2022年3月17日下午，邦信阳中建中汇“临港新片区法律宣传月”系列主题讲座第三期——《新秩序和旧秩序——理解企业数据合规的几个抓手》由邦信阳中建中汇合伙人陈斌寅律师主讲。陈斌寅律师从数据合规的定义与理解出发，以典型案例循序渐进地对企业数据合规的重要性、数据合规及个人信息保护边界、合法使用个人信息途径、数据合规具体操作等方面展开深度分享。

以往的相关法律中更多的是关于隐私权及个人信息的权利保护，2021年，《数据安全法》《个人信息保护法》出台后，进一步完善了民法典等对于数据的定义及保护。数据合规所保护的对象是信息本身的内容 / 信息的集合，而非载体。

大量案例带给我们的最大启示就是，在纠纷中被告往往会否认原告的权利，或者主张数据的权利，在不同商业主体之间分不清，或者主张数据的权利，在商业主体和自然人个体之间分不清。数据合规已从一定程度上来说除了确保数据安全之外，未雨绸缪理清你的和我的，我的和他的。

为什么要进行数据合规？企业自身生产经营相关数据享有权利以及个人信息保护权利的边界如何把握？

陈斌寅律师强调，早在《数据安全法》《个人信息保护法》出台之前，已经存在大量与信息、数据相关的案件。他首先以朱烨案引出这一问题——对于个人信息的定义是“权利”还是“权益”，朱烨案一审确认侵权，认为在固定的IP地址利用特定的词汇搜索时，其就成为了特定信息的产生者和掌控者，而二审却否认了侵权，认为上网偏好一旦与网络用户身份分离便无法确定主体，百度向特定终端推送信息无需联系个人身份，最终驳回了原告的诉请，审判人员自由裁量空间较大。时至今日，数据合规的具体内容和要求日渐明确清晰，对于个人信息保护的法律空白有所补强，然而对于个人信息保护是“权利”还是“权益”的问题，仍然莫衷一是。

这一点上，生意参谋案具有一定参考意义。原告主张“实质性替代、数据产品订单减少、破坏该平台商业模式”等，被告则以“未经商户及软件用户同意，以营利为目的，私自抓取侵犯用户财产权、个人隐私及商户经营秘密”进行抗辩。陈斌寅律师以该案引出了个人信息保护案件中的两大问题，一是收集和使用数据信息是否符合法律规定，二是个人信息分级分类。《个人信息安全规范（2020）》（2020.10.1起实施）有着详细规定，根据个人信息的不同类别，对外使用过程当中所需尽到的注意义务和所需权利主体的同意程度和方式有不同要求。

如何合法收集、存储、使用个人信息呢？陈律师首先对于合法收集进行深入分享，合法收集应注意同意、单独告知以及最小必要。合法收集方面，针对基本个人信息的收集需要授权同意，而敏感信息等其他信息则需要明示同意，尤其是变更使用目的、直接使用超过许可范围、间接获取信息超过已授权同意范畴、收集和共享转让敏感信息、公开披露信息等方面。合法存储方面，要注意去标识化、匿名化等。最后，在使用权限方面，要注意最小授权、角色分离、对角色权限控制的基础上按照业务流程的需求触发操作授权。

那么如果将其中数字化的个人信息内容交付第三方，是否必须遵从个体意见呢？陈斌寅律师以微博脉脉案强调了“三重授权原则” ，但与此同时，如果一味强调对个体利益的保护，也会不利于互联网环境的健康发展，反不正当竞争法会适当维护经营主体在市场中的整体秩序，陈律师以中美案例对比反映了法官在自由裁量过程当中所参考的行业通常惯例时的不同取向。

反不正当竞争法的司法保护倾向于“事后保护”，行为取向保护范式繁琐且具有不确定性，难以适应大面积、持续性保护要求。如何进行个人信息保护呢？首先要进行界权，界权的目的是提高合法性、集合性、管理性，在界权的基础上确权，他提到公地悲剧和反公地悲剧，强调不让权利过分重叠，避免他人的权利蔓延到自己的权利领域内。

如何做好数据合规？第一，在个人数据获取方面，要合法且必要，不得收集与业务功能无关的个人信息，用户应可拒绝收集非必要信息或打开非必要权限，不得以非正当方式强迫收集用户个人信息，收集个人信息的频度不得超出业务功能实际需要，五种情形下还须得到被收集者的单独同意，如果是间接获取的情况下还须注意“问清来源、网络检索、持续关注、约束机制”。第二，在隐私政策方面，目前各大平台基本上都已设有个人信息政策（隐私政策），要注意的是隐私政策独立成篇、易于查找和阅读，清晰说明用途和对应个人信息类型、处理规则等。第三，在个人信息对外提供和披露方面，根据《网络安全法》第42条需要征得被收集者同意、匿名化，且进行优先尽职调查。第四，要有申诉机制。第五，要注意爬虫问题，近年来，不少企业因看似使用中立工具的经营行为而要承担刑事责任，如非法侵入计算机信息系统罪、侵犯公民个人信息罪、侵犯著作权罪以及提供侵入、非法控制计算机信息系统程序、工具罪扽等。

理解旧秩序和新法要求下的新秩序的背后逻辑是什么，清楚不同经营主体权利、权益的边界是什么，在整理和划分过程中明白我们可以做哪些具体事情，做到以上三点，未来的互联网环境会越来越好。