释放数据潜能

中国进入后数据合规时代，企业应如何应对国家对数据的监管？腾云天下科技总法律顾问兼数据合规官葛梦莹撰文解答

随着国家数据局在2023年10月25日挂牌成立，中国数据合规进入了一个新的阶段。我们暂且称之为“后数据合规时代”。

在这之前，国家在确定对数据管理的路径时，综合考虑内、外两方面因素：在立法层面上，内部以《个人信息保护法》（下称“个保法”）平衡产业发展和个人信息保护，外部以《数据安全法》来应对国际竞争压力。此外，国家渐渐意识到数据是具有独立于企业和个人之外的一种利益角色。

因此，在后数据合规时代，数据管理的目的不再局限于督促企业去保障数据的安全，以及从个人的角度来维护个人权益，而是要通过数据要素化，来释放数据的发展红利，同时通过加强对数据的掌控能力，来维护国家主权和安全利益。

数据管理路径变化

在过去，对于企业来说，数据安全原本是归在网络安全的范围内予以保护的，但随着《数据安全法》于2021年9月1日开始施行，数据安全开始作为一项独立管理事项，经历了完整的制度设计，开始具有全面性、系统性、权威性。

《数据安全法》划定了两个主要的数据类型，分别是个人信息和重要数据。何为重要数据？并非由企业来界定，而是由国家自上而下地、通过全面判断数据可能影响的价值和利益来进行，从而将相应类型的数据纳入重要数据目录之中，并要求持有或掌握这些数据的组织，按照国家规定对数据进行重点保护。换言之，不论是个人信息还是企业数据，只要有可能危及整体层面的利益，都会被认定为“重要数据”。

对于数据的分级分类，《数据安全法》采用的是一种实然路径，即不改变企业内部的业务模式和流程，只是客观地描述在这个模式和流程中所收集和产出的数据类型，根据数据的安全属性（完整性、保密性、可用性）在遭到破坏以后的影响对象、范围或者程度，来对数据进行分级。

这种思路也突出体现出国家“数据是独立于企业和个人的利益”的监管诉求。

个人信息保护路径变化

随着人工智能（AI）技术的快速发展，机器的自动化决策已经渗透进企业生产经营以及生活的方方面面，将不可避免地对个人、企业、国家产生重大影响。在精准医疗、智慧交通、大数据征信等重要领域，AI都将大行其道。

AI已不再是单纯实现人类意志和想法的工具了，而是人类的参谋、助手、某个领域的专家，甚至是重大事项中的决策者。因此，个保法重点关注了两大创新议题：算法和超大平台。

个保法对自动化决策提出了保证决策透明度、保证决策结果的公平公正、不得实行不合理差别待遇等要求，以回应“大数据杀熟”、违规个性化推荐等热点问题。

但算法与自动化决策又不同。算法有一个显著特征，即不需要单个人的个人信息，就能对特定个人做出决策或推荐，因此算法未被整体纳入个保法框架。

作为补充，网信办出台了两份专门性文件：《互联网信息服务算法推荐管理规定》和《关于加强互联网信息服务算法综合治理的指导意见》，从而针对性地规制算法。

此外，个保法为个人信息处理者界定了一个新的类别，即提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，也就是“超大型互联网平台”，并规定了其所应履行的特殊义务。

近年来，相关职能部门和监管机构对APP和企业违法违规收集使用个人信息的现象开展专项治理，并取得了一定成效，但一些问题仍然突出。APP数量众多且层出不穷，个人信息收集的行为和方式也在不断演变，常规治理难以实现全面且及时的覆盖。正因此，个保法直接从关键环节入手，从法律层面来明确超大平台的相应责任。