近年来,数据服务的场景不断拓宽,大数据和人工智能等新型技术给人们生活带来极大便利。数据是资产、数据有价值已经是一种社会共识,与此同时,企业之间的数据流通、数据交易、数据控制者与数据主体之间的合规问题逐渐显现,学界认为现有规则制度已难以适应不断发展的大数据产业,并就企业数据权保护与规制展开讨论。
大数据行业面临的主要问题
周婷婷在《中央财经大学学报》2016年第10期《大数据公司的结构调整:组织与治理维度》一文中认为,数据日益成为组织核心竞争力构建过程中必争的重要战略资源,也不再专属于互联网企业。通过电子设备、互联网、物联网、信息系统等手段,金融业、零售业、物流业、医疗卫生业、传媒业等都能够坐拥海量大数据。但大数据集成系统存在着分离识别侵害自由权、关联分析侵害平等权、技术垄断侵害知情权以及资源独占侵害发展权等诸多问题。大数据产业的发展在未来可能会遇到更多的挑战,如隐私保护、数据治理等问题。
王慧斌、赵雪冰在《法制与社会》2019年第8期《大数据交易中法律问题的规制》一文中认为,首先,随着我国的大数据交易量逐年快速增长,伴随而来的问题是数据权属归属还没有得到解决。具体涉及:个人数据产权的归属、原数据所有权与一系列数据组成的大数据所有权归属未能在法律上予以明确,易引发对个人隐私权侵犯的不良社会现象频繁出现。另外,目前我国针对数据交易主体如何具体分配彼此之间的责任,还没有明确规定。其次,我国目前还没有针对数据交易主体之间责任划分的专门性规定,依靠其他法律规定进行责任划分也很困难。最后,隐私权范围不明确,造成难以认定侵犯隐私权,这也造成难以确定交易主体侵犯隐私权的侵权责任,并且也是制约个人隐私数据清洗的因素之一。
大数据公司违规行为的刑法规制
唐稷尧在《山东警察学院学报》2019年第3期《大数据时代中国刑法对企业数据权的保护与规制论纲》一文中认为,从我国当前的法律体系来看,对企业数据权的关注远远小于对个人数据权的关注,这在刑法上尤为明显。作者认为刑法对企业数据保护在犯罪对象方面存在缺位。就刑法条文而言,刑法直接规定数据保护的罪名只有两个,即第285条第2款规定的非法获取计算机信息系统数据罪与第286条规定的破坏计算机信息系统罪。从犯罪对象或保护对象来看,作者认为我国刑法对数据的保护体系主要围绕个人数据、涉及国家秘密的数据展开,刑法用多个专条、规定多种行为类型对这两类对象予以较为周密的保护,但企业数据则是保护的弱项。
从犯罪手段上看,目前刑法有关数据保护的罪名大致涉及三大类:一是非法获取、持有类,包括窃取与截取、购买与收受、交换或者其他非法方法;二是破坏类,主要包括篡改、删除、增加、干扰等方法;三是(广义的)不法使用类,主要包括出售、向他人提供、通过网络或其他途径发布、泄露等方式。但从分布状况来看,刑法就企业数据的保护而言,仅涉及窃取(即非法获取计算机信息系统数据罪中的“侵入并获取”)、部分的破坏(即破坏计算机信息系统罪中的“删除、修改或增加”)和对商业秘密类数据的泄露。面对海量的数据、极速的传播速度、低廉的传播成本、日益丰富的数据类型和日益凸显、不断被挖掘的数据商业价值以及企业日益增加的数据收集、储存、整理成本,对企业数据的保护需要进行适当调整。
建立大数据企业合规体系
史晨阳在《金融电子化》2019年第7期《大数据体系下数据安全治理》一文中认为,首先,在大数据背景下,要实现数据安全治理,需要厘清两个关系。一是大数据治理和数据安全治理的关系;二是大数据体系下的数据安全治理和传统数据安全治理的关系。对于前者,作者认为随着对数据资产的高度重视和对个人隐私数据的强监管要求,数据共享越来越频繁,数据安全领域变得更加重要,成为数据治理领域里非常突出和核心的子领域。其次,数据治理和数据安全治理都是覆盖行内外所有类型的数据,实现数据全生命周期的管理,提升数据资产的质量,让数据资产在安全可控的范围内使用,并发挥数据的价值。最后,数据安全管理要求的落地,与数据模型设计相结合,做到事前控制,并在数据的采集、存储、加工和使用流程中实现数据安全管理要求。对于后者,相比较与传统数据安全管理工作,作者从数据安全治理对象、环境、人员、流程全覆盖着手,大数据体系下的数据安全治理是和数据日常工作深度结合,在数据的采集、加工、存储、应用、销毁等数据流程中提出具体明确的要求,通过管理和日常工作流程的结合,从事前、事中、事后多个维度全面开展数据安全工作。
陈瑞华在《中国律师》2020年第1期《大数据公司的合规管理问题》一文中,谈及大数据企业建立合规体系应注意七个具体方面:一是,企业需要根据网络安全法、刑法规定,制定个人信息保护合规政策,制定员工行为准则,清晰地界定企业经营行为的法律边界。二是,企业应注意合理限定收集信息的范围,做到采集内容与产品或服务具有直接关联性,并将采集的频率和获取的数量控制在合理限度内。三是,在数据保存环节,企业应根据实际需要对个人信息做“去标识化处理”,并将去标识化后的数据与可用于恢复识别个人的信息分开存储,确保在后续的个人信息处理中不再重新识别个人。在传输和存储个人信息时,采取严格的加密措施,设置一定的访问权限。四是,向他人提供公民个人信息,需要遵循:经过被收集者同意、授权;未经被收集者同意,则所提供的信息进行匿名化处理,或者经过处理无法识别特定个人,并且不可复原;确保信息接收方具有合法的使用目的,避免个人信息被用于违法犯罪活动三项原则。五是,对合作伙伴或第三方开展尽职调查,防范违法犯罪风险。六是,在银行、教育、工商、电信、快递、证券、电商等行业,内部人员犯罪已经成为监管执法和刑事侦查的重点领域。企业要在技术上对于数据的方位保证可回溯性,以便在发生数据泄露时,能够通过审查访问日志等技术手段来找到对应的泄露人员。七是,企业要建立一套较为完整的个人信息保护合规政策,履行信息网络安全管理义务。