数据合规2020年展望

朱玲凤

数据合规行业在2019年取得了很大的进展，影响颇大。

近年来飞速发展的数据产业使人们对数据价值的认识越来越深刻，数据被誉为除算法和算力以外，大数据公司的第三种重要资产。但在产业持续扩张的同时，与数据有关的负面新闻也大幅增加，特别是国内连续发生多起以徐玉玉案为代表的精准电信诈骗案，国外Google、Facebook等巨头也接连被曝出数据泄露丑闻，人们对于数据和隐私安全的担忧日益加深。为规范大数据应用、确保数据和隐私安全，世界各国都在持续不断的加强立法，欧盟和美国先后出台了《通用数据保护条例》、《2018加州消费者隐私法案》，我国的《网络安全法》和《电子商务法》也已正式生效。同时，《个人信息保护法》也进入了立法程序，数据合规将成为维护产业平稳健康发展，保障公司商业利益和正常运营的重要基石。

图1 元数据治理步骤

由于在司法实践中，执法机关倾向于对个人数据以及侵犯行为的类型进行扩大适用，所以即使已经做了全面的尽职调查工作，作为数据接收方仍要在交易前认真考量如果数据提供方被行政机关甚至司法机关判定为非法收集、使用或共享个人数据，是否能够承担相应的法律后果。把好入口关，仅仅是企业数据合规的第一步。

从国际立法角度来看，欧盟统一数据保护条例（GDPR）生效一周年，各方反馈不一，负面评价称GDPR严重影响了企业发展尤其是创新，而且一定程度上并未明显提升对消费者权益的保护;正面评价称GDPR从赋予用户强大的权利以及要求数据控制者（和处理者）承担相对严格的义务的角度来保障作为人身自由和权利一部分的用户数据。在后GDPR时代，各国立法迅速启动，连秉持不同立法逻辑的美国都有较大的变化，号称为GDPR2.0的CCPA草案在2019年历经几次修订，于2020年1月1日生效。

从国际执法角度来看，GDPR生效后欧盟各数据保护机关执法频繁，有赔偿金额过亿的英国ICO处罚英航的案例，处罚类型上也较为全面，有涉及员工个人信息处理的普华永道案，有涉及人脸识别的瑞典学校案，有涉及个性化广告处理的谷歌案等。轰动全行业的剑桥分析案，美国FTC调查并与之达成和解，最终达成了50亿美金的巨额和解金以及重构董事会内的隐私管理职责等。

从国内视野来看，自2019年1月以来，网信办、工信部、公安部和市场监督管理总局联合开展APP专项治理工作。立法上，《儿童个人信息网络保护规定》以及《APP违法违规手机使用个人信息行为认定办法》生效并实施，并有多部重要立法和国家标准征求意见稿出台。执法动态上，通过用户的举报、主动应用商店排查等，四部委均作出了重要的举措。比如工信部11月份开展的《APP侵害用户权益专项整治行动》，2019年12月23日，App专项治理工作组通报61款App存在违规收集使用个人信息问题。

此番举措为数据合规逐步成为一个独立的行业或专业领域注入了强大的力量。在2019年结束之际，笔者从企业数据合规角度尝试展望2020年的趋势与变化。

数据合规行业的蓝海

上述2019年数据合规的盘点，可以明显看出数据合规立法逐步清晰，可谓成为单独的法律领域，执法节奏之紧密，后果之严重，给企业带来了很大的合规风险，成为企业合规清单上重要的部分。所以，数据合规将必然成为一个独立的行业或专业领域。

反观有着悠久历史数据合规的欧盟，其在GDPR实施一周年报告中指出，欧盟已有50万公司设立了数据保护官。今年一年从行业的人才需求来看，大量的头部企业均在寻找数据合规人才。可见，数据合规行业的蓝海已经到来，数据合规岗可能成为一个中型以上公司的标配。

数据合规立法和标准进入井喷期

从国际视野来看，后GDPR时代各国都在仿照GDPR设计本国的隐私数据法律规定。比如印度2019年发布了印度数据保护法2019年草案，并经过内阁审议，有望在2020年生效。美国也在探讨是否要在联邦层面制定隐私数据保护的法律规定。

从国内视野来看，将会有更大的变化，民法典草案《人格权编》已经规定了隐私权和个人信息保护，2020年将公布《个人信息保护法》征求意见稿。同时《信息安全技術 个人信息安全规范（修订）》将有望生效，在2019年征求意见的《信息安全技术 移动互联网应用程序（app）收集个人信息基本规范》、《信息安全技术 个人信息安全工程指南》等均有所进展。

数据保护寻求多方共治解决路径

2019年执法集中在app层面，在此期间进一步拓展到了sdk。其实从业界角度来看，互联网行业乃至于物联网行业依托于各方，彼此依赖，相互影响。在2019年12月30日召开的《App个人信息保护工作研讨会》上，四部委领导在致辞中有提到“构建社会各方积极参与的个人信息保护生态体系等方面，进一步采取有效措施，形成工作合力，切实加强个人信息保护工作”，也有提出“行业自律等措施”，以及“继续积极探索社会协同治理的新模式和新举措”。

图2 2016—2020 年中国人脸识别市场规模预测。来源：公开资料整理

可见，2020年在加大执法力度的同时也进一步提出多方共治的模式，推进个人信息保护的长效机制进一步发展。

从合规出发的数据治理

2019年工信部开展《电信和互联网行业提升发展网络数据安全管理专项行动》，在双随机一公开工作中，指出了部分企业未采取有效数据分级、敏感信息加密等涉及数据治理领域的合规要求。（见表1）

表1 《电信和互联网行业提升发展网络数据安全管理专项行动》部分不合规企业。来源：摘自《電信和互联网行业提升发展网络数据安全管理专项行动》

2019年12月31日，安徽银保监局针对安徽凤阳农商银行作出了一项25万元的罚款，理由是未能有效开展数据治理工作，数据治理存在严重缺陷。（见表2）

表2 安徽银保监局处罚案例

可见，执法层面已经开始关注数据治理的问题。个人信息保护从2019年集中处理app个人信息保护将深入到后端是否采取了数据分类分级以及相应的数据治理规则。

此前，2018年被认定为数据治理元年，大量的公司在强调数据中台，真正实现数字化转型或者数据驱动型。用户数据在精准化营销、定向推送、人工智能等领域有极强的作用，因此实现数据治理，让数据可以用起来也是企业自身发展的诉求。

因此，2020年有望看到从合规出发的数据治理格局，在更多的公司进一步推进数据中台。

人脸识别等AI前沿技术运用的数据合规规制

2019年人脸识别技术大范围地铺开使用，比如火车站、飞机的实名验证，支付领域的人脸支付快捷方式，刷脸执法，人脸识别情绪被用于课堂监控学生学习。

人脸识别技术确实对于人们的生活便利性有了很大提升，对于公共安全也有一定帮助，比如张学友演唱会通过人脸识别抓捕到几十人的逃犯。然而，人脸识别技术如果被滥用，将会导致人身和财产有所损害，比如人脸数据库泄漏、人脸识别技术被滥用于商业用途等。

各国正在对人脸识别技术做积极的法律探索，2019年美国多个州禁止市政部门使用人脸识别技术，法国CNIL出具了关于人脸识别的报告，中国人民银行组织银行卡检测中心与银联、云从科技等算法厂商、终端厂商等单位共同编写《人脸识别线下支付安全应用技术规范（试行）》，以保障人脸识别技术在支付领域的安全应用。人脸识别技术有望在2020年出台明确清晰的规则指引。

隐私增强技术进入落地期

阿里达摩院发布的十大科技趋势中提到了“保护数据隐私的AI技术将加速落地”。在数字经济时代，数据是生产要素，需要发挥数据的潜能。然而另一方面，安全与隐私保护力度的日益强化，一定程度上会阻碍数据流动和潜能发展。

因此，需要在隐私保护和数据可用性间实现平衡。一个公司内的数据可以尝试使用差分隐私技术等，在不泄漏个人隐私的前提下分析群体用户的倾向。多个公司之间数据的流动难度就更大，数据合规风险以及相互之间的不信任导致数据流动存在障碍，所以探索隐私增强的AI技术诉求增强，可能会加速落地实际业务。

如上所述，隐私数据保护未来将变成常态，数据合规将成为独立的专业或行业毋庸置疑。2020年立法持续井喷，数据合规人员的学习压力增加。数据合规执法将寻求多方共治，更具有体系性和长效性，同时将合规领域拓展到后端的数据治理。新技术将会给隐私保护带来问题，也可能解决隐私保护与数据可用之间的矛盾。