企业数据合规行为的行政法规制

郑鉴玮

企业在数据合规中需要遵守一定的行为规则，一旦违反，企业将可能承担相应的民事、行政责任，甚至于刑事责任。本文仅从行政法角度讨论企业数据合规的要求。

从行政管理层面而言，企业数据合规义务可以被分为两类：一类是所有企业应当遵守的行为规则（以下简称“通用规则”），一类为特定行业企业的附加行为规则（以下简称“特别规则”），如汽车、金融行业等，不仅需要遵守一般企业应当遵守的行为规则，还另须遵守特别规范（一般为部门规章）附加的行为规则。

一、通用规则

对大部分企业而言，其利用数据都包含四个阶段，即收集，储存，处理与流转，故下文通过企业在收集，储存，处理与流转四个阶段所承担义务的不同，将企业在数据合规中所应遵守的行为规则进行初步分类：

(一) 数据收集阶段的行为规则：“知情—同意”规则

1. 知情规则：

收集个人信息之前，首先要使用户个人知情。综合目前的情况而言，企业多以制定明确且醒目的用户协议与隐私政策来告知企业的基本联系方式，以及企业对于收集后信息数据的处理目的，方式；具体来说，企业可以分别通过线上线下两种渠道尽到使用户知情的义务：线上企业可以通过在APP、网页、小程序中将隐私政策作为用户下一步进行下一步活动的前置条件，线下则可以在门店营销与销售代表交流的过程中对用户进行书面告知使用其个人信息的方式与目的。

2. 同意规则：

使个人用户知情的工作完成后，在储存数据信息前必须取得用户的同意。需要注意的是，虽然《网络交易监督管理办法》第十三条第二款仅要求网络经营交易者对个人敏感信息负担逐项同意的义务，但是由于敏感信息与非敏感信息目前尚无明确的界定标准，为尽可能规避行政法上承担义务的风险，企业应当在能力范围内按照数据使用目的的不同逐项告知用户其个人信息或数据的处理目的、方式，并逐项取得其同意；

（二）数据储存阶段的行为规则

1.分级保护规则：

企业在收集完成数据信息后，应当根据网络信息等级保护制度，对其储存的数据信息进行分类分级。技术标准上来说，数据分类分级包括敏感性分类，机密性分类，价值性分类，地理分类与业务分类等分类方式，但就法律上来说，数据与信息处理规则上的不同主要是根据个人信息是否属于敏感个人信息而定，企业在处理敏感个人信息上将负担更重的义务，例如处理敏感个人信息时需要采取严格保护措施，因此敏感性分类应当是企业首要遵循的分类分级标准。其次在分类分级后的保护方面，企业不仅应当制定企业内部的管理制度，有效防范病毒攻击并检测记录网络的运行状态，还应当确定网络安全责任人，负责落实企业网安责任，确保信息保护建设具备可问责性，以此构建基本的保护体系，有效应对网信办等行政机关的监管；

2. 制定数据泄漏时的应急预案：

《网络安全法》第四十二条第二款规定网络运营者“在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施”，可见，一旦发生数据信息泄露时，企业及时的补救措施是免受行政责任的手段之一。因此，笔者在此建议企业提前制定内部的分类应急预案，以便于当发生企业所控制的个人信息泄露的情况时，满足监管上要求企业“立即”采取补救措施的义务。

3.定期合规审计：

《个人信息保护法》第五十四条要求个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。国内目前尚无具体的企业合规审计规范，但国内企业可以参照国际标准制定内部数据合规管理体系。依照国际上的数据合规审计实践来看（包括英国ICO，法国CNIL，德国DPA的合规审计规则），合规审计在范围上包括但不限于：

（1）数据处理活动的记录；

（2）数据处理的合法性基础；

（3）数据保护官（DPO）的设置

（4）企业所建立的数据保护体系是否具备可问责性（Accoutability）

（5）数据保护影响评估；

笔者建议国内企业可以参照试行这几项内部合规审计制度，以应对国内监管机构的具体要求。

（三）数据处理阶段的行为规则

1. 遵循比例原则：

企业在处理个人信息时，收集限度应当符合比例原则，综合《民法典》，《网络安全法》以及《个人信息保护法》，比例原则在数据合规的具体操作上总结表现为以下五个方面：

（1）处理目的上：收集的个人信息应具有明确、合理、具体的个人信息处理目的；

（2）相关性上：个人信息处理应当与拟实现的信息处理目的直接相关；

（3）处理范围上：个人信息处理应当限于实现处理目的之最小范围；

（4）影响方面：个人信息处理应当采取对个人权益影响最小的方式；

（5）保存期限方面：个人信息的保存期限应当限于实现处理目的的最短期限；

企业应尽可能的将自己在数据处理阶段履行各项义务的证据以书面方式保留下来，比如表明处理数据时逐项标注企业处理数据信息的目的，范围，制作数据影响评估书，以内部管理规定或章程的形式确定个人信息的保存期限，使企业的数据处理活动合法化、合规化。

2.自动化决策处理对应的行为规则：

在当今数字社会背景下，大部分企业经营都会利用算法进行自动化决策（注：自动化决策，即通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。），这固然提升了市场经济的效率，但同时“大数据杀熟”、“算法歧视”等现象频发，于是为规制这种现象的发生，行政法上使企业负担一定程度的义务，总结下来具体包括：

（1）算法备案要求：

算法备案，是对于《个人信息保护法》第24条第一款算法透明义务的具体化，对于算法备案，主要从算法备案主体与算法备案内容和流程进行简要说明：

首先，算法备案的主体仅限于两类企业。根据《算法推荐规定》第二十四条与《互联网信息服务深度合成管理规定》第十九条规定，算法推荐服务备案主体为以下两类：一是具有舆论属性或者社会动员能力的算法推荐服务提供者。【注：算法推荐服务是指应用算法推荐技术包括利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术提供互联网信息服务。】二是具有舆论属性或者社会动员能力的深度合成服务提供者。【注：深度合成服务是指应用深度合成技术（利用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息的技术）提供互联网信息服务。】这也意味着，不具备舆论属性或社会动员能力的小型算法推荐服务提供者与深度合成服务提供者暂无需履行算法备案的义务。

其次，算法备案的内容具体包括算法主体信息，产品与功能信息以及算法信息，其中，算法主体信息包括：主体基本信息、证件信息、法定代表人信息、算法安全责任人信息等；算法产品与功能信息包括产品名称、服务形式、访问地址、状态、服务对象、使用是否需要实名认证等；算法信息包括：算法数据、算法模型、算法策略和算法风险与防范机制等信息。算法备案的具体流程包括提交、审批与变更注销，具体如下图所示。

（2）算法解释要求：

《个人信息保护法》第二十四条第三款规定：“通过自动化决策方式作出对个人权益有重大影响的决定，个人有权要求个人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”虽然该规范初步确立了个人信息权益人的算法解释权，但是算法解释权究竟系事前解释还是事后解释（即自动化决策者是否算法决策前公布算法规则），系系统性解释或个案性解释（即自动化决策者对算法的系统功能进行解释抑或是对算法的个案决策进行解释）等均无具体规定，又，算法本身具有商业秘密的属性，算法解释权亦不可能是对算法整体进行完全的解释(意味着个人信息权益人的算法解释权不可能以较高的标准行使，否则违反了商业秘密的权益属性), 故目前企业承担的算法解释义务与监管机构对此的具体监管规则不甚明确，监管上并不会以使企业负担较高的算法解释义务，从而，笔者建议企业在合规方面仅须尽到基本的算法解释义务以应对网信办监管即可。

值得注意的是，算法解释权有可能在诉讼中被原告作为一项程序性权利行使，诉讼原告可以在诉讼中行使算法解释权要求被告，即使用算法的个人信息处理者或其他经营主体说明算法的构造与输出逻辑，从而部分达到因果关系举证责任倒置的法律效果，对于此方面的隐患，企业要提前做好法律上的应对。

（3）防止算法歧视要求：

《个人信息保护法》第二十四条第一款规定：“ 个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。”此规定系《个人信息保护法》对于算法歧视的禁止性规定，也意味着企业需要承担防止算法歧视的合规义务。

要理解该规范，首先需要解读算法歧视的构成要件，一般认为，算法歧视由以下三个要件组成：

（1）行为要件：算法区分决策。具体包括“区分—决策”或者“决策—区分”两种模式，分别表现为自动化决策依据建立于区分行为上与依据自动化决策作出区分。

（2）结果要件：差别性不利后果。通常可以通过横向比较与纵向比较来确准是否造成了差别性不利后果

（3）算法歧视的构成例外：合理的差别对待。

企业要有效防止算法歧视结果的发生，笔者建议要从算法区分决策上做到合法合规，具体方法包括对数据进行预训练与优化训练，聘请专家进行人工数据标注等措施。目前从《生成式人工智能服务管理暂行办法》可以看出，对于使用算法和人工智能这些新科技的企业，监管机关采取审慎监管的态度，即对于企业进行合规后仍产生禁止性结果的情况一般不予处罚，因此，企业要尽力完成上述防止算法歧视的数据合规义务，即可免于相关的行政处罚。

（四）数据流转阶段的行为规则

企业在数据流转阶段，根据对向流转的主体不同，数据处理者将承担不同的义务，具体包括以下几种情况：

1. 委托他人处理个人信息：委托人应当明确约定双方权利义务，并且委托人对受托人具有监督义务；

2. 个人信息因客观原因转移时：企业分立、合并后，数据信息接收方应当继续履行之前被接收方的义务；

3. 个人信息跨境提供的：应当由网信办进行安全评估，经专业机构进行信息保护认证，适用网信制定的标准化合同等；

二、特别规则

特定行业下的企业不仅需要承担一般意义上的数据合规义务，还需要承担规章附加的特殊义务。由于规章数量庞杂，本文仅列举关于汽车行业与金融行业的数据合规要求，其规范，实则主要也是一些原则性规定，具体合规操作仍需结合行业惯例加以适用，具体来说：

（一） 汽车行业的数据合规要求

《汽车数据规定》作为针对汽车行业数据合规的重要规章，提出了汽车数据处理者在开展汽车数据处理活动中应坚持的四项基本原则：
1. 数据车内处理原则：

对于汽车内部产生的数据，数据处理者除非确有必要不向车外提供；

2. 默认不收集原则：

即除非驾驶人自主设定，每次驾驶时默认设定为不收集状态；

3. 精度范围适用原则：

根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率；
4. 脱敏处理原则：

此规定要求数据处理者对车内数据尽可能进行匿名化、去标识化等处理。

2. 金融行业数据合规要求

（1） 金融数据治理全覆盖原则：

金融机构的数据治理应当覆盖数据的全生命周期，覆盖业务经营、风险管理和内部控制流程中的全部数据，覆盖内部数据和外部数据，覆盖监管数据，覆盖所有分支机构和附属机构。

（2） 动态控制原则：

金融机构的数据治理应当与管理模式、业务规模、风险状况等相适应，并根据情况变化进行调整。金融数据的安全控制策略和安全防护措施不应是一次性和静态的，应可基于业务需求、安全环境属性、系统用户行为等因素实施实时和动态调整。