8月28日晚，“消费者权益保护与企业数据合规”网络研讨会成功举办。会议由中国政法大学法治与可持续发展研究中心、北京宸章律师事务所主办、点睛网协办，华萃阳光国际教育科技有限公司副总裁谢莉女士主持，北京宸章律师事务所主任吴晨博士致开场辞，中国政法大学法治与可持续发展研究中心主任、兼职教授郝作成博士作主题演讲，中国网络空间安全协会研究部负责人吴阳、北京中银律师事务所高级合伙人黄云艳作为与谈嘉宾围绕主题进行点评和讨论。

吴晨主任在致辞中指出“消费者权益保护和企业数据合规”是主办方期待已久也酝酿很久的开放论坛的主题活动。2021年可以称为中国互联网规范的元年，连续通过了《数据安全法》和《个人信息保护法》两部非常重要的互联网规范法律，再加上2017年颁布的《网络安全法》，可以说，我国互联网法律规范体系的基本构建已经完成了。而数据规范是互联网规范的核心内容，数据合规又是企业特别是互联网企业的关键核心工作。但是，数据规范的法理基础到底是什么？责任边界到底在哪里？在这三部法律和相应的规章基础上还存在很多的讨论空间和不同的看法。国家安全是一个切入点，个人财产权、人格权保护也是一个切入点，从消费者保护看待数据合规也是一个非常重要的切入点。这些切入点的深入研究都有利于解决互联网规范，特别是数据规范的边界和责任问题，帮助我们厘清数据法律关系，明确数据规范路径，提供非常重要的视角和观点。

在主讲环节，主讲人郝作成博士就消费者权益保护和企业数据合规问题的背景作了介绍。一是我国正在大力发展数字经济，而面向广大消费者的电子商务发展也比较迅速。据有关部门统计，经过二十多年的发展，我国目前电子商务年度交易额已经达到了四十万亿，用户量已经达到了八亿甚至更多。在这个过程中，我们每天有大量的个人信息被收集处理，形成海量大数据。这本身就涉及每一个消费者的个人权益，甚至给国家数据安全都带来了巨大的挑战。二是我国一直非常重视互联网法治的建设，尤其近十年来，出台了一系列法律，同时也出台了一系列配套规章和规范性文件，我国数据治理的法律体系已经形成了。这个法律框架实际上对企业的数据合规提出了很具体的要求。同时，监管部门的执法也一直在不断地加强。三是今年七月份滴滴数据安全事件，又给广大企业敲响了警钟。现在很多企业都把数据合规当成今年最优先的公司级工作任务，有些公司虽然很重视数据合规的工作，但是也面临很多的困惑。如何做好数据合规工作，目前还有很多不确定之处。

主讲人首先以滴滴数据安全事件为例解释了数据合规工作的重要性。滴滴数据安全事件是《网络安全法》生效以来第一次启动国家网络安全审查，从政府侧而言，数据合规事关国计民生，监管部门会持续开展高强度监管行动；从企业侧而言，数据合规事关企业稳健运营；从个人侧而言，数据合规事关个人职业发展。

其次，主讲人介绍了数据合规做什么的问题。他首先概括了数据合规的基本法律体系，在法律层级上重点介绍了《个人信息保护法》《数据安全法》和《网络安全法》，在行政法规层级上重点介绍了《关键信息基础设施安全保护条例》，在规章层级上重点介绍了《网络安全审查办法》和《数据出境安全评估办法》等。此外，地方性法规、司法解释和行业标准也构成数据合规基本法律体系的组成部分。主讲人继而概括了行为合规要点，以《个人信息保护法》为主介绍了合法、正当和必要原则以及告知和同意原则，重点分析了处理敏感信息和自动化决策两个问题。接下来，主讲人探讨了机制合规要点，包括制定内部网络安全管理制度、完整准确便捷易懂的隐私政策或用户协议、个人信息分类分级管理和保护等。

最后，主讲人介绍了数据合规怎么做的问题。第一，要制定一个总体方案，建立内外协调的工作机制；第二，要进行数据盘点和业务场景梳理；第三，要梳理合规要求，对照现有制度和实践，整改和评估，并进行相应培训。立足于以上三点，主讲人在机制建设、制度建设以及认知建设三个方面对建立企业数据合规防线提出了建议。

针对上述主题发言，与谈人吴阳和黄云艳分别发表了与谈意见。与谈人吴阳指出，从去年两个数据安全法规出台以后，我们便进入了一个新的时代。从数字经济的角度来讲，我国无论数字经济的规模，还是在全球的影响力都得到空前的提高；另一方面，从数据网络安全行业的角度来讲，也带来了巨大的挑战。但是，有些行业对9月1日即将生效的《数据出境安全评估办法》还没产生足够的重视。第一，与谈人建议企业尤其要关注以下几个时间点：去年10月29号《数据出境安全评估办法》征求意见稿出台，今年7月7号网信办在征求意见期结束后，公布了正式的办法；9月1号办法即将正式生效，到明年三月，相当于半年的整改期；明年3月1号以后将进入监督执法过程。企业务必要重视这个整改期的节点，“边申请、边整改、边开展相关业务”对企业影响最小，以免因数据出境要求而导致业务暂停。第二，对于数据出境的理解，例如对外方或对境外机构提供了数据查询搜索的权限，这实际上也是要被评估的。第三，实际上是供应链的问题，例如企业的业务数据没有太多的出境情景，但是因为采购了某些境外的智能化设备，因而被采集一些数据，按照我国的法律法规，企业对此也是有监管责任的。第四，与谈人建议企业在法律法规的基础上，重新从底层梳理一下自身的数字业务和法律法规之间的关联度来评估其是否具有合规风险，包括数据治理层面、数据的采集、存储、应用、传输、共享等全生命周期，通过专业机构来做一次整体的梳理。

与谈人黄云艳主要从数据合规的行业实践角度进行了分享。首先，她介绍了数据安全治理的总体框架，在收集、存储、使用、加工、传输、提供以及公开的每一个环节里，提炼了相关的风险点。其次，与谈人分享了民航业的数据合规实践，分别介绍了民航业行业标准的现状、民航数据生命周期、民航数据安全分级以及实践中的困境，并介绍了欧盟立法与我国立法的差异。总体而言，民航业目前走在数据合规以及部门行业合规较为前列的位置，目前遇到的困境也会结合技术上的一些应用、大数据算法等方式加强突破。再次，与谈人分享了医疗行业数据合规的实践。同样是采集、存储、共享，但是医疗行业的数据并不是要去利用数据，更多的是数据的分析。因此，在医疗行业数据合规的全流程里，目前是有两个痛点：一是关于人类遗传资源保护领域的立法；二是在医疗行业当中，数据合规方面可能诉讼风险最为集中的是在临床受试者实验数据保护上。在信息处理各个环节里，采集的环节必须是研究者和临床实验机构进行采集，同时要进行准确的报告解释，并确认保护受试者隐私。

研讨会最后，主持人谢莉表示，无论是本次线上研讨会，还是过去几期系列论坛，主题虽然不同，但实际上都涵括了立法和国家政策的层面，也包括了政府监管以及法律执行的层面，更包括了企业作为一个实施和执行的主体在自我风险的防范以及未来事业发展上的要点。对于听众，无论是企业家、政策研究者、政府管理人员，还是科研人员和学生都会受益匪浅。中国政法大学法治与可持续发展研究中心作为法治人共同的平台，期待更多的专家学者以及法律实务工作者的共同参与。