数据安全③鼓励出台数据合规团体标准，构建民间数据安全屏障

随着互联网数字经济在中国的蓬勃发展，数据的全生命周期管理及数据权益保护越来越成为制度与规范性建设的关注重点。然而，面对数字经济发展的新形势和新问题，往往存在立法滞后，立法空白，法条表述清晰度有限，无对应标准等困境。从企业的视角出发，面对这样的现状，企业往往难以明确自己的合规性发展方向，这严重影响了经营活动。由此，笔者建议鼓励、帮助行业协会、企业联盟等社会团体发挥自身能动性，出台有实际约束力的团体标准，作为对国家现行法律的有效补充，行业内部的行为准绳，司法活动的依据，构建起民间的数据安全“自卫墙”。 
企业面临的合规性问题
作为方兴未艾的高新产业，数字经济行业的变化与法律完善、行业自身发展乃至普罗大众的生活都密切相关。在这一过程中，行业自身的动作发挥着主体性作用。每一个微观企业的决定共同构成了行业的发展方向。一方面，企业的决策依赖于他们基本经营活动收益的计算；另一方面，企业的决策同样也是他们对自身合规性与伦理考量的结果。行业的合规性建设是本报告关注的主要问题。
（一）企业合规意识有限，对于数据权益认识不足
在调研中，笔者发现数据企业对于数据规范和数据权益的认识往往有限。具体而言，这一问题表现在以下方面：
1、前期法律唯后果导向的司法模式，塑造了企业的思维惯性。在《个人信息保护法》《数据安全法》等体系化法律尚未出台之前，中国数据相关案件审判具有以结果论定法律责任的特征；而在行业发展初期，行业内部共识尚未有效凝聚时，兜底法律是唯一的合规参考。在这种情况下，行业内部普遍认为：“数据泄露，乃至适当跨越个人信息的边界，这本身不是问题，问题是，是否造成了实质性后果与危害”。这显然与我们不断推进数据确权的法律发展方向不符合，在实际操作中，这种贪图省力的思维惰性也可能会对企业自身造成危害。例如2021年初引起争议的杭州魔蝎爬虫案，公司非法存储虽未造成直接损失，但仍然受到严惩，对企业自身发展也造成了重创。
2、 当下对数据权益的认识不敏感，对数据的全周期与产业链价值估计失当。部分企业对数据价值的评估纯粹出于自身企业内部商业利用价值的考虑，既没有从用户视角出发，也没有认清数据在产业链流动中产生的价值。仍然以上文所述的杭州魔蝎案为例，在用户数据的层面上，公司应当注意到这些数据即使没有被本公司二次利用的可能，仍然侵犯了用户在数据上享有的知情权与决定权；在产业链的层面上，公司应该意识到自己的数据在上下游中是否存在潜在价值，例如是否会成为潜在的“套路贷”犯罪的一环，进而重估自己手中数据的价值。
（二）法律的清晰和完善度有限，企业缺乏有效合规指导
除去企业自身的意识缺乏，法律标准的欠缺与模糊也是造成企业合规性困境的重要原因。这方面的困境主要体现在以下几方面：
1、等待法律审核与生效周期长，其间缺乏可供使用的司法与合规参考。以《数据安全法》为例，从正式提请审议的范围到生效耗时三年余，尚未计入在进入正式提请审议前的延宕，整个过程耗时长，其间企业很难确认企业行为的合规性。国家标准也存在类似的问题。作为强制性标准，是法律基础上进一步的技术性兜底规定，国家标准同样需要经过草拟、公示与修改的较长过程。
2、法律规定清晰度不够，企业难以确定具体行为合规性。整体趋势来看，中国在数据安全与治理方面的法律体系正在不断完善，但这些法律内容本身在具体技术要求上难以面面俱到，这既可能是法律漏洞，也可能是法律作为兜底原则性规范的制定考量。《个人信息保护法》第二十五条规定：“利用个人信息进行自动化决策，应当保证决策的透明度”，便会留下这样的疑问：“透明度”的程度如何与自身商业机密的保护相平衡？
（三）合规性缺失的危害
从法律法规和企业意识两个方面总结了存在的问题后，现将这些问题会导致的损失与危害条陈述如下。
1、不清晰的法律法规规定，将会影响企业的创新与经营积极性。从事数据经济的企业往往是技术创新型企业，在其考虑是否要应用自身的技术创新时，可能会因为不清晰的法律与标准规定而出于保守考虑放弃对技术与实践创新的应用。
2、巨大的违法成本可能会对中小企业产生巨大打击。魔蝎案或可为一例。企业在不能确认自己行为的合规性的情况下，极易产生过失行为，信息资源相对较缺乏的中小企业尤其如此；巨大的违法成本往往对资金不够雄厚的中小企业伤害又最大。
3. 不清晰的法律规定所导致的司法自由裁量，将会影响中国经济对外开放。中国司法与标准的不明晰直接影响外资企业的投资建设，这种规定的不确定性，使他们难以确认自身是否需要为投资付出巨大的合规成本。
基于此，本报告特建议，由全国性社会团体牵头与统筹，地方性社会团体主导与响应，标准化行政部门指导与配合，共同推进数据行业的团体标准建设，作为法律和其他国家标准的补充。 
团体标准的优势与发展现状
作为共识性原则的团体标准缺失的情况下，主要会造成以下两点损失与危害：
1、对整个行业，产生恶性竞争的风气，导致“劣币驱逐良币”的效应。行业内共识监管的缺失与司法不起诉不受理的原则相结合，使得一些企业逃避合规成本而投入恶性竞争。这不仅会导致行业的无序竞争，影响行业发展，更会消费行业公众信任，影响行业存亡。
2、对司法系统，制造了不必要的司法成本。在团体标准清晰的情况下，市场内部调节和产业链互相监督可以减少许多因互相矛盾的标准或利益而产生的纠纷，或交由行政部门介入仲裁协调，不必占用法庭审判的法律资源。
而团体标准作为法律和其他标准的补充，能够得到企业的欢迎和实行，主要出于以下几个原因：
1、由企业共同制定，集企业利益于一身。团体标准的制定为业内精英人才的智慧与共识的结晶，而制定过程中其实就是业内各家企业之间进行沟通交流并达成一致的过程；无论是从参与感的角度，抑或是自身利益体现的角度，企业都有执行团体标准的动机。
2、内容实践指导性强，反映具体问题。企业共商共建的团体标准相较于其他标准和法律法规，立足于更具体的实践问题与困境，能够做到较快出台且聚焦具体实践问题，指导性强，堪称为“说明书”作用。特别地，企业共同商议的过程，本身就是一次法律与行业发展信息动向的交换，能够起到增强企业合规性意识的客观作用。
3、产业链内部互相监督，市场自身调节力度好。对企业的调研显示，多数企业会关注自己的上下游企业提供的产品与服务是否符合标准，这一因素也将直接影响交易形成与否。
4、接口行政部门作为第三方监督，起到督促作用。《团体标准管理规定》中明确规定，“县级以上人民政府标准化行政主管部门、有关行政主管部门依据法定职责……对团体标准的实施进行监督检查”。
团体标准为何发展缓慢？主要是因为中国改革开放未久，仍处于巩固开放的阶段，社会仍然受到计划经济时代遗产的影响，市场自主性不够，行政对市场的干预较多，且扮演了较重的权威角色，这是中国团体标准发展落后于国际且态势劲头不足的主要原因。根据团体标准现下的具体情况，鼓励其发展，是随后工作的题中之义。
对全国团体标准信息平台的门户网站和微信公众号进行考察后，笔者总结团体标准的发展状况如下：
1、团体标准制定意识整体不断增强，但信息数据相关的行业标准制定仍然有较大缺口。就全国团体标准信息平台发布的2020年平台数据来看，信息传输、软件和信息技术服务业类团体标准数量为1178项，仅占总标准的5%；而具体到数据安全保护领域，截至2020年8月，互联网数据、信息服务、安全服务，数字内容服务的数量都较为有限。这与我们所能够感知到的互联网数字行业日新月异的发展形势显然不匹配，也反映了数据相关的行业共同体正待建设。

图1 信息传输、软件和信息技术服务业类团体标准领域分布（截至2020.08）2、关键问题的团体标准发布不断增加，能够较为及时地对社会需求作出反应。以众人关注的app对用户权益的保护为例，电信终端产业协会在半年内出台了32条标准对其进行详细规定，内容详细。
3、全国性行业协会对活跃程度高，地方重点行业协会紧随其后。同样根据全国团体标准信息平台发布的2020年平台数据，我们可以发现，在标准出台中发挥主要作用的还是以“中国”为名称开头的全国性行业协会，部分重点建设的地方行业协会同样发挥着不小的作用。
表1 信息传输、软件和信息技术服务业社会团体TOP 15 （截至2020.08）

就以上情况来看，目前中国团体规范的制定仍然存在以下问题：
1、行政部门的引导成分仍然较重，深入放管服势在必行。以上图所示的中国通信标准化协会为例，其原身是原国务院行政产业部，和行政关联仍然较高，难以完全发挥市场的自主性，影响行政监管标准执行作为“第三人”的合法性，同样也使得部分企业认为自己“被代表”，难以心服口服地执行标准。
2、主要由行业巨头联合制定，难以保证避免垄断，体现中小企业利益。以app与用户权益的一系列出台规范为例，其起草单位仍以华为、oppo、阿里巴巴等行业巨头为主，而最容易遇上合规风险的中小企业反而难以体现其利益诉求。
3、传播范围有限，在大企业间流行程度较高，难以深入中小企业执行端。调研显示，大企业往往对加入行业协会、积极参与团体标准制定有一定的主动性与积极性；而在走访中小企业中，他们往往对行业协会和团体标准关注较少。 
建议
基于对行业合规性困境的讨论，我们认为推进团体标准建设非常必要；给予对团体标准现状的考察，使我们进一步明确了推进团体标准建设的可行性和完善方向。建议方案如下，可作《2021年全国标准化工作要点》在推进团体标准建设目标下的具体补充：
（一）宏观层面
1、全国性社会团体牵头地方性社会团体，重点鼓励地方性社会团体发挥自身积极性。全国性社会团体具有号召力强、能够有效整合资源等优势，但在地方性知识上有所缺乏，且难以关注到中小企业的具体实践困境和利益。在这一层面上，地方性社会团体能够有效弥补全国性社会团体的不足。一方面，鼓励地方性社会团体广泛收集地方中小企业建议意见，为全国性社会团体提供信息支持；另一方面，鼓励地方性社会团体就地方特点出台在地方有高度认可度和适用性的地方行业标准，推动地方经济发展。
2、鼓励国家强制性标准，行业、地方等行政主导的推荐性标准多引用优秀团体标准，对团体标准的完善与制定形成示范效应的同时，对团体标准起到了鼓励作用；同时节省其他相应标准的制定流程，节约行政成本。在这一基础上，进一步推进不适宜的国家标准的退出工作，为新兴的团体标准发展腾出空间。
（二）中观层面
1、地方行政部门扮演好号召者和监督者的作用。由于数据行业的发展仍处于上升阶段，新兴中小企业如雨后春笋出现，面对这一状况，地方市场部门事实上拥有企业信息最全面、最完整的认知。一方面，地方政府部门需要做好政务公开与信息透明化，及时将市场信息向行业展示，以便行业互相了解；另一方面，地方政府部门需要对具有领头潜力的企业进行意识上的引导和鼓励，推动行业协会建设与团体标准的出台。
2、进一步完善团体标准统筹与归类。数据产业因其自身特性，与许多既有产业产生了强烈关联与交叉，而与数据相关的团体标准可能由不同领域的社会团体出台。为了便利企业对相应团体标准的检索，促进其对自身合规性的审查，全国与地方团体标准信息平台建设上应该注意相应标准的有效整合。
（三）微观层面
1、做好团体标准宣传工作，提升团体标准的接受度。实行了一个团体标准的企业应抓住宣传风口进行有效宣传——例如在产品介绍中强调团体标准的存在，在行业会议上普及前沿团体标准的内容和优势等等；从而提升各企业对团体标准的了解程度，进而使更多企业接受团体标准。
2、对于重要议题，可以适当加入对起草单位利益方权重比例的要求。目的是使中小企业进入团体标准制定的过程中，避免大企业垄断团体标准，为自身隐性牟利的局面。中国的团体标准同样须经相应标准化行政部门的审核后才能发布，相关行政部门或许可以在进一步的审慎调研后，确认特定团体标准出台时中小企业在起草中应当占有的比例，或在起草方达不到比例要求的情况下，要求主要起草方给出利益相关的中小企业足量参与的证明，作为标准通过与否的考察因素之一。
[作者李卓航来自复旦-炜衡数据安全联合报告课题组。本文选自江天骄、姚旭主编的《复旦-炜衡数据安全联合报告》，课题组其他成员还有：王蕾、陆滨、金代文、 赵越等。该报告由复旦发展研究院开设的咨政实践类课程研究成果转化而来，调研过程中得到北京炜衡(上海)律师事务所的大力支持。复旦大学网络空间国际治理研究基地主任、发展研究院教授沈逸与北京炜衡（上海）律师事务所高级合伙人顾靖担任课题研究顾问。]