馬美瑤

（重慶郵電大學，重慶 40065）

0 引 言

當前以大數(shù)據(jù)、云計算、人工智能等為代表的信息技術快速發(fā)展，為經(jīng)濟社會發(fā)展提供了巨大動力，也為人民生活帶來了許多便利。其中，數(shù)據(jù)是關鍵生產(chǎn)要素。對企業(yè)來說，做好數(shù)據(jù)合規(guī)，不僅可以為企業(yè)創(chuàng)造巨大的商業(yè)價值，還能避免企業(yè)陷入法律風險，督促企業(yè)積極承擔社會責任；對個人來說，數(shù)據(jù)合規(guī)可以防止個人信息數(shù)據(jù)泄露，保護用戶隱私。在社會層面，企業(yè)數(shù)據(jù)合規(guī)可以促進數(shù)據(jù)產(chǎn)業(yè)的安全健康發(fā)展，營造風清氣正的網(wǎng)絡環(huán)境。企業(yè)需要在數(shù)據(jù)標準、數(shù)據(jù)分類、數(shù)據(jù)存儲、數(shù)據(jù)安全、數(shù)據(jù)文化等方面做到數(shù)據(jù)合規(guī)。其目的是合法合規(guī)地引導數(shù)據(jù)資產(chǎn)實現(xiàn)價值變現(xiàn)。但是，在互聯(lián)網(wǎng)時代，數(shù)據(jù)也面臨著風險和危機，稍有不慎便可能成為引發(fā)個人信息保護、市場秩序、社會治理和國家安全等問題的導火索[1]。從企業(yè)在數(shù)據(jù)合規(guī)方面的遭遇來看，數(shù)據(jù)違規(guī)收集、應用和儲存使得企業(yè)面臨巨額罰款甚至停產(chǎn)停業(yè)危機，黑客入侵、數(shù)據(jù)泄露等外部風險讓企業(yè)風雨飄搖，企業(yè)合規(guī)成本高昂、內部泄密嚴重等讓企業(yè)應接不暇，漏洞百出。面對這些風險挑戰(zhàn)，如何讓企業(yè)在競爭激烈的市場中站穩(wěn)腳跟并向好發(fā)展，是企業(yè)數(shù)據(jù)合規(guī)需要完成的使命。

1 國內外數(shù)據(jù)安全立法概述

1.1 國內數(shù)據(jù)安全立法方面

以2017 年《中華人民共和國網(wǎng)絡安全法》的實施為開端，我國開始邁進數(shù)據(jù)應用和治理法治化時代，將數(shù)據(jù)安全納入了國家安全的范疇進行保護。2021 年9 月1 日《中華人民共和國數(shù)據(jù)安全法》正式施行，同年11 月1 日《中華人民共和國個人信息保護法》開始實施，同年11 月14 日國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》（以下簡稱“條例”），這標志著我國數(shù)據(jù)安全立法開始走向成熟。以上述“三法一條例”的頒布實施為標志，我國的數(shù)據(jù)安全立法已經(jīng)進入了快速發(fā)展時期。同時“三法一條例”也是當前企業(yè)數(shù)據(jù)合規(guī)建設的基本遵循。

具體來看，《中華人民共和國數(shù)據(jù)安全法》作為數(shù)據(jù)安全領域的專項法律，體現(xiàn)了國家立法層面對數(shù)據(jù)安全的高度重視，同時，對企業(yè)數(shù)據(jù)合規(guī)建設也具有重要指導意義。比如，該法的第八條規(guī)定了企業(yè)收集和使用數(shù)據(jù)應遵循的基本原則，第十九條表明企業(yè)在滿足相應條件的情況下可以進行數(shù)據(jù)交易，此外，還在第四章集中列明了在中國境內從事數(shù)據(jù)處理活動的企業(yè)應當承擔的基本數(shù)據(jù)合規(guī)義務。這些法條都為企業(yè)數(shù)據(jù)合規(guī)指引了方向。同樣，在《中華人民共和國個人信息保護法》中也對企業(yè)數(shù)據(jù)合規(guī)提出了要求，個人信息的處理更加嚴格，還作出了舉證責任倒置的規(guī)定，即在個人信息權益受到侵害時，大數(shù)據(jù)企業(yè)負有證明自己沒有過錯的義務。而“條例”則是對《中華人民共和國數(shù)據(jù)安全法》等上位法的進一步細化實施，在關于數(shù)據(jù)收集的第四章中，規(guī)定了網(wǎng)絡運營者的數(shù)據(jù)安全合規(guī)義務，進一步明確平臺規(guī)則透明度義務、平臺第三方產(chǎn)品及服務侵權的先行賠償責任等，在一定程度上增加了企業(yè)的合規(guī)難度。

1.2 國際數(shù)據(jù)安全立法方面

當前，以歐盟出臺的《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR）為契機，各國開始制定或修改本國的數(shù)據(jù)保護法規(guī)，例如，2018 年6 月，美國加州出臺的《加州消費者隱私法案》被稱為美國最全面、最嚴格的州數(shù)據(jù)隱私法，該法案于2018 年6 月28 日頒布，并于2020 年1 月1 日生效。2020 年6 月，日本參議院頒布了《個人信息保護法修正案》，此修正案將于2022 年4 月1 日正式實施。本次修訂擴大了個人權利，還把違規(guī)企業(yè)的罰金上限提升至1 億日元（約合人民幣650 萬元）。2020 年11 月，加拿大政府推出《數(shù)字憲章實施法案》，如果通過，它將取代現(xiàn)有的 《個人信息保護和電子文件法》，并對該國的隱私立法引入一些新的變化。據(jù)聯(lián)合國貿(mào)易和發(fā)展會議數(shù)據(jù)顯示，全球范圍內已經(jīng)有超過100 個國家進行了數(shù)據(jù)安全保護相關的立法，40 多個國家出臺了相應的草案，可以說，當今世界已經(jīng)掀起了數(shù)據(jù)安全立法的高潮，國際社會開始進入數(shù)據(jù)保護的快速發(fā)展期。各國數(shù)據(jù)安全立法主要有以下幾個特點。

一是許多國家逐漸形成全方位保護的立法理念，并突出個人信息使用限制?？v觀各國關于數(shù)據(jù)安全的立法，從數(shù)據(jù)的產(chǎn)生、收集、存儲到使用、加工、傳輸、提供、公開等一系列環(huán)節(jié)，都有相應的法規(guī)予以保護。二是明確管轄范圍，加強與數(shù)據(jù)流通密切的相關國家和地區(qū)的數(shù)據(jù)信息交流合作，共同打擊數(shù)據(jù)侵權與泄露事件。現(xiàn)今許多國家都十分注重網(wǎng)絡空間主權，在數(shù)據(jù)安全立法方面，都強調管轄權的重要性，長臂管轄已成為今后的立法趨勢。三是強調對個人信息與隱私的保護，大多數(shù)國家和地區(qū)均出臺單獨的法典對其進行規(guī)范。個人信息是數(shù)據(jù)保護中的重中之重，對個人信息的濫用、侵權等行為都將違反本國的相關法律法規(guī)，并受到相應的處罰。四是各國開始采用精細化的立法方式來保護數(shù)據(jù)安全，明確各方法律義務責任，提升數(shù)據(jù)治理效果。“數(shù)據(jù)”一詞內涵豐富，這就要求立法的精準性，要能夠解決形形色色的問題，做到有法可依。

從上述國際立法特點可以看出，各國對于數(shù)據(jù)和信息的管理愈加嚴格，這同時也意味著企業(yè)尤其是跨國企業(yè)更應當做好數(shù)據(jù)合規(guī)建設，以滿足國際上對數(shù)據(jù)安全的要求。

2 企業(yè)數(shù)據(jù)合規(guī)面臨的現(xiàn)實困境及其成因

2.1 數(shù)據(jù)應用違規(guī)，企業(yè)合規(guī)成本高昂

在網(wǎng)絡時代，數(shù)據(jù)是數(shù)字經(jīng)濟的核心，是推動新經(jīng)濟發(fā)展的關鍵[2]。數(shù)據(jù)從產(chǎn)生、收集到后續(xù)的使用、保存等全生命周期都會面臨一系列的安全風險，稍有不慎，就會出現(xiàn)數(shù)據(jù)違規(guī)的現(xiàn)象。數(shù)據(jù)收集之初，有直接收集、間接收集和通過爬蟲技術收集等方式，其中，通過爬蟲技術獲取其他公司數(shù)據(jù)，若嚴重干擾其他企業(yè)正常合法經(jīng)營，違反誠實信用原則和公認的商業(yè)道德，則很有可能構成不正當競爭。例如，微博起訴超級星飯團不正當競爭案一審宣判，超級星飯團擅自抓取微博用戶相關信息、非法獲取微博相關數(shù)據(jù)，構成不正當競爭，被判賠償1 000 多萬元；若更進一步采用技術手段非法獲取計算機信息系統(tǒng)中存儲的數(shù)據(jù)，則有可能觸犯刑法，構成非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪[3]。企業(yè)在使用數(shù)據(jù)的過程中，常常會出現(xiàn)濫用數(shù)據(jù)的情況，如對一些個人敏感信息不脫敏直接使用或者未征得用戶同意直接使用數(shù)據(jù)等，這些都會引發(fā)企業(yè)與用戶信任危機，例如，F(xiàn)acebook 涉嫌非法收集生物識別數(shù)據(jù)，與用戶達成隱私糾紛和解，賠償了5.5 億美元；谷歌因違反GDPR 而被法國數(shù)據(jù)保護監(jiān)管機構CNIL 處以5 000 萬歐元的罰款[4]。我國數(shù)據(jù)違規(guī)現(xiàn)象也層出不窮，例如，2021 年的3·15 晚會就曝光了人臉信息被違規(guī)收集、求職簡歷被非法買賣、手機清理類軟件惡意竊取手機內部信息等多起涉及個人信息安全的事件。

對于企業(yè)來說，數(shù)據(jù)合規(guī)最關鍵的兩點在于：一是要求數(shù)據(jù)應用合乎法律規(guī)定（包括數(shù)據(jù)的利用、處理、使用等行為合乎法律規(guī)定，不得違反國家強制性法律規(guī)定），二是數(shù)據(jù)應用不得侵犯他人的正當合法權益，這同時也是數(shù)據(jù)合規(guī)審查的兩條紅線[5]。而企業(yè)在數(shù)據(jù)應用上之所以會出現(xiàn)違法違規(guī)現(xiàn)象，很大程度上在于要做到上述兩點成本十分高昂，尤其是對于小型企業(yè)，高昂的合規(guī)成本使之望而卻步，似乎只有對數(shù)據(jù)的無限制使用才是其獲取利潤的“唯一”選擇。據(jù)Telos 最近開展的一項企業(yè)合規(guī)成本調查顯示：每家企業(yè)要做到數(shù)據(jù)合規(guī)，平均需要遵守至少13 個不同的IT 安全或隱私法規(guī)，并且每年在合規(guī)性活動上要花費高達350 萬美元。于是許多企業(yè)抱有僥幸心理，或者說是一廂情愿地認為自己對數(shù)據(jù)的使用是合法合規(guī)的，殊不知這已經(jīng)犯了企業(yè)合規(guī)經(jīng)營的大忌。

2.2 企業(yè)內外數(shù)據(jù)泄露嚴重

隨著技術的快速更迭，數(shù)據(jù)泄露的方式也多種多樣，如病毒與非法入侵、系統(tǒng)漏洞、訪問控制和權限管理不善等，這些都使得企業(yè)遭受巨大損失。企業(yè)在面對數(shù)據(jù)泄露時，常常會出現(xiàn)應對無措的情況。當下許多企業(yè)尤其是互聯(lián)網(wǎng)企業(yè)都時刻面臨著來自內部和外部的各種風險挑戰(zhàn)。內部風險主要包括系統(tǒng)存在漏洞未及時發(fā)現(xiàn)、系統(tǒng)未及時更新、個人私密信息未使用脫敏技術、對企業(yè)核心數(shù)據(jù)未采用加密保護的技術手段等；外部風險主要是黑客出于炫耀或其他目的，利用特定的漏洞來竊取信息數(shù)據(jù)，或者是來自惡意人士的攻擊，包括網(wǎng)絡釣魚詐騙、數(shù)據(jù)盜竊贖金勒索和魚叉式網(wǎng)絡釣魚活動等，這些都給企業(yè)及個人造成了嚴重損害。盡管企業(yè)采用了一些安全防護手段，但是從結果來看，還遠遠不夠。面對上述隨時會發(fā)生的風險，企業(yè)防不勝防，同時在一定程度上也說明了企業(yè)在數(shù)據(jù)保護技術上的不足，使得不法分子有了可乘之機。

2.2.1 網(wǎng)絡攻擊形勢嚴峻，外部泄露嚴重

據(jù)波耐蒙研究所發(fā)布的《2020 年數(shù)據(jù)泄露損失研究》評估顯示，遭遇數(shù)據(jù)泄露事件的企業(yè)平均損失386 萬美元。2018 年，F(xiàn)acebook 公司就曾發(fā)生嚴重的數(shù)據(jù)泄露事件，業(yè)界稱其為“數(shù)據(jù)門”事件[6]，該事件造成了超8 000 萬用戶的信息外泄。據(jù)報道，F(xiàn)acebook 與GSR 公司簽署了相關保密協(xié)議，但GSR 私下違反協(xié)議，將數(shù)據(jù)轉賣給了第三方劍橋數(shù)據(jù)分析公司（一家涉嫌影響美國選舉的公司）。經(jīng)過多年的調查，監(jiān)管機構認為 Facebook 因未能保護這些數(shù)據(jù)而違反了其較早簽署的保護用戶隱私協(xié)議。同年10 月，英國信息專員辦公室向Facebook 處以50萬英鎊罰款，2020 年4 月，美國聯(lián)邦法院正式批準了美國聯(lián)邦貿(mào)易委員會與Facebook 達成的50 億美金和解協(xié)議。

網(wǎng)絡和平研究所所長Marietje Schaake曾說，“盡管網(wǎng)絡攻擊是一種無聲的威脅，但它們會對我們的社會產(chǎn)生破壞性和持久性的影響”。這對企業(yè)來說也不例外。隨著物聯(lián)網(wǎng)的發(fā)展，數(shù)以十億計的設備接入移動互聯(lián)網(wǎng)，網(wǎng)絡攻擊造成的威脅正在呈指數(shù)級增長。據(jù)美國高德納咨詢公司（Gartner）預測，到2022 年左右，全球網(wǎng)絡安全支出費用將達到1 704 億美元。在網(wǎng)絡攻擊不斷加劇的情況下，若企業(yè)一味固守之前的應對模式，則很有可能被競爭激烈的市場淘汰。同時，相較于大型企業(yè)，中小型企業(yè)由于缺乏完備的合規(guī)體系，更容易成為網(wǎng)絡攻擊的首選對象。根據(jù)Markel Direct 的一項調查結果顯示，51%的中小企業(yè)都曾有過網(wǎng)絡安全漏洞，所以對中小企業(yè)來說，一旦遭遇攻擊，企業(yè)將面對來自資金鏈斷裂和核心技術泄露的雙重威脅，這對企業(yè)的打擊無疑是致命的[7]。

2.2.2 內部泄密嚴重

數(shù)據(jù)泄露的原因除外部黑客非法竊取外，還有便是企業(yè)內部員工導致的泄露。由于數(shù)據(jù)合規(guī)的專業(yè)性較強，很多員工尚無相關的知識儲備，無法意識到數(shù)據(jù)合規(guī)的重要性，會有意無意地接觸到核心數(shù)據(jù)或者關鍵數(shù)據(jù)并使其泄露或者流失，給企業(yè)造成重大損失。內部泄露主要分為兩種類型：一是內部員工因疏忽大意導致泄露而不自知，比如員工對信息數(shù)據(jù)使用不當、安全意識差等；二是內部員工惡意泄露，比如員工將企業(yè)信息數(shù)據(jù)資產(chǎn)進行出售來獲取非法利益或者人員報復性操作等。從現(xiàn)實案例來看，顯然后者的危害性更大，例如，2018年1月，某警方偵破了一起新生嬰兒信息倒賣鏈條，經(jīng)查明，是某地方衛(wèi)生系統(tǒng)的工作人員泄露了50多萬條新生嬰兒和預產(chǎn)孕婦信息數(shù)據(jù)；2018 年2 月，某知名企業(yè)的合作公司員工泄露防偽數(shù)據(jù)700 萬條，直接導致了該企業(yè)經(jīng)濟損失約105.7萬元。這些泄密事件都給企業(yè)數(shù)據(jù)的安全性敲響了警鐘，說明了企業(yè)員工的違法違規(guī)操作可能給企業(yè)數(shù)據(jù)合規(guī)造成潛在的威脅和損害。

2.3 立法管控愈嚴，數(shù)據(jù)處理不當?shù)暮蠊?/h3>

隨著國內外對數(shù)據(jù)合規(guī)的監(jiān)管不斷加強，企業(yè)對數(shù)據(jù)的處理不當導致的泄露，引來監(jiān)管部門的關注，在調查清楚事件后，等待的是相關執(zhí)法機構的一系列處罰，其中最引起公眾關注的還是不斷增加的巨額罰款案例。2016 年，網(wǎng)約車平臺Uber 遭到黑客攻擊，泄露了60 萬司機和5 700 萬用戶的個人信息。該公司沒有披露該事件，而是向黑客支付了10 萬美元，試圖瞞天過海，該行為使公司付出了沉重的代價，在2018 年因違反州數(shù)據(jù)泄露通知法而被罰款1.48億美元[8]。2017 年，Equifax 由于一個數(shù)據(jù)庫未及時安裝Apache Struts 框架的嚴重漏洞補丁，損失了近1.5 億條個人信息和財務信息。后在2019 年7 月，Equifax 就此次事件，同意向美國聯(lián)邦貿(mào)易委員會、消費者金融保護局以及美國50 個州和地區(qū)支付5.75 億美元，可能增至7 億美元，并承諾采取合理的方法來保護其網(wǎng)絡。這些都充分說明了國際立法非常重視數(shù)據(jù)安全，同時，巨額罰款對某些企業(yè)來說是致命的打擊，可能導致企業(yè)出現(xiàn)資金周轉困難、企業(yè)信譽下降等后果，從而失去市場中的競爭力。

2020 年，我國信息安全標準化技術委員會發(fā)布了53 項網(wǎng)絡安全國家標準，同時，關于數(shù)據(jù)安全與合規(guī)方面的配套制度也在不斷推進，相關執(zhí)法實踐逐步走向常態(tài)化，訴訟案例逐漸豐富。針對企業(yè)數(shù)據(jù)違法違規(guī)方面，也分別適用了不同的法律法規(guī)予以制裁，比如《中華人民共和國刑法》《中華人民共和國民法典》《中華人民共和國網(wǎng)絡安全法》等的配套使用。其中以《中華人民共和國網(wǎng)絡安全法》為例，在第六章就規(guī)定了十余種法律責任及處罰措施。就罰款來說，我國開始向國際靠攏，要求建立和完善懲罰性賠償和巨額罰款制度，讓嚴重違法者付出高昂成本。這在很大程度上給企業(yè)造成了隱形的壓力，迫使企業(yè)不得不開始注重數(shù)據(jù)合規(guī)。

2.4 合規(guī)意識淡薄，企業(yè)潛藏重大風險

數(shù)據(jù)是一個企業(yè)的生命，但是企業(yè)員工甚至企業(yè)管理者卻沒有意識到這一點，從而導致數(shù)據(jù)流失、數(shù)據(jù)泄露，給企業(yè)造成一筆不菲的“支出”，甚至讓企業(yè)面臨“死亡”的危機。在企業(yè)治理上，很多企業(yè)管理者由于沒有正確認識公司治理風險的概念和種類，難以意識到合規(guī)風險的重要性，比如行業(yè)將風險分為技術風險、銷售風險、產(chǎn)品質量風險、知識產(chǎn)權風險等，但是并未抓住分類的依據(jù)和意義，從而將合規(guī)風險這一重要類別忽視不管，使企業(yè)數(shù)據(jù)安全隱患大大增加。根據(jù)公司治理風險的基本理論，企業(yè)面臨的主要風險可以分為3 大類型：經(jīng)營風險、財務管理風險和合規(guī)風險[9]。因此，對于企業(yè)管理層來說，只有先分清風險類別，了解數(shù)據(jù)合規(guī)的重要性，打破固有的“數(shù)據(jù)無用”觀念，才能走好企業(yè)數(shù)據(jù)合規(guī)的第一步。同樣，對于企業(yè)員工來說，數(shù)據(jù)合規(guī)不應是一個“新詞”，成為員工自我約束的“法外之地”。在互聯(lián)網(wǎng)時代，員工的一言一行、一舉一動都會在網(wǎng)絡上存下數(shù)據(jù)、留下痕跡，所以僅以“不知者無罪”而免除責任者“明知不可為而為之”的責任都是不可行、不可取的做法。這些都反映了企業(yè)整體合規(guī)意識的淡薄，對核心競爭力的保護力度不夠。

3 企業(yè)數(shù)據(jù)合規(guī)的實踐路徑

3.1 國家法律支持

3.1.1 立法明晰企業(yè)類別，及時更新合規(guī)要求

從整體上看，國內外監(jiān)管趨勢愈加嚴格，我國關于數(shù)據(jù)安全立法的頂層設計也在抓緊建設中，但是在具體落實上仍存在許多法律空白。在企業(yè)數(shù)據(jù)合規(guī)方面，立法也有亟待出臺和完善的地方。同時，從上述企業(yè)面臨的現(xiàn)實困境可以看出，高昂的合規(guī)成本與短期無法得到的收益使得許多企業(yè)鋌而走險，忽略了自身的數(shù)據(jù)合規(guī)問題。面對這一現(xiàn)象，或能采取立法手段有所消解。

立法可以根據(jù)不同行業(yè)、企業(yè)規(guī)模大小、年收益多少等將企業(yè)進行細分，再以此為前提對不同的企業(yè)規(guī)定不同的合規(guī)要求，而不是將大型企業(yè)（包括跨國企業(yè)）與小型企業(yè)等同視之，這樣可以從源頭上打破小型企業(yè)對數(shù)據(jù)合規(guī)成本的顧慮，從而做到精細化立法。比如在數(shù)據(jù)安全與合規(guī)中有一個重要制度——數(shù)據(jù)分級分類管理制度，針對不同類型的企業(yè)，其數(shù)據(jù)的種類和重要程度均有所不同，因此，立法需明晰企業(yè)類型、確定數(shù)據(jù)分類和區(qū)分數(shù)據(jù)重要性，再對企業(yè)數(shù)據(jù)合規(guī)提出具體要求，讓企業(yè)有法可依。同時，國家需要及時更新每個層次所對應的具有代表性的企業(yè)合規(guī)范例，鼓勵其他企業(yè)學習參考及應用。

3.1.2 從理論到實踐，普及數(shù)據(jù)合規(guī)知識

在數(shù)字化時代，為了使企業(yè)認識到數(shù)據(jù)合規(guī)的重要性，監(jiān)管部門應該積極普及數(shù)據(jù)合規(guī)的相關知識。政府和司法部門相互配合，上到法律法規(guī)的出臺，下到具體案件的審判，從正面的法律知識普及到反面的違法違規(guī)案例公開，都是促使企業(yè)認識到數(shù)據(jù)合規(guī)重要性的好方法，同時，還可以組織數(shù)據(jù)合規(guī)方面的法律宣傳會議、知識演講等，促進企業(yè)樹立全面的數(shù)據(jù)合規(guī)建設思想，讓企業(yè)從整體上意識到數(shù)據(jù)違法違規(guī)的危害性，從而有意識地關注并解決自身的數(shù)據(jù)合規(guī)建設問題。

3.2 政府大力扶持

政府鼓勵并幫助企業(yè)進行技術升級。做好企業(yè)數(shù)據(jù)合規(guī)，離不開技術的支持。而高新技術的應用，離不開政府的大力支持。正如“市場是只看不見的手，需要政府的監(jiān)督”，企業(yè)應用新技術也需要政府的幫助。首先是物質支持，政府可以參照《中華人民共和國中小企業(yè)促進法》對一些掌握核心數(shù)據(jù)的或者是前景廣闊的但資金有限的企業(yè)提供財政支持，例如補貼或者無息借款，讓企業(yè)能夠合法合規(guī)地生存；其次是技術提供或者分享，若政府在數(shù)據(jù)合規(guī)的某個方面具有領先于企業(yè)的技術，那么可以考慮免費或者低價提供給有需要的企業(yè)，讓市場展現(xiàn)出最大生機活力。最后，企業(yè)是數(shù)據(jù)合規(guī)的主體，政府應發(fā)揮引導作用，通過制定發(fā)展路線圖、數(shù)據(jù)合規(guī)實施綱要及建設科技示范基地等方式來推動企業(yè)數(shù)據(jù)合規(guī)的發(fā)展。

3.3 企業(yè)自身建設

3.3.1 優(yōu)化企業(yè)數(shù)據(jù)合規(guī)結構，降低合規(guī)成本

“打鐵還需自身硬”，對于企業(yè)而言，解決數(shù)據(jù)違規(guī)應用問題的關鍵在于自身數(shù)據(jù)合規(guī)體系的建立完善。除了國家層面的立法指導，政府的幫助扶持，企業(yè)也需要根據(jù)自身的整體情況，建立一套完整而有效的合規(guī)體系。考慮到合規(guī)的高成本，企業(yè)可以運用智能化的方式推進數(shù)據(jù)合規(guī)建設[10]。智能化的合規(guī)方式可以使數(shù)據(jù)從產(chǎn)生之初到后續(xù)的應用等一系列行為都處于一個合法化、標準化的環(huán)境中，從而可以節(jié)省人為合規(guī)所帶來的高昂成本。同時，通過算法還可以對國家法律法規(guī)進行及時的更新，以便企業(yè)能對數(shù)據(jù)合規(guī)的變化做出快速反應，將一些常見違規(guī)行為進行標記和保存，給企業(yè)以警醒的作用。而且智能化的數(shù)據(jù)合規(guī)還可以在企業(yè)日常運營中對數(shù)據(jù)進行備份和保存，一旦發(fā)生數(shù)據(jù)泄露事件，可以讓企業(yè)留有充分的證據(jù)為自己辯白，減輕甚至是免除企業(yè)的責任。當然，企業(yè)也要經(jīng)常關注自己行業(yè)內的、與其實力相當?shù)摹?shù)據(jù)合規(guī)出色的企業(yè)的做法，不斷學習改進修正自身的數(shù)據(jù)合規(guī)體系漏洞，爭取做到低投入、高收效，降低企業(yè)數(shù)據(jù)違法違規(guī)的風險隱患。企業(yè)還需與監(jiān)管部門保持良好溝通，這樣不僅有助于減少誤解，還可能獲得及時且恰當?shù)闹笇Ш椭С帧?/p>

3.3.2 強化技術更新，嚴防數(shù)據(jù)泄露

企業(yè)數(shù)據(jù)泄露事件頻頻發(fā)生的原因之一是企業(yè)的技術保障力度不夠。很多企業(yè)意識到數(shù)據(jù)的商業(yè)價值，但是由于技術有限，也無法做到數(shù)據(jù)合規(guī)。因此，對企業(yè)來說，提高數(shù)據(jù)安全保障技術刻不容緩。在企業(yè)外部防護方面，可以根據(jù)企業(yè)自身的實際情況，購買數(shù)據(jù)安全防護產(chǎn)品，同時注意選擇最優(yōu)的技術手段來鞏固自己的數(shù)據(jù)系統(tǒng)，比如在用戶隱私保護方面，可以采用差分隱私技術，差分隱私保護可以克服傳統(tǒng)隱私保護技術應用時其安全性依賴攻擊者的相關背景知識、保護效果難以用有效嚴格的數(shù)學方法定量化描述等缺陷，從而可在大大降低保護對象數(shù)據(jù)集隱私泄露風險的同時，盡可能保證數(shù)據(jù)集數(shù)據(jù)的可用性[11]。在企業(yè)內部治理方面，可以采用智能敏感數(shù)據(jù)識別技術和數(shù)據(jù)脫敏風險評估技術，利用智能化的方法對數(shù)據(jù)進行識別、加工，不僅可以大大節(jié)約合規(guī)成本，還能減小企業(yè)“犯錯”的可能性。在企業(yè)間數(shù)據(jù)交互方面，同樣可以采用前沿性數(shù)據(jù)匿名、同態(tài)加密、安全多方計算和聯(lián)邦學習等技術對重要數(shù)據(jù)進行匿名化處理或者機密保護。企業(yè)只要在技術保障上做到位，就可以遏制住大部分的數(shù)據(jù)泄露和數(shù)據(jù)濫用現(xiàn)象。

3.3.3 設立企業(yè)數(shù)據(jù)合規(guī)官，洞悉立法走向

在國際上，絕大多數(shù)跨國企業(yè)應業(yè)務所在國的要求設立了企業(yè)數(shù)據(jù)合規(guī)官或者數(shù)據(jù)保護官一職?！暗赖屡c合規(guī)官”一詞最早出現(xiàn)在20世紀80 年代的美國企業(yè)，其職責是研究制定企業(yè)合規(guī)經(jīng)營政策，監(jiān)督管理企業(yè)文化和各項治理制度的執(zhí)行與落實[12]。在我國，360 公司是國內首家設置首席隱私官的大型互聯(lián)網(wǎng)企業(yè)[13]。對于這些企業(yè)來說，數(shù)據(jù)合規(guī)官不僅管理企業(yè)日常數(shù)據(jù)保護工作，還承擔著“數(shù)據(jù)外交”的職能，其姓名與聯(lián)系方式需要對外披露，同時還要與監(jiān)管機關、數(shù)據(jù)主體進行對接，并且時刻掌握數(shù)據(jù)合規(guī)的監(jiān)管走向。由此可見數(shù)據(jù)合規(guī)官設置的必要性，這也不失為我國企業(yè)進行數(shù)據(jù)合規(guī)建設的一個好的借鑒方法。但是，值得注意的是，大型企業(yè)除了設置數(shù)據(jù)合規(guī)官，還要配置合規(guī)部門，配合數(shù)據(jù)合規(guī)官的工作，當然，中小型企業(yè)則視自身情況而定，可以設置合理人數(shù)的合規(guī)專員監(jiān)督審查企業(yè)數(shù)據(jù)合規(guī)情況。

3.3.4 建立企業(yè)數(shù)據(jù)合規(guī)文化，培養(yǎng)合規(guī)意識

當下許多企業(yè)出現(xiàn)數(shù)據(jù)違法違規(guī)現(xiàn)象，源于企業(yè)內部對合規(guī)文化的不重視。因此，建立企業(yè)數(shù)據(jù)合規(guī)文化，培養(yǎng)全員合規(guī)意識成為形勢所趨。

從整體上看，企業(yè)要正確定位數(shù)據(jù)合規(guī)文化的重要內涵，將其核心要義和內容滲透到企業(yè)運營理念、業(yè)績考核等日常經(jīng)營活動中，特別是涉及企業(yè)跨地區(qū)、跨國家，從員工個人到企業(yè)整體，都要具備合規(guī)意識。具體來說，一方面，針對企業(yè)內部安全、合規(guī)、審計等直接責任部門人員，要在正式入職前加強專業(yè)知識和工作能力的教育和培訓，保證其在工作期間能夠遵守相關法律規(guī)范和企業(yè)規(guī)章制度；另一方面，對于其他工作部門人員，則需要加強合規(guī)風險與意識的教育和培訓，企業(yè)可以定期組織數(shù)據(jù)合規(guī)知識競賽及專業(yè)人員數(shù)據(jù)安全比賽，以獎勵的方式激發(fā)員工對數(shù)據(jù)保護與合規(guī)的興趣，最終達到企業(yè)內部人員無論職位高低，都對數(shù)據(jù)合規(guī)有較為清晰的認知和足夠重視的效果。

4 結 語

在“數(shù)據(jù)為王”的時代，企業(yè)不僅要面臨競爭激烈的市場角逐，還要處理好數(shù)據(jù)合規(guī)的一系列難題。通過上述分析的企業(yè)面臨的合規(guī)困境及成因可見，企業(yè)若不重視起來積極尋找解決之道，則很可能有傾覆之險。與此同時，隨著數(shù)字經(jīng)濟時代的到來，企業(yè)應當順應數(shù)字經(jīng)濟化的潮流，從不同方面加強自身數(shù)據(jù)合規(guī)建設，在合法合規(guī)的前提下充分利用數(shù)據(jù)，發(fā)揮數(shù)據(jù)的最大價值，做到以數(shù)據(jù)合規(guī)促進企業(yè)更好發(fā)展，才是現(xiàn)代企業(yè)的生存之道。