企业大数据战略与数据合规

企业的产品研发、精准营销、客户服务、订单处理、生产管理，无时无刻都要接触大数据、运用大数据。大数据是现代企业的核心战略之一。大数据战略推行，意味着企业必须成为数据的采集者、加工者、运用者，但与大数据战略相对应的则是信息安全与信息保护。数据采集、加工、运用都会涉及到合规问题。

2017年6月1日生效的《网络安全法》及此后工信部、公安部等部委的配套规则，对个人信息保护进行了专门规制，对信息获取原则、方法、法律责任也进行了明确。事实上个人信息保护在民法通则、刑法、全国人大的相关决定、最高院司法解释中也都有规定。企业大数据战略与个人信息保护，是法律需平衡的一对矛盾，也是企业大数据战略构建过程中须考虑的因素。

个人信息保护

个人信息保护是大数据战略中首要考虑的问题，也是合规的基础工作。处理不当，则会引发针对企业的法律纠纷甚至是刑事责任。通常，应把握如下原则：

1. 信息收集应明示告知用户，并取得其同意。这是《网络安全法》规定的基本原则。但实践操作中，明示原则往往容易被忽略，或者告知方式不当，导致用户忽略该告知信息。此类情况在手机应用程序中比较常见，比如部分手机应用程序，其默认功能设置为获取用户的地理信息，需要用户专门关闭后才停止信息的收集。此类应用将用户的地理信息作为提供用户需求分析以及改善服务体验的重要数据源，在商业目的上具有一定的合理性，但却存在收集个人信息未经明示和获得用户同意的问题。

2. 未经用户同意不得许可第三方使用。网络运营者不得泄露其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。这一规则，也是法律的基本要求。但在大型企业集团内部，有时会发生对这一原则的不当理解。在同一集团内部，数据信息的混用也成为企业比较容易忽略的法律风险。

3. 数据来源的合法性。这是法律对信息采集者的基本要求。但现实操作中，企业出于大数据征信和风控的需要，经常会选择从第三方买入个人信息。如果第三方数据提供商在个人信息提供过程中，未获得用户授权，或者第三方数据本身是通过不当爬取、恶意获取、非法买入获得，则从第三方获取信息的行为，将会存在很大的法律合规风险。

数据跨境使用

数据跨境使用，在跨国公司内部是常见的管理手段或业务模式，不过这一模式在《网络安全法》的规则要求下，将面临法律合规风险。

按照《网络安全法》及配套规则，网络经营者在中国境内获得用户个人信息，如果需要跨境使用，需要经过特定的安全审查程序。对此，《网络安全法》规定了“关键信息基础设施的运营者”的跨境数据使用和安全审查规则。国家网信办发布的《个人信息和重要数据出境安全评估办法》（征求意见稿）则将个人信息出境的适用范围扩展到所有的网络运营者。上述跨境数据使用规则，对于有跨境业务的机构来说，无疑将带来新的
风险。

企业大数据管理

基于《网络安全法》及其他个人信息保护的法律、法规、规章，企业大数据管理过程中应注意如下问题：

数据分层管理。不同数据，有着不同的价值，数据泄漏或混用给用户、社会公共利益、国家安全造成的损害也是不同的。企业在收集用户信息前，需要对数据的维度作出合理的分析，并且对数据设置不同的敏感度层级。经过数据分层处理，针对不同的合规需要与合规事项，企业可以采取更具针对性的应对方法。

建立数据保护制度和完善数据保护规程。网络安全法对于个人信息保护采用了公共责任立法的原则。如果网络运营者发生信息泄漏等安全事故，除了依法对受到侵害的个人承担民事赔偿责任外，网络运营者还需要承担相应的行政处罚或刑事法律责任。而网络运营者是否已经按照法律、法规、规章的要求建立了网络安全及个人信息保护制度、是否有完善的操作规程和完善的内部机构，一方面可以防范或减少民事索赔的发生，另一方面，也可以成为网络运营者在发生数据安全事故后能否免除或减轻行政及刑事法律责任的条件之一。

作者：锦天城律师事务所高级合伙人吴卫明