数据发展须依规而行
◎ 文 《法人》杂志全媒体记者 李辽
▲CFP
近年来,一些企业利用数据垄断地位,过度获取、不正确使用和处理用户数据,违规跨境传输用户数据,侵害公民个人信息权益,甚至危害国家数据安全。对此,国家重拳整治数据违法违规行为,倒逼企业重新审视自身隐私保护政策和数据处理方式,将数据合规建设提上日程。
数据不合规代价昂贵
大数据时代,企业每天都在生产、共享和存储大量数据,数字经济在迎来新发展机遇的同时,数据交易不合规现象也在高频发生。
2021年2月,中国银行辽宁分行因未按规定收集、使用消费者个人金融信息等五大事由被罚114.7万元;同年4月,浙江省宁波市市场监管局先后对20家房地产企业进行立案查处,及时叫停房地产领域非法收集消费者人脸识别信息的违法行为,合计罚款203万元;2023年年初,厦门银行因涉及违反个人金融信息保护规定等23项违法行为,被处罚款764.6万元。
被称为“史上最严”的数据保护法案——欧盟《通用数据保护条例》(下称“GDPR”)于2018年正式生效后,任何违反GDPR的企业都会被处以最高2000万欧元 (或上一年全球营业额4%)的罚款。2021年7月,亚马逊收到欧盟有史以来最大数据隐私泄露罚单,因违反GDPR被罚款7.46亿欧元;2022年,著名社交软件Instagram母公司Meta因允许青少年开设账号并公开显示其电话号码和电子邮件地址,被爱尔兰数据监管机构处以4.05亿欧元罚款,这也是根据GDPR规定对企业开出的第二高罚单。根据中国商务部官网发布的消息,2022年欧洲数据监管机构针对GDPR违规的罚款额达到了创纪录的29亿欧元,是2021年的两倍。
聚焦数据泄露,数据安全研究中心Ponemon Institute分析了2019年8月至2020年4月期间发生的524起违规事件,发布了评估报告。其中指出,2020年企业数据泄露平均成本为386万美元,比三年前的评估结果高出6.4%。而客户个人身份信息是损失最昂贵的记录类型。IBM Security研究报告显示,其统计的企业在2021年平均每起数据泄露事件成本为424万美元,是2004年来的最高值。大型企业或许能承受因数据泄露带来的违规成本,但小型企业几乎会因此破产。
一方面,数据交易不合规行为会让企业丧失大量客户忠诚和信任。2016年,雅虎邮箱曝出泄密事件后,遭大批用户弃用,正在商谈收购事宜的雅虎甚至一度难以卖出。另一方面,声望折损会导致企业股价下跌,对企业经济利益产生直接影响。2017年,趣店发生用户数据泄露时,股价连续下跌,一度开盘跳水30%。由此看来,数据不合规的代价对于企业来说十分昂贵。
数据合规是最确定性因素
近年来,中国相继出台具备系统性、针对性的个人信息保护法律法规、部门规章和国家标准。特别是个人信息保护法的出台,体现了中国在个人信息保护领域的积极态度和未来监管趋势,为国民个人信息安全和隐私保护发展奠定了基础,为全球隐私治理作出“中国贡献”,从根本上改变了全球范围内隐私保护的管理模式,标志着数据合规时代的到来。
广东数字政府研究院副院长傅建平5月3日接受《法人》记者采访时表示,数据合规是企业应对不确定性的最确定性因素,推进数据合规本质上是一个不断调整数据生产关系,解放和发展数据生产力的过程。企业遵守数据法规,加强数据安全防范,构建数据合规体系,可以避免因罚款或违规而蒙受损失,增加确定性、创造价值、提升竞争力。
“未来,数据合规管理考验着每一家企业的生存能力,将成为企业发展新常态。如果企业能跨越雷区,变风险为企业发展机遇或第二增长曲线,则可收获数据合规利好。毕竟,谁掌握了数据,谁将掌握发展主动权;谁利用好数据,谁将赢得未来数字竞争新优势。”由此,傅建平认为,数据合规不仅是对数据本身的保护,也是对企业未来发展未雨绸缪的规划。
“数据合规应该贯穿企业创新发展各方面和全过程,用结构性改革去破解结构性矛盾,用高水平数据治理推动高质量数据供给。”傅建平建议,企业应该从法治环境、发展战略、组织变革、制度完善、流程优化、技术支撑和文化建设等方面构建数据合规治理体系,加强数据合规师、数据管理师、首席数据官、数据安全技术等专业人才队伍建设。
2000年左右,欧美已有至少数百家公司设有DPO(数据安全保护官)职位。从该职业发展机遇来看,隐私、合规、数据安全岗位聘用人数在近几年大幅增长。在中国,为应对全球数据监管和遵循相应法律法规,企业“数据合规师”应运而生,有力保障了企业在现行法律框架下的正当权益。
平衡数据合规与创新发展
傅建平称,在当前数据交易中,机遇与挑战并存。数据要素法规制度不健全、数据要素供给侧结构性矛盾突出、数据合规治理能力亟待提升等挑战,使数据要素化过程存在许多不确定性,制约着数据要素更好地发挥作用。
目前横亘在企业面前的一个难题是,在创新发展和数据合规建设方面如何作出平衡?数据安全法明确提出“坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”,“鼓励和支持数据在各行业、各领域的创新应用”,但真正落到市场层面,数据开发并没有像数据安全和保护那样打开新局面。
今年2月13日,贵州省大数据工作会上传出消息,截至2023年2月9日,贵阳大数据交易所累计交易额5.49亿元。这对于已成立8年的贵阳大数据交易所来说并不是一个亮眼的成绩。2022年4月,南都大数据研究院发布的研究报告显示,目前场内交易在我国数据交易市场中所占份额不足5%。
某央企法务合规部门负责人周治成对记者称,各地大数据交易中心成立了不少,但数据交易的成功示例不多。“虽然数据具有财产属性,可少见真正将数据作为资产或权利进行出资的公司设立。相反,有些领域的数据被权利主体紧紧握在手心,不愿分享出来。”他举例,如果想在北京买一套住宅,三四年前可以在房地产中介手机APP上直接查询到意向房产的相似房产历史成交价,买卖双方都可以在此基础上分析比较,选择谈判策略及出手时机,但现在无法查询到这类数据。
因此,他认为,导致数据开发利用面临市场困境的原因主要有两个:一是大部分业务未实现“大数据+”的定型,这使企业不知道如何真正开发利用手中数据,不愿意为此投入经济成本,也不敢付费合法购买数据,导致业务盈利模式不清晰。二是缺乏法律指引。通过国家近年来的积极立法,数据领域虽已形成法律体系,但因为数据及数据权利的基本理论和法律属性至今没有定论甚至通说,法律只规定了鼓励数据开发利用的原则,没有进一步细化。
某互联网头部企业数据合规官陈升(化名)表示:“首先,数据交易是新兴事物,不断发展变化,目前针对它的法律法规只是较粗的框架,难在具体实践场景中落地。例如法律法规要求平台企业在处理个人信息数据时要征求用户同意,但这件事情本身非常宽泛——哪种情况下用户算是同意了,哪种情况下超过了数据使用范围,如果平台企业再次处理某个人信息数据是否还需要重新拿到用户有效同意?其次,定义不明确,个人信息处理看似在法律法规上有明确定义,但一旦套入实际应用场景,就没法有效区分。例如,平台企业对某用户进行信息精准推送,可能是对个人信息做了处理,也有可能是基于广泛人群类型(如对IP所映射的地理位置)统一投放。这种情况下,平台企业如果只使用了一个IP地址,会不会被看作是过度使用用户个人信息,这些问题在法律上的定义并不明确。”
因此,他认为,虽然国家一直鼓励和提倡数据流转,但对于平台企业来说,比较迷茫的是不知道“红线”在哪里。“未来,随着执法精细化,监管层会在保护个人信息和发展数据之间寻找到一个合适的衔接点,充分听取数据处理者的意见,去分析处理者在处理数据过程中是否真正尊重了用户权利,是否保障了用户隐私,判断用户到底受到了怎样的侵害,从而适配相应法律法规。”
傅建平也认为,数字化发展带来了政府与市场边界的变化,政府既是监管者,也是公共数据的持有者,需要构建一系列适应数据要素特性和数字化发展要求的上层建筑以适应经济基础变化,为数据要素市场健康发展提供牢固保障。他建议,应打造政府、企业和个人多方参与的“数据合规共同体”,做到价值共创、责任共担、利益均衡、合规不处罚、合规不起诉,走出一条中国式数据合规治理和市场化利用之路。
责编|白 馗
编审|崔晓林
校对|张 波 张雪慧
来源|《法人》杂志2023年05月总第231期