大數(shù)據(jù)環(huán)境下需要建立合理的企業(yè)數(shù)據(jù)權(quán)合規(guī)

近年來，數(shù)據(jù)服務(wù)的場景不斷拓寬，大數(shù)據(jù)和人工智能等新型技術(shù)給人們生活帶來極大便利。數(shù)據(jù)是資產(chǎn)、數(shù)據(jù)有價值已經(jīng)是一種社會共識，與此同時，企業(yè)之間的數(shù)據(jù)流通、數(shù)據(jù)交易、數(shù)據(jù)控制者與數(shù)據(jù)主體之間的合規(guī)問題逐漸顯現(xiàn)，學(xué)界認(rèn)為現(xiàn)有規(guī)則制度已難以適應(yīng)不斷發(fā)展的大數(shù)據(jù)產(chǎn)業(yè)，并就企業(yè)數(shù)據(jù)權(quán)保護(hù)與規(guī)制展開討論。

大數(shù)據(jù)行業(yè)面臨的主要問題

周婷婷在《中央財經(jīng)大學(xué)學(xué)報》2016年第10期《大數(shù)據(jù)公司的結(jié)構(gòu)調(diào)整：組織與治理維度》一文中認(rèn)為，數(shù)據(jù)日益成為組織核心競爭力構(gòu)建過程中必爭的重要戰(zhàn)略資源，也不再專屬于互聯(lián)網(wǎng)企業(yè)。通過電子設(shè)備、互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、信息系統(tǒng)等手段，金融業(yè)、零售業(yè)、物流業(yè)、醫(yī)療衛(wèi)生業(yè)、傳媒業(yè)等都能夠坐擁海量大數(shù)據(jù)。但大數(shù)據(jù)集成系統(tǒng)存在著分離識別侵害自由權(quán)、關(guān)聯(lián)分析侵害平等權(quán)、技術(shù)壟斷侵害知情權(quán)以及資源獨(dú)占侵害發(fā)展權(quán)等諸多問題。大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展在未來可能會遇到更多的挑戰(zhàn)，如隱私保護(hù)、數(shù)據(jù)治理等問題。

王慧斌、趙雪冰在《法制與社會》2019年第8期《大數(shù)據(jù)交易中法律問題的規(guī)制》一文中認(rèn)為，首先，隨著我國的大數(shù)據(jù)交易量逐年快速增長，伴隨而來的問題是數(shù)據(jù)權(quán)屬歸屬還沒有得到解決。具體涉及：個人數(shù)據(jù)產(chǎn)權(quán)的歸屬、原數(shù)據(jù)所有權(quán)與一系列數(shù)據(jù)組成的大數(shù)據(jù)所有權(quán)歸屬未能在法律上予以明確，易引發(fā)對個人隱私權(quán)侵犯的不良社會現(xiàn)象頻繁出現(xiàn)。另外，目前我國針對數(shù)據(jù)交易主體如何具體分配彼此之間的責(zé)任，還沒有明確規(guī)定。其次，我國目前還沒有針對數(shù)據(jù)交易主體之間責(zé)任劃分的專門性規(guī)定，依靠其他法律規(guī)定進(jìn)行責(zé)任劃分也很困難。最后，隱私權(quán)范圍不明確，造成難以認(rèn)定侵犯隱私權(quán)，這也造成難以確定交易主體侵犯隱私權(quán)的侵權(quán)責(zé)任，并且也是制約個人隱私數(shù)據(jù)清洗的因素之一。

大數(shù)據(jù)公司違規(guī)行為的刑法規(guī)制

唐稷堯在《山東警察學(xué)院學(xué)報》2019年第3期《大數(shù)據(jù)時代中國刑法對企業(yè)數(shù)據(jù)權(quán)的保護(hù)與規(guī)制論綱》一文中認(rèn)為，從我國當(dāng)前的法律體系來看，對企業(yè)數(shù)據(jù)權(quán)的關(guān)注遠(yuǎn)遠(yuǎn)小于對個人數(shù)據(jù)權(quán)的關(guān)注，這在刑法上尤為明顯。作者認(rèn)為刑法對企業(yè)數(shù)據(jù)保護(hù)在犯罪對象方面存在缺位。就刑法條文而言，刑法直接規(guī)定數(shù)據(jù)保護(hù)的罪名只有兩個，即第285條第2款規(guī)定的非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪與第286條規(guī)定的破壞計算機(jī)信息系統(tǒng)罪。從犯罪對象或保護(hù)對象來看，作者認(rèn)為我國刑法對數(shù)據(jù)的保護(hù)體系主要圍繞個人數(shù)據(jù)、涉及國家秘密的數(shù)據(jù)展開，刑法用多個專條、規(guī)定多種行為類型對這兩類對象予以較為周密的保護(hù)，但企業(yè)數(shù)據(jù)則是保護(hù)的弱項。

從犯罪手段上看，目前刑法有關(guān)數(shù)據(jù)保護(hù)的罪名大致涉及三大類：一是非法獲取、持有類，包括竊取與截取、購買與收受、交換或者其他非法方法；二是破壞類，主要包括篡改、刪除、增加、干擾等方法；三是（廣義的）不法使用類，主要包括出售、向他人提供、通過網(wǎng)絡(luò)或其他途徑發(fā)布、泄露等方式。但從分布狀況來看，刑法就企業(yè)數(shù)據(jù)的保護(hù)而言，僅涉及竊?。捶欠ǐ@取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪中的“侵入并獲取”）、部分的破壞（即破壞計算機(jī)信息系統(tǒng)罪中的“刪除、修改或增加”）和對商業(yè)秘密類數(shù)據(jù)的泄露。面對海量的數(shù)據(jù)、極速的傳播速度、低廉的傳播成本、日益豐富的數(shù)據(jù)類型和日益凸顯、不斷被挖掘的數(shù)據(jù)商業(yè)價值以及企業(yè)日益增加的數(shù)據(jù)收集、儲存、整理成本，對企業(yè)數(shù)據(jù)的保護(hù)需要進(jìn)行適當(dāng)調(diào)整。

建立大數(shù)據(jù)企業(yè)合規(guī)體系

史晨陽在《金融電子化》2019年第7期《大數(shù)據(jù)體系下數(shù)據(jù)安全治理》一文中認(rèn)為，首先，在大數(shù)據(jù)背景下，要實現(xiàn)數(shù)據(jù)安全治理，需要厘清兩個關(guān)系。一是大數(shù)據(jù)治理和數(shù)據(jù)安全治理的關(guān)系；二是大數(shù)據(jù)體系下的數(shù)據(jù)安全治理和傳統(tǒng)數(shù)據(jù)安全治理的關(guān)系。對于前者，作者認(rèn)為隨著對數(shù)據(jù)資產(chǎn)的高度重視和對個人隱私數(shù)據(jù)的強(qiáng)監(jiān)管要求，數(shù)據(jù)共享越來越頻繁，數(shù)據(jù)安全領(lǐng)域變得更加重要，成為數(shù)據(jù)治理領(lǐng)域里非常突出和核心的子領(lǐng)域。其次，數(shù)據(jù)治理和數(shù)據(jù)安全治理都是覆蓋行內(nèi)外所有類型的數(shù)據(jù)，實現(xiàn)數(shù)據(jù)全生命周期的管理，提升數(shù)據(jù)資產(chǎn)的質(zhì)量，讓數(shù)據(jù)資產(chǎn)在安全可控的范圍內(nèi)使用，并發(fā)揮數(shù)據(jù)的價值。最后，數(shù)據(jù)安全管理要求的落地，與數(shù)據(jù)模型設(shè)計相結(jié)合，做到事前控制，并在數(shù)據(jù)的采集、存儲、加工和使用流程中實現(xiàn)數(shù)據(jù)安全管理要求。對于后者，相比較與傳統(tǒng)數(shù)據(jù)安全管理工作，作者從數(shù)據(jù)安全治理對象、環(huán)境、人員、流程全覆蓋著手，大數(shù)據(jù)體系下的數(shù)據(jù)安全治理是和數(shù)據(jù)日常工作深度結(jié)合，在數(shù)據(jù)的采集、加工、存儲、應(yīng)用、銷毀等數(shù)據(jù)流程中提出具體明確的要求，通過管理和日常工作流程的結(jié)合，從事前、事中、事后多個維度全面開展數(shù)據(jù)安全工作。

陳瑞華在《中國律師》2020年第1期《大數(shù)據(jù)公司的合規(guī)管理問題》一文中，談及大數(shù)據(jù)企業(yè)建立合規(guī)體系應(yīng)注意七個具體方面：一是，企業(yè)需要根據(jù)網(wǎng)絡(luò)安全法、刑法規(guī)定，制定個人信息保護(hù)合規(guī)政策，制定員工行為準(zhǔn)則，清晰地界定企業(yè)經(jīng)營行為的法律邊界。二是，企業(yè)應(yīng)注意合理限定收集信息的范圍，做到采集內(nèi)容與產(chǎn)品或服務(wù)具有直接關(guān)聯(lián)性，并將采集的頻率和獲取的數(shù)量控制在合理限度內(nèi)。三是，在數(shù)據(jù)保存環(huán)節(jié)，企業(yè)應(yīng)根據(jù)實際需要對個人信息做“去標(biāo)識化處理”，并將去標(biāo)識化后的數(shù)據(jù)與可用于恢復(fù)識別個人的信息分開存儲，確保在后續(xù)的個人信息處理中不再重新識別個人。在傳輸和存儲個人信息時，采取嚴(yán)格的加密措施，設(shè)置一定的訪問權(quán)限。四是，向他人提供公民個人信息，需要遵循：經(jīng)過被收集者同意、授權(quán)；未經(jīng)被收集者同意，則所提供的信息進(jìn)行匿名化處理，或者經(jīng)過處理無法識別特定個人，并且不可復(fù)原；確保信息接收方具有合法的使用目的，避免個人信息被用于違法犯罪活動三項原則。五是，對合作伙伴或第三方開展盡職調(diào)查，防范違法犯罪風(fēng)險。六是，在銀行、教育、工商、電信、快遞、證券、電商等行業(yè)，內(nèi)部人員犯罪已經(jīng)成為監(jiān)管執(zhí)法和刑事偵查的重點領(lǐng)域。企業(yè)要在技術(shù)上對于數(shù)據(jù)的方位保證可回溯性，以便在發(fā)生數(shù)據(jù)泄露時，能夠通過審查訪問日志等技術(shù)手段來找到對應(yīng)的泄露人員。七是，企業(yè)要建立一套較為完整的個人信息保護(hù)合規(guī)政策，履行信息網(wǎng)絡(luò)安全管理義務(wù)。