《复旦-炜衡数据安全联合报告》-68正式版

2021NO.9(总第45期）复旦-炜衡数据安全联合报告复旦发展研究院复旦大学网络空间国际治理研究基地北京炜衡（上海）律师事务所复旦-炜衡数据安全联合报告江天骄姚旭主编复旦发展研究院复旦大学网络空间国际治理研究基地北京炜衡（上海）律师事务所2021年10月18日课题团队成员顾问：沈 逸 复旦发展研究院教授复旦大学网络空间国际治理研究基地主任顾 靖 北京炜衡（上海）律师事务所高级合伙人成员：江天骄复旦发展研究院金砖国家研究中心主任助理姚旭复旦发展研究院青年副研究员王 蕾 复旦发展研究院博士后陆滨复旦大学网络空间国际治理研究基地科研助理金代文北京炜衡（上海）律师事务所高级合伙人赵越北京炜衡（上海）律师事务所律师助理序一2021年春季学期，复旦发展研究院以通识教育选修课的形式向复旦全校本科生开设了咨政实践类课程。数据安全及其治理问题是《政策调研与写作》课程中的模块之一，主要聚焦当前国家和社会治理中极为关注的数据安全管理与个人隐私数据保护问题。参与讨论和调研的学生来自新闻、政治学、俄语、材料化学、大气科学、智能科学与技术等不同专业方向，具有多学科的视野。除了课堂理论学习和研讨之外，研究小组还来到上海极链网络科技有限公司、北京炜衡(上海)律师事务所等实践基地展开调研，深入了解一线行业和专业人士对相关问题的看法。经过一学期的理论学习和实践调研，学生们围绕数据安全标准制定、数据保护管制度、中小企业数据管理、汽车数据存储以及青少年个人数据保护等问题撰写了咨政报告，发现了当前数据安全治理在各个环节面临的实际问题和管理难点，并试图提出能够落地的解决办法。在此基础上，北京炜衡(上海)律师事务所的高级合伙人金代文律师、赵越律师助理等为相关报告撰写了点评意见，并从企业合规的角度专门撰文探析数据权益概念及边界问题，为深入开展后续研究工作提供了更加开阔的视角。在复旦发展研究院以及北京炜衡(上海)律师事务所的大力支持下，本报告得以公开发布。双方一致认为，数据安全是今后很长一段时间内国家和社会治理面临的持续性挑战。鼓励青年人更多地关注和参与数据安全治理议题，开拓更多产学研相结合的治理模式，本身就是对提升全民数据保护意识，优化数据安全环境的一种尝试。复旦发展研究院金砖国家研究中心主任助理江天骄序二近年来，大数据、云计算、人工智能等新技术方兴未艾，不断刷新社会治理路径，使人们对新技术带来的社会新形态充满期待。但在数字技术飞速发展的过程中，数据流动带来问题开始呈井喷状态，数据安全事件层出不穷，在各层面产生冲击和挑战。数据安全问题严重挑战国家与社会治理秩序,也严重损害个人基本权利。希拉里竞选总统时的“邮件门”、Facebook剑桥分析事件、马克龙竞选团队遭到黑客入侵等数据安全大案，都在某种程度上影响了国家政治安全。美国最大燃油管道公司遭网络攻击停摆多日，直接使多州进入紧急状态，因其每天输送250万桶燃油产品、占美国东海岸供应量的45%；臭名昭著的勒索软件WannaCry感染事件使全球100多个国家的各要害行业均遭受不同程度的影响。与此同时，联合国超10万名员工的个人信息遭到泄露，京东内部员工涉嫌窃取50亿条用户数据，电信诈骗屡禁不止、“徐玉玉”案令人痛心不已。凡此种种都切实威胁个人隐私这一基本权利。为应对愈演愈烈的数据贩卖、窃取、垄断、泄露问题，全球范围内各国都在进行规制重构，我国也在数据安全治理领域持续发力。近年来，我国着力构建网络与数据安全顶层架构，在实践中形成相关部委的协调合作机制。在国家层面，随着《网络安全法》《数据安全法》《个人信息保护法》相继出台，一个较为清晰的规制架构已经形成，一方面逐渐形成数据安全至关重要的社会共识，一方面形成监管方与被监管方的良性互动机制；在地方层面，上海、深圳等地迈开步子探索数据开放、数据确权与数据保护的前沿边界，并形成一系列地方政策文件，开始了新一轮的探索。维护数据安全需要自上而下、上下融通的创新型监管机制，而“监管”的重点在“监”、上策在预防，需要具备迅速迭代进化能力的数据安全监察机制。为了达到这一目标，政府与企业必须进一步形成合力，打造适应技术与时代发展的数据安全监管新范式。复旦发展研究院青年副研究员姚旭2序三在数字时代，数据已经被列为土地、劳动力、资本、技术并列的五大生产要素之一。为应对时代发展之需，近段时间，国家、政府及行业层面密集颁布了数据安全领域相关的法律、法规、部门规章、行业规范等，对数据的采集、存储、使用、保护等方面进行严格规制，防止数据不当使用和泄漏所产生的系统性风险。面对数字时代安全建设的新需求，无论是政府、组织、企业及个人都面临着全新的考验。复旦发展研究院作为国家级智库，始终密切关注和研究数据领域相关法律法规等给政府、企业、个人带来的各种影响，已经结下丰硕成果。此次复旦发展研究院召集跨学科、跨专业的复旦学子组成数据安全和保护研究小组，对目前普遍存在的数据安全和保护所产生的社会现象进行学习和研究，并走访相关数据运营企业，了解该类企业面临的问题和需求，从各角度撰写了质量较高的调研报告，提出问题和建议，对我国将来完善该领域立法具有一定参考作用。北京炜衡（上海）律师事务所作为上海一家规模化综合性律所，已经积累了为互联网公司和其他企业提供数据安全相关法律服务的实务经验。此次应复旦发展研究院邀请，就数字安全这一课题在立法、司法领域面临的一些问题与复旦同学们进行了深入研讨，对同学们撰写的调研报告进行了评议，并提出了中肯的建议。相信本次产学研领域展开的务实合作，将发挥各自的专业优势，共同致力于全面守护数字经济的高质量发展。北京炜衡（上海）律师事务所高级合伙人顾靖3目录1. 构建数据管理团体标准，筑起数据问题“自卫墙” 12. 外包关系中的数据安全 93. 好风凭借力，完善数据保护官制度 164. 汽车数据本地化存储的相关法律法规中存在的问题及对策建议 225. 对于中小企业内个人信息存储安全治理的优化 296. 为“少年的你”撑好个人信息保护伞 357. 行政监管为主，公益诉讼为辅，筑牢个人信息安全防线 408. 数据权益探析及企业合规应对 464构建数据管理团体标准，筑起数据问题“自卫墙”李卓航一、引言随着互联网数字经济在我国的蓬勃发展，数据的全生命周期管理及数据权益保护越来越成为制度与规范性建设的关注重点。然而面对数字经济发展的新形势和新问题，往往存在立法滞后，立法空白，法条表述清晰度有限，无对应标准等困境。从企业的视角出发，面对这样的现状，企业往往难以明确自己的合规性发展方向，这严重影响了经营活动。由此，笔者建议鼓励、帮助行业协会、企业联盟等社会团体发挥自身能动性，出台有实际约束力的团体标准，作为对国家现行法律的有效补充，行业内部的行为准绳，司法活动的依据，构建起民间的数据安全“自卫墙”。二、企业的主要困境：合规性问题作为方兴未艾的高新产业，数字经济行业的变化与法律完善、行业自身发展乃至普罗大众的生活都密切相关。在这一过程中，行业自身的动作发挥着主体性作用。每一个微观企业的决定共同构成了行业的发展方向。一方面，企业的决策依赖于他们基本经营活动收益的计算；另一方面，企业的决策同样也是他们对自身合规性与伦理考量的结果。行业的合规性建设是本报告关注的主要问题。（一）企业合规意识有限，对于数据权益认识不足在调研中，笔者发现数据企业对于数据规范和数据权益的认识往往有限。具体而言，这一问题表现在以下方面：前期法律唯后果导向的司法模式，塑造了企业的思维惯性。在《个人信息保护法》《数据安全法》等体系化法律尚未出台之前，我国数据相关案件审判具有以结果论定法律责任的特征；而在行业发展初期，行业内部共识尚未有效凝聚时，兜底法律是唯一的合规参考。在这种情况下，行业内部普遍形成了“数据泄露乃至适当跨越个人信息的边界本身也不是问题，问题是是否造成了1实质性后果与危害”的想法。这显然与我们不断推进数据确权的法律发展方向不符合，在实际操作中，这种贪图省力的思维惰性也可能会对企业自身造成危害。例如最近引起争议的杭州魔蝎爬虫案，公司非法存储虽未造成直接损失，但仍然受到严惩，对企业自身发展也造成了重创。当下对数据权益的认识不敏感，对数据的全周期与产业链价值估计失当。部分企业对数据价值的评估纯粹出于自身企业内部商业利用价值的考虑，既没有从用户的视角出发，也没有认清数据在产业链流动中产生的价值。仍然以上文所述的杭州魔蝎案为例，在用户数据的层面上，公司应当注意到这些数据即使没有被本公司二次利用的可能，仍然侵犯了用户在数据上享有的知情权与决定权；在产业链的层面上，公司应该意识到自己的数据是否存在在上下游中的潜在价值，例如是否会成为潜在的“套路贷”犯罪的一环，进而重估自己手中数据的价值。（二）法律的清晰和完善度有限，企业缺乏有效合规指导除去企业自身的意识缺乏，法律标准的欠缺与模糊也是造成企业合规性困境的重要原因。这方面的困境主要体现在以下几方面：等待法律审核与生效周期长，其间缺乏可供使用的司法与合规参考。以《数据安全法》为例，从正式提请审议的范围到生效耗时三年余，尚未计入在进入正式提请审议前的延宕，整个过程耗时长，其间企业很难确认企业行为的合规性。国家标准也存在类似的问题。作为强制性标准，是法律基础上进一步的技术性兜底规定，国家标准同样需要经过草拟、公示与修改的较长过程。法律规定清晰度不够，企业难以确定具体行为合规性。整体趋势来看，我国在数据安全与治理方面的法律体系正在不断完善，但这些法律内容本身在具体技术要求上难以面面俱到，这既可能是法律漏洞，也可能是法律作为兜底原则性规范的制定考量。《个人信息保护法（草案）》第二十五条规定：“利用个人信息进行自动化决策，应当保证决策的透明度”，便会留下这样的疑问：“透明度”的程度如何与自身商业机密的保护相平衡？（三）合规性缺失的危害从法律法规和企业意识两个方面总结了存在的问题后，现将这些问题将会导致的损失与危害条陈如下。不清晰的法律法规规定，将会影响企业的创新与经营积极性。从事数据2经济的企业往往是技术创新型企业，在其考虑是否要应用自身的技术创新时，可能会因为不清晰的法律与标准规定而出于保守考虑放弃对技术与实践创新的应用。巨大的违法成本可能会对中小企业产生巨大打击。魔蝎案或可为一例。企业在不能确认自己行为的合规性的情况下，极易产生过失行为，信息资源相对较缺乏的中小企业尤其如此；巨大的违法成本往往对资金不够雄厚的中小企业伤害又最大。中小企业是行业发展的重要推动力量，亦是我国实体经济扶持战略的关注主体。不清晰的法律规定所导致的司法自由裁量，将会影响我国的经济对外开放。我国司法与标准的不明晰直接影响外资企业的投资建设，这种规定的不确定性，使他们难以确认自身是否需要为投资付出巨大的合规成本。特斯拉近期放缓在上海的投资或可为一例。基于此，本报告特建议，由全国性社会团体牵头与统筹，地方性社会团体主导与响应，标准化行政部门指导与配合，共同推进数据行业的团体标准建设，作为法律和其他国家标准的补充。三、团体标准的优势与发展现状作为共识性原则的团体标准缺失的情况下，主要会造成以下两点损失与危害：对整个行业，产生恶性竞争的风气，导致“劣币驱逐良币”的效应。行业内共识监管的缺失与司法不起诉不受理的原则相结合，使得一些企业逃避合规成本而投入恶性竞争。这不仅会导致行业的无序竞争，影响行业发展，更会消费行业公众信任，影响行业存亡。对司法系统，制造了不必要的司法成本。在团体标准清晰的情况下，市场内部调节和产业链互相监督可以减少许多因互相矛盾的标准或利益而产生的纠纷，或交由行政部门介入仲裁协调，不必占用法庭审判的法律资源。而团体标准作为法律和其他标准的补充，能够得到企业的欢迎和实行，主要出于以下几个原因：由企业共同制定，集企业利益于一身。团体标准的制定为业内精英人才的智慧与共识的结晶，而制定过程中其实就是业内各家企业之间进行沟通交流3并达成一致的过程；无论是从参与感的角度，抑或是自身利益体现的角度，企业都有执行团体标准的动机。内容实践指导性强，反映具体问题。企业共商共建的团体标准相较于其他标准和法律法规，立足于更具体的实践问题与困境，能够做到较快出台且聚焦具体实践问题，指导性强，堪称为“说明书”作用。特别地，企业共同商议的过程，本身就是一次法律与行业发展信息动向的交换，能够起到增强企业合规性意识的客观作用。产业链内部互相监督，市场自身调节力度好。对企业的调研显示，多数企业会关注自己的上下游企业提供的产品与服务是否符合标准，这一因素也将直接影响交易形成与否。接口行政部门作为第三方监督，起到督促作用。《团体标准管理规定》中明确规定，“县级以上人民政府标准化行政主管部门、有关行政主管部门依据法定职责……对团体标准的实施进行监督检查”。团体标准在有上述实行好处的情况下，为什么没有得到兴盛发展？究其主要原因，还是因为我国改革开放未久，仍处于巩固开放的阶段，社会仍然受到计划经济时代遗产的影响，市场自主性不够，行政对市场的干预较多，且扮演了较重的权威角色，这是我国团体标准发展落后于国际且态势劲头不足的主要原因。根据团体标准现下的具体情况鼓励其发展，是随后工作的题中之义。对全国团体标准信息平台的门户网站和微信公众号进行考察后，可总结团体标准的发展状况如下：团体标准制定意识整体不断增强，但信息数据相关的行业标准制定仍然有较大缺口。就全国团体标准信息平台发布的2020年平台数据来看，信息传输、软件和信息技术服务业类团体标准数量为1178项，仅占总标准的5%；而具体到数据安全保护领域，截至8月，互联网数据、信息服务、安全服务，数字内容服务的数量都较为有限。这与我们所能够感知到的互联网数字行业日新月异的发展形势显然不相匹配，也反映了数据相关的行业共同体正待建设。图1信息传输、软件和信息技术服务业类团体标准领域分布（截至2020.08）4关键问题的团体标准发布不断增加，能够较为及时地对社会需求作出反应。以众人关注的app对用户权益的保护为例，电信终端产业协会在半年内出台了32条标准对其进行详细规定，内容详细。全国性行业协会对活跃程度高，地方重点行业协会紧随其后。同样根据全国团体标准信息平台发布的2020年平台数据，我们可以发现在标准出台中发挥主要作用的还是以“中国”为名称开头的全国性行业协会，部分重点建设的地方行业协会同样发挥着不小的作用。2信息传输、软件和信息技术服务业社会团体TOP15（截至2020.08）就以上情况来看，目前我国团体规范的制定仍然存在以下问题：行政部门的引导成分仍然较重，深入放管服势在必行。以上图所示的中国通信标准化协会为例，其原身是原国务院行政产业部，和行政关联仍然较高，难以完全发挥市场的自主性，影响行政监管标准执行作为“第三人”的合法性，同样也使得部分企业认为自己“被代表”，难以心服口服地执行标准。5主要由行业巨头联合制定，难以保证避免垄断，体现中小企业利益。以app与用户权益的一系列出台规范为例，其起草单位仍以华为、oppo、阿里巴巴等行业巨头为主，而最容易遇上合规风险的中小企业反而难以体现其利益诉求。传播范围有限，在大企业间流行程度较高，难以深入中小企业执行端。调研显示，大企业往往对加入行业协会、积极参与团体标准制定有一定的主动性与积极性；而在走访中小企业中，他们往往对行业协会和团体标准关注较少。四、建议基于对行业合规性困境的讨论，我们得出了推进团体标准建设的必要性；而对团体标准现状的考察，使我们进一步明确了推进团体标准建设的可行性和完善方向。总结以上分析结果，提出建议方案如下，可作《2021年全国标准化工作要点》在推进团体标准建设目标下的具体补充：（一）宏观层面全国性社会团体牵头地方性社会团体重点鼓励地方性社会团体发挥自身积极性。全国性社会团体具有号召力强、能够有效整合资源等优势，但在地方性知识上有所缺乏，且难以关注到中小企业的具体实践困境和利益。在这一层面上，地方性社会团体能够有效弥补全国性社会团体的不足。一方面，鼓励地方性社会团体广泛收集地方中小企业建议意见，为全国性社会团体提供信息支持；另一方面，鼓励地方性社会团体就地方特点进行出台在地方有高度认可度和适用性的地方行业标准，推动地方经济发展。鼓励国家强制性标准，行业、地方等行政主导的推荐性标准多引用优秀团体标准，对团体标准的完善与制定形成示范效应的同时，对团体标准起到了鼓励作用；同时节省其他相应标准的制定流程，节约行政成本。在这一基础上，进一步推进不适宜的国家标准的退出工作，为新兴的团体标准发展腾出空间。（二）中观层面地方行政部门扮演好号召者和监督者的作用。由于数据行业的发展仍处于上升阶段，新兴中小企业如雨后春笋出现，面对这一状况，地方市场部门事实上拥有企业信息最全面、最完整的认知。一方面，地方政府部门需要做好政务公开与信息透明化，及时将市场信息向行业展示，以便行业互相了解；另一方面，地方政府部门需要对具有领头潜力的企业进行意识上的引导和鼓励，推6动行业协会建设与团体标准的出台。进一步完善团体标准统筹与归类。数据产业因其自身特性，与许多既有产业产生了强烈关联与交叉，而与数据相关的团体标准可能由不同领域的社会团体出台。为了便利企业对相应团体标准的检索，促进其对自身合规性的审查，全国与地方团体标准信息平台建设上应该注意相应标准的有效整合。（三）微观层面做好团体标准宣传工作，提升团体标准的接受度。实行了一个团体标准的企业应抓住宣传风口进行有效宣传——例如在产品介绍中强调团体标准的存在，在行业会议上普及前沿团体标准的内容和优势等等；从而提升各企业对团体标准的了解程度，进而起到使更多企业接受团体标准的说服效应。对于重要议题，可以适当加入对起草单位利益方权重比例的要求。在这里强调的主要目的是使得主要面临这一问题的中小企业应该进入团体标准制定的过程中，避免上文中所提及的大企业垄断团体标准，为自身隐性牟利的局面。我国的团体标准同样须经相应标准化行政部门的审核后才能发布，相关行政部门或许可以在进一步的审慎调研后，确认特定团体标准出台时中小企业在起草中应当占有的比例，或在起草方达不到比例要求的情况下，要求主要起草方给出利益相关的中小企业足量参与的证明，作为标准通过与否的考察因素之一。【炜衡点评】李卓航同学的报告主要关注行业合规性建设问题。李卓航同学在报告中提出了企业目前在数据合规建设中存在的以下问题：一个是唯法律后果导向的思维模式，导致了企业casebycase去解决问题，而不愿意花费更多成本去体系性做合规架构；一个是对数据权益的认识不全面，忽视了数据的生产资料属性、商品属性和竞争优势属性。而导致企业陷入上述行为模式的重要原因为相关法律本身不够清晰和完善所致，主要体现在以下几方面：第一，法律审核与生效周期长，与行业的发展相比，存在滞后性；第二，法律规定清晰度不够，难以给出企业具体行为的指引。在此逻辑基础上，李卓航同学提出了构建数据管理团体标准来作为法律和国家标准的补充。这是一个十分具有实践性的提议，但对于数据管理团体标准7的建设，亦有三个问题可以继续深入思考。第一，如何解决数据管理团体标准的效力问题？根据《中华人民共和国标准化法》，标准在类别上包括国家标准、行业标准、地方标准和团体标准、企业标准。在效力上分为强制性标准和推荐性标准。而团体标准则属于推荐性标准，以自愿采用为准则。推荐性标准只有在被法律法规引用，或被企业在包装、说明、公共服务平台或其他方式进行自我声明公开，或被纳入服务质量的依据中，才具有相应法律效力或对企业具有相应的法律约束力。在风险承担最小化的商业思维中，企业主动采用且公开声明团体标准，会给自己在已有法律法规的约束下，增加企业的法律责任负担，这与企业的商业本能是相悖的。第二，大企业主导的团体标准，如何满足合规能力和合规成本预算较低的中小企业诉求？如何避免引发行业垄断？第三，地方性团体制定的标准，对于跨地域进行数据运营的企业，其效力如何？期待李卓航同学能在此基础上，继续对以上三个问题进行深入探讨，提出解决团体标准应用困境的创新之举。8外包关系中的数据安全张佳韵随着大数据时代的到来以及数字化经济的飞快发展，数据安全问题近年为各大企业所重视。然而企业在致力于建设数据保护制度与加强技术能力的同时，习以为常的外包合作却极有可能成为企业数据安全防护的短板。外包公司的数据保护制度与能力不一定与大企业匹配，随着外包、转包的业务运作，外包人员能够轻易地在“层层外包”的复杂关系与海量数据往来的“掩护”之下，进行数据的非法获取出售并从中牟利，造成用户隐私信息与企业商业机密的泄露。即便国家与行业针对数据泄露有着严格的规定，难监管难溯源的特征让法律意识薄弱的外包人员抱着侥幸心理做出违法行径，解决问题应从根源上规范数据的提供调取。除了从宏观法律与监管角度要进一步加大数据违法处理的处罚力度、细化涉及合作的各方主体责任、提升监管机构职能之外，头部企业应当担好“守门人”角色，对数据进行安全级别划分、建立完善的权限制度，严格审查外包公司资质、签订数据保密条款，利用技术与管理能力做好数据提供的规范，外包公司也应加强内部治理，培训数据安全与法律内容，提升企业技术等。此外，行业协会也应在其中发挥其职能，做好普法工作，整合法律法规，形成系统化规范。一、层层外包下的重要数据泄露外包关系与数据泄露企业出于提升工作效率、完善相关服务、降低经营成本等原因，会采取将部分业务外包给合作公司或组织，例如常见的培训咨询外包、系统维护外包等。随着社会飞速迈入大数据时代，各大领域都对数据处理的商业运用有了迫切需求，这不仅局限于互联网公司，金融、通讯、消费品等行业同样需要专业技术来支持业务发展，由此与数据处理的外包服务更是在近几年蓬勃发展。然而涉及数据处理的工作必然会牵扯到数据安全问题，客观来看，不少数据泄露事件便发生在这些外包、转包流程中，用户隐私信息与商业机密被不法9获取、传输与出售，犯罪分子牟利的同时，用户随之收到各方借贷广告、骚扰短信的轰炸，甚至遭到电信诈骗、敲诈勒索，企业也将蒙受巨大损失。个人或企业在受到重大利益侵害后会选择立案诉讼，但犯罪分子潜藏在“层层外包”的掩护下，泄露的数据也不知在“黑市”经过了几番流转，意图精确定位漏洞所在之处，往往面对的是复杂的数据来往，追踪溯源则将耗费大量的人力物力且希望渺茫。不匹配的数据保护制度头部企业为了自身数据安全往往配有相对完善的数据与人员管理规范，但为其提供服务的外包公司的数据保护制度与能力不一定与大企业匹配，这便造成了头部企业数据安全防护的短板。2017年IT时报报道的银行催收导致的信息泄露为例，在互联网发展推动下，新兴催收平台纷纷成为各大银行的外包“合作伙伴”，利用人工智能、云计算等技术实现高效安全的催收，代替银行出面解决严重逾期客户的欠款问题，但平台工作人员并不一定会严格执行银行与其签署的“保密协议”，针对银行提出的“仅可在内网查看用户信息”也无法完全遵守。因此，外包员工违规、越级、越权的操作导致了个人信息安全问题，在银行声明只提供欠款人姓名与电话的情况下，任一个注册成为平台“催客”的催收人却都有机会接触到欠款人的身份证号、住址、工作单位甚至其紧急联系人的私密信息，时至今日也不乏个体用户声称家人受到催收骚扰。实际还有更为严重的犯罪行为发生在业务多次转包之中，上海某知名律师所反映，房地产行业存在“内部人”借用“层层外包”的复杂关系，不法获取客户信息并从中牟利，司法取证成为了头痛难题，客户的维权之路也便艰辛漫长。严格法律环境下仍有“漏网之鱼”想要从外包公司的合规操作着手整治信息泄露问题，我国现行的法律已给出了相当严格的约束。2015年出台的《刑法修正案（九）》第二百五十三条将“违反国家有关规定，向他人出售或者提供公民个人信息”定为侵犯公民个人信息罪，根据情节严重程度处以有期徒刑等，2017年6月开始施行的《网络安全法》第四十四条规定“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息”，同样第四十五条明确10相关工作人员必须履行职责，对知悉的个人信息、隐私和商业秘密严格保密，更不得泄露、出售或者非法向他人提供。除了针对数据泄露行为与后果的法律条文，2021年6月10日刚通过的《数据安全法》多处强调要保障数据安全、防止数据泄露，近期审议中的《个人信息保护法（草案）》要求“个人信息”的处理者从内部管理、信息分类管理、安全技术、人员培训等几方面加强个人信息的保护，两部生效在即的法律从预防的角度对数据安全进行了规范。虽然国家的法律跟进速度可能滞后于技术与随之而来的漏洞，大多只能起到“兜底”作用，但现有的法律条例加之行业内的标准规定已足以对外包公司的犯罪行为敲定罪名，外包人员对于数据安全问题却不予重视，频频触犯法律底线。二、外包关系中数据泄露的原因难监管难溯源成为违法“掩护”“层层外包”中的信息泄露整治难点在于监管与溯源。针对外包合作行为，头部企业有相应的部门从中跟进，但由于主要操作在于外包公司自身，企业相关部门大多只负责业务进度上的对接，出于效率与成本考量不会进行线下面对面的实时监管，若合作公司进行“转包”行为，头部企业更是难加管束；行业的上级监管机构更是难以深入中小外包公司的业务行为，只能做到定期抽查履行监管职能。头部企业与上级机构难以面面俱到，因此大多采取“事后追责”的机制，然而大多数据泄露行为都悄然展开、不为人知，只有引起企业或他人察觉，或造成严重后果的数据安全问题才有被逐个监察侦破的可能，这样“点对点”的追责也是监管行为难以铺开深入下的无奈之举。除去外包关系本身的监管难题外，数据处理业务本身具备其复杂性，某一个人为操作在庞大的数据处理行为中犹如“沧海一粟”，简单的手机屏幕拍摄、微信文件传输、U盘拷贝、资料打印都是数据泄露的渠道，往往寻找犯罪证据的成本高于案件本身涉及的损失，一些利益受到侵害的主体便也放弃立案维权。由此部分外包人员成了“漏网之鱼”，掩藏在复杂外包关系与海量数据往来之中，在较低的犯罪成本与轻松收取的巨额收益的诱惑下，抱着侥幸心理进行违法活动。数据源头管理疏漏为问题关键11基于监管难度，从数量巨大、管理相对混乱的外包公司身上堵住数据泄露漏洞较为不实际，问题的关键还在于数据源头的整治。头部企业作为数据提供方，理应对企业所处理的个人信息、商业机密等重要数据担负起管理责任，但到了外包环节却容易过分依赖于合同效力、忽视潜在的人为操作风险，一方面是头部企业未能在合作双方间强制采取有规范数据处理作用的技术手段，外包人员对于数据调取、数据传输等操作有脱离于账号、软件、设备与网络限制的可能；另一方面头部企业对外包公司的资质审查不严格，也未能全面跟踪外包公司的数据处理行为。头部企业若未能守好数据安全的“第一道防线”，后续外包公司的操作也便难以深入监管。法律意识薄弱下的有意或无意违法外包工作人员由于法律意识薄弱，面对利益诱惑难免做出“不知法而犯法”的行径，或是单纯认为线上数据交易行为不会被相关部门查处，例如近期西安破获的特大侵犯公民个人信息案中，主要嫌疑人袁某出售近十万余条公民个人信息给房产中介、装修等房屋相关从业人员以及电信诈骗等犯罪者等，形成了相当大的个人信息交易网络，却一直持有“自己只出现在网上，就不会被发现”的想法，同时，该案件涉及的一名房产中介店长向警方质疑其抓捕行为，认为购买公民个人信息是便于业务开展的“行规”，不应当被干涉。在违法行迹更难捕捉的外包关系中，这种法律意识薄弱的表现便更为明显，一是认为自己的行为不会给自己、公司、社会等带来危害，二是利益远大于风险，认为轻微违法不会被抓现行。三、如何整治“层层外包”中的数据泄露问题法律惩罚力度加大，细化多方责任在监管困难的情况下，法律自上而下的管控需要起到足够的预防与约束作用，形成“不敢违法”的数据保护环境。随着各类试行的法律法规逐渐成熟，现阶段对于非法数据处理的法律处罚力度应当加重，使罚金高于违法所得，尤其针对公司或组织集体进行的数据泄露等违法行为。加重罚金之外，同样需要收紧对外包行为中的各个主体的约束，一旦查处某一外包公司或外包工作人员在其外包业务中有数据相关的违法行径，一方面，与其合作的头部企业由于审查不严、数据管理失责也应获得相应惩处，并12责令整改完善内部数据安全管理制度，另一方面，若业务存在转包行为，犯罪外包公司的下游转包公司即便没有犯罪行为，也应由于未明确审查合作公司资质而受到连带处罚，从而强制让头部企业与下游外包公司起到“一前一后”的监管作用。同时，相关规定也应明确要求大小企业在信息泄露案件中必须积极提供溯源线索，包括但不限于数据处理日志、网络传输痕迹、设备使用记录等。监管机构提升自身职能监管机构能有效防止数据泄露，邀请行业数据处理人员等对监管工作人员进行定期培训，使工作人员的数据监管能力与监管对象相匹配，并积极同头部企业的监管部门交流，有利于监管工作的深入展开。在提升监管职能的同时，应当保持对中小外包企业的定期抽样调查，加强与相关行业协会的合作，公开及加大宣传公民个人与企业组织的投诉通道，重点监管“失信”企业的数据处理行为。头部企业当好“守门人”头部企业具有较强的技术手段与管理能力，能够从根源上做好数据提供的规范，担任起“守门人”的角色。首先需要对企业数据进行分类分级，将用户个人信息数据区分于商业机密数据，对前者进行隐私级别的划分，并对不同隐私级别的用户数据采用不同形式的存储方式，设立相应的调取权限，后者按照企业部门进行分类，在各部门下配备“数据保护官”，组织技术人员从软件、硬件、网络防火墙等多维度保护商业机密数据。其次是严格内部员工的数据授权制度，仅允许高层管理人员拥有获取用户私密信息或企业商业核心机密的权限，所有员工工作涉及的数据调取都需要经过上级及更高一级领导的批准，针对合作公司也启用同样的授权制度，将外包公司数据调取的权力管控在头部企业与外包公司高层手中，避免普通员工越级引起的数据安全问题。在有相应技术能力的情况下，鼓励头部企业开发外包合作专用的数据管理程序，联动上述的授权制度，通过程序实现数据处理操作记录保留，成为有效的外包业务跟踪与监管渠道。此外，在进行外包行为之前应严格审查公司资质，考察其数据安全保护制度与风险控制措施，签订有明确数据安全规范的保密条款。13外包公司内部加强整治外包公司应着重内部管理制度的完善，制定公司数据安全规范，培训提升工作人员的数据安全意识与法律意识，学习先进数据保护技术，日常留存业务数据处理痕迹，主动提供远程合作监管通道，定期向监管部门提供公司数据安全防护方面的资质证明。行业协会加强法制宣传，系统化相关制度相关行业协会应积极开展数据安全教育活动，加大普法宣传力度，提升行业人员的法律素养，要求充分发挥其管理职能，将国家针对数据安全问题的法律、办法、标准等与行业内现有的多个规章制度相整合，汲取从业人员、监管人员、社会民众、跨领域人员等多方的建议意见，形成系统化的数据安全规范制度。【炜衡点评】数据商业利用与个人信息保护之间的边界，无疑是数字社会发展中遇到的最大矛盾。而张佳韵同学的该篇报告，直指矛盾中最棘手的问题之一——外包关系中的数据安全问题。虽然我国目前从民商事法律、法规层面，到刑事层面、再到国家标准层面，对于信息泄露问题已建立了立体的、多层次的严格保护体系，但鉴于外包关系中数据来往较为复杂，层层外包关系错综复杂，数据泄露源头溯源困难，外包关系里的数据安全问题，实为数据安全监管中的一大难点。张佳韵同学针对上述现状，认为外包关系中数据容易发生泄漏问题的原因有三，第一是监管与溯源困难；第二是数据源头管理疏漏；第三是部分从业人员法律意识薄弱。对此，张佳韵提出对企业数据进行分类分级、严格内部员工的数据授权制度、鼓励头部企业开发外包合作专用的数据管理程序的主要应对措施。其中，通过开发外包合作专用的数据管理程序，实现数据处理操作记录保留，以便于有效的外包业务跟踪和监管渠道，十分具有创新性与开拓性，实为佳作。参考GDPR（《通用数据保护条例》），GDPR提出了数据控制者和数据处理者两个概念，并分别规定不同的数据合规义务。而在外包关系中，则恰好可以借鉴这两种概念的区分：原则上将客户视为数据控制者，将供应商视为处理14者。在张佳韵同学目前颇具体系性的思考框架下，期待其以上述不同角色的界定和各自的权利义务作为第一视角，进一步分析外包关系中的各相关方的责任承担，以此作为其合规驱动力的来源深入探讨对应的作为义务落地方式。此外，也可以考虑针对金融、保险、医药、快销等不同的销售场景，进一步梳理不同商业模式下的外包服务流程，结合相关行业监管政策，进行有针对性的细化研究。15好风凭借力，完善数据保护官制度邹佳祎2021年，数据保护官制度的相关概念频繁出现于大众视野。《中华人民共和国个人信息保护法（草案二次审议稿）》（以下简称《个保法》）和《中华人民共和国数据安全法》（以下简称《数据安全法》）接连公布，明确设立个人信息保护负责人或数据安全负责人的必要性；5月13日《广东省首席数据官制度试点工作方案》引发数据保护官制度在全国范围内都具有的示范引领意义。数据保护官制度在我国立法和试点的土壤中得到滋养，不断完善和发展。然而由于我国数据保护官制度起步较晚，法律制度、监管部门和资质认证体系尚未完善，因此在制度落实、责任平衡、专业人才供给方面出现了一些问题。对此，本报告从现存问题入手，通过解释背后原因，从完善相关立法、建立专门部门、完善认证体系、建立行业协会四个方面提出建议，为完善数据保护官制度献言献策。希望数据保护官制度这道“好风”能够借力而行，在我国的数据安全保护体系中发挥它的重要功能。特别声明，本报告中的数据保护官制度分为企业和政府两个主体，其中企业为主体的数据保护官职称是“个人信息保护负责人”，政府为主体的数据保护官职称是“首席数据官”。一、我国数据保护官制度现存问题我国数据保护官制度主要受2018年欧盟通过的《通用数据保护条例》GDPR）中设置“数据保护官（DPO）”的影响，现存一些亟需解决的问题。第一，我国数据保护官制度在各企业管理机构和政府部门中没有强制落实；第二，企业的个人信息保护负责人所承担责任重大，而政府的首席数据官则没有承担责任的明确规定；第三，高素质信息保护专业人才稀缺，出现人才供给失衡。数据保护官制度没有强制落实我国数据保护官制度没有强制在各企业管理机构和政府部门中落实。相较于欧盟GDPR明确规定所有公共机关和符合设立条件的私营企业或组织必须依16法设立数据保护官，国内现有的《个保法》、《数据安全法》以及2021年6月日公布的《深圳经济特区数据条例(征求意见稿)》中，设置数据保护官的法定条件较为有限，且在措辞上都以“应当明确”、“应当制定”为主，缺乏强制性。对于没有设立数据保护官的企业机构或政府部门，现有法律中并没有相应的责罚机制，因此数据保护官的设立存在惰性，难以起到监管数据处理、开展风险评估、进行安全审计、加强数据安全教育的效用。政府数据保护官与企业数据保护官承担责任不平衡数据保护官在政府和企业两种主体中所承担的责任不平衡，提升了企业中推广普及数据保护官制度的困难程度。《个保法》与《数据安全法》中明确指出，对于不依法履行数据安全保护义务的企业个人信息保护负责人及其主管部门，根据情节严重程度，将被采取从责令改正到吊销业务许可证不等的处罚措施，并加以罚款。而政府部门领域，目前仅有广东省试点方案在推行首席数据官，且只规定了职责范围，没有相应的法律责任说明。高素质个人信息保护专业人才稀缺，供给失衡高素质信息保护专业人才稀缺是我国信息安全领域长期存在的问题，企业对人才的争夺加剧人才供给失衡。2017年的一项调查表明，我国近年高校教育培养的信息安全专业人才仅3万余人，而信息安全人才总需求则超过70万人，缺口高达95%，可见人才稀缺的严重程度。而随着相关法律的公布，以及广东试点方案的出台，数据合规行业蓝海到来，个人信息保护负责人、首席数据官职位炙手可热，高素质信息保护专业人才再次成为企业争夺的目标，市场上公开的薪资水平甚至已超过了同等年限的法务或律师，并出现人才供给失衡的现象。二、我国数据保护官制度现存问题的可能原因我国数据保护官制度现存问题的主要原因包括法律完善、部门设置、认证体系三个方面。第一，由于我国数据保护官制度起步较晚，数据保护官相关法律尚未完善，仍有值得改进之处；第二，我国监管体系中缺乏个人信息保护部门，因此政府的首席数据官缺少隶属部门、企业的个人信息保护负责人缺乏监管部门；第三，注册个人信息保护专业人员认证体系在项目细化和持续教育政策方面有待完善。17数据保护官相关法律尚未完善（1）设置数据保护官的法定条件存在缺陷。《个保法》第五十二条规定：处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。这项法定条件中只从所需处理的个人信息数据的规模数量出发，没有涵盖需要处理特殊类型、特殊分级数据的组织或机构。（2）数据保护官的独立履职权缺乏法律保障。根据欧盟GDPR中对于数据保护官的法定地位的规定，数据保护官应当拥有独立履职权，即其受聘于数据控制者或数据处理者这一事实不得影响其独立地位。但在我国《数据安全法》和《个保法》中都没有关于确保独立履职权的法条，或将无法避免数据保护官与企业利益勾结的现象，进而可能导致个人信息保护失效。我国监管体系中缺失个人信息保护部门与数据保护官对接我国现有的数据安全行政监管体系中，公安部负责网络安全保卫，网信办和工信部负责网络安全风险评估，唯独缺失对应监管个人信息保护的专门部门。《数据安全法》第六条规定：国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。这增加了国家网信部门的监管负担，不利于个人信息保护监管的高效进行。同时，个人信息保护部门的空白使得数据保护官制度无法与其对接：首席数据官分散在政府各级部门当中，不隶属于统一监管部门，缺少标准化的执行规定；个人信息保护负责人由企业聘用而在企业缺少有效的宏观监管机制。注册个人信息保护专业人员认证体系尚未完善注册个人信息保护专业人员（CISP-PIP）是我国目前唯一的国家级个人信息保护专业人员资质评定。对标国际影响力较大的个人信息保护认证项目“国际隐私专业人员协会”（IAPP）认证，CISP-PIP仍存在两方面的不足。（1）资质认证单一，难以直接对应政府和企业数据保护官的不同需求。IAPP认证作为目前全球顶级的隐私保护认证，包括隐私保护专业人员认证（CIPP）、隐私保护经理认证（CIPM）和隐私保护技术专家认证（CIPT)3个项目。相比之下，CISP-PIP认证项目较为笼统，“个人信息保护专业人员”的概念没有细化，较难直接对口个人信息保护负责人和首席数据官的不同需求。（2）缺乏直接个人信息保护专业人员认证持续教育政策。IAPP采用持续隐私教育（CPE）政策维持认证证书的有效性。而CISP-PIP白皮书中只强调了18“资质证书有效期为3年，证书失效后需要重新申请”，没有领取资质证书后的持续教育的相关规定，难以有效维持和提高个人信息保护专业人员的专业技能。三、解决我国数据保护官制度现存问题的建议根据上文阐述的我国数据保护官制度现存问题与可能原因，本报告主要从完善相关立法、建立专门部门、完善认证体系、建立行业协会四个方面提出建议。完善数据保护官制度相关法律完善设置数据保护官的法定条件。在现有对于处理个人信息数据的规模数量的条件上，增加对于个人信息数据类别或级别的条件规定：当数据控制者或处理者的司法身份是法院以外的公共机构，其需要对数据主体进行大规模系统和常规化监控的处理操作，核心业务包括对诸如与健康有关的个人数据的特殊类别数据或与刑事定罪和犯罪有关的个人数据进行大规模处理的部分时，必须设立数据保护官。立法保障数据保护官的独立履职权。个人信息保护负责人受聘于企业这一事实不得影响其独立地位，其履行职权时不受企业高层管理人员的立场或利益关系左右；各级首席数据官受各级部门领导小组任免这一事实不得影响其独立地位，报最高政务服务数据管理部门备案。推动我国个人信息保护监管部门的建立在公安部、网信办和工信部之外，建立个人信息保护监管部门，减轻原国家网信部门承担的监管压力。个人信息保护监管部门作为政府首席数据官的最高隶属机关，负责定期监管各省常态化首席数据官工作沟通机制、开展各省政务数据部门的绩效评估及复审数据官履职评价等工作；同时，对企业个人信息安全负责人进行宏观监控，与相关行业协会共同建立标准化、合理化的数据保护官行业规定。完善注册个人信息保护人员专业认证体系，加强人才培养进一步细化CISP-PIP项目。可借鉴IAPP，择机将CISP-PIP扩展至2类资质认定项目：个人信息保护专业人员，主要适用于企业个人信息保护法律法规、合规审查、信息管理、数据治理、人力资源等领域的从业人员；数据保护专业19人员，主要面向来自政府、监管部门以及企事业单位等从事个人信息保护项目管理人员。逐步建立我国个人信息保护专业人员认证持续教育政策。持续教育主要用于支撑认证证书有效期的维持，也可以服务于国内个人信息保护相关教育、培训等需求，提高专业人才的数量和质量。建立个人信息安全负责人行业协会，使行业规定标准化、合理化针对高素质信息保护专业人才成为企业争夺的目标、薪资乱抬高、人才供给失衡的问题，可以成立个人信息安全负责人行业协会，建立起有效沟通政府与企业之间个人数据安全监管体系的桥梁，与CISP-PIP认证体系一起监督个人信息安全负责人的专业质量和制定薪资标准、数量要求，并积极配合政府监管部门和CISP-PIP认证体系展开企业个人信息安全教育与培训、提供咨询服务、举办展览、定期组织会议等等，使个人信息安全负责人行业规定标准化、合理化，形成良好的行业文化和行业氛围。【炜衡点评】我国《个人信息保护法（草案二次审议稿）》和《数据安全法》中的数据保护官制度，借鉴于GDPR(《通用数据保护条例》)中设置的数据保护官制度。邹佳祎同学针对我国上述立法明确要设立个人信息保护负责人或数据安全负责人的制度，对目前我国数据保护管制度现存问题进行了全面探讨，主要为：第一，数据保护官制度没有强制落实；第二，政府数据保护官与企业数据保护官承担责任不平衡；第三，相关专业人士稀缺。针对上述问题，邹佳祎同学继续分析了可能原因，其认为，导致上述问题的原因为：第一，数据保护官相关法律尚未完善；第二，我国监管体系中缺失个人信息保护部门与数据保护官对接；第三，专业人士认证体系尚未完善。邹佳祎同学上述体系性的论述十分缜密与完善。数据保护官制度借鉴于欧盟，对于我国来说尚为新职能岗位，在落实该岗位职能的配置上，亟待解决的问题有二：第一，基于我国企业人员架构的上下级属性，如何保障企业内部数据保护官的独立履职权？第二，鉴于企业内部数据保护官担负独立、公平履职的职业操守，其是否应受第三方部门的监管？是否有必要同时成立第三方协会20或者政府内部个人信息保护监管部门来对企业中的数据保护官实行监管？哪个部门作为有权部门对数据保护官进行监管最合适？上述问题，期待邹佳祎同学进行更细致的规则设计和讨论。21汽车数据本地化存储的相关法律法规中存在的问题及对策建议王丽婷近年来，我国智能网联汽车行业快速发展，汽车采集的个人信息和重要数据不断积累增加，而跨国车企却仍将大量的数据保存在境外的服务器内，导致我国的数据安全面临一定的威胁。为维护国家安全和公民利益，数据本地化存储合规提上了日程。但对于数据本地化存储而言，存好数据并非一劳永逸。数据要存好，也要管好。而针对汽车数据本地化存储，我国的相关立法仍处于起步阶段，许多方面亟待完善。本报告以“平衡数据安全和产业发展”为核心思想，分析了汽车数据本地化存储的相关法律法规中存在的若干重要问题，并就法律不完备、数据本地化存储的内生性问题，从法律亟待完善的几个方面，以及法律尚未完善时可以采取的应急策略，提出了相应的对策建议。一、背景与现状数据本地化存储，指主权国家通过制定法律或规则限制本国数据向境外流动，其基本的规则是任何本国或者外国公司在采集和存储与个人信息和关键领域相关的数据时，必须使用主权国家境内的服务器。随着信息技术的发展，数据控制权逐渐成为数字经济参与者争夺的焦点，而且成为网络治理和国际秩序的重点问题之一。一方面，全球化和自由贸易要求数据的自由流动；另一方面，为维护国家安全、政治稳定和公民个人权利，也需要对数据跨境流动给予适当的控制。于是，数据本地化存储要求便应运而生。目前，我国的《中华人民共和国网络安全法》、《个人信息保护法(草案)》和《个人信息和重要数据出境安全评估办法（征求意见稿）》等都对数据本地化存储进行了合规。在我国数据本地化存储的行业立法中，汽车行业走在了前面，这顺应了我国近年来智能网联汽车行业快速发展的潮流。自2020年上半年起，多家在华有经营业务的跨国车企开始进行数据本地化存储，建设数据中心。近日，某知名新能源汽车跨国企业在华建设数据中心的新闻也引发了热议。于是，国家互联网信息办公室近期分别于2021年4月29日发布了《信息安22全技术网联汽车采集数据的安全要求（草案）》，于2021年5月12日发布了《汽车数据安全管理若干规定（征求意见稿）》，皆针对智能网联汽车数据的本地化存储给出了初步的规定。然而，汽车数据本地化存储立法仍处于起步阶段，许多方面亟待完善。目前已有的相关法律中，存在较为笼统且可操作性不足、行车数据的权属有待明确、对个人信息的本地化要求过于严苛以及法律概念的内涵和外延、处罚标准界定较为模糊等问题。这些问题可能会导致跨国车企在进行数据本地化存储的过程中，因“不懂法”而无意中进行了违法操作，或是损害到公共利益，或是遭遇不可预测的处罚，使其数字活动和数字发展空间受限，挫伤智能网联汽车行业的发展势头，甚至阻碍我国国际贸易的持续增长，削弱我国的国际竞争力。在当前的国际局势下，中国不断崛起，老牌的资本主义国家虎视眈眈，我国的国家安全问题变得日益重要；与此同时，我国国民的个人隐私保护意识也正在逐渐觉醒。而智能网联汽车对个人信息和重要数据的收集却庞杂而详细，涉及到敏感数据问题，这些数据应该依法存储在境内，以杜绝境外国家利用法律、行政等手段，合法、秘密地获取传输至其境内的数据，危害我国的国家安全和我国公民的个人权益。目前多家跨国车企正在推进数据本地化存储合规进程，当下应该适时完善数据本地化存储立法，若在企业数据本地化存储模式定型之后再进行调整，则会导致企业合规成本增加，不利于数据安全和产业发展的平衡。二、问题分析相比于智能网联汽车的快速发展，立法存在一定的滞后性，法律体系有待健全，操作细则仍在探索。目前我国在数据技术方面与欧美国家仍有一定差距，有关立法也才刚刚起步。对于与数据本地化存储相关的法律规定，如何做到既符合国情，又与国际接轨，是我国面临的一道考验。总体来看，目前相关的法律法规行业化、专题化立法较为缺乏，针对的数据控制者主体比较有限，尤其是在概念内涵和外延、处罚标准界定、监管细则等方面还有所缺失，有待完善和细化。以下是数据本地化存储的相关法律条款中较为突出的若干问题：法律法规较为笼统，可操作性尚显不足。根据《汽车数据安全管理若干规定（征求意见稿）》第十二条规定，个人信息或者重要数据若通过国家网信部23门组织的数据出境安全评估，方可向境外提供。而在国家网信办发布的《个人信息和重要数据出境安全评估办法（征求意见稿）》中，数据不得出境的情况包括“可能侵害个人利益”“可能影响国家安全、损害社会公共利益”等情形。这些情况难以定性，更依赖于法官的自由裁量。但规定过于广泛或含糊不清，会导致企业在实际操作中面临着不可预测的处罚风险，数字活动和数字发展空间受限，而目前全球服务贸易中有一半依赖对跨境数据流的访问，较为笼统模糊的规定将阻碍我国国际贸易的持续增长，削弱我国的国际竞争力。在处罚依据和力度的判定上，不同法律条文存在重合与冲突。根据《汽车数据安全管理若干规定（征求意见稿）》第二十条，违反此规定的处罚依据是《中华人民共和国网络安全法》等法律法规。但是，就与数据本地化存储相关的违法行为，《中华人民共和国网络安全法》的第六十六条和《中华人民共和国数据安全法》的第四十五条、第四十六条在处罚的行为依据上存在较大的相似性，而处罚力度却存在的较大的差距。而对于跨国车企的性质来说，这两部法律都是适用的。在《中华人民共和国数据安全法》的第四十六条中，针对“情节严重”的处罚力度很大，能够给企业形成较强的威慑力，但是“违反规定”和“情节严重”之间的划分标准并未明确。这样一来，具体的处罚方式也更依赖于法官的自由裁量，汽车企业开展与数据本地化存储相关的数据活动时也会受到无形的阻力。行车数据的权属有待明确。根据《民法典》规定，驾驶员是行车数据的创造者，行车数据是其个人信息，另外，行车数据中的部分数据，比如车内摄像头对驾驶员的监控信息，也可以归入隐私。汽车企业是行车数据的控制者和处理者，即《中华人民共和国网络安全法》定义的网络运营者。因为行车数据是基于用户的使用产生的，但是车辆相关的软硬件（比如采集和存储行车数据的设备）都是企业提供的。个人信息还涉及到数据主体的信息自决权利和数据控制者等相关方满足个人信息自决权利的义务，而数据本地化存储便更能确保企业在这两个方面遵循国家规定。但是这方面的规定仍有不足：数据权属（分为所有权和使用权）的界定问题尚未解决。如今数据也是一种资产，这些数据掌握在企业的手中，但是否可以被企业用来牟利，这在今后出台的法律中需要进一步完善，否则可能会导致公共利益受到侵蚀和损害。对个人信息的本地化要求过于严苛。按照我国的立法和监管习惯，在技术24手段不完备、管理制度不完善的情况下，往往采取更为严格的管理方式，尽快将数据先“堵住”，待研究清楚之后，确实需要出境且不涉密的脱敏数据才能在全球范围内传输和联合研发。在要求跨国汽车企业将所采集的个人信息进行本地化存储的同时，必须考虑我国对境外数据的获取和开拓国际市场问题。个人信息领域在国际上奉行的是同等保护原则，在国际贸易和经济合作中奉行的是互惠互利原则，我国对个人信息出境的过度限制势必将成为我国参与经济全球化、开拓全球服务市场的障碍。因此个人信息的出境规则不应过度严苛，以便为我国今后的跨境数据贸易谈判留下余地。三、建议数据本地化存储是数据生命周期的第三个环节，即“数据存储”环节的一种特殊情况。因此，数据本地化存储面临的安全风险和数据存储类似，也主要来自于内部和外部两方面：一方面，数据存储者可能会故意或者因过失而泄露数据；另一方面，外部人员可能通过入侵存储系统，获取、篡改、删除数据。针对上述法律条文中存在的不足，以及数据本地化存储的内生性问题，以下提出相关建议：相关法律亟待完善行业规定和条例先行，为法律出台或完善奠定基础。相对于现实而言，立法具有一定的滞后性，在目前数据本地化存储的相关法律还未完善的时候，网信办、工信部等有关部门都应该先尽快出台一些管理办法和部门规章，进行应急式处理，为相关法律的出台或完善奠定基础；若等法律出台之后再去制定法规和具体细则，在时间上可能会失去先机。在已有的法律法规和管理办法的基础上，应该及时发现其中存在的不足、现实中新出现的情况，并对法律进行修改和完善。此外，由于欧美的数据技术和立法都走在前面，我国的数据本地化存储相关立法可以参考国外的立法实践，先快一步把立法补足，避免法律漏洞的出现。明晰处罚依据和处罚力度标准。在今后出台的法律法规中，希望能够对《中华人民共和国网络安全法》和《中华人民共和国数据安全法》相应条款中的处罚情形、处罚对象、处罚标准等进行明确划分，或是在《汽车数据安全管理若干规定》的正式文件中更新判罚依据的上位法要求，或是颁布相应的司法25解释，以压缩自由裁量的空间，避免企业钻法律空子或受到不公平处罚。行车数据权属和数据资源垄断，需要同时应对。在跨国车企的数据本地化存储效果评估结果较好的情况下，可以在法律上将行车数据中用户行为信息的所有权归属到企业，而用户始终保有对自身信息的使用权（包括查看、修改、删除自身数据的权利）。因为只有在企业通过汇集特定场景下的海量行为信息并标签化地分析处理之后，用户行为信息才有价值。但同时，也要完善相关的法律法规和监管手段，避免大量的用户行为信息汇集到企业之后，企业因数据垄断而阻止用户对自身信息的使用，或者因企业的大量数据泄露导致严重的社会问题，损害公共利益。对于重要数据和个人信息，设置不同的出境管制要求。在这方面，我国可以参考国际社会通行的基本原则，即重要数据应当纳入出境管制范围，原则上不允许出境；而个人信息则不纳入数据出境管制范围，若个人信息的进境国对个人信息的保护达到出境国的同等保护水平，或者存在其他机制使出境后的公民个人信息得到保护，那么应当允许公民个人信息遵循一定规则流出境外。“同意授权”操作便利化。根据《汽车数据安全管理若干规定（征求意见稿）》第八条规定，用户的个人敏感信息“默认为不收集，每次都应当征得驾驶人同意授权，驾驶结束（驾驶人离开驾驶席）后本次授权自动失效”。但是这一操作，容易让用户厌烦，也不便于汽车企业收集数据以进行智能化研发。这一条款不仅有些过于严格、复杂，而且其实是不必要的，因为根据该规定的第九条，汽车企业若确需用户提供个人信息，则应当进行匿名化或脱敏处理。因此，关于“同意授权”的规定可以修改为“默认为收集，但同时会在车载显示面板或他处明示‘正在收集用户个人信息’，并向用户提供便于随时终止数据收集的方式”。在法律尚不完善之时，制度和监管配合发力对于跨国车企数据中心的内部管理，制定原则性的制度规定。政府可以要求跨国车企在数据中心内部设置较为严格的数据分类、管用分离、人员权限分离的管理机制。按照敏感程度把数据分级分类，按照职位层级赋予数据的接触权限，并对数据相关操作全程留痕。同时鼓励企业申请数据合规的相关专利，弥补企业因不从用户个人信息中获利而带来的损失。完善针对数据本地化存储问题的追责机制。可以参考欧盟的相关规定，在26公司内部强制设置独立的数据保护官职能部门（DPO），负责协助监管机构的工作，确保、监控跨国车企数据本地化存储的合规性，并在数据本地化存储出现问题时担责。政府可以要求中国信息通信研究院制定和颁发“数据保护官”相关职业资格证书，在人力资源和社会保障部内添加“数据保护官”岗位认证，并支持“数据保护官俱乐部”等行业协会制定行业标准等。行政监管机关各司其职，多管齐下。公安部负责网络安全保卫，根据现有情况不断完善计算机信息系统安全等级保护制度；工信部、网信办做好网络安全风险评估与应急工作机制，如评估跨国车企数据中心信息泄露可能带来的国家安全风险；市场监管总局等有关部门应检查跨国车企的数据本地化存储方式是否安全可靠，并对数据本地化存储效果不佳的跨国车企进行约谈。行政监管和行业监管形成合力。政府和跨国车企可以共同建立数据平台处理中心，便于政府监督跨国车企，在采集完毕用户的个人信息之后，进行额外加密存储，并放置在相对独立的数据空间内，与其他数据不能相互混淆。此外，还可以支持设立跨国汽车行业监管协会，并向专门运作数据合规的企业购买服务，确立数据安全合规的行业标准。就数据本地化存储而言，目前我国的立法倾向主要是严格管理跨国车企，以维护个人信息和重要数据安全。但这会带来数据安全和技术进步、产业发展的平衡问题。数据本地化存储相关法律法规的完善，对保护公民隐私权利、避免重要数据泄露带来安全风险等都有裨益，但同时，数据本地化存储要求使得跨国公司面临的合规成本将会增加，比如需要在本地设置数据中心、聘用数据保护官等支出都不可小觑。把握好安全和发展的平衡，要求在立法和监管时也应考虑到数据本地化存储如何更好地推动新兴的智能网联汽车行业发展。数据的跨地流通、聚合和使用是创造价值的方式，也是发展的趋势，在汽车数据本地化存储的立法上不应“一刀切”，而应适时调整，顺应时代发展的潮流。【炜衡点评】王丽婷同学结合近期的汽车数据本地化存储热点事件，分析了汽车数据本地化存储的相关法律法规中存在的若干重要问题，并就法律不完备、数据本地27化存储的内生性问题，从法律亟待完善的几个方面，以及法律尚未完善时可以采取的应急策略几个角度，提出了相应的对策建议。其认为，目前针对汽车数据本地化存储的相关法律条款中，存在以下较为突出的问题：第一，法律法规较为笼统，可操作性不足；第二，在处罚依据和力度的判定上，法律法规之间存在冲突；第三，行车数据的权属尚不明确；第四，对个人信息的本地化要求过于严苛，执行难度和执行成本较高。对此，王丽婷同学给出了行业规定和条例先行；明晰处罚依据和处罚力度标准；同时应对行车数据权属和数据资源垄断；对不同的数据和个人信息设置不同的出境管制要求；“同意授权”操作便利化；完善针对数据本地化存储问题的追责机制；加强监管等建议。据德勤预测，到2025年，汽车行业利润的20%将来自移动出行以及对数据的管理。在此发展趋势下，王丽婷同学的此篇文章很有现实针对性，其行文结构也兼具广度与深度。美中不足的是，车联网语境下，个人信息的界定具有一定特殊性。比如驾驶风格、行车距离等行为数据，以及车辆技术信息，与其他信息进行交叉结合可能识别到特定数据主体，因为可能被界定为个人信息。王丽婷同学在本文的基础上，可就车联网语境中的个人信息认定作为前提要件进行分析与界定，从而进一步探讨行车数据权属和分级存储问题，再结合目前已有的立法体系和具体法律法规条款，对汽车数据本地化存储中的立法问题给出更符合行业发展现状的建议。28对于中小企业内个人信息存储安全治理的优化——政府推广网络安全保险的可行性与建议张迷逾互联网时代，每个人的数据都在时刻被各种平台、企业、机构所收集、分析、储存。相较大企业，中小企业缺乏有力保护用户个人信息存储安全的财力与人力，又因数据泄露成本低而对个人信息保护不重视。近来随着以《数据安全法》为代表的国家数据安全治理体系的出台，许多针对企业个人信息保护的遗留问题得到解决，但是对于中小企业，“政府监管难”的问题仍未解决，又新产生了“企业负担大”的问题。在此背景下，如果将网络安全保险作为组合拳一并推广，对于这两个问题的解决有所帮助。一、中小企业内个人信息存储安全现状企业内个人信息存储安全的风险来自于两方面：来自企业内部的数据泄露风险与来自企业外部的安全攻击风险。总体而言，目前中小企业个人信息存储安全问题严重，个人信息泄露事件层出不穷。这与中小企业整体的数据存储安全风险息息相关，根据思科中国发布的《2020中小企业网络安全报告》，53%的中小企业曾遭到安全攻击。据Verizon的《2020年数据泄露调查报告(DBIR)》显示，在所有数据泄露事件中，近三分之一（28%）涉及小企业。据IBM和PonemonInstitute联合发布的《2020年全球内部威胁成本报告》显示，中小型企业(员工人数少于500人的)在每次网络安全事件上的损失平均超过200万美元，其中也包括了很多来自企业内部的泄露风险。事实上，相较于企业整体数据存储安全的现状，用户个人信息存储安全情况可能更加不乐观。在企业的走访调查中收到的反馈是，在中小企业中，对于用户个人信息保护的重视程度显著低于企业经营数据的保护，因此也更加面临泄露风险。必须注意的一点是，中小企业数据泄露的危害并不比大型企业低。随便举一个案例，2016年，号百信息服务有限公司数据库泄露，涉及公民个人信息2亿余条的手机号码信息被窃取后在网上出售。2018年，广州某企业管理咨询有29限公司被“内鬼”加“黑客”的方式,窃取了35万余条的医生个人信息。这两家中小企业之所以能拥有这么多个人信息，一是因为该中小企业是某大型企业的外包公司，因此共享了来自大企业的大量个人信息，二则是因为该企业深耕某一细分市场，虽然用户信息数量不多但敏感程度高。无论对应哪种情况，中小企业内的用户个人信息一旦泄露，对于公民的信息安全都是极大的威胁，轻则骚扰短信垃圾邮件，严重些则是各类诈骗和金融事件，给社会稳定带来极大影响。二、中小企业对于个人信息存储安全保护不力的原因分析重视程度低由于数据存在非排他性，也就是说企业内的用户个人信息即使泄露，也不会直接影响企业对于这些信息的使用，因此也不会带来直接的经营利润上的损失。这使得中小企业对于个人信息存储安全不重视、不积极。缺乏财力与人手数据存储安全问题是一个技术问题，前期需要大量的资金投入来打造安全保护的硬件软件体系，到了后期仍需要不断更新技术设备来应对不断出现的新的风险，对于资金本不富裕的中小企业来说无疑只能尽力就好。从人才角度来考虑，整个行业网络和数据安全专业人员缺口巨大，中小企业想招聘专业安全人员更是难上加难，因此普遍存在IT人员兼任安全岗位、没有网络安全专岗的情况。政府监管难，法规约束力弱，追责不力我国数据安全的法律监管自2017年才开始，目前仍在体系的搭建过程中。过去长期的应急处理、法律条文笼统的情况给数据安全的监管带来极大的困难，监管机关不明确，监管准则不明确。与此同时，监管的重点往往放在大型企业上，对于中小企业较为无力。过去实施的一些措施收效也不明显，比如2017年《网络安全法》中首次提出的网络安全负责人，在中小企业中的施行过程中，常常出现随意指派一位员工兼任该职务，仅仅当作一个“背锅侠”，而不是如预想中真正帮助管理企业数据安全的情况。如果发生了数据安全事故，由于法律体系的缺失，对于企业的责任认定不明确，实际上对于企业的惩罚力度很小，起不到倒逼企业加强保护的作用。30三、网络安全保险网络安全保险（cyberinsurance）就是针对企业客户规避网络安全风险的一类保险。尽管名为网络安全保险，但这类保险目前的承保范围已经覆盖了企业整个数据存储安全的各类风险，因此对于企业中的个人信息储存安全同样使用。网络安全保险目前在中国还未发展起来，但是在海外，尤其是欧美已经有了成熟的经验。网络安全保险在海外的发展现状上世纪90年代，网络安全保险开始在美国出现，到如今已有二十多年的历史。根据普华永道的《保险2020》报告，目前网络安全保险的书面保费总额达到每年25亿美元，并且预计在本世纪末将达到75亿。最近几年网络安全保险赔付的著名案例是欧洲的万豪国际集团，该集团由于泄露用户数据，在2018年被英国信息保护专员办公室开具了1.24亿美元的罚单，这也是欧盟《通用数据保护条例》出台之后的第二张巨额罚单。万豪集团事先购置的网络安全覆盖了罚款的大部分金额，降低了其对企业经营的影响。网络安全保险在我国过去未能成形的原因主要原因在于企业数据泄露的成本低，而泄露成本低很大程度上是由于追责机制不完善。个人信息泄露对于企业直接的经营损失本来就较小，企业面临的监管处罚与相关的法律责任又比较缺失，因此天然不存在网络安全保险的需求。次要原因是中国商业和责任保险市场整体发展较为不足，因此国内网络保险产品还处于萌芽阶段，涉及商业网络安全保险的保险公司主要是一些国际保险集团，在国内的保险行业中影响力比较低。网络安全保险在当下推广的时机与作用网络安全保险在中国的发展时机已经成熟，这是因为我国逐渐完善的数据安全治理体系带来了网络安全保险的市场需求。《数据安全法》的出台明确了企业在数据保护中应尽的责任，《个人信息保护法》的草案更进一步针对个人信息的处理者做出了详细的规定。从追责的力度上看，国家对于企业内个人信息储存安全的处罚力度也越来越强，例如杭州魔蝎案，因敏感信息的过分存储而被处以罚金3000万元，足见我国对于个人信息存储安全的整治力度正在不断加大。数据安全治理体系形成后，企业将会面临合规成本、可能的监管处罚以31及出现安全事故后的追责，这些都包括在网络安全保险的范围内，因此网络安全保险发展存在其合理性。网络安全保险对于减轻企业负担，降低风险存在益处。这是保险本来的作用，就不再赘述。网络安全保险如果得到发展，保险公司将成为一股事实上的企业数据存储安全的监管力量。企业数据安全风险与企业的数据存储安全保护能力相关。市场化的保险制度存在时，可以想见，保险公司会分析企业的数据存储安全保护能力并依此调整保费标准，也会尽力帮助企业提高数据存储安全来降低保险赔付的概率。事实上在网络安全保险充分发展的美国，保险公司会提供监管合规咨询、隐患排查、数据保护指导等一揽子的方案。针对中小企业来说，政府监管单位的监管成本比较高，实际上很难对所有的中小企业都排查到位，这时这样来自保险公司的监管对于提高中小企业数据存储安全有着尤为显著的作用。对于中小企业，相较于仅仅通过监管单位的事后追责来提供警戒，保险公司的存在多了一道事前排查隐患的保险。网络安全保险由政府主导推广的必要性我国政府态度对于国内保险业的影响很大。中国的保险市场中，四大国有保险公司占据半壁江山，可以说国有保险公司的动向对于整个国内保险行业都有引领作用。与此同时，国内保险行业也有开发创新力不足、对于新的市场需求反应缓慢的问题。因此，由政府牵头国有保险企业主动尝试开发符合中国情况的网络安全保险，是打开市场的好手段。政府手中拥有配合网络安全保险发展的资源。全新的保险产品的开发绕不开的问题就是如何找到合适的风险评估模型，这与政府的一些工作部分重合，例如国家去年推出的数据安全能力成熟度模型D