频繁立法背后 企业应如何平衡监管要求与发展需求？

11月1日，《个人信息保护法》正式实施，和《网络安全法》、《数据安全法》正式组成了数据安全领域的“三驾马车”，对政府机构、企业、社会相关管理者、运营者、经营者都提出了更明确的要求。

 

 

当日，金杜律师事务所与奇安信集团宣布达成战略合作，双方将共同为行业法律法规落地实施、企业法律合规实践提供助力。双方将充分发挥各自在企业安全防护技术实践与政策法律解读和法律合规方面的优势，共同探索法律专业领域与信息技术的深度融合和创新应用。

 

在下午的圆桌环节上，在金杜律师事务所合伙人吴涵、奇安信集团法务总监马兰的主持下，对外经济贸易大学法学院副教授许可、中国法学会法治研究所副研究员刘金瑞、奇安信集团副总裁韩永刚、奇安盘古隐私安全业务负责人赵帅四位法律专家、行业安全专家共同围绕《个人信息保护法》的立法思路、国家监管未来的趋势和方向以及企业如何平衡发展与合规需求等话题展开了精彩思辨。

 

 

 

随着《网络安全法》、《数据安全法》、《个人信息保护法》三部法律的出台，无论是国内企业还是出海企业以及国际企业都在思考，中国数据安全相关的法律法规不断健全，配套政策措施层出不穷，中国未来的监管思路是怎样的？到底中国想干啥？

 

对外经济贸易大学法学院副教授许可首先谈到，中国密集立法是中国数字经济发展的必然阶段。“从某种角度上来看，中国过去那么多年的互联网发展是一种‘非法兴起’，也就是在没有法律约束的条件下的一种蓬勃发展，野蛮生长。打个比喻，现在我们像是历史的钟摆，它是在调整。从我们说互联网的非法兴起到现在习总书记所说的‘互联网不是非法之地’，这种变化是随着数字经济，互联网平台企业的不断增长、不断壮大的必然结果，所以它是历史趋势。”

 

其次，它符合国际发展的潮流。从全世界范围来看，2018年开始全球掀起一股对于大型科技公司的抵制情绪，2019年经济学家们在文章中提出了一个词“科技抵制”。这代表着大家对于大企业、大的互联网公司，利用自己的技术优势和市场优势，给包括市场竞争秩序、个人消费者的权益，甚至于国家安全所带来威胁的忧虑。

 

在这个背景下，无论是欧盟的GDPR还是最新的一系列的数字市场法，数字服务法，或者是美国对于一些大的企业的反垄断调查，包括对Facebook公司8700万人的数据泄露事件开出的50亿美元的罚单，都代表着全球范围内对于大科技公司、平台型公司的强有力的监管。

 

最后，中国互联网发展到现在，它的发展的态势中本身就体现了中国新的监管思路和监管方向。“算法治理”是我们今天讨论的一个命题，中国的算法治理非常鲜明的体现了中国的新思路。

 

第一个是算法的公平性，今天我们讨论的大数据杀熟、算法歧视等问题，中国和西方对公平的理解是不一样的。第二个是算法的向善，在算法治理的很多规则中，这一种新的价值取向也和其他国家是不一样的。第三个是算法的安全，在算法治理的相关文件中，算法安全是高频度出现的，那么安全的关切也是中国在互联网管理互联网的法制的环境中建设中最首当其冲的一个价值取向。这几点都是中国的未来的发展道路上做出的选择，它和现在欧盟的和美国的都有所差异。

 

 

针对中国立法思路与国际立法思路的不同之处这一话题，中国法学会法治研究所副研究员刘金瑞提出了自己的观点，他认为中国的立法思路是“以发展保安全”，具体来说就是欧洲向左走，美国向右走，中国则是向前和向上走。

 

他在发言中谈到，“欧洲的模式是把个人信息看成人权，是人的尊严，所以他认为你的个人信息相当于你的人格尊严一样重要，人权至高无上，所以不可侵犯。因此，欧洲的GDPR所有的例外都是一种维权限制的思路。而美国的基本逻辑则是市场自律，是一种市场机制。大家注意到，在FaceBook的数据泄露事件中，最后出面开出罚单的是美国联邦贸易委员会（Federal Trade Commission），它实际上是一个负责市场公平贸易的管理结构，因此，美国的思路是市场或者是发展的思路。”

 

所以刘金瑞把它称为“欧洲人往左走，美国人往右走”，往左的是因为欧洲比较严苛，而美国则偏向发展市场往右走。他表示，如果说欧洲是从人权的角度考虑，美国是从市场的角度考虑，那么中国有一个很鲜明的特点——安全。包括《数据安全法》《个人信息保护法》都着重强调“安全”一词，中国秉承的辩证思路就是“以发展保安全”。

 

从辩证的思路上看，虽然中国是以安全为核心，但实际上在借鉴的时候，中国的法律内核借鉴了很多美国促发展的思路，但在形式文本方面却又和欧洲相接近。

 

他认为，看待中国《个人信息保护法》的立法思路，要同看待国家安全与发展的辩证思路一样，在讨论个人信息是什么，核心数据如何处理以及产业如何发展的过程中，需要探讨出一种中庸之道来实现平衡，最终实现以发展保安全，以安全促进发展的目标。

 

 

数据安全与网络安全的区别在哪里？奇安信集团副总裁韩永刚认为，数据安全并非是一个独立于网络安全之外的独立领域，事实上保护网络空间安全的核心目的就在于保护自身企业的业务平稳与核心数据安全。

 

他谈到：“当我们谈到‘网络安全’这个词时，其实它的外延也开始变得越来越大。最早的时候大家提到的是信息安全‘Information Security’，后来提到的是网络安全‘Network Security’，它涵盖了端、网、云的安全问题，而现在我们说到的网络安全其实是网络空间安全即‘Cyber Security’，当我们把网络安全的外延扩展到网络空间的概念时，数据安全就已经成为了它的核心组成部分。”

 

韩永刚表示，数据安全与传统安全的差异点表现在，传统网络安全可以在技术上被抽象出来，包括一些端的安全，网的安全，甚至云计算环境的安全，最终抽象出来无非是保障计算环境和传输过程没有问题，保障它的平稳运行和完整性，传统安全的手段是不干预业务运行的。

 

但是数据安全与业务逻辑、业务过程交互与侵入非常多。在保障数据的过程中如果发现有异常访问的情况，是要对正在进行中的业务进行干预和打断的，比如对此前分配的数据访问权限进行降权处置，甚至是在进行身份认证的过程中进行打断等等，这是一个很大的差别。

 

第二个差别在于，它对整个工作流程、制度的重新制定都可能产生影响。在传统网络安全时代，很多的CEO主要考虑的问题是如何把坏人挡在门外。但在数据安全的治理中，他其实已经不单单是外部的问题，当前大家看到的很多数据安全问题恰恰是发生于内部，比如内部的滥用、误用，甚至数据的窃取等等。因此，数据安全问题需要从整个数据安全治理的角度考量，而不仅仅是网络攻防的角度，这也是数据安全与传统安全的差异点。

 

 

《个人信息保护法》的正式实施，对于广大企业而言无疑在合规成本、合规方面增加了更大的压力，企业合规的风险和合规的成本之间应该如何平衡？如何在控制风险的基础上，更好的挖掘数据的商业价值来促进业务发展？技术如何赋能合规？奇安盘古隐私安全业务负责人赵帅结合奇安信在App安全合规治理方面的经验进行了解读。

 

他表示，从技术赋能的角度来看，帮助企业做安全合规是凭借技术方面的理解，将合规层面的法律法规要求、规章制度、标准文件等信息进行整理收集，并且跟专业的法律团队、跟监管机构进行沟通，来建立一些评判的标准，具体去看在哪些场景下哪些行为可以判定为合规，哪些是不合规。

 

把这些信息收集上来之后，奇安信的技术团队会以此为标准建立技术模型，最后形成具体的技术指标。然后根据这些技术指标去看App或者是一些小程序、网站，他们在每一个功能节点上，在每一个收集使用的场景下，他们表现出来的具体情况，根据这个情况的话再去看他有哪些违规的一些风险，并给出风险合规治理的方案给到企业的管理者。

 

赵帅提到，合规是一个持续的过程，它是一个需要持续有人力成本铺在里面的工作。企业内部在做数据合规治理的时候，需要包括企业法务团队、产品研发运营团队、安全团队以及运维团队等多种角色的参与，因此企业需要投入很大的人力成本。此外，合规成本的投入也是一个长期的过程，安全合规检测并非是一蹴而就的，每当产品或业务的新版本上线时，都需要再组成一次协作团队来完成合规检测的工作。

 

因此，他给出了自己的建议，平衡企业合规的风险和合规的成本应该借助一些技术手段的辅助，将一些角色从合规检测的工作中解放出来。将技术检测手段嵌入每一个产品的研发设计运维的过程中，嵌入业务流程中，才能在一个比较长的周期内控制合规工作的投入产出比。