数字经济大潮汹涌,为了应对复杂的外部环境,培育企业内生竞争力,企业需要摆脱贪大求快的增长模式,转向依靠合规与发展的双轮驱动。
数字经济的核心在于数据。重视数据作为生产要素的战略意义,积极建设数据要素流通交易制度是近年来数字经济发展的重要议题之一。正如《关于构建数据基础制度更好发挥数据要素作用的意见》(下称"数据二十条")所述,数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等环节,深刻改变着生产方式、生活方式和社会治理方式。
01、 数字时代下数据要素的价值
数据作为一种以电子或者其他方式记录信息的载体,关系到国家安全、国家秘密、社会利益、商业秘密和个人信息与隐私。数据二十条将数据分类为公共数据、企业数据、个人数据,要求据此建立分类分级的确权授权制度,并提出了使用不同类型数据的基本原则:
- 对于公共数据保持着开放利用的态度,加强汇聚共享、可开放开发,强化统筹授权使用和管理;
- 对于企业数据,确立了数据资源持有权、数据加工使用权、数据产品经营权"三权分置"的数据产权制度框架,市场主体依法依规持有、使用、获取数据收益的权利;
- 而对个人信息数据,在保护个人信息权益、符合合法性基础的前提下,促进个人信息数据的合理利用。
企业需要高度重视数据合规体系的建立,这既能确保企业在发展过程中不至于偏离航道,避免造成难以挽回的后果,还能以合规促发展,进一步激活企业数据资产价值。
02、 数据合规所涉及的, 主要内容及关键点
一、企业数据合规所涉主要内容
从法律合规角度来看,拟上市企业的数据合规和上市企业的数据合规的大体思路是基本一致的,都要从以下几个维度着手去开展数据合规操作:
- 外部产品合规:网站、App、小程序、IoT产品等;
- 内部治理合规:组织与流程、员工数据合规、内部制度、信息系统安全等;
- 对外合作:与供应商、合作方、集团关联公司等。
二、典型数据合规场景及其对策
在数据流通不断加速的时代大背景下,针对不同的数据业务场景还应当制定对应的数据安全与流通解决方案和应对策略。
一般来讲,针对常规的数据合规场景企业可以采取数据分类分级(根据不同的行业进行归类)、制定通用的数据标准、提升待流通数据的质量、确保数据底座及基础设施建设的安全性;针对特殊类型的场景,企业可以采取数据信托等方式解决数据共享过程中合作方之间互相确权难的问题。同时,通过使用多元化合规手段和工具,形成有效合规与监督机制,达成治理目标,并且还应当避免数据流通过程中出现数据垄断与不正当竞争等问题。
为了保持数据流通发展与安全合规之间的平衡,我国监管机构不仅对部分特殊行业与领域提出了合规要求,还针对一些可能影响到国家安全和社会公共利益的重点场景制定了相应的最新监管要求与合规义务。例如:
- 网络安全审查场景
企业若被认定为关键信息基础设施运营者(CIIO)并采购网络产品和服务、企业若是网络平台运营者且掌握超过100万用户个人信息赴国外上市,或开展数据处理活动影响或可能影响国家安全的,均应当主动向国家网络安全审查办公室申报网络安全审查。此外,若网络安全审查工作机制成员单位认为某企业存在影响或者可能影响国家安全的网络产品和服务以及进行数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依职权进行网络安全审查。
- 个人信息跨境传输场景
在开展个人信息出境活动前,应该按照法律法规的要求评估整改,选择合规的出境路径。此外,企业除了需要满足中国大陆对于数据出境的要求外,还应当持续关注个人信息出境目的地的相关法律和监管要求。
- AIGC算法备案与安全自评估场景
提供具有舆论属性或社会动员能力的互联网信息服务的企业应当自提供服务之日起十个工作日内通过互联网信息服务算法备案系统完成算法备案手续,同时还应当自行或委托第三方安全评估机构实施算法安全自评估,并将自评估报告提交地市级以上的网信和公安部门。
- 人脸识别技术应用场景
企业在境内利用人脸识别技术处理人脸信息、提供人脸识别技术产品或服务时,需要遵守最小必要原则、限制人脸信息处理目的、征得个人的单独同意、开展个人信息保护影响评估、向网信部门进行备案、采取相关技术保护措施等方面的监管要求。
- 个人信息保护合规审计场景
企业应当注意《个人信息保护合规审计管理办法(征求意见稿)》中规定的合规审计的义务和频次、审计触发条件、强制审计的要求与流程、专业机构评价与选择、专业机构职责与要求、违规责任等方面的合规要求。在上述多个场景下的合规治理操作中,数据分类分级工作都可以作为着力点,用以解决难点问题。在分类分级的过程中,企业要注重国家、企业和个人的三重价值诉求,同时参照多个相关领域的法律、行政法规、部门规章、规范性文件、国家标准、部门指引来进行合规治理。在实际开展数据分类分级工作中,企业可以依照现状摸底、数据资产梳理、实施分类分级、设计不同层级管控和防护策略四个流程步骤展开。
三、上市监管机构对于数据合规的主要关注点
分析上市监管机构对于数据合规相关问询的内容,可以总结出数据合规主要涉及的方面:
1、数据处理
上市主管机构在审查拟上市企业数据处理风险方面,主要围绕以下要点:
- 拟上市公司是否建立系统性的数据安全保障机制;
- 拟上市公司内部是否对具体保障措施的内容、针对的数据对象、负责的人员等予以明确,并全面记载安全措施的实施情况,以确保公司数据的处理合法合规;
- 当监管机构提出检查时,公司是否能够拿出相应的记录来进行说明,或者在发生网络安全或数据安全事件时,能够证实已尽到必要的安全保障义务。
2、数据内控体系
上市主管机构在审查拟上市公司数据内控体系风险方面,主要围绕以下要点:
- 公司是否具备匹配其规模的数据安全能力;
- 公司是否具备完善的内控制度和流程以及迅速响应的能力;
- 公司是否建立符合法律要求的数据存储机制,防范数据泄露风险;
- 公司数据内控系统是否最大程度确保符合审计和合规要求;
- 公司是否建立数据保护影响评估流程,并将该评估流程引入任何新的业务流程或系统。
3、涉及数据的业务经营
上市主管机构在审查拟上市公司涉及数据的业务经营风险方面,主要会关注数据使用、数据商业化模式的合规性、是否涉及侵犯公民个人信息、是否协助或变相协助客户侵犯第三方商业秘密或个人信息安全等。监管的严格程度会与行业性质相关。例如,汽车行业涉及地理位置数据、医药行业涉及人类遗传资源数据、金融行业涉及经济类数据、能源行业涉及国家资源与产能数据等。审查的严格程度会结合数据的敏感度与量级来综合考虑。量级越大、越敏感的,自然审核会更严格。
03、 数据合规落地实务指南
一、拟上市期:立规则建制度
拟上市企业可结合实际情况建立及完善数据合规相关的制度和流程,开展员工意识培训,使员工认识、了解数据合规要求以及如何在业务流程中落实制度要求。在数据合规制度搭建起来后,企业还需要持续追踪数据合规制度的实施情况,改善企业数据合规机制,确保企业的数据合规制度能够持续符合证券监管要求,助力企业顺利上市。除了搭建数据合规制度以及将制度落实到具体的业务流程中以外,拟上市企业还可以考虑以下应对措施:
- 关注国内外形势以及相关监管政策变化,在选择上市目的地和开展数据出境活动时,对潜在的政治风险、商业风险、合规风险等进行综合评估,结合企业自身实际情况,从长远发展角度进行判断,做出最优决策;
- 加强与监管机构的良性沟通,积极征求和听取监管部门的意见或建议,掌握最新监管动态,以确保企业能及时更新数据合规制度,使企业的数据合规活动符合证券监管要求;
- 落实数据本地化。数据本地化是一种强调数据地域属性的做法,数据跨境流动会涉及国家主权、数据安全、个人信息安全等风险。对拟上市企业而言,若针对特定类型数据有本地化要求的,则该拟上市企业应当考虑建立数据存储中心,避免因出境风险而导致监管处罚。
二、上市后:针对监管要求动态完善
上市成功可以说是取得了阶段性的成果,但由于公司在上市后更会被公众所关注,因而需要更加重视数据合规。从近两年的监管动态也可以看出监管对于数据合规的要求会越来越高、越来越细致,因而公司需要时刻关注相关法律的变动,不断完善内在的数据合规体系。一般而言,上市企业的主要合规动作应该包括:
- 对于上市阶段开展数据合规排查时梳理出的低风险事项进行排期,并最终落地整改;
- 将数据合规实际纳入公司的业务流程中;
- 同时,因业务仍然是在动态开展的,公司也需要定期扫描公司持有的数据资产以及流转地图。
企业管理层应该借上市契机,对数据合规情况做整体盘点或风险排查。有些企业会借此开展运营改良、产品优化,包括优化审查流程、提升人员风险意识并加强培训、进一步搭建数据合规体系、完善和供应商及客户间的合同,建立内控制度等一系列配套方案,为上市后的海内外发展打下坚实基础。
三、将合规融入产品发展全周期
企业的数据合规需要融入业务经营发展全周期,避免事后补课带来的巨额学费。例如,企业上线新产品,需要从上线初期便将合规考虑在内。
首先,在产品酝酿阶段,公司可以邀请隐私保护专家列席产品开发研讨,专家提供个人信息保护的合规建议,提示合规风险与解决方案,此过程应通过会议记录或邮件的形式留痕。
其次,在产品初步设计阶段,产品设计团队应充分考虑隐私及个人信息保护风险,并采用将合规解决方案融入产品设计的工作思路和方式。
再次,产品设计团队将完成后的产品设计进行个人信息保护影响评估(PIA)。
最后,通过明确相应的技术手段和控制措施,将最终产品展示于由法务、风控、合规、安全等部门共同参与的会议以及通过充分论证无合规风险后再上架产品。
此外,在收购公司时,需要在收购前期即考虑属于股权收购还是资产收购、被收购公司是否存在重大数据合规问题、对于被收购公司的数据处置问题等。
04、 发挥数据资产的价值
在对数据进行盘点,将有价值的数据集合到一起并达到规模后形成"数据资源","数据资源" 通过数据确权等手段进一步标准化后,形成拥有数据权属、有价值、可计量、可读取的"数据资产",经过整合后的资产在配置后能够形成企业的一种服务和产品。同时,数据在资产化后可以进一步基于数据标准被评估定价、计账入簿,通过被流通交易,从而释放数据的价值。
对于企业而言,要想实现数据要素的价值释放就必须实现企业数据要素的市场化,确保企业内部的数据在安全合规的前提下能够在市场上流通。
数据要素市场化发展一般需要经过数字资源化、数字资产化、数据资本化三个阶段的工作。
在数据资源化阶段,尤其对于传统领域(如银行业、电信业等领域)企业来讲,实现内部数据资源化的首选动作之一便是企业数字化转型。传统企业通过数据的汇聚融合,将自身的数据底座(包含基于企业生产数据、客户数据、个人信息等形成的数据综合平台底座)与数字化技术(大数据、云计算、人工智能等)相结合,从而达到数据串联消除数据孤岛、赋能业务、盘活企业数据、提升业务服务质量的目标。
具体来讲,传统领域企业的数据融合一般涉及多个平台中的数据,包括外显客户端 App/ 小程序 / 网站的数据、企业内部职能部门处理的数据(如财务数据、人力资源数据、法务风控数据等)、大数据平台中的数据、云平台中的数据等。
除了实现企业内部数据的市场化流通,完成数字化转型以后的传统企业还可以基于所在行业的数据资源清单与其他行业中企业的数据能力进行资源整合和优势互补,最终完成行业间有序的数据共享。
对于数字密集型、技术导向型新兴企业而言,我国在鼓励推动其技术发展和数据价值释放的同时,不断推出新的监管要求并开展配套的执法活动,确保新兴数字领域企业的快速发展与数据安全的天平仍然保持平衡。因此,新兴数字领域企业应当更多地关注监管动态,提高自身的合规水平。
在数据资产化阶段,企业可以根据数字化转型后形成的数据,通过有针对性地清洗、脱敏、挖掘等形成资源型数据资产,并对数据开展进一步的加工处理,进而形成数据产品与数据服务,传输并交付至产品或服务的获取方获取收益,从而实现对数据要素的价值"做加法"。值得注意的是,数据资产化过程中各主体对数据的处理与应用应当结合不同主体的数据资源持有权、数据加工使用权和数据产品经营权这三项基本权利开展,从而确保资产化过程中的每个环节合法合规。
依托于数据资产,企业可以进一步开展数据资本化实践,根据自身数据产业规模实现对企业财富的放大,完成"做乘法"式的高速增长。从数据资本化运作的方式上来看,主要包含数据入股、数据信贷、数据信托和数据资产证券化等。通过以上方式,围绕数据资产可以建立全链条的数据产业和衍生市场,助力形成数据的统一大市场。
需要注意,数据合规工作伴随数据要素流动发展与价值释放路径的各个阶段,始终充当着重要角色。数据合规是数据价值释放的前提条件,良好的合规保障是数据进入流通交易阶段的首要基础。具备合规保障的数据资产将具有更高的经济价值,合规工作可以有效为数据资产的价值释放赋能。此外,合适的合规工具可以提升数据要素价值释放的效率,促进数据生态体系的繁荣建设。
05、 结语
在"全球数字一体化"的国际趋势和"构建数据统一大市场"的国内背景下,平衡好数据资源的"利用与流动"和"数据安全合规"这一天平将是一个需要长期关注的问题。天平向哪边倾斜、倾斜多少程度需要根据数据流通的场景、空间、时间来动态判断。在平衡天平的过程中,数据合规工作始终扮演着不可替代的角色,其将长期作为数据生态繁荣建设的基础保障。企业应当对数据流通发展与安全合规工作"两手抓",在数字时代下充分激发数据要素价值,释放数字经济活力。
作者简介 :孟洁律师,现任北京市环球律师事务所合伙人、北京比较法研究会理事、中国法学会网络与信息法研究会理事,并连续两年入选北京市律协千名涉外律师专家库专家。孟洁律师致力于向互联网、 人工智能、 车联网与自动驾驶、IoT、通信、云服务、IDC、电商及零售、金融科技、医疗、工业互联网、交通运输与基建、广告与营销、大数据等领域的国内外企业提供境内外数据合规专项及常年法律顾问服务。