摘 要：數(shù)字經(jīng)濟時代，數(shù)據(jù)成為經(jīng)濟高質(zhì)量發(fā)展的重要引擎。鑒于當(dāng)前傳統(tǒng)企業(yè)數(shù)據(jù)的封閉式、靜態(tài)保護管理模式無法滿足數(shù)字經(jīng)濟時代的動態(tài)發(fā)展要求，因而數(shù)據(jù)合規(guī)成為兼顧發(fā)揮數(shù)據(jù)流通價值和企業(yè)數(shù)據(jù)安全動態(tài)保護，促進數(shù)字經(jīng)濟發(fā)展繁榮的有力手段。新形勢下，企業(yè)數(shù)據(jù)安全保護合規(guī)風(fēng)險包括兩方面：一是管理層面，企業(yè)違反企業(yè)數(shù)據(jù)安全處理規(guī)則而引發(fā)的合規(guī)風(fēng)險；二是法律義務(wù)層面，企業(yè)不履行企業(yè)數(shù)據(jù)安全保障義務(wù)而引發(fā)的合規(guī)風(fēng)險。企業(yè)數(shù)據(jù)安全合規(guī)體系的搭建需要遵循數(shù)據(jù)分類分級分層保護、數(shù)據(jù)全生命周期安全保護理念，輔之“技數(shù)賦能”識別企業(yè)數(shù)據(jù)安全合規(guī)義務(wù)和合規(guī)風(fēng)險，進而實現(xiàn)對企業(yè)數(shù)據(jù)安全全方位、立體化保護。

關(guān)鍵詞：數(shù)據(jù)合規(guī)；企業(yè)數(shù)據(jù)安全治理；數(shù)據(jù)全生命周期保護；數(shù)據(jù)分類分級分層；技數(shù)賦能

中圖分類號中圖分類號：D922

文獻標(biāo)識碼：A

DOIdoi：10.3969/j.issn.1672-2272.202403109

英文標(biāo)題Enterprise Data Compliance： The Dimension of Data Security Governance

Xu Hui，Gong Yi

（School of Law，Xiangtan University，Xiangtan 411105， China）

英文摘要Abstract：In the era of digital economy， data has become an important engine for high-quality economic development. Given that the current closed and static data governance model of traditional enterprises cannot meet the dynamic development requirements of the digital economy era， data compliance has become a powerful means to balance the value of data circulation and dynamic protection of enterprise data security， promoting the development and prosperity of the digital economy. In the new situation， the compliance risks of enterprise data security protection include two aspects： firstly， at the management level， the compliance risks caused by the violation of enterprise data security processing rules by the enterprise; Secondly， at the level of legal obligations， compliance risks arising from the failure of enterprises to fulfill their data security obligations. The construction of an enterprise data security compliance system needs to follow the concepts of data classification， hierarchical protection， and full lifecycle security protection， supplemented by “technological empowerment” to identify the compliance obligations and risks of enterprise data security， thereby achieving comprehensive and three-dimensional protection of enterprise data security.

英文關(guān)鍵詞Key Words：Data Compliance; Data Security Governance; Data Life Cycle Protection; Data Classification， Grading， and Layering; Technical Empowerment

0 引言

2022年12月，《中共中央 國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》指出，要“加強企業(yè)數(shù)據(jù)合規(guī)體系建設(shè)和監(jiān)管”“鼓勵企業(yè)創(chuàng)新內(nèi)部數(shù)據(jù)合規(guī)管理體系”，要求企業(yè)“建立健全全流程企業(yè)數(shù)據(jù)安全管理制度”。作為預(yù)防、識別、應(yīng)對企業(yè)數(shù)據(jù)合規(guī)風(fēng)險的企業(yè)數(shù)據(jù)安全管理體系，數(shù)據(jù)合規(guī)制度能夠強化企業(yè)數(shù)據(jù)安全監(jiān)管與控制的同時，促進數(shù)據(jù)開放、流通與利用，對于數(shù)字經(jīng)濟發(fā)展大有裨益。因此，本文擬對數(shù)據(jù)合規(guī)內(nèi)涵進行剖析，并審視企業(yè)數(shù)據(jù)合規(guī)在不同數(shù)據(jù)要素場景下的功能指向，結(jié)合企業(yè)目前所面臨的企業(yè)數(shù)據(jù)安全合規(guī)風(fēng)險，探析企業(yè)數(shù)據(jù)合規(guī)構(gòu)建的具體路徑，以期對企業(yè)數(shù)據(jù)安全合規(guī)治理提供參考，促進數(shù)字經(jīng)濟高質(zhì)量發(fā)展。

1 企業(yè)數(shù)據(jù)合規(guī)的內(nèi)涵及其功能指向

1.1 企業(yè)數(shù)據(jù)合規(guī)的內(nèi)涵

從文義解釋上看，“合規(guī)”字面理解就是合乎規(guī)定?！耙?guī)”就是法律規(guī)范，包括且不限于國家法律法規(guī)、行業(yè)規(guī)范、企業(yè)內(nèi)部管理制度等。而合規(guī)之“合”，不僅意味著企業(yè)的行為合乎上述規(guī)則，且更強調(diào)企業(yè)合規(guī)的自主性，是以適應(yīng)外部國家監(jiān)管要求為目的，提升企業(yè)內(nèi)部治理能力為要義的企業(yè)自律行為。與傳統(tǒng)事后制裁模式不同，合規(guī)更強調(diào)事前預(yù)防，是一種積極治理模式，更依賴與合規(guī)對象的合作。

“企業(yè)數(shù)據(jù)合規(guī)”則是企業(yè)合規(guī)理論在企業(yè)數(shù)據(jù)安全領(lǐng)域的具體運用，旨在為預(yù)防、識別、應(yīng)對企業(yè)數(shù)據(jù)安全風(fēng)險，提高企業(yè)數(shù)據(jù)安全風(fēng)險防范能力，避免企業(yè)及其成員因數(shù)據(jù)管理行為不符合法律規(guī)定而給企業(yè)帶來法律責(zé)任、經(jīng)濟損失而形成的企業(yè)內(nèi)控機制[1]。關(guān)于企業(yè)數(shù)據(jù)合規(guī)的內(nèi)涵，本文認為，其至少包括以下兩個要素。

一是企業(yè)數(shù)據(jù)合規(guī)的目的是使企業(yè)的數(shù)據(jù)管理行為符合相關(guān)法律規(guī)范規(guī)定。企業(yè)數(shù)據(jù)合規(guī)首先意味著是對我國現(xiàn)行法律規(guī)范的遵守。當(dāng)前企業(yè)業(yè)務(wù)范圍涉及到國民經(jīng)濟命脈、關(guān)鍵信息科技等領(lǐng)域，所形成的數(shù)據(jù)如若被泄露、盜用、篡改，將會給個人隱私、國家安全、公共利益帶來嚴(yán)重威脅，因而企業(yè)的數(shù)據(jù)管理行為必須遵守國家相關(guān)法律規(guī)范的規(guī)定。

二是企業(yè)數(shù)據(jù)合規(guī)要求企業(yè)承擔(dān)企業(yè)數(shù)據(jù)安全風(fēng)險的識別與防范義務(wù)。企業(yè)數(shù)據(jù)合規(guī)本質(zhì)上是企業(yè)合規(guī)計劃在數(shù)據(jù)管理領(lǐng)域的特殊應(yīng)用，是改善企業(yè)數(shù)據(jù)治理的創(chuàng)新機制，主要依賴于企業(yè)的自我約束。

1.2 企業(yè)數(shù)據(jù)合規(guī)的功能指向：三重維度

企業(yè)數(shù)據(jù)安全既涉及到個人信息保護，又涉及到公共利益和國家安全，因而企業(yè)在數(shù)據(jù)流通過程中的合規(guī)義務(wù)不容忽視[2]。組織視角下企業(yè)開展數(shù)據(jù)合規(guī)強化企業(yè)數(shù)據(jù)安全治理，不僅是應(yīng)對日趨嚴(yán)峻的國家數(shù)據(jù)安全風(fēng)險形勢的現(xiàn)實需要，也是優(yōu)化數(shù)據(jù)要素市場化配置、推動數(shù)字經(jīng)濟高質(zhì)量發(fā)展的應(yīng)有之義。

1.2.1 總體國家安全觀維度：維護國家安全、公共利益的現(xiàn)實需要

《企業(yè)數(shù)據(jù)安全法》第4條規(guī)定，“維護企業(yè)數(shù)據(jù)安全，應(yīng)當(dāng)堅持總體國家安全觀，建立健全企業(yè)數(shù)據(jù)安全治理體系，提高企業(yè)數(shù)據(jù)安全保障能力”。結(jié)合總體國家安全觀要求，企業(yè)數(shù)據(jù)分為純粹商業(yè)性數(shù)據(jù)和公共安全性數(shù)據(jù)兩種[3]。當(dāng)前一些數(shù)據(jù)企業(yè)與政府深度合作，開展數(shù)據(jù)公共業(yè)務(wù)，掌握了大量的公共安全性數(shù)據(jù)，如公民身份信息、生物信息、國土地理信息、道路數(shù)據(jù)、軍工技術(shù)等數(shù)據(jù)。一旦這些公共安全性數(shù)據(jù)被泄露、篡改、破壞或者被非法利用，將會給國家安全、公共利益、公民利益、國計民生帶來巨大威脅。2021年，滴滴公司在美上市緊急停牌下架事件是企業(yè)數(shù)據(jù)安全風(fēng)險引發(fā)國家安全隱患的最好例證。由此可見，企業(yè)數(shù)據(jù)安全不再是一個私權(quán)保護所能統(tǒng)攝的問題，而是具備了公權(quán)屬性，而且這種具有顯著公權(quán)力特征的私權(quán)日益強大，使得企業(yè)成為數(shù)據(jù)安全治理領(lǐng)域的主要力量[4]。

1.2.2 數(shù)字經(jīng)濟維度：最大效能地發(fā)揮數(shù)據(jù)流通價值，實現(xiàn)數(shù)據(jù)動態(tài)保護的需求

《中國數(shù)字經(jīng)濟發(fā)展研究報告（2023 年）》指出，2022年，中國數(shù)字經(jīng)濟規(guī)模達到50.2萬億元，同比增長10.3%，占GDP比重達41.5%。作為數(shù)字經(jīng)濟重要內(nèi)核的數(shù)據(jù)要素，唯有在動態(tài)的、合法合規(guī)的流通與開放共享中才能充分實現(xiàn)其經(jīng)濟價值[5]。傳統(tǒng)企業(yè)數(shù)據(jù)安全監(jiān)管模式由于側(cè)重對數(shù)據(jù)相對靜態(tài)的管理，而在一定程度上限制了數(shù)據(jù)的流通與共享，因而無法適應(yīng)數(shù)字經(jīng)濟時代企業(yè)大規(guī)模數(shù)據(jù)流轉(zhuǎn)與大規(guī)模數(shù)據(jù)處理的需求。相較于傳統(tǒng)企業(yè)數(shù)據(jù)安全監(jiān)管模式，數(shù)據(jù)合規(guī)制度能夠通過多元主體協(xié)商和公私合作的協(xié)同治理方式，突破“數(shù)據(jù)悖論”，在保障企業(yè)數(shù)據(jù)安全的前提下，促進數(shù)據(jù)流通與開放共享，使數(shù)字經(jīng)濟中的一座座數(shù)據(jù)孤島重新鏈接，在規(guī)避企業(yè)數(shù)據(jù)安全風(fēng)險的同時，最大效能地發(fā)揮數(shù)據(jù)流通價值，實現(xiàn)數(shù)據(jù)動態(tài)保護的需求，促進數(shù)字經(jīng)濟發(fā)展繁榮。

1.2.3 組織視角維度：企業(yè)數(shù)據(jù)安全治理的重要組成部分

數(shù)據(jù)合規(guī)治理是企業(yè)內(nèi)部治理的重要一環(huán)。傳統(tǒng)高權(quán)行政下的監(jiān)管模式，對具備隱蔽性、復(fù)雜性、創(chuàng)造性特點的數(shù)字經(jīng)濟領(lǐng)域而言具有較為明顯的缺陷，因此，引入數(shù)據(jù)合規(guī)治理體系非常有必要[6]。數(shù)字經(jīng)濟時代，企業(yè)將數(shù)據(jù)視為數(shù)字經(jīng)濟營利的關(guān)鍵要素，擁有高質(zhì)量的數(shù)據(jù)，企業(yè)就能借此開發(fā)出更多的算法產(chǎn)品，同時對產(chǎn)品、服務(wù)進行更精準(zhǔn)定位，在市場競爭中獲得更大優(yōu)勢，因而數(shù)據(jù)對企業(yè)的商業(yè)價值毋庸置疑[7]?；谄髽I(yè)營利屬性視角，企業(yè)開展數(shù)據(jù)合規(guī)治理、保護企業(yè)數(shù)據(jù)安全具有天然的內(nèi)驅(qū)力，通過企業(yè)內(nèi)部治理，強化對企業(yè)數(shù)據(jù)安全保護，以避免數(shù)據(jù)泄露、篡改、丟失給企業(yè)商業(yè)價值造成損失。此外，基于企業(yè)外部法律風(fēng)險視角，通過數(shù)據(jù)合規(guī)治理督促企業(yè)形成守法經(jīng)營的合規(guī)文化，規(guī)范企業(yè)數(shù)據(jù)處理行為，也能避免因數(shù)據(jù)安全法律風(fēng)險而使企業(yè)遭受到巨額的民事罰款和行政、刑事處罰。

2 企業(yè)數(shù)據(jù)安全合規(guī)風(fēng)險識別

對數(shù)據(jù)合規(guī)風(fēng)險進行詳盡剖析是建立完善企業(yè)數(shù)據(jù)合規(guī)體系的關(guān)鍵。當(dāng)前，企業(yè)數(shù)據(jù)安全合規(guī)風(fēng)險主要來源于兩方面：一是管理層面，企業(yè)違反企業(yè)數(shù)據(jù)安全處理規(guī)則而引發(fā)的合規(guī)風(fēng)險；二是法律義務(wù)層面，企業(yè)不履行企業(yè)數(shù)據(jù)安全保障義務(wù)而引發(fā)的合規(guī)風(fēng)險。

2.1 管理層面：違反企業(yè)數(shù)據(jù)安全處理規(guī)則而引發(fā)的合規(guī)風(fēng)險

2.1.1 數(shù)據(jù)收集合規(guī)風(fēng)險

互聯(lián)網(wǎng)領(lǐng)域，企業(yè)進行數(shù)據(jù)收集的主要手段是爬蟲技術(shù)（Crawler）。數(shù)據(jù)爬取本身不具有違法性，但是企業(yè)若為謀求不正當(dāng)利益，違反“爬蟲協(xié)議”（Robots），惡意濫用爬蟲技術(shù)肆無忌憚地抓取數(shù)據(jù)就會引發(fā)合規(guī)風(fēng)險。需要注意的是，司法實踐中對違法利用爬蟲技術(shù)抓取數(shù)據(jù)的行為評價跨度極大。對于手段惡劣、后果嚴(yán)重的爬蟲行為，企業(yè)不僅可能會被數(shù)據(jù)權(quán)利方提出侵權(quán)指控、不正當(dāng)競爭指控，甚至還可能基于網(wǎng)絡(luò)爬蟲行為對網(wǎng)站技術(shù)防護措施系統(tǒng)的強行破解，而被認定為“非法侵入計算機信息系統(tǒng)罪”等刑事罪名而承擔(dān)刑事責(zé)任。

2.1.2 數(shù)據(jù)存儲合規(guī)風(fēng)險

數(shù)據(jù)存儲作為企業(yè)收集數(shù)據(jù)必經(jīng)的流程之一，具有重大的合規(guī)意義。企業(yè)對數(shù)據(jù)進行存儲時需要確保“安全原則”的適用，提高數(shù)據(jù)存儲后的保密性、完整性和安全性，并通過加密、去標(biāo)識化、備份等技術(shù)手段保證數(shù)據(jù)存儲的穩(wěn)定和流暢。尤其是針對去標(biāo)識化的數(shù)據(jù)與可用于恢復(fù)識別個人信息的數(shù)據(jù)進行物理隔離。此外，《網(wǎng)絡(luò)安全法》第37條、第77條特別規(guī)定了個人信息和重要數(shù)據(jù)的本地存儲制度。考慮到公民隱私、國家安全以及公共利益保護的重要性日益凸顯，本地存儲制度的適用場景越來越多，企業(yè)必須深刻掌握和理解本地存儲制度的適用情形，以避免因數(shù)據(jù)存儲不當(dāng)而承擔(dān)非必要的合規(guī)風(fēng)險。

2.1.3 數(shù)據(jù)使用合規(guī)風(fēng)險

企業(yè)超出合理、正當(dāng)、必要的數(shù)據(jù)使用范圍是企業(yè)承擔(dān)合規(guī)風(fēng)險的主要來源之一。企業(yè)不正當(dāng)使用數(shù)據(jù)的表現(xiàn)形式，體現(xiàn)為大數(shù)據(jù)殺熟、廣告精準(zhǔn)推送等。此外，在數(shù)據(jù)的刪除上，用戶有權(quán)行使“被遺忘權(quán)”，要求企業(yè)在規(guī)定的情形下刪除其個人數(shù)據(jù)；企業(yè)也有義務(wù)主動配合其刪除數(shù)據(jù)的要求，確保相關(guān)數(shù)據(jù)不會在后續(xù)留存、使用。雖然我國并沒有規(guī)定被遺忘權(quán)，但是《企業(yè)數(shù)據(jù)安全法》和《個人信息保護法》等法律規(guī)定了“數(shù)據(jù)主體行使的刪除權(quán)”和“數(shù)據(jù)處理者履行刪除義務(wù)”，因而企業(yè)也應(yīng)當(dāng)遵守相關(guān)法律規(guī)定，以避免不必要的合規(guī)風(fēng)險。

2.1.4 數(shù)據(jù)跨境流轉(zhuǎn)雙向合規(guī)風(fēng)險

大規(guī)模的數(shù)據(jù)跨境流轉(zhuǎn)是企業(yè)“走出去”滿足國際貿(mào)易的業(yè)務(wù)需要，也是國際政策博弈的最為復(fù)雜的領(lǐng)域之一。據(jù)不完全統(tǒng)計，在全球231個國家（地區(qū)）中，已經(jīng)有超過135個國家（地區(qū)）出臺了數(shù)據(jù)保護法，其中大多數(shù)有跨境數(shù)據(jù)流動法律或者政策[8]。企業(yè)數(shù)據(jù)跨境流轉(zhuǎn)合規(guī)風(fēng)險主要體現(xiàn)為雙向合規(guī)風(fēng)險，企業(yè)不僅需要關(guān)注我國關(guān)于數(shù)據(jù)跨境流轉(zhuǎn)的監(jiān)管要求，而且還需要關(guān)注數(shù)據(jù)輸入國關(guān)于數(shù)據(jù)保護領(lǐng)域的立法規(guī)定，以避免我國與數(shù)據(jù)輸入國之間因限制數(shù)據(jù)跨境流轉(zhuǎn)的規(guī)范與監(jiān)管沖突而導(dǎo)致的企業(yè)合規(guī)經(jīng)營風(fēng)險。企業(yè)數(shù)據(jù)合規(guī)部門需要對數(shù)據(jù)輸出國和數(shù)據(jù)輸入國的數(shù)據(jù)跨境流轉(zhuǎn)監(jiān)管制度全面了解，否則稍有不慎就有可能觸及“數(shù)據(jù)主權(quán)”問題。

2.2 法律義務(wù)層面：不履行數(shù)據(jù)安全保障義務(wù)而引發(fā)的合規(guī)風(fēng)險

企業(yè)履行數(shù)據(jù)安全保障義務(wù)不僅關(guān)系到自身數(shù)據(jù)合規(guī)的體系建設(shè)，而且還會對國家安全和公共利益施加不可小覷的影響，因此企業(yè)不履行數(shù)據(jù)安全保障義務(wù)與其他違規(guī)行為相比，其損害后果更為嚴(yán)重。作為企業(yè)數(shù)據(jù)安全風(fēng)險管理人，如果企業(yè)僅需支付較小的成本就可以避免較大的損失，那么法律為企業(yè)設(shè)定企業(yè)數(shù)據(jù)安全保障義務(wù)就是合理的[9]。為避免企業(yè)不履行數(shù)據(jù)安全保障義務(wù)而引發(fā)的合規(guī)風(fēng)險，需要明確企業(yè)數(shù)據(jù)安全保障義務(wù)的范圍和界限。具體而言，企業(yè)的數(shù)據(jù)安全保障義務(wù)包含個人信息權(quán)益保護義務(wù)、行政監(jiān)管義務(wù)兩個層面。

2.2.1 個人信息權(quán)益保護義務(wù)

數(shù)字科技時代，企業(yè)通過“告知-同意”范式大規(guī)模收集用戶信息，利用算法技術(shù)對個人信息與行為數(shù)據(jù)進行分析處理，得以無償占有個人的“數(shù)字勞動”。自此，用戶成為數(shù)據(jù)生產(chǎn)鏈條上的一環(huán)，淪為被生產(chǎn)和消費的數(shù)據(jù)資源。這種從消費者淪為數(shù)據(jù)生產(chǎn)資源的地位轉(zhuǎn)變，進一步加劇了個人與企業(yè)之間的力量懸殊。霍菲爾德指出，財產(chǎn)權(quán)的本質(zhì)是人與人之間的法律關(guān)系[10]。因而，企業(yè)與其研發(fā)的數(shù)字產(chǎn)品之間的關(guān)系實際上是企業(yè)與個人之間的關(guān)系。鑒于數(shù)據(jù)在收集、存儲、使用和流轉(zhuǎn)過程中常常伴隨著個人信息權(quán)益受侵害的風(fēng)險，因此在促進和發(fā)展數(shù)據(jù)要素上的財產(chǎn)性權(quán)益時[11]，應(yīng)當(dāng)堅持和強調(diào)企業(yè)保護個人信息權(quán)益的義務(wù)。

2.2.2 行政監(jiān)管義務(wù)

從企業(yè)合規(guī)風(fēng)險視角看，數(shù)據(jù)犯罪的成立，往往是從違反數(shù)據(jù)行政監(jiān)管的前置性條件開始。這意味著作為前置法的行政法關(guān)于數(shù)據(jù)處理規(guī)則和管理義務(wù)的規(guī)定為犯罪構(gòu)成要件。在此基礎(chǔ)上，只要符合數(shù)量、情節(jié)等特定構(gòu)成要件就足以轉(zhuǎn)化為犯罪[12]。根據(jù)《關(guān)于辦理非法利用信息網(wǎng)絡(luò)、幫助信息網(wǎng)絡(luò)犯罪活動等刑事案件適用法律若干問題的解釋》第4條的規(guī)定，網(wǎng)絡(luò)服務(wù)提供者拒不履行信息網(wǎng)絡(luò)管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，致使泄露行蹤軌跡信息、通信內(nèi)容、財產(chǎn)信息五百條以上的即可構(gòu)成刑法286之一的“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”?？紤]到數(shù)據(jù)泄露動輒以幾十萬乃至上億條計，對于海量數(shù)據(jù)處理的現(xiàn)代企業(yè)而言，一旦行政合規(guī)未達標(biāo)準(zhǔn)[13]，幾乎是“一泄露就入罪”。因而企業(yè)不履行企業(yè)數(shù)據(jù)安全保障義務(wù)所承擔(dān)的刑事合規(guī)風(fēng)險，其基礎(chǔ)和必要的前置性條件是違反行政監(jiān)管義務(wù)。

3 企業(yè)數(shù)據(jù)安全合規(guī)體系構(gòu)建的路徑指向

基于數(shù)據(jù)犯罪的低入罪門檻以及企業(yè)數(shù)據(jù)安全事件的不可逆性、事后性、復(fù)雜性和創(chuàng)新性等特點，本文認為，企業(yè)應(yīng)當(dāng)著重加強事前、事中合規(guī)，即日常性、常態(tài)化的數(shù)據(jù)合規(guī)體系建設(shè)。具體而言，應(yīng)當(dāng)著手數(shù)據(jù)分類分級分層保護、貫徹數(shù)據(jù)全生命周期安全保護理念，輔之以“技數(shù)賦能”識別企業(yè)數(shù)據(jù)安全合規(guī)義務(wù)和合規(guī)風(fēng)險，以此來構(gòu)建企業(yè)數(shù)據(jù)合規(guī)體系，強化企業(yè)數(shù)據(jù)安全風(fēng)險的前端治理。當(dāng)然，任何措施都不可能規(guī)避所有的風(fēng)險，事后應(yīng)急管理、補救措施同樣也必不可少。

3.1 數(shù)據(jù)分類分級分層保護

數(shù)據(jù)的分類分級分層是企業(yè)數(shù)據(jù)保護的首要工作，不僅對企業(yè)數(shù)據(jù)安全具有重要的法益識別和風(fēng)險防范功能[14]，而且是構(gòu)建集中統(tǒng)一、標(biāo)準(zhǔn)專業(yè)的數(shù)據(jù)合規(guī)體系框架的前提和基礎(chǔ)。具體而言，企業(yè)應(yīng)當(dāng)遵循“分類識別管理、分級分層保護”的思路對數(shù)據(jù)進行定級分類，將數(shù)據(jù)劃分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)。根據(jù)受保護數(shù)據(jù)的類別和級別，分層識別匹配不同層級的安全保護等級和措施，對企業(yè)數(shù)據(jù)安全資源進行高效配置，為企業(yè)數(shù)據(jù)全生命周期安全保護活動制定相應(yīng)的數(shù)據(jù)合規(guī)管理措施。此外，由于企業(yè)自身的逐利性，基于企業(yè)內(nèi)部視角的數(shù)據(jù)分類分級，不能很好地處理企業(yè)數(shù)據(jù)安全管理的“外溢效應(yīng)”問題。因此需要國家制定和完善行業(yè)數(shù)據(jù)分級分類的指導(dǎo)目錄、等級保護條例和管理細則，明確企業(yè)數(shù)據(jù)分級分類分層保護的責(zé)任和義務(wù)，為企業(yè)數(shù)據(jù)安全提供更高水平的保護[15]。

一是分類識別管理。遵循有關(guān)法律、法規(guī)以及部門規(guī)定的要求，從國家、行業(yè)、組織等多個視角和維度，對國家和行業(yè)領(lǐng)域內(nèi)有專門管理要求的數(shù)據(jù)進行分類標(biāo)識，并對企業(yè)所掌握的數(shù)據(jù)分類建立管理目錄。

二是分級分層保護。在完成分類的基礎(chǔ)上，從企業(yè)數(shù)據(jù)安全的角度出發(fā)，根據(jù)對國家、社會、個人的價值以及數(shù)據(jù)遭到破壞或泄露后造成的影響范圍、對象和危害程度，對數(shù)據(jù)進行定級（表 1）。

此外數(shù)據(jù)的類別級別并不是一成不變的，可能會因時間、政策、安全事件的發(fā)生、業(yè)務(wù)變化或相關(guān)行業(yè)規(guī)則變化而發(fā)生改變，因此需要對數(shù)據(jù)層級和類別進行定期審核并及時改變調(diào)整。

3.2 數(shù)據(jù)全生命周期安全保護

《企業(yè)數(shù)據(jù)安全法》第27條規(guī)定，“建立健全全流程企業(yè)數(shù)據(jù)安全管理制度”。企業(yè)在完成數(shù)據(jù)分類分級分層的基礎(chǔ)上，應(yīng)當(dāng)根據(jù)企業(yè)數(shù)據(jù)安全保護法益的重要性程度，確定數(shù)據(jù)收集、存儲、使用、流轉(zhuǎn)等全生命周期環(huán)節(jié)采取的企業(yè)數(shù)據(jù)安全防控策略和管控措施，以此來提升企業(yè)數(shù)據(jù)安全保護管理水平。

3.2.1 企業(yè)數(shù)據(jù)合規(guī)組織架構(gòu)

企業(yè)數(shù)據(jù)合規(guī)組織架構(gòu)是企業(yè)進行企業(yè)數(shù)據(jù)安全建設(shè)的基石，其包括數(shù)據(jù)合規(guī)管理委員會、數(shù)據(jù)合規(guī)官以及數(shù)據(jù)合規(guī)執(zhí)行部門。數(shù)據(jù)合規(guī)管理委員會作為企業(yè)專門負責(zé)企業(yè)數(shù)據(jù)安全和合規(guī)管理的部門，能夠有效聯(lián)合不同層級、地域以及分管不同業(yè)務(wù)的企業(yè)部門，在數(shù)據(jù)合規(guī)全生命周期安全保護體系中起到中心樞紐、承上啟下的關(guān)鍵作用。數(shù)據(jù)合規(guī)管理委員會一方面負責(zé)傳達最高決策層關(guān)于企業(yè)數(shù)據(jù)安全方面的經(jīng)營決策，同時數(shù)據(jù)合規(guī)管理委員會在數(shù)據(jù)保護的專業(yè)性問題上也受到數(shù)據(jù)合規(guī)官的直接指導(dǎo)，需要將企業(yè)存在的任何數(shù)據(jù)管理風(fēng)險及時向數(shù)據(jù)合規(guī)官通報，以便數(shù)據(jù)合規(guī)官對企業(yè)數(shù)據(jù)安全環(huán)節(jié)的風(fēng)險有清晰的了解；另一方面，數(shù)據(jù)合規(guī)管理委員會負責(zé)完善企業(yè)數(shù)據(jù)安全保護制度和流程，并將數(shù)據(jù)合規(guī)風(fēng)險的全流程通過可視化的方式呈現(xiàn)給數(shù)據(jù)合規(guī)執(zhí)行部門，將數(shù)據(jù)合規(guī)執(zhí)行部門的職責(zé)進行分解，落實各部門企業(yè)數(shù)據(jù)安全保護的責(zé)任，達到對數(shù)據(jù)合規(guī)的精細化、項目化管理。

3.2.2 全流程數(shù)據(jù)合規(guī)管理體系

企業(yè)數(shù)據(jù)合規(guī)管理體系必須覆蓋企業(yè)經(jīng)營的各個流程，保障企業(yè)能實現(xiàn)全流程的合規(guī)管理[16]。一是建立企業(yè)數(shù)據(jù)安全風(fēng)險審查機制。數(shù)據(jù)合規(guī)執(zhí)行部門需要對數(shù)據(jù)的收集、存儲、使用和流轉(zhuǎn)等環(huán)節(jié)實行全生命周期安全審查，對重要數(shù)據(jù)、核心數(shù)據(jù)有針對性地進行定期審查、風(fēng)險評估，有效定位企業(yè)數(shù)據(jù)安全鏈條中的風(fēng)險來源。二是構(gòu)建企業(yè)數(shù)據(jù)安全風(fēng)險識別預(yù)警系統(tǒng)。作為海量性、系統(tǒng)性、多樣性、隱蔽性等風(fēng)險特性的集合，企業(yè)數(shù)據(jù)安全風(fēng)險具有互聯(lián)互通、開源迭代的特點。企業(yè)數(shù)據(jù)安全風(fēng)險防控任一環(huán)節(jié)出現(xiàn)細微漏洞，都有可能擴大、產(chǎn)生連鎖效應(yīng)，因而必須加強對企業(yè)數(shù)據(jù)安全風(fēng)險的識別預(yù)警，防微杜漸。三是建立企業(yè)數(shù)據(jù)安全事件應(yīng)急制度。任何措施都不可能規(guī)避所有的風(fēng)險，在發(fā)生企業(yè)數(shù)據(jù)安全事件后，應(yīng)當(dāng)立即啟動應(yīng)急預(yù)案并采取相應(yīng)的補救措施，防止企業(yè)損失進一步擴大，并按照規(guī)定向用戶和有關(guān)主管部門進行報告，配合行政監(jiān)管。四是數(shù)據(jù)跨境提供管理制度。數(shù)據(jù)跨境提供管理制度是保障國家數(shù)據(jù)主權(quán)和公共利益不受侵害的基礎(chǔ)性保障。在總體國家安全觀的角度下開展數(shù)據(jù)跨境流轉(zhuǎn)，堅持關(guān)鍵領(lǐng)域數(shù)據(jù)保護對內(nèi)合規(guī)的“本地化”主體立場，落實企業(yè)數(shù)據(jù)跨境提供的安全主體責(zé)任[17]。

3.3 “技數(shù)賦能”企業(yè)數(shù)據(jù)安全合規(guī)義務(wù)和風(fēng)險識別

數(shù)字和技術(shù)相伴而生，“技數(shù)賦能”的優(yōu)勢在于將算法技術(shù)和數(shù)字建模相結(jié)合，形成一套技術(shù)化、數(shù)字化、可視化的知識圖譜和算法模型，使得企業(yè)數(shù)據(jù)安全合規(guī)義務(wù)和風(fēng)險識別更加高效和準(zhǔn)確。新形勢下，企業(yè)的數(shù)據(jù)合規(guī)義務(wù)不僅范圍廣、涉及面龐雜而且非常細碎，單單僅依靠數(shù)據(jù)合規(guī)部門或者企業(yè)法務(wù)部門進行人工識別、對數(shù)據(jù)進行分類分級，根本無力應(yīng)對，而且存在效率不高、有效性存疑等問題，因而需要通過技數(shù)賦能，運用算法技術(shù)和數(shù)字建模實現(xiàn)企業(yè)數(shù)據(jù)安全合規(guī)義務(wù)和風(fēng)險的完整提取和識別。具體方法如下：①通過大數(shù)據(jù)檢索收集、整理企業(yè)數(shù)據(jù)安全合規(guī)義務(wù)和風(fēng)險方面的規(guī)范性法律文件以及現(xiàn)行的國家、地方和行業(yè)標(biāo)準(zhǔn)等；②采取關(guān)鍵信息抽取、語言文本分析、知識融合、知識加工技術(shù)進行分析提取，建立可視化的知識圖譜和算法模型；③為確保企業(yè)數(shù)據(jù)合規(guī)義務(wù)和風(fēng)險識別工作的精準(zhǔn)化，通過模型訓(xùn)練、深度學(xué)習(xí)不斷分析數(shù)據(jù)信息的關(guān)聯(lián)性和因果性，以此來提升知識圖譜和算法模型的精確度，準(zhǔn)確識別企業(yè)數(shù)據(jù)安全合規(guī)義務(wù)和風(fēng)險。以“技數(shù)賦能”識別企業(yè)數(shù)據(jù)合規(guī)義務(wù)和風(fēng)險，建立可視化的知識圖譜和算法模型，是持續(xù)改進數(shù)據(jù)全生命周期企業(yè)數(shù)據(jù)安全管理體系的關(guān)鍵措施。

4 結(jié)語

隨著數(shù)字經(jīng)濟的快速發(fā)展，數(shù)據(jù)作為新生產(chǎn)要素的時代已經(jīng)來臨，其已然成為賦能企業(yè)科技創(chuàng)新，實現(xiàn)企業(yè)商業(yè)增值的重要要素。但是，數(shù)據(jù)要素顯性經(jīng)濟價值直接關(guān)系到國家政治、經(jīng)濟、民生等各個方面的安全。因此，數(shù)據(jù)安全也必須納入到企業(yè)經(jīng)營理念之中，需要統(tǒng)籌協(xié)調(diào)好國家安全、數(shù)字經(jīng)濟發(fā)展、社會公眾隱私與數(shù)據(jù)使用商業(yè)利益之間的關(guān)系。作為數(shù)據(jù)安全治理領(lǐng)域的專項合規(guī)計劃，企業(yè)數(shù)據(jù)合規(guī)治理中應(yīng)兼顧發(fā)揮數(shù)據(jù)流通價值和維護數(shù)據(jù)安全的雙重需求，通過數(shù)據(jù)分類分級分層保護、數(shù)據(jù)全生命周期安全保護、技數(shù)賦能企業(yè)數(shù)據(jù)安全合規(guī)義務(wù)和風(fēng)險識別，提高抵御企業(yè)內(nèi)外部偶聯(lián)性及復(fù)雜性的數(shù)據(jù)安全風(fēng)險環(huán)境的能力[18] ，以及時查補漏洞，防微杜漸，在國家安全、經(jīng)濟發(fā)展、商業(yè)效益與數(shù)據(jù)安全之間達成動態(tài)平衡。

參考文獻參考文獻：

[1] 徐博強.合規(guī)視野下民營企業(yè)刑事風(fēng)險防控探析[J].東北師大學(xué)報（哲學(xué)社會科學(xué)版），2022（2）：102-110.

[2] 孫瑩.企業(yè)數(shù)據(jù)確權(quán)與授權(quán)機制研究[J].比較法研究，2023（3）：56-73.

[3] 鮑靜，張勇進，董占廣.我國政府?dāng)?shù)據(jù)開放管理若干基本問題研究[J].行政論壇，2017（1）：25-32.

[4] 李晗.區(qū)塊鏈智能合約中個人信息安全的法律保護[J].華東政法大學(xué)學(xué)報，2023（4）：49-58.

[5] 劉小妹.數(shù)字經(jīng)濟立法的內(nèi)在邏輯和基本模式[J].華東政法大學(xué)學(xué)報，2023（4）：28-37.

[6] 王誠，魏雅雪.企業(yè)合規(guī)治理：平臺經(jīng)濟反壟斷行政執(zhí)法新視角[J].東岳論叢，2022（4）：181-190.

[7] 索洛姆·維爾瓊，林少偉.數(shù)據(jù)治理的關(guān)系理論[J].上海政法學(xué)院學(xué)報（法治論叢），2023（2）：119-160.

[8] 許多奇.論跨境數(shù)據(jù)流動規(guī)制企業(yè)雙向合規(guī)的法治保障[J].東方法學(xué)，2020（2）：185-197.

[9] 劉召成.違反安全保障義務(wù)侵權(quán)責(zé)任的體系構(gòu)造[J].國家檢察官學(xué)院學(xué)報，2019（6）：53-66.

[10] 霍菲爾德.基本法律概念[M].張書友，譯.北京：中國法制出版社，2009.

[11] 王利明.論數(shù)據(jù)權(quán)益：以“權(quán)利束”為視角[J].政治與法律，2022（7）：99-113.

[12] 毛逸瀟.數(shù)據(jù)保護合規(guī)體系研究[J].國家檢察官學(xué)院學(xué)報，2022（2）：93.

[13] 周維明.刑事合規(guī)視野下數(shù)據(jù)犯罪的治理路徑[J].西南政法大學(xué)學(xué)報，2022（5）：128-139.

[14] 張勇.企業(yè)數(shù)據(jù)安全分類分級的刑法保護[J].法治研究，2021（3）：17-27.

[15] 洪延青.國家安全視野中的數(shù)據(jù)分類分級保護[J].中國法律評論，2021（5）：71-78.

[16] 張玥萌，陸昊飏.數(shù)字化轉(zhuǎn)型背景下企業(yè)數(shù)據(jù)合規(guī)研究[J].科技創(chuàng)業(yè)月刊，2022（10）：55-57.

[17] 張莉.數(shù)據(jù)治理與企業(yè)數(shù)據(jù)安全[M].北京：人民郵電出版社，2019.

[18] 孟翔宇，王晶晶.盧曼社會系統(tǒng)理論視域下的企業(yè)合規(guī)有效性標(biāo)準(zhǔn)研究[J].科技創(chuàng)業(yè)月刊，2024（2）：175-179.

責(zé)任編輯（責(zé)任編輯：吳 漢）