《數據安全法》已于日前正式出臺，并將于2021年9月1日起施行。這意味著，《數據安全法》將與《網絡安全法》及即將面世的《個人信息保護法》（目前處于草案二審階段）一起，共同構筑中國數據安全領域的法律框架，規范數字經濟健康長遠發展。

作為數字經濟新業態中的重要組成部分之一，靈活用工行業的數據安全及合規管理問題十分嚴峻。基于其運營模式，靈活用工平臺本身會收集大量個人數據（含個人敏感數據），若不對數據安全加以保護，將造成無法估量的影響。

對此，本文將在梳理靈活用工平臺的數據全生命周期的基礎上，總結靈活用工平臺面臨的數據安全及合規問題，為靈活用工平臺提供數據合規路徑與解法。

一、 靈活用工平臺的數據全生命周期解析

(一) 靈活用工平臺的數據全生命周期

隨著靈活用工平臺的進一步發展，其處理數據的場景會越來越多，也會越來越復雜。以某靈活用工平臺為例，其目前已不僅僅滿足于為用工企業及靈工人員提供結算功能，而是通過加載更多的增值服務來為靈活用工平臺進行賦能，如為靈工人員提供保險服務、金融服務等等。此時，靈活用工平臺不可避免地會涉及到與第三方保險服務商、金融服務商共享靈工人員的數據，若靈活用工平臺未就該等數據共享規則向靈工人員進行說明并獲得靈工人員的同意，或雖已獲得靈工人員同意但在實際共享過程未遵照規則進行共享，則將會埋下數據安全隱患，亦涉嫌侵犯靈工人員的數據權益。

靈活用工平臺在運營過程中通常會歷經以下數據生命周期：（1）從最開始針對靈工人員的個人數據（含個人敏感數據）收集；（2）到將前述收集的用戶數據傳輸至主管市場監督管理局及主管稅務機關以完成工商登記、稅務登記、申報納稅等事宜；（3）到存儲數據以供后續數據的調用及大數據分析；（4）再到不同業務功能下的數據使用及共享；（5）直至最終應用戶要求或在用戶注銷賬號時進行數據刪除或匿名化處理。具體而言，靈活用工平臺的數據全生命周期如上圖所示：

(二) 概念厘清：數據控制者和數據處理者

問題核心在于，靈活用工平臺究竟屬于數據控制者還是數據處理者？

根據歐盟出臺的《通用數據保護條例》（General Data Protection Regulation，下稱“《GDPR》”），數據控制者與數據處理者的主要區別在于是否決定了個人數據的使用目的和處理方式。

對于靈活用工平臺而言，在總包模式下（非僅為結算資金而采取的“假總包”模式），用工企業、靈活用工平臺及靈工人員是背靠背簽署協議，用工企業與靈工人員之間并無直接法律關系，其無法直接控制靈工人員；而靈活用工平臺作為直接與靈工人員發生法律關系的一方，對于靈工人員的數據享有控制權，能夠直接決定數據的使用目的及處理方式，因此，在總包模式項下，靈活用工平臺屬于“數據控制者”。

但在撮合模式下，靈活用工平臺僅撮合用工企業與靈工人員之間建立合作關系，不實質參與到業務承攬過程，其僅系根據用工企業的要求及指示處理靈工人員的數據，因此，在撮合模式下，靈活用工平臺屬“數據處理者”。

然而在中國，無論是已經出臺的《數據安全法》還是尚在審議階段的《個人信息保護法（草案）》，其均未區分數據控制者與處理者，而是籠統表述為“開展數據處理活動的組織、個人”/“個人信息處理者”。這在某種程度上拔高了《GDPR》語境下的“數據處理者”所需承擔的責任及義務。實踐中有大量的數據處理者無法實現數據控制者身份下的數據保護，同時因為模糊了數據處理者和控制者的界定，讓兩者無法得到有效合規邊界指引。而歐盟作為GDPR規則的配套文件，專門出臺了數據控制者與數據處理者的白皮書，將兩者明確區分之后配以不同的監管要求。

在現階段，國內尚無其他配套文件解釋說明的情況下，本著“就高不就低”的原則，建議靈活用工以“數據控制者”的身份嚴格要求自己，落實好數據全生命周期項下各個環節的數據安全，本文亦以靈活用工平臺作為“數據控制者”的身份予以展開。

因此，靈工平臺作為數據處理者，應當按照《個人信息保護法（草案）》中規定的數據處理原則開展數據處理活動，該原則與歐盟GDPR中的數據控制者數據處理的七大原則高度一致，具體包括：1、合法、公平、透明；2、目的限制；3、數據最小化；4、存儲限制；5、準確性；6、完整性和機密性；7、問責制。

二、 靈活用工平臺主要面臨數據安全及合規問題

由于靈活用工行業仍處于高速發展階段，靈活用工平臺對平臺數據安全并未予以足夠重視。雖然天津市市場監督管理委員出臺了首個針對靈活用工平臺的數據安全地方標準（2021年1月15日實施的《共享經濟靈活就業人員管理與服務平臺基本安全要求》），但該地標對平臺數據安全問題約定得較為簡單和籠統，對于靈活用工平臺的指導意義不強，大部分靈活用工平臺在數據全生命周期，基本沒有遵循個人數據保護的基本原則，數據合規問題存在嚴峻挑戰。

具體而言，靈活用工平臺主要面臨的數據安全及合規問題如下：

(一) 數據收集：未經明示同意收集或過度收集靈工人員個人數據

目前，雖然絕大多數靈活用工平臺都會公示相關的用戶注冊協議及隱私政策，但基本都是簡單借鑒各大平臺的協議，并未重視隱私政策所公示內容的完整性、精確性及合規性。如部分靈活用工平臺未根據自身平臺功能設置對應的數據收集使用規則，或在未經用戶同意隱私政策前就開始收集、上傳個人數據，以至于隱私政策形同虛設。

此外，部分靈活用工平臺還存在過度收集個人數據的情形。國家互聯網信息辦公室、工業和信息化部、公安部及國家市場監督管理總局出臺的《常見類型移動互聯網應用程序必要個人信息范圍規定》明確移動互聯網應用程序運營者不得因用戶不同意收集非必要個人數據，而拒絕用戶使用基本功能服務。然而在實踐中，大量靈活用工平臺APP或微信小程序收集的個人數據與其實現的產品功能并沒有明確關聯，甚至明顯超出合理范圍。如在靈工人員的身份驗證環節，收集靈工人員的手機號碼、驗證碼、姓名、身份證號碼等數據是必要的，但是強制要求靈工人員提供人臉驗證視頻信息，則明顯超出數據搜集的最小必要原則，構成過度收集個人數據的行為。

(二) 數據傳輸：未采用加密等安全措施傳輸數據

當靈活用工平臺收集到靈工人員的個人數據，將基于不同的運營模式將數據傳輸至其他第三方，但針對數據傳輸過程并未完全采用機密等安全措施。如在靈活用工個體工商戶模式下，靈工平臺往往會與當地工商注冊登記平臺IT對接，將靈工人員批量注冊個體工商戶所需要的個人數據進行傳輸，但未采取加密等保護措施。在此過程中，容易出現數據泄露、丟失等情形。

(三) 數據存儲：未明確存儲地點及存儲期限，亦未實現分級存儲

為了便于后續數據調用及大數據分析，靈活用工平臺往往會存儲部分靈工人員用戶數據，但并未明確數據存儲地點（如是否存在跨境運輸）及存儲期限，以及超期限后的數據處理規則。

同時，在數據存儲方面，靈活用工平臺并未完全實現數據的分級、分類管理，未針對數據分類分級結果采取不同的數據存儲策略，針對個人敏感數據亦未實現加密存儲等。

(四) 數據使用：超范圍使用靈工人員個人數據

實踐中，靈活用工平臺還存在未在平臺隱私政策約定的范圍內使用靈工人員個人數據的行為，且并未就此行為再次征得靈工人員的明示同意。如隱私政策中明確身份證數據僅用于平臺基礎業務功能，但靈活用工平臺卻將該等數據用于平臺增值業務功能（如用于保險服務），則構成超范圍使用靈工人員個人信息的行為。

(五) 數據共享：共享規則不清晰

實踐中，靈工平臺的法律組織特點是多主體集團公司形態，數據采集主體和數據處理主體往往不一致，因此涉及到數據轉移和數據共享的問題。

其次，靈工平臺涉及的外部數據共享場景很多，包括基于監管需求與政務部門進行共享、基于增值服務賦能與第三方服務商進行共享、基于內部運營需求在關聯公司間進行共享。

然而，不少靈工平臺并未向靈工人員和外部第三方等合作機構明確數據共享目的及共享規則，或雖然明確但實際并未與數據共享方共同遵守該共享規則，導致個人數據被擅自共享。

(六) 數據刪除：未設置刪除路徑，亦未實現匿名化處理  

通常，當靈工人員要求、靈工人員注銷賬戶或靈活用工平臺停止運營時，靈活用工平臺應當刪除或匿名化處理靈工人員的個人數據。

但絕大部分靈活用工平臺并未設置靈工人員可以自主選擇刪除其個人數據的路徑；即便靈工人員已注銷賬戶，其此前被收集的個人數據仍留存與靈活用工平臺之內，亦未能實現匿名化處理。

隨著靈活用工行業的發展，與數據相關的處理行為和功能會逐漸增多，自動化畫像推送問題、數據融合問題、數據遷移等問題會不斷涌現，平臺所面臨的數據安全責任和壓力以及合規要求都將不斷增加。

三、 靈活用工平臺數據合規路徑與解法

靈活用工平臺只需要落實開展個人信息安全評估的關鍵環節，并把握住隱私政策這一重要抓手，即可基本建立靈活用工平臺自身的數據合規體系框架。

(一) 關鍵環節：開展個人信息安全評估

開展個人信息安全評估是建立數據合規體系的關鍵環節。《GDPR》中規定，當某種類型的數據處理（特別是適用新技術進行的處理）很可能會對自然人的權利與自由帶來高風險時，在考慮處理性質、范圍、語境與目的后，數據控制者應當在處理之前評估該進程對個人數據保護的影響，即數據保護影響評估（DPIA: Data Protection Impact Assessment）；而《數據安全法》亦規定，重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。目前“重要數據”的范圍尚未厘清，相信未來將會出臺配套文件對“重要數據”做進一步解釋說明，靈活用工平臺的數據評估路徑將更為清晰。

而根據《個人信息保護法（草案）》，個人信息處理者應當對下列個人信息處理活動在事前進行風險評估，并對處理情況進行記錄：（1）處理敏感個人信息；（2）利用個人信息進行自動化決策；（3）委托處理個人信息、向第三方提供個人信息、公開個人信息；（4）向境外提供個人信息；（5）其他對個人有重大影響的個人信息處理活動。

從上述境內外規定中可以看出，對于靈活用工平臺而言，其定期開展個人信息安全影響評估是必要且重要的。

一方面，開展個人信息安全評估可以規范靈活用工平臺日常經營活動，及時識別風險及保護措施的漏洞，減少管理及合規成本；同時個人信息安全評估報告可以幫助靈工人員了解其個人信息將如何被處置及保護，保障其對于個人數據的知情權，避免針對其個人數據進行的高風險數據處理行為。

而另一方面，個人信息安全評估在靈活用工平臺被有關主管部門事后監管和調查過程中也發揮著重要參考作用，甚至會將作為其處罰的裁量要素。

雖然目前市面上有不少價格不菲的個人信息安全評估產品，但實際內容較為粗糙、流于形式。有些評估產品出具的檢測清單中，忽略了針對平臺搜集數據時是否基于其提供的業務場景而遵循了最小必要原則進行檢測；對于兒童用戶等特殊用戶也未設置專門的檢測路徑。使用這類評估產品，對靈活用工平臺而言并無太大意義。

因此，建議靈活用工平臺委托專業的外部第三方機構（如律師事務所、安全技術機構、咨詢公司等）進行獨立且專業的評估，且在購買評估產品服務時，重點考察其評估流程中是否包含評估“平臺功能描述與搜集的最小必要數據是否匹配”以及“隱私政策與系統功能是否一致”這兩大問題，以此判斷該評估產品的專業性。

(二) 重要抓手：寫好、用好隱私政策

隱私政策是靈活用工平臺對外展示自身數據安全及合規路徑的重要抓手。從實用角度而言，不合格的隱私政策將導致靈活用工平臺面臨被下架的風險。因此，一份隱私政策的重要性不言而喻。靈活用工平臺應當把握以下要點：

第一，列明不同業務功能下個人信息收集使用規則。靈活用工平臺應當在隱私政策中明確業務功能的具體內容、對應搜集的必要個人數據范圍及對應的服務以及可以自主選擇提供的數據范圍，使得靈工人員清楚個人數據的收集使用規則。

第二，明確數據共享等處理規則。靈活用工平臺應當在隱私政策中明確其共享個人數據的類型（尤其是個人敏感數據的類型），數據共享的目的，數據共享方的類型，數據共享方的身份和數據安全能力，以及可能產生的后果等等。

第三，明確平臺數據安全保護措施。靈活用工平臺應當在隱私政策中列明其已采取的數據安全保護措施（如上文提及的個人數據安全評估及其他安全防護措施等），及其已取得的數據安全認證（如三級等保、ISO27001認證等等）。

第四，明確靈工人員就其個人數據享有的權利。靈活用工平臺應當在隱私政策中列明靈工人員享有的訪問、更正、刪除、改變/撤回同意范圍，獲取個人數據副本等權利具體內容以及實現路徑，以保護靈工人員的權利不受侵害。

隱私政策中包括數據全生命周期的規則及制度，對外呈現的是平臺對于個人數據的保護實踐，如果隱私政策與系統實踐不一致，靈活用工平臺終究還是會自食惡果，承擔相應數據違規風險。因此，靈活用工平臺應當根據隱私政策設定的規則，及時調整系統功能并確保與之相匹配，完成“實質上的合規”。

四、 結語

合規建議的起點在于個人信息安全影響評估，要點的把握在于隱私政策，最終建立數據安全保護體系。若靈活用工平臺能夠真正落實開展個人信息安全評估的關鍵環節，有效識別專業的第三方評估機構并與之開展獨立的個人信息安全評估工作；同時把握住隱私政策這一重要抓手，寫好、用好隱私政策，使得系統功能與隱私政策相匹配，則能夠建立平臺數據合規的基礎框架，構建起靈工平臺的數據合規保護體系。

對于靈活用工平臺而言，數據是其進一步發展的重要基石，當平臺上合法有效留存的數據沉淀為數字資產，將實現對于靈工人員個人及靈活用工平臺本身的價值賦能，有助于靈活用工平臺打造整個業務體系的數字鏈閉環。因此，靈活用工平臺應當重視數據安全及合規所創造的價值，依法高效運用及保護平臺數據。