JT&N观点 | 浅论中小企业数据合规的实务操作

截止2021年，我国在数据安全保护方面，已经陆续出台了《数据安全法》、《网络安全法》《个人信息保护法》三部法律，初步搭建了数据安全保护层面的法律框架。但对于以数据为核心资产的信息互联网企业来说，数据合规依然是个令人头痛的问题。一方面，数据安全规范文件不断出台，各地都在探索数据合规的方式，政策、规定都不能给出一劳永逸的办法，另一方面，企业对数据收集使用的要求越来越多，数据合规所需要支付的管理成本自然增加，如何达成合法和保证成本平衡，是很多企业（尤其是中小企业）关心的话题。

因此，本文拟结合目前的法律规定以及相关的司法案例，对信息互联网企业数据合规的实际操作进行粗略分析，以供参考。

一、数据合规的开端：合规意识的建立

合规意识的建立之所以是开端，主要有两个原因，其一，相比于互联网巨头有庞大的法务部门和外部律师团，中小企业往往没有资本维持很强的法律力量，这就更需要在运营过程中对业务人员进行合规意识的灌输和培训，从源头避免数据安全问题，否则触及法律边界，随之而来的责任极有可能使企业伤筋动骨。

其二，数据安全领域法律法规的不断发展，只有保持合规意识，才有可能长久保持合规。

除《数据安全法》、《网络安全法》《个人信息保护法》三部法律外，在网络数据安全这一领域，还有众多行政规范性文件、行业自律条文、国家标准等文件，和三大法律共同构建了初步网络数据安全规则。但数据立法的滞后与数据使用方式日新月异之间矛盾难以避免，按照一般规律，信息互联网类似的变化极快的行业，往往由行政机关（或司法机关）以规范性文件（司法解释）的方式进行管控，积累一定经验后，相关的规定再向更高层级的行政法规、法律转化。网络数据安全领域自然也不例外。

相比于一些发展多年、各项规则比较完善传统法域，数据合规毫无疑问是个“萌新”，领域内很多基础问题甚至都有待讨论，例如最基础的数据是否是财产？如果是，它的所有权人又是谁？它是否具备财产权的全部权能？它是否适用于物权的相关规定？……这些问题始终没有一个确切的、成文法层面的答案，我们只能在司法、行政案例中得窥一角。虽然数据财产权的本质已经被普遍承认，但始终未能像普通动产那样有一套完整的法律规则。

这就导致数据合规不可能有一套长久稳定的管理制度，不仅没有，还需要随时关注最新政策，调整业务，因此企业必须建立数据合规的意识，间歇性地对企业进行数据合规性审查，才能保证企业数据合规。

建立数据合规意识显得比较抽象，落实到具体层面，除了总括性的规章制度（例如XX公司数据安全管理规范），此类文件主要是数据合规纲领性的文件，起码对企业内部数据合规的管理部门、管理原则等框架进行搭建，并且通告全体员工，将数据合规作为规章制度让员工知晓，还可以定期进行相关培训，尤其是针对一线业务员的培训，使员工在工作过程中形成考虑数据使用是否合规意识，形成遇到无法确定行为向法务（或外部律师）需求合法性审查的工作流程，可最大程度上防范于未然。

二、数据合规的具体操作：规范数据合规的收集和使用

合规意识的形成并非一朝一夕，还需要具体制度来规范公司日常的运营和员工的工作。从广义上来说，数据合规可以简单分为两个部分，一是数据收集合规，二是数据使用合规，其中使用就包含了存储、加工、传输、交易、公开等方式。

（一）数据收集

对于大部分互联网公司来说，需要关注数据合规基本就是一线业务人员和法务人员，而这二者之间在数据合规这一问题上往往存在学科鸿沟，法务更多从法律层面考虑，希望业务解答哪些数据是必须的，哪些是不必要的，而业务的反应就会很直接，当然都是必要的，不必要我收集了干嘛？嫌自己事少吗？（此处不讨论恶意收集信息贩卖的情况）

这个问题就充分显示了数据合规意识的重要性，一线业务员应当有必要在收集数据时，多考虑一下是否会导致违规行为，但凡多问法务一句呢？当然，对中小企业来说，可能没有法务也没有律师，从实际成本上来说，要求业务人员在工作前先进行合法性审查既不经济也不现实，那要怎么解决这一问题呢？

本文认为，可以以从简化企业操作流程为原则，从信息分类和分级出发，规范企业的信息收集行为。

首先是分类，可以将信息从来源分成两大部分，第一是非公开来源，包括通过提供服务向自己的客户收集而来的信息（包括自己运行的网页、APP上收集）、经第三方共享而来的数据（例如用第三方账号登录后，获取的第三方账号信息），第二是公开来源，包括利用爬虫、开源技术从互联网上获取的公开信息。分类后再进行分级，按照不同级别设计收集规范，避免出现违法收集信息的情况。

企业需要根据自己的实际情况进行分类分级，一般来说，非公开信息就需要设计更严格收集规范，尤其是针对个人信息（下文详细说明），第三方共享的信息就需要注意与第三方是否有合作协议，是否能够使用收集第三方的数据。而公开信息的收集相比而言违规可能性较小，相比于非公开信息收集本身就可以导致违规或侵权，公开信息的收集则和使用息息相关。单纯收集公开信息但不使用（虽然这种情形很少）很难构成违规或者侵权，但如果使用了收集的信息（如对外展示、提供）则有可能导致不正当竞争行为。

（二）数据使用

如前所述，信息的收集和使用一般都是一体的，很少有企业（或个人）单纯为收集信息而收集，收集信息的最终目的都是为了使用。

对于非公开数据的使用而言，保护数据安全免遭泄露是应有之意，更多可能需要从技术层面考虑，从制度层面而言，保密系统（保密协议、保密措施、竞业禁止等交叉而成的系统制度）的建立也是企业应当考虑的问题。

对于公开信息而言，并非公开的数据就可以随便使用，需要特别关注公开信息的收集和使用是否会违反反不正当竞争法的规定，尤其是针对特定网站公开的信息（例如淘宝、京东、美团等），有一个简单的判断方式：那就是看企业收集的信息是否是该网站的核心资产，比如大众点评诉爱帮网就是非常典型的案件[ (2011)一中民终字第7512号]，爱帮网收集的公开数据是大众点评的用户点评，显然是大众点评核心中的核心，最后爱帮网被判不正当竞争。

总的来说，对于中小企业而言，组织架构可能较为简单，业务范围相对而言也比较单一，数据合规的实务操作中可以根据企业自己的经营情况，在把握原则的情况下避免过于繁琐的程序，以降低数据合规带来的运营成本。

三、数据合规的重点问题：个人信息的保护

个人信息保护一直是网络数据安全立法的重中之重，而且随着公众对自己信息越发看重，因为个人信息而产生的纠纷也就越来越多样和复杂。2020年郭兵诉杭州野生动物世界一案[ (2019)浙0111民初6971号]宣判，动物园要求游客录入人脸识别系统被认为是超过必要限度的信息收集，2021年，王某因为腾讯微视APP显示了其地区、性别和微信好友关系且没有给出撤回相关信息显示的选项，将腾讯告上法庭，最终深圳中级法院判决腾讯侵犯个人信息[ (2021)粤03民终9583号]。

对于消费者具体在哪个步骤上对商家不满是无法预判的，但是收集个人信息的限度却是可以提前设置限度的，根据《个人信息保护法》，收集信息应当遵循合法、正当、必要、诚信的原则。在实操中应当怎样理解这一原则？2021年5月1日，网信办、工信部、公安部与国家市监局联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》，企业可以参考这一规定进行本企业的合规设置。

此外，根据《个人信息保护法》第四十四条规定，个人对其个人信息处理享有知情权和决定权，有权限制或者拒绝他人对其个人信息进行处理。因此企业收集使用个人信息还需要落实“知情同意”的告知义务，表现在实际操作层面，是对服务协议、收集信息的内容都提前告知消费者，对于特殊收集事项，还应当进行特别提醒。

最后，对于收集到的个人信息，企业应当采取适当的保密措施，这不仅包含技术上的保密措施，还包含制度上的保密措施，例如，针对经常接触用户个人信息的员工以劳动合同、保密协议等方式限制其使用信息的权利，明确其保密义务，对存储有相关信息的设备进行加密、物理封锁等方式。

四、结语

曾经有一位客户找到笔者，希望笔者按照某知名APP的标准给他们公司的产品设立一套完善的协议，理由是大公司都这么搞，我们这么搞也肯定没问题。平心而论这句话有一定的道理，互联网巨头一般都有专门的数据合规部门，较为完善的数据管理制度，公开的用户协议等文件从企业的角度说很难挑剔。但在体量、业务、资金方面，中小企业和巨头们还有较大差距，盲目参考巨头们的合规制度，很有可能水土不服。

因此，企业进行数据合规，最重要的原则就是具体问题具体分析，根据企业实际的运营情况，结合法律较为原则性的规定，得出适合于本公司的合规制度，尤其是对于中小企业来说，只有切实结合自己的情况，才能在数据合规和管理成本之间达成平衡，避免产生成本过高干脆放弃合规的情形。

参考文献：

[1] (2011)一中民终字第7512号

[2] (2019)浙0111民初6971号

[3] (2021)粤03民终9583号

作者简介