中华人民共和国数据安全法释义
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

第十条 【行业组织的数据安全保护义务】

相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。

【释义】

本条的规范对象是行业组织,规定了行业组织的数据安全保护义务,宣示了行业组织在数据安全保护中的重要地位。本条的规范宗旨是通过强化行业自律提高数据安全保护水平,进而促进行业的健康发展。《数据安全法(一审稿)》中并无本条规定,鉴于行业自律在提高监管科学化水平、促进行业健康有序发展中的重要地位,立法者在《数据安全法(二审稿)》中增加本条规定。但是,全国人大常委会最终通过的正式法律文本也对《数据安全法(二审稿)》中的相应条款进行了修订,主要变化有两点:其一是行为规范和团体标准的制定除了依据行业组织章程之外,还必须“依法”。遵守法律本是任何主体实施任何行为的应有之义,故《数据安全法(一审稿)》与《数据安全法(二审稿)》未予规定,正式法律文本增加“法律”作为依据,似有强调之意;其二是行业组织除了需要制定行为规范之外,还需要制定团体标准。按照中国标准化研究院的定义,团体标准是由团体按照团体确立的标准制定程序自主制定发布,由社会自愿采用的标准。[20]由此可见,团体标准虽无强制约束力,但仍可对自愿加入团体的成员有一定的约束作用。

就本条的具体内容来看,行业组织参与数据安全保护的具体义务可分为三个方面:

一是根据章程和法律制定数据安全行为规范和团体标准,这里实际上传达了两层含义,其一,行业组织有制定数据安全行为规范和团体标准的法定义务,行业组织需要通过一定的机制来明确什么样的行为必须为、什么样的行为可以为、什么样的行为禁止为,引导成员企业培养规范意识;其二,行为规范和团体标准的制定要严格依据行业组织的章程和现行法律。行业组织的章程往往规定了行业组织的性质、宗旨以及行业的基本特性,将章程作为制定依据,可以使后者更具有针对性,而遵守现行法律,则是应有之义。

二是加强行业自律。这是一个比较宏观的总体性要求,但可以理解为严格执行上述数据安全行为规范和团体标准,对违反规范和标准要求的行为通过行业内的机制予以处罚,以实现较好的行业自律效果。当然,除了负面惩处,行业组织还可以通过正面激励的方式加强行业自律,如树立行业内正面典型,对表现优秀的成员给予奖励、机会、便利等。

三是指导会员加强数据安全保护。这也是一个义务性的规定。行业组织聚集着行业内的各种资源,有能力通过培训、研讨、发放手册等方式就数据安全保护问题对成员企业进行指导。行业协会也可以建立一定的考核机制,动态监测成员企业保护数据安全的能力和水平,如果考核不合格则要重新学习。如此,便可有效增强成员企业的学习动力,自觉接受指导、教育。

行业组织,通常是相同类型的企业为了协调企业之间的经营活动,基于共同的利益诉求,在自愿基础上组织起来的一种民间性、非营利性的社会中介机构。按照《民法典》第87条规定的分类,行业组织属于非营利法人中的社会团体。行业组织的产生是市场经济发展的客观要求,也是市场经济发展的必然结果,这缘于行业组织的宗旨——行业成员利益的代言人和维护者,同时,亦是行业成员与政府之间的沟通者和协调者。行业成员通过行业组织,实现了其与政府之间博弈的组织化和理性化,从而有效地克服了行业成员因个体博弈而带来的弱势化和非理性的缺点。由此可见行业组织的作用是根据行业组织章程维护成员利益,并在成员与政府之间搭建起沟通的桥梁。

事实上,通过行业组织引导行业自律,已成为行业立法的通常做法。例如,《网络安全法》第11条、《食品安全法》第9条、《广告法》第7条等,都对行业组织加强行业自律提出了要求,这主要是因为行业组织在各自行业中扮演着十分特殊的角色,相比较单纯的政府监管,行业自律有着诸多优势。具体到数据安全保护领域,通过行业组织引导行业自律具有如下优势:

第一,增强成员的参与意识,进而积极主动保护数据安全。行业组织由成员企业构成,因此在培育成员企业的参与意识方面具有天然优势。成员之间可以基于行业组织建立长期合作,行业组织也可采用集体惩戒的方式有效降低短期利益行为,增进成员企业之间的信任,形成正外部性,进而促进信誉机制的形成。[21]从这个角度来看,强化行业组织的作用可以软化成员企业的抵触心理,让其积极参与到数据安全保护工作中来。

第二,节省有限的立法资源和执法资源。传统的立法过程较长,由于专业所限,立法者可能并不完全了解立法所针对的行业,其所制定的法律在某种程度上可能并不具有实际应用价值。而且,法律本身具有滞后性,大数据时代的发展一日千里,立法机关如果不能对此及时地进行调整和修改,将会进一步削弱法律的时效性。执法过程更是如此,海量而复杂的数据给政府执法工作带来大量的资源耗费。相比于国家立法和执法,行业自律的成本更低。因为行业自律可以创设更符合实际情况的信息保护标准,同时避免立法滞后的弊端,大大节约了企业合规成本。成员企业更熟悉其经营规则,更有利于建构有效的信息保护标准。相比于政府,行业组织更接近市场,能够在很大程度上克服信息传递失真问题,从而有效避免资源的无谓耗费。

第三,较强的制度弹性能够兼顾数据安全保护与创新。政府规制属于一种刚性规制,企业多少具有一定的抵触心理,在数据安全保护与创新中难以找到平衡。但是在行业自律中,由于其是一种相对软性的规制方式,可以保有一定的灵活性,对于行业经营者而言,基于共同利益,则更容易接受自己行业所建立的规则。如此,成员企业既有意愿去遵守自律性规范,又有动力去促进数据行业创新。

但是,我们也不能过度信任行业自律的作用,行业自律也存在诸多弊端。一方面,行业自律规范本身不够严谨,规范制定的过程缺乏监督和透明度,消费者会因未参与到行业规范制定过程而利益受损。甚至可能会出现行业规范所导向的利益凌驾于公共利益之上的情况,因为其代表着行业的整体利益。另一方面,规范内容没有强制执行效力,执行过程缺乏有效的监督,执行结果缺少充分的救济。自律规范的执行者并无类似于政府那样绝对的处罚或者惩戒的权力。美国民主与科技中心顾问就曾指出,“行业自律明显缺乏监督和执行”“行业制定的政策几乎没有给消费者提供有意义的救济和申诉机会”。[22]行业自律非但不能保护数据信息,更可能使成员企业肆无忌惮地侵害数据安全。上述观点虽过于偏颇,但在一定程度上反映了行业组织消极的一面,这些都需要国家立法和执法予以兜底性保障。

另外,本条的适用也存在一定的疑难之处。本条只是对行业组织的一个宏观要求,如何具体落实以及不落实的法律后果均不明确。以制定数据安全行为规范为例,该行为规范应该包括哪些内容?规范内容的法律效果如何?这些问题不是单单一个行业组织能够解决的,而是需要国家通过立法等形式予以明确。如此,方可提高本条规范的可操作性。

【关联规定】

《中华人民共和国网络安全法》第11条

(撰稿人:赵鑫)