二、数据合规的历史梳理
对数据合规的历史进行梳理,有助于我们更好地理解数据合规的基本理念。数据合规的发展史将进一步显示“数据生命周期”和“自我规制”这两个核心要点的重要性。第一,体现“自我规制”的数据合规是传统治理模式进行变革的结果,这在某种程度上为数据合规提供了正当性基础;第二,“数据生命周期”中有不断产生且不停变化的数据风险,这是现代数字社会下的风险形式,其中隐藏着数据合规的方法论基础。
(一)数据合规的起源
企业合规制度最早确立于美国,后来成为全世界通用的企业规制方式。[11]在20世纪60年代以前,虽然美国主要依赖单一的国家监管模式对企业进行规制,但合规已经出现在美国商业监管领域的零星实践中。[12]在20世纪60年代以后,随着一些企业垄断丑闻的出现,美国司法部门认定了多起垄断罪名,对涉案企业开出了天价罚单,这促使众多企业开始制定反垄断合规计划。在这一过程中,监管部门给予了企业大力支持,在企业的合规计划得到严格落实的情况下,免除了企业大量的法律责任。于是,企业合规建设在美国特定领域逐渐受到重视,形成了若干法案,如1977年出台的《反海外腐败法》[13]、1987年出台的《联邦量刑指南》[14]。可见,在企业合规的早期发展中,企业合规已经被定位为一种法律激励机制,即促使企业自觉构建与完善内部管理体系,从而避免企业与企业员工违反相关法律规定。
进入21世纪后,美国为应对大规模的企业欺诈丑闻,通过了《萨班斯-奥克斯利法案》,推动企业建立内部控制体系,内部控制体系成为最主要的企业监管模式。在该法案的影响下,美国上市公司会计监管委员会确立了企业内部控制体系的基本标准。[15]企业可以根据合规的基本标准与自身情况,自主构建公司内部合规管理体系。在这一时期,美国已基本实现企业规制模式的转变,推动企业合规这种自我规制模式向全行业扩展。[16]
随着美国企业合规制度的普遍实施与日渐完善,不少西方国家,如英国[17]、法国[18],也逐步接受了企业合规理念,开始建立相应的企业合规制度。此外,还有一些国际组织,将企业合规作为一种“国际执法激励机制”,引导企业开展相应的合规建设。国际标准化组织更是基于各国最新的合规实践,于2021年颁布了《合规管理体系要求及使用指南》,这意味着企业合规已经成为一种国际趋势。[19]
随着各国企业合规制度逐渐完善,中国企业在国际交易中面临着越来越严峻的合规挑战,对合规的忽视往往会让企业付出惨重的代价。[20]对此,中国于2017年发布《关于规范企业海外经营行为的若干意见》,提出了“加强企业海外经营行为合规制度建设”的要求。2018年,国务院国有资产监督管理委员会发布了《中央企业合规管理指引(试行)》,对中央企业强化合规经营、构建合规体系提供了全面的指导意见。[21]同年5月,中国国际贸易促进委员会发起设立了全国企业合规委员会,力图在全国确立基本的合规标准和体系。[22]与美国、英国、法国类似,中国的企业合规制度也很快走上了法律激励的道路,即以合规不起诉制度为主要内容,并逐渐形成了“检察主导”的鲜明特色。[23]2020年,最高人民检察院正式开展了“合规不起诉”的试点工作,强调“少捕”“少押”“慎诉”的司法理念。[24]2021年,最高人民检察院发布典型案例与指导案例,对早期的试点经验进行总结,[25]同时推动建设企业合规第三方监督评估机制。[26]2022年,最高人民检察院在全国范围内展开涉案企业合规改革。[27]不过,我国虽然很快建立起了企业合规管理制度,但我们还缺乏对“自我规制”理念的引导与贯彻。[28]
从企业合规的发展历程可知,企业合规是不同于传统“政府规制”的企业治理模式。“政府规制”主张凭借政府的外部强监管对企业进行规制;企业合规所代表的“自我规制”则主张企业在其内部完善合规管理体系,从而自主规范其日常经营管理行为,自觉遵守相关法律规定。一方面,企业通过“自我规制”避免了承担沉重的法律责任;另一方面,政府也因企业自觉遵守法律规定而节约了规制成本。数据合规是企业合规的新近发展,但其仍然没有脱离企业合规的“自我规制”理念,而是为这一理念赋予了数字社会的新内涵。
综上,数据合规的“规制史”主要是梳理企业合规的发展史,因为二者都具备“自我规制”的理念根源。如有学者所指出的,“企业合规”是“合规”之总论,“数据合规”是“(企业)合规”之分论。[29]因此,想要搞清楚数据合规起源,我们首先需要对企业合规的起源进行考察。企业合规发展史中一以贯之的“自我规制”理念为数据合规所承继,并在数字社会中被赋予了新的内涵。
(二)数据合规的立法史
基于数据合规相对于企业合规的特殊性,数据合规的“风险史”呈现了数字社会的数据风险治理史,进而明晰数据合规基于数据风险的方法论要点。数据合规是企业合规应对现代数字社会的时代方案。
在我国立法上,一般不采用“数据风险”的表述,而更倾向于采用“数据安全”或“数据保护”等正面表述。事实上,无论是“数据安全法”还是“数据保护法”,在大数据时代,企业都需要以风险预防与风险治理为核心,即设立“数据风险法”。[30]早在1993年,我国施行过一部国家安全法,但其中并未涉及“数据安全”方面的内容,这为2015年出台的《中华人民共和国国家安全法》(简称《国家安全法》),埋下了伏笔。中国在数据保护与数据安全方面的立法在很大程度上是受外界推动的结果。2013年,中国加紧开展数据保护与数据安全立法,[31]施行的《国家安全法》第25条提出,要实现“数据的安全可控”。然而,由于《国家安全法》涉及整个国家安全体系,因此未能从数据风险治理的角度对数据保护制度进行规定。2017年正式施行的《网络安全法》第21条确立了针对网络运营者的网络安全等级保护制度,其中的“制定内部安全管理制度和操作规程”被学者认为是“数据合规义务的法定化”。[32]更为重要的是,该法开始从风险防范的角度设计数据保护制度,如《网络安全法》第10条规定:“建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。”第17条规定:“国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。”
然而,国际形势风云突变。就在《网络安全法》施行的同年,欧盟开始颁布实施《通用数据保护条例》(General Data Protection Regulation,GDPR),将个人信息视为一种公民的基本权利加以保护,并规定欧盟以外其他国家的企业必须在达到相应的数据保护合规要求的情况下,才可与欧盟成员国内的企业进行数据流通交易。这在某种程度上可视为欧盟对全球数据治理话语权的争夺尝试,[33]同时也是水涨船高的国际数据合规标准的具体体现。而在具体的规范设置上,GDPR通过开放界定“数据处理”的概念[34]、为不同的信息基本权设置风险分级[35]等措施,为公民的个人信息与数据提供了全方位的保护。在国际掀起数据保护的立法浪潮之下,中国于2021年颁布了《数据安全法》。该法认识到数据安全风险的特殊性,[36]在制度上建立数据安全风险评估(第30条)、监测(第29条)等风险治理机制,在运行中加强数据安全风险信息的获取、分析、研判、预警工作(第22条)。在数据合规方面,《数据安全法》第27条第1款规定了数据处理者的“建立健全全流程数据安全管理制度”义务,第一次在立法上为数据合规的“数据生命周期”要点提供了规范依据。
2021年颁布的《个人信息保护法》也同样重视从数据风险治理的角度设计个人信息处理规则。更为重要的是,《个人信息保护法》在法律文本中针对个人信息保护使用了“合规”的表述。《个人信息保护法》第58条第1项规定,“按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”;《个人信息保护法》第54条规定:“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”
在中国有关数据保护的立法沿革中,数据风险的地位不断得到重视,逐渐成为指导数据治理的主要理念与重要手段。这是数据洪流下的时代趋势。大数据时代的数据价值体现在对数据的利用和再利用上,即运用算法对海量数据进行分析处理,从而进行自动化决策,实现对特定目标的精准预测。[37]然而,大数据时代也是一个“风险社会”,充斥着各种“数据风险”。就此而言,数据合规的方法论就在于探寻“数据风险治理”的基本逻辑。[38]