据网络媒体消息，2021年7月2日国家网信办将滴滴纳入核查名单，7月5日货车帮、BOSS直聘、运满满也进入名单。这4家互联网企业均是境外上市企业，其经营信息分别涉及道路交通数据、就业数据、仓储物流数据等等。之所以被监管部门核查，并非因为境外上市，而是因为涉及的具体数据信息可能存在数据安全问题。如果并无数据安全问题，则不会因为境外上市而被查。

一、基本概念与问题

数据，是指任何以电子或者其他方式对信息的记录。网络数据主要是指互联网企业提供网络平台收集的用户个人身份信息、设备信息、账户信息、隐私信息、社会关系信息、消费信息、个人爱好等等诸多方面的信息。这些信息通过一定的数据分析，可以判断出个人的身份、家庭办公地址、出行规律、消费习惯等等。随着信息社会的深入发展，数据价值化与商品化成为现实。对于互联网企业来说，数据具有风险管控、精准营销、产品开发与营销战略制定等多方面的价值和作用。出于这些商业目标和资本逐利的追求，企业对数据的运用往往是无所不用其极，其中包括大量的滥用数据的行为。大数据分析等网络技术的运用使得互联网企业尝到了滥用数据（用户个人信息）的甜头，对数据的渴求和滥用更是变本加厉。

数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。近年来，数据违规收集与滥用，迅速成为数据保护的突出问题，引发国家以及社会民众的广泛关注。数据安全问题的主要表现：

★未公开收集使用个人信息的规则

★强制、过度索要用户授权

★强制用户提供个人信息

★超范围收集、使用个人信息

★未公开第三方插件具有收集、使用个人信息的功能

★未提供彻底有效的注销账号功能（账号注销后网络后台数据依然存在）

★用户个人信息泄露、传播、买卖 

★通过个人信息肆意开展营销活动

★其他

正是由于数据安全问题的不断涌现，数据治理与个人信息保护已经成为各国政府高度重视的社会治理课题。就我国而言，相关规定和立法活动已经开展十余年。

主要立法规定包括：

2009年《刑法修正案（七）》增设出售、非法提供公民个人信息罪、非法获取公民个人信息罪。

2012年3月15日，工业和信息化部出台《规范互联网信息服务市场秩序若干规定》。2012年12月28日，全国人大常委会通过了《关于加强网络信息保护的决定》。

2012年12月26日，国务院发布《征信管理条例》。

2013年6月28日，工业和信息化部发布了《电信和互联网用户个人信息保护规定》。

2015年《刑法修正案（九）》修改整合为侵犯公民个人信息罪。

2017年6月1日，我国颁布了《网络安全法》。

2019年，《儿童个人信息网络保护规定》《App违法违规收集使用个人信息行为认定法》。

2020年6月1日，出台《网络安全审查办法》。

2021年6月10日，我国颁布《数据安全法》。

可见，数据安全的法律规制，不仅包括大量的行政法律法规和规章制度，还涉及刑事法律法规。由此而衍生出数据合规问题，即数据的行政合规与刑事合规问题。数据的行政合规是指企业或者个人对数据的收集、使用以及管理等活动，符合相关行政法律法规、部门规章、行业标准等规范。数据的刑事合规是指企业或者个人对数据的收集、使用以及管理等活动，符合刑事法律规范。

 

二、数据合规之行政合规

数据的行政合规是目前数据合规的主要合规内容和方向。对于互联网企业来说，数据符合相关的行政监管规定，是企业数据安全问题的首要问题。一般来说，数据行政合规问题是常见的数据合规问题。互联网企业通常较为重视数据价值的发掘和利用，而对数据安全问题则关注不够，往往是被动接受和应付数据合规行政监管，以致出现类似滴滴这样的重大数据安全事件。因此，互联网企业应将数据安全与数据价值进行等量观之。事实上，二者同等重要，不可偏废。互联网企业需要从战略发展的高度重新刷新对数据安全的认识，树立数据合规意识，在企业经营管理过程中践行数据合规要求，方能确保企业长治久安。

数据的行政合规主要包括个人信息收集、存储、访问与使用、个人信息委托处理、共享、转让、公开披露、主体权利保护、个人信息出境、以及数据危机处理等环节。

（一）个人信息收集分为直接收集和间接收集。直接收集个人信息是指互联网平台通过与用户的交互而记录收集个人信息、或者用户主动提供的个人信息。间接收集个人信息是指通过共享，买卖、利用软件公开搜集等方式间接获取个人信息的行为。《网络安全法》第41条明确，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。基于此，不得以欺诈、诱骗、误导的方式收集个人信息；不得隐藏产品或者服务具有收集个人信息的功能；不得非法获取个人信息；不得强制用户提供个人非必要信息后才提供产品或者服务；不得超范围收集信息；不得巧设名目和理由强制要求用户同意提供个人信息；不得频繁索要信息等等。

（二）个人信息存储是指网络企业对用户个人信息进行记录储存，并有义务采取必要安全措施对用户个人信息进行保护。《网络安全法》第42条对个人信息存储进行了原则性规定：网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。这里强调了网络平台对用户个人信息具有必要的保全义务，并且对网络数据的安全性负有直接责任。基于此，要求网络平台对个人信息的存储应当秉持期限尽量短、存储方式尽量安全、数据尽量去除可标识性、数据保密等基本原则。

（三）个人信息访问与使用是指互联网企业在提供产品或者服务时，访问并使用用户的个人信息，比如位置、手机照相机等个人信息。由于这种直接访问使用用户个人信息的方式可以直接获取用户的个人信息，其中很容易获取个人手机或者电脑中存储的其他隐私信息，所以极易造成个人信息的泄露。据统计，2019年数据泄露中有12%的数据系非授权访问。因此，如何对这种未经授权的访问与使用个人信息行为进行必要的限制，成为数据安全与数据合规的重要环节。因此，《数据安全法》第三十二条：任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。可见，个人信息的访问应该坚持合法的方式、正当的目的、最小的访问权限、严格的内部使用审批制度等原则。

（四）个人信息委托处理、共享、转让、公开披露主要是网络平台向其他合作企业或者个人提供自己所收集的信息，主要方式包括委托处理、共享、转让、或者公开披露等。应当说，数据的合作使用是数据价值的重要体现，许多互联网公司主要依靠数据交易和流量引流进行营利。比如目前较为主流的巨型网络公司。但是，这些个人信息的买卖、共享等对外提供，是否得到了用户的授权，是否向用户进行明示，是否在强迫用户授权（否则不提供产品或者服务的强制授权），均是实践中常见的问题。《网络安全法》第四十二条：网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。经过处理无法识别特定个人且不能复原的除外，是一个变通的方式，既确保了互联网企业利用个人信息的权益，又确保了个人信息的安全性。这似乎兼顾了企业与用户的双方利益，但其中用户毕竟没有获得任何经济收益，而用户个人信息的安全性是最起码的权益。因此，以此作为平衡双方利益的基点，对用户来说并不十分公平。

（五）个人信息主体权利保护是指个人作为自己个人信息的权利主体享有的权利，主要涉及个人信息的财产权、删除权、更正权、撤回权、注销权、投诉举报权等等。对此，很遗憾的是，目前我国法律并未赋予个人的信息财产权，仅仅赋予了其删除权和更正权。《网络安全法》第四十三条：个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。可见，对个人信息主体权利的保护还是不到位的。这其中的立法难度和阻力，可想而知。

（六）个人信息出境是指境内的网络运营者向境外提供数据信息。这种数据对外提供行为，小到可以损害个人信息权利，大到可以危及国家安全，因此应当予以严格控制。根据我国目前相关法规要求，个人信息出境必须经过省级网信办的安全评估，且网络运营商必须以明示且明确的方式向用户说明个人信息出境的目的、范围、方式、信息内容、可能产生的影响等等，且必须经过用户同意。滴滴案件可能主要就是涉及这方面的问题。

（七）数据危机应对是指网络运营者对出现的数据安全问题进行有效处理和应对。数据安全风险可以说防不胜防，很难做到万无一失。因此，不仅需要构建专门的数据安全管理机构和内部控制制度，建立有效的数据安全管理与应对的办法和预案，还需要确定安全管理负责人，强化员工的安全培训等方式，以期最大化的减少数据安全风险与最有效地管控数据安全危机。

 

三、数据合规之刑事合规

数据的刑事合规是指企业或者个人对数据的收集、使用以及管理等活动，符合刑事法律规范。相对于数据的行政合规，数据刑事合规更为重要，这涉及企业的生死存亡与企业高管的人身自由，应该引起互联网企业经营者的充分重视。

数据的刑事合规涉及的罪名主要包括侵犯公民个人信息罪、拒不履行网络安全管理义务罪、侵犯商业秘密罪、涉国家秘密犯罪等等，但较为常见的是侵犯公民个人信息罪。限于篇幅，本文着重讨论侵犯公民个人信息罪的几个小问题。

（一）我国个人信息保护“先刑后民”的立法模式。从我国立法实践上看，我国数据以及个人信息的保护遵循着“先刑后民”的立法模式。刑法有关数据及个人信息的立法规定早于民法、行政法规。这也从立法侧面说明互联网企业的数据刑事合规，是一个需要提高到公司经营战略高度的问题。民事以及行政法规对数据及个人信息规定的滞后，涉及诸多因素，其中一个因素在于数据权（个人信息权）的概念界定和权利主体等相关问题均存在着争议。目前，较为广泛的共识认为个人享有数据权。从主体角度可以将数据权分为数据公权与数据私权。数据公权的权利主体是互联网企业平台，数据私权的权利主体是用户（个人）。数据公权与数据私权的权利边界与利益平衡，成为民法、行政法规的立法难点。而对刑法而言，似乎并不需要考虑那么多，从中选取最为严重的侵权行为，按照入罪标准，纳入刑法调整即可。故而，数据保护的“先刑后民”貌似奇怪，实则有其背后的立法逻辑性。

（二）个人信息保护的行刑界限。互联网数据产业法治环境处于不断完善和健全的过程中，刑法的谦抑精神应得到充分重视。数据保护广泛存在行刑界限问题，以及刑法介入的正当性与边界问题。在诸多争议问题没有理清楚之前，不宜仓促定罪。

从刑法相关侵犯公民个人信息罪的规定看，行为类型包括违规出售、违规提供、窃取、以其他方法非法获取。其中，窃取相对来说比较容易认定，对于违规出售、违规提供、以其他方法非法获取，需要结合文义解释、目的解释，并从行刑衔接角度去实质地理解其内涵与外延。

1.超范围使用并不完全等于“违规出售”、“违法提供”

首先，形式上看，超范围使用与违规出售、违规提供属于不同的行为类型。

违规出售是指违反国家规定，未经授权，有偿向他人提供公民个人信息。违规提供是指违反国家规定，未经授权，无偿向他人提供公民个人信息。而超范围使用则是指超出授权范围使用公民个人信息。超范围使用并不能当然地解释为违规出售、违规提供。

网络平台公司根据服务需要向用户收集个人手机号码、姓名、位置、照片等个人信息，并向用户索要使用其个人信息的授权。这个授权往往针对个人信息本身，但对于信息使用范围一般进行原则性的描述。那么，何谓超范围，便是需要进一步界定的问题。不宜肆意扩大授权范围，也不宜过于狭隘的理解用户的授权外延。超范围的界定需要结合公司的营业模式、服务内容、信息使用环节、行业规范、行政监管底线等诸多方面进行判定。超范围的认定需要谨慎，尤其是行业惯例普遍存在的情况下，不宜过分苛求平台公司，更不宜轻易将其解释为刑法上的“违规出售”、“违法提供”。

即便是超范围使用，也需要讨论超出什么范围，具体与授权范围有何不同。并非只要超出授权范围，便是违规出售、违规提供。比如说平台关联公司、合作伙伴公司使用了平台方因服务依法获取的公民个人信息。此情况下，貌似属于“未经被收集者同意，向他人提供的”，但并不应认定为违反国家规定，提供公民个人信息。这里需要对超出范围进行界定，需要对刑法介入的范围进行限定。超范围并不能被狭隘地解释为与用户签约的平台公司，也应当排除提供网络服务必须的关联方和合作方对个人信息的合理使用。这种信息分享和共用是提供网络服务所必需，也在服务目的范围内，符合用户的利益需求，不应断然解释为违规出售或者违规提供。

其次，实质上看，超范围使用不一定具有刑法上的社会危害性。

侵犯公民个人信息罪，是一个情节犯。其犯罪的成立需要有情节严重的要素。何谓情节严重？司法解释主要聚焦于信息的种类与数量，并试图通过不同种类信息的数量去具体量化情节严重。但实际上，本罪中的“情节严重”，并不仅仅体现在信息数量上，也体现在信息的传播范围、传播对象，以及是否对用户的信息权有实质上的严重侵害。

一般来说，需要结合以下几种情况，实质地判断超范围使用是否具有严重的社会危害性，是否符合情节严重要素。

一是存在用户部分授权。正规的网络平台一般会向用户索要授权，但由于授权范围设定的不合理、授权条款不明确、新的业务发展超出既有授权且未及时补充扩大授权等情况，导致用户原有的授权已经不能涵盖现行的使用，即所谓的超出授权范围。但这其中毕竟有用户的授权，平台虽有过错，但不能完全界定为违规违法。其中的社会危害性有多大，是否属于刑法上的情节严重，需要具体评估。

二是超授权范围但并未超服务范围。平台向用户索要信息使用的授权，是为了向用户提供服务。根据用户服务需要，有时候平台会在超授权范围搜集服务提供方，并向合作方提供用户信息，进而更好更快地满足用户服务需求。也就是说，这里虽然超出了信息使用的授权范围，但是却还是为了满足用户的服务需求，仍在用户需求服务的范围之内，并不存在为了别的目的（如：牟利）而出售、提供用户个人信息。这种服务信息的提供，对用户来说，也是需要的，符合其交易目的，并没有超出其服务需求范围。这种尽管超出授权范围，但是没有超服务范围，不能断定服务方式和服务结果一定违背用户的授权意愿。其中的社会危害性以及是否属于情节严重，需要具体衡量。

三是以提供服务为主与单纯出售、非法提供行为存在质的区别。多数平台公司一般还是以提供网络服务为主营业务，并非简单地获取用户信息而另行进行出售或者非法提供。这种经营行为内容客观上符合市场经济规律，是有价值的经营活动，并不能直接等同于犯罪行为看待。对于具有一定社会正当性的经营行为，一般并没有明显的社会危害性，入罪时不宜一律简单地认定为情节严重的犯罪行为。

四是是否严重侵害用户的数据权。个人信息的超范围使用，并不意味着用户数据权的严重侵犯。用户数据权主要指用户对其个人信息享有占有、使用、收益、处分等权益。应该根据侵权程度，区分一般侵权与严重侵权。不宜将一般侵权纳入刑法调整范围。只有严重侵犯用户数据权的行为，才符合情节严重这一要素，具有上升为侵犯公民个人信息犯罪行为的可能。例如，平台对用户个人信息的占有、使用、收益以及处分，虽然表面上未经用户明确授权（而非没有授权），但是仍基于用户的服务需求，能不能算作侵权，也会有争议。我们观点认为，即便是侵权，也不能视为严重的侵权，更没有达到犯罪行为所要求的社会危害性。

2.超范围收集并不等同于“以其他方法非法获取”

对于公民一些个人信息的收集，则非必要，且未经用户同意，涉嫌超范围收集用户信息，涉嫌行政违法违规，但并不能一律上升为刑法上的“以其他方法非法获取”行为，原因在于一些个人信息并不属于刑法上的公民个人信息。

根据2013年、2017年的司法解释，公民个人信息概念界定为能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。可见，刑法所要规制的不是全部的个人信息，而是有关身份及其活动情况的信息。司法解释对一些信息作了列举，对其他信息却并未明确。比如用户的录音、交易习惯，这个是否属于刑法中的个人信息，会产生争议。我们倾向于认为，录音、交易习惯不属于刑法上的个人信息。因为，录音、交易习惯并不能直接锁定人的身份，与其他一般的辅助信息也不能锁定人的身份，因而还不能与已经列举的通信方式、财产账号之类的信息作相当性的解释。