数据治理，时不我待

中国近期出台的数据法律令不少企业措手不及，迫使它们仓促进行合规转型。新浪集团总法律顾问谷海燕撰文呼吁企业采取更主动的态度进行数据治理

随着互联网技术的迭代升级，数据资源变革生活方式的步伐正逐步加快，在赋能产业升级的同时，助力新一轮科技革命。

也正因如此，平台企业之间围绕数据权益的竞争逐渐白热化，如何有效管理、使用平台合法收集而来的数据资源，是亟需解决的时代课题。这需要社会各方主体共同维护并推动企业数据治理体系的完善与发展，形成良好有序的数据要素分配机制，以保障数据市场持续有效地运转。

新法律框架的影响

《数据安全法》《个人信息保护法》及一系列配套措施的相继生效，为中国企业的数据治理确定了新的方向和道路，为行业出现的新问题、新挑战提供了符合时代特征的治理思路与措施，也为产业的发展树立了较为确定的指引与规则。

首先，于2021年6月1日生效的《数据安全法》，确立了中国对数据“保护+利用”的双重治理逻辑。一方面，《数据安全法》贯彻落实总体国家安全观，保障数据作为基础性战略资源的地位，确立了数据分类分级管理、数据安全审查、数据安全风险评估、监测预警和应急处置等基本制度。

另一方面，《数据安全法》坚持安全与发展并重，在规范数据活动的同时，促进数据依法合理有效利用，为充分发挥数据的基础资源作用和创新引擎作用提供制度保障。

笔者认为，只有正确把握《数据安全法》宏观宗旨，企业才能真正有效落实数据管理制度，保障各类市场行为合法合规。

其次，于2021年11月1日生效的《个人信息保护法》，是继民法典将个人信息作为一项重要民事权利予以保护后的首部细化规则，具有更强的针对性和可操作性。这部具有立法前瞻性的的法律重点做出了如下四方面的规定：

• 将“告知-同意”确立为个人信息保护核心规则。即将用户同意的有效性建立在平台的充分告知的基础上，包括“单独同意”、“书面同意”，以及对同意的撤回权利。
• 强调禁止“大数据杀熟”。《个人信息保护法》规定，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。
• 对个人敏感信息采取严格保护措施。《个人信息保护法》要求，只有在具有特定的目的和充分的必要性，采取严格保护措施，获取用户单独同意，并进行了事前影响评估的情形下，方可处理敏感个人信息，同时还需要向个人充分告知处理的必要性以及对个人权益的影响。
• 强化个人信息处理者的义务。个人信息处理者是个人信息保护的第一责任人，应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。为此，《个人信息保护法》设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务。