网络民营企业数据合规的风险防范与体系建设——以Z公司非法获取计算机信息系统数据案为视角

数据合规作为信息网络社会中企业合规的具体类型之一,它通过促进信息网络公司依法依规处理信息数据,实现企业利益与国家安全、个人信息保护的有效平衡,有利于实现个人信息保护和数据安全领域的“国家监管”向“合规治理”模式转变。信息网络公司作为数字经济时代和网络社会的“看门人”,数据合规是其履行信息网络安全管理义务的必要途径。从数据的完整生命周期来看,数据合规风险主要包括数据收集中的合规风险、数据提供中的合规风险、数据跨境中的合规风险等不同类型。企业需要根据《数据安全法》《个人信息保护法》等法律法规来制定相应的合规政策,在数据分类分级基础上确立不同类型数据的处理流程和内部规则,建立贯穿数据收集、存储、处理、提供、销毁等完整生命周期的数据合规体系,在公司治理结构中设置以数据安全负责人/个人信息保护负责人为核心的数据合规组织机构。     

从保护到流通：我国数据治理范式反思

“以保护促进流通”的策略仍然是当前数据治理的首要逻辑,在此策略基础上,形成了以数据权益保护为基础的数据治理范式。然而,以数据权益保护为核心的治理范式影响了数据库赋权、竞争法保护的司法实践,阻碍了数据流通利用,进而影响数据要素价值的实现,需重新进行数据治理范式选择。通过考察我国顶层设计与社会实践、欧盟的数据治理立法进程、美国数据治理制度的发展趋势发现,数据的价值实现有赖于数据流通。但是,目前尚未形成相应治理范式对数据流通予以支撑。证成数据流通治理范式,并以此为基础指导建构我国数据基础法律制度,已成为当务之急。我国数据治理范式应以数据分类分级为工具,以有利于数据流通为前提,以数据权益保护为保障,结合不同应用场景赋予数据主体相应的数据权益,才能呼应数据“三权分置”的顶层设计。     

数据治理研究——基于数据主体分类的治理

在大数据时代,数据已经成为各国发展的重要战略资源,优化数据治理也成为各国掌握发展优先权的关键。数据分类治理是为划清不同数据主体的界限,保护各数据主体的利益,从而实现数据治理的有序化。数据主体的利益剖析是数据治理的前提,个人数据治理应当保护个人数据的人格利益,明确个人数据与企业数据之间的权利界限,建立行政监管机制,杜绝企业肆意侵犯个人数据利益的行为。企业数据治理应当建立在信息披露、合规治理的基础上,充分发挥数据的经济价值。企业数据与政府数据应当建立在平等原则基础上,促进企业数据与政府数据流通。政府数据治理应当以维护公共利益为目标,在保障数据安全的同时达到数据公共利益最大化。     

大数据时代个人数据利用与保护的均衡——“资源准入模式”之提出

在大数据时代,传统的人格权、财产权两种个人数据保护路径不仅无法为个人隐私提供实质性保障,而且已成为制约数据利用的重要掣肘。借助经济学上的公共物品概念可以发现,所谓平衡个人数据的利用与保护实际上就是如何合理圈定数据流转范围的问题,应采用兼顾个人数据利用与保护的“资源准入模式”：第一,只有具备数据安全保障能力的企业才能收集、使用个人数据,且个人数据只能在适格企业范围内流转;第二,被收集后的个人数据以可逆转的方式在适格企业范围内成为公共物品;第三,应匹配相应的私权规则、激励规则、行政监管手段,并对接统一的数据资源平台。     

总体国家安全观下教育数据安全治理体系的反思与完善

数据安全是教育信息化的根基和保障，推进教育信息化应平衡教育数据的发展和安全。教育数据滥用不仅威胁个人隐私和教育管理秩序，在总体国家安全观视域下也会引发政治、经济等领域安全风险。当前，我国教育数据安全治理体系中存在规则混乱、缺失、冲突等问题，需要采用整体视角和运用法治思维对三个关键维度的规则进行完善，以形成统筹协调的治理体系：首先应明确教育数据基础共性标准和安全技术标准，在识别重要数据、个人数据的基础上修正数据安全管理制度；其次应赋予教育数据控制者、处理者以数据安全保护义务，并丰富其义务形式；最后应区分泄露个人数据、非个人数据的不同法律责任，构建教育数据泄露多元追责路径，并设置法定免责条款。实施教育数据安全治理有利于实现兼顾维护总体国家安全与释放教育数据价值的治理目标，切实推动教育现代化高效可持续发展。     

数据爬取行为刑事不法认定的应然转向

滥用数据爬取技术有必要动用刑法加以规制,但司法实务及理论界的主要观点皆以爬取行为避开或突破技术保护措施作为判定刑事不法性的依据,导致刑法保护对象发生偏误,也抽空了数据犯罪的法益保护内容,抑制了数据公共价值的释放。以数据分类分级为基础建构数据安全法益,对数据爬取行为刑事不法的认定要以在客观上侵犯数据安全法益,主观上对行为方式与爬取数据的总量、数据表征的信息内容存在明知的事实上进行。数据爬取行为刑事不法性标准的重塑可作为《刑法》第285条第2款的“违反国家规定”与“情节严重”之间构建适格的构成要件行为的过渡,并可为非法获取数据行为确立值得刑法规制的罪质。     

我国农业数据跨境传输规制标准构建

为纵深推进数字农业新发展格局,拉动我国农业迈入国际化快车道,有必要审视我国现行农业数据跨境传输规制标准问题,参照并适应CPTTP、RCEP相关规定,从四个维度扫清农业数据国际流通标准障碍：(1)建构数据安全传输本地化分级分类管理标准,廓清农业数据跨境安全分级管理目录,制定数字农业数据跨境传输本地化安全管理标准;(2)形成农业数据风险管理标准,界定农业数据传输三层级风险范围,细化农业数据不同风险等级控制措施;(3)设计农业数据跨境传输合理安全阀标准,细化数据“等效性”保护标准条件,设定数据跨境传输“等效性”具体认定规则;(4)打造农业数据跨境传输处理流程标准,具化数据传输具体审查业务,建立数据传输及时认证制度,设立数据进口风险实时检查机制,形成数据传输处理紧急应对措施。     

大数据时代个人信息“控制—利用”二元立法路径重构

大数据时代的个人信息立法应平衡个人信息控制保护与促进利用的关系。当前国内外个人信息立法的既有路径未协调好这一关系,出现知情同意机制失灵、个人信息出售机制乱象、匿名化制度遭遇技术壁垒的困局。破除既有路径困境的关键是从应然目标、理论基础和规则重建三个方面,对个人信息“控制—利用”二元立法路径进行体系化重构。二元路径的目标是通过划清私人领域与公共领域的界限,以平衡个人信息控制保护与利用流通的关系;理论基础是承认个人信息的人格与财产双层、个人与公共的双重价值属性;通过构建个人信息直接识别、个人信息利用促进、利用规制和信息财产权属制度,重构个人信息控制保护与促进流通利用的规则体系。     

基于数据主权与数据权利的学术期刊数据权保护

数字时代背景下,数据权保护是学术期刊进行信息网络传播所面临的重要问题。学术期刊数据权可分为两大类别,即国家所享有的数据主权与数据作者、研究单位、资助单位、学术期刊及网络出版平台等所享有的数据权利。在数据主权方面,我国在中外合作期刊方面存在数据控制风险;在数据权利方面,学术期刊数据的生成与流转存在权属争议和被侵权风险。数据安全问题导致我国学术期刊数据的流转存在障碍。鉴于此,应通过规范数据跨境流通,明确中外合作要点以保护国家之数据主权;通过探索多层级标准化保护规则,完善数据流通中各环节的协议内容与技术保障,保护私主体之数据权利,形成学术期刊数据权的体系化保护。     

论我国商业数据产权制度之构建

商业数据产权制度是数据要素市场的基础制度。当下商业数据产权制度体系构建面临着规范对象边界不明、确权授权属性不清以及对产业实践回应不足等现实困境。考虑到商业数据客体的特殊性、所涉法律关系的利益多元性以及数据竞争、数据交易等不同领域的差异性，为解决商业数据产权制度供给难以满足实践需求的困境，应当从基于关系进路理解权利、克服单一制度模式选择两个方面调整商业数据产权制度构建的理论依据。在竞争制度外，专门构建商业数据的有限排他权，为其配置相对受限的禁止权能以及较低门槛的许可权能，并对商业数据进行科学分类分级，统筹协调商业数据与公共数据的关系，以保障商业数据交易流通和有效利用。     

个人数据所有权归属问题的法经济学分析

解决大数据交易的法律和社会问题,避免给个人带来不利影响,关键在于明确数据的所有权。数据收集者取得个人数据,对他们而言,个人不是他们的用户而是商品,他们不会真正关注数据主体的个人隐私和人格权能问题。但是个人数据主体又无法发挥数据的真正价值。因此有必要明晰个人数据所有权的归属以发挥数据的最大效用。数据的价值主要在于商业利用,所以基于法经济学的视角对个人数据进行不同类型的分类,并在区别类型的基础之上,将个人数据分属不同主体所有,在最大的范围内达到个人数据的经济利用与人权保护最优状态。     

“数据要素×”赋能制造业：理论逻辑与实现路径

数据要素在工业制造领域具有很大的应用空间,《“数据要素×”三年行动计划(2024—2026年)》将工业制造作为发挥数据要素乘数效应的重点领域。从理论上看,数据要素在制造业领域的乘数效应发挥,其理论基础是数据化理论、工业互联网理论、数据生态理论、数据驱动决策理论、商业模式创新理论。数据要素赋能制造业,可以从制造业的研发、生产制造与服务能力等流程全面应用数据要素实现,也可以从数据要素为制造业提供模拟、仿真、优化、控制、预测等维度来实现。在政策上,要强化数据文化,推动数据互通、共享、复用;在制造业数据相关的底层技术方面加大研发投入,开发出适用制造业数据开发的通用工具;推动算力、算法、存储等相关配套设施与数据要素协同,支持数据要素相关的数据经纪人、数商、交易服务机构等协同发展,建立健全良好的数据生态;推动建设国家制造业数据中心,完善国家、地方、行业、团体的分级体系,对公共数据、企业数据、个人数据形成区别化的分级分类制度;强化制造业数据的安全保护标准,引导、推动行业协会等社会组织加强数据安全自律,完善数据安全体系建设。     

建设统一数据要素大市场的科学内涵、内在逻辑与政策建议

如何促进数据要素流通、释放数据价值是亟待研究的重大时代课题，建设统一数据要素大市场为破解数据要素流通难题提供了可行方案。从统一大市场的基本内涵和数据要素的特殊属性相结合角度来理解统一数据要素大市场的科学内涵，是指“统一”的数据产权制度、流通交易制度、收益分配制度和安全治理制度，基于效用敏感性的数据要素“大”生产、基于生态圈的数据要素“大”分工、基于双重信任困境的数据要素“大”流通以及基于场景依赖性的数据要素高“质量”,基于网络效应的“竞争机制”、基于成本结构特性的“供求机制”和基于数据外部性的“价格机制”。从数据要素市场演化的历史逻辑，数据要素助推经济增长、赋能产业资本循环的理论逻辑，塑造国际竞争新优势、建设创新型国家以构建双循环新发展格局的现实逻辑的辩证统一关系出发，建设统一数据要素大市场具有必然性、科学性和必要性。据此建议加强数据基础制度体系建设，消除阻碍数据要素跨部门、跨平台、跨地区流通的壁垒；坚持分层次、分区域逐步推进全国统一数据要素市场建设；完善数据安全治理框架，筑牢数据安全防线。     

非法获取个人数据犯罪的法益分析及处罚限定

个人信息权益、数据权益、信息管理秩序、数据安全秩序，是大数据时代下刑法保护的新兴法益。侵犯公民个人信息罪保护个人信息权益，非法获取计算机信息系统数据罪保护数据权益，二者都应作为个人法益保护。一方面，侵犯公民个人信息罪中“同意”要件的规范化构造，以刑法对个人信息的保护程度为基础，在因“同意”而产生的合理预期范围内由信息主体承担信息社会的风险。另一方面，以私法上个人数据确权理论为依据，非法获取计算机信息系统数据罪的对象应包含个人数据所承载的数据控制者的数据权益，处罚范围取决于个人数据上的企业投入及合法获取。非法获取个人数据的行为，可能构成侵犯公民个人信息罪与非法获取计算机信息系统数据罪的想象竞合。     

数据权、数据主权的确立与大数据保护的基本原则

随着云计算、物联网、传感网、移动互联网等蓬勃发展,催生了数据规模的爆炸式增长,人类已大步迈入大数据时代。大数据蕴含着巨大的经济、社会、科研价值和无限的开发潜能,若治理不当,不仅会引发隐私问题、个人信息安全问题,甚至还会影响国家安全和社会稳定。为迎接大数据时代的机遇和挑战,对大数据保护应遵循数据主权原则、数据保护原则、数据自由原则和数据安全原则等基本原则,并在此基础上构建数据主权和数据权法律制度。数据主权主要包括数据管理权和数据控制权,对数据跨国流通的管理和控制是其中最为重要的内容。数据权包括个人数据权和数据财产权。     

侵犯公民个人信息罪"情节严重"中信息分级保护的结构重塑

司法解释根据刑法保护必要性与紧迫性程度的不同将个人信息划分为三个层级并设置高低有别的入罪门槛,形成了公民个人信息的分级保护模式.这种模式最能直接反映行为的危害性程度与刑法对不同类型信息的保护力度,但其亦存在第一层级要素范围过窄、第二层级认定标准单一、第三层级行为类型欠缺的弊端.因此应对现行分级保护体系予以调整与完善.具体而言,应在第一层级中增加"生物识别信息"及"与性相关的信息";将第二层级的认定标准延展至"可能导致个人受到歧视",并且增加列举个人联系方式、个人经历信息、网络关联信息等常见的信息类型;为《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第6条设置"5万条以上"的信息数量标准,使其被纳入分级保护体系并作为第四层级.     

构建数据产权制度的核心要义

数据已经成为数字经济时代的基础性资源、重要生产力和关键生产要素,正在引发新型社会经济形态的变革,带动“数据生产力”的快速发展。为了更好地协调和处理与数据生产力发展相适应的数字化生产关系,有必要率先构建完备的数据基础制度。中共中央、国务院“数据二十条”系统构建了数据基础制度体系的“四梁八柱”。数据基础制度体系的核心是数据产权制度,创新数据产权制度体系要跳出所有权的思维,重点聚焦数据资源持有权、数据加工使用权、数据产品经营权的分置运行规则,促进公共数据、企业数据、个人数据分类分级确权授权使用机制,充分激发数据要素活力。     

智能网联汽车数据处理的法律规制：现实、挑战及进路

智能网联汽车代表着汽车产业未来的升级发展趋势,对数据的处理和应用是其智能化的核心。数据安全和数据利用效率是对智能联网汽车数据处理行为进行法律规制过程中的两个价值面向。随着汽车智能化和网联化水平的提升,引发了社会对于隐私、数据跨境传输、网络攻击等数据安全问题的担忧,同时,智能网联汽车个人数据边界模糊、知情同意制度难以落实、缺乏合理的数据共享开发机制等问题也对现有的数据治理制度提出挑战。为了应对这些问题,需要合理利用技术措施,完善智能网联汽车领域相关法律规范,根据行业特点对知情同意和数据共享制度进行调整,同时加强企业合作,共同探索数据安全风险防范模式和数据治理模式。     

数字经济环境下数据犯罪规制和认定模式的演变

在数字经济环境下,保证数据安全和保障数据共享活力同样重要,数据犯罪的规制和认定应当同时满足这两方面的需求。现有数据犯罪规制和认定采用的是权利保护模式,即通过保护数据权利主体的利益进行数据犯罪规制和认定。权利保护模式不能满足数字经济发展的需求;以非法获取行为为规制重点的前置化保护不当可能导致数据流通受阻;现行刑法规制数据犯罪行为方式的局限可能导致数据安全保护不全面。数据犯罪规制和认定应当采用秩序维护模式,关注数据价值实现过程中各方主体的利益,看重一般数据的公共产品属性。为实现数据犯罪规制和认定的秩序维护模式,立法者应当增设维护数据管理秩序的新罪名。在数据犯罪的司法认定上,也需要及时调整思路,做好保护数据安全和保障数据共享活力之间的利益平衡。     

平台共治视角下个人信用保护的范式转换

党的二十大报告提出建立市场经济中的信用基础制度,加强个人信息保护的目标。平台企业参与的信用治理是中国式现代化指引下的治理创新,始终在国家顶层设计中占据重要地位。随着平台企业成为信用治理的关键枢纽,个人信用保护面临信息处理边界不清和信用制度利益失衡的困境。必须仔细探寻个人信用保护困境背后的理论根源,防止信用共享共治异化为信用管制。现行信用法律制度在权利归属、程序设计、责任机制方面均存在空白,导致个人信用仅构成一种反射利益。传统权力制约范式难以回应数字时代的个人信用保护需求,新型信息权利是解决困境的根本,数据流通规则有助于解决权利成本过高问题。应当围绕个人在信息处理活动中的权利体系,完善数据流通规则,重建个人信用保护的法律框架。首先,必须明确界定信息的敏感程度及其信用评判价值功能,并对信用领域的信息处理行为适用层次化同意规则:针对有利于信息主体的正面敏感个人信息采取单独同意与资格准入规则,适用责任规则;针对不利于信息主体的负面敏感个人信息一般采取禁易规则,基于公共利益目的除外。其次,信用领域数据流通的商业实践要求转向行为风险规制模式,实施以合同为中心的支配规则,适当运用特别规则强化个人信用保护力度。其中,平台与经济组织之间的数据流通应当在同意规则以外,增设标准合同文本、平台责任强化、证明责任分配规则三类倾斜性保护措施。平台与行政部门之间的数据流通应当确立以主体责任和救济机制为关键内容的流通秩序。