一、数据合规的概念
现阶段,数据合规虽然尚未有明确的法律定义,但企业处理数据的相关义务已经体现于“三驾马车”——《中华人民共和国网络安全法》(下文简称《网络安全法》)、《中华人民共和国数据安全法》(下文简称《数据安全法》)与《中华人民共和国个人信息保护法》(下文简称《个人信息保护法》)——的具体规范中。而且,随着数字技术与数字经济的发展,数据合规很有可能从目前的法律激励机制转变为一种企业的法定义务。[1]这提示了从规范的角度认识数据合规的必要性。进一步说,从规范的角度认识数据合规,应当区分“规范对象”与“规范内容”,前者的核心在于“数据”,后者的核心在于“合规”。
(一)如何理解“数据”
数据合规的规范对象是企业,更进一步讲,其关注的是企业在数据生命周期内对数据的处理行为。那么,如何理解“数据”呢?《数据安全法》第3条第1款规定:“本法所称数据,是指任何以电子或者其他方式对信息的记录。”依据该条的界定,数据仅是对信息的记录。这一界定体现出立法者对于数据的两个认识:第一,该界定遵循了信息内容与记录载体的区分,也就是信息是内容,数据是记录信息的载体;第二,作为载体的数据有不同的形式,或是电子形式又或是非电子的其他形式。这一概念与“个人信息”的概念有重合之处,《个人信息保护法》第4条第1款规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
那么,“数据”与“信息”有何关联与区别呢?事实上,现阶段这两个概念常常存在混用的现象。国际标准化组织(International Organization for Standardization,ISO)对二者的定义也体现出趋同的意蕴:“数据是信息的一种形式化方式的体现,该种体现背后的含义可被再展示出来,且该种体现适于沟通、展示含义或处理。因此,信息和数据是在内容和形式两个层面上对同一个对象的描述。”[2]区分概念的最终目的在于解决问题(如数据的保护问题、信息的保护问题),否则这种区分就将失去意义。正如有学者指出的,区分数据与信息的法律意义在于明确问题的焦点——研究的是“纯粹数据问题”[3],还是“纯粹信息问题”[4],抑或“数据与信息的混合问题”[5]。笔者认为,数据合规所涉及的问题显然属于“数据与信息的混合问题”。原因在于数据合规关注的是企业在数据生命周期内对数据的处理行为,而这些数据处理行为都需要符合《网络安全法》《数据安全法》《个人信息保护法》等法律的规定,既涉及形式层面的网络数据秩序问题,[6]也涉及对数据上信息内容的保护问题。[7]既然数据合规问题属于“数据与信息的混合问题”,为何我们仅选择了“数据合规”的概念而忽略了“信息合规”?原因在于,“信息”是数据上的内容,处于数字化转型的企业,其关注的重点在于如何获得更多的数据从而建立起自己的数据库,进而掌握强大的算法能力进行计算和商业设计,这是其推动数字经济发展的关键与动力。正是由于需要对掌握丰富数据资源的企业形成合理规制,才催生了“数据合规”。就此而言,与“信息”相关的“信息安全”“信息保护”等问题只是数据合规的一个合规要点,数据合规还关注诸如数据跨境流动、企业数据保护等问题,其基本逻辑是“数据生命周期”。综上,“数据合规”的称谓能够更全面地体现其基本内涵。
(二)如何理解“合规”
数据合规的规范内容是对企业在数据生命周期内的数据处理行为所提出的要求,即要求企业的数据处理行为符合有关规范要求。对于“规”的范围,可以从广义和狭义两方面来理解。广义的理解为《中央企业合规管理办法》所采用的,该办法第3条第1款指出:“本办法所称合规,是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求。”可见,“数据合规”之“规”不仅包括狭义的法律,还包括行业准则等“软法”[8]。狭义的理解则认为,合规之“规”就是具有法律效力的法律规范,不然就会导致企业合规的泛化。但问题是,如果“数据合规”的“合规”仅指企业的数据处理行为需要符合有关法律规定,即合规=合法,那数据合规为何会在近年为政府所提倡?因为按照狭义的理解,即使没有数据合规,企业的行为也需要符合法律规定,否则就将承担法律责任。这就需要搞清楚“合规”的价值意蕴。
对于合规价值的理解,我们不能简单地进行文义解释,还需要结合相关规范目的展开讨论。“合规”最初仅指“企业合规”,表现为一种对企业的法律激励机制,即国家通过在法律上设置激励措施,鼓励企业开展合规建设从而得到行政处罚和刑事处罚上的责任减免。[9]这种正面激励模式与传统意义上的行为否定式法律强制有所不同。在理论上,有学者尝试为企业合规寻找内在的道德性基础,认为企业合规不仅具有激励层面上的功利性价值,还使企业自觉承担社会责任。[10]因此,“合规”的价值意蕴已呼之欲出:“合规”旨在鼓励、引导企业自觉完善内部管理体系,从而规范日常的经营管理行为,而非通过外在的法律强制对企业施加以惩戒为后果的规范性要求。从国家治理的角度上看,“合规”意味着对传统治理模式的突破。传统治理模式主要指以政府为中心的规制模式,即政府集合了绝大多数的治理权力,从而单方面对社会实施规制;“合规”突破了这一单向规制格局,鼓励企业承担一定的规制职能,享有一定的规制权力。简而言之,这是从“外部规制”(政府规制)到“内部规制”(自我规制)的转变。
当然,如果从企业的角度观察,合规可能仅仅是企业降低风险的自觉选择,循此视角,合规就转化为企业内部风险管理的问题。具体而言,合规的主要目的在于规避法律风险,从而避免企业因违反相应的法律法规而承担过重的法律责任。因此,企业需要通过事前的合规性工作(如制定合规导向的企业规章制度、提高企业员工的合规意识、形成良好的合规文化)来实现对预期法律后果的有效预防。
无论我们选择从哪个视角观察,数据合规的基本要求均落实在企业通过自我规制——构建、完善企业内部的合规管理体系,从而在数据生命周期中自觉规范自己的经营管理行为,进而符合相关法律规定(见图1-1)。
图1-1 数据合规的逻辑结构