报告发布 |《复旦-炜衡数据安全联合报告》

复旦-炜衡数据安全联合报告

江天骄 姚旭 主编

复旦发展研究院

复旦大学网络空间国际治理研究基地

北京炜衡（上海）律师事务所

 序

2021年春季学期，复旦发展研究院以通识教育选修课的形式向复旦全校本科生开设了咨政实践类课程。数据安全及其治理问题是《政策调研与写作》课程中的模块之一，主要聚焦当前国家和社会治理中极为关注的数据安全管理与个人隐私数据保护问题。参与讨论和调研的学生来自新闻、政治学、俄语、材料化学、大气科学、智能科学与技术等不同专业方向，具有多学科的视野。除了课堂理论学习和研讨之外，研究小组还来到上海极链网络科技有限公司、北京炜衡(上海)律师事务所等实践基地展开调研，深入了解一线行业和专业人士对相关问题的看法。

经过一学期的理论学习和实践调研，学生们围绕数据安全标准制定、数据保护管制度、中小企业数据管理、汽车数据存储以及青少年个人数据保护等问题撰写了咨政报告，发现了当前数据安全治理在各个环节面临的实际问题和管理难点，并试图提出能够落地的解决办法。在此基础上，北京炜衡(上海)律师事务所的高级合伙人金代文律师、赵越律师助理等为相关报告撰写了点评意见，并从企业合规的角度专门撰文探析数据权益概念及边界问题，为深入开展后续研究工作提供了更加开阔的视角。在复旦发展研究院以及北京炜衡(上海)律师事务所的大力支持下，本报告得以公开发布。双方一致认为，数据安全是今后很长一段时间内国家和社会治理面临的持续性挑战。鼓励青年人更多地关注和参与数据安全治理议题，开拓更多产学研相结合的治理模式，本身就是对提升全民数据保护意识，优化数据安全环境的一种尝试。

复旦发展研究院金砖国家研究中心

主任助理 江天骄

构建数据管理团体标准，筑起数据问题“自卫墙”

随着互联网数字经济在我国的蓬勃发展，数据的全生命周期管理及数据权益保护越来越成为制度与规范性建设的关注重点。然而面对数字经济发展的新形势和新问题，往往存在立法滞后，立法空白，法条表述清晰度有限，无对应标准等困境。从企业的视角出发，面对这样的现状，企业往往难以明确自己的合规性发展方向，这严重影响了经营活动。由此，笔者建议鼓励、帮助行业协会、企业联盟等社会团体发挥自身能动性，出台有实际约束力的团体标准，作为对国家现行法律的有效补充，行业内部的行为准绳，司法活动的依据，构建起民间的数据安全“自卫墙”。

外包关系中的数据安全

随着大数据时代的到来以及数字化经济的飞快发展，数据安全问题近年为各大企业所重视。然而企业在致力于建设数据保护制度与加强技术能力的同时，习以为常的外包合作却极有可能成为企业数据安全防护的短板。外包公司的数据保护制度与能力不一定与大企业匹配，随着外包、转包的业务运作，外包人员能够轻易地在“层层外包”的复杂关系与海量数据往来的“掩护”之下，进行数据的非法获取出售并从中牟利，造成用户隐私信息与企业商业机密的泄露。

即便国家与行业针对数据泄露有着严格的规定，难监管难溯源的特征让法律意识薄弱的外包人员抱着侥幸心理做出违法行径，解决问题应从根源上规范数据的提供调取。除了从宏观法律与监管角度要进一步加大数据违法处理的处罚力度、细化涉及合作的各方主体责任、提升监管机构职能之外，头部企业应当担好“守门人”角色，对数据进行安全级别划分、建立完善的权限制度，严格审查外包公司资质、签订数据保密条款，利用技术与管理能力做好数据提供的规范，外包公司也应加强内部治理，培训数据安全与法律内容，提升企业技术等。此外，行业协会也应在其中发挥其职能，做好普法工作，整合法律法规，形成系统化规范。

好风凭借力，完善数据保护官制度

2021年，数据保护官制度的相关概念频繁出现于大众视野。《中华人民共和国个人信息保护法（草案二次审议稿）》（以下简称《个保法》）和《中华人民共和国数据安全法》（以下简称《数据安全法》）接连公布，明确设立个人信息保护负责人或数据安全负责人的必要性；5月13日《广东省首席数据官制度试点工作方案》引发数据保护官制度在全国范围内都具有的示范引领意义。数据保护官制度在我国立法和试点的土壤中得到滋养，不断完善和发展。

然而由于我国数据保护官制度起步较晚，法律制度、监管部门和资质认证体系尚未完善，因此在制度落实、责任平衡、专业人才供给方面出现了一些问题。对此，本报告从现存问题入手，通过解释背后原因，从完善相关立法、建立专门部门、完善认证体系、建立行业协会四个方面提出建议，为完善数据保护官制度献言献策。希望数据保护官制度这道“好风”能够借力而行，在我国的数据安全保护体系中发挥它的重要功能。

特别声明，本报告中的数据保护官制度分为企业和政府两个主体，其中企业为主体的数据保护官职称是“个人信息保护负责人”，政府为主体的数据保护官职称是“首席数据官”。

汽车数据本地化存储的相关法律法规中

存在的问题及对策建议

近年来，我国智能网联汽车行业快速发展，汽车采集的个人信息和重要数据不断积累增加，而跨国车企却仍将大量的数据保存在境外的服务器内，导致我国的数据安全面临一定的威胁。为维护国家安全和公民利益，数据本地化存储合规提上了日程。但对于数据本地化存储而言，存好数据并非一劳永逸。数据要存好，也要管好。而针对汽车数据本地化存储，我国的相关立法仍处于起步阶段，许多方面亟待完善。本报告以“平衡数据安全和产业发展”为核心思想，分析了汽车数据本地化存储的相关法律法规中存在的若干重要问题，并就法律不完备、数据本地化存储的内生性问题，从法律亟待完善的几个方面，以及法律尚未完善时可以采取的应急策略，提出了相应的对策建议。

对于中小企业内个人信息存储安全治理的优化——政府推广网络安全保险的可行性与建议

互联网时代，每个人的数据都在时刻被各种平台、企业、机构所收集、分析、储存。相较大企业，中小企业缺乏有力保护用户个人信息存储安全的财力与人力，又因数据泄露成本低而对个人信息保护不重视。近来随着以《数据安全法》为代表的国家数据安全治理体系的出台，许多针对企业个人信息保护的遗留问题得到解决，但是对于中小企业，“政府监管难”的问题仍未解决，又新产生了“企业负担大”的问题。在此背景下，如果将网络安全保险作为组合拳一并推广，对于这两个问题的解决有所帮助。

为“少年的你”撑好个人信息保护伞

随着未成年人互联网普及率不断攀升，未成年人个人信息保护问题逐渐凸显。从营销电话骚扰、垃圾短信到电信诈骗甚至网友性侵，未成年人个人信息泄露问题逐渐成为非法侵害的前置风险，未成年人个人信息保护迫在眉睫。近年来，我国对未成年人个人信息保护的关注与保护力度明显提升，出台了一系列法律法规，但大多为原则性、框架性规定，在未成年人信息自觉年龄界限、未成年人身份识别机制、监护人同意机制等具体规则方面仍存在不足。建议采取法律法规强要求与行业自律相结合的方式完善相关机制，将未成年人个人信息保护落到实处。

行政监管为主，公益诉讼为辅，筑牢个人信息安全防线

互联网领域的迅速发展伴随着个人信息安全问题频出，为个体权益、城市治理、社会稳定、国家安全形成威胁。尽管针对个人信息的立法不断推进，但由于个人信息案件具有专业性高、溯源困难、涉及商业机密的复杂性，行政监管具有专职部门缺失、管辖范围过宽、脱离一线用户的局限性，立法保护具有碎片化严重、覆盖面不广、责任认定模糊的局限性，司法救济由于案件特性和私益诉讼机制特性具有局限性，种种因素对个人信息保护形成阻碍。因此，笔者建议：以行政监管为主，即设置个人信息保护行政监管专职部门；以公益诉讼为辅，即从专家辅助人制度、惩罚性赔偿规则、专项赔偿基金三个方面改革现有公益诉讼制度；将行政监管和公益诉讼有机结合，筑牢个人信息保护防线。

数据权益探析及企业合规应对

数据以内容产生的不同，可以分为原生数据和衍生数据；站在数据场景的角度，与数据有关的主体又可以分为数据主体、数据控制者和数据处理者。在具体的商业场景中，由于数据采集者、处理者、运营者、交易者等多个主体混杂在各个交易流程中，背后隐藏着多种商业诉求，很容易发生争议。结合本所为企业提供数据合规相关法律服务的经验，我们在商业模式的背景下，浅析不同主体对数据享有的权益及各主体间的数据权益边界，以为企业提供些许强监管态势下数据合规之参考。

扫描左侧二维码/点击文末“阅读原文”/复制以下链接至浏览器可获取报告全文。

https://fddi.fudan.edu.cn/5d/06/c19047a417030/page.htm

排版 | 刘宣

往期回顾