摘要：數(shù)據(jù)時(shí)代下，數(shù)據(jù)已然成為大數(shù)據(jù)公司的無(wú)形資產(chǎn)，數(shù)據(jù)合規(guī)將成為維護(hù)產(chǎn)業(yè)平穩(wěn)健康發(fā)展，保障公司商業(yè)利益和正常運(yùn)營(yíng)的重要基石。除了《數(shù)據(jù)安全法》的出臺(tái)對(duì)企業(yè)，隨著數(shù)據(jù)資源的不斷挖掘，數(shù)據(jù)在采集、使用、存儲(chǔ)三個(gè)環(huán)節(jié)的風(fēng)險(xiǎn)也逐漸提升。企業(yè)應(yīng)當(dāng)從轉(zhuǎn)變意識(shí)構(gòu)建合規(guī)體系、完善隱私政策獲得明確授權(quán)、遵守爬蟲(chóng)協(xié)議合法爬梳數(shù)據(jù)、加強(qiáng)技術(shù)開(kāi)發(fā)提高保護(hù)能力、做好盡職調(diào)查明確管理義務(wù)這五個(gè)方面進(jìn)行合規(guī)調(diào)整，以提升數(shù)據(jù)資產(chǎn)的保護(hù)力度。

關(guān)鍵詞：數(shù)據(jù)合規(guī);數(shù)據(jù)安全法;合規(guī)建議

引言

隨著各行業(yè)對(duì)數(shù)據(jù)資源的不斷挖掘，數(shù)據(jù)被廣泛應(yīng)用于廣告定向投遞、文創(chuàng)產(chǎn)品需求分析、輿情預(yù)警、市場(chǎng)動(dòng)態(tài)走向分析等多個(gè)領(lǐng)域，在算法加持下產(chǎn)生巨大的經(jīng)濟(jì)效益。然而數(shù)據(jù)重復(fù)成本低、流轉(zhuǎn)率高的特點(diǎn)也使數(shù)據(jù)的收集使用過(guò)程風(fēng)險(xiǎn)倍增、危機(jī)重重。一方面，一旦部分如包含個(gè)人財(cái)產(chǎn)信息在內(nèi)的敏感數(shù)據(jù)被不法傳播和利用，將影響至民眾的財(cái)產(chǎn)甚至人身安全。另一方面，在網(wǎng)絡(luò)爬蟲(chóng)技術(shù)的持續(xù)發(fā)展背景下，掌握技術(shù)優(yōu)勢(shì)的互聯(lián)網(wǎng)公司能夠以極低的成本從各類應(yīng)用軟件、搜索引擎中挖掘海量數(shù)據(jù)資源，再將分析結(jié)果推送給消費(fèi)者，其中包含著原數(shù)據(jù)開(kāi)發(fā)者的開(kāi)發(fā)成本和后續(xù)轉(zhuǎn)賣的利潤(rùn)，開(kāi)發(fā)者開(kāi)發(fā)的數(shù)據(jù)如何保護(hù)、利潤(rùn)如何分配引發(fā)的糾紛越來(lái)越多。

越來(lái)越多的政府、企業(yè)和個(gè)人開(kāi)始重視數(shù)據(jù)的來(lái)源合法、采集合規(guī)、安全存儲(chǔ)問(wèn)題，2020年新浪微博5億用書(shū)信息泄露案件、2017年龐理鵬訴東方航空案、2020年百度與大眾點(diǎn)評(píng)不正當(dāng)競(jìng)爭(zhēng)糾紛案等案件，將人們的視線拉入到數(shù)據(jù)安全保護(hù)問(wèn)題的討論當(dāng)中。隨著實(shí)踐問(wèn)題的不斷發(fā)酵、民眾呼聲的不斷提高，我國(guó)有關(guān)信息保護(hù)的立法也不斷完善以回應(yīng)現(xiàn)實(shí)問(wèn)題。目前，我國(guó)《網(wǎng)絡(luò)安全法》和《電子商務(wù)法》已正式生效，《個(gè)人信息保護(hù)法》也進(jìn)入了立法程序，2021年6月10日我國(guó)《數(shù)據(jù)安全法》正式出臺(tái)，數(shù)據(jù)合規(guī)問(wèn)題逐漸走入大眾的視野，也逐漸引起相關(guān)企業(yè)的重視。

一.《數(shù)據(jù)安全法》的主要內(nèi)容與要求

《數(shù)據(jù)安全法》一共分為七章，五十五條。包含數(shù)據(jù)相關(guān)概念、數(shù)據(jù)分級(jí)分類保護(hù)制度、數(shù)據(jù)安全審查制度、數(shù)據(jù)出境等內(nèi)容，企業(yè)應(yīng)當(dāng)注重以下幾個(gè)方面，以此為要求進(jìn)行合規(guī)調(diào)整。

1.明確數(shù)據(jù)有關(guān)概念

《數(shù)據(jù)安全法》第三條規(guī)定，數(shù)據(jù)，是指任何以電子或者其他方式對(duì)信息的記錄。數(shù)據(jù)處理，包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等。數(shù)據(jù)安全，是指通過(guò)采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力?！痹跀?shù)據(jù)的概念方面實(shí)現(xiàn)了信息記載形式的全覆蓋，除了電子數(shù)據(jù)，還將其他記錄方式納入其中。對(duì)于數(shù)據(jù)處理的界定，覆蓋了數(shù)據(jù)全生命周期。都體現(xiàn)對(duì)于數(shù)據(jù)安全保護(hù)范圍更廣、要求更加嚴(yán)格。

2.建立數(shù)據(jù)分級(jí)分類保護(hù)制度

《數(shù)據(jù)安全法》第二十一條規(guī)定“國(guó)家建立數(shù)據(jù)分級(jí)分類保護(hù)制度…將關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)列入國(guó)家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度?！斌w現(xiàn)對(duì)于數(shù)據(jù)保護(hù)資源的合理分配和精細(xì)化、專業(yè)化程度。

3.建立數(shù)據(jù)安全審查制度

與《網(wǎng)絡(luò)安全審查辦法》不同的時(shí)，《數(shù)據(jù)安全法》審查的對(duì)象包括所有的影響或可能影響國(guó)家安全的數(shù)據(jù)活動(dòng)，既包括線上也包括線下，且對(duì)數(shù)據(jù)活動(dòng)主體并未作出限制。因此，企業(yè)在進(jìn)行數(shù)據(jù)合規(guī)時(shí)應(yīng)當(dāng)尤其注重對(duì)所有的數(shù)據(jù)資產(chǎn)進(jìn)行審查，做好有關(guān)國(guó)家安全的數(shù)據(jù)的報(bào)告，盡到審慎管理和保護(hù)義務(wù)。

二.企業(yè)數(shù)據(jù)合規(guī)的現(xiàn)實(shí)風(fēng)險(xiǎn)

以數(shù)據(jù)分析產(chǎn)業(yè)為主的公司類型常有APP運(yùn)營(yíng)方、電子商務(wù)平臺(tái)、各類商業(yè)服務(wù)網(wǎng)站等形式，普遍的運(yùn)作模式為通過(guò)客戶端界面收集消費(fèi)者的個(gè)人信息或運(yùn)用爬蟲(chóng)技術(shù)爬梳數(shù)據(jù)，利用技術(shù)手段對(duì)此類數(shù)據(jù)和整理，形成相關(guān)產(chǎn)品，再推送給消費(fèi)者或轉(zhuǎn)賣給第三方公司。根據(jù)該流程，需要采取風(fēng)控手段的環(huán)節(jié)主要涉及數(shù)據(jù)采集、數(shù)據(jù)分析、數(shù)據(jù)使用、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)交易等環(huán)節(jié)，而其中面臨的風(fēng)險(xiǎn)是用戶個(gè)人隱私、商業(yè)秘密的泄露問(wèn)題。具體而言，有以下三類風(fēng)險(xiǎn)：

1.數(shù)據(jù)采集環(huán)節(jié)中的安全風(fēng)險(xiǎn)

企業(yè)的數(shù)據(jù)采集方式分為用戶授權(quán)和爬蟲(chóng)爬梳兩種。在用戶授權(quán)方面，雖然數(shù)據(jù)行業(yè)已經(jīng)掀起“隱私政策”的浪潮，但筆者仔細(xì)查閱 “騰訊” “大眾點(diǎn)評(píng)”“步道樂(lè)跑”等知名APP隱私政策后發(fā)現(xiàn)，這些軟件普遍存在隱私政策冗長(zhǎng)、專業(yè)術(shù)語(yǔ)晦澀，涉及格式條款內(nèi)容沒(méi)有進(jìn)一步解讀等問(wèn)題，導(dǎo)致用戶存在不愿讀、讀不懂的問(wèn)題。同時(shí)，看似“勾選同意”的方式實(shí)際上架空了用戶的選擇權(quán)，因?yàn)橐坏┻x擇不同意，用戶將無(wú)法享受軟件上的功能與服務(wù)，利用技術(shù)優(yōu)勢(shì)形成實(shí)質(zhì)的權(quán)利不對(duì)等的局面。用戶草草勾選后輸入個(gè)人信息，為日后引發(fā)糾紛買下隱患。

在爬蟲(chóng)爬梳方面，部分互聯(lián)網(wǎng)公司為了降低數(shù)據(jù)收集成本、豐富數(shù)據(jù)庫(kù)等，利用爬蟲(chóng)技術(shù)從各類網(wǎng)站甚至APP上爬梳網(wǎng)站商業(yè)信息，這些行為可能導(dǎo)致原網(wǎng)站潛在客戶流失、流量減少，系統(tǒng)卡頓等問(wèn)題，對(duì)于加工后的爬梳數(shù)據(jù)，轉(zhuǎn)賣的利潤(rùn)是否需要分配給原數(shù)據(jù)開(kāi)發(fā)者也是糾紛之一，涉案公司可能陷入不正當(dāng)競(jìng)爭(zhēng)、商業(yè)秘密侵權(quán)等案件當(dāng)中，也是風(fēng)控需要著眼之處。

2.數(shù)據(jù)使用環(huán)節(jié)的安全風(fēng)險(xiǎn)

數(shù)據(jù)使用環(huán)節(jié)包括公司對(duì)數(shù)據(jù)的處理分析和數(shù)據(jù)交易兩種形式。在數(shù)據(jù)分析處理時(shí)，如果對(duì)數(shù)據(jù)的處理超出了用戶授權(quán)范圍或客戶預(yù)期，此時(shí)用戶的控制權(quán)將難以得到保障。公民的交易記錄、賬號(hào)密碼、生物識(shí)別信息一旦泄露，將對(duì)公民帶來(lái)難以預(yù)計(jì)的嚴(yán)重后果，產(chǎn)生數(shù)據(jù)隱私不合規(guī)的問(wèn)題。在數(shù)據(jù)交易過(guò)程中，平臺(tái)經(jīng)營(yíng)者可能僅在第一次收集環(huán)節(jié)獲取到用戶的同意授權(quán)，而在后續(xù)通過(guò)關(guān)聯(lián)共享數(shù)據(jù)或與第三方交易過(guò)程中將相關(guān)數(shù)據(jù)一次性轉(zhuǎn)讓，用戶無(wú)法預(yù)估后續(xù)的流轉(zhuǎn)環(huán)節(jié)，數(shù)據(jù)泄露風(fēng)險(xiǎn)也隨之增加。實(shí)踐中大數(shù)據(jù)殺熟問(wèn)題的不斷出現(xiàn)也反映相關(guān)問(wèn)題的嚴(yán)重性。

3.數(shù)據(jù)存儲(chǔ)環(huán)節(jié)的安全風(fēng)險(xiǎn)

在數(shù)據(jù)價(jià)值不斷凸顯的同時(shí)也將不法分子的視線引入到數(shù)據(jù)資產(chǎn)侵權(quán)倒賣當(dāng)中，各類病毒、黑客技術(shù)等外部攻擊使得存儲(chǔ)于各平臺(tái)的數(shù)據(jù)安全風(fēng)險(xiǎn)驟升，數(shù)據(jù)價(jià)值之豐厚與流轉(zhuǎn)成本之低昂愈發(fā)刺激數(shù)據(jù)竊賊的不法行徑。例如，世界四大會(huì)計(jì)師事務(wù)所之一的德勤公司，盡管十分重視大數(shù)據(jù)使用安全，也同時(shí)建立了強(qiáng)有力的技術(shù)防范能力，也難以避免曾經(jīng)遭遇過(guò)網(wǎng)絡(luò)攻擊，造成許多私密的電子郵件和客戶計(jì)劃泄露事件。

三.企業(yè)數(shù)據(jù)合規(guī)策略與建議

結(jié)合《數(shù)據(jù)安全法》所提出的安全保護(hù)要求和實(shí)踐中存在的數(shù)據(jù)安全威脅，有關(guān)企業(yè)可以從事前預(yù)防和事后控制兩個(gè)層次進(jìn)行數(shù)據(jù)合規(guī)整改，以免產(chǎn)生監(jiān)管處罰、內(nèi)部企業(yè)文化受損和品牌形象、潛在客戶的流失等違規(guī)代價(jià)。

1.轉(zhuǎn)變思想觀念，構(gòu)建合規(guī)體系

企業(yè)應(yīng)當(dāng)與時(shí)俱進(jìn)，在現(xiàn)行數(shù)據(jù)保護(hù)愈加嚴(yán)格和數(shù)據(jù)安全風(fēng)險(xiǎn)愈加嚴(yán)重的形勢(shì)下，及時(shí)調(diào)整合規(guī)觀念，做出預(yù)案。一方面，需要理清數(shù)據(jù)保護(hù)與利用之間的關(guān)系，在最大限度發(fā)揮數(shù)據(jù)價(jià)值和推動(dòng)數(shù)據(jù)合規(guī)交易之間找到平衡;另一方面，需要構(gòu)建數(shù)據(jù)合規(guī)框架，即以數(shù)據(jù)種類為基礎(chǔ)，依照性質(zhì)對(duì)數(shù)據(jù)進(jìn)行梳理，一旦出現(xiàn)有關(guān)數(shù)據(jù)合規(guī)問(wèn)題，能夠迅速定位問(wèn)題所在并及時(shí)做出應(yīng)對(duì)措施。

2.制定隱私政策，獲得明確授權(quán)

針對(duì)實(shí)踐中產(chǎn)生的隱私政策冗長(zhǎng)、相關(guān)術(shù)語(yǔ)晦澀等問(wèn)題，企業(yè)在制定隱私政策時(shí)應(yīng)該做到簡(jiǎn)單明了，在有關(guān)專業(yè)術(shù)語(yǔ)部分進(jìn)行解釋，或提供人工客服服務(wù)，為存在疑惑的客戶提供解讀服務(wù)，釋明相關(guān)條款尤其是涉及用戶授權(quán)范圍、授權(quán)方式、使用途徑等內(nèi)容。為了防止用戶草率同意，可以采用技術(shù)手段如強(qiáng)制拉完協(xié)議所有界面等方式，以便盡到“合理提示義務(wù)”，即便發(fā)生糾紛也有充分的證據(jù)。但采用該技術(shù)的前提依舊是條文內(nèi)容的簡(jiǎn)單明了，否則將存在降低用戶好感度的風(fēng)險(xiǎn)。

3.遵守爬蟲(chóng)協(xié)議，減少訴訟風(fēng)險(xiǎn)

依照爬取網(wǎng)站類型，企業(yè)的爬蟲(chóng)行為分為兩種。一種是對(duì)公開(kāi)查詢服務(wù)的網(wǎng)站進(jìn)行爬出，例如爬取全國(guó)企業(yè)信用信息公示系統(tǒng)符合《中華人民共和國(guó)政府信息公開(kāi)條例》，不存在合規(guī)風(fēng)險(xiǎn);一種是對(duì)商業(yè)網(wǎng)絡(luò)平臺(tái)進(jìn)行爬取，在爬梳過(guò)程中需要注意遵守爬蟲(chóng)協(xié)議的規(guī)定，此外，若第三方網(wǎng)站采用了反爬蟲(chóng)等技術(shù)手段、或公示爬蟲(chóng)聲明，則企業(yè)不得繞開(kāi)相關(guān)手段繼續(xù)爬取，否則可能面臨以不正當(dāng)競(jìng)爭(zhēng)被追訴的風(fēng)險(xiǎn)。

4.培養(yǎng)專業(yè)人才，加強(qiáng)技術(shù)開(kāi)發(fā)

面對(duì)外來(lái)攻擊，提升數(shù)據(jù)安全保障技術(shù)是最主要的預(yù)防手段，企業(yè)可以通過(guò)自身培養(yǎng)專業(yè)人才或者借助第三方力量來(lái)加強(qiáng)技術(shù)保障。一方面，企業(yè)需要加強(qiáng)法務(wù)人員、技術(shù)工作人員的數(shù)據(jù)合規(guī)意識(shí)，培養(yǎng)數(shù)據(jù)處理和風(fēng)險(xiǎn)防控方面的專業(yè)人才，采用數(shù)據(jù)脫敏處理、同態(tài)加密技術(shù)等對(duì)相關(guān)數(shù)據(jù)加強(qiáng)保護(hù)。另一方面，在自身防護(hù)技術(shù)力量薄弱時(shí)，企業(yè)可以借助第三方專業(yè)機(jī)構(gòu)，購(gòu)買數(shù)據(jù)安全保障服務(wù)，從而實(shí)現(xiàn)數(shù)據(jù)保護(hù)責(zé)任與風(fēng)險(xiǎn)的轉(zhuǎn)移。雖然這一措施或許會(huì)削弱企業(yè)的利潤(rùn)，但相比長(zhǎng)遠(yuǎn)的企業(yè)信譽(yù)利益和違規(guī)處罰成本來(lái)看，技術(shù)服務(wù)的成本微乎其微。

5.做好盡職調(diào)查，協(xié)議管理義務(wù)

在與第三方交易時(shí)，除了獲得用戶的明確授權(quán)同意，企業(yè)還應(yīng)當(dāng)做好盡職調(diào)查，將雙方有關(guān)數(shù)據(jù)安全管理義務(wù)明確寫(xiě)入合同當(dāng)中。對(duì)交易對(duì)方當(dāng)事人的盡職調(diào)查，主要需要圍繞著數(shù)據(jù)企業(yè)資信、數(shù)據(jù)安全保障技術(shù)和能力、數(shù)據(jù)用途、數(shù)據(jù)來(lái)源等內(nèi)容展開(kāi)，將容錯(cuò)空間降低也為數(shù)據(jù)安全多一層保障。此外，交易雙方都對(duì)合同客體負(fù)有安全管理義務(wù)，應(yīng)當(dāng)聽(tīng)過(guò)保證協(xié)議等方式明確約定，經(jīng)合同雙方確認(rèn)，但需注意的是這種形式主要是用違約責(zé)任的方式給彼此負(fù)上義務(wù)，并不免除行政或刑事責(zé)任的承擔(dān)，一旦一方觸犯了相關(guān)法律法規(guī)，依舊要面臨懲處。

在發(fā)生數(shù)據(jù)泄露事件時(shí)，企業(yè)應(yīng)當(dāng)立即啟動(dòng)應(yīng)急措施，及時(shí)向社會(huì)發(fā)布有關(guān)的警示信息，并從此次事件當(dāng)中吸取教訓(xùn)，進(jìn)行總結(jié)，不斷進(jìn)行合規(guī)調(diào)整以免類似事件再次發(fā)生。

四.結(jié)語(yǔ)

忽視數(shù)據(jù)合規(guī)，將產(chǎn)生訴訟費(fèi)用、強(qiáng)令整改費(fèi)用等一系列違規(guī)成本，而直接導(dǎo)致的用戶利益受損、消費(fèi)者信任度下降等影響更會(huì)對(duì)企業(yè)的信譽(yù)這一無(wú)形資產(chǎn)產(chǎn)生影響。在《數(shù)據(jù)安全法》對(duì)數(shù)據(jù)安全保護(hù)的范圍、分級(jí)分類的專業(yè)程度等提出要求時(shí)，企業(yè)應(yīng)當(dāng)直面數(shù)據(jù)生命全流程周期存在的風(fēng)險(xiǎn)，轉(zhuǎn)變合規(guī)意識(shí)，采用更為完善的隱私政策獲得用戶授權(quán)、遵守行業(yè)規(guī)則避免訴累、培養(yǎng)技術(shù)人才提升數(shù)據(jù)安全保障能力、做好盡職調(diào)查降低交易風(fēng)險(xiǎn)，以實(shí)現(xiàn)企業(yè)數(shù)據(jù)開(kāi)發(fā)使用的風(fēng)險(xiǎn)防控。

參考文獻(xiàn)：

[1]王繼業(yè). 加強(qiáng)數(shù)據(jù)安全合規(guī)管理提升安全生產(chǎn)質(zhì)效[N]. 國(guó)家電網(wǎng)報(bào)，2021-06-10（003）.

[2]夏知淵，汪星辰.數(shù)據(jù)服務(wù)合規(guī)研究及展望[J].中國(guó)金融電腦，2021（06）：65-68.

[3]高海燕.大數(shù)據(jù)背景下會(huì)計(jì)倫理問(wèn)題的思考[J].財(cái)會(huì)學(xué)習(xí)，2021（16）：93-95.

[4]李一萌，曹錦秋.電商新紀(jì)元背景下平臺(tái)經(jīng)營(yíng)者合規(guī)路徑初探[J].哈爾濱學(xué)院學(xué)報(bào)，2021，42（05）：68-71.

[5]楊毅.數(shù)據(jù)權(quán)屬與合規(guī)交易研究[J].武漢金融，2021（05）：82-88.

[6]吳衛(wèi)明. 《數(shù)據(jù)安全法》解讀與合規(guī)建議，（https：//mp.weixin.qq.com/s/_cSidOqABzYijIXMj-DTMA，2021.6.12日訪問(wèn)）

作者簡(jiǎn)介：

鐘小羽，女，生于2001年4月，漢族，江西宜春人，江蘇大學(xué)本科在讀，研究方向：法學(xué)

基金項(xiàng)目：

江蘇大學(xué)第19批大學(xué)生科研課題立項(xiàng)資助項(xiàng)目，項(xiàng)目編號(hào)：19C170