当前，我国正大力推进以大数据中心、人工智能等为代表的新型基础设施建设，数据已成为互联网平台转型升级、跨界竞争的关键生产要素。2021年底施行的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）与世界主流的个人信息保护立法保持一致，将个人信息分为一般个人信息和敏感个人信息，并制定了敏感个人信息的特殊处理规则。这体现了对于人格权益和财产安全密切相关的敏感个人信息的倾斜保护，有利于全面预防侵害敏感个人信息的风险，切实保障信息主体的利益。一般认为，敏感个人信息是指其非法处理可能严重损害自然人的民事权利的一类个人信息。随着数字经济、平台经济发展步入快车道，人们的大量个人信息都被以数据形式记录在平台企业的数据库中。然而，囿于相关平台企业未能全面履行个人信息处理相关的数据合规义务、未建立完善的数据安全合规体系，海量个人信息（数据）泄露事件时有发生，人们对平台企业处理个人信息尤其是敏感个人信息的行为是否合规心存忧虑。由是观之，平台企业数据合规是其承担社会责任的必然要求，是保护敏感个人信息数据安全的价值体现，也是平台技术革新应明确恪守的界限。继《中华人民共和国网络安全法》（以下简称《网络安全法》）施行后，2021年《中华人民共和国民法典》（以下简称《民法典》）、《中华人民共和国数据安全保护法》（以下简称《数据安全法》）和《个人信息保护法》相继落地，对平台企业处理敏感个人信息时的数据合规提出了新的法律要求，如何强化平台企业数据合规以切实保护敏感个人信息也成为当前理论和实务界聚焦的重大时代课题。

一.   平台企业数据合规的内涵及其制度要义

近年来，伴随着数字化建设新浪潮的不断推进，数据已经成为了数字经济时代社会数字化、信息化发展的重要基础。数据作为重要信息资源被平台企业深度开发利用，在完善智能化服务、改变生产和生活方式的同时，各种数据风险接踵而至，平台企业数据合规迅速成为人们广泛关注的热点问题。

一   平台企业数据合规的涵义

在数字经济时代，平台企业依托在线社交、网络购物、电子支付等诸多在线服务获取了大量个人信息数据，其中就包括生物识别、行踪轨迹、医疗健康以及宗教信仰等敏感个人信息数据。于平台企业而言，数据合规是促进个人信息合理利用，维护网络空间良好生态，降低敏感个人信息风险隐患的必然要求。“合规”顾名思义即为符合行业准则、监管规定、法律法规等规范性文件，故数据合规通常是指平台企业在收集、利用其掌握的信息数据时，应当自觉遵守相关规范性文件和国家标准，确保数据（尤其是敏感数据）免受丢失、被盗、损坏和滥用等风险。目前，我国在《网络安全审查办法》《中央企业合规管理指引（试行）》《网络安全法》《数据安全法》《个人信息保护法》等法律文件中都融入了数据合规要求，助力企业实现“在确保商业组织对数据开展利用的同时，保障数据质量和安全” ^[1]这一数据合规目标。

在敏感个人信息保护视域下，平台企业数据合规主要指平台企业对敏感个人信息数据的收集、分析、存储、传输和利用等数据处理活动应当合法合规。一方面，平台企业应当遵循公开、透明原则，落实告知同意规则，这也是《个人信息保护法》对个人信息处理者的要求。针对敏感个人信息处理行为，《个人信息保护法》第二十八条第二款在知情同意原则的基础上以 “特定的目的”“充分的必要性”和“严格保护措施”作为平台企业处理敏感个人信息的特别前提，且通过强化“同意方式”（第二十九条）、提升“告知义务”（第三十条）等条款对平台企业数据合规提出了更为严格的标准，凸显对敏感个人信息的特殊保护。同时，要及时跟进动态知情同意框架，保障数据主体的合理预期。当前的联邦学习、区块链以及隐私计算等技术在数据规制方面的应用虽然在一定程度上提高了数据规制的效果，但仍不足以抵御外部风险，对个人隐私数据施加去标识化、匿名化等安全保护措施也不能完全杜绝被还原和破解的可能。为此，平台企业应及时跟进动态知情同意框架，在数据处理各环节“逐次、分别、主动”请求用户授权，保障平台用户能够及时知悉其个人信息数据处理进程^[2]。另一方面，由于敏感个人信息一旦被平台收集，信息主体就失去了对其完整的掌控，后续平台企业的不当处理行为对敏感个人信息主体而言可谓后患无穷。比如，泄露金融账户类敏感个人信息数据会危及自然人的数字财产安全；泄露自然人的疾病等医疗健康类敏感个人信息会使相关个人遭受歧视或不公正待遇；暴露行踪轨迹类信息数据会危及自然人的人身安全等。这就要求平台企业在敏感个人信息数据处理过程中，要保障信息主体的相关数据权益。按照我国《网络安全法》，个人信息主体拥有删除权和更正权，其发现信息处理者违规收集、使用其个人信息时，有权要求信息处理者予以删除或更正（第四十三条）。平台企业在数据处理过程中应注意这些新兴权利的出现，结合数据处理的实际情况切实保障个人信息数据主体的数据权益。

二   平台企业数据合规制度的要义

1   平衡数据要素价值与个人信息安全需求是平台企业数据合规制度的理念基础

近年来，在数字化建设新浪潮的推动下，数据要素的魅力和价值日益凸显，数据的流转和使用既关系平台企业的经济利益，又涉及个人的信息安全与国家的主权安全。如何跨越平台与自然人在数据协作方面的信任鸿沟、平衡数据要素价值发挥与个人信息数据安全是平台企业处理敏感个人信息数据时面临的重大难题。诚然，从某种程度上来说，平台企业收集获取的个人信息数据越多，提供的服务也会越个性化和全面化，越有利于数据要素价值的充分发挥。但是，由于涉及个人信息数据处理的法律法规完善速度与平台经济的发展速度相比具有显著的滞后性，且存储在平台数据库中的个人信息（尤其是敏感信息）具有多重价值属性，刺激平台企业实施超范围收集个人信息、强制索权、违规使用个人信息等侵害个人信息权益的行为，导致数据泄露、数据滥用、个人隐私受侵害等一系列信息安全问题频频出现，这使得人们对平台企业失去了安全感和信任感。同时，大量不法之徒收集被泄露出去的个人信息，并筛选分析用户特征，从事电信诈骗、绑架勒索等精准犯罪活动，严重威胁人们的生命财产安全。因此，平衡数据要素价值与个人信息安全需求是平台企业数据合规义务的理念基础。既不能允许平台企业一味地追求创造数字经济利益而忽视敏感个人信息数据安全，又不能动辄以保障个人信息数据安全为由过度限制个人信息数据的开发利用而妨碍数据要素价值的发挥，减损个人信息数据的商业价值。

2   综合的专职化行政监管机构是平台企业数据合规制度的外在依托

长期以来，由于平台企业拥有庞大的数据计算能力和尖端的算法技术，“技术距离”的阻隔，“技术优势”的不对等使平台企业的数据处理行为具有高度隐秘性，采集用户个人信息于无形对他们而言更是驾轻就熟。因此，用户难以在充分知情的情况下参与平台企业提炼数据要素进行数据处理、发挥数据价值的过程^[3]，进而无法及时针对平台企业的数据违规行为提出异议。步入大数据时代后，独立的个人信息数据监管机构的设置是推动平台企业履行数据合规义务的外在依托。在数据立法上，国际数据治理趋势也逐渐倚重行政规制，强化对监管机构的授权而弱化民事诉讼机制^[4]，法国和西班牙分别设立数据隐私监管机构（CNIL）和数据保护局（AEPD）作为监督平台企业履行数据合规义务的监管部门。 目前，中国虽然明确了工业和信息化部、网信办、国家市场监督管理总局、公安部四个部门联合执行平台企业收集个人信息的主要行政监管职责；但敏感个人信息数据关系到个人的切身利益，多部门联合监管的方式难免会影响监管的效率和稳定性，稍有疏忽都可能造成不可弥补的损害。有鉴于此，需要设立一个综合性的专职化数据合规行政监管机构来扭转我国目前对平台企业数据合规监管存在的 “九龙治水”之局面、督促平台企业履行数据合规义务，变“九龙治水”为“一龙管水”，提高监管工作的执行力，确保监管工作得到充分落实。

《数据安全法》要求重要数据的处理者应当明确数据安全管理人和负责单位，落实数据安全保护责任（第二十七条）。出现信息数据安全事件时，应当按照规定立即采取相应措施来处置数据风险，立即通知所涉用户并报告有关履行个人信息保护职责的主管机关（第二十九条）。重要数据处理者应当定期对其数据处理活动进行风险评估，并及时将数据风险评估报告送往有关主管部门备案（第三十条）。《网络安全法》规定，在发生危害网络安全事件时，网络运营者应立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告（第二十五条）。此外，《个人信息保护法》规定个人信息处理者处理敏感个人信息时应当提前开展数据安全风险评估，并如实记录个人信息数据的处理情况（第五十五条）。当个人信息处理者发现个人信息数据出现或者可能出现丢失、篡改、泄露等数据安全紧急事件时，应当立即采取补救措施，并通知相关单位和个人（第五十七条）。但具体什么样的机构和部门可以作为履行个人信息保护职责的主管机构，《数据安全法》、《网络安全法》和《个人信息保护法》均未做明确性规定，这在具体实践中可能会对监管和处置的效率造成不利影响。由是观之，建立综合性的专职化行政监管机构作为法律规则的执行者和平台数据合规的监督者，可以最大程度地确保法律规则能够落实、落细，其内设的若干部门通过保存敏感个人信息数据安全风险评估报告、记录敏感个人信息数据处理情况、审查衡量所采取的保障措施是否能有效抵御风险等，最大程度地降低平台企业数据安全风险，保障平台企业数据合规义务落地。

3   严格的法律责任追究是平台企业数据合规制度的重要保障

法律责任是“因特定的法律事实而使某主体承担不利后果之依据”^[5]，强化敏感个人信息保护视域下平台企业数据合规法律责任就是要严格平台企业因违反数据合规义务、违规利用敏感个人信息数据而应承担的不利后果。面对个人信息数据合规治理难题，严格法律责任追究是督促平台企业履行数据合规义务关键动力，这也是许多国家个人信息安全立法的基本经验。新加坡《个人资料保护条例》（PDPA）（2019）引入了专门问责机制，凡是没有做好个人数据保护的机构，将视情况处以高额罚款；泰国《个人数据隐私保护法》规定，违反数据合规义务的企业可能面临高达500万泰铢（或全球营业额4%）的罚款，还可能面临长达一年的监禁。总体来说，在立法上，各国试图通过明确各方的责任义务及管理措施来提升治理效果，对数据合规义务和数据合规责任的规则设计也都朝着一个义务更为全面具体、责任愈加公正严苛的方向发展。在用户个人信息往往以数字化形式体现的时代背景下，个人信息数据承载着极高的商业价值，平台企业往往运用成熟的数据开发技术对用户数字化的个人信息进行深度处理，以此来挖掘个人信息数据潜在的“商用”价值，平台企业也因此逐渐成为了个人信息数据的实际掌控方^[6]。若不从法律责任层面对平台企业的个人信息数据处理行为施加绝对威慑，用户可能会因平台企业未全面履行数据合规义务而面临个人信息数据泄露风险，这将会成为我国数字经济发展的桎梏。因此，我国有必要在立法上对平台企业施加更为严格的法律责任，促使其充分落实数据合规要求；只有让平台企业充分意识到违反数据合规义务获得的蝇头微利与承担的严重法律后果相比得不偿失，才能确保平台企业更好地承担保护用户个人信息数据安全的社会责任。

二.   敏感个人信息保护视域下平台企业数据合规制度反思

尽管《网络安全法》《数据安全法》和《个人信息保护法》已初步搭建起保护个人信息的相对科学、系统、全面的顶层设计，也为平台企业的数据收集、存储、传输行为提供了综合的合规制度基础，但仍然存在如下显著缺憾。

一   敏感个人信息数据处理的风险评估制度难以落地

与日常语境或心理学语义下“敏感个人信息”所指代的“令人产生敏感、焦虑情绪的信息”大相径庭，在法学视角下，“敏感”与“风险”具有高度关联性。敏感个人信息的处理与权利损害风险相伴相随，敏感个人信息的保护是个人信息保护的重中之重，承载着人们更高的价值诉求。是故，建立敏感个人信息的风险评估机制具有重要意义。国外相关立法都对敏感个人信息处理提出了风险评估要求。例如，美国在《关于执行电子政府法案的指南》中规定，鉴于个人隐私信息的处理蕴含着极大风险，监管机关应当在处理个人隐私信息前对相关信息开展风险影响评估^[7] ；欧盟的《通用数据保护条例》第三十五条规定，当个人信息的处理可能对自然人的权利和自由带来高风险时，应当就预期的处理操作对个人数据保护的影响进行评估。我国《个人信息保护法》第二十八条采取客观风险标准界定敏感个人信息，并在第五十五条要求敏感个人信息处理者应当事前进行个人信息保护影响评估。但是，该规定过于简单，既缺乏关于风险评估基本原则或者具体评估基准的设计，也缺乏针对风险评估结果的应对和补救规则的安排。这使得敏感个人信息风险评估制度在实践中难以切实有效地发挥风险防范作用。

二   敏感个人信息数据处理的外部监管制度设计不足

平台企业对其掌握的个人信息负有保密义务，未经相关个人同意不能泄露、损毁、加工或以非法目的和非法手段使用。但是，在大数据时代，用户与平台的关系并不对等，平台用户作为弱势群体无法与综合性、专业性的平台相抗衡，在大量互联网平台企业通过格式合同获得收集、使用、加工个人数据权利的表象背后，隐藏着用户个人被操纵与被迫妥协的无奈。由于敏感个人信息的处理涉及收集、存储、使用、委托处理、共享、转让、公开等多个环节，处理场景多元、处理步骤冗杂且利益相关主体复杂，任何一个节点稍有差池，都可能造成信息泄露。因此《个人信息保护法》仅规定处理敏感个人信息应当事前进行个人信息保护影响评估（第五十五条），而未从实定法层面明确外部中立的专业机构和人员介入评估的必要性，未对评估方式、流程等进行精确指引，也未明确外部行政监管机构主动介入平台企业信息安排评估行为的法律要求，难以辨别和确保评估的真实性以及敏感个人信息数据处理的合规性。此外，虽然《个人信息保护法》第五十七条要求数据处理者在个人信息数据发生数据安全紧急事件时应当及时向有关个人和行政监管机关履行的通知和报备义务，但对于通知和报备的期限、流程等具体的程序性问题却语焉不详。

三   平台企业数据违规的行政责任失之过轻

《网络安全法》《数据安全法》和《个人信息保护法》都规定了平台企业违反数据安全保护义务、侵犯个人信息权益应承担的行政责任，主要包括：责令改正、警告、罚款、没收违法所得、停业整顿、吊销营业执照以及赔偿侵权损失等。鉴于平台企业数据违规的逐利性，加大经济处罚力度、使其数据违规行为得不偿失，是促使其践行数据合规义务的关键动力，也可以避免关闭网站、吊销许可证等行政处罚可能引发的对企业维持的根本冲击。但是，我国现行立法中对平台企业违反数据合规义务的经济处罚仍然失之过轻。例如，《网络安全法》第六十四条规定，网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护权利的，处违法所得一倍以上十倍以下罚款；没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。《数据安全法》第四十五条规定，对违法开展数据处理活动的组织、个人，根据情节轻重可处以五万以上二百万元以下罚款、对直接负责的主管人员和其他直接责任人员处以一万以上二十万元以下罚款。《个人信息保护法》对个人信息违法处理者的经济处罚范围也仅为五千万元以下或者上一年度营业额百分之五以下罚款。与此形成鲜明对比的是，2018年，Facebook就被指控在个人信息隐私问题上欺骗用户，美国联邦贸易委员会对其下达最后通牒，开出迄今金额最高罚单50亿美元（折合人民币约343亿）^[8]；Google也曾因违反用户信息数据隐私保护的相关规定，被法国国家信息与自由委员会（CNIL）依据欧盟《通用数据保护条例》（GDPR）判处5000万欧元的罚款^[9]；2022年法国数据隐私监管机构再次重拳出击，针对Google和Facebook违反《法国数据保护法》的相关行为，下令两方上交总计约2.1亿欧元（约合15亿元人民币）罚款^[10]。因此，只有严格平台企业违规收集、处理敏感个人信息的经济处罚，使其因此可能获得的商业利益小于其违规成本，才能大大抑制平台企业违反数据合规义务的侥幸心理。

三.   敏感个人信息保护视域下平台企业数据合规制度完善建议

大数据时代数据处理存在的利与弊，折射了科技进步的是与非。平台经济在使人们生活日新月异的同时，也给个人信息数据权益的保护带来了风险与挑战，引起了大众广泛的担忧和戒备。要解决平台企业敏感个人信息数据违规问题，确保数据处理可管可控、数据利用合法合规、数据流通共享共治，需要从以下方面综合施策。

一   健全基于敏感个人信息保护的数据风险评估制度

《个人信息保护法》第五十五条规定，敏感个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录。从立法目的理解，个人信息保护影响评估本质上就是个人信息数据安全风险评估。因此，构建处理敏感个人信息数据的风险评估制度是平台企业履行数据合规义务的必然要求。通过事先开展敏感个人信息数据安全影响评估，发现敏感个人信息数据安全风险，依评估结果采取切实有效的保护敏感个人信息数据的措施，可以最大限度地降低平台企业数据违规风险。

数字经济时代的到来将数据推向法治轨道。^[11]数据风险评估要基于数据保护相关的法律法规、标准规范和平台企业内部数据管理要求设定具体的评估指标，覆盖数据全生命周期的各个环节，包括风险识别、风险评价和风险处置三个环节^[12]。为避免风险防范流于形式，平台企业应聘请外部中立的数据风险评估专业人员，以《个人信息保护法》第五十六条的评估内容为指引，出具敏感个人信息数据安全风险评估量表，定期为平台企业开展个人信息安全数据风险评测。首先，在风险识别环节，风险评估人员应对敏感个人信息数据的收集、存储、委托处理、共享、删除等各方面进行风险识别，评估处理敏感个人信息的处理目的、处理方式等是否合法、正当、必要，并出具数据合规风险评估报告。其次，《个人信息保护法》第六条确立了最小必要原则作为处理个人信息更基础、更严格、更具指导性的原则^[13]，被认为是比例原则在个人信息处理中的具体体现。最小必要原则要求个人信息处理者对个人信息的处理限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式^[14]。因此，在风险评价环节，风险评估机构在衡量相关敏感个人信息对个人权益的影响和评定敏感个人信息数据安全风险事件发生的损害程度时，可以引入最小必要原则辅助判断。比方说，对于生物识别类敏感个人信息，在精准防控疫情等社会安全防御利益大于其所侵害的行动自由、个人隐私利益时，可以适当扩大平台企业对敏感个人信息数据的获取范围，借助最小必要原则权衡调整内容来实现利益均衡。最后，平台企业应根据数据安全风险评估结果，在敏感个人信息具体数据应用环节中采取差异化的保障措施来处置数据风险，以确保所采取的保护措施合法、有效并与风险程度相适应。比如，针对医疗健康类敏感个人信息，医疗机构应当对评估结果显示的数据违规风险指数较高病例讨论会、影像科室等场合，采取匿名化、去标识化病例等形式，并对无需个人同意即可以处理的患者信息作明确严格的列举^[15] 。平台企业收集声音、面部特征等生物识别特征时，可以设置敏感个人信息收集的二次确认隐私条款弹窗提示，将生物识别类敏感个人信息与个人身份信息分开存储，并尽可能综合采取多种加密技术消减个人信息数据安全隐患等。

二   确立综合的专职性平台企业数据合规监管机构

综合的专职性平台企业数据合规监管是敏感个人信息保护的“安全阀”。如前文所述，用户受制于技术知识的阻隔，难以在充分知情的情况下参与平台企业提炼数据要素、进行数据处理的过程，也无法针对平台企业违反数据合规义务行为及时提出异议，而我国尚没有设置综合的专职化行政监管机构保障平台企业数据合规义务落地。因此，对于平台企业违规处理个人信息，尤其是敏感个人信息的行为，有必要建立综合的专职性数据合规行政监管机构。

具体而言，为保证行政监管机构的监管作用落到实处，实现数据输出、收集、存储、传输、删除等的全方位监督，综合性行政监管机构应至少内设数据合规主管部门、数据合规审计部门以及对违反数据合规义务的平台企业实施处罚的数据违规执法部门。根据《数据安全法》，重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告（第三十条）。据此，首先，可以相应建立敏感个人信息数据风险处置强制报告制度。敏感个人信息数据处理者应当主动向行政监管机关报告其收集处理的重要数据的种类和数量、开展数据处理活动的情况、面临的数据安全风险及其应对措施，并主动提交风险评估报告。数据合规主管部门即可作为接收和保存敏感个人信息数据合规风险评估报告和处理情况记录的主管部门，并在数据安全事件发生后向风险评估报告和处理情况记录的负责人进行问责。其次，由数据合规审计部门根据报送的风险评估报告和处理情况记录，结合各类平台企业所提供的基本功能服务，确定需要进行合规监管的敏感个人信息范围。参考《个人信息保护法》第二十八条第二款为审查敏感个人信息处理行为的合法性提供的具体指引，检查平台企业在处理敏感个人信息数据过程中是否存在不符合《个人信息保护法》敏感个人信息数据合规要求的疏失，衡量所采取的差异化保障措施是否能有效抵御风险。若发现平台所采取的差异化保障措施难以保障敏感个人信息数据安全，应及时通知平台并与其协商。最后，由数据违规执法部门对不符合敏感个人信息保护合规要求的平台企业进行行政处罚。通过各部门之间的分工配合，使得外部综合性专职监管机构成为督促平台企业时刻保持清醒、正确认知用户敏感个人信息数据安全问题并全面履行数据合规义务的达摩克利斯之剑。

三   严格平台企业数据违规的法律责任

低廉的违法成本是平台企业忽视数据合规义务的重要原因。为督促平台企业履行数据合规义务以更好保护用户敏感个人信息，还需要在立法层面严格法律责任设计，威慑不良平台企业的数据违规行为，使其通过数据违规手段的逐利行为得不偿失。由于平台企业大多拥有雄厚的资金、人力和技术支持，责令改正、警告、暂停相关业务、停业整顿、小数额的罚款等对其影响和制约效果甚微，而平台企业违反数据合规义务又可能会对用户的人身和财产权益造成难以挽回的损失。因此，在财产责任上，一方面，建议适时修改《网络安全法》《数据安全法》《个人信息保护法》等相关立法，提高平台企业关于敏感个人信息数据违规行为的行政罚款额度。具体而言，可以根据情节轻重对个人信息处理者处两百万元以上一千万元以下罚款；如果违法行为性质恶劣或造成严重后果，可视情况处一千万元以上罚款；对负有个人责任的主要负责人和直接责任人员处一百万元以下的罚款。另一方面，引入惩罚性赔偿制度。惩罚性赔偿被视为能有效提高违法成本、防遏违法行为的利器^[16]。基于实用主义的考量，为了应对实践中平台企业不自觉履行数据合规义务的现象，要完善相关民事赔偿责任制度设计，企业应该对自己“不诚实或欺诈”的行为进行“消费者赔偿^[17]。通过严格财产责任设计，既能提高企业违法成本，促使企业履行数据合规责任，也能加强对敏感个人信息权利人的保护力度。

结语

在敏感个人信息保护视域下，平台企业对敏感个人信息的数据处理。一方面要取之有道，确保合理、合法地收集和获取个人信息，保护个人信息权益；另一方面要用之有度，确保妥善、安全地存储和使用敏感个人信息，促进个人信息数据合理利用。目前，平台企业在敏感个人信息处理的各个应用、各类场景、各种环境中尚存在诸多数据合规问题，需要多措并举筑牢大数据时代敏感个人信息数据合规处理的安全边界。未来，在不断强化平台企业数据合规的进程中，随着平台企业数据风险评估制度的有效建立、外部综合性专职监管的不懈推进、数据合规责任的不断严苛，置身代码数据时代的广大平台用户终将迎来个人信息合法权益受保护、个人信息数据处理活动受规范、个人信息合理利用有保障的数据合规处理新生态。