最具影响力的数字化技术在线社区

168大数据

 找回密码
 立即注册

QQ登录

只需一步,快速开始

1 2 3 4 5
开启左侧

数据合规是大数据时代企业的命脉

[复制链接]
发表于 2019-11-4 19:06:43 | 显示全部楼层 |阅读模式

马上注册,结交更多数据大咖,获取更多知识干货,轻松玩转大数据

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
提要:在进入大数据时代,数据资源成为企业竞争最重要资源,而数据的不法使用不仅不能提升竞争力,还会使企业陷入危险或危机。因此,合规管理重要性自不待言,称它为企业的命脉,应不为过。

企业合规是当今每个企业合规的内容,当然也是互联网企业合规重要内容。今天大概讲三个方面内容,企业数据合规基础、个人数据流通的合规审查和数据合规风险审查。

涉及到企业数据,我这里有一个分类,企业数据应当首先分为个人数据和非个人数据,前者是可识别个人的数据,后者是与个人无关的数据,主要是企业运营记录、日常管理等。个人数据又分为员工数据和客户(用户)数据。

企业数据合规首先涉及到企业对数据享何种权利,目前有关企业数据资产权属讨论很多,在我看来,企业对数据只是一种事实上控制权。这是因为,对于数据我们法律人有一个基本认知,这便是“数据是谁都不能拥有,但是谁都可以使用的东西”。那么,企业对数据也不可能享有所有权,而只是事实上控制权,你也可以称为企业拥有数据使用权。由于企业对于数据不享有绝对的权利,其对数据权利的边界并不清晰,因此,数据合规管理显得更加重要,也比其他的合规更加复杂一些。

从企业对数据控制的角度,企业数据可分三类,一类是公开数据,它是企业向社会公开,供任何人自由获取和使用的数据;一类是商业秘密,是企业运营积累形成的采取保密措施管理的商业数据;在这两类之间还存在大量非公开的、在企业内部使用的对企业具有价值的数据,它也不能轻易为外人自由获取,但也没有传统的商业秘密管理那么严格,受企业政策、制度规范,按照内部管理权限使用的。

数据的合规管理最重要的是如何区分哪些数据可以公开、哪些数据应当作为商业秘密管理、哪些内部数据应当按照一定规则管理使用,而限制外人随意获取,在分类基础上,怎么样形成一个循环数据利用秩序就是合规管理首要问题。整个合规管理可能是围绕如何保护利用企业最核心资源的商业秘密,如何保护和“榨取”有价值数据资源的价值,并在适当时候放弃控制(转化为公开数据),确保企业对数据使用合法。

数据合规重要的是确保自己对数据使用不侵犯他人的权利。因为数据虽然为企业控制使用,但是数据上可以存在他人合法利益,尤其是个人格利益。进入到大数据时代后,数据成为企业竞争实力最重要的东西。企业的竞争力是建立在数据应用基础之上的,对于网络公司来讲更加如此。因此,运用数据进行竞争的合规就显得异常重要了。

因此,在承认企业不能完全拥有,但是又可以使用的前提下,企业数据的合规审查,就是要审查企业数据使用不得侵犯他人的合法利益。企业的使用必须在尊重各种合法利益的前提下合法使用,整个合规审查是围绕使用的合法性。对于使用合法这样的合规审查来讲,一是要是合乎法律规定,二是不得侵犯他人权益,这便是数据合规审查的两条红线。

讲到合规审查的时候,不得不提到数据安全的问题。因为数据安全既涉及国家安全,也涉及隐私安全,当然最终也涉及企业安全。如今,关涉国家命运的《网络安全法》刚刚出台,其中涉及到数据安全问题,就是企业合规必须遵守的法律。至于隐私安全问题,这是企业使用个人数据的底线,更是得注意,防患于未然。

数据合规审查还有更高的目标就是数据资产化,就是把数据真正作为一个公司竞争最重要的资产来对待。真正现代完整意义上的合规审查与数据治理连在一起的。正如刚才专家所讲安全、风险、内控、合规、数据治理是一个完整体系,所追求的目标是确数据合法地为企业所用。显然,对于大数据时代的企业来讲,建立数据治理制度,将合规融入数据治理,实现数据为企业所用是一件头等大事。

数据合规,除了不侵犯他人权利,使数据安全为企业所用外,还有一项重要的内容是数据利用合乎法律规定,数据的处理行为、使用行为不得违法国家强制性法律规定。在这方面,我国对数据的公开传播、网络信息的发布、商业广告发布等具有许多禁止性规定,这些也者是数据合规则必须审核的内容。

接下来,我们讨论数据流通合规则问题。数据流通是一个很广的行为,数据控制人将所控制的数据提供给别人,让别人接触或知道到这个数据,或者让别人使用这个数据就叫数据流通。所以数据流通就是把你所能控制的数据让别人接触、了解和使用,本质为向特定人提供数据行为,让第三人使用。

数据流通在我们生活中是非常普遍的现象,不仅仅是公司内部之间分享,公司业务往来之间都要提供数据,加上企业之间开展的各种合作或数据交换。就腾讯公司来讲,存在跟很多网络广告或精准广告公司的合作关系,这个合作是什么?主要是各种即时通讯的用户背后的数据。所以数据流通实际上是一个普遍存在的现象。除了这些外,现在也有一些地方设置数据交易中心或交易所,试图开展数据交易,这就是公开的个人数据流通了。

仅就企业与企业之间在业务往来、业务合作中开展的数据流通而言,合规审查要注意以下三点风险

首先是违约风险。
个人信息保护进入业务合同已经成为一种趋势,虽然我们国内的一些业务往来当中还不太普遍。在国外,无论是企业内部的雇用员工也好,还是企业在运营过程当中和别人签买卖合同也好,无论是投资、贸易等,都可能会涉及个人数据的保护条款。假如在合同中承诺保护特定个人的数据,但是另外的合同中却将之流转出去,这显然是不应该发生的事件,否则,合同审查者就有责任。

第二,风险是个人信息使用的侵权风险。
在我们国家关于个人信息侵权,我觉得有两类,第一类是公开个人信息,这个是由最高人民法院2014年有一个《关于审理利用信息网络侵害人身权益民事纠纷案件适用若干问题的规定》,规定列举了一些信息,如果这些信息公开了就意味着侵犯个人信息权。实质上,这里所讲的侵权仍然是侵犯隐私权。因为,隐私侵犯的重要形式就是公开隐私信息。

侵犯个人信息还有一个非常重要的类型就是未经授权使用个人信息,2012年《网络信息保护决定》、2013年《消费者权益保护法》和刚出台的《网络安全法》都明确规定收集使用个人信息必须经过个人的同意就是侵权,如果你没有经过个人的同意,你收集个人信息,使用个人信息,流通个人信息就有意味着具有侵犯个人信息保护权的风险。

第三,个人信息流通还会触及《刑法》的风险。
根据刑法修正案九(2015年),违反国家有关规定,向他人出售或者提供公民个人信息,或者是窃取或者以其他方法非法获取公民个人信息的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。目前,出售和购买个人信息均可能入刑。就现有的条文来讲,仅有“违反国家有关规定”限定条件,含义宽泛,弹性很大。同样,以其他方法非法获取公民个人信息,也是这样。现在的司法判决已经确立了一个规则就是合法购买也系属于非法获取公民个人信息。由于现实中,个人数据流通很普遍,那么这些行为是否属于刑法中规定的“提供公民个人信息”行为,而接受人是否属于“以其他方法获得取公民个人信息”行为,就是令企业法务头痛的事情。

在世界各国,尽管个人数据采集和使用不见得要同意,但是流通一定要同意,但是同意也未必能起作用,需要有效的法律保护机制。

由于国外个人数据(美国称“可识别个人信息”)保护具有近40年的历史,不仅有成熟的法律规则,而且企业合规也有一套成熟的机制。比如,美国企业存在隐私影响评估,欧洲存在数据保护影响评估。二者基本用意是,在企业惧和使用个人数据时,如果可能对个人基本权利和自由有不利的影响,那么就需要自行开展或委托他人开展此项评估。显然,这是企业法务开展数据合规的法宝。我认为我国企业数据合规管理也应当引入类似的合规风险评估,将之作为企业合规管理很重要环节。

在进入大数据时代,数据资源成为企业竞争最重要资源,而数据的不法使用不仅不能提升竞争力,还会使企业陷入危险或危机。因此,合规管理重要性自不待言,称它为企业的命脉,应不为过。数据合规最重要的是,对企业有关数据的每一种动作,都要对它的法律风险作出判断并合理规避不必要的风险。
本文是高富平教授参加2016年腾讯大数据与合规峰会演讲稿,首发于《财经》杂志2016年11月10日。

楼主热帖
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

关于我们|小黑屋|Archiver|168大数据 ( 京ICP备14035423号|申请友情链接

GMT+8, 2024-3-29 15:34

Powered by BI168大数据社区

© 2012-2014 168大数据

快速回复 返回顶部 返回列表