（一）数据、个人信息与隐私信息

在我国法律语境下，数据、个人信息和隐私信息是相互关联但不同的法律概念。笔者对这三者的法律概念及其特征做如下简要概括：

1.数据

概念：数据是指根据特定形式记录的信息，可以包括各种类型的信息，包括但不限于个人信息和隐私信息。

法律特征：数据是一个广泛的概念，可以包括各种类型和形式的信息，不仅限于个人身份与隐私相关的信息。例如，公司的销售数据、科学研究数据、统计数据等都属于数据的范畴。

2.个人信息

概念：个人信息是指与特定的被识别或可识别的自然人相关联的任何信息。这些信息可以直接或间接地识别个人的身份，包括但不限于姓名、身份证号码、电话号码、地址和电子邮件地址等。

法律特征：个人信息是数据的一种特殊形式，在法律上受到更严格的保护。个人信息的收集、使用和处理需要遵守特定的法律法规和标准，如《个人信息保护法》。企业需要获得数据主体的明确同意，同时采取相应的安全措施来保护这些信息的安全与隐私。

3.隐私信息

概念：隐私信息指的是与个人隐私有关的信息，包括个人生活、通信、个人行为等具有私密性的内容。

法律特征：隐私信息是个人信息的一个重要部分，主要关注个人的隐私权益。与个人信息相比，隐私信息更加注重个人的私密性、个人生活等方面。在我国法律中，保护隐私信息是保护个人权益的一项重要法律原则，任何组织或个人都需要尊重他人的隐私权。

综上，数据是一般概念，个人信息是指与特定个人相关的信息，而隐私信息则是与个人的隐私权益有关的敏感信息。在数据合规和个人信息保护方面，企业需要根据法律要求来处理和保护个人信息，尊重个人的隐私权益。

（二）数据保护的主要内涵及要求

在我国法律语境下，数据保护是指通过法律措施和技术手段，保护数据安全、确保合法和合规的数据处理和使用，以及维护个人隐私权益的一系列工作和措施。数据保护的主要内涵和要求体现在如下几个方面：

1.数据安全保护

内涵：针对数据的收集、存储、传输和处理过程中的安全问题，包括但不限于数据泄露、篡改、丢失或被恶意利用等风险，进行防范和保护措施。

要求：企业和机构需要建立健全的数据安全管理制度，采取技术手段和安全措施，确保数据的机密性、完整性和可用性，抵御网络攻击和数据泄露的风险。

2.合法合规数据处理

内涵：数据处理应基于合法合规的原则，遵守数据处理的目的、方式和范围，充分尊重个人意愿和隐私权益。

要求：企业和机构在数据处理过程中需获得数据主体的明确同意，明确告知数据处理的目的、范围和方式，并严格遵守数据收集、存储和传输的相关法律法规，保护个人的隐私权益。

3.个人信息保护

内涵：个人信息保护是数据保护的重要组成部分，强调对个人身份信息、通信记录等敏感信息的保护和合规处理，确保个人信息的安全和隐私权益。

要求：企业和机构应当采取合理的技术和组织措施，保护个人信息的安全性和保密性，限制个人信息的收集和使用范围，严格遵守个人信息保护法等相关法律法规的规定。

4.跨境数据传输的安全保护

内涵：涉及个人信息的跨境传输需要特别关注数据的安全与合规性，确保在数据传输过程中不受恶意攻击和非法利用。

要求：企业和机构在跨境数据传输时，应遵循相关法律法规和监管要求，进行风险评估和数据保护措施，确保个人信息在境内外的传输安全，符合法律法规要求。

综上，《数据安全法》、《网络安全法》和《个人信息保护法》的实施促使企业和机构更加重视数据保护工作。数据保护包括数据安全、合法合规数据处理、个人信息保护以及跨境数据传输的安全保护等方面，要求企业建立健全制度，采取相应的技术和组织措施，保护数据的安全和隐私权益，遵守相关法律法规，构建可信赖的数据环境。

二、我国数据保护的立法现状

2017年6月1日，我国《网络安全法》正式施行，旨在维护国家网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的权益。2021年1月1日实施的《民法典》则是从国家基本法律的高度明确了个人信息受法律保护。2021年9月1日，《数据安全法》开始施行。作为数据领域的基础性法律和国家安全领域的一部重要法律，《数据安全法》集中、全面体现了我国当前的数据安全监管思路。

《数据安全法》建立“数据分类分级保护制度”，明确规定国家建立数据安全审查制度和“国家核心数据”管理制度，强调网络安全等级保护制度与数据安全保护制度的衔接，明确重要数据出境安全管理、安全评估制度，严格规制面向境外司法或者执法机构的数据出境活动，针对政务数据安全与开放设立专章，首次对政务数据的安全监管思路做出了总体规定。明确数据处理活动不应排除、限制竞争。2021年8月20日，《个人信息保护法》正式发布，并于2021年11月1日正式实施。这是我国第一部关于个人信息保护的专门法律，对组织和个人处理个人信息的各项活动产生重大影响。《个人信息保护法》构建以“告知-同意”为核心的个人信息处理规则，完善个人在个人信息处理活动中的各项权利，设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务，对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动设置了更严格的义务要求，加大了对违法处理个人信息行为的处罚力度，使得个人信息权益得到了更有力的保护。

在配套制度方面，各领域政策法规逐步出台，强化网络数据安全监管力度。《关键信息基础设施安全保护条例》（以下简称《关键信息设施保护条例》）于2021年9月1日起施行。条例指出，国家对关键信息基础设施实行重点保护。运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。2021年11月16日，新的《网络安全审查办法》审议通过，自2022年2月15日起施行。该办法系在原《办法》基础上，根据《数据安全法》进行修订形成，将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围，并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查，旨在进一步保障网络安全和数据安全，维护国家安全。2022年7月7日，《数据出境安全评估办法》正式颁布，2022年9月1日起施行，为数据处理者开展数据出境安全评估提供了确定可操作的法律依据，具有里程碑式的意义。

此外，相关部门还出台了一些规范和标准，对数据安全和数据处理作出规定。例如，公安部2019年发布《互联网个人信息安全保护指南》，全国信息安全标准化技术委员会2020年7月发布《网络安全标准实践指南——移动互联网应用程序(APP)收集使用个人信息自评估指南》、9月发布《网络安全标准实践指南——移动互联网应用程序(APP)个人信息保护常见文集及处置指南》，这些都是经常被提及和参考的一些文件。2020年10月1日，市场监督管理总局和国家标准委员会联合发布了GB/T35273-2020《信息安全技术个人信息安全规范》，从数据处理全流程的活动原则和安全要求上作出全面规定。

2021年8月1日，最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》成为第一个针对特定个人信息（人脸）保护作出的司法解释。2023年6月1日，《个人信息出境标准合同办法》开始施行，对规范数据出境活动、促进数据跨境安全、保护重要数据和个人信息权益具有重要作用。至此，个人信息处理者向中华人民共和国境外提供个人信息的三种路径（标准合同、认证和安全评估）的法律基础已经完备，为跨境数据安全治理提供了有力保障。

三、企业数据合规常见风险类型

个人信息保护合规及数据合规的要求贯穿于收集、存储、使用、加工、传输、提供、公开、删除等多个环节，其中收集环节的风险尤为集中。这里仅围绕收集环节的合规风险展开讨论。企业收集数据或个人信息应当采取合法、正当的方式，在法律法规对于收集的方式、目的和范围有特别要求时，企业应当遵守该特别要求。在收集个人信息时，还应当限于实现处理目的的最小范围，即遵守目的性限制原则、必要性原则，不得过度、超范围收集个人信息。上述即为法律规定的数据及个人信息收集阶段的合规义务，企业若有违反合法、正当、必要原则的情况，可能会承担不同类别的法律责任。具体而言，实务中多出现如下情况与合规风险：

（一）侵犯个人信息

侵犯个人信息有着诸多表现，例如：运用手机应用程序违反规定搜集并关系客户的私人信息帐户；互联网平台设置强制性条文，如要求客户若回绝给予私人信息，则将不得使用对应的手机应用程序等；互联网经营人违反规定公布客户数据信息内容；数据解决者未采取保障措施，加大了数据侵权行为风险性；运营商侧数据泄漏，由于访问管理控制措施不力、存储不安全或者缺乏安全意识，导致用户数据或者与用户数据关联的数据泄漏给未经授权的第三方，从而导致个人隐私数据泄漏；数据泄漏响应不足，运营商未将已经发生的或者可能发生的数据泄漏事件通知受影响的人（数据主体）；未实施切实可行的措施来纠正这种情况，不试图限制泄漏；“同意一切行为”，即用户使用协议过于笼统并且经常对应用的所有行为都是“同意一切行为”，而不是针对应用的各个目的清楚说明并且要求用户单独同意。对此，现在的隐私保护法规有明确的要求，过于笼统的“同意一切行为”等同于无效协议，由此引发的个人隐私泄漏，将依法追究相关企业的责任；用户的数据删除不充分，系统不能在用户要求下或者在指定目的已经完成的情况下，及时有效地清除用户的隐私数据，也是对个人信息的侵犯，可能会面临高额处罚。

（二）侵犯商业秘密

商业机密数据是指对企业生产发展和竞争力具有重要价值的企业数据，如客户资料、生产数据等。企业既存在着商业数据秘密被他人侵犯的风险，也存在着侵犯他人商业数据秘密的风险。比如一些企业利用掌握其他企业商业数据秘密的员工跳槽所带来的相关数据进行业务拓展，或者利用尚未公开的技术数据进行新产品开发等，都存在侵犯商业秘密的风险。

（三）侵害信息网络安全

一方面表现为侵犯计算机/信息网络违法犯罪。例如“爬虫”是企业高效提取并利用数据最常用的网络信息搜索技术，但若“爬虫”行为未在法律框架内实施，则可能给企业带来严重的刑事后果。如在数据获取环节，利用“爬虫”非法获取其他计算机信息系统中存储、处理或者传输的数据，可能涉嫌“非法获取计算机信息系统数据罪”；干扰其他网站正常运营，或者故意制作、传播病毒等破坏性程序，影响计算机系统正常运行的，可能构成“破坏计算机信息系统罪”。另一方面表现为违反网络安全保护或信息网络安全管理义务。如企业作为网络服务提供者不履行法律法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正导致违法信息大量传播、用户信息泄露等的，则可能构成拒不履行信息网络安全管理义务罪。

（四）侵害公平竞争

涉数据合规的侵害公平竞争主要有三个方面的表现。

1.不当运用网络爬虫技术获取数据

网络爬虫尽管因其高效性、便利性与自动性而获得市场青睐，但是也不乏投机取巧之人利用该项技术恶意长时间占有平台服务器，盗取大量机密数据，可能构成刑事犯罪。毫无底线收集数据对于合法运营的经营者来说将带来巨大损失，不仅造成了经营者自身的合法数据被窃取利用导致利益受损，还降低了其他用户的使用感，影响正常的经营运转。以新浪微博诉蚁坊公司不正当竞争案为例，法院认为：蚁坊公司的爬取行为即依托于微博平台数据提高了其自身交易能力，但可能剥夺或降低了微梦公司在相关市场的交易机会，所以认定其构成不正当竞争。

2.不当使用搜索引擎获取数据

一些企业为了获取利润而使用垂直引擎技术来不当获取数据信息，在给自己带来竞争优势的同时，会导致被攫取数据的其他经营者用户流量减少，甚至面临被市场挤压进而濒临破产的风险。

3.打破第三方开放平台模式获取数据

第三方开放平台模式又称为 Open API 模式，是一种第三方通过接入共享接口从而得以访问平台内已经公开的数据的一种模式，既要获得数据控制者的允许又要获得用户的许可。“用户授权+平台授权+用户授权”的三重授权原则被司法实践和业内广泛接受与使用。但在企业数据不正当竞争纠纷中，出现了大量侵权方打破第三方开放平台模式，擅自抓取数据的行为，著名的“新浪微博诉脉脉案”中，新浪微博控诉脉脉违反相关协议，不当抓取涉案数据，供给脉脉用户使用，其行为构成不正当竞争。

四、违反数据合规义务的法律责任

（一）民事责任

《民法典》侵权责任编没有对违反数据合规义务造成的侵权或个人信息侵权民事责任单独做出规定，但是相应民事责任应适用《民法典》侵权责任编第一章“一般规定”、第二章“损害赔偿”、第三章“责任主体的特殊规定”。《民法典》第179条规定了承担民事责任的主要方式，其中包括停止侵害、排除妨碍、消除危险、恢复原状、赔偿损失等。当相关权利主体受到侵害时，侵权人依照《民法典》第179条的规定承担相应的责任，笔者理解，根据侵权行为的特点和具体应用场景，通常而言侵权人承担责任的主要方式有停止侵害、排除妨碍、恢复原状、赔偿损失等。

关于损害赔偿，《民法典》侵权责任编第二章集中就损害赔偿进行了规定，其中第1182条规定了侵害他人人身权益造成财产损失时赔偿数额的确定方式，即按照被侵权人因此受到的损失或者侵权人因此获得的利益进行赔偿；损失以及因此获得的利益难以确定的，无法就赔偿数额协商一致的，由法院根据实际情况确定赔偿数额。

《网络安全法》《数据安全法》及《个人信息保护法》均规定数据处理主体违反法律规定，给他人造成损害的，应依法承担相应民事责任，与民法典的规定保持了一致。而对于侵害个人信息权益类案件，《个人信息保护法》明确规定适用过错推定原则，同时也明确了损害赔偿数额的认定规则以及涉个人信息的公益诉讼制度。

（二）行政责任

《网络安全法》《数据安全法》及《个人信息保护法》均规定了责令改正、警告、罚款、没收违法所得、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照或类似的责任类型。此外，针对企业开展数据处理或个人信息处理活动存在较大安全风险或发生个人信息安全事件的，三部法律均规定可以对法定代表人或者主要负责人进行约谈；国家机关不履行本法规定的个人信息保护义务的，除责令改正外，还要对直接负责的主管人员和其他直接责任人员依法给予处分。其中《个人信息保护法》还特别规定，未履行法定的个人信息保护义务且情节严重的，对直接负责的主管人员和其他直接责任人员还可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

（三）刑事责任

企业因严重违反数据合规义务而容易涉及的高发罪名有：侵犯公民个人信息罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、破坏计算机信息系统罪、拒不履行网络安全管理义务罪等罪名。

关于侵犯公民个人信息罪，《刑法》第二百五十三条之一规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

关于非法获取计算机信息系统数据、非法控制计算机信息系统罪，《刑法》第二百八十五条规定，违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

关于破坏计算机信息系统罪，《刑法》第二百八十六条规定，违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。关于拒不履行信息网络安全管理义务罪，《刑法》第二百八十六条之一规定，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：（一）致使违法信息大量传播的；（二）致使用户信息泄露，造成严重后果的；（三）致使刑事案件证据灭失，情节严重的；（四）有其他严重情节的。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。

五、结语

企业开展数据合规，若仅关注合规法律条文、制定合规义务清单和制度流程是远远不够的，还需要全面审视合规义务、合规风险、违反合规义务的法律责任等等，对刑事风险和责任要给予重点关注。除对常见罪名给予重点关注、审查典型罪名的涉罪风险外，还需要根据企业具体涉及的数据类型、业务模式，系统识别企业具体合规义务。除以一般性的合规要点、指引作为开展企业合规的参考外，亦须通过专项合规审查，全面梳理、分析、评估企业合规履行情况。同时鉴于涉数据法律监管本身的发展态势，企业还应建立常态化、动态化的合规运行机制，及时关注前置法和刑法规范的制定、解释、适用情况。