数据合规的定义

什么是数据相关活动？包括但不限于对于数据收集、存储、使用、处理、共享、转让、跨境或非跨境传输、流动、保护的行为。

数据合规并非凭空产生的概念，数据合规需求的产生，伴随着的是我国信息化建设的旅程。从政策角度来看，可以追溯到2000年初的十五计划，当时就确定要结合信息技术对各产业进行升级。

后续一二十年中，陆续制定了一些政策与法律，比如12年发布的《全国人大常委会关于加强网络信息保护的决定》。但这个概念的兴起，是在党的十八大习近平总书记提出“数字中国”，制定了中国国家信息化的发展战略之后。数字建设，是中华民族伟大复兴的重要内容，也是全面建设社会主义现代化强国的重要途径。

数据合规相关立法活动

我国坚持依法治国、依法执政、依法行政共同推进，法治国家、法治政府、法治社会一体建设。所以政策的实践与落实，要回归到现有的法律规章之中。前面已经提及了数据合规领域的三驾马车，《网络安全法》《数据安全法》《个人信息保护法》。

2017年6月，《中华人民共和国网络安全法》实施。作为我国第一部全面规范网络空间安全管理方面问题的基础性法律，网安法最重要的一点是明确了网络空间主权的原则，为有关职能部门监督管理境内网络及网络安全的权力基础指明了依据。在具体职能上，网安法侧重于“网络安全”，重点保护关键信息基础设施，保护网络秩序，同时也涉及到了一些个人信息保护，数据保护的内容。

2021年9月，《中华人民共和国数据安全法》实施。作为我国数据安全领域内的“基础性法律”和我国国家安全领域内的“重要法律”，数安法积极回应了时下国内外数据竞争和保护的关键问题，给企业数据经营合规以及进一步的数据资产化治理与发展提供指引。在国安法中，针对网络运营者给予了种种限制。但在数安法中，跳脱出此前“限定约束主体”的立法思维，表现出行为约束法的特点，凡是符合数据处理活动的主体均需要满足或者履行数据安全义务，使得人们在解释和适用规则时不必拘泥于适用主体范围的划定，而专注于数据处理活动本身的安全、可靠性。数安法以《数据分类分级保护制度》为核心搭建了数据生命全周期的安全监管制度，并承认了数据的财产属性，推动建立健全数据交易制度和数据市场，并提出以“安全开放”为目标建设政务数据体系，推动政务数据的有偿无偿开放，以消除实践中普遍存在的数据孤岛。这一部分已经在落实了，但还不是特别的规范，像省级的有山东省数据公开网，济宁市有大数据中心负责的济宁市数据公开网，不过现在公开的数据还比较杂乱，需要进一步的合规，从安全和价值两方面找到一个合适的平衡点。

2021年11月，《中华人民共和国个人信息保护法》实施，作为宪法中关于“国家尊重和保障人权，公民的人格尊严不受侵犯，公民的通信自由和通信秘密受法律保护”之意旨的具体落实。随着个保法的落地，中国缺少专门的个人信息保护立法的局面将就此终结，迎来个人信息保护及企业合规的新纪元。虽然有数安法珠玉在前，但是数据也并不都是重要的，比如这周的气温变化，某个网站的浏览点击量，这种数据就属于随便公开也无所谓的。但个人信息总是属于比较重要的那一类，所以个保法也能算是数安法的特别法。数安法以宏观治理为主，而个保法着眼于个人信息的实际应用，大篇幅确定了个人信息处理的基本规则，赋予了个人信息主体十大法定权利，明确了个人信息处理者的责任和义务，以规定在跨境传输个人信息的安全问题。作为三驾马车中最晚出台的个保法，对律师来说，反而是最有价值的法律，因为它对数据安全工作的细化是最明确的，实操性也是最强的。

那么在三大法律之外，还有一些部门法为配合数据合规领域的需要，进行了专项的修改和增添，比如《反垄断法》《行政处罚法》《未成年人保护法》网络保护篇、《民法典》《密码法》《基本医疗卫生与健康促进法》《国家情报法》《电子签名法》《电子商务法》《刑法》《保守国家秘密法》《反电信网络诈骗法》《反不正当竞争法》等等。

在法律搭建了网络空间监管的框架后，配套发布了一系列的部门规章、部门规范性文件，比如《网络安全审查办法》《互联网信息服务算法推荐管理规定》《未成年人网络保护条例》《数据出境安全评估办法》，以及更多的标准/指南性文件，比如《信息安全技术移动智能终端的移动互联网应用程序（App）个人信息处理活动管理指南》《信息安全技术 网络数据分类分级要求（征求意见稿）》等等。

从立法活动来看，数据合规是一项全社会全方面整体的合规，必然会涵盖社会的方方面面。各项规章制度种类繁多，但本质上都是对三大法律的具体细化和落实。这里也能看出来，数据合规是一项自上而下的，政策早于法律，法律早于实践的秩序建设，所以对于法律人而言，机会很多，未来也很开阔。

监管执法实践情况

前面提到，数据合规在实践上具有滞后性，所以虽然各行各业，各级政府出了很多制度或者草案，但还都没有到具体执行的阶段。现在绝大多数专项治理和行政处罚工作还是依据的三大法本身的条款，工作重心更多是在个人信息问题频发的APP领域。

2019年1月，中央网信办、工业和信息化部、公安部、市场监管总局四部委联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》，拉开了我国APP违法违规侵害用户权益专项整治活动的序幕。在实施过程中，各个部委单独办案，2022年，因处理个人信息违法问题，工信部、国家网信办、公安部累计通报630款APP（含SDK），其中工信部通报340款，国家网信办通报135款，公安部通报171款。而这些违法违规原因，基本上都是依据的个人信息保护法的相关条款。在整顿的过程中，体现出了合规，但不完全合规的状态。在这些APP野蛮生长的年代，有注册条款，但不一定有隐私条款。后续是即便有了隐私条款，也是默认勾选的一个状态。在个保法明确了“告知-同意”规则后，现在所有APP基本上都是需要你去点击勾选，或者从头拉到尾看完一遍才允许勾选的一个状态，在对通报的APP违法违规原因统计后，”收集个人信息明示、告知不到位”的现象已经基本解决了。说这些企业合规，但没完全合规，甚至因此被通报处罚，是因为他们违反了个保法第五条所确定的另一个原则，必要原则。就互联网企业而言，其在收集个人信息时，所收集的个人信息必须是实现其产品或服务基本业务功能所必需的，即如果不收集这些个人信息，那么产品或服务的基本业务功能就无法实现。也就是说，如果不需要收集任何个人信息或者收集少数的一些个人信息，也完全可以实现基本业务功能的，处理者就不能收集或者不能多收集个人信息。否则，处理者的行为就是违法的。整顿之前，所有APP都想要你的通讯录权限，甚至一个计算器应用都想看看你的联系人都有谁。像APP强制、频繁、过度索权；强制用户使用定向推送功能；超范围收集个人信息等，都是违反了必要原则的情况。

除了中央部委的集中治理外，地方上也陆续开展了数据安全治理工作。案件处理还出于探索阶段，基本上是照着法条找违法行为，没有披露出太多的争议焦点，值得一提的是执法主体的问题。在实践中，也是出现了九龙治水的景象，个保法、网安法都规定了很多执法主体，但是在实践中主要是以公安机关和市场监管部门为主，偶尔有其他的有权主体进行执法。

这类架构，一方面是职能重叠，所有部门都可以积极执法。但也有可能导致互相推诿，不能明确具体的职能主体。但在国家数据局成立后，或许执法权会移交到数据局。

《数安法》虽然赋予了数据安全监管执行权，但极少出现直接依据该法做出的行政处罚。值得一提的是去年10月，某科技公司在处理政务类数据时违规操作，且未采取相应的技术措施和其他必要措施保障数据安全，导致数据存在泄露风险，上海网信办依据数据安全法对于某科技公司作出五万元的行政处罚。

司法裁判数据统计

2022年民事案由为“个人信息保护纠纷”，或刑事案由为“侵犯公民个人信息罪”“出售、非法提供公民个人信息罪”“非法获取公民个人信息罪”的一审、二审及再审程序案件，一共是302个相关司法案例。刑事案件237件，民事案件65件，比例悬殊，基本上是以刑事案件为主。

民事案件的65件中，还有近半的案件最终以原告撤诉告终，获得一审法院支持的仅有12件。通过民事司法裁判固然可以规范个人信息处理活动，推进网络空间治理法治化。在司法实践中还是能说明，是对于数据合规领域而言，主要还是以行政手段规制为主，走民事诉讼途径并不符合一般用户的利益需求。