一轴全息：数据合规立法

2021-08-25

前言：2021年8月20日，十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》，该法将于2021年11月1日起施行。作为我国第一部保护个人信息的专门法律，为大数据时代的海量个人信息上了一把法律的“保护锁”。值此节点，如何合法合规地收集、处理和应用个人信息应当引起企业更多的重视，本文将从抖音海外版TikTok境外违规处理个人信息的案例出发，回顾国内数据合规的相关重要立法，明晰立法脉络，助力企业更好规范数据合规安全。

7月22日，荷兰数据保护局（Dutch Data Protection Authority, DDPA）发布公告，决定对TikTok平台处以75万欧元罚款^[1]。DDPA调查发现TikTok平台在向荷兰用户提供的隐私政策中只包含英文版本，而未提供荷兰语版本。在荷兰有众多儿童使用TikTok平台的情况下，TikTok平台无法当然认定其能够理解英语，故TikTok未能够根据欧盟《通用数据保护条例》（General Data Protection Regulation, GDPR）第12条规定，就收集、处理和使用个人数据以“简单、透明且易懂的方式，通过清楚明确的语言，采取适当的措施提供和传达信息”，因而收到DDPA开出的罚单。

由上述案例可以窥见各国针对个人数据安全愈发重视且监管趋严的趋势。放眼国际，多国已通过立法保护数据和隐私，如美国加州制定的《加州消费者隐私法案》(CCPA) ，被称为是美国史上最为全面、最严格的州数据隐私法；立足国内，我国自1984年《宪法》便规定公民的通信自由和通信秘密受法律的保护，开始了对个人信息保护的规制。此后，虽逐渐重视对数据安全和个人信息的保护，但相关立法规定散见于各类规范性法律文件之中，始终没有一部针对数据安全或个人信息保护的专门立法。直到2016年《网络安全法》出台，树立起我国网络空间法治建设的重要里程碑，为网络数据安全的保护提供了立法制度的支撑；今年1月1日起正式实施的《民法典》则在第四编人格权编和第六章专章规定了隐私和个人信息保护相关规定；今年9月即将生效的《数据安全法》，是我国第一部有关数据安全的专门法律；今年11月即将生效的《个人信息保护法》，作为我国第一部保护个人信息的专门法律，标志着我国向完善和深化个人数据保护方面迈出了重要一步。

对此，我们制作了国内针对数据合规（含个人信息保护，下同）相关重要立法的时间轴（如下图所示），以此明晰我国立法脉络：

除上述立法外，在数据安全实践方面，我国各大互联网企业亦做出努力，纷纷带头研究开发有关数据安全保护的产品^[2]。例如：

百度推出“史宾格”安全和隐私合规平台，基于AI检测技术，比照《App违法违规收集使用个人信息行为认定方法》《工业和信息化部关于开展App侵害用户权益专项整治工作的通知》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》《信息安全技术 个人信息安全规范》等规范性文件、国家标准，提供隐私风险项检测、隐私专项检测、场景检测、权限过度收集与使用情况检测等产品服务，App 隐私合规风险产生的源头，助力监管机构、应用市场、大型企业、App开发者等高效、低成本地完成App隐私合规自查，发现隐私违规风险；

字节研发隐私合规一站式平台，通过自动化技术（如数据发现、打标和溯源；数据资产扫描和归类；合规风险评估、度量和可视化；隐私合规要求和风险控制点的标准化记录和引用、结合业务DevOps机制的合规预判和冲突校验；PIA/DPIA、Privacy by Design流程承载；合规审计案例归档和查阅；合规状态指标监控；数据主体权益保障相关的合规管理工具等）、聚合的数据集以及标准化的合规流程提供一站式隐私合规项目管理和风险治理，对组织内的数字资产、产品技术、合规流程等相关治理活动实现数字化管控，实现了法律、安全、技术等多领域的信息交汇，亦帮助组织实现对数据主体权益保障请求的快速响应；

蚂蚁集团除通用能力外，亦纵深于垂直领域，针对灵活用工行业资金结算合规及数据安全保护需求，以“安全发”资金结算产品为核心，提供一整套灵活用工行业资金安全及数据合规综合解决方案。一方面，对于灵活用工行业普遍面临的资金信任及安全痛点，研发面向灵活用工平台、灵活用工平台SaaS服务商等多类应用场景下的“安全发”资金结算产品；另一方面，可通过集成蚂蚁集团旗下多方安全结算平台等数据安全产品，实现有效识别、监控上游用工企业及下游自由职业者的风控点并进行风控预警，同时基于多方安全计算、隐私保护、区块链等技术，实现“数据可用不可见”，解决灵活用工行业内数据流安全合规问题。

由此，对比、回顾文首TikTok平台被罚案例，可以发现：TikTok平台在欧盟经济区适用的隐私政策除了DDPA指出的问题外，其实仍存在其他合规风险隐患（如对数据收集目的的模糊化处理未遵循GDPR数据处理原则、数据处理政策缺乏对未成年人用户的特殊保护等）。这警示着企业除持续关注数据合规立法动态，对照适用的法律法规自查、整改隐私政策外，也可考虑借助前文举例的数据安全合规产品或工具，动态、持续、有效地识别数据合规风险点，将形式上的隐私政策嵌入到系统设置的实质流程中，实现业务流与数据流的和谐统一。

关注数据立法，完善数据保护合规应当引起企业更多的重视。随着我国数据合规相关立法（如《数据安全法》与《个人信息保护法》等）的相继落地，企业应当及时关注、了解立法动向，强化数据合规的内控管理，并辅之以技术手段协助企业实现数据合规，使数据合规隐患防于未然。

参考文献：

[1]https://www.huntonprivacyblog.com/2021/07/28/dutch-dpa-fines-tiktok-725000-eur-for-transparency-violations/ 最后访问：2021年8月3日

[2]百度、字节及蚂蚁产品介绍来自于中国信息通信研究院云计算与大数据研究所于2021年7月发布的《企业数字化治理应用发展报告（2021年）》及互联网公开介绍信息，具体以其产品及官方解释为准。

本文作者：