◎ 文 《法人》雜志全 媒體記者 李遼
▲CFP
(資料圖)
近年來,一些企業利用數據壟斷地位,過度獲取、不正確使用和處理用戶數據,違規跨境傳輸用戶數據,侵害公民個人信息權益,甚至危害國家數據安全。對此,國家重拳整治數據違法違規行為,倒逼企業重新審視自身隱私保護政策和數據處理方式,將數據合規建設提上日程。
數據不合規代價昂貴
大數據時代,企業每天都在生產、共享和存儲大量數據,數字經濟在迎來新發展機遇的同時,數據交易不合規現象也在高頻發生。
2021年2月,中國銀行遼寧分行因未按規定收集、使用消費者個人金融信息等五大事由被罰114.7萬元;同年4月,浙江省寧波市市場監管局先后對20家房地產企業進行立案查處,及時叫停房地產領域非法收集消費者人臉識別信息的違法行為,合計罰款203萬元;2023年年初,廈門銀行因涉及違反個人金融信息保護規定等23項違法行為,被處罰款764.6萬元。
被稱為“史上最嚴”的數據保護法案——歐盟《通用數據保護條例》(下稱“GDPR”)于2018年正式生效后,任何違反GDPR的企業都會被處以最高2000萬歐元 (或上一年全球營業額4%)的罰款。2021年7月,亞馬遜收到歐盟有史以來最大數據隱私泄露罰單,因違反GDPR被罰款7.46億歐元;2022年,著名社交軟件Instagram母公司Meta因允許青少年開設賬號并公開顯示其電話號碼和電子郵件地址,被愛爾蘭數據監管機構處以4.05億歐元罰款,這也是根據GDPR規定對企業開出的第二高罰單。根據中國商務部官網發布的消息,2022年歐洲數據監管機構針對GDPR違規的罰款額達到了創紀錄的29億歐元,是2021年的兩倍。
聚焦數據泄露,數據安全研究中心Ponemon Institute分析了2019年8月至2020年4月期間發生的524起違規事件,發布了評估報告。其中指出,2020年企業數據泄露平均成本為386萬美元,比三年前的評估結果高出6.4%。而客戶個人身份信息是損失最昂貴的記錄類型。IBM Security研究報告顯示,其統計的企業在2021年平均每起數據泄露事件成本為424萬美元,是2004年來的最高值。大型企業或許能承受因數據泄露帶來的違規成本,但小型企業幾乎會因此破產。
一方面,數據交易不合規行為會讓企業喪失大量客戶忠誠和信任。2016年,雅虎郵箱曝出泄密事件后,遭大批用戶棄用,正在商談收購事宜的雅虎甚至一度難以賣出。另一方面,聲望折損會導致企業股價下跌,對企業經濟利益產生直接影響。2017年,趣店發生用戶數據泄露時,股價連續下跌,一度開盤跳水30%。由此看來,數據不合規的代價對于企業來說十分昂貴。
數據合規是最確定性因素
近年來,中國相繼出臺具備系統性、針對性的個人信息保護法律法規、部門規章和國家標準。特別是個人信息保護法的出臺,體現了中國在個人信息保護領域的積極態度和未來監管趨勢,為國民個人信息安全和隱私保護發展奠定了基礎,為全球隱私治理作出“中國貢獻”,從根本上改變了全球范圍內隱私保護的管理模式,標志著數據合規時代的到來。
廣東數字政府研究院副院長傅建平5月3日接受《法人》記者采訪時表示,數據合規是企業應對不確定性的最確定性因素,推進數據合規本質上是一個不斷調整數據生產關系,解放和發展數據生產力的過程。企業遵守數據法規,加強數據安全防范,構建數據合規體系,可以避免因罰款或違規而蒙受損失,增加確定性、創造價值、提升競爭力。
“未來,數據合規管理考驗著每一家企業的生存能力,將成為企業發展新常態。如果企業能跨越雷區,變風險為企業發展機遇或第二增長曲線,則可收獲數據合規利好。畢竟,誰掌握了數據,誰將掌握發展主動權;誰利用好數據,誰將贏得未來數字競爭新優勢。”由此,傅建平認為,數據合規不僅是對數據本身的保護,也是對企業未來發展未雨綢繆的規劃。
“數據合規應該貫穿企業創新發展各方面和全過程,用結構性改革去破解結構性矛盾,用高水平數據治理推動高質量數據供給。”傅建平建議,企業應該從法治環境、發展戰略、組織變革、制度完善、流程優化、技術支撐和文化建設等方面構建數據合規治理體系,加強數據合規師、數據管理師、首席數據官、數據安全技術等專業人才隊伍建設。
2000年左右,歐美已有至少數百家公司設有DPO(數據安全保護官)職位。從該職業發展機遇來看,隱私、合規、數據安全崗位聘用人數在近幾年大幅增長。在中國,為應對全球數據監管和遵循相應法律法規,企業“數據合規師”應運而生,有力保障了企業在現行法律框架下的正當權益。
平衡數據合規與創新發展
傅建平稱,在當前數據交易中,機遇與挑戰并存。數據要素法規制度不健全、數據要素供給側結構性矛盾突出、數據合規治理能力亟待提升等挑戰,使數據要素化過程存在許多不確定性,制約著數據要素更好地發揮作用。
目前橫亙在企業面前的一個難題是,在創新發展和數據合規建設方面如何作出平衡?數據安全法明確提出“堅持以數據開發利用和產業發展促進數據安全,以數據安全保障數據開發利用和產業發展”,“鼓勵和支持數據在各行業、各領域的創新應用”,但真正落到市場層面,數據開發并沒有像數據安全和保護那樣打開新局面。
今年2月13日,貴州省大數據工作會上傳出消息,截至2023年2月9日,貴陽大數據交易所累計交易額5.49億元。這對于已成立8年的貴陽大數據交易所來說并不是一個亮眼的成績。2022年4月,南都大數據研究院發布的研究報告顯示,目前場內交易在我國數據交易市場中所占份額不足5%。
某央企法務合規部門負責人周治成對記者稱,各地大數據交易中心成立了不少,但數據交易的成功示例不多。“雖然數據具有財產屬性,可少見真正將數據作為資產或權利進行出資的公司設立。相反,有些領域的數據被權利主體緊緊握在手心,不愿分享出來。”他舉例,如果想在北京買一套住宅,三四年前可以在房地產中介手機APP上直接查詢到意向房產的相似房產歷史成交價,買賣雙方都可以在此基礎上分析比較,選擇談判策略及出手時機,但現在無法查詢到這類數據。
因此,他認為,導致數據開發利用面臨市場困境的原因主要有兩個:一是大部分業務未實現“大數據+”的定型,這使企業不知道如何真正開發利用手中數據,不愿意為此投入經濟成本,也不敢付費合法購買數據,導致業務盈利模式不清晰。二是缺乏法律指引。通過國家近年來的積極立法,數據領域雖已形成法律體系,但因為數據及數據權利的基本理論和法律屬性至今沒有定論甚至通說,法律只規定了鼓勵數據開發利用的原則,沒有進一步細化。
某互聯網頭部企業數據合規官陳升(化名)表示:“首先,數據交易是新興事物,不斷發展變化,目前針對它的法律法規只是較粗的框架,難在具體實踐場景中落地。例如法律法規要求平臺企業在處理個人信息數據時要征求用戶同意,但這件事情本身非常寬泛——哪種情況下用戶算是同意了,哪種情況下超過了數據使用范圍,如果平臺企業再次處理某個人信息數據是否還需要重新拿到用戶有效同意?其次,定義不明確,個人信息處理看似在法律法規上有明確定義,但一旦套入實際應用場景,就沒法有效區分。例如,平臺企業對某用戶進行信息精準推送,可能是對個人信息做了處理,也有可能是基于廣泛人群類型(如對IP所映射的地理位置)統一投放。這種情況下,平臺企業如果只使用了一個IP地址,會不會被看作是過度使用用戶個人信息,這些問題在法律上的定義并不明確。”
因此,他認為,雖然國家一直鼓勵和提倡數據流轉,但對于平臺企業來說,比較迷茫的是不知道“紅線”在哪里。“未來,隨著執法精細化,監管層會在保護個人信息和發展數據之間尋找到一個合適的銜接點,充分聽取數據處理者的意見,去分析處理者在處理數據過程中是否真正尊重了用戶權利,是否保障了用戶隱私,判斷用戶到底受到了怎樣的侵害,從而適配相應法律法規。”
傅建平也認為,數字化發展帶來了政府與市場邊界的變化,政府既是監管者,也是公共數據的持有者,需要構建一系列適應數據要素特性和數字化發展要求的上層建筑以適應經濟基礎變化,為數據要素市場健康發展提供牢固保障。他建議,應打造政府、企業和個人多方參與的“數據合規共同體”,做到價值共創、責任共擔、利益均衡、合規不處罰、合規不起訴,走出一條中國式數據合規治理和市場化利用之路。
責編|白 馗
編審|崔曉林
校對| 張 波 張雪慧
來源|《法人》雜志2023年05月總第231期
嚴正聲明:“法人雜志”所有原創文章,轉載均須
獲得授權,任何媒體、網站或個人未經授權不得
轉載、摘編、鏈接、轉貼或以其他方式使用。
投稿、約訪、轉載、合作事宜
聯系郵箱 | news@farennews.com
