2022年，企业在经营中应重点关注哪些数据合规事项？| 内含合规清单

数据，作为国家基础性战略资源，是大数据产业的核心和命脉。为了规范数据的生成、采集、存储、加工、分析、服务等处理，2021年，我国出台了多项法律法规及政策文件。《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》及《中华人民共和国网络安全法》，这三部法律共同构建了我国的数据治理立法框架，共同维护网络安全和数据安全。

本文作者从数据合规相关的法律法规及政策文件、数据合规相关典型案例、数据合规清单出发，介绍中国企业在经营过程中应当关注的数据合规事项。

文 | 袁培皓 林草原 中伦律师事务所

来源 | 中伦视界

- 1 -

数据合规相关的法律法规及政策文件

1. 《数据安全法》

《数据安全法》的出台，使数据从之前单纯的民间、经济领域里的一项资源，直接上升到了国家战略层面，也使得数据安全的重要性得到了立法上的肯定。

《数据安全法》将数据作为“关键要素”首次写入法律，从立法上确认了对“数据权益”的保护，将“数据分类分级保护制度”上升至国家层面。同时也对数据交易平台作出了规定，首次提出了“政务数据开放平台”，并确立了数据分类分级管理、数据安全审查、数据风险评估、监测预警、重要数据出境管理和应急处置等基本制度，并对数据安全做出了全面的指导，加大了对违法行为的处罚力度。

2. 《个人信息保护法》

《个人信息保护法》的出台，解决了此前个人信息层面法律法规散乱不成体系的问题，堪称中国首部个人信息保护单独立法，翻开了我国个人信息保护法治事业的新篇章。

《个人信息保护法》不仅厘清了个人信息、敏感个人信息、个人信息处理者、自动化决策、去标识化、匿名化等基本概念，而且从适用范围、个人信息处理的基本原则、个人信息及敏感个人信息处理规则、个人信息跨境传输规则、个人信息保护领域各参与主体的职责与权利以及法律责任等方面对个人信息保护进行了全面规定，建立起个人信息保护领域的基本制度体系。

例如，个人信息处理的基本原则为：① 合法、正当、必要、诚信原则；② 目的明确和最小必要原则；③ 公开透明原则；④ 质量及安全保障原则。

3. 国家部委出台多项规定及征求意见稿

① 《网络数据安全管理条例（征求意见稿）》

2021年11月14日，国家互联网信息办公室对《网络数据安全管理条例（征求意见稿）》向社会公开征求意见。

《网络数据安全管理条例（征求意见稿）》作为《网络安全法》《数据安全法》和《个人信息保护法》的配套行政法规，针对三部法律中的原则性规范和制度进行了内容和流程方面的细化规定，并与《数据安全管理办法（征求意见稿）》具有一定的承继关系。

《网络数据安全管理条例（征求意见稿）》对数据分级分类，数据处理者的上市、合并、重组、分立，企业的披露范围，数据跨境传输，数据安全应急处理机制等作了详细规定。

② 《数据出境安全评估办法（征求意见稿）》

2021年10月29日，国家网信办发布《数据出境安全评估办法（征求意见稿）》。

《数据出境安全评估办法（征求意见稿）》是根据《网络安全法》《数据安全法》和《个人信息保护法》共同确立的数据出境安全评估制度的细则，涵盖了对关键信息基础设施运营者（CIIO）、重要数据处理者、个人信息处理者的数据出境安全评估、数据出境风险自评估、同境外接收方的数据安全保护责任义务的约定等的细化规定，为有数据出境需求企业的合规遵循。

③ 《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》

2021年9月30日，工业和信息化部对《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》向社会公开征求意见。

《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》是根据《民法典》《数据安全法》《网络安全法》等法律法规，为规范工业和信息化领域数据处理活动，加强数据安全管理，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家安全和发展利益而制定的。

《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》对数据分类分级管理，数据全生命周期安全管理，数据安全监测预警与应急管理，数据安全检测、评估与认证管理，数据安全审查等进行了细化规定。

④ 《汽车数据安全管理若干规定（试行）》

2021年8月16日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部发布《汽车数据安全管理若干规定（试行）》，用以规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用。

4. 多项国家标准向社会公开征求意见

2021年，全国信息安全标准化技术委员会分别就《信息安全技术 快递物流服务数据安全指南》《信息安全技术 即时通信服务数据安全指南》《信息安全技术 网络支付服务数据安全指南》《信息安全技术 网络音视频服务数据安全指南》《信息安全技术 网上购物服务数据安全指南》《信息安全技术 人脸识别数据安全要求》《信息安全技术 步态识别数据安全要求》《信息安全技术 声纹识别数据安全要求》《信息安全技术 基因识别数据安全要求》向社会公开征求意见。未来，企业应对相关国家标准给予关注，及时调整与数据安全相关的业务。

- 2 -

2021典型案例回顾

1. 因数据活动引发不正当竞争纠纷

当前，数据作为互联网企业的基础性、核心资源，其带来的流量变现、大数据分析等价值正日益凸显，已然成为企业的一项无形资产。在数据活动大量进行，企业越发注重数据保护的情形下，互联网数据纠纷层出不穷。此处选取北京W科技公司与北京Z科技公司因爬取数据引发的不正当竞争案为典型，以进行深入分析。

从该案来看，首先，关于《互联网搜索引擎服务自律公约》可否作为本案的商业道德参考，两审法院的看法不一。一审法院认为《互联网搜索引擎服务自律公约》可作为本案中商业道德的参考，但是，二审法院认为《互联网搜索引擎服务自律公约》仅可作为搜索引擎服务行业的商业道德，不能作为非搜索引擎服务行业商业道德的参考，也不能成为互联网行业通行的商业道德。

其次，在判断robots协议对于网络机器人限制行为的正当性时，二审法院提出了审查的核心：保护网站经营者的自主经营权与维护其他经营者利益、维护消费者利益、维护竞争秩序之间的平衡，并从四个方面进行判断：

① 网站经营者经营自主权：在不损害消费者利益、公共利益、竞争秩序的前提下，robots协议对于网络机器人限制行为属于网站经营者经营自主权，应当允许；

② 经营者利益：其他经营者是否认可通过robots协议拒绝其网络机器人抓取，是否对结果有明确预期，是否产生了信息孤岛；

③ 消费者利益：在非搜索引擎的应用场景下，网络机器人的抓取和移植是否会实现内容实质性替代的应用场景，是否会实质上增加消费者的消费体验，是否损害消费者利益；

④ 市场竞争：结合robots协议设置方与被限制方所处的经营领域和经营内容、被限制的网络机器人应用场景、robots协议的设置对其他经营者、消费者以及竞争秩序的影响等多种因素进行综合判断。

最后，商业道德标准是判断不正当竞争行为的一个重要内容，未来，互联网行业中涉及数据的不正当竞争行为的判断会随着商业道德标准内容的改变而变化，互联网从业者应时刻关注行业、技术、标准等的变化，避免不正竞争。

2. 上市公司数据合规案例

随着《网络安全法》《个人信息保护法》等一系列法律法规的正式生效和逐步落实，网络安全执法活动日趋活跃，上市公司的网络安全及数据保护合规状态亦成为监管机关的重点关注内容，数据合规问题成为企业上市的审查要点。此处以旷视科技科创板IPO为例进行展示说明。

旷视科技创立于2011年，是一个人工智能产品和解决方案品牌，以深度学习为核心竞争力，融合算法、算力和数据，打造出“三位一体”的新一代AI生产力平台旷视“Brain++”，并开源其核心——深度学习框架“天元”。2021年3月12日，旷视科技科创板IPO获上交所受理。

2021年4月12日，上交所要求旷视科技说明：

（1）发行人技术、业务及产品（或服务）中涉及到数据采集、清洗、管理、运用的具体环节；不同环节涉及的数据的具体类型，文字、图像、视频等具体情况；

（2）发行人自身核心技术（如算法的训练、系统的搭建等）是否涉及大量的数据的应用，如是，相关数据的来源及其合规性；

（3）发行人对外提供的产品（或服务）是否涉及数据的采集运用，如是，说明数据的来源及其合法合规性；

（4）发行人保证数据采集、清洗、管理、运用等各方面的合规措施；

（5）发行人的数据来源中是否包含向供应商采购，如是，请说明是否在相关合同中约定数据合规的条款或措施，并结合《民法典》《网络安全法》和《个人信息安全规范》《数据安全法（草案）》《个人信息保护法（草案）》等相关规定，说明相关措施是否能切实保证发行人不出现数据合规风险或法律纠纷；

（6）结合发行人的产品交付及部署模式，说明发行人的产品（或服务）中涉及到用户的个人数据的情形和场景，该等数据的运用、管理及其合规性；

（7）发行人产品至今是否面临数据合规方面的诉讼或纠纷；并请结合相关公开报道，说明发行人数据的合规性。

2021年5月28日，旷视科技披露了其上交所首轮问询的回复，否认了曾有过数据合规方面的诉讼或纠纷。

- 3 -

2022数据合规展望——

以数据合规清单为例

2022已至，随着数字化、智能化技术的蓬勃发展，无论是传统行业还是新兴产业，都不可避免需要关注数据合规问题，因此笔者基于研究梳理整理了企业数据合规清单，从顶层设计、基础制度制定、数据收集、数据存储、数据使用、数据传输、数据对外提供、数据的物理和技术安全、数据删除的角度，介绍了中国企业在经营过程中应当关注的数据合规事项。

点击图片查看大图

总结与展望

随着与数据相关的法律体系的不断完善，数据合规将会成为企业经营、上市、融资、发展等的重要领域。因此，企业在今后不仅需要关注网络信息系统安全保护机制的搭建与认证、企业内部网络软硬件的安全规划、网络安全问询与检查应对、网络安全事件响应规划及协助调查等事项，也需要定制自身的数据合规与资产化治理组合拳方案，全面的数据风险核查、合规差距分析与管控方案，合法合规地充分利用数据这一要素，充分挖掘其经济价值。

# 推荐阅读 #