2月28日,上海首个企业数据合规服务工作站在杨浦区成立。包括上海市委网信办总工程师杨海军,上海市工商联合会副主席杨茜,杨浦区副区长施方,杨浦区人民检察院党组书记、检察长康强,上海市经信委、信息服务业行业协会、市社会科学院互联网研究中心等领导、专家学者代表共同见证工作站的成立仪式。来自美团、哔哩哔哩、优刻得等十家企业作为代表,签署“企业数据合规倡议书”,主动接受数据合规监管,切实完善数据分类分级保护措施,充分保障用户个人权利,共同维护数字经济发展绿色生态。

  此前1月,上海杨浦区率先发布了年内首份《企业数据合规指引》,在业界引起很大反响,各界均将其解读为司法监管部门先行探索引导企业完善数据合规的信号。

  2021被认为是我国的数据合规元年,然而相关法律出台以后,一系列问题直截了当地摆在各界面前:法虽出了,企业在日常经营管理中如何开展内部数据合规的“自查”?外部业务拓展创新中,如何才能避开数据违规之雷?

  近日,算力智库调研团队走进上海市杨浦区检察院,与涂龙科副检察长带领的《企业数据合规指引》核心团队对话,就2022首份《指引》与企业数据合规服务站建立的背景缘起做深入交流。算力智库也试图首发呈现,从我国检察机关的视角解读我国企业数据合规的未来之路。

  

  数据合规体系刚成型就在司法实践层面遇到了“小挑战”

  《指引》的出台,正是在数据合规方面法治不断完善的大背景之下应运而生。2021年《数据安全法》《个人信息保护法》相继实施,联合此前颁布的《网络安全法》,共同构建起数据领域“三法鼎立”格局,完善了我国数据领域立法体系的构建,为数据要素市场建设奠定了有法可依的基础。

  对话伊始,上海市杨浦区检察院副检察长涂龙科就跟记者介绍道,这部指引出台的“大背景”与“小背景”。

  涂副检察长表示,自2021年立法层面三法的颁布实施开始,到去年滴滴赴美上市案、阿里云个人信息泄露案、携程大数据杀熟案等案例层面引起的社会广泛关注,都让数据合规的重要性在企业经营管理中愈加凸显。

  杨浦区检察院党组始终高度重视企业合规工作,2021年下半年一件跨省协办的数据合规案件更是助推了《指引》的出台落地。某西部省份一家企业举报上海杨浦辖区内某高科技企业远程窃取其商业秘密数据。正是在杨浦区检察院协办此案件过程中,他们发现出台一部相对细致准确的企业数据合规指引参考的迫切性。

  因此,杨浦区检察院联合市信息服务业协会、市数据合规与安全产业发展专家工作组、区工商业联合会各方专家联合出品了《指引》,希望从精细化管理的角度,为企业数据合规业务提供有章可循的合规指引。

  

  “如何才能不违规?”企业主动拥抱数据合规时发出的灵魂拷问

  2019年,郭兵教授诉杭州动物园强制通过人脸识别系统收集个人敏感信息一案,成为轰动全国的国内“人脸识别第一案”。一石激起千层浪,此案直接唤醒了在个人隐私与数据合规方面的法律意识。

  伴随法治体系日益完善和推广,合规理念也正在逐步渗透企业经营中。然而,由于缺乏具有聚焦性、指导性和操作性的指引,企业面临虽有意愿但不知“从何下手”、“如何合规”的困境。

  “如何才能不违规?”这是许多企业主动拥抱数据合规时发出的第一问。“三法鼎立”虽然解决了“有法可依”的基础问题,然而相关规章制度的实施落地亟待细化。

  比如在具体行业规范方面,《指引》针对社会广泛关注的电信、金融、汽车、医疗领域归纳总结了相关法律法规和标准。这不仅对杨浦辖区内的重点产业与公司具有指导性,也能给上海其他区域与全国别的省份提供参考性。上海盈科专注数据合规赛道的刘磊律师在与算力智库沟通时如是评论。

  涂副检察长团队告诉算力智库,今年发布的《指引》为第一版,后续团队还将继续深化优化细化,发布聚焦垂直行业的企业数据合规新版本。比如在电商直播等贴近民生和消费者个人隐私数据的行业,数据合规管理与隐私保护亟待加强。

  算力智库在与北京、深圳、厦门等区域内数据合规专家交流时候发现,上海杨浦区的这本倡导型指引是全国范围内的先导。目前数据赛道的重点区域都在积极谋求遵循全国统一整体规范化监管体系的同时,也在因地制宜、针对垂直细分领域管理出台细则。

  

  数据合规中,事后监管到事前主动性规范的角色转变尤为重要

  国家“十四五”规划和2035年远景目标纲要提出“建立健全数据要素市场规则”的要求,在“统筹数据开发利用、隐私保护和公共安全,加快建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范”等方面作出安排部署。

  然而业内人士跟算力智库交流时透露,2019年监管针对大数据企业的利用爬虫收割个人信息事件,使整个数据行业震荡,也使得在数据经济赛道的相关企业业务开展时如履薄冰。

  一方面是国家在动员各类力量,帮助孕育和培育数据要素市场的创新,而另一方面身在其中的企业却亦步亦趋。

  在高速发展的数据赛道出现的一体两面现象,根源在哪里,如何更好的解决这个困境?这不仅是行业存在的问题,也是大中型企业,特别是最近2-3年涌入的创业型企业在拓展相关数据业务时需直面的法理上的达摩克斯之剑。一方面,对数据价值挖掘大有可为;另一方面又出于对触及法律边界的担忧而战战兢兢。

  涂副检察长说,《指引》的发布,实现从事后监督到事前服务的主动角色转变。他同时表示,培养企业的数据合规意识和建立健全合规管理体系是当前的突出重点。在用户隐私数据泄露事件频发的情况下,涉密数据分级管理、数据权限防火墙的建立尤为关键。

  通过为企业提供可参考、可适用的数据合规程序,监管的角色多样化也为企业健康合规发展提供了制度和服务的多方面保障与助力。

  

  数据合规未来监管趋势

  参考Gartner创新曲线,在技术引领的各类创新赛道发展过程中,往往都会经历前期高速增长、监管机构初期持开放观望,中期逐步跟进、后期市场野蛮生长开始之后、监管体系化开启,行业进一步规范的周期性规律。

  在当下全球范围内涉及数据合规与数据隐私安全,已形成“需求倒推立法、助推普法”的整体“行业-监管”联动发展的整体规律。特别在眼下将数据作为生产要素,大力发展数字经济的我国,一系列相关法律法规也在社会意识进步后的监管诉求下“应运而生”。涂副检察长在最后被问到如何看待未来数据合规的监管节奏与方向优化时,他引用习总书记“在发展中规范,在规范中发展”作为结语。

  在细分领域,通过类罪名与细分领域的结合,将进一步精细化对企业数据合规监管制度的引导和建设。2月28日的杨浦区“企业数据合规倡议书”的签署与服务站的成立或已成振翅之蝶,打响2022全国数据合规领域的优化升级与精细化管理的第一枪。

  2021,数据合规元年已成过去式。数据合规并非单一层面的行为,全国两会中,多位全国政协委员和专家认为,应鼓励区块链、隐私计算等新技术的应用,并完善数据流通的技术、标准和规则等。通过结合企业、专家组以及数字行业监管部门的合作开展,将有利于明确数字经济的相关各细分领域中行业规范、发展规划、违法责任等具体的规则制度建设。