《復(fù)旦-煒衡數(shù)據(jù)安全聯(lián)合報告》-68正式版

2021NO.9(總第45期）復(fù)旦-煒衡數(shù)據(jù)安全聯(lián)合報告復(fù)旦發(fā)展研究院復(fù)旦大學(xué)網(wǎng)絡(luò)空間國際治理研究基地北京煒衡（上海）律師事務(wù)所復(fù)旦-煒衡數(shù)據(jù)安全聯(lián)合報告江天驕

姚旭

主編復(fù)旦發(fā)展研究院復(fù)旦大學(xué)網(wǎng)絡(luò)空間國際治理研究基地北京煒衡（上海）律師事務(wù)所2021年

10月

18日課題團(tuán)隊成員顧問：沈

逸

復(fù)旦發(fā)展研究院教授復(fù)旦大學(xué)網(wǎng)絡(luò)空間國際治理研究基地主任顧

靖

北京煒衡（上海）律師事務(wù)所高級合伙人成員：江天驕

復(fù)旦發(fā)展研究院金磚國家研究中心主任助理姚

旭

復(fù)旦發(fā)展研究院青年副研究員王

蕾

復(fù)旦發(fā)展研究院博士后陸

濱

復(fù)旦大學(xué)網(wǎng)絡(luò)空間國際治理研究基地科研助理金代文

北京煒衡（上海）律師事務(wù)所高級合伙人趙

越

北京煒衡（上海）律師事務(wù)所律師助理序一2021年春季學(xué)期，復(fù)旦發(fā)展研究院以通識教育選修課的形式向復(fù)旦全校本科生開設(shè)了咨政實踐類課程。數(shù)據(jù)安全及其治理問題是《政策調(diào)研與寫作》課程中的模塊之一，主要聚焦當(dāng)前國家和社會治理中極為關(guān)注的數(shù)據(jù)安全管理與個人隱私數(shù)據(jù)保護(hù)問題。參與討論和調(diào)研的學(xué)生來自新聞、政治學(xué)、俄語、材料化學(xué)、大氣科學(xué)、智能科學(xué)與技術(shù)等不同專業(yè)方向，具有多學(xué)科的視野。除了課堂理論學(xué)習(xí)和研討之外，研究小組還來到上海極鏈網(wǎng)絡(luò)科技有限公司、北京煒衡(上海)律師事務(wù)所等實踐基地展開調(diào)研，深入了解一線行業(yè)和專業(yè)人士對相關(guān)問題的看法。經(jīng)過一學(xué)期的理論學(xué)習(xí)和實踐調(diào)研，學(xué)生們圍繞數(shù)據(jù)安全標(biāo)準(zhǔn)制定、數(shù)據(jù)保護(hù)管制度、中小企業(yè)數(shù)據(jù)管理、汽車數(shù)據(jù)存儲以及青少年個人數(shù)據(jù)保護(hù)等問題撰寫了咨政報告，發(fā)現(xiàn)了當(dāng)前數(shù)據(jù)安全治理在各個環(huán)節(jié)面臨的實際問題和管理難點，并試圖提出能夠落地的解決辦法。在此基礎(chǔ)上，北京煒衡(上海)律師事務(wù)所的高級合伙人金代文律師、趙越律師助理等為相關(guān)報告撰寫了點評意見，并從企業(yè)合規(guī)的角度專門撰文探析數(shù)據(jù)權(quán)益概念及邊界問題，為深入開展后續(xù)研究工作提供了更加開闊的視角。在復(fù)旦發(fā)展研究院以及北京煒衡(上海)律師事務(wù)所的大力支持下，本報告得以公開發(fā)布。雙方一致認(rèn)為，數(shù)據(jù)安全是今后很長一段時間內(nèi)國家和社會治理面臨的持續(xù)性挑戰(zhàn)。鼓勵青年人更多地關(guān)注和參與數(shù)據(jù)安全治理議題，開拓更多產(chǎn)學(xué)研相結(jié)合的治理模式，本身就是對提升全民數(shù)據(jù)保護(hù)意識，優(yōu)化數(shù)據(jù)安全環(huán)境的一種嘗試。復(fù)旦發(fā)展研究院金磚國家研究中心主任助理

江天驕序二近年來，大數(shù)據(jù)、云計算、人工智能等新技術(shù)方興未艾，不斷刷新社會治理路徑，使人們對新技術(shù)帶來的社會新形態(tài)充滿期待。但在數(shù)字技術(shù)飛速發(fā)展的過程中，數(shù)據(jù)流動帶來問題開始呈井噴狀態(tài)，數(shù)據(jù)安全事件層出不窮，在各層面產(chǎn)生沖擊和挑戰(zhàn)。數(shù)據(jù)安全問題嚴(yán)重挑戰(zhàn)國家與社會治理秩序,也嚴(yán)重?fù)p害個人基本權(quán)利。希拉里競選總統(tǒng)時的“郵件門”、Facebook劍橋分析事件、馬克龍競選團(tuán)隊遭到黑客入侵等數(shù)據(jù)安全大案，都在某種程度上影響了國家政治安全。美國最大燃油管道公司遭網(wǎng)絡(luò)攻擊停擺多日，直接使多州進(jìn)入緊急狀態(tài)，因其每天輸送250萬桶燃油產(chǎn)品、占美國東海岸供應(yīng)量的45%；臭名昭著的勒索軟件WannaCry感染事件使全球100多個國家的各要害行業(yè)均遭受不同程度的影響。與此同時，聯(lián)合國超10萬名員工的個人信息遭到泄露，京東內(nèi)部員工涉嫌竊取50億條用戶數(shù)據(jù)，電信詐騙屢禁不止、“徐玉玉”案令人痛心不已。凡此種種都切實威脅個人隱私這一基本權(quán)利。為應(yīng)對愈演愈烈的數(shù)據(jù)販賣、竊取、壟斷、泄露問題，全球范圍內(nèi)各國都在進(jìn)行規(guī)制重構(gòu)，我國也在數(shù)據(jù)安全治理領(lǐng)域持續(xù)發(fā)力。近年來，我國著力構(gòu)建網(wǎng)絡(luò)與數(shù)據(jù)安全頂層架構(gòu)，在實踐中形成相關(guān)部委的協(xié)調(diào)合作機(jī)制。在國家層面，隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》相繼出臺，一個較為清晰的規(guī)制架構(gòu)已經(jīng)形成，一方面逐漸形成數(shù)據(jù)安全至關(guān)重要的社會共識，一方面形成監(jiān)管方與被監(jiān)管方的良性互動機(jī)制；在地方層面，上海、深圳等地邁開步子探索數(shù)據(jù)開放、數(shù)據(jù)確權(quán)與數(shù)據(jù)保護(hù)的前沿邊界，并形成一系列地方政策文件，開始了新一輪的探索。維護(hù)數(shù)據(jù)安全需要自上而下、上下融通的創(chuàng)新型監(jiān)管機(jī)制，而“監(jiān)管”的重點在“監(jiān)”、上策在預(yù)防，需要具備迅速迭代進(jìn)化能力的數(shù)據(jù)安全監(jiān)察機(jī)制。為了達(dá)到這一目標(biāo)，政府與企業(yè)必須進(jìn)一步形成合力，打造適應(yīng)技術(shù)與時代發(fā)展的數(shù)據(jù)安全監(jiān)管新范式。復(fù)旦發(fā)展研究院青年副研究員

姚旭2序三在數(shù)字時代，數(shù)據(jù)已經(jīng)被列為土地、勞動力、資本、技術(shù)并列的五大生產(chǎn)要素之一。為應(yīng)對時代發(fā)展之需，近段時間，國家、政府及行業(yè)層面密集頒布了數(shù)據(jù)安全領(lǐng)域相關(guān)的法律、法規(guī)、部門規(guī)章、行業(yè)規(guī)范等，對數(shù)據(jù)的采集、存儲、使用、保護(hù)等方面進(jìn)行嚴(yán)格規(guī)制，防止數(shù)據(jù)不當(dāng)使用和泄漏所產(chǎn)生的系統(tǒng)性風(fēng)險。面對數(shù)字時代安全建設(shè)的新需求，無論是政府、組織、企業(yè)及個人都面臨著全新的考驗。復(fù)旦發(fā)展研究院作為國家級智庫，始終密切關(guān)注和研究數(shù)據(jù)領(lǐng)域相關(guān)法律法規(guī)等給政府、企業(yè)、個人帶來的各種影響，已經(jīng)結(jié)下豐碩成果。此次復(fù)旦發(fā)展研究院召集跨學(xué)科、跨專業(yè)的復(fù)旦學(xué)子組成數(shù)據(jù)安全和保護(hù)研究小組，對目前普遍存在的數(shù)據(jù)安全和保護(hù)所產(chǎn)生的社會現(xiàn)象進(jìn)行學(xué)習(xí)和研究，并走訪相關(guān)數(shù)據(jù)運營企業(yè)，了解該類企業(yè)面臨的問題和需求，從各角度撰寫了質(zhì)量較高的調(diào)研報告，提出問題和建議，對我國將來完善該領(lǐng)域立法具有一定參考作用。北京煒衡（上海）律師事務(wù)所作為上海一家規(guī)模化綜合性律所，已經(jīng)積累了為互聯(lián)網(wǎng)公司和其他企業(yè)提供數(shù)據(jù)安全相關(guān)法律服務(wù)的實務(wù)經(jīng)驗。此次應(yīng)復(fù)旦發(fā)展研究院邀請，就數(shù)字安全這一課題在立法、司法領(lǐng)域面臨的一些問題與復(fù)旦同學(xué)們進(jìn)行了深入研討，對同學(xué)們撰寫的調(diào)研報告進(jìn)行了評議，并提出了中肯的建議。相信本次產(chǎn)學(xué)研領(lǐng)域展開的務(wù)實合作，將發(fā)揮各自的專業(yè)優(yōu)勢，共同致力于全面守護(hù)數(shù)字經(jīng)濟(jì)的高質(zhì)量發(fā)展。北京煒衡（上海）律師事務(wù)所高級合伙人

顧靖3構(gòu)建數(shù)據(jù)管理團(tuán)體標(biāo)準(zhǔn)，筑起數(shù)據(jù)問題“自衛(wèi)墻”李卓航一、引言隨著互聯(lián)網(wǎng)數(shù)字經(jīng)濟(jì)在我國的蓬勃發(fā)展，數(shù)據(jù)的全生命周期管理及數(shù)據(jù)權(quán)益保護(hù)越來越成為制度與規(guī)范性建設(shè)的關(guān)注重點。然而面對數(shù)字經(jīng)濟(jì)發(fā)展的新形勢和新問題，往往存在立法滯后，立法空白，法條表述清晰度有限，無對應(yīng)標(biāo)準(zhǔn)等困境。從企業(yè)的視角出發(fā)，面對這樣的現(xiàn)狀，企業(yè)往往難以明確自己的合規(guī)性發(fā)展方向，這嚴(yán)重影響了經(jīng)營活動。由此，筆者建議鼓勵、幫助行業(yè)協(xié)會、企業(yè)聯(lián)盟等社會團(tuán)體發(fā)揮自身能動性，出臺有實際約束力的團(tuán)體標(biāo)準(zhǔn)，作為對國家現(xiàn)行法律的有效補充，行業(yè)內(nèi)部的行為準(zhǔn)繩，司法活動的依據(jù)，構(gòu)建起民間的數(shù)據(jù)安全“自衛(wèi)墻”。二、企業(yè)的主要困境：合規(guī)性問題作為方興未艾的高新產(chǎn)業(yè)，數(shù)字經(jīng)濟(jì)行業(yè)的變化與法律完善、行業(yè)自身發(fā)展乃至普羅大眾的生活都密切相關(guān)。在這一過程中，行業(yè)自身的動作發(fā)揮著主體性作用。每一個微觀企業(yè)的決定共同構(gòu)成了行業(yè)的發(fā)展方向。一方面，企業(yè)的決策依賴于他們基本經(jīng)營活動收益的計算；另一方面，企業(yè)的決策同樣也是他們對自身合規(guī)性與倫理考量的結(jié)果。行業(yè)的合規(guī)性建設(shè)是本報告關(guān)注的主要問題。（一）企業(yè)合規(guī)意識有限，對于數(shù)據(jù)權(quán)益認(rèn)識不足在調(diào)研中，筆者發(fā)現(xiàn)數(shù)據(jù)企業(yè)對于數(shù)據(jù)規(guī)范和數(shù)據(jù)權(quán)益的認(rèn)識往往有限。具體而言，這一問題表現(xiàn)在以下方面：1.前期法律唯后果導(dǎo)向的司法模式，塑造了企業(yè)的思維慣性。在《個人信息保護(hù)法》《數(shù)據(jù)安全法》等體系化法律尚未出臺之前，我國數(shù)據(jù)相關(guān)案件審判具有以結(jié)果論定法律責(zé)任的特征；而在行業(yè)發(fā)展初期，行業(yè)內(nèi)部共識尚未有效凝聚時，兜底法律是唯一的合規(guī)參考。在這種情況下，行業(yè)內(nèi)部普遍形成了“數(shù)據(jù)泄露乃至適當(dāng)跨越個人信息的邊界本身也不是問題，問題是是否造成了1實質(zhì)性后果與危害”的想法。這顯然與我們不斷推進(jìn)數(shù)據(jù)確權(quán)的法律發(fā)展方向不符合，在實際操作中，這種貪圖省力的思維惰性也可能會對企業(yè)自身造成危害。例如最近引起爭議的杭州魔蝎爬蟲案，公司非法存儲雖未造成直接損失，但仍然受到嚴(yán)懲，對企業(yè)自身發(fā)展也造成了重創(chuàng)。2.當(dāng)下對數(shù)據(jù)權(quán)益的認(rèn)識不敏感，對數(shù)據(jù)的全周期與產(chǎn)業(yè)鏈價值估計失當(dāng)。部分企業(yè)對數(shù)據(jù)價值的評估純粹出于自身企業(yè)內(nèi)部商業(yè)利用價值的考慮，既沒有從用戶的視角出發(fā)，也沒有認(rèn)清數(shù)據(jù)在產(chǎn)業(yè)鏈流動中產(chǎn)生的價值。仍然以上文所述的杭州魔蝎案為例，在用戶數(shù)據(jù)的層面上，公司應(yīng)當(dāng)注意到這些數(shù)據(jù)即使沒有被本公司二次利用的可能，仍然侵犯了用戶在數(shù)據(jù)上享有的知情權(quán)與決定權(quán)；在產(chǎn)業(yè)鏈的層面上，公司應(yīng)該意識到自己的數(shù)據(jù)是否存在在上下游中的潛在價值，例如是否會成為潛在的“套路貸”犯罪的一環(huán)，進(jìn)而重估自己手中數(shù)據(jù)的價值。（二）法律的清晰和完善度有限，企業(yè)缺乏有效合規(guī)指導(dǎo)除去企業(yè)自身的意識缺乏，法律標(biāo)準(zhǔn)的欠缺與模糊也是造成企業(yè)合規(guī)性困境的重要原因。這方面的困境主要體現(xiàn)在以下幾方面：1.等待法律審核與生效周期長，其間缺乏可供使用的司法與合規(guī)參考。以《數(shù)據(jù)安全法》為例，從正式提請審議的范圍到生效耗時三年余，尚未計入在進(jìn)入正式提請審議前的延宕，整個過程耗時長，其間企業(yè)很難確認(rèn)企業(yè)行為的合規(guī)性。國家標(biāo)準(zhǔn)也存在類似的問題。作為強(qiáng)制性標(biāo)準(zhǔn)，是法律基礎(chǔ)上進(jìn)一步的技術(shù)性兜底規(guī)定，國家標(biāo)準(zhǔn)同樣需要經(jīng)過草擬、公示與修改的較長過程。2.法律規(guī)定清晰度不夠，企業(yè)難以確定具體行為合規(guī)性。整體趨勢來看，我國在數(shù)據(jù)安全與治理方面的法律體系正在不斷完善，但這些法律內(nèi)容本身在具體技術(shù)要求上難以面面俱到，這既可能是法律漏洞，也可能是法律作為兜底原則性規(guī)范的制定考量?！秱€人信息保護(hù)法（草案）》第二十五條規(guī)定：“利用個人信息進(jìn)行自動化決策，應(yīng)當(dāng)保證決策的透明度”，便會留下這樣的疑問：“透明度”的程度如何與自身商業(yè)機(jī)密的保護(hù)相平衡？（三）合規(guī)性缺失的危害從法律法規(guī)和企業(yè)意識兩個方面總結(jié)了存在的問題后，現(xiàn)將這些問題將會導(dǎo)致的損失與危害條陳如下。1.不清晰的法律法規(guī)規(guī)定，將會影響企業(yè)的創(chuàng)新與經(jīng)營積極性。從事數(shù)據(jù)2經(jīng)濟(jì)的企業(yè)往往是技術(shù)創(chuàng)新型企業(yè)，在其考慮是否要應(yīng)用自身的技術(shù)創(chuàng)新時，可能會因為不清晰的法律與標(biāo)準(zhǔn)規(guī)定而出于保守考慮放棄對技術(shù)與實踐創(chuàng)新的應(yīng)用。2.巨大的違法成本可能會對中小企業(yè)產(chǎn)生巨大打擊。魔蝎案或可為一例。企業(yè)在不能確認(rèn)自己行為的合規(guī)性的情況下，極易產(chǎn)生過失行為，信息資源相對較缺乏的中小企業(yè)尤其如此；巨大的違法成本往往對資金不夠雄厚的中小企業(yè)傷害又最大。中小企業(yè)是行業(yè)發(fā)展的重要推動力量，亦是我國實體經(jīng)濟(jì)扶持戰(zhàn)略的關(guān)注主體。3.不清晰的法律規(guī)定所導(dǎo)致的司法自由裁量，將會影響我國的經(jīng)濟(jì)對外開放。我國司法與標(biāo)準(zhǔn)的不明晰直接影響外資企業(yè)的投資建設(shè)，這種規(guī)定的不確定性，使他們難以確認(rèn)自身是否需要為投資付出巨大的合規(guī)成本。特斯拉近期放緩在上海的投資或可為一例?；诖?，本報告特建議，由全國性社會團(tuán)體牽頭與統(tǒng)籌，地方性社會團(tuán)體主導(dǎo)與響應(yīng)，標(biāo)準(zhǔn)化行政部門指導(dǎo)與配合，共同推進(jìn)數(shù)據(jù)行業(yè)的團(tuán)體標(biāo)準(zhǔn)建設(shè)，作為法律和其他國家標(biāo)準(zhǔn)的補充。三、團(tuán)體標(biāo)準(zhǔn)的優(yōu)勢與發(fā)展現(xiàn)狀作為共識性原則的團(tuán)體標(biāo)準(zhǔn)缺失的情況下，主要會造成以下兩點損失與危害：1.對整個行業(yè)，產(chǎn)生惡性競爭的風(fēng)氣，導(dǎo)致“劣幣驅(qū)逐良幣”的效應(yīng)。行業(yè)內(nèi)共識監(jiān)管的缺失與司法不起訴不受理的原則相結(jié)合，使得一些企業(yè)逃避合規(guī)成本而投入惡性競爭。這不僅會導(dǎo)致行業(yè)的無序競爭，影響行業(yè)發(fā)展，更會消費行業(yè)公眾信任，影響行業(yè)存亡。2.對司法系統(tǒng)，制造了不必要的司法成本。在團(tuán)體標(biāo)準(zhǔn)清晰的情況下，市場內(nèi)部調(diào)節(jié)和產(chǎn)業(yè)鏈互相監(jiān)督可以減少許多因互相矛盾的標(biāo)準(zhǔn)或利益而產(chǎn)生的糾紛，或交由行政部門介入仲裁協(xié)調(diào)，不必占用法庭審判的法律資源。而團(tuán)體標(biāo)準(zhǔn)作為法律和其他標(biāo)準(zhǔn)的補充，能夠得到企業(yè)的歡迎和實行，主要出于以下幾個原因：1.由企業(yè)共同制定，集企業(yè)利益于一身。團(tuán)體標(biāo)準(zhǔn)的制定為業(yè)內(nèi)精英人才的智慧與共識的結(jié)晶，而制定過程中其實就是業(yè)內(nèi)各家企業(yè)之間進(jìn)行溝通交流3并達(dá)成一致的過程；無論是從參與感的角度，抑或是自身利益體現(xiàn)的角度，企業(yè)都有執(zhí)行團(tuán)體標(biāo)準(zhǔn)的動機(jī)。2.內(nèi)容實踐指導(dǎo)性強(qiáng)，反映具體問題。企業(yè)共商共建的團(tuán)體標(biāo)準(zhǔn)相較于其他標(biāo)準(zhǔn)和法律法規(guī)，立足于更具體的實踐問題與困境，能夠做到較快出臺且聚焦具體實踐問題，指導(dǎo)性強(qiáng)，堪稱為“說明書”作用。特別地，企業(yè)共同商議的過程，本身就是一次法律與行業(yè)發(fā)展信息動向的交換，能夠起到增強(qiáng)企業(yè)合規(guī)性意識的客觀作用。3.產(chǎn)業(yè)鏈內(nèi)部互相監(jiān)督，市場自身調(diào)節(jié)力度好。對企業(yè)的調(diào)研顯示，多數(shù)企業(yè)會關(guān)注自己的上下游企業(yè)提供的產(chǎn)品與服務(wù)是否符合標(biāo)準(zhǔn)，這一因素也將直接影響交易形成與否。4.接口行政部門作為第三方監(jiān)督，起到督促作用。《團(tuán)體標(biāo)準(zhǔn)管理規(guī)定》中明確規(guī)定，“縣級以上人民政府標(biāo)準(zhǔn)化行政主管部門、有關(guān)行政主管部門依據(jù)法定職責(zé)……對團(tuán)體標(biāo)準(zhǔn)的實施進(jìn)行監(jiān)督檢查”。團(tuán)體標(biāo)準(zhǔn)在有上述實行好處的情況下，為什么沒有得到興盛發(fā)展？究其主要原因，還是因為我國改革開放未久，仍處于鞏固開放的階段，社會仍然受到計劃經(jīng)濟(jì)時代遺產(chǎn)的影響，市場自主性不夠，行政對市場的干預(yù)較多，且扮演了較重的權(quán)威角色，這是我國團(tuán)體標(biāo)準(zhǔn)發(fā)展落后于國際且態(tài)勢勁頭不足的主要原因。根據(jù)團(tuán)體標(biāo)準(zhǔn)現(xiàn)下的具體情況鼓勵其發(fā)展，是隨后工作的題中之義。對全國團(tuán)體標(biāo)準(zhǔn)信息平臺的門戶網(wǎng)站和微信公眾號進(jìn)行考察后，可總結(jié)團(tuán)體標(biāo)準(zhǔn)的發(fā)展?fàn)顩r如下：1.團(tuán)體標(biāo)準(zhǔn)制定意識整體不斷增強(qiáng)，但信息數(shù)據(jù)相關(guān)的行業(yè)標(biāo)準(zhǔn)制定仍然有較大缺口。就全國團(tuán)體標(biāo)準(zhǔn)信息平臺發(fā)布的2020年平臺數(shù)據(jù)來看，信息傳輸、軟件和信息技術(shù)服務(wù)業(yè)類團(tuán)體標(biāo)準(zhǔn)數(shù)量為1178項，僅占總標(biāo)準(zhǔn)的5%；而具體到數(shù)據(jù)安全保護(hù)領(lǐng)域，截至8月，互聯(lián)網(wǎng)數(shù)據(jù)、信息服務(wù)、安全服務(wù)，數(shù)字內(nèi)容服務(wù)的數(shù)量都較為有限。這與我們所能夠感知到的互聯(lián)網(wǎng)數(shù)字行業(yè)日新月異的發(fā)展形勢顯然不相匹配，也反映了數(shù)據(jù)相關(guān)的行業(yè)共同體正待建設(shè)。圖1信息傳輸、軟件和信息技術(shù)服務(wù)業(yè)類團(tuán)體標(biāo)準(zhǔn)領(lǐng)域分布（截至2020.08）42.關(guān)鍵問題的團(tuán)體標(biāo)準(zhǔn)發(fā)布不斷增加，能夠較為及時地對社會需求作出反應(yīng)。以眾人關(guān)注的app對用戶權(quán)益的保護(hù)為例，電信終端產(chǎn)業(yè)協(xié)會在半年內(nèi)出臺了32條標(biāo)準(zhǔn)對其進(jìn)行詳細(xì)規(guī)定，內(nèi)容詳細(xì)。3.全國性行業(yè)協(xié)會對活躍程度高，地方重點行業(yè)協(xié)會緊隨其后。同樣根據(jù)全國團(tuán)體標(biāo)準(zhǔn)信息平臺發(fā)布的2020年平臺數(shù)據(jù)，我們可以發(fā)現(xiàn)在標(biāo)準(zhǔn)出臺中發(fā)揮主要作用的還是以“中國”為名稱開頭的全國性行業(yè)協(xié)會，部分重點建設(shè)的地方行業(yè)協(xié)會同樣發(fā)揮著不小的作用。圖2信息傳輸、軟件和信息技術(shù)服務(wù)業(yè)社會團(tuán)體TOP15（截至2020.08）就以上情況來看，目前我國團(tuán)體規(guī)范的制定仍然存在以下問題：1.行政部門的引導(dǎo)成分仍然較重，深入放管服勢在必行。以上圖所示的中國通信標(biāo)準(zhǔn)化協(xié)會為例，其原身是原國務(wù)院行政產(chǎn)業(yè)部，和行政關(guān)聯(lián)仍然較高，難以完全發(fā)揮市場的自主性，影響行政監(jiān)管標(biāo)準(zhǔn)執(zhí)行作為“第三人”的合法性，同樣也使得部分企業(yè)認(rèn)為自己“被代表”，難以心服口服地執(zhí)行標(biāo)準(zhǔn)。52.主要由行業(yè)巨頭聯(lián)合制定，難以保證避免壟斷，體現(xiàn)中小企業(yè)利益。以app與用戶權(quán)益的一系列出臺規(guī)范為例，其起草單位仍以華為、oppo、阿里巴巴等行業(yè)巨頭為主，而最容易遇上合規(guī)風(fēng)險的中小企業(yè)反而難以體現(xiàn)其利益訴求。3.傳播范圍有限，在大企業(yè)間流行程度較高，難以深入中小企業(yè)執(zhí)行端。調(diào)研顯示，大企業(yè)往往對加入行業(yè)協(xié)會、積極參與團(tuán)體標(biāo)準(zhǔn)制定有一定的主動性與積極性；而在走訪中小企業(yè)中，他們往往對行業(yè)協(xié)會和團(tuán)體標(biāo)準(zhǔn)關(guān)注較少。四、建議基于對行業(yè)合規(guī)性困境的討論，我們得出了推進(jìn)團(tuán)體標(biāo)準(zhǔn)建設(shè)的必要性；而對團(tuán)體標(biāo)準(zhǔn)現(xiàn)狀的考察，使我們進(jìn)一步明確了推進(jìn)團(tuán)體標(biāo)準(zhǔn)建設(shè)的可行性和完善方向?？偨Y(jié)以上分析結(jié)果，提出建議方案如下，可作《2021年全國標(biāo)準(zhǔn)化工作要點》在推進(jìn)團(tuán)體標(biāo)準(zhǔn)建設(shè)目標(biāo)下的具體補充：（一）宏觀層面1.全國性社會團(tuán)體牽頭地方性社會團(tuán)體重點鼓勵地方性社會團(tuán)體發(fā)揮自身積極性。全國性社會團(tuán)體具有號召力強(qiáng)、能夠有效整合資源等優(yōu)勢，但在地方性知識上有所缺乏，且難以關(guān)注到中小企業(yè)的具體實踐困境和利益。在這一層面上，地方性社會團(tuán)體能夠有效彌補全國性社會團(tuán)體的不足。一方面，鼓勵地方性社會團(tuán)體廣泛收集地方中小企業(yè)建議意見，為全國性社會團(tuán)體提供信息支持；另一方面，鼓勵地方性社會團(tuán)體就地方特點進(jìn)行出臺在地方有高度認(rèn)可度和適用性的地方行業(yè)標(biāo)準(zhǔn)，推動地方經(jīng)濟(jì)發(fā)展。2.鼓勵國家強(qiáng)制性標(biāo)準(zhǔn)，行業(yè)、地方等行政主導(dǎo)的推薦性標(biāo)準(zhǔn)多引用優(yōu)秀團(tuán)體標(biāo)準(zhǔn)，對團(tuán)體標(biāo)準(zhǔn)的完善與制定形成示范效應(yīng)的同時，對團(tuán)體標(biāo)準(zhǔn)起到了鼓勵作用；同時節(jié)省其他相應(yīng)標(biāo)準(zhǔn)的制定流程，節(jié)約行政成本。在這一基礎(chǔ)上，進(jìn)一步推進(jìn)不適宜的國家標(biāo)準(zhǔn)的退出工作，為新興的團(tuán)體標(biāo)準(zhǔn)發(fā)展騰出空間。（二）中觀層面1.地方行政部門扮演好號召者和監(jiān)督者的作用。由于數(shù)據(jù)行業(yè)的發(fā)展仍處于上升階段，新興中小企業(yè)如雨后春筍出現(xiàn)，面對這一狀況，地方市場部門事實上擁有企業(yè)信息最全面、最完整的認(rèn)知。一方面，地方政府部門需要做好政務(wù)公開與信息透明化，及時將市場信息向行業(yè)展示，以便行業(yè)互相了解；另一方面，地方政府部門需要對具有領(lǐng)頭潛力的企業(yè)進(jìn)行意識上的引導(dǎo)和鼓勵，推6動行業(yè)協(xié)會建設(shè)與團(tuán)體標(biāo)準(zhǔn)的出臺。2.進(jìn)一步完善團(tuán)體標(biāo)準(zhǔn)統(tǒng)籌與歸類。數(shù)據(jù)產(chǎn)業(yè)因其自身特性，與許多既有產(chǎn)業(yè)產(chǎn)生了強(qiáng)烈關(guān)聯(lián)與交叉，而與數(shù)據(jù)相關(guān)的團(tuán)體標(biāo)準(zhǔn)可能由不同領(lǐng)域的社會團(tuán)體出臺。為了便利企業(yè)對相應(yīng)團(tuán)體標(biāo)準(zhǔn)的檢索，促進(jìn)其對自身合規(guī)性的審查，全國與地方團(tuán)體標(biāo)準(zhǔn)信息平臺建設(shè)上應(yīng)該注意相應(yīng)標(biāo)準(zhǔn)的有效整合。（三）微觀層面1.做好團(tuán)體標(biāo)準(zhǔn)宣傳工作，提升團(tuán)體標(biāo)準(zhǔn)的接受度。實行了一個團(tuán)體標(biāo)準(zhǔn)的企業(yè)應(yīng)抓住宣傳風(fēng)口進(jìn)行有效宣傳——例如在產(chǎn)品介紹中強(qiáng)調(diào)團(tuán)體標(biāo)準(zhǔn)的存在，在行業(yè)會議上普及前沿團(tuán)體標(biāo)準(zhǔn)的內(nèi)容和優(yōu)勢等等；從而提升各企業(yè)對團(tuán)體標(biāo)準(zhǔn)的了解程度，進(jìn)而起到使更多企業(yè)接受團(tuán)體標(biāo)準(zhǔn)的說服效應(yīng)。2.對于重要議題，可以適當(dāng)加入對起草單位利益方權(quán)重比例的要求。在這里強(qiáng)調(diào)的主要目的是使得主要面臨這一問題的中小企業(yè)應(yīng)該進(jìn)入團(tuán)體標(biāo)準(zhǔn)制定的過程中，避免上文中所提及的大企業(yè)壟斷團(tuán)體標(biāo)準(zhǔn)，為自身隱性牟利的局面。我國的團(tuán)體標(biāo)準(zhǔn)同樣須經(jīng)相應(yīng)標(biāo)準(zhǔn)化行政部門的審核后才能發(fā)布，相關(guān)行政部門或許可以在進(jìn)一步的審慎調(diào)研后，確認(rèn)特定團(tuán)體標(biāo)準(zhǔn)出臺時中小企業(yè)在起草中應(yīng)當(dāng)占有的比例，或在起草方達(dá)不到比例要求的情況下，要求主要起草方給出利益相關(guān)的中小企業(yè)足量參與的證明，作為標(biāo)準(zhǔn)通過與否的考察因素之一?！緹樅恻c評】李卓航同學(xué)的報告主要關(guān)注行業(yè)合規(guī)性建設(shè)問題。李卓航同學(xué)在報告中提出了企業(yè)目前在數(shù)據(jù)合規(guī)建設(shè)中存在的以下問題：一個是唯法律后果導(dǎo)向的思維模式，導(dǎo)致了企業(yè)casebycase去解決問題，而不愿意花費更多成本去體系性做合規(guī)架構(gòu)；一個是對數(shù)據(jù)權(quán)益的認(rèn)識不全面，忽視了數(shù)據(jù)的生產(chǎn)資料屬性、商品屬性和競爭優(yōu)勢屬性。而導(dǎo)致企業(yè)陷入上述行為模式的重要原因為相關(guān)法律本身不夠清晰和完善所致，主要體現(xiàn)在以下幾方面：第一，法律審核與生效周期長，與行業(yè)的發(fā)展相比，存在滯后性；第二，法律規(guī)定清晰度不夠，難以給出企業(yè)具體行為的指引。在此邏輯基礎(chǔ)上，李卓航同學(xué)提出了構(gòu)建數(shù)據(jù)管理團(tuán)體標(biāo)準(zhǔn)來作為法律和國家標(biāo)準(zhǔn)的補充。這是一個十分具有實踐性的提議，但對于數(shù)據(jù)管理團(tuán)體標(biāo)準(zhǔn)7的建設(shè)，亦有三個問題可以繼續(xù)深入思考。第一，如何解決數(shù)據(jù)管理團(tuán)體標(biāo)準(zhǔn)的效力問題？根據(jù)《中華人民共和國標(biāo)準(zhǔn)化法》，標(biāo)準(zhǔn)在類別上包括國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)和團(tuán)體標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)。在效力上分為強(qiáng)制性標(biāo)準(zhǔn)和推薦性標(biāo)準(zhǔn)。而團(tuán)體標(biāo)準(zhǔn)則屬于推薦性標(biāo)準(zhǔn)，以自愿采用為準(zhǔn)則。推薦性標(biāo)準(zhǔn)只有在被法律法規(guī)引用，或被企業(yè)在包裝、說明、公共服務(wù)平臺或其他方式進(jìn)行自我聲明公開，或被納入服務(wù)質(zhì)量的依據(jù)中，才具有相應(yīng)法律效力或?qū)ζ髽I(yè)具有相應(yīng)的法律約束力。在風(fēng)險承擔(dān)最小化的商業(yè)思維中，企業(yè)主動采用且公開聲明團(tuán)體標(biāo)準(zhǔn)，會給自己在已有法律法規(guī)的約束下，增加企業(yè)的法律責(zé)任負(fù)擔(dān)，這與企業(yè)的商業(yè)本能是相悖的。第二，大企業(yè)主導(dǎo)的團(tuán)體標(biāo)準(zhǔn)，如何滿足合規(guī)能力和合規(guī)成本預(yù)算較低的中小企業(yè)訴求？如何避免引發(fā)行業(yè)壟斷？第三，地方性團(tuán)體制定的標(biāo)準(zhǔn)，對于跨地域進(jìn)行數(shù)據(jù)運營的企業(yè)，其效力如何？期待李卓航同學(xué)能在此基礎(chǔ)上，繼續(xù)對以上三個問題進(jìn)行深入探討，提出解決團(tuán)體標(biāo)準(zhǔn)應(yīng)用困境的創(chuàng)新之舉。8外包關(guān)系中的數(shù)據(jù)安全張佳韻隨著大數(shù)據(jù)時代的到來以及數(shù)字化經(jīng)濟(jì)的飛快發(fā)展，數(shù)據(jù)安全問題近年為各大企業(yè)所重視。然而企業(yè)在致力于建設(shè)數(shù)據(jù)保護(hù)制度與加強(qiáng)技術(shù)能力的同時，習(xí)以為常的外包合作卻極有可能成為企業(yè)數(shù)據(jù)安全防護(hù)的短板。外包公司的數(shù)據(jù)保護(hù)制度與能力不一定與大企業(yè)匹配，隨著外包、轉(zhuǎn)包的業(yè)務(wù)運作，外包人員能夠輕易地在“層層外包”的復(fù)雜關(guān)系與海量數(shù)據(jù)往來的“掩護(hù)”之下，進(jìn)行數(shù)據(jù)的非法獲取出售并從中牟利，造成用戶隱私信息與企業(yè)商業(yè)機(jī)密的泄露。即便國家與行業(yè)針對數(shù)據(jù)泄露有著嚴(yán)格的規(guī)定，難監(jiān)管難溯源的特征讓法律意識薄弱的外包人員抱著僥幸心理做出違法行徑，解決問題應(yīng)從根源上規(guī)范數(shù)據(jù)的提供調(diào)取。除了從宏觀法律與監(jiān)管角度要進(jìn)一步加大數(shù)據(jù)違法處理的處罰力度、細(xì)化涉及合作的各方主體責(zé)任、提升監(jiān)管機(jī)構(gòu)職能之外，頭部企業(yè)應(yīng)當(dāng)擔(dān)好“守門人”角色，對數(shù)據(jù)進(jìn)行安全級別劃分、建立完善的權(quán)限制度，嚴(yán)格審查外包公司資質(zhì)、簽訂數(shù)據(jù)保密條款，利用技術(shù)與管理能力做好數(shù)據(jù)提供的規(guī)范，外包公司也應(yīng)加強(qiáng)內(nèi)部治理，培訓(xùn)數(shù)據(jù)安全與法律內(nèi)容，提升企業(yè)技術(shù)等。此外，行業(yè)協(xié)會也應(yīng)在其中發(fā)揮其職能，做好普法工作，整合法律法規(guī)，形成系統(tǒng)化規(guī)范。一、層層外包下的重要數(shù)據(jù)泄露1.外包關(guān)系與數(shù)據(jù)泄露企業(yè)出于提升工作效率、完善相關(guān)服務(wù)、降低經(jīng)營成本等原因，會采取將部分業(yè)務(wù)外包給合作公司或組織，例如常見的培訓(xùn)咨詢外包、系統(tǒng)維護(hù)外包等。隨著社會飛速邁入大數(shù)據(jù)時代，各大領(lǐng)域都對數(shù)據(jù)處理的商業(yè)運用有了迫切需求，這不僅局限于互聯(lián)網(wǎng)公司，金融、通訊、消費品等行業(yè)同樣需要專業(yè)技術(shù)來支持業(yè)務(wù)發(fā)展，由此與數(shù)據(jù)處理的外包服務(wù)更是在近幾年蓬勃發(fā)展。然而涉及數(shù)據(jù)處理的工作必然會牽扯到數(shù)據(jù)安全問題，客觀來看，不少數(shù)據(jù)泄露事件便發(fā)生在這些外包、轉(zhuǎn)包流程中，用戶隱私信息與商業(yè)機(jī)密被不法9獲取、傳輸與出售，犯罪分子牟利的同時，用戶隨之收到各方借貸廣告、騷擾短信的轟炸，甚至遭到電信詐騙、敲詐勒索，企業(yè)也將蒙受巨大損失。個人或企業(yè)在受到重大利益侵害后會選擇立案訴訟，但犯罪分子潛藏在“層層外包”的掩護(hù)下，泄露的數(shù)據(jù)也不知在“黑市”經(jīng)過了幾番流轉(zhuǎn)，意圖精確定位漏洞所在之處，往往面對的是復(fù)雜的數(shù)據(jù)來往，追蹤溯源則將耗費大量的人力物力且希望渺茫。2.不匹配的數(shù)據(jù)保護(hù)制度頭部企業(yè)為了自身數(shù)據(jù)安全往往配有相對完善的數(shù)據(jù)與人員管理規(guī)范，但為其提供服務(wù)的外包公司的數(shù)據(jù)保護(hù)制度與能力不一定與大企業(yè)匹配，這便造成了頭部企業(yè)數(shù)據(jù)安全防護(hù)的短板。以2017年IT時報報道的銀行催收導(dǎo)致的信息泄露為例，在互聯(lián)網(wǎng)發(fā)展推動下，新興催收平臺紛紛成為各大銀行的外包“合作伙伴”，利用人工智能、云計算等技術(shù)實現(xiàn)高效安全的催收，代替銀行出面解決嚴(yán)重逾期客戶的欠款問題，但平臺工作人員并不一定會嚴(yán)格執(zhí)行銀行與其簽署的“保密協(xié)議”，針對銀行提出的“僅可在內(nèi)網(wǎng)查看用戶信息”也無法完全遵守。因此，外包員工違規(guī)、越級、越權(quán)的操作導(dǎo)致了個人信息安全問題，在銀行聲明只提供欠款人姓名與電話的情況下，任一個注冊成為平臺“催客”的催收人卻都有機(jī)會接觸到欠款人的身份證號、住址、工作單位甚至其緊急聯(lián)系人的私密信息，時至今日也不乏個體用戶聲稱家人受到催收騷擾。實際還有更為嚴(yán)重的犯罪行為發(fā)生在業(yè)務(wù)多次轉(zhuǎn)包之中，上海某知名律師所反映，房地產(chǎn)行業(yè)存在“內(nèi)部人”借用“層層外包”的復(fù)雜關(guān)系，不法獲取客戶信息并從中牟利，司法取證成為了頭痛難題，客戶的維權(quán)之路也便艱辛漫長。3.嚴(yán)格法律環(huán)境下仍有“漏網(wǎng)之魚”想要從外包公司的合規(guī)操作著手整治信息泄露問題，我國現(xiàn)行的法律已給出了相當(dāng)嚴(yán)格的約束。2015年出臺的《刑法修正案（九）》第二百五十三條將“違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息”定為侵犯公民個人信息罪，根據(jù)情節(jié)嚴(yán)重程度處以有期徒刑等，2017年6月開始施行的《網(wǎng)絡(luò)安全法》第四十四條規(guī)定“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息”，同樣第四十五條明確10相關(guān)工作人員必須履行職責(zé)，對知悉的個人信息、隱私和商業(yè)秘密嚴(yán)格保密，更不得泄露、出售或者非法向他人提供。除了針對數(shù)據(jù)泄露行為與后果的法律條文，2021年6月10日剛通過的《數(shù)據(jù)安全法》多處強(qiáng)調(diào)要保障數(shù)據(jù)安全、防止數(shù)據(jù)泄露，近期審議中的《個人信息保護(hù)法（草案）》要求“個人信息”的處理者從內(nèi)部管理、信息分類管理、安全技術(shù)、人員培訓(xùn)等幾方面加強(qiáng)個人信息的保護(hù)，兩部生效在即的法律從預(yù)防的角度對數(shù)據(jù)安全進(jìn)行了規(guī)范。雖然國家的法律跟進(jìn)速度可能滯后于技術(shù)與隨之而來的漏洞，大多只能起到“兜底”作用，但現(xiàn)有的法律條例加之行業(yè)內(nèi)的標(biāo)準(zhǔn)規(guī)定已足以對外包公司的犯罪行為敲定罪名，外包人員對于數(shù)據(jù)安全問題卻不予重視，頻頻觸犯法律底線。二、外包關(guān)系中數(shù)據(jù)泄露的原因1.難監(jiān)管難溯源成為違法“掩護(hù)”“層層外包”中的信息泄露整治難點在于監(jiān)管與溯源。針對外包合作行為，頭部企業(yè)有相應(yīng)的部門從中跟進(jìn)，但由于主要操作在于外包公司自身，企業(yè)相關(guān)部門大多只負(fù)責(zé)業(yè)務(wù)進(jìn)度上的對接，出于效率與成本考量不會進(jìn)行線下面對面的實時監(jiān)管，若合作公司進(jìn)行“轉(zhuǎn)包”行為，頭部企業(yè)更是難加管束；行業(yè)的上級監(jiān)管機(jī)構(gòu)更是難以深入中小外包公司的業(yè)務(wù)行為，只能做到定期抽查履行監(jiān)管職能。頭部企業(yè)與上級機(jī)構(gòu)難以面面俱到，因此大多采取“事后追責(zé)”的機(jī)制，然而大多數(shù)據(jù)泄露行為都悄然展開、不為人知，只有引起企業(yè)或他人察覺，或造成嚴(yán)重后果的數(shù)據(jù)安全問題才有被逐個監(jiān)察偵破的可能，這樣“點對點”的追責(zé)也是監(jiān)管行為難以鋪開深入下的無奈之舉。除去外包關(guān)系本身的監(jiān)管難題外，數(shù)據(jù)處理業(yè)務(wù)本身具備其復(fù)雜性，某一個人為操作在龐大的數(shù)據(jù)處理行為中猶如“滄海一粟”，簡單的手機(jī)屏幕拍攝、微信文件傳輸、U盤拷貝、資料打印都是數(shù)據(jù)泄露的渠道，往往尋找犯罪證據(jù)的成本高于案件本身涉及的損失，一些利益受到侵害的主體便也放棄立案維權(quán)。由此部分外包人員成了“漏網(wǎng)之魚”，掩藏在復(fù)雜外包關(guān)系與海量數(shù)據(jù)往來之中，在較低的犯罪成本與輕松收取的巨額收益的誘惑下，抱著僥幸心理進(jìn)行違法活動。2.數(shù)據(jù)源頭管理疏漏為問題關(guān)鍵11基于監(jiān)管難度，從數(shù)量巨大、管理相對混亂的外包公司身上堵住數(shù)據(jù)泄露漏洞較為不實際，問題的關(guān)鍵還在于數(shù)據(jù)源頭的整治。頭部企業(yè)作為數(shù)據(jù)提供方，理應(yīng)對企業(yè)所處理的個人信息、商業(yè)機(jī)密等重要數(shù)據(jù)擔(dān)負(fù)起管理責(zé)任，但到了外包環(huán)節(jié)卻容易過分依賴于合同效力、忽視潛在的人為操作風(fēng)險，一方面是頭部企業(yè)未能在合作雙方間強(qiáng)制采取有規(guī)范數(shù)據(jù)處理作用的技術(shù)手段，外包人員對于數(shù)據(jù)調(diào)取、數(shù)據(jù)傳輸?shù)炔僮饔忻撾x于賬號、軟件、設(shè)備與網(wǎng)絡(luò)限制的可能；另一方面頭部企業(yè)對外包公司的資質(zhì)審查不嚴(yán)格，也未能全面跟蹤外包公司的數(shù)據(jù)處理行為。頭部企業(yè)若未能守好數(shù)據(jù)安全的“第一道防線”，后續(xù)外包公司的操作也便難以深入監(jiān)管。3.法律意識薄弱下的有意或無意違法外包工作人員由于法律意識薄弱，面對利益誘惑難免做出“不知法而犯法”的行徑，或是單純認(rèn)為線上數(shù)據(jù)交易行為不會被相關(guān)部門查處，例如近期西安破獲的特大侵犯公民個人信息案中，主要嫌疑人袁某出售近十萬余條公民個人信息給房產(chǎn)中介、裝修等房屋相關(guān)從業(yè)人員以及電信詐騙等犯罪者等，形成了相當(dāng)大的個人信息交易網(wǎng)絡(luò)，卻一直持有“自己只出現(xiàn)在網(wǎng)上，就不會被發(fā)現(xiàn)”的想法，同時，該案件涉及的一名房產(chǎn)中介店長向警方質(zhì)疑其抓捕行為，認(rèn)為購買公民個人信息是便于業(yè)務(wù)開展的“行規(guī)”，不應(yīng)當(dāng)被干涉。在違法行跡更難捕捉的外包關(guān)系中，這種法律意識薄弱的表現(xiàn)便更為明顯，一是認(rèn)為自己的行為不會給自己、公司、社會等帶來危害，二是利益遠(yuǎn)大于風(fēng)險，認(rèn)為輕微違法不會被抓現(xiàn)行。三、如何整治“層層外包”中的數(shù)據(jù)泄露問題1.法律懲罰力度加大，細(xì)化多方責(zé)任在監(jiān)管困難的情況下，法律自上而下的管控需要起到足夠的預(yù)防與約束作用，形成“不敢違法”的數(shù)據(jù)保護(hù)環(huán)境。隨著各類試行的法律法規(guī)逐漸成熟，現(xiàn)階段對于非法數(shù)據(jù)處理的法律處罰力度應(yīng)當(dāng)加重，使罰金高于違法所得，尤其針對公司或組織集體進(jìn)行的數(shù)據(jù)泄露等違法行為。加重罰金之外，同樣需要收緊對外包行為中的各個主體的約束，一旦查處某一外包公司或外包工作人員在其外包業(yè)務(wù)中有數(shù)據(jù)相關(guān)的違法行徑，一方面，與其合作的頭部企業(yè)由于審查不嚴(yán)、數(shù)據(jù)管理失責(zé)也應(yīng)獲得相應(yīng)懲處，并12責(zé)令整改完善內(nèi)部數(shù)據(jù)安全管理制度，另一方面，若業(yè)務(wù)存在轉(zhuǎn)包行為，犯罪外包公司的下游轉(zhuǎn)包公司即便沒有犯罪行為，也應(yīng)由于未明確審查合作公司資質(zhì)而受到連帶處罰，從而強(qiáng)制讓頭部企業(yè)與下游外包公司起到“一前一后”的監(jiān)管作用。同時，相關(guān)規(guī)定也應(yīng)明確要求大小企業(yè)在信息泄露案件中必須積極提供溯源線索，包括但不限于數(shù)據(jù)處理日志、網(wǎng)絡(luò)傳輸痕跡、設(shè)備使用記錄等。2.監(jiān)管機(jī)構(gòu)提升自身職能監(jiān)管機(jī)構(gòu)能有效防止數(shù)據(jù)泄露，邀請行業(yè)數(shù)據(jù)處理人員等對監(jiān)管工作人員進(jìn)行定期培訓(xùn)，使工作人員的數(shù)據(jù)監(jiān)管能力與監(jiān)管對象相匹配，并積極同頭部企業(yè)的監(jiān)管部門交流，有利于監(jiān)管工作的深入展開。在提升監(jiān)管職能的同時，應(yīng)當(dāng)保持對中小外包企業(yè)的定期抽樣調(diào)查，加強(qiáng)與相關(guān)行業(yè)協(xié)會的合作，公開及加大宣傳公民個人與企業(yè)組織的投訴通道，重點監(jiān)管“失信”企業(yè)的數(shù)據(jù)處理行為。3.頭部企業(yè)當(dāng)好“守門人”頭部企業(yè)具有較強(qiáng)的技術(shù)手段與管理能力，能夠從根源上做好數(shù)據(jù)提供的規(guī)范，擔(dān)任起“守門人”的角色。首先需要對企業(yè)數(shù)據(jù)進(jìn)行分類分級，將用戶個人信息數(shù)據(jù)區(qū)分于商業(yè)機(jī)密數(shù)據(jù)，對前者進(jìn)行隱私級別的劃分，并對不同隱私級別的用戶數(shù)據(jù)采用不同形式的存儲方式，設(shè)立相應(yīng)的調(diào)取權(quán)限，后者按照企業(yè)部門進(jìn)行分類，在各部門下配備“數(shù)據(jù)保護(hù)官”，組織技術(shù)人員從軟件、硬件、網(wǎng)絡(luò)防火墻等多維度保護(hù)商業(yè)機(jī)密數(shù)據(jù)。其次是嚴(yán)格內(nèi)部員工的數(shù)據(jù)授權(quán)制度，僅允許高層管理人員擁有獲取用戶私密信息或企業(yè)商業(yè)核心機(jī)密的權(quán)限，所有員工工作涉及的數(shù)據(jù)調(diào)取都需要經(jīng)過上級及更高一級領(lǐng)導(dǎo)的批準(zhǔn)，針對合作公司也啟用同樣的授權(quán)制度，將外包公司數(shù)據(jù)調(diào)取的權(quán)力管控在頭部企業(yè)與外包公司高層手中，避免普通員工越級引起的數(shù)據(jù)安全問題。在有相應(yīng)技術(shù)能力的情況下，鼓勵頭部企業(yè)開發(fā)外包合作專用的數(shù)據(jù)管理程序，聯(lián)動上述的授權(quán)制度，通過程序?qū)崿F(xiàn)數(shù)據(jù)處理操作記錄保留，成為有效的外包業(yè)務(wù)跟蹤與監(jiān)管渠道。此外，在進(jìn)行外包行為之前應(yīng)嚴(yán)格審查公司資質(zhì)，考察其數(shù)據(jù)安全保護(hù)制度與風(fēng)險控制措施，簽訂有明確數(shù)據(jù)安全規(guī)范的保密條款。134.外包公司內(nèi)部加強(qiáng)整治外包公司應(yīng)著重內(nèi)部管理制度的完善，制定公司數(shù)據(jù)安全規(guī)范，培訓(xùn)提升工作人員的數(shù)據(jù)安全意識與法律意識，學(xué)習(xí)先進(jìn)數(shù)據(jù)保護(hù)技術(shù)，日常留存業(yè)務(wù)數(shù)據(jù)處理痕跡，主動提供遠(yuǎn)程合作監(jiān)管通道，定期向監(jiān)管部門提供公司數(shù)據(jù)安全防護(hù)方面的資質(zhì)證明。5.行業(yè)協(xié)會加強(qiáng)法制宣傳，系統(tǒng)化相關(guān)制度相關(guān)行業(yè)協(xié)會應(yīng)積極開展數(shù)據(jù)安全教育活動，加大普法宣傳力度，提升行業(yè)人員的法律素養(yǎng)，要求充分發(fā)揮其管理職能，將國家針對數(shù)據(jù)安全問題的法律、辦法、標(biāo)準(zhǔn)等與行業(yè)內(nèi)現(xiàn)有的多個規(guī)章制度相整合，汲取從業(yè)人員、監(jiān)管人員、社會民眾、跨領(lǐng)域人員等多方的建議意見，形成系統(tǒng)化的數(shù)據(jù)安全規(guī)范制度。【煒衡點評】數(shù)據(jù)商業(yè)利用與個人信息保護(hù)之間的邊界，無疑是數(shù)字社會發(fā)展中遇到的最大矛盾。而張佳韻同學(xué)的該篇報告，直指矛盾中最棘手的問題之一——外包關(guān)系中的數(shù)據(jù)安全問題。雖然我國目前從民商事法律、法規(guī)層面，到刑事層面、再到國家標(biāo)準(zhǔn)層面，對于信息泄露問題已建立了立體的、多層次的嚴(yán)格保護(hù)體系，但鑒于外包關(guān)系中數(shù)據(jù)來往較為復(fù)雜，層層外包關(guān)系錯綜復(fù)雜，數(shù)據(jù)泄露源頭溯源困難，外包關(guān)系里的數(shù)據(jù)安全問題，實為數(shù)據(jù)安全監(jiān)管中的一大難點。張佳韻同學(xué)針對上述現(xiàn)狀，認(rèn)為外包關(guān)系中數(shù)據(jù)容易發(fā)生泄漏問題的原因有三，第一是監(jiān)管與溯源困難；第二是數(shù)據(jù)源頭管理疏漏；第三是部分從業(yè)人員法律意識薄弱。對此，張佳韻提出對企業(yè)數(shù)據(jù)進(jìn)行分類分級、嚴(yán)格內(nèi)部員工的數(shù)據(jù)授權(quán)制度、鼓勵頭部企業(yè)開發(fā)外包合作專用的數(shù)據(jù)管理程序的主要應(yīng)對措施。其中，通過開發(fā)外包合作專用的數(shù)據(jù)管理程序，實現(xiàn)數(shù)據(jù)處理操作記錄保留，以便于有效的外包業(yè)務(wù)跟蹤和監(jiān)管渠道，十分具有創(chuàng)新性與開拓性，實為佳作。參考GDPR（《通用數(shù)據(jù)保護(hù)條例》），GDPR提出了數(shù)據(jù)控制者和數(shù)據(jù)處理者兩個概念，并分別規(guī)定不同的數(shù)據(jù)合規(guī)義務(wù)。而在外包關(guān)系中，則恰好可以借鑒這兩種概念的區(qū)分：原則上將客戶視為數(shù)據(jù)控制者，將供應(yīng)商視為處理14者。在張佳韻同學(xué)目前頗具體系性的思考框架下，期待其以上述不同角色的界定和各自的權(quán)利義務(wù)作為第一視角，進(jìn)一步分析外包關(guān)系中的各相關(guān)方的責(zé)任承擔(dān)，以此作為其合規(guī)驅(qū)動力的來源深入探討對應(yīng)的作為義務(wù)落地方式。此外，也可以考慮針對金融、保險、醫(yī)藥、快銷等不同的銷售場景，進(jìn)一步梳理不同商業(yè)模式下的外包服務(wù)流程，結(jié)合相關(guān)行業(yè)監(jiān)管政策，進(jìn)行有針對性的細(xì)化研究。15好風(fēng)憑借力，完善數(shù)據(jù)保護(hù)官制度鄒佳祎2021年，數(shù)據(jù)保護(hù)官制度的相關(guān)概念頻繁出現(xiàn)于大眾視野?！吨腥A人民共和國個人信息保護(hù)法（草案二次審議稿）》（以下簡稱《個保法》）和《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）接連公布，明確設(shè)立個人信息保護(hù)負(fù)責(zé)人或數(shù)據(jù)安全負(fù)責(zé)人的必要性；5月13日《廣東省首席數(shù)據(jù)官制度試點工作方案》引發(fā)數(shù)據(jù)保護(hù)官制度在全國范圍內(nèi)都具有的示范引領(lǐng)意義。數(shù)據(jù)保護(hù)官制度在我國立法和試點的土壤中得到滋養(yǎng)，不斷完善和發(fā)展。然而由于我國數(shù)據(jù)保護(hù)官制度起步較晚，法律制度、監(jiān)管部門和資質(zhì)認(rèn)證體系尚未完善，因此在制度落實、責(zé)任平衡、專業(yè)人才供給方面出現(xiàn)了一些問題。對此，本報告從現(xiàn)存問題入手，通過解釋背后原因，從完善相關(guān)立法、建立專門部門、完善認(rèn)證體系、建立行業(yè)協(xié)會四個方面提出建議，為完善數(shù)據(jù)保護(hù)官制度獻(xiàn)言獻(xiàn)策。希望數(shù)據(jù)保護(hù)官制度這道“好風(fēng)”能夠借力而行，在我國的數(shù)據(jù)安全保護(hù)體系中發(fā)揮它的重要功能。特別聲明，本報告中的數(shù)據(jù)保護(hù)官制度分為企業(yè)和政府兩個主體，其中企業(yè)為主體的數(shù)據(jù)保護(hù)官職稱是“個人信息保護(hù)負(fù)責(zé)人”，政府為主體的數(shù)據(jù)保護(hù)官職稱是“首席數(shù)據(jù)官”。一、我國數(shù)據(jù)保護(hù)官制度現(xiàn)存問題我國數(shù)據(jù)保護(hù)官制度主要受2018年歐盟通過的《通用數(shù)據(jù)保護(hù)條例》（GDPR）中設(shè)置“數(shù)據(jù)保護(hù)官（DPO）”的影響，現(xiàn)存一些亟需解決的問題。第一，我國數(shù)據(jù)保護(hù)官制度在各企業(yè)管理機(jī)構(gòu)和政府部門中沒有強(qiáng)制落實；第二，企業(yè)的個人信息保護(hù)負(fù)責(zé)人所承擔(dān)責(zé)任重大，而政府的首席數(shù)據(jù)官則沒有承擔(dān)責(zé)任的明確規(guī)定；第三，高素質(zhì)信息保護(hù)專業(yè)人才稀缺，出現(xiàn)人才供給失衡。1.數(shù)據(jù)保護(hù)官制度沒有強(qiáng)制落實我國數(shù)據(jù)保護(hù)官制度沒有強(qiáng)制在各企業(yè)管理機(jī)構(gòu)和政府部門中落實。相較于歐盟GDPR明確規(guī)定所有公共機(jī)關(guān)和符合設(shè)立條件的私營企業(yè)或組織必須依16法設(shè)立數(shù)據(jù)保護(hù)官，國內(nèi)現(xiàn)有的《個保法》、《數(shù)據(jù)安全法》以及2021年6月2日公布的《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例(征求意見稿)》中，設(shè)置數(shù)據(jù)保護(hù)官的法定條件較為有限，且在措辭上都以“應(yīng)當(dāng)明確”、“應(yīng)當(dāng)制定”為主，缺乏強(qiáng)制性。對于沒有設(shè)立數(shù)據(jù)保護(hù)官的企業(yè)機(jī)構(gòu)或政府部門，現(xiàn)有法律中并沒有相應(yīng)的責(zé)罰機(jī)制，因此數(shù)據(jù)保護(hù)官的設(shè)立存在惰性，難以起到監(jiān)管數(shù)據(jù)處理、開展風(fēng)險評估、進(jìn)行安全審計、加強(qiáng)數(shù)據(jù)安全教育的效用。2.政府?dāng)?shù)據(jù)保護(hù)官與企業(yè)數(shù)據(jù)保護(hù)官承擔(dān)責(zé)任不平衡數(shù)據(jù)保護(hù)官在政府和企業(yè)兩種主體中所承擔(dān)的責(zé)任不平衡，提升了企業(yè)中推廣普及數(shù)據(jù)保護(hù)官制度的困難程度?！秱€保法》與《數(shù)據(jù)安全法》中明確指出，對于不依法履行數(shù)據(jù)安全保護(hù)義務(wù)的企業(yè)個人信息保護(hù)負(fù)責(zé)人及其主管部門，根據(jù)情節(jié)嚴(yán)重程度，將被采取從責(zé)令改正到吊銷業(yè)務(wù)許可證不等的處罰措施，并加以罰款。而政府部門領(lǐng)域，目前僅有廣東省試點方案在推行首席數(shù)據(jù)官，且只規(guī)定了職責(zé)范圍，沒有相應(yīng)的法律責(zé)任說明。3.高素質(zhì)個人信息保護(hù)專業(yè)人才稀缺，供給失衡高素質(zhì)信息保護(hù)專業(yè)人才稀缺是我國信息安全領(lǐng)域長期存在的問題，企業(yè)對人才的爭奪加劇人才供給失衡。2017年的一項調(diào)查表明，我國近年高校教育培養(yǎng)的信息安全專業(yè)人才僅3萬余人，而信息安全人才總需求則超過70萬人，缺口高達(dá)95%，可見人才稀缺的嚴(yán)重程度。而隨著相關(guān)法律的公布，以及廣東試點方案的出臺，數(shù)據(jù)合規(guī)行業(yè)藍(lán)海到來，個人信息保護(hù)負(fù)責(zé)人、首席數(shù)據(jù)官職位炙手可熱，高素質(zhì)信息保護(hù)專業(yè)人才再次成為企業(yè)爭奪的目標(biāo)，市場上公開的薪資水平甚至已超過了同等年限的法務(wù)或律師，并出現(xiàn)人才供給失衡的現(xiàn)象。二、我國數(shù)據(jù)保護(hù)官制度現(xiàn)存問題的可能原因我國數(shù)據(jù)保護(hù)官制度現(xiàn)存問題的主要原因包括法律完善、部門設(shè)置、認(rèn)證體系三個方面。第一，由于我國數(shù)據(jù)保護(hù)官制度起步較晚，數(shù)據(jù)保護(hù)官相關(guān)法律尚未完善，仍有值得改進(jìn)之處；第二，我國監(jiān)管體系中缺乏個人信息保護(hù)部門，因此政府的首席數(shù)據(jù)官缺少隸屬部門、企業(yè)的個人信息保護(hù)負(fù)責(zé)人缺乏監(jiān)管部門；第三，注冊個人信息保護(hù)專業(yè)人員認(rèn)證體系在項目細(xì)化和持續(xù)教育政策方面有待完善。171.數(shù)據(jù)保護(hù)官相關(guān)法律尚未完善（1）設(shè)置數(shù)據(jù)保護(hù)官的法定條件存在缺陷?！秱€保法》第五十二條規(guī)定：處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)指定個人信息保護(hù)負(fù)責(zé)人。這項法定條件中只從所需處理的個人信息數(shù)據(jù)的規(guī)模數(shù)量出發(fā)，沒有涵蓋需要處理特殊類型、特殊分級數(shù)據(jù)的組織或機(jī)構(gòu)。（2）數(shù)據(jù)保護(hù)官的獨立履職權(quán)缺乏法律保障。根據(jù)歐盟GDPR中對于數(shù)據(jù)保護(hù)官的法定地位的規(guī)定，數(shù)據(jù)保護(hù)官應(yīng)當(dāng)擁有獨立履職權(quán)，即其受聘于數(shù)據(jù)控制者或數(shù)據(jù)處理者這一事實不得影響其獨立地位。但在我國《數(shù)據(jù)安全法》和《個保法》中都沒有關(guān)于確保獨立履職權(quán)的法條，或?qū)o法避免數(shù)據(jù)保護(hù)官與企業(yè)利益勾結(jié)的現(xiàn)象，進(jìn)而可能導(dǎo)致個人信息保護(hù)失效。2.我國監(jiān)管體系中缺失個人信息保護(hù)部門與數(shù)據(jù)保護(hù)官對接我國現(xiàn)有的數(shù)據(jù)安全行政監(jiān)管體系中，公安部負(fù)責(zé)網(wǎng)絡(luò)安全保衛(wèi)，網(wǎng)信辦和工信部負(fù)責(zé)網(wǎng)絡(luò)安全風(fēng)險評估，唯獨缺失對應(yīng)監(jiān)管個人信息保護(hù)的專門部門。《數(shù)據(jù)安全法》第六條規(guī)定：國家網(wǎng)信部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)數(shù)據(jù)安全和相關(guān)監(jiān)管工作。這增加了國家網(wǎng)信部門的監(jiān)管負(fù)擔(dān)，不利于個人信息保護(hù)監(jiān)管的高效進(jìn)行。同時，個人信息保護(hù)部門的空白使得數(shù)據(jù)保護(hù)官制度無法與其對接：首席數(shù)據(jù)官分散在政府各級部門當(dāng)中，不隸屬于統(tǒng)一監(jiān)管部門，缺少標(biāo)準(zhǔn)化的執(zhí)行規(guī)定；個人信息保護(hù)負(fù)責(zé)人由企業(yè)聘用而在企業(yè)缺少有效的宏觀監(jiān)管機(jī)制。3.注冊個人信息保護(hù)專業(yè)人員認(rèn)證體系尚未完善注冊個人信息保護(hù)專業(yè)人員（CISP-PIP）是我國目前唯一的國家級個人信息保護(hù)專業(yè)人員資質(zhì)評定。對標(biāo)國際影響力較大的個人信息保護(hù)認(rèn)證項目“國際隱私專業(yè)人員協(xié)會”（IAPP）認(rèn)證，CISP-PIP仍存在兩方面的不足。（1）資質(zhì)認(rèn)證單一，難以直接對應(yīng)政府和企業(yè)數(shù)據(jù)保護(hù)官的不同需求。IAPP認(rèn)證作為目前全球頂級的隱私保護(hù)認(rèn)證，包括隱私保護(hù)專業(yè)人員認(rèn)證（CIPP）、隱私保護(hù)經(jīng)理認(rèn)證（CIPM）和隱私保護(hù)技術(shù)專家認(rèn)證（CIPT)3個項目。相比之下，CISP-PIP認(rèn)證項目較為籠統(tǒng)，“個人信息保護(hù)專業(yè)人員”的概念沒有細(xì)化，較難直接對口個人信息保護(hù)負(fù)責(zé)人和首席數(shù)據(jù)官的不同需求。（2）缺乏直接個人信息保護(hù)專業(yè)人員認(rèn)證持續(xù)教育政策。IAPP采用持續(xù)隱私教育（CPE）政策維持認(rèn)證證書的有效性。而CISP-PIP白皮書中只強(qiáng)調(diào)了18“資質(zhì)證書有效期為3年，證書失效后需要重新申請”，沒有領(lǐng)取資質(zhì)證書后的持續(xù)教育的相關(guān)規(guī)定，難以有效維持和提高個人信息保護(hù)專業(yè)人員的專業(yè)技能。三、解決我國數(shù)據(jù)保護(hù)官制度現(xiàn)存問題的建議根據(jù)上文闡述的我國數(shù)據(jù)保護(hù)官制度現(xiàn)存問題與可能原因，本報告主要從完善相關(guān)立法、建立專門部門、完善認(rèn)證體系、建立行業(yè)協(xié)會四個方面提出建議。1.完善數(shù)據(jù)保護(hù)官制度相關(guān)法律完善設(shè)置數(shù)據(jù)保護(hù)官的法定條件。在現(xiàn)有對于處理個人信息數(shù)據(jù)的規(guī)模數(shù)量的條件上，增加對于個人信息數(shù)據(jù)類別或級別的條件規(guī)定：當(dāng)數(shù)據(jù)控制者或處理者的司法身份是法院以外的公共機(jī)構(gòu)，其需要對數(shù)據(jù)主體進(jìn)行大規(guī)模系統(tǒng)和常規(guī)化監(jiān)控的處理操作，核心業(yè)務(wù)包括對諸如與健康有關(guān)的個人數(shù)據(jù)的特殊類別數(shù)據(jù)或與刑事定罪和犯罪有關(guān)的個人數(shù)據(jù)進(jìn)行大規(guī)模處理的部分時，必須設(shè)立數(shù)據(jù)保護(hù)官。立法保障數(shù)據(jù)保護(hù)官的獨立履職權(quán)。個人信息保護(hù)負(fù)責(zé)人受聘于企業(yè)這一事實不得影響其獨立地位，其履行職權(quán)時不受企業(yè)高層管理人員的立場或利益關(guān)系左右；各級首席數(shù)據(jù)官受各級部門領(lǐng)導(dǎo)小組任免這一事實不得影響其獨立地位，報最高政務(wù)服務(wù)數(shù)據(jù)管理部門備案。2.推動我國個人信息保護(hù)監(jiān)管部門的建立在公安部、網(wǎng)信辦和工信部之外，建立個人信息保護(hù)監(jiān)管部門，減輕原國家網(wǎng)信部門承擔(dān)的監(jiān)管壓力。個人信息保護(hù)監(jiān)管部門作為政府首席數(shù)據(jù)官的最高隸屬機(jī)關(guān)，負(fù)責(zé)定期監(jiān)管各省常態(tài)化首席數(shù)據(jù)官工作溝通機(jī)制、開展各省政務(wù)數(shù)據(jù)部門的績效評估及復(fù)審數(shù)據(jù)官履職評價等工作；同時，對企業(yè)個人信息安全負(fù)責(zé)人進(jìn)行宏觀監(jiān)控，與相關(guān)行業(yè)協(xié)會共同建立標(biāo)準(zhǔn)化、合理化的數(shù)據(jù)保護(hù)官行業(yè)規(guī)定。3.完善注冊個人信息保護(hù)人員專業(yè)認(rèn)證體系，加強(qiáng)人才培養(yǎng)進(jìn)一步細(xì)化

CISP-PIP項目。可借鑒IAPP，擇機(jī)將CISP-PIP擴(kuò)展至2類資質(zhì)認(rèn)定項目：個人信息保護(hù)專業(yè)人員，主要適用于企業(yè)個人信息保護(hù)法律法規(guī)、合規(guī)審查、信息管理、數(shù)據(jù)治理、人力資源等領(lǐng)域的從業(yè)人員；數(shù)據(jù)保護(hù)專業(yè)19人員，主要面向來自政府、監(jiān)管部門以及企事業(yè)單位等從事個人信息保護(hù)項目管理人員。逐步建立我國個人信息保護(hù)專業(yè)人員認(rèn)證持續(xù)教育政策。持續(xù)教育主要用于支撐認(rèn)證證書有效期的維持，也可以服務(wù)于國內(nèi)個人信息保護(hù)相關(guān)教育、培訓(xùn)等需求，提高專業(yè)人才的數(shù)量和質(zhì)量。4.建立個人信息安全負(fù)責(zé)人行業(yè)協(xié)會，使行業(yè)規(guī)定標(biāo)準(zhǔn)化、合理化針對高素質(zhì)信息保護(hù)專業(yè)人才成為企業(yè)爭奪的目標(biāo)、薪資亂抬高、人才供給失衡的問題，可以成立個人信息安全負(fù)責(zé)人行業(yè)協(xié)會，建立起有效溝通政府與企業(yè)之間個人數(shù)據(jù)安全監(jiān)管體系的橋梁，與CISP-PIP認(rèn)證體系一起監(jiān)督個人信息安全負(fù)責(zé)人的專業(yè)質(zhì)量和制定薪資標(biāo)準(zhǔn)、數(shù)量要求，并積極配合政府監(jiān)管部門和CISP-PIP認(rèn)證體系展開企業(yè)個人信息安全教育與培訓(xùn)、提供咨詢服務(wù)、舉辦展覽、定期組織會議等等，使個人信息安全負(fù)責(zé)人行業(yè)規(guī)定標(biāo)準(zhǔn)化、合理化，形成良好的行業(yè)文化和行業(yè)氛圍?！緹樅恻c評】我國《個人信息保護(hù)法（草案二次審議稿）》和《數(shù)據(jù)安全法》中的數(shù)據(jù)保護(hù)官制度，借鑒于GDPR(《通用數(shù)據(jù)保護(hù)條例》)中設(shè)置的數(shù)據(jù)保護(hù)官制度。鄒佳祎同學(xué)針對我國上述立法明確要設(shè)立個人信息保護(hù)負(fù)責(zé)人或數(shù)據(jù)安全負(fù)責(zé)人的制度，對目前我國數(shù)據(jù)保護(hù)管制度現(xiàn)存問題進(jìn)行了全面探討，主要為：第一，數(shù)據(jù)保護(hù)官制度沒有強(qiáng)制落實；第二，政府?dāng)?shù)據(jù)保護(hù)官與企業(yè)數(shù)據(jù)保護(hù)官承擔(dān)責(zé)任不平衡；第三，相關(guān)專業(yè)人士稀缺。針對上述問題，鄒佳祎同學(xué)繼續(xù)分析了可能原因，其認(rèn)為，導(dǎo)致上述問題的原因為：第一，數(shù)據(jù)保護(hù)官相關(guān)法律尚未完善；第二，我國監(jiān)管體系中缺失個人信息保護(hù)部門與數(shù)據(jù)保護(hù)官對接；第三，專業(yè)人士認(rèn)證體系尚未完善。鄒佳祎同學(xué)上述體系性的論述十分縝密與完善。數(shù)據(jù)保護(hù)官制度借鑒于歐盟，對于我國來說尚為新職能崗位，在落實該崗位職能的配置上，亟待解決的問題有二：第一，基于我國企業(yè)人員架構(gòu)的上下級屬性，如何保障企業(yè)內(nèi)部數(shù)據(jù)保護(hù)官的獨立履職權(quán)？第二，鑒于企業(yè)內(nèi)部數(shù)據(jù)保護(hù)官擔(dān)負(fù)獨立、公平履職的職業(yè)操守，其是否應(yīng)受第三方部門的監(jiān)管？是否有必要同時成立第三方協(xié)會20或者政府內(nèi)部個人信息保護(hù)監(jiān)管部門來對企業(yè)中的數(shù)據(jù)保護(hù)官實行監(jiān)管？哪個部門作為有權(quán)部門對數(shù)據(jù)保護(hù)官進(jìn)行監(jiān)管最合適？上述問題，期待鄒佳祎同學(xué)進(jìn)行更細(xì)致的規(guī)則設(shè)計和討論。21汽車數(shù)據(jù)本地化存儲的相關(guān)法律法規(guī)中存在的問題及對策建議王麗婷近年來，我國智能網(wǎng)聯(lián)汽車行業(yè)快速發(fā)展，汽車采集的個人信息和重要數(shù)據(jù)不斷積累增加，而跨國車企卻仍將大量的數(shù)據(jù)保存在境外的服務(wù)器內(nèi)，導(dǎo)致我國的數(shù)據(jù)安全面臨一定的威脅。為維護(hù)國家安全和公民利益，數(shù)據(jù)本地化存儲合規(guī)提上了日程。但對于數(shù)據(jù)本地化存儲而言，存好數(shù)據(jù)并非一勞永逸。數(shù)據(jù)要存好，也要管好。而針對汽車數(shù)據(jù)本地化存儲，我國的相關(guān)立法仍處于起步階段，許多方面亟待完善。本報告以“平衡數(shù)據(jù)安全和產(chǎn)業(yè)發(fā)展”為核心思想，分析了汽車數(shù)據(jù)本地化存儲的相關(guān)法律法規(guī)中存在的若干重要問題，并就法律不完備、數(shù)據(jù)本地化存儲的內(nèi)生性問題，從法律亟待完善的幾個方面，以及法律尚未完善時可以采取的應(yīng)急策略，提出了相應(yīng)的對策建議。一、背景與現(xiàn)狀數(shù)據(jù)本地化存儲，指主權(quán)國家通過制定法律或規(guī)則限制本國數(shù)據(jù)向境外流動，其基本的規(guī)則是任何本國或者外國公司在采集和存儲與個人信息和關(guān)鍵領(lǐng)域相關(guān)的數(shù)據(jù)時，必須使用主權(quán)國家境內(nèi)的服務(wù)器。隨著信息技術(shù)的發(fā)展，數(shù)據(jù)控制權(quán)逐漸成為數(shù)字經(jīng)濟(jì)參與者爭奪的焦點，而且成為網(wǎng)絡(luò)治理和國際秩序的重點問題之一。一方面，全球化和自由貿(mào)易要求數(shù)據(jù)的自由流動；另一方面，為維護(hù)國家安全、政治穩(wěn)定和公民個人權(quán)利，也需要對數(shù)據(jù)跨境流動給予適當(dāng)?shù)目刂?。于是，?shù)據(jù)本地化存儲要求便應(yīng)運而生。目前，我國的《中華人民共和國網(wǎng)絡(luò)安全法》、《個人信息保護(hù)法(草案)》和《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》等都對數(shù)據(jù)本地化存儲進(jìn)行了合規(guī)。在我國數(shù)據(jù)本地化存儲的行業(yè)立法中，汽車行業(yè)走在了前面，這順應(yīng)了我國近年來智能網(wǎng)聯(lián)汽車行業(yè)快速發(fā)展的潮流。自2020年上半年起，多家在華有經(jīng)營業(yè)務(wù)的跨國車企開始進(jìn)行數(shù)據(jù)本地化存儲，建設(shè)數(shù)據(jù)中心。近日，某知名新能源汽車跨國企業(yè)在華建設(shè)數(shù)據(jù)中心的新聞也引發(fā)了熱議。于是，國家互聯(lián)網(wǎng)信息辦公室近期分別于2021年4月29日發(fā)布了《信息安22全技術(shù)網(wǎng)聯(lián)汽車采集數(shù)據(jù)的安全要求（草案）》，于2021年5月12日發(fā)布了《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》，皆針對智能網(wǎng)聯(lián)汽車數(shù)據(jù)的本地化存儲給出了初步的規(guī)定。然而，汽車數(shù)據(jù)本地化存儲立法仍處于起步階段，許多方面亟待完善。目前已有的相關(guān)法律中，存在較為籠統(tǒng)且可操作性不足、行車數(shù)據(jù)的權(quán)屬有待明確、對個人信息的本地化要求過于嚴(yán)苛以及法律概念的內(nèi)涵和外延、處罰標(biāo)準(zhǔn)界定較為模糊等問題。這些問題可能會導(dǎo)致跨國車企在進(jìn)行數(shù)據(jù)本地化存儲的過程中，因“不懂法”而無意中進(jìn)行了違法操作，或是損害到公共利益，或是遭遇不可預(yù)測的處罰，使其數(shù)字活動和數(shù)字發(fā)展空間受限，挫傷智能網(wǎng)聯(lián)汽車行業(yè)的發(fā)展勢頭，甚至阻礙我國國際貿(mào)易的持續(xù)增長，削弱我國的國際競爭力。在當(dāng)前的國際局勢下，中國不斷崛起，老牌的資本主義國家虎視眈眈，我國的國家安全問題變得日益重要；與此同時，我國國民的個人隱私保護(hù)意識也正在逐漸覺醒。而智能網(wǎng)聯(lián)汽車對個人信息和重要數(shù)據(jù)的收集卻龐雜而詳細(xì)，涉及到敏感數(shù)據(jù)問題，這些數(shù)據(jù)應(yīng)該依法存儲在境內(nèi)，以杜絕境外國家利用法律、行政等手段，合法、秘密地獲取傳輸至其境內(nèi)的數(shù)據(jù)，危害我國的國家安全和我國公民的個人權(quán)益。目前多家跨國車企正在推進(jìn)數(shù)據(jù)本地化存儲合規(guī)進(jìn)程，當(dāng)下應(yīng)該適時完善數(shù)據(jù)本地化存儲立法，若在企業(yè)數(shù)據(jù)本地化存儲模式定型之后再進(jìn)行調(diào)整，則會導(dǎo)致企業(yè)合規(guī)成本增加，不利于數(shù)據(jù)安全和產(chǎn)業(yè)發(fā)展的平衡。二、問題分析相比于智能網(wǎng)聯(lián)汽車的快速發(fā)展，立法存在一定的滯后性，法律體系有待健全，操作細(xì)則仍在探索。目前我國在數(shù)據(jù)技術(shù)方面與歐美國家仍有一定差距，有關(guān)立法也才剛剛起步。對于與數(shù)據(jù)本地化存儲相關(guān)的法律規(guī)定，如何做到既符合國情，又與國際接軌，是我國面臨的一道考驗?？傮w來看，目前相關(guān)的法律法規(guī)行業(yè)化、專題化立法較為缺乏，針對的數(shù)據(jù)控制者主體比較有限，尤其是在概念內(nèi)涵和外延、處罰標(biāo)準(zhǔn)界定、監(jiān)管細(xì)則等方面還有所缺失，有待完善和細(xì)化。以下是數(shù)據(jù)本地化存儲的相關(guān)法律條款中較為突出的若干問題：法律法規(guī)較為籠統(tǒng)，可操作性尚顯不足。根據(jù)《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》第十二條規(guī)定，個人信息或者重要數(shù)據(jù)若通過國家網(wǎng)信部23門組織的數(shù)據(jù)出境安全評估，方可向境外提供。而在國家網(wǎng)信辦發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》中，數(shù)據(jù)不得出境的情況包括“可能侵害個人利益”“可能影響國家安全、損害社會公共利益”等情形。這些情況難以定性，更依賴于法官的自由裁量。但規(guī)定過于廣泛或含糊不清，會導(dǎo)致企業(yè)在實際操作中面臨著不可預(yù)測的處罰風(fēng)險，數(shù)字活動和數(shù)字發(fā)展空間受限，而目前全球服務(wù)貿(mào)易中有一半依賴對跨境數(shù)據(jù)流的訪問，較為籠統(tǒng)模糊的規(guī)定將阻礙我國國際貿(mào)易的持續(xù)增長，削弱我國的國際競爭力。在處罰依據(jù)和力度的判定上，不同法律條文存在重合與沖突。根據(jù)《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》第二十條，違反此規(guī)定的處罰依據(jù)是《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)。但是，就與數(shù)據(jù)本地化存儲相關(guān)的違法行為，《中華人民共和國網(wǎng)絡(luò)安全法》的第六十六條和《中華人民共和國數(shù)據(jù)安全法》的第四十五條、第四十六條在處罰的行為依據(jù)上存在較大的相似性，而處罰力度卻存在的較大的差距。而對于跨國車企的性質(zhì)來說，這兩部法律都是適用的。在《中華人民共和國數(shù)據(jù)安全法》的第四十六條中，針對“情節(jié)嚴(yán)重”的處罰力度很大，能夠給企業(yè)形成較強(qiáng)的威懾力，但是“違反規(guī)定”和“情節(jié)嚴(yán)重”之間的劃分標(biāo)準(zhǔn)并未明確。這樣一來，具體的處罰方式也更依賴于法官的自由裁量，汽車企業(yè)開展與數(shù)據(jù)本地化存儲相關(guān)的數(shù)據(jù)活動時也會受到無形的阻力。行車數(shù)據(jù)的權(quán)屬有待明確。根據(jù)《民法典》規(guī)定，駕駛員是行車數(shù)據(jù)的創(chuàng)造者，行車數(shù)據(jù)是其個人信息，另外，行車數(shù)據(jù)中的部分?jǐn)?shù)據(jù)，比如車內(nèi)攝像頭對駕駛員的監(jiān)控信息，也可以歸入隱私。汽車企業(yè)是行車數(shù)據(jù)的控制者和處理者，即《中華人民共和國網(wǎng)絡(luò)安全法》定義的網(wǎng)絡(luò)運營者。因為行車數(shù)據(jù)是基于用戶的使用產(chǎn)生的，但是車輛相關(guān)的軟硬件（比如采集和存儲行車數(shù)據(jù)的設(shè)備）都是企業(yè)提供的。個人信息還涉及到數(shù)據(jù)主體的信息自決權(quán)利和數(shù)據(jù)控制者等相關(guān)方滿足個人信息自決權(quán)利的義務(wù)，而數(shù)據(jù)本地化存儲便更能確保企業(yè)在這兩個方面遵循國家規(guī)定。但是這方面的規(guī)定仍有不足：數(shù)據(jù)權(quán)屬（分為所有權(quán)和使用權(quán)）的界定問題尚未解決。如今數(shù)據(jù)也是一種資產(chǎn)，這些數(shù)據(jù)掌握在企業(yè)的手中，但是否可以被企業(yè)用來牟利，這在今后出臺的法律中需要進(jìn)一步完善，否則可能會導(dǎo)致公共利益受到侵蝕和損害。對個人信息的本地化要求過于嚴(yán)苛。按照我國的立法和監(jiān)管習(xí)慣，在技術(shù)24手段不完備、管理制度不完善的情況下，往往采取更為嚴(yán)格的管理方式，盡快將數(shù)據(jù)先“堵住”，待研究清楚之后，確實需要出境且不涉密的脫敏數(shù)據(jù)才能在全球范圍內(nèi)傳輸和聯(lián)合研發(fā)。在要求跨國汽車企業(yè)將所采集的個人信息進(jìn)行本地化存儲的同時，必須考慮我國對境外數(shù)據(jù)的獲取和開拓國際市場問題。個人信息領(lǐng)域在國際上奉行的是同等保護(hù)原則，在國際貿(mào)易和經(jīng)濟(jì)合作中奉行的是互惠互利原則，我國對個人信息出境的過度限制勢必將成為我國參與經(jīng)濟(jì)全球化、開拓全球服務(wù)市場的障礙。因此個人信息的出境規(guī)則不應(yīng)過度嚴(yán)苛，以便為我國今后的跨境數(shù)據(jù)貿(mào)易談判留下余地。三、建議數(shù)據(jù)本地化存儲是數(shù)據(jù)生命周期的第三個環(huán)節(jié)，即“數(shù)據(jù)存儲”環(huán)節(jié)的一種特殊情況。因此，數(shù)據(jù)本地化存儲面臨的安全風(fēng)險和數(shù)據(jù)存儲類似，也主要來自于內(nèi)部和外部兩方面：一方面，數(shù)據(jù)存儲者可能會故意或者因過失而泄露數(shù)據(jù)；另一方面，外部人員可能通過入侵存儲系統(tǒng)，獲取、篡改、刪除數(shù)據(jù)。針對上述法律條文中存在的不足，以及數(shù)據(jù)本地化存儲的內(nèi)生性問題，以下提出相關(guān)建議：1.相關(guān)法律亟待完善行業(yè)規(guī)定和條例先行，為法律出臺或完善奠定基礎(chǔ)。相對于現(xiàn)實而言，立法具有一定的滯后性，在目前數(shù)據(jù)本地化存儲的相關(guān)法律還未完善的時候，網(wǎng)信辦、工信部等有關(guān)部門都應(yīng)該先盡快出臺一些管理辦法和部門規(guī)章，進(jìn)行應(yīng)急式處理，為相關(guān)法律的出臺或完善奠定基礎(chǔ)；若等法律出臺之后再去制定法規(guī)和具體細(xì)則，在時間上可能會失去先機(jī)。在已有的法律法規(guī)和管理辦法的基礎(chǔ)上，應(yīng)該及時發(fā)現(xiàn)其中存在的不足、現(xiàn)實中新出現(xiàn)的情況，并對法律進(jìn)行修改和完善。此外，由于歐美的數(shù)據(jù)技術(shù)和立法都走在前面，我國的數(shù)據(jù)本地化存儲相關(guān)立法可以參考國外的立法實踐，先快一步把立法補足，避免法律漏洞的出現(xiàn)。明晰處罰依據(jù)和處罰力度標(biāo)準(zhǔn)。在今后出臺的法律法規(guī)中，希望能夠?qū)Α吨腥A人民共和國網(wǎng)絡(luò)安全法》和《中華人民共和國數(shù)據(jù)安全法》相應(yīng)條款中的處罰情形、處罰對象、處罰標(biāo)準(zhǔn)等進(jìn)行明確劃分，或是在《汽車數(shù)據(jù)安全管理若干規(guī)定》的正式文件中更新判罰依據(jù)的上位法要求，或是頒布相應(yīng)的司法25解釋，以壓縮自由裁量的空間，避免企業(yè)鉆法律空子或受到不公平處罰。行車數(shù)據(jù)權(quán)屬和數(shù)據(jù)資源壟斷，需要同時應(yīng)對。在跨國車企的數(shù)據(jù)本地化存儲效果評估結(jié)果較好的情況下，可以在法律上將行車數(shù)據(jù)中用戶行為信息的所有權(quán)歸屬到企業(yè)，而用戶始終保有對自身信息的使用權(quán)（包括查看、修改、刪除自身數(shù)據(jù)的權(quán)利）。因為只有在企業(yè)通過匯集特定場景下的海量行為信息并標(biāo)簽化地分析處理之后，用戶行為信息才有價值。但同時，也要完善相關(guān)的法律法規(guī)和監(jiān)管手段，避免大量的用戶行為信息匯集到企業(yè)之后，企業(yè)因數(shù)據(jù)壟斷而阻止用戶對自身信息的使用，或者因企業(yè)的大量數(shù)據(jù)泄露導(dǎo)致嚴(yán)重的社會問題，損害公共利益。對于重要數(shù)據(jù)和個人信息，設(shè)置不同的出境管制要求。在這方面，我國可以參考國際社會通行的基本原則，即重要數(shù)據(jù)應(yīng)當(dāng)納入出境管制范圍，原則上不允許出境；而個人信息則不納入數(shù)據(jù)出境管制范圍，若個人信息的進(jìn)境國對個人信息的保護(hù)達(dá)到出境國的同等保護(hù)水平，或者存在其他機(jī)制使出境后的公民個人信息得到保護(hù)，那么應(yīng)當(dāng)允許公民個人信息遵循一定規(guī)則流出境外?！巴馐跈?quán)”操作便利化。根據(jù)《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》第八條規(guī)定，用戶的個人敏感信息“默認(rèn)為不收集，每次都應(yīng)當(dāng)征得駕駛?cè)送馐跈?quán)，駕駛結(jié)束（駕駛?cè)穗x開駕駛席）后本次授權(quán)自動失效”。但是這一操作，容易讓用戶厭煩，也不便于汽車企業(yè)收集數(shù)據(jù)以進(jìn)行智能化研發(fā)。這一條款不僅有些過于嚴(yán)格、復(fù)雜，而且其實是不必要的，因為根據(jù)該規(guī)定的第九條，汽車企業(yè)若確需用戶提供個人信息，則應(yīng)當(dāng)進(jìn)行匿名化或脫敏處理。因此，關(guān)于“同意授權(quán)”的規(guī)定可以修改為“默認(rèn)為收集，但同時會在車載顯示面板或他處明示‘正在收集用戶個人信息’，并向用戶提供便于隨時終止數(shù)據(jù)收集的方式”。2.在法律尚不完善之時，制度和監(jiān)管配合發(fā)力對于跨國車企數(shù)據(jù)中心的內(nèi)部管理，制定原則性的制度規(guī)定。政府可以要求跨國車企在數(shù)據(jù)中心內(nèi)部設(shè)置較為嚴(yán)格的數(shù)據(jù)分類、管用分離、人員權(quán)限分離的管理機(jī)制。按照敏感程度把數(shù)據(jù)分級分類，按照職位層級賦予數(shù)據(jù)的接觸權(quán)限，并對數(shù)據(jù)相關(guān)操作全程留痕。同時鼓勵企業(yè)申請數(shù)據(jù)合規(guī)的相關(guān)專利，彌補企業(yè)因不從用戶個人信息中獲利而帶來的損失。完善針對數(shù)據(jù)本地化存儲問題的追責(zé)機(jī)制?？梢詤⒖?xì)W盟的相關(guān)規(guī)定，在26公司內(nèi)部強(qiáng)制設(shè)置獨立的數(shù)據(jù)保護(hù)官職能部門（DPO），負(fù)責(zé)協(xié)助監(jiān)管機(jī)構(gòu)的工作，確保、監(jiān)控跨國車企數(shù)據(jù)本地化存儲的合規(guī)性，并在數(shù)據(jù)本地化存儲出現(xiàn)問題時擔(dān)責(zé)。政府可以要求中國信息通信研究院制定和頒發(fā)“數(shù)據(jù)保護(hù)官”相關(guān)職業(yè)資格證書，在人力資源和社會保障部內(nèi)添加“數(shù)據(jù)保護(hù)官”崗位認(rèn)證，并支持“數(shù)據(jù)保護(hù)官俱樂部”等行業(yè)協(xié)會制定行業(yè)標(biāo)準(zhǔn)等。行政監(jiān)管機(jī)關(guān)各司其職，多管齊下。公安部負(fù)責(zé)網(wǎng)絡(luò)安全保衛(wèi)，根據(jù)現(xiàn)有情況不斷完善計算機(jī)信息系統(tǒng)安全等級保護(hù)制度；工信部、網(wǎng)信辦做好網(wǎng)絡(luò)安全風(fēng)險評估與應(yīng)急工作機(jī)制，如評估跨國車企數(shù)據(jù)中心信息泄露可能帶來的國家安全風(fēng)險；市場監(jiān)管總局等有關(guān)部門應(yīng)檢查跨國車企的數(shù)據(jù)本地化存儲方式是否安全可靠，并對數(shù)據(jù)本地化存儲效果不佳的跨國車企進(jìn)行約談。行政監(jiān)管和行業(yè)監(jiān)管形成合力。政府和跨國車企可以共同建立數(shù)據(jù)平臺處理中心，便于政府監(jiān)督跨國車企，在采集完畢用戶的個人信息之后，進(jìn)行額外加密存儲，并放置在相對獨立的數(shù)據(jù)空間內(nèi)，與其他數(shù)據(jù)不能相互混淆。此外，還可以支持設(shè)立跨國汽車行業(yè)監(jiān)管協(xié)會，并向?qū)ｉT運作數(shù)據(jù)合規(guī)的企業(yè)購買服務(wù)，確立數(shù)據(jù)安全合規(guī)的行業(yè)標(biāo)準(zhǔn)。就數(shù)據(jù)本地化存儲而言，目前我國的立法傾向主要是嚴(yán)格管理跨國車企，以維護(hù)個人信息和重要數(shù)據(jù)安全。但這會帶來數(shù)據(jù)安全和技術(shù)進(jìn)步、產(chǎn)業(yè)發(fā)展的平衡問題。數(shù)據(jù)本地化存儲相關(guān)法律法規(guī)的完善，對保護(hù)公民隱私權(quán)利、避免重要數(shù)據(jù)泄露帶來安全風(fēng)險等都有裨益，但同時，數(shù)據(jù)本地化存儲要求使得跨國公司面臨的合規(guī)成本將會增加，比如需要在本地設(shè)置數(shù)據(jù)中心、聘用數(shù)據(jù)保護(hù)官等支出都不可小覷。把握好安全和發(fā)展的平衡，要求在立法和監(jiān)管時也應(yīng)考慮到數(shù)據(jù)本地化存儲如何更好地推動新興的智能網(wǎng)聯(lián)汽車行業(yè)發(fā)展。數(shù)據(jù)的跨地流通、聚合和使用是創(chuàng)造價值的方式，也是發(fā)展的趨勢，在汽車數(shù)據(jù)本地化存儲的立法上不應(yīng)“一刀切”，而應(yīng)適時調(diào)整，順應(yīng)時代發(fā)展的潮流?！緹樅恻c評】王麗婷同學(xué)結(jié)合近期的汽車數(shù)據(jù)本地化存儲熱點事件，分析了汽車數(shù)據(jù)本地化存儲的相關(guān)法律法規(guī)中存在的若干重要問題，并就法律不完備、數(shù)據(jù)本地27化存儲的內(nèi)生性問題，從法律亟待完善的幾個方面，以及法律尚未完善時可以采取的應(yīng)急策略幾個角度，提出了相應(yīng)的對策建議。其認(rèn)為，目前針對汽車數(shù)據(jù)本地化存儲的相關(guān)法律條款中，存在以下較為突出的問題：第一，法律法規(guī)較為籠統(tǒng)，可操作性不足；第二，在處罰依據(jù)和力度的判定上，法律法規(guī)之間存在沖突；第三，行車數(shù)據(jù)的權(quán)屬尚不明確；第四，對個人信息的本地化要求過于嚴(yán)苛，執(zhí)行難度和執(zhí)行成本較高。對此，王麗婷同學(xué)給出了行業(yè)規(guī)定和條例先行；明晰處罰依據(jù)和處罰力度標(biāo)準(zhǔn)；同時應(yīng)對行車數(shù)據(jù)權(quán)屬和數(shù)據(jù)資源壟斷；對不同的數(shù)據(jù)和個人信息設(shè)置不同的出境管制要求；“同意授權(quán)”操作便利化；完善針對數(shù)據(jù)本地化存儲問題的追責(zé)機(jī)制；加強(qiáng)監(jiān)管等建議。據(jù)德勤預(yù)測，到2025年，汽車行業(yè)利潤的20%將來自移動出行以及對數(shù)據(jù)的管理。在此發(fā)展趨勢下，王麗婷同學(xué)的此篇文章很有現(xiàn)實針對性，其行文結(jié)構(gòu)也兼具廣度與深度。美中不足的是，車聯(lián)網(wǎng)語境下，個人信息的界定具有一定特殊性。比如駕駛風(fēng)格、行車距離等行為數(shù)據(jù)，以及車輛技術(shù)信息，與其他信息進(jìn)行交叉結(jié)合可能識別到特定數(shù)據(jù)主體，因為可能被界定為個人信息。王麗婷同學(xué)在本文的基礎(chǔ)上，可就車聯(lián)網(wǎng)語境中的個人信息認(rèn)定作為前提要件進(jìn)行分析與界定，從而進(jìn)一步探討行車數(shù)據(jù)權(quán)屬和分級存儲問題，再結(jié)合目前已有的立法體系和具體法律法規(guī)條款，對汽車數(shù)據(jù)本地化存儲中的立法問題給出更符合行業(yè)發(fā)展現(xiàn)狀的建議。28對于中小企業(yè)內(nèi)個人信息存儲安全治理的優(yōu)化——政府推廣網(wǎng)絡(luò)安全保險的可行性與建議張迷逾互聯(lián)網(wǎng)時代，每個人的數(shù)據(jù)都在時刻被各種平臺、企業(yè)、機(jī)構(gòu)所收集、分析、儲存。相較大企業(yè)，中小企業(yè)缺乏有力保護(hù)用戶個人信息存儲安全的財力與人力，又因數(shù)據(jù)泄露成本低而對個人信息保護(hù)不重視。近來隨著以《數(shù)據(jù)安全法》為代表的國家數(shù)據(jù)安全治理體系的出臺，許多針對企業(yè)個人信息保護(hù)的遺留問題得到解決，但是對于中小企業(yè)，“政府監(jiān)管難”的問題仍未解決，又新產(chǎn)生了“企業(yè)負(fù)擔(dān)大”的問題。在此背景下，如果將網(wǎng)絡(luò)安全保險作為組合拳一并推廣，對于這兩個問題的解決有所幫助。一、中小企業(yè)內(nèi)個人信息存儲安全現(xiàn)狀企業(yè)內(nèi)個人信息存儲安全的風(fēng)險來自于兩方面：來自企業(yè)內(nèi)部的數(shù)據(jù)泄露風(fēng)險與來自企業(yè)外部的安全攻擊風(fēng)險?？傮w而言，目前中小企業(yè)個人信息存儲安全問題嚴(yán)重，個人信息泄露事件層出不窮。這與中小企業(yè)整體的數(shù)據(jù)存儲安全風(fēng)險息息相關(guān)，根據(jù)思科中國發(fā)布的《2020中小企業(yè)網(wǎng)絡(luò)安全報告》，53%的中小企業(yè)曾遭到安全攻擊。據(jù)Verizon的《2020年數(shù)據(jù)泄露調(diào)查報告(DBIR)》顯示，在所有數(shù)據(jù)泄露事件中，近三分之一（28%）涉及小企業(yè)。據(jù)IBM和PonemonInstitute聯(lián)合發(fā)布的《2020年全球內(nèi)部威脅成本報告》顯示，中小型企業(yè)(員工人數(shù)少于500人的)在每次網(wǎng)絡(luò)安全事件上的損失平均超過200萬美元，其中也包括了很多來自企業(yè)內(nèi)部的泄露風(fēng)險。事實上，相較于企業(yè)整體數(shù)據(jù)存儲安全的現(xiàn)狀，用戶個人信息存儲安全情況可能更加不樂觀。在企業(yè)的走訪調(diào)查中收到的反饋是，在中小企業(yè)中，對于用戶個人信息保護(hù)的重視程度顯著低于企業(yè)經(jīng)營數(shù)據(jù)的保護(hù)，因此也更加面臨泄露風(fēng)險。必須注意的一點是，中小企業(yè)數(shù)據(jù)泄露的危害并不比大型企業(yè)低。隨便舉一個案例，2016年，號百信息服務(wù)有限公司數(shù)據(jù)庫泄露，涉及公民個人信息2億余條的手機(jī)號碼信息被竊取后在網(wǎng)上出售。2018年，廣州某企業(yè)管理咨詢有29限公司被“內(nèi)鬼”加“黑客”的方式,竊取了35萬余條的醫(yī)生個人信息。這兩家中小企業(yè)之所以能擁有這么多個人信息，一是因為該中小企業(yè)是某大型企業(yè)的外包公司，因此共享了來自大企業(yè)的大量個人信息，二則是因為該企業(yè)深耕某一細(xì)分市場，雖然用戶信息數(shù)量不多但敏感程度高。無論對應(yīng)哪種情況，中小企業(yè)內(nèi)的用戶個人信息一旦泄露，對于公民的信息安全都是極大的威脅，輕則騷擾短信垃圾郵件，嚴(yán)重些則是各類詐騙和金融事件，給社會穩(wěn)定帶來極大影響。二、中小企業(yè)對于個人信息存儲安全保護(hù)不力的原因分析1.重視程度低由于數(shù)據(jù)存在非排他性，也就是說企業(yè)內(nèi)的用戶個人信息即使泄露，也不會直接影響企業(yè)對于這些信息的使用，因此也不會帶來直接的經(jīng)營利潤上的損失。這使得中小企業(yè)對于個人信息存儲安全不重視、不積極。2.缺乏財力與人手?jǐn)?shù)據(jù)存儲安全問題是一個技術(shù)問題，前期需要大量的資金投入來打造安全保護(hù)的硬件軟件體系，到了后期仍需要不斷更新技術(shù)設(shè)備來應(yīng)對不斷出現(xiàn)的新的風(fēng)險，對于資金本不富裕的中小企業(yè)來說無疑只能盡力就好。從人才角度來考慮，整個行業(yè)網(wǎng)絡(luò)和數(shù)據(jù)安全專業(yè)人員缺口巨大，中小企業(yè)想招聘專業(yè)安全人員更是難上加難，因此普遍存在IT人員兼任安全崗位、沒有網(wǎng)絡(luò)安全專崗的情況。3.政府監(jiān)管難，法規(guī)約束力弱，追責(zé)不力我國數(shù)據(jù)安全的法律監(jiān)管自2017年才開始，目前仍在體系的搭建過程中。過去長期的應(yīng)急處理、法律條文籠統(tǒng)的情況給數(shù)據(jù)安全的監(jiān)管帶來極大的困難，監(jiān)管機(jī)關(guān)不明確，監(jiān)管準(zhǔn)則不明確。與此同時，監(jiān)管的重點往往放在大型企業(yè)上，對于中小企業(yè)較為無力。過去實施的一些措施收效也不明顯，比如2017年《網(wǎng)絡(luò)安全法》中首次提出的網(wǎng)絡(luò)安全負(fù)責(zé)人，在中小企業(yè)中的施行過程中，常常出現(xiàn)隨意指派一位員工兼任該職務(wù)，僅僅當(dāng)作一個“背鍋俠”，而不是如預(yù)想中真正幫助管理企業(yè)數(shù)據(jù)安全的情況。如果發(fā)生了數(shù)據(jù)安全事故，由于法律體系的缺失，對于企業(yè)的責(zé)任認(rèn)定不明確，實際上對于企業(yè)的懲罰力度很小，起不到倒逼企業(yè)加強(qiáng)保護(hù)的作用。30三、網(wǎng)絡(luò)安全保險網(wǎng)絡(luò)安全保險（cyberinsurance）就是針對企業(yè)客戶規(guī)避網(wǎng)絡(luò)安全風(fēng)險的一類保險。盡管名為網(wǎng)絡(luò)安全保險，但這類保險目前的承保范圍已經(jīng)覆蓋了企業(yè)整個數(shù)據(jù)存儲安全的各類風(fēng)險，因此對于企業(yè)中的個人信息儲存安全同樣使用。網(wǎng)絡(luò)安全保險目前在中國還未發(fā)展起來，但是在海外，尤其是歐美已經(jīng)有了成熟的經(jīng)驗。1.網(wǎng)絡(luò)安全保險在海外的發(fā)展現(xiàn)狀上世紀(jì)90年代，網(wǎng)絡(luò)安全保險開始在美國出現(xiàn)，到如今已有二十多年的歷史。根據(jù)普華永道的《保險2020》報告，目前網(wǎng)絡(luò)安全保險的書面保費總額達(dá)到每年25億美元，并且預(yù)計在本世紀(jì)末將達(dá)到75億。最近幾年網(wǎng)絡(luò)安全保險賠付的著名案例是歐洲的萬豪國際集團(tuán)，該集團(tuán)由于泄露用戶數(shù)據(jù)，在2018年被英國信息保護(hù)專員辦公室開具了1.24億美元的罰單，這也是歐盟《