馬美瑤

（重慶郵電大學(xué)，重慶 40065）

0 引 言

當(dāng)前以大數(shù)據(jù)、云計(jì)算、人工智能等為代表的信息技術(shù)快速發(fā)展，為經(jīng)濟(jì)社會(huì)發(fā)展提供了巨大動(dòng)力，也為人民生活帶來(lái)了許多便利。其中，數(shù)據(jù)是關(guān)鍵生產(chǎn)要素。對(duì)企業(yè)來(lái)說(shuō)，做好數(shù)據(jù)合規(guī)，不僅可以為企業(yè)創(chuàng)造巨大的商業(yè)價(jià)值，還能避免企業(yè)陷入法律風(fēng)險(xiǎn)，督促企業(yè)積極承擔(dān)社會(huì)責(zé)任；對(duì)個(gè)人來(lái)說(shuō)，數(shù)據(jù)合規(guī)可以防止個(gè)人信息數(shù)據(jù)泄露，保護(hù)用戶隱私。在社會(huì)層面，企業(yè)數(shù)據(jù)合規(guī)可以促進(jìn)數(shù)據(jù)產(chǎn)業(yè)的安全健康發(fā)展，營(yíng)造風(fēng)清氣正的網(wǎng)絡(luò)環(huán)境。企業(yè)需要在數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)分類、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)安全、數(shù)據(jù)文化等方面做到數(shù)據(jù)合規(guī)。其目的是合法合規(guī)地引導(dǎo)數(shù)據(jù)資產(chǎn)實(shí)現(xiàn)價(jià)值變現(xiàn)。但是，在互聯(lián)網(wǎng)時(shí)代，數(shù)據(jù)也面臨著風(fēng)險(xiǎn)和危機(jī)，稍有不慎便可能成為引發(fā)個(gè)人信息保護(hù)、市場(chǎng)秩序、社會(huì)治理和國(guó)家安全等問(wèn)題的導(dǎo)火索[1]。從企業(yè)在數(shù)據(jù)合規(guī)方面的遭遇來(lái)看，數(shù)據(jù)違規(guī)收集、應(yīng)用和儲(chǔ)存使得企業(yè)面臨巨額罰款甚至停產(chǎn)停業(yè)危機(jī)，黑客入侵、數(shù)據(jù)泄露等外部風(fēng)險(xiǎn)讓企業(yè)風(fēng)雨飄搖，企業(yè)合規(guī)成本高昂、內(nèi)部泄密嚴(yán)重等讓企業(yè)應(yīng)接不暇，漏洞百出。面對(duì)這些風(fēng)險(xiǎn)挑戰(zhàn)，如何讓企業(yè)在競(jìng)爭(zhēng)激烈的市場(chǎng)中站穩(wěn)腳跟并向好發(fā)展，是企業(yè)數(shù)據(jù)合規(guī)需要完成的使命。

1 國(guó)內(nèi)外數(shù)據(jù)安全立法概述

1.1 國(guó)內(nèi)數(shù)據(jù)安全立法方面

以2017 年《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的實(shí)施為開端，我國(guó)開始邁進(jìn)數(shù)據(jù)應(yīng)用和治理法治化時(shí)代，將數(shù)據(jù)安全納入了國(guó)家安全的范疇進(jìn)行保護(hù)。2021 年9 月1 日《中華人民共和國(guó)數(shù)據(jù)安全法》正式施行，同年11 月1 日《中華人民共和國(guó)個(gè)人信息保護(hù)法》開始實(shí)施，同年11 月14 日國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》（以下簡(jiǎn)稱“條例”），這標(biāo)志著我國(guó)數(shù)據(jù)安全立法開始走向成熟。以上述“三法一條例”的頒布實(shí)施為標(biāo)志，我國(guó)的數(shù)據(jù)安全立法已經(jīng)進(jìn)入了快速發(fā)展時(shí)期。同時(shí)“三法一條例”也是當(dāng)前企業(yè)數(shù)據(jù)合規(guī)建設(shè)的基本遵循。

具體來(lái)看，《中華人民共和國(guó)數(shù)據(jù)安全法》作為數(shù)據(jù)安全領(lǐng)域的專項(xiàng)法律，體現(xiàn)了國(guó)家立法層面對(duì)數(shù)據(jù)安全的高度重視，同時(shí)，對(duì)企業(yè)數(shù)據(jù)合規(guī)建設(shè)也具有重要指導(dǎo)意義。比如，該法的第八條規(guī)定了企業(yè)收集和使用數(shù)據(jù)應(yīng)遵循的基本原則，第十九條表明企業(yè)在滿足相應(yīng)條件的情況下可以進(jìn)行數(shù)據(jù)交易，此外，還在第四章集中列明了在中國(guó)境內(nèi)從事數(shù)據(jù)處理活動(dòng)的企業(yè)應(yīng)當(dāng)承擔(dān)的基本數(shù)據(jù)合規(guī)義務(wù)。這些法條都為企業(yè)數(shù)據(jù)合規(guī)指引了方向。同樣，在《中華人民共和國(guó)個(gè)人信息保護(hù)法》中也對(duì)企業(yè)數(shù)據(jù)合規(guī)提出了要求，個(gè)人信息的處理更加嚴(yán)格，還作出了舉證責(zé)任倒置的規(guī)定，即在個(gè)人信息權(quán)益受到侵害時(shí)，大數(shù)據(jù)企業(yè)負(fù)有證明自己沒有過(guò)錯(cuò)的義務(wù)。而“條例”則是對(duì)《中華人民共和國(guó)數(shù)據(jù)安全法》等上位法的進(jìn)一步細(xì)化實(shí)施，在關(guān)于數(shù)據(jù)收集的第四章中，規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者的數(shù)據(jù)安全合規(guī)義務(wù)，進(jìn)一步明確平臺(tái)規(guī)則透明度義務(wù)、平臺(tái)第三方產(chǎn)品及服務(wù)侵權(quán)的先行賠償責(zé)任等，在一定程度上增加了企業(yè)的合規(guī)難度。

1.2 國(guó)際數(shù)據(jù)安全立法方面

當(dāng)前，以歐盟出臺(tái)的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）為契機(jī)，各國(guó)開始制定或修改本國(guó)的數(shù)據(jù)保護(hù)法規(guī)，例如，2018 年6 月，美國(guó)加州出臺(tái)的《加州消費(fèi)者隱私法案》被稱為美國(guó)最全面、最嚴(yán)格的州數(shù)據(jù)隱私法，該法案于2018 年6 月28 日頒布，并于2020 年1 月1 日生效。2020 年6 月，日本參議院頒布了《個(gè)人信息保護(hù)法修正案》，此修正案將于2022 年4 月1 日正式實(shí)施。本次修訂擴(kuò)大了個(gè)人權(quán)利，還把違規(guī)企業(yè)的罰金上限提升至1 億日元（約合人民幣650 萬(wàn)元）。2020 年11 月，加拿大政府推出《數(shù)字憲章實(shí)施法案》，如果通過(guò)，它將取代現(xiàn)有的 《個(gè)人信息保護(hù)和電子文件法》，并對(duì)該國(guó)的隱私立法引入一些新的變化。據(jù)聯(lián)合國(guó)貿(mào)易和發(fā)展會(huì)議數(shù)據(jù)顯示，全球范圍內(nèi)已經(jīng)有超過(guò)100 個(gè)國(guó)家進(jìn)行了數(shù)據(jù)安全保護(hù)相關(guān)的立法，40 多個(gè)國(guó)家出臺(tái)了相應(yīng)的草案，可以說(shuō)，當(dāng)今世界已經(jīng)掀起了數(shù)據(jù)安全立法的高潮，國(guó)際社會(huì)開始進(jìn)入數(shù)據(jù)保護(hù)的快速發(fā)展期。各國(guó)數(shù)據(jù)安全立法主要有以下幾個(gè)特點(diǎn)。

一是許多國(guó)家逐漸形成全方位保護(hù)的立法理念，并突出個(gè)人信息使用限制?？v觀各國(guó)關(guān)于數(shù)據(jù)安全的立法，從數(shù)據(jù)的產(chǎn)生、收集、存儲(chǔ)到使用、加工、傳輸、提供、公開等一系列環(huán)節(jié)，都有相應(yīng)的法規(guī)予以保護(hù)。二是明確管轄范圍，加強(qiáng)與數(shù)據(jù)流通密切的相關(guān)國(guó)家和地區(qū)的數(shù)據(jù)信息交流合作，共同打擊數(shù)據(jù)侵權(quán)與泄露事件?，F(xiàn)今許多國(guó)家都十分注重網(wǎng)絡(luò)空間主權(quán)，在數(shù)據(jù)安全立法方面，都強(qiáng)調(diào)管轄權(quán)的重要性，長(zhǎng)臂管轄已成為今后的立法趨勢(shì)。三是強(qiáng)調(diào)對(duì)個(gè)人信息與隱私的保護(hù)，大多數(shù)國(guó)家和地區(qū)均出臺(tái)單獨(dú)的法典對(duì)其進(jìn)行規(guī)范。個(gè)人信息是數(shù)據(jù)保護(hù)中的重中之重，對(duì)個(gè)人信息的濫用、侵權(quán)等行為都將違反本國(guó)的相關(guān)法律法規(guī)，并受到相應(yīng)的處罰。四是各國(guó)開始采用精細(xì)化的立法方式來(lái)保護(hù)數(shù)據(jù)安全，明確各方法律義務(wù)責(zé)任，提升數(shù)據(jù)治理效果。“數(shù)據(jù)”一詞內(nèi)涵豐富，這就要求立法的精準(zhǔn)性，要能夠解決形形色色的問(wèn)題，做到有法可依。

從上述國(guó)際立法特點(diǎn)可以看出，各國(guó)對(duì)于數(shù)據(jù)和信息的管理愈加嚴(yán)格，這同時(shí)也意味著企業(yè)尤其是跨國(guó)企業(yè)更應(yīng)當(dāng)做好數(shù)據(jù)合規(guī)建設(shè)，以滿足國(guó)際上對(duì)數(shù)據(jù)安全的要求。

2 企業(yè)數(shù)據(jù)合規(guī)面臨的現(xiàn)實(shí)困境及其成因

2.1 數(shù)據(jù)應(yīng)用違規(guī)，企業(yè)合規(guī)成本高昂

在網(wǎng)絡(luò)時(shí)代，數(shù)據(jù)是數(shù)字經(jīng)濟(jì)的核心，是推動(dòng)新經(jīng)濟(jì)發(fā)展的關(guān)鍵[2]。數(shù)據(jù)從產(chǎn)生、收集到后續(xù)的使用、保存等全生命周期都會(huì)面臨一系列的安全風(fēng)險(xiǎn)，稍有不慎，就會(huì)出現(xiàn)數(shù)據(jù)違規(guī)的現(xiàn)象。數(shù)據(jù)收集之初，有直接收集、間接收集和通過(guò)爬蟲技術(shù)收集等方式，其中，通過(guò)爬蟲技術(shù)獲取其他公司數(shù)據(jù)，若嚴(yán)重干擾其他企業(yè)正常合法經(jīng)營(yíng)，違反誠(chéng)實(shí)信用原則和公認(rèn)的商業(yè)道德，則很有可能構(gòu)成不正當(dāng)競(jìng)爭(zhēng)。例如，微博起訴超級(jí)星飯團(tuán)不正當(dāng)競(jìng)爭(zhēng)案一審宣判，超級(jí)星飯團(tuán)擅自抓取微博用戶相關(guān)信息、非法獲取微博相關(guān)數(shù)據(jù)，構(gòu)成不正當(dāng)競(jìng)爭(zhēng)，被判賠償1 000 多萬(wàn)元；若更進(jìn)一步采用技術(shù)手段非法獲取計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)的數(shù)據(jù)，則有可能觸犯刑法，構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪[3]。企業(yè)在使用數(shù)據(jù)的過(guò)程中，常常會(huì)出現(xiàn)濫用數(shù)據(jù)的情況，如對(duì)一些個(gè)人敏感信息不脫敏直接使用或者未征得用戶同意直接使用數(shù)據(jù)等，這些都會(huì)引發(fā)企業(yè)與用戶信任危機(jī)，例如，F(xiàn)acebook 涉嫌非法收集生物識(shí)別數(shù)據(jù)，與用戶達(dá)成隱私糾紛和解，賠償了5.5 億美元；谷歌因違反GDPR 而被法國(guó)數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)CNIL 處以5 000 萬(wàn)歐元的罰款[4]。我國(guó)數(shù)據(jù)違規(guī)現(xiàn)象也層出不窮，例如，2021 年的3·15 晚會(huì)就曝光了人臉信息被違規(guī)收集、求職簡(jiǎn)歷被非法買賣、手機(jī)清理類軟件惡意竊取手機(jī)內(nèi)部信息等多起涉及個(gè)人信息安全的事件。

對(duì)于企業(yè)來(lái)說(shuō)，數(shù)據(jù)合規(guī)最關(guān)鍵的兩點(diǎn)在于：一是要求數(shù)據(jù)應(yīng)用合乎法律規(guī)定（包括數(shù)據(jù)的利用、處理、使用等行為合乎法律規(guī)定，不得違反國(guó)家強(qiáng)制性法律規(guī)定），二是數(shù)據(jù)應(yīng)用不得侵犯他人的正當(dāng)合法權(quán)益，這同時(shí)也是數(shù)據(jù)合規(guī)審查的兩條紅線[5]。而企業(yè)在數(shù)據(jù)應(yīng)用上之所以會(huì)出現(xiàn)違法違規(guī)現(xiàn)象，很大程度上在于要做到上述兩點(diǎn)成本十分高昂，尤其是對(duì)于小型企業(yè)，高昂的合規(guī)成本使之望而卻步，似乎只有對(duì)數(shù)據(jù)的無(wú)限制使用才是其獲取利潤(rùn)的“唯一”選擇。據(jù)Telos 最近開展的一項(xiàng)企業(yè)合規(guī)成本調(diào)查顯示：每家企業(yè)要做到數(shù)據(jù)合規(guī)，平均需要遵守至少13 個(gè)不同的IT 安全或隱私法規(guī)，并且每年在合規(guī)性活動(dòng)上要花費(fèi)高達(dá)350 萬(wàn)美元。于是許多企業(yè)抱有僥幸心理，或者說(shuō)是一廂情愿地認(rèn)為自己對(duì)數(shù)據(jù)的使用是合法合規(guī)的，殊不知這已經(jīng)犯了企業(yè)合規(guī)經(jīng)營(yíng)的大忌。

2.2 企業(yè)內(nèi)外數(shù)據(jù)泄露嚴(yán)重

隨著技術(shù)的快速更迭，數(shù)據(jù)泄露的方式也多種多樣，如病毒與非法入侵、系統(tǒng)漏洞、訪問(wèn)控制和權(quán)限管理不善等，這些都使得企業(yè)遭受巨大損失。企業(yè)在面對(duì)數(shù)據(jù)泄露時(shí)，常常會(huì)出現(xiàn)應(yīng)對(duì)無(wú)措的情況。當(dāng)下許多企業(yè)尤其是互聯(lián)網(wǎng)企業(yè)都時(shí)刻面臨著來(lái)自內(nèi)部和外部的各種風(fēng)險(xiǎn)挑戰(zhàn)。內(nèi)部風(fēng)險(xiǎn)主要包括系統(tǒng)存在漏洞未及時(shí)發(fā)現(xiàn)、系統(tǒng)未及時(shí)更新、個(gè)人私密信息未使用脫敏技術(shù)、對(duì)企業(yè)核心數(shù)據(jù)未采用加密保護(hù)的技術(shù)手段等；外部風(fēng)險(xiǎn)主要是黑客出于炫耀或其他目的，利用特定的漏洞來(lái)竊取信息數(shù)據(jù)，或者是來(lái)自惡意人士的攻擊，包括網(wǎng)絡(luò)釣魚詐騙、數(shù)據(jù)盜竊贖金勒索和魚叉式網(wǎng)絡(luò)釣魚活動(dòng)等，這些都給企業(yè)及個(gè)人造成了嚴(yán)重?fù)p害。盡管企業(yè)采用了一些安全防護(hù)手段，但是從結(jié)果來(lái)看，還遠(yuǎn)遠(yuǎn)不夠。面對(duì)上述隨時(shí)會(huì)發(fā)生的風(fēng)險(xiǎn)，企業(yè)防不勝防，同時(shí)在一定程度上也說(shuō)明了企業(yè)在數(shù)據(jù)保護(hù)技術(shù)上的不足，使得不法分子有了可乘之機(jī)。

2.2.1 網(wǎng)絡(luò)攻擊形勢(shì)嚴(yán)峻，外部泄露嚴(yán)重

據(jù)波耐蒙研究所發(fā)布的《2020 年數(shù)據(jù)泄露損失研究》評(píng)估顯示，遭遇數(shù)據(jù)泄露事件的企業(yè)平均損失386 萬(wàn)美元。2018 年，F(xiàn)acebook 公司就曾發(fā)生嚴(yán)重的數(shù)據(jù)泄露事件，業(yè)界稱其為“數(shù)據(jù)門”事件[6]，該事件造成了超8 000 萬(wàn)用戶的信息外泄。據(jù)報(bào)道，F(xiàn)acebook 與GSR 公司簽署了相關(guān)保密協(xié)議，但GSR 私下違反協(xié)議，將數(shù)據(jù)轉(zhuǎn)賣給了第三方劍橋數(shù)據(jù)分析公司（一家涉嫌影響美國(guó)選舉的公司）。經(jīng)過(guò)多年的調(diào)查，監(jiān)管機(jī)構(gòu)認(rèn)為 Facebook 因未能保護(hù)這些數(shù)據(jù)而違反了其較早簽署的保護(hù)用戶隱私協(xié)議。同年10 月，英國(guó)信息專員辦公室向Facebook 處以50萬(wàn)英鎊罰款，2020 年4 月，美國(guó)聯(lián)邦法院正式批準(zhǔn)了美國(guó)聯(lián)邦貿(mào)易委員會(huì)與Facebook 達(dá)成的50 億美金和解協(xié)議。

網(wǎng)絡(luò)和平研究所所長(zhǎng)Marietje Schaake曾說(shuō)，“盡管網(wǎng)絡(luò)攻擊是一種無(wú)聲的威脅，但它們會(huì)對(duì)我們的社會(huì)產(chǎn)生破壞性和持久性的影響”。這對(duì)企業(yè)來(lái)說(shuō)也不例外。隨著物聯(lián)網(wǎng)的發(fā)展，數(shù)以十億計(jì)的設(shè)備接入移動(dòng)互聯(lián)網(wǎng)，網(wǎng)絡(luò)攻擊造成的威脅正在呈指數(shù)級(jí)增長(zhǎng)。據(jù)美國(guó)高德納咨詢公司（Gartner）預(yù)測(cè)，到2022 年左右，全球網(wǎng)絡(luò)安全支出費(fèi)用將達(dá)到1 704 億美元。在網(wǎng)絡(luò)攻擊不斷加劇的情況下，若企業(yè)一味固守之前的應(yīng)對(duì)模式，則很有可能被競(jìng)爭(zhēng)激烈的市場(chǎng)淘汰。同時(shí)，相較于大型企業(yè)，中小型企業(yè)由于缺乏完備的合規(guī)體系，更容易成為網(wǎng)絡(luò)攻擊的首選對(duì)象。根據(jù)Markel Direct 的一項(xiàng)調(diào)查結(jié)果顯示，51%的中小企業(yè)都曾有過(guò)網(wǎng)絡(luò)安全漏洞，所以對(duì)中小企業(yè)來(lái)說(shuō)，一旦遭遇攻擊，企業(yè)將面對(duì)來(lái)自資金鏈斷裂和核心技術(shù)泄露的雙重威脅，這對(duì)企業(yè)的打擊無(wú)疑是致命的[7]。

2.2.2 內(nèi)部泄密嚴(yán)重

數(shù)據(jù)泄露的原因除外部黑客非法竊取外，還有便是企業(yè)內(nèi)部員工導(dǎo)致的泄露。由于數(shù)據(jù)合規(guī)的專業(yè)性較強(qiáng)，很多員工尚無(wú)相關(guān)的知識(shí)儲(chǔ)備，無(wú)法意識(shí)到數(shù)據(jù)合規(guī)的重要性，會(huì)有意無(wú)意地接觸到核心數(shù)據(jù)或者關(guān)鍵數(shù)據(jù)并使其泄露或者流失，給企業(yè)造成重大損失。內(nèi)部泄露主要分為兩種類型：一是內(nèi)部員工因疏忽大意導(dǎo)致泄露而不自知，比如員工對(duì)信息數(shù)據(jù)使用不當(dāng)、安全意識(shí)差等；二是內(nèi)部員工惡意泄露，比如員工將企業(yè)信息數(shù)據(jù)資產(chǎn)進(jìn)行出售來(lái)獲取非法利益或者人員報(bào)復(fù)性操作等。從現(xiàn)實(shí)案例來(lái)看，顯然后者的危害性更大，例如，2018年1月，某警方偵破了一起新生嬰兒信息倒賣鏈條，經(jīng)查明，是某地方衛(wèi)生系統(tǒng)的工作人員泄露了50多萬(wàn)條新生嬰兒和預(yù)產(chǎn)孕婦信息數(shù)據(jù)；2018 年2 月，某知名企業(yè)的合作公司員工泄露防偽數(shù)據(jù)700 萬(wàn)條，直接導(dǎo)致了該企業(yè)經(jīng)濟(jì)損失約105.7萬(wàn)元。這些泄密事件都給企業(yè)數(shù)據(jù)的安全性敲響了警鐘，說(shuō)明了企業(yè)員工的違法違規(guī)操作可能給企業(yè)數(shù)據(jù)合規(guī)造成潛在的威脅和損害。

2.3 立法管控愈嚴(yán)，數(shù)據(jù)處理不當(dāng)?shù)暮蠊?/h3>

隨著國(guó)內(nèi)外對(duì)數(shù)據(jù)合規(guī)的監(jiān)管不斷加強(qiáng)，企業(yè)對(duì)數(shù)據(jù)的處理不當(dāng)導(dǎo)致的泄露，引來(lái)監(jiān)管部門的關(guān)注，在調(diào)查清楚事件后，等待的是相關(guān)執(zhí)法機(jī)構(gòu)的一系列處罰，其中最引起公眾關(guān)注的還是不斷增加的巨額罰款案例。2016 年，網(wǎng)約車平臺(tái)Uber 遭到黑客攻擊，泄露了60 萬(wàn)司機(jī)和5 700 萬(wàn)用戶的個(gè)人信息。該公司沒有披露該事件，而是向黑客支付了10 萬(wàn)美元，試圖瞞天過(guò)海，該行為使公司付出了沉重的代價(jià)，在2018 年因違反州數(shù)據(jù)泄露通知法而被罰款1.48億美元[8]。2017 年，Equifax 由于一個(gè)數(shù)據(jù)庫(kù)未及時(shí)安裝Apache Struts 框架的嚴(yán)重漏洞補(bǔ)丁，損失了近1.5 億條個(gè)人信息和財(cái)務(wù)信息。后在2019 年7 月，Equifax 就此次事件，同意向美國(guó)聯(lián)邦貿(mào)易委員會(huì)、消費(fèi)者金融保護(hù)局以及美國(guó)50 個(gè)州和地區(qū)支付5.75 億美元，可能增至7 億美元，并承諾采取合理的方法來(lái)保護(hù)其網(wǎng)絡(luò)。這些都充分說(shuō)明了國(guó)際立法非常重視數(shù)據(jù)安全，同時(shí)，巨額罰款對(duì)某些企業(yè)來(lái)說(shuō)是致命的打擊，可能導(dǎo)致企業(yè)出現(xiàn)資金周轉(zhuǎn)困難、企業(yè)信譽(yù)下降等后果，從而失去市場(chǎng)中的競(jìng)爭(zhēng)力。

2020 年，我國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布了53 項(xiàng)網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)，同時(shí)，關(guān)于數(shù)據(jù)安全與合規(guī)方面的配套制度也在不斷推進(jìn)，相關(guān)執(zhí)法實(shí)踐逐步走向常態(tài)化，訴訟案例逐漸豐富。針對(duì)企業(yè)數(shù)據(jù)違法違規(guī)方面，也分別適用了不同的法律法規(guī)予以制裁，比如《中華人民共和國(guó)刑法》《中華人民共和國(guó)民法典》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等的配套使用。其中以《中華人民共和國(guó)網(wǎng)絡(luò)安全法》為例，在第六章就規(guī)定了十余種法律責(zé)任及處罰措施。就罰款來(lái)說(shuō)，我國(guó)開始向國(guó)際靠攏，要求建立和完善懲罰性賠償和巨額罰款制度，讓嚴(yán)重違法者付出高昂成本。這在很大程度上給企業(yè)造成了隱形的壓力，迫使企業(yè)不得不開始注重?cái)?shù)據(jù)合規(guī)。

2.4 合規(guī)意識(shí)淡薄，企業(yè)潛藏重大風(fēng)險(xiǎn)

數(shù)據(jù)是一個(gè)企業(yè)的生命，但是企業(yè)員工甚至企業(yè)管理者卻沒有意識(shí)到這一點(diǎn)，從而導(dǎo)致數(shù)據(jù)流失、數(shù)據(jù)泄露，給企業(yè)造成一筆不菲的“支出”，甚至讓企業(yè)面臨“死亡”的危機(jī)。在企業(yè)治理上，很多企業(yè)管理者由于沒有正確認(rèn)識(shí)公司治理風(fēng)險(xiǎn)的概念和種類，難以意識(shí)到合規(guī)風(fēng)險(xiǎn)的重要性，比如行業(yè)將風(fēng)險(xiǎn)分為技術(shù)風(fēng)險(xiǎn)、銷售風(fēng)險(xiǎn)、產(chǎn)品質(zhì)量風(fēng)險(xiǎn)、知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)等，但是并未抓住分類的依據(jù)和意義，從而將合規(guī)風(fēng)險(xiǎn)這一重要類別忽視不管，使企業(yè)數(shù)據(jù)安全隱患大大增加。根據(jù)公司治理風(fēng)險(xiǎn)的基本理論，企業(yè)面臨的主要風(fēng)險(xiǎn)可以分為3 大類型：經(jīng)營(yíng)風(fēng)險(xiǎn)、財(cái)務(wù)管理風(fēng)險(xiǎn)和合規(guī)風(fēng)險(xiǎn)[9]。因此，對(duì)于企業(yè)管理層來(lái)說(shuō)，只有先分清風(fēng)險(xiǎn)類別，了解數(shù)據(jù)合規(guī)的重要性，打破固有的“數(shù)據(jù)無(wú)用”觀念，才能走好企業(yè)數(shù)據(jù)合規(guī)的第一步。同樣，對(duì)于企業(yè)員工來(lái)說(shuō)，數(shù)據(jù)合規(guī)不應(yīng)是一個(gè)“新詞”，成為員工自我約束的“法外之地”。在互聯(lián)網(wǎng)時(shí)代，員工的一言一行、一舉一動(dòng)都會(huì)在網(wǎng)絡(luò)上存下數(shù)據(jù)、留下痕跡，所以僅以“不知者無(wú)罪”而免除責(zé)任者“明知不可為而為之”的責(zé)任都是不可行、不可取的做法。這些都反映了企業(yè)整體合規(guī)意識(shí)的淡薄，對(duì)核心競(jìng)爭(zhēng)力的保護(hù)力度不夠。

3 企業(yè)數(shù)據(jù)合規(guī)的實(shí)踐路徑

3.1 國(guó)家法律支持

3.1.1 立法明晰企業(yè)類別，及時(shí)更新合規(guī)要求

從整體上看，國(guó)內(nèi)外監(jiān)管趨勢(shì)愈加嚴(yán)格，我國(guó)關(guān)于數(shù)據(jù)安全立法的頂層設(shè)計(jì)也在抓緊建設(shè)中，但是在具體落實(shí)上仍存在許多法律空白。在企業(yè)數(shù)據(jù)合規(guī)方面，立法也有亟待出臺(tái)和完善的地方。同時(shí)，從上述企業(yè)面臨的現(xiàn)實(shí)困境可以看出，高昂的合規(guī)成本與短期無(wú)法得到的收益使得許多企業(yè)鋌而走險(xiǎn)，忽略了自身的數(shù)據(jù)合規(guī)問(wèn)題。面對(duì)這一現(xiàn)象，或能采取立法手段有所消解。

立法可以根據(jù)不同行業(yè)、企業(yè)規(guī)模大小、年收益多少等將企業(yè)進(jìn)行細(xì)分，再以此為前提對(duì)不同的企業(yè)規(guī)定不同的合規(guī)要求，而不是將大型企業(yè)（包括跨國(guó)企業(yè)）與小型企業(yè)等同視之，這樣可以從源頭上打破小型企業(yè)對(duì)數(shù)據(jù)合規(guī)成本的顧慮，從而做到精細(xì)化立法。比如在數(shù)據(jù)安全與合規(guī)中有一個(gè)重要制度——數(shù)據(jù)分級(jí)分類管理制度，針對(duì)不同類型的企業(yè)，其數(shù)據(jù)的種類和重要程度均有所不同，因此，立法需明晰企業(yè)類型、確定數(shù)據(jù)分類和區(qū)分?jǐn)?shù)據(jù)重要性，再對(duì)企業(yè)數(shù)據(jù)合規(guī)提出具體要求，讓企業(yè)有法可依。同時(shí)，國(guó)家需要及時(shí)更新每個(gè)層次所對(duì)應(yīng)的具有代表性的企業(yè)合規(guī)范例，鼓勵(lì)其他企業(yè)學(xué)習(xí)參考及應(yīng)用。

3.1.2 從理論到實(shí)踐，普及數(shù)據(jù)合規(guī)知識(shí)

在數(shù)字化時(shí)代，為了使企業(yè)認(rèn)識(shí)到數(shù)據(jù)合規(guī)的重要性，監(jiān)管部門應(yīng)該積極普及數(shù)據(jù)合規(guī)的相關(guān)知識(shí)。政府和司法部門相互配合，上到法律法規(guī)的出臺(tái)，下到具體案件的審判，從正面的法律知識(shí)普及到反面的違法違規(guī)案例公開，都是促使企業(yè)認(rèn)識(shí)到數(shù)據(jù)合規(guī)重要性的好方法，同時(shí)，還可以組織數(shù)據(jù)合規(guī)方面的法律宣傳會(huì)議、知識(shí)演講等，促進(jìn)企業(yè)樹立全面的數(shù)據(jù)合規(guī)建設(shè)思想，讓企業(yè)從整體上意識(shí)到數(shù)據(jù)違法違規(guī)的危害性，從而有意識(shí)地關(guān)注并解決自身的數(shù)據(jù)合規(guī)建設(shè)問(wèn)題。

3.2 政府大力扶持

政府鼓勵(lì)并幫助企業(yè)進(jìn)行技術(shù)升級(jí)。做好企業(yè)數(shù)據(jù)合規(guī)，離不開技術(shù)的支持。而高新技術(shù)的應(yīng)用，離不開政府的大力支持。正如“市場(chǎng)是只看不見的手，需要政府的監(jiān)督”，企業(yè)應(yīng)用新技術(shù)也需要政府的幫助。首先是物質(zhì)支持，政府可以參照《中華人民共和國(guó)中小企業(yè)促進(jìn)法》對(duì)一些掌握核心數(shù)據(jù)的或者是前景廣闊的但資金有限的企業(yè)提供財(cái)政支持，例如補(bǔ)貼或者無(wú)息借款，讓企業(yè)能夠合法合規(guī)地生存；其次是技術(shù)提供或者分享，若政府在數(shù)據(jù)合規(guī)的某個(gè)方面具有領(lǐng)先于企業(yè)的技術(shù)，那么可以考慮免費(fèi)或者低價(jià)提供給有需要的企業(yè)，讓市場(chǎng)展現(xiàn)出最大生機(jī)活力。最后，企業(yè)是數(shù)據(jù)合規(guī)的主體，政府應(yīng)發(fā)揮引導(dǎo)作用，通過(guò)制定發(fā)展路線圖、數(shù)據(jù)合規(guī)實(shí)施綱要及建設(shè)科技示范基地等方式來(lái)推動(dòng)企業(yè)數(shù)據(jù)合規(guī)的發(fā)展。

3.3 企業(yè)自身建設(shè)

3.3.1 優(yōu)化企業(yè)數(shù)據(jù)合規(guī)結(jié)構(gòu)，降低合規(guī)成本

“打鐵還需自身硬”，對(duì)于企業(yè)而言，解決數(shù)據(jù)違規(guī)應(yīng)用問(wèn)題的關(guān)鍵在于自身數(shù)據(jù)合規(guī)體系的建立完善。除了國(guó)家層面的立法指導(dǎo)，政府的幫助扶持，企業(yè)也需要根據(jù)自身的整體情況，建立一套完整而有效的合規(guī)體系?？紤]到合規(guī)的高成本，企業(yè)可以運(yùn)用智能化的方式推進(jìn)數(shù)據(jù)合規(guī)建設(shè)[10]。智能化的合規(guī)方式可以使數(shù)據(jù)從產(chǎn)生之初到后續(xù)的應(yīng)用等一系列行為都處于一個(gè)合法化、標(biāo)準(zhǔn)化的環(huán)境中，從而可以節(jié)省人為合規(guī)所帶來(lái)的高昂成本。同時(shí)，通過(guò)算法還可以對(duì)國(guó)家法律法規(guī)進(jìn)行及時(shí)的更新，以便企業(yè)能對(duì)數(shù)據(jù)合規(guī)的變化做出快速反應(yīng)，將一些常見違規(guī)行為進(jìn)行標(biāo)記和保存，給企業(yè)以警醒的作用。而且智能化的數(shù)據(jù)合規(guī)還可以在企業(yè)日常運(yùn)營(yíng)中對(duì)數(shù)據(jù)進(jìn)行備份和保存，一旦發(fā)生數(shù)據(jù)泄露事件，可以讓企業(yè)留有充分的證據(jù)為自己辯白，減輕甚至是免除企業(yè)的責(zé)任。當(dāng)然，企業(yè)也要經(jīng)常關(guān)注自己行業(yè)內(nèi)的、與其實(shí)力相當(dāng)?shù)?、?shù)據(jù)合規(guī)出色的企業(yè)的做法，不斷學(xué)習(xí)改進(jìn)修正自身的數(shù)據(jù)合規(guī)體系漏洞，爭(zhēng)取做到低投入、高收效，降低企業(yè)數(shù)據(jù)違法違規(guī)的風(fēng)險(xiǎn)隱患。企業(yè)還需與監(jiān)管部門保持良好溝通，這樣不僅有助于減少誤解，還可能獲得及時(shí)且恰當(dāng)?shù)闹笇?dǎo)和支持。

3.3.2 強(qiáng)化技術(shù)更新，嚴(yán)防數(shù)據(jù)泄露

企業(yè)數(shù)據(jù)泄露事件頻頻發(fā)生的原因之一是企業(yè)的技術(shù)保障力度不夠。很多企業(yè)意識(shí)到數(shù)據(jù)的商業(yè)價(jià)值，但是由于技術(shù)有限，也無(wú)法做到數(shù)據(jù)合規(guī)。因此，對(duì)企業(yè)來(lái)說(shuō)，提高數(shù)據(jù)安全保障技術(shù)刻不容緩。在企業(yè)外部防護(hù)方面，可以根據(jù)企業(yè)自身的實(shí)際情況，購(gòu)買數(shù)據(jù)安全防護(hù)產(chǎn)品，同時(shí)注意選擇最優(yōu)的技術(shù)手段來(lái)鞏固自己的數(shù)據(jù)系統(tǒng)，比如在用戶隱私保護(hù)方面，可以采用差分隱私技術(shù)，差分隱私保護(hù)可以克服傳統(tǒng)隱私保護(hù)技術(shù)應(yīng)用時(shí)其安全性依賴攻擊者的相關(guān)背景知識(shí)、保護(hù)效果難以用有效嚴(yán)格的數(shù)學(xué)方法定量化描述等缺陷，從而可在大大降低保護(hù)對(duì)象數(shù)據(jù)集隱私泄露風(fēng)險(xiǎn)的同時(shí)，盡可能保證數(shù)據(jù)集數(shù)據(jù)的可用性[11]。在企業(yè)內(nèi)部治理方面，可以采用智能敏感數(shù)據(jù)識(shí)別技術(shù)和數(shù)據(jù)脫敏風(fēng)險(xiǎn)評(píng)估技術(shù)，利用智能化的方法對(duì)數(shù)據(jù)進(jìn)行識(shí)別、加工，不僅可以大大節(jié)約合規(guī)成本，還能減小企業(yè)“犯錯(cuò)”的可能性。在企業(yè)間數(shù)據(jù)交互方面，同樣可以采用前沿性數(shù)據(jù)匿名、同態(tài)加密、安全多方計(jì)算和聯(lián)邦學(xué)習(xí)等技術(shù)對(duì)重要數(shù)據(jù)進(jìn)行匿名化處理或者機(jī)密保護(hù)。企業(yè)只要在技術(shù)保障上做到位，就可以遏制住大部分的數(shù)據(jù)泄露和數(shù)據(jù)濫用現(xiàn)象。

3.3.3 設(shè)立企業(yè)數(shù)據(jù)合規(guī)官，洞悉立法走向

在國(guó)際上，絕大多數(shù)跨國(guó)企業(yè)應(yīng)業(yè)務(wù)所在國(guó)的要求設(shè)立了企業(yè)數(shù)據(jù)合規(guī)官或者數(shù)據(jù)保護(hù)官一職?！暗赖屡c合規(guī)官”一詞最早出現(xiàn)在20世紀(jì)80 年代的美國(guó)企業(yè)，其職責(zé)是研究制定企業(yè)合規(guī)經(jīng)營(yíng)政策，監(jiān)督管理企業(yè)文化和各項(xiàng)治理制度的執(zhí)行與落實(shí)[12]。在我國(guó)，360 公司是國(guó)內(nèi)首家設(shè)置首席隱私官的大型互聯(lián)網(wǎng)企業(yè)[13]。對(duì)于這些企業(yè)來(lái)說(shuō)，數(shù)據(jù)合規(guī)官不僅管理企業(yè)日常數(shù)據(jù)保護(hù)工作，還承擔(dān)著“數(shù)據(jù)外交”的職能，其姓名與聯(lián)系方式需要對(duì)外披露，同時(shí)還要與監(jiān)管機(jī)關(guān)、數(shù)據(jù)主體進(jìn)行對(duì)接，并且時(shí)刻掌握數(shù)據(jù)合規(guī)的監(jiān)管走向。由此可見數(shù)據(jù)合規(guī)官設(shè)置的必要性，這也不失為我國(guó)企業(yè)進(jìn)行數(shù)據(jù)合規(guī)建設(shè)的一個(gè)好的借鑒方法。但是，值得注意的是，大型企業(yè)除了設(shè)置數(shù)據(jù)合規(guī)官，還要配置合規(guī)部門，配合數(shù)據(jù)合規(guī)官的工作，當(dāng)然，中小型企業(yè)則視自身情況而定，可以設(shè)置合理人數(shù)的合規(guī)專員監(jiān)督審查企業(yè)數(shù)據(jù)合規(guī)情況。

3.3.4 建立企業(yè)數(shù)據(jù)合規(guī)文化，培養(yǎng)合規(guī)意識(shí)

當(dāng)下許多企業(yè)出現(xiàn)數(shù)據(jù)違法違規(guī)現(xiàn)象，源于企業(yè)內(nèi)部對(duì)合規(guī)文化的不重視。因此，建立企業(yè)數(shù)據(jù)合規(guī)文化，培養(yǎng)全員合規(guī)意識(shí)成為形勢(shì)所趨。

從整體上看，企業(yè)要正確定位數(shù)據(jù)合規(guī)文化的重要內(nèi)涵，將其核心要義和內(nèi)容滲透到企業(yè)運(yùn)營(yíng)理念、業(yè)績(jī)考核等日常經(jīng)營(yíng)活動(dòng)中，特別是涉及企業(yè)跨地區(qū)、跨國(guó)家，從員工個(gè)人到企業(yè)整體，都要具備合規(guī)意識(shí)。具體來(lái)說(shuō)，一方面，針對(duì)企業(yè)內(nèi)部安全、合規(guī)、審計(jì)等直接責(zé)任部門人員，要在正式入職前加強(qiáng)專業(yè)知識(shí)和工作能力的教育和培訓(xùn)，保證其在工作期間能夠遵守相關(guān)法律規(guī)范和企業(yè)規(guī)章制度；另一方面，對(duì)于其他工作部門人員，則需要加強(qiáng)合規(guī)風(fēng)險(xiǎn)與意識(shí)的教育和培訓(xùn)，企業(yè)可以定期組織數(shù)據(jù)合規(guī)知識(shí)競(jìng)賽及專業(yè)人員數(shù)據(jù)安全比賽，以獎(jiǎng)勵(lì)的方式激發(fā)員工對(duì)數(shù)據(jù)保護(hù)與合規(guī)的興趣，最終達(dá)到企業(yè)內(nèi)部人員無(wú)論職位高低，都對(duì)數(shù)據(jù)合規(guī)有較為清晰的認(rèn)知和足夠重視的效果。

4 結(jié) 語(yǔ)

在“數(shù)據(jù)為王”的時(shí)代，企業(yè)不僅要面臨競(jìng)爭(zhēng)激烈的市場(chǎng)角逐，還要處理好數(shù)據(jù)合規(guī)的一系列難題。通過(guò)上述分析的企業(yè)面臨的合規(guī)困境及成因可見，企業(yè)若不重視起來(lái)積極尋找解決之道，則很可能有傾覆之險(xiǎn)。與此同時(shí)，隨著數(shù)字經(jīng)濟(jì)時(shí)代的到來(lái)，企業(yè)應(yīng)當(dāng)順應(yīng)數(shù)字經(jīng)濟(jì)化的潮流，從不同方面加強(qiáng)自身數(shù)據(jù)合規(guī)建設(shè)，在合法合規(guī)的前提下充分利用數(shù)據(jù)，發(fā)揮數(shù)據(jù)的最大價(jià)值，做到以數(shù)據(jù)合規(guī)促進(jìn)企業(yè)更好發(fā)展，才是現(xiàn)代企業(yè)的生存之道。