数据合规概述

数据合规是指企业及其员工的经营管理行为符合个人信息保护、网络安全、数据安全等数据法规的要求，既包括形式上使用数据合规，也包括数据内容本身的实质合规。

数据合规主要管的是与用户相关的数据，我国法规、标准更多使用的是“个人信息”。这类数据重要程度高，与公民的日常生活息息相关，一旦泄露危害程度也比较大，所以这类数据有着比较高的合规审查需求。

一、个人信息概念

个人信息是以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。如姓名、出生日期、身份证件号码、个人生物识别信息、住址、联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

个人信息的认定重点是“已识别或者可识别”与“有关”。前者“识别”强调的是，通过一组信息来特定化某个主体。例如在实名制的情况下，通过手机号码就能知道谁是谁。识别包括直接识别和间接识别，所谓直接识别是指通过该信息可以直接确认某一自然人的身份，不需要其他信息的辅助，如某人的身份证号、基因信息等；所谓间接识别，是指通过该信息虽不能直接确定某人的身份，但可以借助其他信息确定某人的身份。后者“有关”强调的是，在知道信息主体身份后，与其相关联的信息都是个人信息。例如，当公司知道员工张三后，公司掌握的与张三有关的所有信息（员工编号、上下班打卡信息等）都属于个人信息。

二、个人信息与隐私辨析

隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。权利主体行使权利的目的在于生活安宁和不愿为人知晓，即隐私的核心是私密性，即信息主体不想让外界知悉这些空间、获得这些信息，即使有些信息不属于他人的个人信息，甚至只是一种物理空间（私人活动覆盖的范围）。由于主体行权的目的多在于防御第三人获知，因此是一种相对偏主观感觉的认知。

个人信息如上所述，核心在于“可识别性”，即该信息可直接或结合识别出特定自然人，主体行权目的多在于想要积极管理已授权第三人处理的个人信息。但是否属于其个人信息，则是相对偏客观事实的认定。因此，针对自然人的隐私或个人信息而言，私密性和可识别性是两种重要但不相同的划分维度，存在一定程度上的重合（主观上不愿让外界知悉的、客观上可识别其个人的信息）。

三、IP属地是否属于个人信息

首先，IP属地≠IP地址。后者是指在互联网中对各计算机等上网设备进行唯一标识的一串32位二进制数，指向具有唯一性，构成以电子或者其他方式记录的已识别或可识别自然人的信息，属于《民法典》《个人信息保护法》（下称“《个信法》”）定义的个人信息，也是《信息安全技术 个人信息安全规范》（GB/T 35273—2020）中明确正列举属于个人信息的“用户网络身份标识信息”。但，各大网络平台的公开的IP属地信息仅展示为省（自治区、直辖市）（针对境内账号）或国家（地区）（针对境外账号），比如上海、北京、江苏，美国、日本等。

单从境内账号展示的地域信息维度来看，省级地域内的用户数量庞大，难以直接通过该信息识别到或关联到特定的自然人，除非依赖其他已识别或可识别该特定自然人的个人信息（比如用户于该网络社交平台已经或拟自行公开的其他个人信息，如工作单位、工作经历、头像等）。此时，因各大网络平台自身软件功能不同，如是否支持用户任意查看功能（即不特定用户均可任意查看其他用户既往发布内容（可能包含个人信息），下称“任意查看功能”），其在公开IP属地上，对个人信息主体权益所产生的风险程度亦将天差地别。

有意思的是，根据某平台最新的《个人信息保护政策》，“单独的搜索关键字信息无法识别您的个人身份，其不属于您的个人信息，因此我们有权以其他的目的对其进行使用….”的认定逻辑，单独的IP属地信息也不应被视为严格意义上的个人信息，体现了平台将结合其他信息可识别特定个人的间接识别性信息纳入非个人信息范畴，从而最大化信息利用的态度。

但需要特别指出的是，我国立法对于个人信息的界定采取“识别（从信息回溯到特定个人）+关联（从个人到信息）”模式。除了上文所提的“识别”中的间接识别（单独不足以识别，结合其他信息可识别特定自然人）情形外，针对“关联”，实践中亦存在模糊之处。“关联”，也就是说，若已知既定个人，知晓关于该特定个人的进一步信息也属于个人信息。

比如，A、B、C三项信息单独均不足以识别特定自然人，“A+B”“A+B+C”均可识别特定自然人，C在识别性上可能没有任何贡献，C是否也属于个人信息范畴？按照“关联”的标准，基于“A+B”已知既定的个人，则跟该个人相关的信息C也属于个人信息，亦应纳入《个人信息保护法》予以保护。不难发现，此种认定可能导致个人信息的外延不断扩大，不利于社会整体层面的信息利用与企业的创新发展，尚有待司法实践的检验。由此可见，IP属地是否构成个人信息，需要结合具体场景，评估其对特定自然人的可识别性所起的作用程度；同时，亦有赖于实践对于“关联”个人信息认定边界的把握尺度。

公开IP地址属地是否属于公开个人信息尚有争议，但有一点应该是明确的，即公开IP地址属地会涉及个人行程轨迹，可能会涉及个人隐私。可是，当网络平台设定了发布公开信息将会显示IP地址属地的规则时，我们应当预见到如果我们发布公开信息，会相应公开自己的行程轨迹，公开个人隐私，此时我们应当思考的是是否要发布公开信息，这是我们的选择。实际上，根据《民法典》第一千零三十三条的列举式规定来看，个人行程轨迹、物理位置也未落入到法律规定的隐私范畴。

第一部分主要说明数据合规管什么，第二部分内容对数据合规审查全过程进行一个梳理。

数据全生命周期，是指数据从产生，经过数据收集、数据传输、数据存储、数据使用（包括计算、分析、可视化等）、数据交换，直至数据销毁等各种生存形态的演变过程。

一、数据收集合规要求

数据收集是收集者获得数据控制权的行为，包括由数据主体主动提供、通过与数据主体交互或记录数据主体的行为等自动收集行为，以及通过共享、购买、收集公开信息等间接方式收集数据等行为。

如果产品或服务的提供者提供工具供个人信息主体使用，提供者不对个人信息进行访问，则不属于数据的收集。比如离线导航软件在终端获取个人信息主体位置信息后，如果不回传至软件提供者，则不属于个人信息主体位置信息的收集。如果产品或服务提供者提供工具，虽然个人信息不会上传至服务器，但是能在本地访问、处理，即享有控制权，则仍然属于收集个人信息。比如说一些app会读取移动设备剪贴板的内容，构成数据收集。

（一）数据收集的主要方式

1.收集者通过与数据主体交互或记录数据主体行为而直接、主动地收集数据，此种方式常见于企业通过 App 采集和 web 端采集收集个人用户的数据，包括个人身份信息、交易信息、财产信息、地理位置信息、健康信息、行踪信息等。

2.数据收集者从公开或半公开的互联网平台收集数据，使用该种方式收集数据主要是通过爬虫技术等方式从公开或半公开的互联网平台收集数据。

3.数据收集者通过与第三方共享、购买的方式收集数据。应当审查第三方对数据是否具有所有权，以及审查第三方收集数据的方式是否合法、合规。

（二）数据收集的基本原则

二、数据传输合规要求

（一）加密传输

做好传输接口管控和监测，并对涉敏数据进行加密传输。

建立数据传输安全管理规范，明确数据传输安全要求，确定需要对数据传输加密的场景。由于加密技术的实现都依赖密钥，所以需要建立密钥管理安全规范，明确密钥生成、分发、存取、更新、备份和销毁的流程和要求。

三、数据存储合规要求

（一）重要数据境内存储

涉及符合关键信息基础设施的企业在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

1.根据相关法律法规规定，企业应当保留网络日志至少 6 个月。

2.企业对于从用户、第三方、公开渠道获得的与用户相关的个人信息、数据进行处理的，应当在事前进行风险评估，并对处理情况进行记录，风险评估报告和处理情况记录应当至少保存三年。

四、数据使用合规要求

1.对被授权访问数据的人员，严格遵循数据处理最小化、必要原则，明确数据的处理和使用规范。对数据进行操作时，应做好去标识化处理，明确数据脱敏的业务场景和统一使用适合的脱敏技术。

2.对数据的重要操作设置内部审批流程，特别是进行批量修改、拷贝、下载等重要操作。

涉及通过界面展示个人信息的（如显示屏幕、纸面），个人信息控制者宜对需展示的个人信息采取去标识化处理等措施，降低个人信息在展示环节的泄露风险。例如，在个人信息展示时，防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。

3.除为实现个人信息主体授权同意的使用目的所必需外，使用个人信息时应消除明确身份指向性，避免精确定位到特定个人。

五、数据共享合规要求

建立数据共享规范，共享前应进行严格的审批并存档，同时开展个人信息安全影响评估。共享前开展风险评估（记录留存 3 年），与共享的接口调用方签订合作协议。

开展共享监测和审计，数据导入导出应进行严格的审批和监控，建立数据交换、共享审核流程和监管平台，以确保数据对于数据共享的所有操作和行为进行日志记录，并对高危行为进行风险识别和管控。

六、数据删除和销毁合规要求

数据销毁包含物理层面和逻辑层面的销毁，按照处理成本、复杂性和安全性由低到高的顺序，将数据销毁方式分为数据覆盖、消磁，以及物理破坏数据及其存储介质等三个级别。

应建立数据销毁机制，明确存储介质删除方法，数据销毁需由企业领导审批，同时采用可靠的技术手段，确保被删除和销毁的用户个人数据不能被再次还原。针对不同的存储介质和设备有其不可逆的销毁技术及流程，建立销毁监察机制，严防数据销毁阶段可能出现的数据泄露问题。

数据合规体系和机制

一、企业数据合规体系

合规组织包括合规责任人与数据合规管理部门。

企业的最高管理者是数据合规的第一责任人。最高管理者应当承担以下职责：1.分配足够和适当的资源来建立、发展、实施、评估、维护和改进数据合规管理体系；2.确保建立举报数据违规的有效机制；3.确保战略和运营目标与履行数据合规义务之间的一致性与平衡性；4.建立和维护问责机制，包括纪律处分和后果；5.确保将数据合规落实情况和效果纳入企业内部人员绩效考核体系。

鼓励各类企业设置专门的数据合规管理部门，或者将数据合规管理职能融入现有的企业合规管理体系。企业应当向数据合规管理部门负责人提供足够的授权、人力、财力以支持数据合规管理体系的运行。

二、合规机制

咨询机制

企业可建立数据合规咨询机制，管理层和各部门员工在工作中可以向数据合规管理部门咨询数据合规问题。数据合规管理部门应当不断学习、提升合规管理水平，也可以同外部机构和专业人士开展数据合规咨询合作。

发现机制

发现机制是数据合规管理部门通过日常监测和定期评估发现数据不合规行为的机制，可以通过设置日常的流程监控、内部审核、重点核查以及定期评等方式发现企业及员工的违规行为，并及时按照合规计划采取相应的处置措施。

数据合规管理部门应定期向合规负责人汇报数据合规管理情况。当发生可能给企业带来重大数据合规风险的违规行为时，应当及时向合规负责人汇报，并提出相应的解决方案。

举报机制

举报机制是员工根据合规计划举报企业内部违规行为的机制，应当允许员工实名或者匿名通过内部举报系统举报数据违规行为，并严格保护实名举报者和匿名举报者不受打击和报复，尤其是保护匿名举报者的个人信息安全。

考核机制

企业应当结合自身情况建立数据合规考核机制，数据合规考核结果作为企业绩效考核的重要依据，与员工的评优评先、职务任免、职务晋升以及薪酬待遇等挂钩。

对于严格遵守数据合规的管理层和员工，制定适当的激励措施使合规计划得到一致遵守和执行。对于不严格执行甚至违反合规计划的管理层和员工，采取适当的纪律措施进行惩戒，并根据违规程度采取不同的风险处置措施。

培训机制

数据合规管理部门应当建立培训机制，定期为管理层、员工培训数据合规，使其充分了解数据法规、数据合规计划、岗位角色与职责等。

鼓励企业管理层和其他员工作出并履行明确、公开的数据合规承诺，内容主要是知悉、愿意遵守数据合规计划，愿意承担违反数据合规承诺的后果。

数据合规违法典型案例

案例往往是证明一项合规内容存在风险的最有力的依据，代表了监管最重视以及整改优先级最高的合规问题。

一、个人信息保护政策应当征求用户明示同意

于2018年初的年度账单事件引发全民关注。案件基本情况是：在账单首页有一行特别小的文字“我同意《xxx服务协议》”，并默认勾选了“同意”。

因为该字体很小且不需要用户主动作出任何表示动作，所以用户基本不会注意到该协议，在不知情的情况下“同意”了该协议的内容，也视为“同意”公司收集、使用用户的个人信息。这种默认同意的行为从极大程度上损害了用户的合法权益，也与法律法规规定的立法主旨相背驰。国家互联网信息办公室网络安全协调局约谈了违规公司的有关负责人，明确指出其收集、使用个人信息的方式不符合发布的《信息安全技术个人信息安全规范》（GB/T35273-2020）国家标准的精神，要求其严格按照《网络安全法》的要求，加强对支付平台的全面排查，进行专项整顿，切实采取有效措施，防止类似事件再次发生。

二、应当合法合规地进行数据流动和交易

也是在2018年，山东破获一起特大侵犯公民个人信息案，涉案的大数据行业知名企业“数据堂”在8个月时间内侵害数百亿条公民个人信息，主要的方式为将其传输至黑市进行非法交易，导致该公司不得不进行停牌整改，并承担刑责。公司主要通过自营众包平台、公共领域共享，以及网络爬虫爬取等多种数据获取方式，积累各行业大规模的数据集。

根据资料显示，数据堂官网数据商城的数据品种包罗万象。如车辆标注图像数据、车牌图像数据、超市监控视频数据等，不同数据种类标价也不一样。如亚洲明星人脸图像数据，包括1万名亚洲明星的人脸数据，每人采集30张，图片库规模30万。1000人的售价是1.5万元，3000人的售价是3.6万元。

这个案件可以解释为间接收集数据合规性的问题。公司主要是通过toB的场景而不是直接的toC场景进行个人信息收集，会从一些合作的运营商或者其他第三方处获得数据，在获得这些数据后，对此类数据进行相应的清洗或者进行一定的加工处理，然后用于倒卖或者广告精准投放等。在这种情况下，公司若没有审查该数据来源的合法性，也没有核实用户授权给公司处理信息的范围，自行把这类信息提供给第三方，则可能会违反《中华人民共和国刑法》规定。

这个案例的启示是，在获取任何数据前，都应履行尽职调查职责，确保所获取的数据合法合规，主要的措施有：审查个人信息提供方的主体资质及个人信息来源；内部评估该提供方的业务场景是否可能获得所共享的数据；要求第三方提供用户授权凭证等，并予以记录，避免触及法律红线。

数据合规的未来

两会作为政治、经济、社会走势的风向标，与会委员们作出的提案贴近时代大势，与时俱进，具有重要的参考价值。经过对提案的梳理，我国数字经济发展和企业数据合规治理趋势可以分为“数据要素市场建设”“数字产业发展”“网络和数据安全合规治理”三个层面。

一、提案梳理

与“数据要素市场建设”相关的提案主要聚焦于如何促进数据要素合法流转并确保各方合理权益得以公平实现。一方面，我国诸多企业试图通过多渠道获取各类外部数据的诉求越来越强，并期望通过内外部数据的汇聚融合来解决市场分析、产品定位等业务问题；另一方面，我国数据要素市场的基础设施尚不完备、外部监督与评价标准尚不健全，难以回应企业诉求。

关于数据要素流通供给与需求间的不平衡、不匹配问题，目前理论和实践上尚未有成熟的解决方案，因此相关探索于今后势在必行且任重道远。

围绕“数字产业发展”，传统行业数字化转型与智能网联汽车产业是委员代表们重点关注的领域，除此之外，金融数据合规治理、知识数据库建设、数据存储产业发展、数字藏品开发、智慧养老、软件运营服务等也被提出讨论。

一方面，实体经济才是我国构筑今后发展战略优势的重要支撑以及在国际经济竞争中赢得主动的重要根基，数字化是手段而非目的，数字化根本上是要为企业核心竞争力的构建与可持续发展服务的，因此相关从业者需着眼于优化解决工业制造业数字化中的痛点、难点问题，为这一过程保驾护航、规制风险，才能更好地开拓数字服务市场。

另一方面，金融数据、智能网联汽车数据等与国家安全、社会稳定和个人权益保护紧密相关，建立健全相关法律法规以及完善配套合规标准、监管机制已迫在眉睫，落实相关企业数据安全第一责任不容小觑。

在“网络及数据安全合规治理”方面，委员代表们则更多聚焦时事新闻、社会热点如近期多起网络暴力恶性事件、数据泄露事件、网络攻击和ChatGPT等，力图以个案作切口，以小见大提出治理建议和常态化防控措施。

强大的网络安全能力、良好的网络生态环境不仅是保障数字经济发展、促进数据价值释放的基石，更是维护国家安全、社会稳定的根本，因此按照《网络安全法》等严格落实网络安全义务，是相关企业抢滩数字经济“新蓝海”的重要基础。保障数据安全、保护个人信息权益特别是未成年人个人信息权益，是数据合法开发利用，个人信息合理使用的基本前提，因此按照《数据安全法》《个人信息保护法》等落实企业数据安全、个人信息保护义务，是其积累数据资产、发挥数据价值的必经之路。

二、未来趋势

我们认为相关企业在数据治理、应用方面应当着重把握以下几点：

近期中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》《数字中国建设整体布局规划》的相继出台，以及国家数据局的成立等均释放了重要政治信号，值得相关企业持续跟踪关注。

2022年我国网信、公安、文旅、工信等部门及法院、检察院已通过专项行动、消费警示、约谈经营者和公益诉讼等多种方式，通过“净网行动”“清朗行动”、APP安全认证、国家网络安全宣传周等行动与活动，严厉打击了各种侵害个人信息权益的违法行为，整治了围绕个人信息形成的黑灰色产业链，为营造良好稳定的网络和社会环境作出了贡献。随着《个人信息保护法》《网络安全法》《数据安全法》和《民法典》等法律的深入实施，我国的网络社会和数字经济法治体系必将在实践中不断发展和完善，应当引起各企业的高度重视。

从提升数据安全技术应用水平，健全企业内部数据合规风控体系等多方面入手，加强自律自治，创造经济价值的同时积极履行社会责任；发挥互联网企业的“重要节点”功能，尽到数据安全保护义务，构建个人信息权益“防火墙”，提供洁净安全的网络消费和舆论环境；提倡相关行业协会尽早制定行业规范，实现源头治理，共同构建网络与数据安全保护的社会共治体系。