新兴市场国家则通过数据本地化措施予以应对.数据安全属于非传统安全,中国应坚持数据安全流动的基本立场,完善数据跨境流动统一立法,在国际治理中主动开展国际合作,以更具建设性的姿态融入数据全球化进程之中.     

企业落实个人数据携带权的问题研究

《个人信息保护法》明确了个人享有数据携带权,我国企业须应对数据携带权的合规问题。企业应在收集个人数据时积极主动提示个人享有数据携带权,并设置适当的身份认证确保请求数据的主体与请求数据的相关性,可将数据可携的范围限于以用户主动提供的数据为主、部分观察数据为辅,应在技术可行的范围内尽快回应申请,在数据传输的技术层面上可先落实一次性传输数据的方式,格式层面上选择本领域已经存在的适当格式。此外,实践中企业可参考金融业分层安全标准或DTP项目应对数据安全风险,通过筛选排除第三人数据的方式降低侵犯第三人权利的风险,提前做好应对商业秘密泄露风险的数据筛选方案以维护自身的商业利益。     

区块链技术嵌入医联体信息化建设:内在逻辑与现实挑战

信息化建设是医联体建设的重要内容和重点领域。现阶段的医联体信息化建设存在着医疗信息数据难共享、医疗隐私数据易泄露、医疗数据质量难改观等问题。文章通过梳理区块链的技术原理，发现区块链技术同医联体信息化建设有着高度的契合性并能以智能化的应对方式密切医患互动关系、保障数据高效共享、加强数据安全治理以及提升数据准确性、一致性、时效性和规整性，因此，区块链技术嵌入医联体信息化建设具有可行性。但区块链技术应用于医联体信息化建设在技术、理念、监管等方面还存在诸多挑战，未来仍需提升技术应用手段、转变医方观念体系、健全法规监管模式。     

数据泄露通知制度研究

人类社会已进入数据驱动时代。层出不穷的数据泄露事件,既威胁数据主体的人身和财产安全,也给数据控制者的商誉带来巨大损失。网络安全的重心已由信息系统安全转变为数据安全。数据泄露通知制度能够最大限度防控数据泄露引发的损害。中国个人信息保护立法应引入数据泄露通知制度。遵循数据处理安全原则、透明度原则,数据泄露通知应当以通知主体、启动条件、通知对象、通知时限、通知方式、通知内容和未履行泄露通知义务的民事责任为重点进行制度建构。     

个人健康医疗数据可携权的本土化

数据可携权的提法源自欧盟2016年《通用数据保护条例》，出于健康医疗领域数据来源者权利保护与数据资源共享的需求，我国也存在设立个人健康医疗数据可携权的现实必要性，但该权利设立面临立法、司法与数据安全方面的障碍。我国《个人信息保护法》第四十五条第三款首次规定了个人信息携带权，但仅作原则性规定，为个人健康医疗数据适用该条款留下了解释空间。信息与数据虽然存在内容与形式的区别，但根据有关理论与实践，将个人健康医疗数据归入可携权的客体范畴具有一定合理性与可行性。因此，建议参照适用《个人信息保护法》个人信息携带权的规定，并通过部门规章和司法解释明晰个人健康医疗数据可携权的行使条件和健康医疗数据安全保障义务，从而推进我国个人健康医疗数据可携权的设立及保障。     

大数据时代个人数据利用与保护的均衡——“资源准入模式”之提出

在大数据时代,传统的人格权、财产权两种个人数据保护路径不仅无法为个人隐私提供实质性保障,而且已成为制约数据利用的重要掣肘。借助经济学上的公共物品概念可以发现,所谓平衡个人数据的利用与保护实际上就是如何合理圈定数据流转范围的问题,应采用兼顾个人数据利用与保护的“资源准入模式”：第一,只有具备数据安全保障能力的企业才能收集、使用个人数据,且个人数据只能在适格企业范围内流转;第二,被收集后的个人数据以可逆转的方式在适格企业范围内成为公共物品;第三,应匹配相应的私权规则、激励规则、行政监管手段,并对接统一的数据资源平台。     

建设统一数据要素大市场的科学内涵、内在逻辑与政策建议

如何促进数据要素流通、释放数据价值是亟待研究的重大时代课题，建设统一数据要素大市场为破解数据要素流通难题提供了可行方案。从统一大市场的基本内涵和数据要素的特殊属性相结合角度来理解统一数据要素大市场的科学内涵，是指“统一”的数据产权制度、流通交易制度、收益分配制度和安全治理制度，基于效用敏感性的数据要素“大”生产、基于生态圈的数据要素“大”分工、基于双重信任困境的数据要素“大”流通以及基于场景依赖性的数据要素高“质量”,基于网络效应的“竞争机制”、基于成本结构特性的“供求机制”和基于数据外部性的“价格机制”。从数据要素市场演化的历史逻辑，数据要素助推经济增长、赋能产业资本循环的理论逻辑，塑造国际竞争新优势、建设创新型国家以构建双循环新发展格局的现实逻辑的辩证统一关系出发，建设统一数据要素大市场具有必然性、科学性和必要性。据此建议加强数据基础制度体系建设，消除阻碍数据要素跨部门、跨平台、跨地区流通的壁垒；坚持分层次、分区域逐步推进全国统一数据要素市场建设；完善数据安全治理框架，筑牢数据安全防线。     

全国高校文科学报概览

<正>上海交通大学学报2022年第5期郭雳:《数字化时代个人金融数据治理的“精巧”进路》指出针对个人金融数据的良法善治是我国数字经济发展的关键。个人金融数据治理中出现的数据泄露与管理失范的现象,可能引发直接经济损失及国家安全风险。现有治理体系存在治理框架体系性与协调性缺乏、治理标准不周延、治理路径滞碍颇多、治理对象与结构之间张力显著等问题。“精巧规制”理论主张治理主体与治理工具的多元组合,并在治理体系的诸多方面与个人金融数据治理相适配。朝向“精巧”的个人金融数据治理转型应以政府法令完善数据治理框架,厘清数据治理的底线红线,加强数据全链条保护下的事中阶段治理,倡导政府、第三方组织与公民社会的多元主体协同共治,引导和规范治理对象的自我规制。     

大数据安全法律保障机制研究

"大数据"近年来可谓炙手可热,成为众人瞩目的焦点,蕴含着巨大的价值和无限的开发潜能。在大数据这个无硝烟战场上的落后和失守,会引发个人信息安全问题,甚至还会影响社会发展和国家安全。目前,我国在大数据安全保障方面的政策法规还付之阙如。为迎接大数据时代的机遇和挑战,我国应构建大数据安全法律保障机制。该保障机制由总则、私法机制、刑法机制、行政法机制和国际法机制等五大部分组成,并遵循数据主权原则、数据保护原则、数据自由原则和数据安全原则等基本原则。     

论公共数据的类型化规制及其立法落实

公共数据规范概念扩展造成立法对公共数据的规制规则无法一体化适用等困境,应通过在类型化的基础上分别设置各类公共数据规制内容的方式消解。通过解构公共数据的公共性要素,可以提炼出基于数源主体与数据内容公共性程度差异的分类标准,并据此将其分为政务数据、公共非营利主体数据、公共营利主体数据和非公共营利主体数据四类。各类公共数据的规制内容体现为根据其属性特征确定的强制性义务。具言之,政务数据应负担完整的数据共享、开放和管理义务,公共非营利主体数据应负担数据共享、开放义务和较高程度的数据管理义务,公共营利主体数据应负担数据共享义务和适度的数据管理义务,非公共营利主体数据只需负担数据共享义务。藉由分层嵌入规范对象的立法安排可以有效落实公共数据类型化规制的方案,规避公共数据集中立法存在的概念规范与规制规则彼此失调的体系性矛盾。     

数据全生命周期安全风险及其刑法回应路径

在数字经济时代数据成为关键生产要素，数据全生命周期的风险管控是维系数字经济稳健发展的关键环节，因而有必要建立数据全生命周期的刑法保障制度。数据全生命周期的风险识别机制，包括风险识别的类型化、法律风险的定型化、刑法风险的规范化等。根据数据风险的形成机制，数据全生命周期的风险，有静态安全风险和动态安全风险两种范式，两种范式的刑法回应思路存在差异。基于数据是多元利益的承载者、主体属性模糊等特点，以及数字经济时代促进共享、流动的价值导向，刑法应当在适度的积极预防主义刑法观和数据安全法益观的指导下，明确“动静二分”的数据安全体系配置，建立以规制动态安全风险为重心，以规制静态安全风险为补充的保障体系。同时在刑事立法层面增设破坏数据完整性罪和危害算法安全罪，在司法层面重树解释理念，以实现产业利益与数据安全的协同发展。     

中概股赴美上市的数据安全审视：风险来源、中美监管与应对

中概股主体赴美上市存在内容涉密、体量聚合的数据安全风险来源。美国证券信息披露制度对该主体的监管，影响着我国数据安全。中美审计监管合作协议虽有助于弥合审计监管分歧，但仍存在数据安全风险，并可能出现监管矛盾。故此，检视我国现有的相关监管规则，建议我国健全对中概股主体数据安全风险的前置预防与后续追踪机制，实现对数据风险的周延性监管；针对数据安全风险来源，实施差异化处理，完善宽严有别、各有侧重的数据出境安全风险评估机制。     

ChatGPT模型引入我国数字政府建设：功能、风险及其规制

数字政府建设关涉国家治理体系与治理能力现代化，面对ChatGPT模型这一重大技术性突破，切实发挥其在我国数字政府建设之中的作用具有重要意义。在数字政府建设中植入ChatGPT模型，必须厘清技术赋能、技术风险以及技术规制之间的逻辑关联。ChatGPT模型能够推动数字政府的亲民化、高效化和智能化发展，但同时也可能引发国家层面的数据主权安全风险、政府层面的行政公共性解构风险以及个人层面的数据权利侵犯风险。规范ChatGPT模型的技术应用，需要推动ChatGPT数据的分类分级，完善ChatGPT模型的责任链条，明确国家对公民数据权利的保护义务，强化国家对ChatGPT技术的引导与研发。     

生成式人工智能数据风险的法律保护与规制研究——以ChatGPT潜在数据风险为例

ChatGPT是美国人工智能研究实验室OpenAI推出的一种人工智能技术驱动的自然语言处理工具,其深度的学习能力和自我纠正能力,提高了人工智能与人类之间的交往。ChatGPT在实现科学技术革新的同时,也存在敏感数据泄露的风险。ChatGPT在保护个人主体数据、企业主体数据和国家主体数据方面需要法律予以规范。因此,如何应对ChatGPT带来的数据安全,成为生成式人工智能亟待解决的问题。为此,通过分析ChatGPT运作阶段和数据主体应用现状可能存在的数据风险,以我国数据规制法律框架为基础,借鉴域外人工智能立法模式,探究ChatGPT的数据风险法治化应对策略,以此合理构建我国生成式人工智能的数据风险法律规制体系。