封面策划|【原创】王磊：数据经济时代的利益平衡与合规监管

　　文 | 王磊 北京理工大学智能科技法律研究中心研究员

　　数字经济时代，企业通过大数据、人工智能等技术为用户提供了“千人千面”的个性化服务，使广大网民享受到了技术进步和企业商业模式升级带来的便捷服务，同时搜集、处理大量用户信息的平台型企业也面临着个人信息保护和数据合规等方面的新问题、新挑战。9月1日《中华人民共和国数据安全法》（以下简称“《数据安全法》”）正式实施，备受关注的《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）也于8月20日由全国人大常委会第三十次会议审议通过，并将于2021年11月1日起施行，这一系列法律的出台标志着数字经济的法治化进程不断深入。

　　一、个人信息处理活动中的法律责任进一步明确

　　在个人信息处理活动中，知情同意规则对于保护个人信息拥有至关重要的作用，但仅依靠个人同意越来越被证明不能有效控制个人信息的流向和生命周期，不能实现对个人信息权利的切实保护。因此，对于个人信息的保护与利用，一方面在信息处理中需要获得数据主体的授权，并最大限度尊重用户权益；另一方面，个人信息处理者，即各大信息数据平台，在为用户提供便捷服务的同时，也要积极主动地履行对个人信息保护的责任。

　　《个人信息保护法》第3条对于管辖适用范围进行了明确，一是对于境内处理自然人个人信息的活动适用；二是对境外处理境内自然人信息活动的情况进行了分类列明，如以向境内自然人提供产品或服务为目的，或分析、评估境内自然人的行为都适用此法。也就是说，对于个人信息保护应当以境内自然人作为数据主体对象，即使境外处理境内自然人个人信息的，也需要遵循该规定；如果出现违法行为，也需要承担该法项下相应的法律责任。情节严重的企业主体可能受到没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照的严厉处罚。有违法行为且情节严重的，除了对直接负责的主管人员和其他直接责任人员处以罚款，还可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。这一规定在一定程度上解决了针对数据侵权的司法判赔、行政处罚力度普遍不高、法律依据缺失的问题，也进一步促使企业加强数据合规建设，从而避免承担高额罚款及法律诉讼。

　　个人信息保护是一个综合的重大课题，《个人信息保护法》作为专门性法律确定了保护与促进利用的原则。个人信息保护体系中还有大量的规定和标准，如今年出台的《常见类型移动互联网应用程序必要个人信息范围规定》《信息安全技术人脸识别数据安全要求》等，这些规定和标准从各个维度对保护个人信息和促进个人信息利用加以规定，同时也有效解决了现实生活中存在的信息被滥采滥用，过度使用，大规模泄露等问题。而个人信息保护体系的建立，也为数字社会在发展中存在的个人信息乱象提供了指引，即处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息，同时在处理过程中应当遵循公开、透明的原则，如果变更处理目的、处理方式和处理的信息种类的，应当重新取得同意。这些都是对数据处理方提出的合规性要求，同时也是数字经济发展过程中，推动个人信息利用方有序发展的必要措施，据此，侵害个人信息权益、违规获取个人信息的情况便能够得到有效的遏制。

　　二、个人信息保护与规范利用的利益平衡

　　《个人信息保护法》提出了个人信息保护与规范利用之间的利益平衡原则，《数据安全法》指出要坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。法律既要保障社会公众享受技术进步带来的福祉，也应指引我国数据产业在国际竞争格局中形成有利优势。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出“统筹数据开发利用、隐私保护和公共安全”，也强调了数据开发利用与数据保护的平衡和协调发展。根据中国互联网络信息中心（CNNIC）发布第48次《中国互联网络发展状况统计报告》数据显示，截至2021年6月，我国网民规模达10.11亿。构建智慧社会中的重要一环就是推动个人信息的有序利用，使得广大用户愿意接受相应的产品和服务。同时，平台方通过优质的产品和服务以及对于个人信息透明、合理的保护机制获得更多用户的信任与支持。企业在当今发展过程中，更应充分重视个人信息合规的重要性，形成一套行之有效的保护体系，这是数字经济时代企业发展的核心竞争力。

　　数据保护与数据利用是数据治理的两个基本问题。数据保护是数据利用的必要基础，数据利用是数据保护的目的之一。对个人数据收集的指数级增长是数字经济的重要特点，企业为商业目的对这些数据进行分析和利用，并创造价值。找出保护与利用二者之间的平衡点，无疑是保证数字经济健康发展的重要因素。数据合规已经成为互联网企业竞争秩序中的重要考量要素。一方面，企业在个人数据保护和网络安全方面给用户以安全感，提供高质量的产品和服务；另一方面，个人数据的集合和合规优势同样构成了企业竞争力的一部分，吸引更多的用户向合规的平台集合，进而使得数据的流动更加的合法有序。

　　对于个人信息保护以及个人数据商业化利用来说，需要平台企业尤其是重要互联网平台服务、用户数量巨大、业务类型复杂的数据处理企业，形成个人信息保护动态的合规机制，结合企业具体情况，并依照不同风险等级划分安全保护层级，将个人信息依照不同场景进一步区分，如身份数据、行为数据、内容数据等，建立风险评估和防范应急制度。与此同时，要特别关注老年人和未成年人的数据权益，构建同个人数据分类保护制度相适应的商业化规则。

　　三、建立健全数据合规行业自治监管体系

　　行业自治监管是合规性监管的重要组成部分，数据合规性的监管更是如此。鉴于大型互联网平台对互联网生态环境拥有着巨大的影响和控制力，《个人信息保护法》第58条专门规定了我国的“守门人”制度。该制度针对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者施加了特别义务，明确了“守门人”企业应当承担的四点义务：（1）按照国家规定建立健全个人信息保护合规制度体系并成立外部成员组成的独立机构对个人信息保护情况进行监督；（2）通过制定平台规则的方式，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；（3）对于严重违法、违规的平台内产品或服务提供者停止提供服务；（4）定期发布个人信息社会责任报告对外披露信息，提高中立性和透明度，使“守门人”企业能够接受更广泛的外部社会监督，避免个人信息在平台算法的“黑箱”中存在被不当采集和不当利用的可能性。以头部互联网平台为核心的“守门人”企业作为互联网产业的新兴发展力量，其数据收集涉及更大的群体和更专业的知识，也给如何监管出了更大的难题。除了常规行政监管外，结合行业自律监管是解决这个问题的关键。

　　互联网行业组织一般由行业公司或者组织构成，在互联网技术和数据的收集、运用和保护技术方面都有更深的了解，能够在技术应用和保护规范上提出更有深度和操作性的建议。因此可以赋予行业组织自律监管的职能，要求行业组织根据行业发展情况在用户个人数据保护层面出台行业技术标准、监督成员合规、引导用户增强自我保护能力和建立行业问责制度。如此，在法律规制滞后于信息技术发展，很多新形式的数据侵权行为难以找到相关法律规定之时，便可以通过有效发挥行业自律的灵活性优势以填补网络平台侵权的漏洞。同时将其与行政监管活动结合，由行业主管部门牵头，对行业内存在的个性化问题，通过建立强制性的标准化体系实现管理，行政监管部门则可以将符合市场情况、行之有效的行业标准逐步上升为法律，赋予强制性效力。推动形成政府、企业、行业组织、社会公众共同参与的治理模式，并积极参与个人信息保护和数据治理的国际交流与合作，总结出个人信息保护和数据合规的先进实践经验。

　　数字经济时代，对于个人数据治理应当具有“同理心”。对于数据主体而言，如希望通过丰富的应用场景获得生活和学习上的便利，势必需要让渡部分权利并为数据企业提供相应的授权，但同时我们也应当充分保障数据主体的知情权，并应当给数据主体选择是否接受相应应用场景的选择权和在选择应用场景后撤回的权利。对于数据利用方来说，获得数据主体的授权后，应当在利用的各个环节加以规范。同时对于个人数据不应“一刀切”，分级分类的数据利用规则，将会使产业链中的各方主体通过合理正当的场景来进行个人数据的商业利用。对于国家以及各政府部门来说，有序的数据治理规则，也是国际治理体系的重要部分，各个国家和地区之间只有秉持“同理心”的共商共建，才会更好地实现全球数据治理的目标。

　　四、结语

　　个人信息保护与个人数据利用是一个全球共同关注的重大课题，加强保护与促进产业发展是相辅相成的，如何有效达到其中的利益平衡，不仅要着眼于广大用户与商业平台，还要结合社会公共利益与国家安全以及国家战略加以考虑。当前数字经济市场中的“守门人”均为相关行业的领军企业，作为数字经济时代的受益者，其在享受利用海量个人信息创造商业价值的同时，也应当提高企业社会服务意识和社会责任意识。严格依照《个人信息保护法》《数据安全法》《反不正当竞争法》等相关法律法规的规定，更加积极主动地承担起保护公民个人隐私、维护正当市场竞争秩序的责任，配合监管机关及行业协会实现个人信息处理行为的安全可控，探索数据合规的最佳实践，用合规促进业务发展与企业繁荣，形成个人信息保护和数据治理的全球新秩序。