作者:敬力嘉,武汉大学法学院副教授。本文来源:《法学研究》年第4期。
作为企业管理工具,个人信息保护合规也存在被滥用的体系性风险。在分配个人信息处理风险时,应遵循比例原则的要求,合理限制公民个人、企业与国家公权力机关的个人信息处理自由,并以此作为个人信息保护合规的法理依据。企业在设计个人信息保护合规计划时,应遵循目的正当原则、区分原则、均衡原则与信赖原则。对企业进行个人信息保护合规审计时,应贯彻三阶审查法,即递进式审查合规计划的一般特征、具体要素及其功能、企业成员的具体行为。企业个人信息保护合规体系的底线,由侵犯公民个人信息罪划定。以企业的个人信息处理是否合规,以及企业领导人、合规负责人是否履行监管义务作为侵犯公民个人信息罪行为不法的评价标准,可有效保障本罪作为个人信息保护合规体系之底线的功能实现。
一、问题的提出
近年来,我国社会空间数字化水平大幅提升,企业处理个人信息可能引发的法益侵害风险愈加多样化。除了可能侵犯个人法益(如利用个人信息实施电信网络诈骗侵犯个人财产),也可能侵犯超个人法益。例如,国家网信办于年7月2日、7月5日对滴滴出行、BOSS直聘等进行网络安全审查后,于年2月会同国家发改委等12个部委修订颁布了《网络安全审查办法》。该办法第7条、第8条规定,掌握超过万用户个人信息的网络平台运营者赴国外上市,需申报网络安全审查,应提交关于影响或可能影响国家安全的分析报告。出台以上规定的目的,即在于防控大规模个人信息跨境流动所可能产生的国家安全风险。
在上述背景下,随着我国个人信息保护法律、法规、其他规范性文件以及技术标准与行业规范体系的形成,企业在经营中处理个人信息会面临显著的合规风险。在国内法方面,依据网络安全法第64条、个人信息保护法第66条至第68条、数据安全法第44条至第50条、“数据安全条例”第61条、第64条至第69条、“关键设施保护条例”第39条至第46条、“内容治理规定”第34条至第39条等有关规定,若企业违法违规处理个人信息,企业及相关责任人可能面临的处罚包括约谈、警告、罚款、计入信用档案、处分、限制或剥夺经营资格、从业禁止、没收违法所得与行政拘留。在个人信息流动周期内,企业处理个人信息也可能面临刑事处罚。在外国法方面,欧盟《通用数据保护条例》(GDPR)第83条规定了高额行政罚款,各国网络治理领域的法律也对违法处理个人信息规定了行政和刑事处罚。与处罚相伴的声誉损失、商业机会损失等,也都是需要考量的合规风险。因此,无论是以数据为核心生产资料的企业,还是利用信息网络开展业务的其他企业,个人信息保护合规都是企业运营的常态化要求,乃至企业上市审查的重要内容。其不仅要求企业遵守非刑事个人信息保护法律法规,以及刑法第条之一侵犯公民个人信息罪所创设的禁止性规范,还要求企业在前两者的基础上,以预防个人信息处理合规风险为目的确立管理要求。
当前对个人信息保护合规的研究,主要集中在对代表性企业合规业务模式的归纳、APP隐私政策合规性的评估分析、与GDPR合规要求的比较分析、数据合规科技的风险规制、数据合规语境下企业处理个人信息规范要求与数据保护官职能的梳理、侵犯公民个人信息罪的保护法益与刑事责任认定等六大方面。可以看到,既有研究主要着眼于梳理个人信息保护的规范要求、个案合规经验或法律责任判定,缺乏对个人信息保护合规这一企业治理机制的体系化省思。
以企业涉嫌违法犯罪为节点,可将企业合规分为事前自主合规与事后强制合规。本文拟从企业事前自主合规的视角出发,探讨以下三个问题:第一,厘清个人信息保护合规的体系风险及法理依据;第二,明确个人信息保护合规计划的设计原则与有效性审查机制;第三,在个人信息保护合规体系中,明确侵犯公民个人信息罪所应具备的底线功能,并厘清实现该功能的具体路径。只有解答了以上三个问题,才能完成个人信息保护合规的体系构建。
二、个人信息保护合规的体系风险及法理依据
(一)个人信息保护合规的体系风险
作为一种企业管理工具,个人信息保护合规存在被滥用的风险。首先,从企业合规的一般属性看,“合规”(
转载请注明:http://www.louisfeny.net/expxzz/9095.html
