【作者】 陈兵(南开大学法学院教授、博士生导师)
【来源】北大法宝法学期刊库《法治研究》2023年第2期(文末附本期期刊法学目录)。因篇幅较长,已略去原文注释。
内容提要:随着数字经济时代的到来,各国围绕数据跨境合规治理展开的利益博弈愈发激烈,增强数字企业数据合规意识、强化数据跨境合规治理已刻不容缓。当前,我国数字企业参与全球数据跨境流动面临内部数据合规管理体系不完善、国内国外合规风险加大、合规激励机制不健全等现实难题,亟待构建法治化治理路径予以纾解。数据跨境合规既是数字企业应当履行的社会责任,也是打造企业核心竞争力、开拓海外市场的重要保障。为此,应坚持规范与发展并重,以企业主动合规为抓手,推动国内立法与加强国际合作并进,在这一过程中需进一步优化合规激励机制,激活企业合规动力,为数字企业数据跨境流动合规治理提供系统化、法治化、常态化的保障机制。
关键词:数字企业;数据跨境流动;企业合规;合规激励;数据安全
目次 一、问题的提出 二、我国数据跨境治理现状及域外实践动向 三、数据跨境流动合规治理的难题审视 四、推进我国数字企业数据跨境合规的法治保障理路 五、结语
一
问题的提出
伴随着以数据跨境流动为核心的国际数字贸易蓬勃发展,数据要素的巨大价值和重要地位愈发显著。2016年2月,麦肯锡全球研究院(MGI)发布的《数据全球化:全球流动的新时代》显示,数据跨境流动对全球经济增长的贡献已经超过传统的跨国贸易和投资,数据全球化成为推动全球经济发展的重要力量。为回应数字经济发展和社会公共诉求,近年来我国出台并实施了《民法典》《电子商务法》《网络安全法》《数据安全法》《个人信息保护法》等法律规范,体现出全球共识和本土经验的融合。
与此同时,我国高度重视企业合规风险管理,推动企业对标国际标准加强合规建设。2006年10月,原中国银监会借鉴巴塞尔银行监管委员会制定《合规与银行内部合规部门》,发布《商业银行合规风险管理指引》,推广国际银行业金融机构合规风险管理的良好做法。2017年2月,国家标准化管理委员会借鉴国际标准化组织(ISO)发布的《合规管理体系指南》国际标准,制定了《合规管理体系指南》国家标准。2021年4月,基于企业合规管理实践,ISO发布《合规管理体系要求及使用指南》,代替《合规管理体系指南》,我国则相应出台了《合规管理体系要求及使用指南》国家标准征求意见稿。
总体而言,我国主要通过行政主导机制督促企业建设内部合规管理体系,具体包括强制合规、合规报告、合规评估、合规监管等措施。该机制在推动企业提升合规管理水平、增强国际竞争力等方面发挥了积极作用。然而在数据跨境流动合规治理领域,目前尚缺乏针对性的数据合规规范,面对日趋复杂的数据跨境流动国内国外合规形势,我国数字企业出海上市或拓展海外业务难免陷入合规困境。
2020年8月6日,特朗普政府以危害美国国家安全和外交政策为由宣布封禁TikTok;2021年7月,移动出行巨头“滴滴出行”未经安全审查赴美上市,国家网信办等七部门旋即联合进驻并开展安全审查,防止数据安全风险扩大化;2022年1月,美国联邦通信委员会以危害国家安全为由决定撤销中国联通美洲公司的214牌照,工信部随即表示坚决反对。由此观之,围绕数据跨境流动合规治理产生的国家利益博弈不断激化,增强数字企业数据合规意识、强化数据跨境流动合规治理已刻不容缓。
在理论研究方面,有关数据跨境流动治理的研究已较为丰富,但聚焦于数字企业合规的成果相对较少。较为详实的讨论如:张翔、杨东基于美国政府封禁TikTok事件,对我国出海企业数据合规治理进行反思,提出维护出海企业权益与国家数据利益的合规路径。许多奇基于企业“走出去”和“引进来”双向合规,探讨解决企业数据跨境流动合规难的法治保障方案。黄志雄、韦欣妤以《隐私盾协议》无效判决为视角,分析美欧数据跨境流动规则博弈对我国数字技术型公司合规成本的影响与对策。梅傲、侯之帅则针对互联网企业数据跨境面临的国际数据治理趋势,构建现代化、创新型跨境数据合规体系。总体言,现有数字企业数据跨境合规治理的讨论侧重于制度建构层面,有关数字企业国内国外双重合规的对策性研究仍然不足,有待对企业内部数据合规制度、合规激励机制等实操层面进行深入细致的分析探讨。
数字经济时代,数据要素成为经济发展的基础战略资源和关键创新要素,数据跨境流动合规治理成为主要国家或地区获取数据资源优势、发展数字产业的博弈焦点。2022年1月12日,国务院发布《关于印发“十四五”数字经济发展规划的通知》,明确提出“探索建立与数字经济持续健康发展相适应的治理方式”“健全完善数据跨境流动安全管理相关制度规范”“积极借鉴国际规则和经验,围绕数据跨境流动等重大问题探索建立治理规则。”为此,有必要充分掌握全球数据跨境监管的实践动向,全面分析我国数字企业数据跨境合规面临的现实挑战,推动构建系统化、法治化、常态化的数字企业数据跨境合规治理体系,助力我国数字经济高质量发展。
二
我国数据跨境治理现状及域外实践动向
当前,数字企业数据跨境合规治理已成为国际社会关注的焦点。国内治理方面,针对重要数据和个人信息等监管重点,初步建立了以数据本地化存储为原则、数据出境安全评估为例外的数据跨境治理模式。域外方面,美国、欧盟等发达数字经济体纷纷制定数据跨境监管规则,日本、新加坡等新兴数字经济体也相继出台相关法律政策,以求在新一轮科技革命中占得先机,提升数字经济国际竞争力。
(一)我国数据跨境治理现状
我国的数据立法起步较晚,目前尚未出台数据跨境治理专门性立法,但以《网络安全法》《数据安全法》《个人信息保护法》为基础的数据跨境治理法律体系已对此问题予以回应,该体系的核心在于数据本地化存储原则与数据出境安全评估机制。
1.数据本地化存储原则
为维护国家数据主权、安全和发展利益,我国实行较为严格的数据本地化存储模式。2017年6月1日生效的《网络安全法》首次从法律层面提出了数据本地化存储原则,该法第37条明确要求关键信息基础设施运营者应当将在我国境内收集和产生的个人信息和重要数据存储在境内。该法出台后不久,微软、亚马逊、苹果等国外互联网巨头纷纷在华设立数据中心,并将存储在国外的中国用户数据一并迁至国内数据中心,以满足数据本地化存储的合规要求。2021年9月1日生效的《数据安全法》和同年11月1日生效的《个人信息保护法》承继了这一要求。在一些特定行业的部门法和管理文件中,也同样存在诸多数据跨境规范,明确了数据本地化存储原则。
2.数据出境安全评估机制
为顺应全球数据自由流动趋势,推动我国数字企业“走出去”,我国允许数据经安全评估后出境。根据《网络安全法》《数据安全法》《个人信息保护法》,数据出境安全评估的对象为个人信息和重要数据,如果数据处理者跨境传输的数据不涉及前二者,则无需进行安全评估。由于上述三部法律仅对数据出境安全评估进行了原则性规定,并未涉及数据出境安全评估的标准、程序等制度规范,我国先后颁布多部配套规范,具体落实数据出境安全评估机制。目前主要参考的配套规范包括目前主要参考的配套规范包括《数据出境安全评估办法》《数据出境安全评估申报指南(第一版)》《数据出境安全评估申报指南》《个人信息和重要数据出境安全评估办法(征求意见稿)》(简称《评估办法一(征求意见稿)》)、《个人信息出境安全评估办法(征求意见稿)》(简称《评估办法二(征求意见稿)》)、《网络数据安全管理条例(征求意见稿)》(简称《网安条例(征求意见稿)》)等。其中,《数据出境安全评估办法》和《数据出境安全评估申报指南(第一版)》已于2022年9月正式施行,进一步明确了数据出境安全评估的监管主体、评估对象和实施流程等内容,但在实施过程中仍需要更加细化,具体实施效果如何仍有待实践检验。
(二)域外数据跨境监管实践动向
1.美国:以维护数字产业优势为主线,拓展长臂管辖
在数字产业领域,美国具有全球领先地位,故在构建数据跨境流动规则时推崇数据自由流动,在与各国的贸易谈判中积极加入“数据跨境自由流动”条款。譬如在美国主导下,《美墨加协定》(TheUnitedStates-Mexico-CanadaAgreement,简称USMCA)删除了针对“跨境数据自由流动”及“数据存储非强制本地化”等数据流动规则的“例外条款”,即无论缔约方是出于国家公共安全还是各自的规制要求,都不能妨碍USMCA所定义的“跨境数据自由流动”,对数据跨境自由流动的监管相对较为宽松。2022年4月21日,美国宣布建立“全球跨境隐私规则”体系(GlobalCross-BorderPrivacyRulesSystem),意图将亚太经济合作组织主导下的跨境隐私规则体系(Cross-BorderPrivacyRules,简称CBPR体系)转变成所有国家或地区都可以加入的体系,扩大了全球数据自由流动的范围。
同时,美国还通过“长臂管辖”强化对境外数据的管制力。2018年3月,美国国会通过《澄清境外数据的合法使用法案》(theClarifyingLawfulOverseasUseofDataAct,简称CLOUD法案),赋予美国执法机关调取美国企业存储在境外服务器上的用户数据的权力,此举打破了数据跨国调取实践中惯常遵循的数据属地管辖模式,严重冲击其他国家的数据主权。
2.欧盟:以构建欧盟单一数字市场为目标,实施多种合规工具
2018年5月6日,欧盟委员会出台“单一数字市场”(DigitalSingleMarket)战略,以打破欧盟内部的数字市场壁垒,推动构建欧盟单一数字市场。为此,欧盟先后颁布《通用数据保护条例》(GeneralDataProtectionRegulation,简称GDPR)和《非个人数据在欧盟境内自由流动框架条例》(简称《条例》)。其中,GDPR明确将数据权利定义为一种基本权利,创建了个人数据跨境流动、提升数据权保护水平的立法范式;《条例》则通过消除各成员国的数据本地化限制政策,促进欧盟境内的数据自由流动。
虽然欧盟致力于实现成员国之间个人数据自由流动,但是对非欧盟成员国则采取更加严格的管控措施。其一,通过“充分性认定”设定数据跨境流动白名单国家,只有相关国家或地区的数据保护水平达到欧盟要求,向其传输数据方可无需经过欧盟的额外批准和授权;其二,在缺乏“充分性认定”的情况下,通过“标准合同条款”和“有约束力的公司规则”(BCRs)等保障措施允许企业跨境传输个人数据;其三,欧盟还规定了在获得用户明确同意或出于公共利益目的等特定情形下的减损条款,允许个人数据出境。
3.日本、新加坡等新兴数字经济体:积极参与数据跨境流动国际合作,发展数字经济
日本同时加强与欧盟、美国的衔接,构建“匿名化数据处理”的跨境数据自由流动规则。在数据跨境监管规则上,日本参考欧盟GDPR制定知情同意原则、设定白名单国家等,并制定补充规则(SupplementaryRules)缩小与欧盟在数据保护规则上的差异;积极跟随美国的数据跨境自由流动政策,参与CBPR体系,在美国退出《跨太平洋伙伴关系协定》(Trans-PacificPartnershipAgreement,简称TPP)后主导《全面与进步跨太平洋伙伴关系协定》(ComprehensiveandProgressiveAgreementforTrans-PacificPartnership,简称CPTPP)。
新加坡将高水平的数据保护和数据自由流动相结合。其一,禁止数据向低于本国数据保护水平的国家或地区转移,并规定了特定情况下的豁免条件;其二,以建设亚太地区数据中心为战略目标,鼓励跨国公司在本国建立数据中心;其三,加入CBPR规则体系,积极参与数据跨境流动区域合作,寻求区域内数据自由流动。
三
数据跨境流动合规治理的难题审视
随着数字经济时代的到来,各国围绕数据跨境合规治理展开的利益博弈愈发激烈,数字企业出海上市或拓展海外业务面临的境内、境外双重合规风险更加严峻。2021年9月,商务部在《中国数字贸易发展报告2020》中指出,2019年我国数据跨境流动量约为1.11亿Mbps,占全球数据跨境流动量的23%,位居世界第一。为此有必要深入探析我国数字企业数据跨境合规治理存在的多方面难题,审视其面临的内外部合规瓶颈。
(一)企业内部数据合规管理体系不完善,合规有效性不足
目前,我国数字企业在数据合规实践方面存在诸多不足,究其原因,根本在于企业尚未建立科学系统的内部数据合规管理体系,致使数据合规有效性大打折扣,因此有必要系统审视数字企业内部数据合规体系的不足之处。
其一,数据合规理念缺乏系统性和针对性。随着数据监管形势日趋严格,数字企业纷纷制定数据合规政策,设计数据管理流程,建立与现行数据法律规范相适应的数据合规工作制度,但是在数据合规理念方面存在明显不足。譬如,数据合规工作制度流于形式,简单援引国内法律规范或国外数据保护政策,规定企业合规负责人、合规培训、合规风险评估等原则性事项,未能结合本行业、本企业数据合规实际需求,没有明确数据合规内部调查、合规尽职调查、合规报告、合规问责与惩戒等具体举措,数据合规管理体系的价值难以实现。另一方面,缺乏全流程、全周期数据合规理念,使数据合规工作制度局限于数据风险事前防范阶段,有关事中风险监测、事后风险应对等阶段的制度设计则相对欠缺,一旦关联第三方如境外数据接收者产生数据合规法律风险,我国数字企业将处于更加被动的局面。
其二,数据合规人才队伍不充实。数据合规治理具有显著的多学科跨领域特征,涵盖法学、计算机科学、网络安全、密码学等众多专业领域,因此,数字企业更需要既懂得数据合规法律规范,又了解大数据技术和保密技术的复合型合规人才。然而此类人才需求类别多样且门槛较高,数字企业原有的合规人才队伍难以满足要求,中小企业囿于经营成本,又难以大量扩充数据合规人才队伍。况且,企业合规团队需同时负担合同拟定与审查、业务合规调研、法律风险评估、诉讼等日常事项,使数据合规工作更加捉襟见肘。此外,数据合规治理具有动态性和开放性特质,数字数据技术和信息通信技术更新迭代,监管规则和法律政策不断调整,致使数字企业数据合规团队难以及时进行合规工作制度调整,进而规避实践中不断升级的数据合规风险。
其三,部门间分工协作机制不成熟。如前所述,数据合规治理涉及众多专业领域,这决定了数据合规工作应以数据合规部门为中心,其他职能部门加强信息共享与协同配合,避免出现数据合规部门“单打独斗”的孤立局面。然而,数据合规部门并未得到应有的重视,企业数据合规工作常常倒置于职能部门方案制定完成后,更多的在于实现合规成本最优化甚或违法成本最小化。由于业务部门与数据合规部门缺少沟通协作机制,数据合规部门无法全流程参与数据相关方案制定,对日常业务具体涉及的数据类型与使用方式、数据跨境传输对象与途径等都缺少清晰的认识,无法有效建立符合企业实际合规需求的管理机制。
(二)国内国外合规风险加大,合规成本高企
1.国内数据法律规范可操作性不强
其一,合规主体不明确。《网络安全法》首次对关键信息基础设施运营者的数据跨境传输行为进行规范,但何为关键信息基础设施运营者,《网络安全法》第31条的规定较为模糊。根据《关键信息基础设施安全保护条例》第10条,被认定为关键信息基础设施的运营者将收到认定通知,进而满足相关监管规范。然而,《数据安全法》第31条将“其他数据处理者”纳入监管范围,《个人信息保护法》第40条将“处理个人信息达到国家网信部门规定数量的个人信息处理者”纳入监管范围,《数据出境安全评估办法》更是将规范对象明确为“数据处理者”。这一方面反映出我国对数据跨境监管日渐严格的立场和态度,另一方面导致数据出境合规主体的不确定性,加重了数字企业的合规负担。
其二,数据跨境法律规范不清晰。《网安条例(征求意见稿)》到2021年不等,至今均未正式施行,对数字企业数据跨境合规的指引作用十分有限。况且上述文件在监管对象、监管范围、评估标准等方面存在重叠、交叉,如何确定数据出境安全评估的顺序及流程均不够清晰,致使数字企业大规模数据跨境面临“有法难依”的合规难题。
数据跨境法律规范的不清晰同样体现在“重要数据”的定义上。《网络安全法》和《数据安全法》均对重要数据出境提出监管要求,但何为重要数据,二者均未予以定义。《数据出境安全评估办法》第19条虽规定重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。但对如何确定重要数据并未做出明确规定。根据《数据安全法》第21条,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。据此,数字企业应对照重要数据目录,确定需进行安全评估的数据范围和规模。然而,相关重要数据目录仍未出台,已出台的配套规范中,《网络数据安全管理条例(征求意见稿)》和国家标准《信息安全技术重要数据识别指南(征求意见稿)》对重要数据识别作出了进一步规定,但均未生效实施。
2.国外法律政策环境更趋复杂
首先,我国数字企业面临外国政府歧视性贸易待遇和不正当打压风险。以美国为例,近年来,美国频频推行数据霸权主义,对我国数字企业实施歧视性贸易待遇或动用行政力量进行打压,致使我国数字企业境外合规面临的不确定性明显增加。在特朗普政府封禁TikTok事件中,美国政府滥用“国家安全”概念打压我国数字企业,TikTok虽选择起诉特朗普政府以延缓禁令生效,为企业争取了制定对策的宝贵时间,但仍处于被动接受审查的尴尬境地。在此期间,美国社交巨头Facebook在旗下Instagram平台上线Reels功能,对标TikTok抢夺短视频用户,严重影响了我国数字企业的正当商业利益。
根据联合国贸发会发布的《2019年数字经济报告:价值创造和捕获,对发展中国家的影响》,中美两国在数字技术的众多领域具有领先地位。具体而言,中美两国区块链专利技术占全球的75%,互联网开支占全球的50%,云计算市场占全球的75%。尽管我国数字经济在规模和质量上仍然与美国存在较大差距,但伴随着我国数字经济的迅猛发展,美国在全球网络空间发展格局的主导地位正受到挑战,这引发了美国政府的极大担忧。2021年3月3日,美国白宫国家安全委员会发布《临时国家安全战略方针》(InterimNationalSecurityStrategicGuidance),把应对中国的挑战列为八大战略优先事项之一。有鉴于此,我国数字企业境外合规面临的境外法律政策环境势必更趋复杂。
其次,国内国外法律规则冲突加剧。各个国家及地区法律制度存在较大差异,这无疑对我国数字企业境外合规造成挑战。2021年3月,美国证监会通过《外国公司责任法案》(HoldingForeignCompaniesAccountableAct,简称HFCA法案)最终修正案,要求所有在美国上市的外国公司接受对会计底稿的审查。如果国内数字企业遵守该法案,则直接违反了我国《证券法》第177条,导致中概股面临境内境外法律冲突的两难局面,企业合规成本大幅提升,京东、网易、中通快递等多家中国企业被迫赴港二次上市。与此同时,为加强境内企业境外发行上市相关的保密和档案管理工作,2022年4月,我国证监会发布《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定(征求意见稿)》,明确上市公司信息安全责任,防范境外监管机构对我国数据安全带来的挑战。由此,我国数字企业数据跨境尤需关注各国行政监管和诉讼程序,避免因国家间法律规则冲突造成企业数据合规困境。
(三)合规激励机制不健全
数据合规治理本质上是一种基于内部数据风险防控的公司治理方式,然而,若不从刑事司法、行政执法等方面建立强有力的正向合规激励机制,数字企业将缺乏建立数据合规管理体系的内在动力。
在刑事司法合规激励方面,我国检察机关已开始探索企业合规不起诉制度,在该制度下,检察机关选择合规不起诉的理由,并非传统法定不起诉制度下的犯罪情节显著轻微,危害不大,依法可以不予起诉,而是企业在积极配合、有效补救的前提下推行合规计划,消除合规管理漏洞,并在检察机关设定的合规考察期内实施有效合规计划,接受检察机关的持续监督和评估。目前,刑事司法领域合规不起诉制度改革试点稳步推进,使得数字企业数据保护合规获得重要的“出罪”激励效果。但是,受限于罪刑法定原则和罪刑相适应基本原则的限制,检察机关在适用企业合规不起诉制度时仍然存在不同的理解,对于涉嫌较为严重数据相关犯罪的数字企业,仅将其合规计划作为宽大量刑的依据,而非合规“出罪”理由。尽管如此,合规“出罪”制度在激励数字企业数据合规管理方面仍然具有不可忽视的重要价值。
在行政执法合规激励方面,我国在反垄断执法领域已经进行了实践。2007年8月出台的《反垄断法》确立了经营者承诺制度(第45条),根据该制度,对反垄断执法机构调查的涉嫌垄断行为,被调查的经营者承诺在反垄断执法机构认可的期限内采取具体措施消除该行为后果的,反垄断执法机构可以决定中止调查。其作用机理在于,执法机关通过制度安排使经营者确信,在任何情况下“自证其罪”都是自己的最优选择,同时,接受经营者“自证其罪”并兑现承诺也是执法机关的最优选择。如此方能使反垄断执法机构与经营者在动态博弈中形成一种最优选择,进而实现降低执法成本与减轻企业合规负担的正反馈激励效应。然而在数据保护行政执法领域,我国尚未建立起类似的合规激励机制,现行数据法律规范仍然采取较为严格的合规监管态度,难以激发数字企业数据合规的主动性与积极性。
总体而言,我国数字企业数据合规面临的难题,既包括因国内国外法律环境差异产生的合规成本高昂问题,也涉及企业内部数据合规管理体系不完善的问题,同时应当认识到,健全的数据合规激励机制在降低执法成本、提升企业合规积极性方面的重要价值。故此,应围绕数字企业特定数据合规风险,对数字企业数据跨境合规治理法治化进路进行针对性构建。
四
推进我国数字企业数据跨境合规的法治保障理路
数据跨境合规既是数字企业应当履行的社会责任,也是打造企业核心竞争力、开拓海外市场的重要保障,为此,数据跨境合规治理应当以企业主动合规为抓手,推动国内立法与加强国际合作并进,为数字企业数据跨境流动提供稳定有序的合规环境;同时优化合规激励机制,激活企业合规动力。在规范中发展,在发展中规范,探索出一条立足中国数字经济发展实际、符合中国数字企业数据跨境现实要求的法治化进路。
(一)推动企业主动合规,建立健全内部数据合规管理体系
1.树立科学系统的数据合规理念,密切关注国内国外数据合规监管动态
面对日趋严格的数据监管形势,数字企业必须充分认识数据合规的重要性和必要性,以实际问题为导向建立数据合规工作制度,并立足于数据合规风险和特定业务场景进行针对性制度设计。例如,对企业内部涉及数据跨境流程的相关人员的分工、职责及具体业务操作方式提供明确指引,细化数据使用的权限审批及管理控制,或建立常态化数据合规自评估制度,定期开展数据合规风险自我审查,保障数据合规工作制度的有效实施。
同时,数字企业应密切关注数据合规监管动态。国内方面,除了参照目前已施行的《数据出境安全评估办法》等文件开展内部合规自查,还需重点关注行业主管部门结合本行业实际出台的网络安全和数据合规监管新规,尤其是对于大型数字企业,一旦出现数据泄露、数据滥用等安全事件,将对个人隐私、企业商业秘密、国家重要数据等带来严重的安全挑战,即使现行立法并未作出相关规定,大型数字企业也应防患于未然,承担更为严格的数据安全责任和合规整改责任,以备未来数据合规监管的不时之需。
国际方面,近年来我国积极参与全球数字经济治理,签署了一系列包含数字经济规则的国际经贸协定,例如《中国-澳大利亚自由贸易协定》《中国-韩国自由贸易协定》等,加入了《区域全面经济伙伴关系协定》(RegionalComprehensiveEconomicPartnership,简称RCEP,已于2022年1月1日正式生效),也于2021年9月16日正式提出申请加入CPTPP。故此,数字企业既要根据我国已签订的国际双边或多边协定加强合规管理,又要密切关注CPTPP等我国尚未加入的国际协定的谈判进展,提前把握国际规则环境变化。
2.复合型合规人才队伍建设与专家库建设并举
关于企业合规人才队伍建设,实践中有两种模式:一种是以中兴通讯为代表的法律专业模式,即合规团队主要为法律专业背景人员;另一种是以华为为代表的技术专业模式,即合规团队主要为通信、计算机等技术专业背景人员。由于数据合规治理具有显著的多学科跨领域特征,数字企业既需要法律专业人才强化风险导向、降低法律风险,又需要技术人才从事数据合规技术研发,提升数据合规智能化水平。为此,复合型数据合规人才队伍建设尤其必要,数字企业一方面应引进数据合规专业人才,帮助企业综合多领域专业知识制定合规制度,另一方面应加强对合规人才队伍的定期数据安全合规培训与考核,提升专业素质。
除此之外,有实力的数字企业可以通过加强与高校、科研机构的深入合作,建设数据跨境合规治理专家库,充分借助专家智慧,准确把握境外数据接收方所在国家或地区的数据合规法律制度,并结合企业自身技术条件、业务需求等内容,对企业数据资源实行系统化、全面化管理。同时,灵活应对域外法律环境或监管政策的变化,在企业正当数据权益遭受侵害时,加强与专家学者的沟通合作,在采取有效措施避免或降低对我国数据安全损害的前提下,提高综合利用各类维权工具的能力,及时化解侵权危机,降低企业损失。
3.以数据合规部门为中心,建立多部门协同合规机制
数据合规工作高度专业化和规范化,对数字企业全周期、全场景、全流程、全空域做好合规提出了更高要求,因而建立以数据合规部门为中心,技术研发、产品销售、商务合作、公共服务等职能部门协同配合的整体合规机制已成必要。在机制设计上,数据合规部门应当定期召集各个职能部门,共同了解企业当前的数据安全与合规现状,从业务战略与目标出发,明确整理出数据合规的关键需求;在整体的信息化规划下进行数据合规体系、架构等具体制度的设计规划,并在落实数据合规的相关制度时,注重实施情况的反馈与制度的持续性改进。
针对数据跨境不可逆的特性,数字企业还可以充分运用合规新工具提升数据合规实效。一方面,可探索设计更加完善的数据跨境交易合同,强化境外数据接收者的数据保护义务,规避数据出境后的合规风险。例如在香港个人资料私隐专员公署近期发布的《跨境资料转移指引:建议合约条文范本》中,设定了“资料保安条款”和“保留及删除资料条款”等内容,前者要求资料(数据)接收者采取协议规定的保安(保护)措施使用或处理个人资料(数据),后者则要求资料(数据)接收者保留个人资料(数据)的时间仅限于达致转移目的所需时间,并在达到转移目的后删除有关资料。另一方面,可建立专业的“数据合规官”或引入第三方合规评估机构,对多部门协同合规机制的实施效果进行综合评定。例如在《数字服务法案》(DigitalServicesAct)中,欧盟要求超大型平台指定至少一个独立的“合规官”,进而履行更多数据义务。尽管该制度侧重于加强数字平台在打击非法内容和虚假新闻方面的责任,但仍然可以为数字企业数据合规所借鉴。
(二)完善国内立法与加强国际合作并进,系统化解数字企业双重合规风险
1.尽快出台实施数据立法配套规范,营造良好的国内合规环境
针对国内数据法律规范可操作性不强的问题,一方面,应落实好《数据出境安全评估办法》与《数据出境安全评估申报指南(第一版)》的相关规定,同时加快《网安条例(征求意见稿)》等配套规范的出台,为数字企业数据出境合规提供更加明确的方案指引。在合规主体上,考虑到数字企业数据类型多样、涉及领域众多且规模较为庞大,为全面保障国家数据安全和个人信息权益,可以适当扩充重点领域或重要行业的数据出境安全评估范围,避免出现监管漏洞。在重要数据的界定上,除了加快制定重要数据目录,还可以充分发挥行业协会的积极性与能动性,推动行业协会立足本行业数据保护实际,根据我国数据跨境法律规范制定重要数据行业指南或数据跨境合规行业细则,为数字企业数据跨境合规提供行业指引。在这一过程中也应充分考察和吸收域外主要国家和地区就数据跨境流动合规的相关原则、规则、指南等,做好我国规则与国际规则的接轨,避免数字企业在参与国际化运营时面临双重合规风险。
另一方面,推动数据分级分类制度落地实施。《数据安全法》第21条明确提出“国家建立数据分类分级保护制度”,《网安条例(征求意见稿)》第5条指出“按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施”。在建立数据分类分级制度过程中,应当明确重要数据与核心数据的界限,更好地确定对两者采取的保护程度和具体措施,同时明确各地方、各部门对各类数据的监管职责,提升可操作性。在数据分类分级的基础上,还应进一步细化涉个人隐私、商业利益和国家安全等各类数据的跨境评估内容、评估标准、评估程序等事项,对不同类型数据制定不同的保护标准。
2.积极参与数据跨境治理国际合作,协调和稳定外部发展环境
在当前的国际形势及国际数字经贸往来背景下,我国需要积极回应国际数据安全态势和竞争格局,推动数据跨境治理国际合作。其一,加强与美国、欧盟等司法管辖区域的平等磋商与协调,在平等互利的基础上,通过达成数据共享谅解备忘录、签署司法或执法互助条约等方式加强数据跨境治理国际合作,化解外国政府或执法机构对我国数字企业的信任危机,减少甚至消除我国数字企业可能面临的歧视性贸易待遇和不正当打压,降低数字企业境外合规成本。正如2022年3月16日,刘鹤副总理主持召开国务院金融稳定发展委员会专题会议,并就中概股问题指出,目前中美双方监管机构保持了良好沟通,已取得积极进展,正致力于形成具体合作方案,中国政府继续支持各类企业到境外上市。换言之,国家层面的政策协调实际上更容易避免基于国内国外法律规则冲突所带来的合规风险。与此同时,也可以从数字经济发展的一般规律与国际经验层面,通过对国际规则的了解与把握,做好合理借鉴,以此推动我国国内相关规则的制定与完善,并通过国内规则体系的构建与输出,建立和增强我国在参与数据跨境流动治理上的话语权与影响力,为我国数字企业出海竞争提供切实保障,真正实现国内国际双向正反馈。
其二,可由商务部牵头会同工信部、网信办、市监总局等部委局协同组织国内各大数字企业,建立海外合规信息与资源共享平台,及时发布数据跨境国际合作双边或多边协定,以及我国主要数字贸易国的最近数据合规政策和执法动态等文本资料,为数字企业制定海外经营策略和法律风险应对预案提供合规信息参考,避免因不了解境外数据合规法律政策陷入被动合规境地。
同时,在确保风险可控的前提下,分阶段分层次推广更高标准的数据自由流动模式,增强与各发达数字经济体以及CPTPP等自由贸易协定的互利合作,避免西方发达数字经济体以我国数据流动缺乏自由度为由,强制要求我国数字企业将数据中心建在海外,或限制我国数字企业参与国际数字经济贸易。
(三)强化合规激励机制,激发企业合规动力
如前所述,合规激励机制主要分为行政执法激励和刑事司法激励两大类,该机制的存在不仅有助于国家数据法律规范的良好贯彻,有效预防企业内部违法违规行为,还有助于节约司法和执法资源。为此,应强化数据跨境领域的合规激励机制,推动我国数字企业开展合规建设与合法经营。
在刑事司法领域,一旦检察机关通过提起公诉使数字企业接受刑事处罚,将对数字企业的社会声誉和业务资质造成重大打击,企业同时将面临巨额罚金处罚与业务收入骤减的巨大代价,因此,刑事司法领域的合规激励机制尤其关键。具体言,应填补合规激励机制的立法空白,在法律上明确法院可以将数字企业建立数据合规机制作为减轻刑事处罚的依据,检察机关对于已经建立数据合规计划的数字企业,还可以根据其犯罪的情况以及合规计划的有效程度,与其达成暂缓起诉协议或者不起诉协议,并设置合规考察期,对数字企业实施数据合规计划进行持续监管。在合规考察期结束后,根据企业履行上述协议的情况,检察机关甚至可以撤销起诉。
在行政执法合规激励方面,可将行政和解制度引入数据合规行政执法。具体而言,首先,在行政监管部门因数据合规问题对数字企业进行行政执法时,对于已经建立内部数据合规管理体系的涉案数字企业,可以优先适用行政和解制度,或根据数字企业的申请适用该制度,并在适用行政和解时将其作为酌定情节予以考虑;对于尚未建立内部数据合规管理体系,但申请适用行政和解制度的,监管部门应保持更加严格的合规监督立场,在深入了解企业性质、经营范围及违法违规原因等情况的基础上,提出有针对性的合规整改方案,督促数字企业建立完善的数据合规体系。其次,监管部门应立足数字企业数据跨境合规实际建立合规考察制度,例如确定合规考察期,加强对数字企业的合规整改监督。最后,建立合规评估验收机制,在合规考察期届满之前,对数字企业内部数据合规管理体系的建设实效进行综合性评估或验收,以决定终止或恢复行政执法程序,保障合规激励机制实效。
五
结语
当前,数据跨境流动成为各个国家或地区信息交流和经贸往来的重要渠道。数据跨境合规既是数字企业应当履行的社会责任,也是打造企业核心竞争力、开拓海外市场的重要保障。当前,我国数字企业数据跨境流动合规治理面临诸多“堵点”,限制了数字企业充分释放合规潜力和创新活力。聚焦于此,推动构建系统化、法治化、常态化的数字企业数据跨境合规治理体系成为必由之路。结合上述分析,应坚持规范与发展并重,多维度多层次推进数字企业数据跨境合规治理。其一,企业层面应增强主动合规意识,建立健全内部数据合规管理体系,推动数据合规理念革新、建设数据合规人才队伍与专家库、建立多部门协作机制等;其二,国家层面应坚持国内立法与加强国际合作并进,系统化解数字企业双向合规风险;其三,合规激励层面应重点在刑事司法和行政执法两方面引入激励举措,激发企业合规动力。
-向上滑动,查看完整目录-
《法治研究》2023年第2期目录
【本刊特稿】
1.论习近平法治思想的“大法治观”
黄文艺(3)
【数字经济专题】
2.欧盟模式下个人数据共享的建构与借鉴
——以数据中介机构为视角
倪楠(22)
3.数字企业数据跨境流动合规治理法治化进路
陈兵(34)
4.数字经济平台相关市场界定研究
仲春(45)
【理论前沿】
5.知识产权侵权损害赔偿计算方法的制度重构
梁志文(60)
6.用人单位劳动规章制度原则新论
问清泓(73)
7.刑法解释限度的辨析
刘宪权、许浩(87)
8.双边市场理论视角下数据交易平台规制研究
杨东、高清纯(97)
【法治论坛】
9.一体化视野下强制隔离戒毒的定位
王利荣(111)
10.网络犯罪帮助行为的刑法认定
刘仁文、汪恭政(122)
11.检察机关主导型合规模式中的监督与合作
时延安、陈振炜(137)
【青年论坛】
12.物之瑕疵担保责任的嬗变
——从“买方自慎”到“卖方尽责”
金荣婧(147)
《法治研究》——中共浙江省委政法委员会主管、浙江省法学会主办的法学理论刊物,中文社会科学引文索引(CSSCI)来源期刊(扩展版),中国人文社会科学期刊AMI综合评价(A刊)扩展期刊,人大复印报刊资料重点转载来源期刊。
责任编辑 | 郭晴晴
审核人员 | 范阿辉 张文硕
本文声明 | 本文章仅限学习交流使用,如遇侵权,我们会及时删除。本文章不代表北大法律信息网(北大法宝)和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。
热门跟贴