数据收集应用缺规范难谈“合规”

一个目前华南地区最大的企业征信数据库正在运行：它覆盖了深圳市300万余家商事主体(含注、吊销企业)，数据量达到6.3亿条，涉及企业所有的监管、许可、审批、处罚、黑名单等要素。

11月2日，深圳市公共信用中心主任洪隽在2016腾讯大数据合作与合规峰会上介绍，深圳政府的大数据应用——企业信用画像项目，在节约成本、提高监管效率方面已表现出独特优势：通过大数据的分析比对，可以比较精准地给企业画像，快速定位风险企业；同时还能高效地筛选出优秀企业，有利于政府开展培优扶良政策，对企业实现高效监管，开创事后监管新模式。

从国家战略到地方实践，大数据的应用项目呈现出蓬勃之势，而政府无疑是大数据应用的一大重要主体。如今，深圳市正在探索构建一套科学有效的信用数据分析模型及信用评价标准规范，打造创建社会信用体系建设示范区。

“从个人信息、用户数据到小数据、大数据，当大数据真正实现开放共享，大数据的想象力将打破地域、行业的边界，成为经济社会发展的新动能。”腾讯公司法务部总经理江波表示，如何合规使用数据，在用户隐私、数据安全和大数据产业发展之间寻求平衡，变得至关重要。

广告行业标准有望出台

国家促进大数据发展部际联席会议秘书处房毓菲在当日会上介绍，由国务院印发的《促进大数据发展行动纲要》中，已明确把大数据列为和物质、能源同等重要的资源，并涉及每一行业；在大数据创新探索过程中，数据创新应用为政府治理、公共服务和产业发展等方面带来巨大潜能的同时，也对大数据采集、流通和商用的规范方面提出挑战。

法治周末记者了解到，目前，大数据在广告和金融方面的应用较为广泛和成熟，前者表现为大数据广告精准营销，后者落脚于大数据征信。

“2015年我国广告业的市场已经接近6000亿规模，其中一半左右由互联网贡献。”中国广告协会副秘书长周玉梅介绍，互联网广告的迅猛发展得益于大数据带动的精准广告发展，大数据的采集、分析和应用，决定着广告行业的深刻变革。

如今，刑法、消费者权益保护法、广告法以及有关信息网络的其他法律，都对个人信息保护作了规定，而相关的配套细则亟待出台。

“敏感信息与非敏感信息如何界定？收集信息时如何征询用户同意、如何告知用途……”周玉梅表示，这些问题都需要制定行业标准，只有标准配备，才能更好更合规地采集、应用数据。

周玉梅透露，目前，中国广告协会正在联合国家工商总局、国家标准委等，制订出台关于广告行业标准的指导性意见，这则意见会提出建立广告业的基础标准、技术标准、服务标准以及广告业经营主体的信用标准等；这些标准也将分为不同层次，其中包括国家强制性标准和非强制性标准、行业标准、团体标准等。

法治周末记者注意到，中广协下属的互动广告分会于2014年发布了《中国互联网定向广告用户信息保护框架标准》，腾讯、新浪、网易等企业首批签署该标准，在确保用户信息安全的基础上应用互联网数据。

除广告以外，金融方面的大数据征信主要针对企业和个人。深圳华征大数据征信有限公司总经理刘登虎介绍，工商、法院、税务以及行政管理部门等公共机构的信息，尤其是税务信息对于企业画像有着重要作用；针对个人征信，则需要通过模型对个人的消费行为进行分析，其中包括消费数据、社交数据等多角度数据相结合。

在医疗大数据领域，与健康和疾病相关的数据的收集、挖掘和应用也给人带来想象空间。北科生物总裁、联合创始人刘沐芸介绍，在精准医疗中，多维度、多层级的数据收集和数据分析会产生新的对疾病和健康的理解，并产生新的干预方法和手段。

隐私保护、数据安全备受关注

注重大数据应用的同时，大数据的合规问题同样不容小觑，与大数据相关的法律问题涉及到诸多合规问题。

2015年，普华永道全球信息安全性调查发现，在全球范围内客户信息的安全事件数量上升了35%，中国大陆及香港则上升了64%，其中内部数据和“硬性”知识产权遭窃取的程度远远超过其他任何数据。

“云计算、大数据、人工智能、私有云、公有云等科技带来生活、业务便利的同时，也对个人隐私带来诸多安全风险。”普华永道合伙人冼嘉乐强调，保护个人信息的流程中需要注意信息的收集、传输、使用、储存、备份和删除等问题；做信息保护工作，需要了解每个国家的监管要求，建立一套数据泄露的响应机制，发生信息泄露危机时，可以快速进行恢复操作。

10月31日，网络安全法草案提交全国人大常委会进行第三次审议。公安部第三研究所网络安全法律研究中心主任黄道丽介绍，网络安全法将明确个人信息使用的原则和规则，强化了数据匿名化处理，从侧面为互联网企业营造了一个健康发展的环境。

同时，黄道丽表示，网络安全法草案将国内实行多年的网络关键产品和网络安全专用产品的认证和检测制度上升为法律规定，并对其进行必要的规范；该规定对国内企业的产品和服务会产生很大的影响，关于产品的认证和检测制度需重新进行梳理和调整。

另外，大数据的合规问题还涉及到数据本地化、大数据交易等问题。中国信息通信研究院互联网法律研究中心主任李海英介绍，从目前观察到的国际规则来看，数据本地化分为数据本地化、服务本地化以及设施本地化三个不同方面的要求；数据本地化表现出相互递进的关系，可根据不同国家的监管要求选择不同的策略，在跨境数据跨境流动中对数据进行分类显得尤为必要。

华东政法大学知识产权学院院长高富平介绍，从数据流通合规审查上看，企业数据包括公开数据、非公开数据和商业秘密三个方面，而合规管理则涵盖这三个方面的控制问题。“对于大数据时代的企业来说，安全、风险、内控、合规、数据治理整个体系，是企业合规的核心内容，要实现整个体系的安全是一个非常高的目标。”高富平说。

腾讯法务部数据及隐私保护中心总监黄晓林介绍，目前，腾讯整体实行一套数据“全生命周期”合规管理制度，从隐私政策透明度、用户控制力和数据安全三个维度出发，在产品前端嵌入隐私保护的设计，学习先进企业的透明度管理模式，让用户知晓控制个人数据的权利。

本文转自d1net（转载）