是“石油”还是梦魇 先看大数据是否合规
数字经济高速发展的当前,“大数据缔造大公司”理论正在遭受挑战,“数据石油”似乎正在变成“数据梦魇”。人工智能、大数据企业如何规范获取数据,合规地存储和使用数据,需要公司法务和管理者认真考量。
在日前举办的新时期人工智能企业应当如何应对愈发严格的数据监管讨论活动上,中央民族大学副教授熊文聪表示,大数据就像产业革命中的蒸汽机、石油,与算法共同对互联网企业起着至关重要的作用。二者通过人工智能联系起来,通过算法的运用来收集、处理和使用数据,产生社会所需产品和服务。以目前我国的法律框架来看,互联网企业开发涉及数据、算法业务需要重点关注:隐私权与个人信息保护、数据安全与网络安全;《反垄断法》的规制;《反不正当竞争法》、《著作权法》等。
TalkingData法务总监兼数据合规官葛梦莹表示,以我国的数据与网络安全、个人信息保护的“三大法”来看,我国立法是有特点的。法律规定多是方向性指引、原则规定,而企业的运用过程中具体执行更多是依靠国家标准,包括如何匿名化、去标识化、个人信息影响评估、隐私政策等,支撑着数据与网络安全法、个人信息保护法,帮助其落实。
在高沃律师事务所律师、专利代理师陈建民看来,数据是所有的业务、产品、服务的基础,数据合规问题越来越尖锐。特别在海外公司基于其产品定性、购买层级和区域分布需要我国境内数据的情况下,要分析能否收集、收集是否必要、如何去标识化、能否存储、能否输出、如何输出、采取何种保密措施等问题,如何方能不触犯我国法律。虽然我国的立法还存在一定的原则性特征,但是标准是具体且先行的。所以企业除了重视宏观法律之外,更要注意具体标准,能够过滤和防范必要性、泄露和非物理安全性等风险。
企业该如何搭建数据合规体系?葛梦莹认为,数据公司的合规体系搭建较为特殊,且内容必须全面。从搭建步骤顺序上看,应当先搭建架构,梳理数据的全生命周期,根据架构和数据生命周期设计制度。从搭建主体上看,合规部门应当与管理层、业务部、IT部门等部门达成协同,对企业内部人员进行培训、宣导。从合规的发展来看,当企业新产品和业务模式出现时,数据合规体系需要随之迭代,保持合规的先进性。从体系的内容上看,难点在于划分主次。例如在跨境业务中,如果把问题聚焦于“公司与海外邮件来往是否属于数据跨境”,那么显然是未抓取到业务的核心问题。应当先行询问业务涉及数据跨境,有哪些数据是跨境数据的主体部分,划分优先级,抓大放小。在执行上,着重强调管理层的作用,使得合规任务由上及下推进。
葛梦莹谈到,对于企业来说,规范是否合理可能是更深层次的问题,但现在最突出的问题是,许多压力来自于法规之上。例如某事件触发了舆论,而在项目的招投标中,招标单位往往会考察企业的合规制度体系建设情况、历史沿革情况,是否会因曾经出现问题而吸引执法者关注。或者客户单位聘请第三方对自己进行安全审查,要求往往在立法之上。所以企业面临的不仅是法律规则,还需要及时学习案例来了解行业实践,了解各部门的监管尺度。在能够合规的情况下,如果把握企业发展空间和监管尺度的平衡,是企业合规难点。
熊文聪认为,舆论压力其实仍然是因法律而起,媒体报道了相关事件,会挑起公众的敏感神经,原本寻常的法律争议问题可能被妖魔化,陷入非理性的、饱含偏见的漩涡。对此,企业应当积极应对,将讨论重新拉回到理性的、专业的层面。可以举办学术会议,让法律专家和技术专家共同讨论,以开放的态度,听取不同的声音,为企业争取更大的发展空间。
中伦律师事务所顾问贾申认为,企业数据合规面临监管、舆论、商业伙伴和领导四重压力,压力主要体现在企业上市过程和举报事件后的舆论发酵等。建议企业聘请外部第三方模拟对企业数据合规的监管调查,企业应当自查是否能够举证、完成自查报告、整改报告,通过模拟和演练,提高应对调查的能力。
“目前数据合规面临的最大风险是爬虫,即数据来源的合规性,一旦实施爬虫行为就可能面临民事责任甚至刑事责任。虽然现今有合规不起诉制度防止企业承担过大的风险,但是仍然建议对数据来源保持高度谨慎态度。”贾申表示。