云数据跨境流动的监管

<正>数字经济发展进程中，云数据具有极高的经济价值和战略价值。当下“云端”安全的内涵和外延发生了深刻变化，涵盖跨境数据流动。对云数据跨境流动的监管，是“云端”安全防护的题中应有之义。跨境数据安全随着企业数据跨境传输、访问、使用频次和容量大幅上升，跨境数据流动的风险越来越大。据《企业跨境数据流动安全合规白皮书（2023）》，当前企业在跨境数据流动上面临多重挑战：一是跨境数据流动面临流出国与流入国之间在数据保护、数据监管等方面的法律冲突；二是依据我国相关法律法规，企业须识别跨境数据在境内、     

论数字平台的合规监管

作为回应平台监管挑战的制度方案,合规监管在政策立法和执法实践中都愈发重要。合规监管是由自我监管(企业的合规管理)和后设监管(监管机构对企业自我监管的监管)构成的二阶治理模式。合规监管契合了数字平台的独特性及其对监管提出的敏捷性、预防性、统合性和合作回应性等新要求,可以作为常态化监管的有效制度安排。在方法论上,借助回应性监管理论,合规监管在数字平台监管领域的运用可以采取监管工具金字塔与监管策略金字塔、第三方外部监督机制、对数字守门员的重点监管等制度方案,以实现规范与发展并重的治理目标。     

数据安全视角下企业刑事合规的检视与治理

数据的广泛使用在促进数字经济快速发展的同时，也面临数据的收集、使用、存储、管理和流转风险，并滋生有关刑事法律风险。为维护数字安全，实现数据价值，应构建以预防数据安全风险为核心的数据安全治理新范式，企业刑事合规正是其中的关键治理手段。大数据背景下，我国企业刑事合规存在理念认识不够到位、专业监管能力不足、技术合规适用空白等问题。对此，可在维护数据安全为导向的新形势下，拓展和完善企业刑事合规，以开展企业数据合规为要，探索实现法律与技术合规二元共治，持续优化涉案企业数据合规第三方监督评估机制，并落实企业数据合规刑行衔接。     

后“SchremsⅡ案”时期欧盟数据跨境流动法律监管的演进及我国的因应

“SchremsⅡ案”对以隐私权和数据保护为核心构建的欧盟数据跨境流动规则体系产生重大影响,它要求无论使用何种数据跨境流动工具,都必须确保第三国能够提供与欧盟同等的保护水平。在该案的影响下,《欧盟基本权利宪章》在数据保护领域的地位进一步提高,保障措施的适用愈发严苛,欧洲数据保护委员会在数据保护领域将扮演更重要的角色,数据跨境流动欧盟法规则与国际贸易法的不兼容问题日益凸显。欧盟虽然结合SchremsⅡ案的判决完善了对数据跨境的法律监管,但依然没有减少外界对其监管合理性的质疑。我国对数据跨境流动的监管存在着配套立法不健全、规则可操作性差、多元价值失衡、缺乏内外联动的“中国方案”等问题。对此,应完善我国相关立法,加强中欧国际合作,共同引领构建数据跨境流动的国际规则。     

约束数字守门人：超大型数字平台加重义务研究

数字时代，超大型数字平台正在不断聚集数据权力并对用户隐私与信息自主以及公平竞争等产生显著影响。作为数字守门人，一方面，超大型数字平台应承担用户守护者的角色，因此，在数据法上应负担额外的隐私与数据保护义务以及避免用户受第三方侵害的“准监管”义务，本质上，这也是民法上高度注意义务的直接体现；另一方面，超大型数字平台还应承担反垄断法上的数字竞争促进义务。颇具挑战的问题是，围绕个人数据，隐私或数据保护与竞争促进呈现高度交织与冲突趋势。这也意味着无论是反垄断法抑或数据保护法都无法独自发挥作用，唯有打破两者之间的藩篱，才能更好地化解隐私与竞争这对法益之间的潜在冲突。     

数据安全合规标准的建立与发展

随着数字经济社会高速发展,数据安全日益成为关乎数字经济发展的核心内容,同时数据安全合规问题也是企业合规的新兴领域,具体的数据安全合规参考标准问题近年来常引起争议,如果不确立明确有效的数据安全合规标准,为数据处理者提供准确的法律支撑,可能会导致其面临数据安全的行政或刑事法律风险。数据安全合规标准实质上是对数据全流程处理的法律规范指引,可以从合规风险精准管控,全流程体系化覆盖,管理机构、人员及技术专业性,违法行为及时查处等方面入手,对数据安全合规进行标准化审查。     

论数据犯罪的立法重塑

当前《刑法》所规定的数据犯罪主要源于前数字经济时代，所保护的数据类型及对侵害行为的规制皆无法适应数字经济时代的发展需要，对既有规范的刑法解释亦无法实现对数据法益的妥善保护，立法断层与司法瓶颈并存。数据分类分级保护制度为刑法介入数据保护划定了合理界限，值得刑法保护的数据应被限定为《数据安全法》等前置法所特别保护的重要数据，一般数据不宜过早地被纳入刑法保护范畴。承载私法益的个人数据和企业数据能够通过《刑法》所确立的关联犯罪得到妥善保护，没有必要通过增设新罪予以重复保护。基于对数据犯罪立法的体系性考察，建议增设非法处理重要数据罪，以衔接《数据安全法》等，弥补对关乎国家安全、公共利益的重要数据的保护空隙，同时对侵犯公民个人信息罪进行必要的立法扩容，以回应实现全流程规制非法处理个人信息数据行为的实践期待。     

互联网合规新局

<正>当前,互联网经济已成为中国经济体系中不可或缺的增长点、创新池。经历近20年蓬勃发展,在大数据、人工智能等技术支持下,互联网经济涌现出多种新业态、新模式。在促进经济社会发展的同时,互联网行业面临合规发展的现实要求。实践证明,法治是互联网治理的基本方式。过去数年间,中国在数字经济、数据安全、人工智能治理等网络法治领域,出台了一系列政策法规,实现了网络法治建设“从无到有”,完成了网络立法、网络执法、网络司法、网络普法等领域“从有到优”。     

美国企业合规计划的要素与启示

企业合规是经济全球化发展的必然要求,检察机关应该顺应历史发展的趋势,主导行政监管机关、行业组织、企业代表等,围绕重点领域、重点环节与重点人员设计专项合规计划,以检察履职助力企业合规制度的构建,及时有效惩治预防企业犯罪,增强我国企业的管理水平与竞争力。各类企业应当在借鉴美国合规计划构造的基础上,吸收专项合规计划的精髓,根据自身需求建立一套设计良好的、具有足够资源和授权支撑的、在实践中能够有效发现和预防犯罪的合规计划。     

涉案互联网企业合规有效性监管标准构建探索

在互联网领域，由于经营业务的特殊性，涉案企业合规表面整改的问题尤为突出。完善涉案互联网企业合规有效性监管，检察机关应注重确立有效性监管标准。目前，推进互联网企业监管面临技术业务责任争议、合规实体建设不足、缺乏监管成本核算标准以及企业合规启动阶段相对靠后等困境。检察机关应着力建构包含企业技术业务、合规实体建设、监管成本、前置性合规体系建设等内容的有效性监管标准，提升涉案企业合规成效。     

元规制模式下的数据保护与算法规制 ——以欧盟《通用数据保护条例》为研究样本

算法和数据保护之间形成了互相掣肘又互相促进的复杂关系，实际体现了科技与法律的互动关系。算法技术的突破加剧权力失衡和技术风险，导致个人权利实现效果不彰。个人法益保护有赖强化数据控制者责任。在监管机构缺乏必要资源或信息时，适宜采用元规制模式，即通过正反面激励，促使数据控制者本身针对问题做出自我规制式回应。这种模式切实体现在欧盟数据保护改革中。在检讨GDPR第22条算法条款的基础上，应发展数据控制者自我治理机制予以补足。在透明度原则和问责原则指引下，数据控制者有义务通过数据保护影响评估、经设计的数据保护等工具，构建完备的算法审查机制；同时通过革新算法解释方法矫正权力失衡，为个人权利救济提供保障。     

“数据合规官”的角色与责任

“首席隐私官”“首席安全官”“信息合规官”“数据合规官”“数据安全官”……在数据隐私合规的大环境下,催生出了大量合规方面的工作岗位,这些岗位可以成为法律人施展专业能力的新舞台。这种岗位的设置最初可以追溯到欧盟于2018年5月25日出台的《通用数据保护条例》。     

合规不仅是一种理念

<正>合规管理是完善现代企业制度、增强企业竞争力的必然要求。合规是指企业及其员工的经营管理和行为符合法律法规、监管规定、行业准则、商业道德以及企业章程、内部规章,避免因违规而受到法律制裁或监管处罚。对于企业来说,规章制度是企业内部的“法”,企业一切管理和运行行为都在规章制度的框架约束下开展,企业规范化发展离不开科学有效的规章制度体系作为保障。     

论企业合规管理主体规制理路的转向——从合规监管到合规治理

企业合规管理主体是企业合规的先决问题，我国企业合规管理主体存在以公司法抽象推定和以企业类型、业务范畴为标准的具体规定双重模式，呈现出内外双向扩张发展趋势，逐渐增加专业性、独立性。但在国家监管的推动下，企业合规主体的规制理路逐渐远离公司治理底色，成为国家干预、打造公司私人秩序的一种新兴形式，产生与公司治理、公司法的逻辑冲突：合规监管推进模式与公司内部组织进化规律不符；复杂、多样的合规管理主体易引发管理权力三类矛盾；重形式轻效果的规制偏好远离企业合规管理的核心；合规管理职位的专设导向与公司风险管理相剥离，增加运营成本。这证成不论是规制企业合规管理主体还是企业合规整项活动，均需改变当前合规监管模式而转向合规治理模式。具体而言，这就需要：合规管理主体规则的制定应遵从私法进化规律，以公司主体参与为导向；合规管理主体规则的适用应回归软法本质，以遵守或解释模式为技术手段；合规管理主体的权力配置回归公司法，以公司权力分配规则为依据；合规管理主体的规制效果评估回归公司治理，以成本收益的经济计算为标准。     

药品数据保护的比较分析与立法选择

TRIPS协议第39.3条首次在国际层面规定了数据保护的义务。我国是否履行了该义务的入世承诺,是中美之间重要的争议。为缓解相关的国际压力,需要构建合理的数据保护制度,梳理世界各国如何实施第39.3条具有重要的借鉴意义。从数据保护的属性来看,包括禁止占用（商业秘密）、数据专有权和市场专有权等立法模式。在具体制度上,依据TRIPS协议第39.3条,各国详细规定药品数据受保护的条件,重点界定新型化学成分与新药的关系及其范围,明确数据保护的权利内容和保护期限,构建保障公共健康的数据保护限制制度。我国应借鉴这些规定,修订《药品管理法》以完善药品数据的保护。     

企业合规"待办清单"

《数据安全法》被视为我国网络空间与信息安全治理的三部基础性法律之一.其着力于从保障数字经济发展角度,强调数据安全与经济发展的辩证关系,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展.企业应明确《数据安全法》下的合规应对措施,梳理出一张"待办清单",以尽快落实合规措施,加强数据安全管理.     

数据迁移权及其本土化路径研究--以数据竞争为视角

《欧盟一般数据保护条例》(GDPR)率先在个人数据领域赋予数据主体数据迁移权,成为全球数据保护的立法标杆。数据迁移权的诞生为企业参与数据竞争正向赋能,企业竞争中也存在诸多数据迁移障碍。本文结合欧盟数据迁移权的相关规定,以数据、数据迁移权和数据竞争三要素之间的互动关系为进路,通过剖析数据迁移对企业竞争和创新发展的双向反馈,认为我国不应急于实施数据迁移权,而是将数据迁移权定性为一种柔性权利,按照"三阶段五步骤"的路径规划,逐步建立符合我国国情的数据迁移制度。     

税收情报自动交换中的个人数据保护问题

随着税收情报自动交换成为新的国际通例,纳税人个人数据的保护问题正凸显其重要性。当前的税收情报自动交换存在两类国际体制,一类以美国的《海外账户税收合规法案》为代表,具有单边主义特征,另一类以《多边税收征管互助公约》为代表,具有多边主义特征,无论是哪一类税收情报自动交换体制,均存在欧盟国家依据欧洲个人数据保护法而拒绝提供纳税人信息的可能性。为了促进跨境个人数据的流动,美欧签署了"隐私盾"总协议,在一定程度上规避了欧洲法的强制性要求,而中国除了被动遵守欧盟国家关于个人数据保护法的相关规定外,尚无良策。面对此境况,中国可考虑制定一部综合性的个人数据保护法,在提高个人数据保护水准的同时,为发展跨境大数据经济确立稳定的法律框架。     

ChatGPT的数据安全风险及其合规管理

ChatGPT在积极赋能社会各领域发展过程中也隐含着数据安全风险,可能侵犯公民与企业合法权益、损害公共利益和国家安全。应当坚持“四个治理”原则,将合规管理方式引入到ChatGPT的数据安全风险治理体系,创新ChatGPT数据安全风险的治理方式。以合规管理方式治理ChatGPT的数据安全风险,需要ChatGPT的研发、生产、运用企业依据有效性原则、全面性原则、独立性原则、相称性原则开展数据合规管理,并从数据合规管理制度、数据安全风险识别与评估、数据安全风险应对处置、数据合规奖惩、数据合规科技创新、数据合规管理评估、数据合规文化培育等方面建立和实施数据合规管理方案。     

语音数据法律风险防范的本土制度构建

伴随着智能语音助手的广泛运用,语音数据的重要性开始逐步显现,必须在语音数据独特性的基础上重新认识“语音”这一特殊的数字资源。单纯地借鉴《欧盟一般数据保护条例》的统一立法模式或者是美国目前的领域立法模式,均无法适应我国的数据治理现状。语音数据自身的特殊性使得其有可能触发的风险与规制都需要予以特别关注。语音的交互性是人工智能发展的重要条件,语音数据的画像性使得其所包含的个人信息更为多元,而语言的使用又让语音数据展现出一定的地域性和族群性特征。在我国强调构建数据基础制度的大背景下,可以从法律规则和监管规则上进行创新,以市场自律的方式建立最佳实践准则,同时以中国标准指导具体路径的实施,守护好我国的数字主权。