►作者 | 北京京师（合肥）律师事务所主任

朱政律师

专业化是法律服务行业的发展趋势。一直以来，京师上海律所高度重视专业化建设，乔迁新址后，在专业部门建设的基础上进一步探索专业化团队建设，构建起以14个专业委员会为核心的专业化体系，全面提升专业服务能力和水平。

2023年，京师上海律所迎来成立五周年。伴随着优秀律师人才加入，以及组织结构和管理能力的不断升级，京师上海律所的专业化建设进入品牌化发展的下半场。值此之际，我们向所内各专业委员会与各兄弟分所征文，对外展示京师上海律所以及京师体系专业化建设的成果，鼓励全所成员共同加紧专业化建设，在新的形势下拓路前行。

企业如何进行数据合规管理

——从滴滴被罚事件谈起

五周年所庆专业文集⑫

2022年7月21日，国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚决定，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。从处罚金额来看，滴滴全球股份有限公司此次处罚无疑是我国在《数据安全法》《个人信息保护法》施行之后截止目前最大的罚单，滴滴全球股份有限公司因网络安全被处罚的事件再次把企业数据合规推上了紧迫的重大议事日程。

伴随着《个人信息保护法》《网络安全法》《数据安全法》《反电信网络诈骗法》等多部法律以及配套法规的相继出台，我国信息及数据安全领域的基础法律框架已然形成，相应的，对企业数据合规也在法律层面有了清晰的、更高地要求。滴滴被罚事件，警示着有关单位和个人在收集、存储、使用、加工、传输、提供、公开数据资源时，都应当依法建立健全数据安全管理制度，采取相应技术措施保障数据安全，以促进数据的依法有序使用。

一、什么是企业数据合规

理解企业数据合规，首先要认识企业数据合规里的“数据”。这里的数据，绝非仅指狭义上的存放在数据库里或电子表格里的数据，它是广义上的企业在生产经营过程中涉及到的一切数据。从数据对象上，既有客户的，也有企业员工的，还有第三方的；从数据形态上，既有静态的，也有动态的；从数据结构上，既有结构化的，也有非结构化的；从数据内容上，既有原始的，也有加工过的；从数据存储上，既有落地的，也有流动的。除了传统的个人信息外，像客户行为、应用日志、视频录像、位置信息、电话录音等等，都应属于数据合规关注的数据范畴。从数字化转型发展的长远来看，笔者认为，数据合规远远不止个人信息防护和数据安全这些我们已经知悉的内容，数据文化、数据分类、数据存储、数据安全、数据共享、数据跨境等内容，也都属于广义数据合规的范畴。

二、数据安全的现实问题与挑战

数字技术在促使数据应用场景和参与主体日益多样化的同时，数据安全治理面临多重棘手困境，给企业数据合规工作提出了严峻的挑战。其中，最为核心的五个问题是过度收集问题、数据贩卖问题、数据窃取问题、数据泄露问题、数据杀熟问题。

（一）过度收集问题

过度收集是影响数据安全的核心问题，亦是企业数据违规的“通病”。近年来，部分网络平台开发者及运营商为了谋取自身利益的最大化，非法地收集个人数据行为，包括并不限于违规私自收集、过度收集、超范围收集用户的数据信息，强制授权、不合理索取用户权限等。2021年3月11日，我国工业和信息化部向社会通报了136家存在侵害用户权益行为APP企业的名单，其中“腾讯手机管家”“七猫免费小说”等知名软件均存在不同程度侵犯用户权益的行为。网络平台里出现的过度索权、强制授权等过度收集数据行为，不仅严重侵犯网络用户的合法权益，影响网络环境中的经济秩序，而且会间接引起数字权利滥用的问题，甚至会威胁到国家安全。

（二）数据贩卖问题

过度收集后的数据贩卖，已为数据的非法流转提供了完整的生态链。目前，数据贩卖俨然成为大数据产业的灰色地带，个人信息倒卖黑市猖獗，它将对个人人身财产甚至是生命安全造成极大地危害。例如：2017年3月，京东与腾讯的安全团队联手协助公安部破获的一起特大窃取贩卖公民个人信息案，尚处于试用期的京东内部员工郑某鹏系黑产团伙的重要成员，盗取个人信息50亿条，通过各种方式在网络黑市贩卖，而购买信息者又使用这些信息从事着骚扰推销、破解密码、非法经营、网络诈骗等违法犯罪活动。

我国数字经济发展历程相对较短，相关的法律体系还不够完善，对于数据要素流通的一系列监管都还有进一步提升的空间。数据黑市行为藏匿于不断迭代的数据技术背后，监管难度确实较大，国家需要在完善数据立法体系上及时补齐法律空缺及监管短板。

（三）数据窃取问题

数据窃取近年高发，其刑事责任不可忽视。2018年8月，堪称“史上最大规模数据窃取案”的犯罪团伙依托北京一家以新媒体营销为主业的上市公司，通过与全国十余省市多家运营商签订营销广告系统服务合同，非法从运营商流量池中获取用户数据，利用非法窃取的30亿条用户数据，操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、违规推广，非法获利。2021年1月，商丘市睢阳区人民法院刑事判决书[（2021）豫1403刑初78号]中显示：一名住在河南商丘市的本科毕业的大学生逯某自2019年11月起，对某电商平台实施了长达八个月的数据爬取并盗走大量用户数据；另一名住在湖南省浏阳市的初中毕业的黎某利用这些信息，建了1100个微信群，每个群90-200人不等，每天用机器人在群里发该电商平台的优惠券，赚取返利，并在短短的8个月内获利34万余元。在该电商平台注意到这一问题前，已经有超过11亿8千多万条用户信息泄露。

（四）数据泄露问题

数据泄露问题已经成为数据合规工作中的重点防控领域。数据泄露侵犯用户个人信息和隐私，极大地增加用户被欺诈的风险，造成直接经济损害，同时影响企业可信度。回溯2020年5月6日下午，脱口秀演员池子（本名王越池）在微博平台公开与笑果文化劳动争议纠纷事件中，就牵扯到第三方的中信银行，该行未经池子本人授权，泄露了他的个人隐私。2021年3月19日，银保监会消保局公布的罚单显示，中信银行因“未经客户本人授权查询并向第三方提供其个人银行账户交易信息”被重罚450万元。

（五）数据杀熟问题

滥用个人信息进行大数据分析，主要指商家、平台将收集的个人信息过度用于用户画像、个性化广告推荐、自动化决策等。在给消费者带来便利的同时，也产生差别定价、诱导性消费等利用数据杀熟问题。据中国消费者协会的相关报告，网络领域涉及消费者权益的算法应用问题主要有6种：推荐算法、价格算法、评价算法、排名算法、概率算法和流量算法。其中，价格算法、推荐算法在实践中最为常见，比如通过对大数据分析后进行杀熟；分析用户浏览过的页面进行精准营销，强制用户使用定向推送功能等等，严重扰乱经济秩序和社会秩序，损害了消费者的合法权益。

三、如何进行企业内部的数据合规工作

保证数据信息严密与不被泄露是当下互联网企业不可忽视的一个环节。通过以上浅析的国内数据安全问题就可看出，我国数据执法愈发严格，可以预见的是，我国的执法标准将在三到五年后趋于成熟和稳定，届时执法实践的边界会更为清晰。这一趋势决定了企业数据合规的高门槛，亦是向未来国内企业的合规发展提出了新问题与新挑战。

首先，企业应建立切实可行的数据合规管理制度。对企业内部的信息系统、数据处理流程、网络安全与数据合规的现状进行全面梳理，通过内部尽职调查了解自身业务中可能涉及到的数据类型，相应的数据生命周期，以及网络安全与数据合规的认证资质，厘清企业目前网络安全制度、数据处理规则与现行法律法规的差距。在了解清楚内部问题之后，要在公司层面根据自身的实际情况，制定相应的内部数据合规管理制度，涵盖个人数据的合规处理、个人数据权限控制、网络安全事件应急、个人数据主体权利请求响应、数据生命安全周期等制度，建立覆盖数据采集、传输、存储、使用、删除及销毁过程的安全框架。目前，从笔者了解或亲自处理的相关案件中可以看到，现在大多企业都是从网络上或者会议中照抄相关数据合规的管理制度，类似于现在大多企业照抄市场监督管理部门提供的公司《章程》一样，从形式上看什么似乎都有了，但是根本不能解决或者不能很好地解决企业面临的现实问题。所以，建立健全有针对性的、千企千面的个性化企业合规制度已经迫在眉睫。

其次，企业应当根据自身服务类型的实际情况，按照《常见类型移动互联网应用程序必要个人信息范围规定》收集个人的必要信息。在收集信息过程中，企业应明确告知用户收集信息的目的、方式、范围，且应当与企业实际收集使用的用户信息方式一致。需要特别注意的是，以概括授权的方式获得用户对个人信息处理方式的授权已经被《个人信息保护法》所禁止，如果公司后续因业务更新等实际需要，还要扩大收集用户信息范围的，应当以短信或弹窗的方式对用户进行一对一的特别提示。相关企业要特别注意在收集、处理个人敏感信息时，应当按照《个人信息保护法》规定的单独同意规则，对于用户的人脸识别信息、精准定位信息、行动轨迹信息等谨慎处理。企业在收集个人信息时，不应逾越《常见类型移动互联网应用程序必要个人信息范围规定》的界限，对收集内容有疑问的，也应主动联系当地网信办、通信管理局等监管部门，明确收集界限以降低违规的风险。

再次，要树立意识先行的观念，树立数据安全合规的意识、企业合规文化。在企业数据合规的项目中，笔者注意到多数企业容易出现的一个问题：企业的决策层、管理层和监督层积极推进数据安全管理体系搭建工作，但向各执行层部门和员工推进时则困难重重，执行层部门和员工认为数据安全管理制度为其日常工作设置了更多的规范性要求，属于加“紧箍咒”，他们往往是照抄照搬、敷衍了事，导致企业的数据安全管理制度难以落地，更不要说落到实处。此外，很多合规项目都是“虎头蛇尾”，忽视落地，企业看似有一系列解决路径和处理部门，但落到实处却很难，往往是纸上谈兵，导致的结果就是轰轰烈烈启动的合规管理项目在一系列方案出台后被束之高阁。因此，合规管理建设不是建在纸上和电脑里，而是建在全体员工的脑海里、潜意识里，更应深入融合进企业的意识和文化之中。笔者建议，企业需要制定决策层、管理层和执行层的全方位合规培训计划，提高领导的合规意识；同时，必须定期或不定期地为员工开展企业数据合规培训，实时动态地了解国家数据法律法规和监管政策的变化，普及员工的合规文化，对于相关处罚的案例更是要及时地传递给全企业。另外，还应建立和维护合规问责机制，包括处分和后果追查，确保将数据合规落实情况和效果纳入企业内部人员绩效考核体系，确保员工更好地履行岗位职责。

最后，建立外聘律师和外部测评机构的有效参与机制。外聘合规专业律师和一些测评机构专业人士的参与，能够有效完善企业的数据合规管理制度，准确完整地理解数据安全相关法律法规以及监管政策，熟悉法律规则的适用，及时识别企业经营和管理过程中的数据合规风险，并提出相应的数据合规风险意见和整改方案。合规建设一般以项目的形式进行，所以光有常态的合规组织体系是不够的，需要一批有理论与实践经验的专业人员相助。外聘律师和外部测评机构的加入，可对数据的识别结果建立有效的反馈机制和评估机制，通过数据反馈和评估，可以帮助企业制定具有针对性、策略性的不同数据管理制度及其安全风险化解计划，根据法律法规的制定、修改，企业阶段性的数据安全风险识别、反馈、评估、化解的不同路径，不断地调整与优化企业现有的数据合规管理制度，实时提升企业人员的数据合规管理水平。

四、结语

滴滴被罚事件不是第一例，也不会是最后一例被处罚的案例，但它应当算是数据合规实施强监管后最具有典型意义的里程碑事件。正如网信办有关负责人所说的，“加大典型案例曝光力度，形成强大声势和有力震慑，做到查处一案、警示一片，教育引导互联网企业依法合规运营，促进企业健康规范有序发展。”笔者相信，随着《数据安全法》《个人信息保护法》的相继出台、施行，加之通过一例例的执法案例，将会对企业网络安全、数据安全和个人信息保护的数据合规提出了越来越高、越来越细的要求。

数据既是“新时代的石油”，同时也是“烫手的山芋”。滴滴事件为我们敲响了警钟，加强企业合规管理十分重要也势在必行，对于企业来说，无论是日常运营活动，还是上市、投资融资等重大经营事项，都会涉及到数据处理，都会需要保护个人信息、保障数据安全，都必须规范数据处理活动。随着市场环境的发展变化，特别是一些走出去的企业，数据合规管理将是企业可持续发展运行的内在基本要求，数据合规治理将成为企业核心竞争力之一，未做数据合规其经营发展大厦随时可能出现危机。数据强监管时代已至，数据合规己成为企业合规管理体系的重点领城之一，企业高层人员必然需要加强对数据合规的重视，设计有效合规方案，防范企业违规风险，为企业健康、长远发展提供制度保障。

律师简介

朱政律师

北京京师（合肥）律师事务所主任，国家高级经济师，民建安徽省十届社会与法治委员会主任。最高人民法院和国台办特邀的“总对总”调解员，最高人民检察院和省级人民检察院民事、行政诉讼监督案件咨询专家，第八届中华全国律师协会破产与重整专业委员会委员、第九届中华全国律师协会公司法专业委员会委员，第八届、第九届安徽省律师协会常务理事、纪律委员会常务副主任，安徽省委、省政府特聘“安徽省信访事项依法终结评议团”专家，安徽省法规政策评估咨询专家，安徽省司法行政业务培训师，安徽省高级人民法院、安徽省司法厅特聘安徽律师调解员，安徽省商会调解员，合肥、德州、六安、淄博、绥化、晋城仲裁委员会的仲裁员，两岸企业家峰会会员。被聘为合肥工业大学硕士研究生导师，安徽大学法学院、安徽警官职业学院、安徽医科大学人文学院等院校法学专业实习实训指导教师，安徽工商职业学院客座教授。安徽省《民法典》宣讲团成员、安徽律师《民法典》宣讲团成员、合肥律师《民法典》宣讲团成员。

朱律师长期从事民事、经济、刑事等方面的诉讼及非诉讼法律业务，已办理各种类型案件近二千件。目前担任六十余家政府及企、事业单位的常年法律顾问，同时还入选“金融、保险与房地产类”全国公司的特邀重大案件律师库。

朱律师工作勤勉努力、认真负责，系既擅长法律又熟悉经济的复合性人才，不仅法律知识全面，而且在担任政府和企、事业单位法律顾问及民、商事诉讼案件代理业务等方面更具专长。朱律师具有丰富的律师实务经验、较深的法律造诣和优秀的执业业绩，被安徽省司法厅授予“律师依法诚信规范执业示范岗”。