羅 翔

廣東乾敬律師事務(wù)所，廣東 廣州 510623

合規(guī)通常指代企業(yè)合規(guī)，即企業(yè)及內(nèi)部員工的經(jīng)營管理行為需要符合相關(guān)規(guī)章，不僅需要符合國際、國內(nèi)法律條文，也不可違背行業(yè)準(zhǔn)則、商業(yè)慣例等。倘若企業(yè)及人員存在不合規(guī)的行為，不但可能損害企業(yè)良好聲譽(yù)及形象，還可能造成需承擔(dān)法律處罰等嚴(yán)重后果，此類后果則是合規(guī)所要避免的風(fēng)險(xiǎn)。21 世紀(jì)屬于網(wǎng)絡(luò)時(shí)代，黨的十九屆四中全會(huì)提出在處于大數(shù)據(jù)及信息密集的時(shí)代，如何結(jié)合科技方式維護(hù)企業(yè)利益，保護(hù)國家數(shù)據(jù)安全，都是重要的時(shí)代課題，值得深思及探究[1]。當(dāng)前學(xué)術(shù)界相關(guān)研究多集中于公司法合規(guī)、行政法合規(guī)等方面，對(duì)于數(shù)據(jù)合規(guī)的研究較少，且不太深入。

一、數(shù)據(jù)合規(guī)及其意義概述

提及個(gè)人數(shù)據(jù)，可聯(lián)想個(gè)人信息、個(gè)人隱私等，大數(shù)據(jù)時(shí)代下數(shù)據(jù)治理問題重要性越發(fā)凸顯。清華大學(xué)法學(xué)院程嘯教授指出：“數(shù)據(jù)是信息的形式，信息是數(shù)據(jù)的內(nèi)容”?！稊?shù)據(jù)安全法》指出“數(shù)據(jù)指任何以電子或非電子形式對(duì)信息的記錄”。在各大企業(yè)中，數(shù)據(jù)包括個(gè)人、非個(gè)人兩層面，前者指代員工或是客戶的數(shù)據(jù)，后者則指代企業(yè)的經(jīng)營記錄、日常管理記錄、財(cái)會(huì)記錄等。當(dāng)前我國數(shù)據(jù)合規(guī)領(lǐng)域中所遵循的規(guī)定不斷增多，且分工更為細(xì)致，出臺(tái)了《電子商務(wù)法》《網(wǎng)絡(luò)安全法》等法律法規(guī)。一是維護(hù)數(shù)據(jù)安全，保護(hù)個(gè)人尊嚴(yán)[2]；二是該管理工作屬于各種信息密集行業(yè)的重點(diǎn)任務(wù)，是確保企業(yè)平穩(wěn)發(fā)展增加效益的基礎(chǔ)條件；三是個(gè)人數(shù)據(jù)和公共社會(huì)間密切聯(lián)系，通過科學(xué)利用數(shù)據(jù)能促進(jìn)社會(huì)進(jìn)步；其四，對(duì)于國家而言，個(gè)人數(shù)據(jù)安全其實(shí)也屬于國家安全的部分，通過數(shù)據(jù)合規(guī)旨在保障社會(huì)公共利益，保護(hù)法人權(quán)益，保護(hù)國家安全并促進(jìn)經(jīng)濟(jì)社會(huì)健康發(fā)展。

二、數(shù)據(jù)合規(guī)科技提出背景及概念

數(shù)據(jù)早已成為新型生產(chǎn)要素，且其重要性也得到全球范圍關(guān)注。無論是傳統(tǒng)企業(yè)進(jìn)行升級(jí)優(yōu)化，抑或是企業(yè)打造新發(fā)展態(tài)勢(shì)，都需要以“數(shù)據(jù)”為基本條件?！吨腥A人民共和國國民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035 年遠(yuǎn)景目標(biāo)綱要》提出“統(tǒng)籌數(shù)據(jù)開發(fā)利用”“推進(jìn)數(shù)據(jù)跨部門”，都突出了“數(shù)據(jù)驅(qū)動(dòng)生產(chǎn)”的主體內(nèi)涵。數(shù)據(jù)作為重要資源被各企業(yè)、公共部門深度開發(fā)研究，雖提升了數(shù)據(jù)的利用價(jià)值，但伴隨而來的風(fēng)險(xiǎn)卻不斷增多。諸如大規(guī)模的數(shù)據(jù)泄露事件頻頻出現(xiàn)，例如“美國營銷巨頭RRD 承認(rèn)在Conti 勒索軟件攻擊中數(shù)據(jù)被盜”“國際機(jī)場(chǎng)公司Swissport 遭受BlackCat 勒索攻擊，TB 級(jí)用戶數(shù)據(jù)泄露”“全球最大輪胎制造商之一普利司通遭數(shù)據(jù)泄露”“世界電子郵件營銷巨頭MailChimp 遭黑客攻擊”。諸多此類的事件在全球范圍不斷發(fā)生，而以云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)為代表的信息網(wǎng)絡(luò)日漸普及，數(shù)據(jù)安全問題開始受到更多關(guān)注[3]。我國開始推行諸如《電子商務(wù)法》《數(shù)據(jù)安全法》等法律法規(guī)，以滿足社會(huì)公眾的訴求。在激發(fā)數(shù)據(jù)潛能和保護(hù)隱私雙重需求下，“數(shù)據(jù)合規(guī)科技”應(yīng)運(yùn)而生，主要以隱私計(jì)算、軟件即服務(wù)（SaaS）工具為代表。隱私計(jì)算技術(shù)包括：一是多方安全計(jì)算。此技術(shù)能夠解決信息不對(duì)稱等問題；二是聯(lián)邦學(xué)習(xí)技術(shù)。無需交換私有數(shù)據(jù)能協(xié)同訓(xùn)練機(jī)器模型；三是可信執(zhí)行環(huán)境。該技術(shù)的價(jià)值主要是提供一個(gè)安全、可靠、封閉的存儲(chǔ)空間。而在SaaS 工具中，主要采取的技術(shù)則是低代碼、零代碼，不僅能夠有效降低軟件開發(fā)的門檻，還能實(shí)現(xiàn)其快速開發(fā)。數(shù)據(jù)合規(guī)科技的應(yīng)用前景廣闊，但也延伸出諸多問題，存在許多潛在風(fēng)險(xiǎn)。

三、數(shù)據(jù)合規(guī)科技常見風(fēng)險(xiǎn)問題及規(guī)制

數(shù)據(jù)合規(guī)科技源于歐美“通過設(shè)計(jì)保護(hù)隱私”理念。設(shè)計(jì)初時(shí)便融合“數(shù)據(jù)安全保護(hù)”相關(guān)技術(shù)，未雨綢繆，而并非發(fā)生問題后再采取法律處理措施[4]。但當(dāng)前數(shù)據(jù)合規(guī)科技面臨技術(shù)受限、復(fù)雜性高等不足，導(dǎo)致存在不同風(fēng)險(xiǎn)問題。

（一）方案構(gòu)建風(fēng)險(xiǎn)

方案構(gòu)建是數(shù)據(jù)合規(guī)的起點(diǎn)，通過處理抽象數(shù)據(jù)，將其轉(zhuǎn)變?yōu)橛?jì)算問題。處理時(shí)不僅不降低廣告跟蹤性能，而且要確保調(diào)取用戶數(shù)據(jù)的安全性、合規(guī)性，那么就需要采取多方計(jì)算后利用技術(shù)范式處理數(shù)據(jù)，實(shí)現(xiàn)重構(gòu)。主導(dǎo)方提出重新構(gòu)建方案后，其余人員確認(rèn)無誤后協(xié)調(diào)合作。在此過程中，首先，主導(dǎo)者的價(jià)值觀念、主觀偏見等都可能影響到方案構(gòu)建的決策，導(dǎo)致失誤；其次，由于添加了限制條件，導(dǎo)致編寫代碼和技術(shù)開發(fā)考慮因素多，不能完全保障轉(zhuǎn)譯后方案準(zhǔn)確性。上述情況，都是數(shù)據(jù)合規(guī)科技的方案構(gòu)建存在的風(fēng)險(xiǎn)。

（二）數(shù)據(jù)整合風(fēng)險(xiǎn)

數(shù)據(jù)合規(guī)科技中風(fēng)險(xiǎn)嵌入也是常見情況，數(shù)據(jù)合規(guī)科技雖然能拓寬原有的數(shù)據(jù)模型，但數(shù)據(jù)渠道本身也可能是風(fēng)險(xiǎn)的根源。數(shù)據(jù)整合出現(xiàn)風(fēng)險(xiǎn)的原因有三點(diǎn)：一是當(dāng)前許多數(shù)據(jù)的來源都是通過互聯(lián)網(wǎng)等渠道，其根源難以追溯，形式多樣化，因而判定其是否合規(guī)、合法有很大難度；二是如今正處于大數(shù)據(jù)共享背景，數(shù)據(jù)信息的傳遞變得復(fù)雜，涉及的細(xì)節(jié)較多，因此其使用邊界也更難明確。而如何通過簡單操作來調(diào)動(dòng)數(shù)據(jù)庫資源，減少數(shù)據(jù)轉(zhuǎn)換操作也是當(dāng)前的迫切需求[5]；三是若某一方出現(xiàn)數(shù)據(jù)風(fēng)險(xiǎn)問題，也可能導(dǎo)致“連帶風(fēng)險(xiǎn)”發(fā)生。當(dāng)前數(shù)據(jù)合規(guī)科技在相互滲透的行業(yè)間進(jìn)行，受成本限制各行業(yè)安全保護(hù)措施越發(fā)相似，暴露出一定的數(shù)據(jù)整合缺陷。

（三）技術(shù)適用風(fēng)險(xiǎn)

數(shù)據(jù)合規(guī)科技存在“白盒特性”，白盒即白盒測(cè)試（white-box testing），是種測(cè)試用例設(shè)計(jì)方法，它指盒子是可視化，能了解程序內(nèi)部的邏輯結(jié)構(gòu)，簡言之，是清楚盒子內(nèi)部如何運(yùn)作[6]。同理，數(shù)據(jù)合規(guī)科技存在此特性，因而參與此過程中的各方都能掌握到相關(guān)數(shù)據(jù)的參數(shù)，而惡意攻擊者甚至能利用該特性進(jìn)行偽裝，偷竊數(shù)據(jù)信息的運(yùn)算結(jié)果，抑或是生成惡意代碼。數(shù)據(jù)合規(guī)科技長期要面臨著單點(diǎn)故障、人為攻擊等隱患，關(guān)于此類隱患的危害可總結(jié)成三點(diǎn)：一是刻意上傳破壞模型；二是通過多種合法手段（如對(duì)比運(yùn)算結(jié)果差異、分析模型更新迭代等）來獲取信息；三是惡意攻擊。持有純粹惡意的攻擊方會(huì)借用對(duì)抗式網(wǎng)絡(luò)攻擊、物理推擊等方式來盜竊用戶數(shù)據(jù)信息。

（四）結(jié)果輸出風(fēng)險(xiǎn)

正如上文所述，數(shù)據(jù)合規(guī)管理的意義深遠(yuǎn)，不僅與個(gè)人隱私保護(hù)相關(guān)，還與社會(huì)發(fā)展國家機(jī)密保護(hù)等有所聯(lián)系。簡言之，個(gè)人信息不僅關(guān)乎某人的利益，和他人利益、整個(gè)社會(huì)的利益均有關(guān)，具備社會(huì)性、公共性的特征。所謂的“算法歧視”指人工智能自動(dòng)化決策中數(shù)據(jù)分析導(dǎo)致的不公正對(duì)待，此問題對(duì)于受害群體和社會(huì)都有不利影響。若存在數(shù)據(jù)運(yùn)算模型不精確、數(shù)據(jù)運(yùn)算存在瑕疵，抑或是用戶的隱私被泄露，都可能導(dǎo)致此問題從對(duì)個(gè)體的不良影響，升級(jí)到對(duì)整個(gè)群體的負(fù)面影響。在數(shù)據(jù)合規(guī)科技中不同數(shù)據(jù)來源若發(fā)生錯(cuò)誤搭配、混淆，很可能對(duì)整體數(shù)據(jù)正確性造成影響，放大了歧視規(guī)模并輸出了當(dāng)前的歧視結(jié)果。而如何減少“算法歧視”“歧視輸出結(jié)果”，也是當(dāng)前數(shù)據(jù)合規(guī)科技中需考慮的重點(diǎn)。

（五）應(yīng)用市場(chǎng)風(fēng)險(xiǎn)

數(shù)據(jù)合規(guī)科技下智能應(yīng)用將各受眾限制在分隔領(lǐng)域，彼此間缺乏溝通及協(xié)作，算法間形成“朝上競(jìng)爭(zhēng)”。隨著經(jīng)濟(jì)水平發(fā)展及技術(shù)黑箱的掩蔽之下，傳統(tǒng)的保守型智能應(yīng)用卻可能面臨“逆向淘汰”風(fēng)險(xiǎn)，取而代之的反而是對(duì)數(shù)據(jù)規(guī)整性要求不嚴(yán)格、通信成本不高的應(yīng)用，且算法競(jìng)爭(zhēng)也朝轉(zhuǎn)變成“逐底競(jìng)爭(zhēng)”。所謂“逆向淘汰”，也稱作是精英淘汰，以學(xué)術(shù)界、政治界為例，部分德才兼?zhèn)涞木⒈惶蕴?、被打壓。如何減少智能應(yīng)用“逆向淘汰”是數(shù)據(jù)合規(guī)科技規(guī)制面臨的難題。

四、針對(duì)數(shù)據(jù)合規(guī)科技常見風(fēng)險(xiǎn)的法理對(duì)策

以上所存在的不同維度風(fēng)險(xiǎn)，均促使相關(guān)技術(shù)人員采取有層次的規(guī)制措施，由于當(dāng)前的機(jī)制大多存在功能單一、內(nèi)容復(fù)雜等特點(diǎn)，很難針對(duì)性地對(duì)上述數(shù)據(jù)合規(guī)科技風(fēng)險(xiǎn)進(jìn)行回應(yīng)處理，需構(gòu)建出更系統(tǒng)化、法治化的規(guī)制體系。

（一）明確數(shù)據(jù)合規(guī)科技規(guī)制原理

傳統(tǒng)法律規(guī)制中，對(duì)于不同局限間的設(shè)置并非完全獨(dú)立，而數(shù)據(jù)合規(guī)科技又存在“去中心化”（decentralization）特征。在區(qū)塊鏈領(lǐng)域有關(guān)研究指出：去中心化網(wǎng)絡(luò)模型越發(fā)清晰，成為未來發(fā)展重要趨勢(shì)[7]?；诖藯l件，以往所采取的基于邊界概念的安全防護(hù)體系不再適用。若此時(shí)法律未能及時(shí)跟隨其發(fā)展腳步來創(chuàng)新，易形成難以控制的灰色空間。在法律規(guī)則的演進(jìn)下，能夠采取更合理高效的行動(dòng)，保護(hù)用戶隱私下追求數(shù)據(jù)潛能激發(fā)，形成良性互動(dòng)，讓技術(shù)規(guī)范嵌入法律政策中，確保將“技術(shù)標(biāo)準(zhǔn)的遵守”和“法律義務(wù)的履行”所融合。

（二）針對(duì)既有機(jī)制實(shí)施強(qiáng)化完善

關(guān)于數(shù)據(jù)合規(guī)科技所存在的風(fēng)險(xiǎn)，要適當(dāng)對(duì)現(xiàn)有的規(guī)制進(jìn)行延伸和完善，建議從以下幾方面切入：一是動(dòng)態(tài)知情同意框架。從實(shí)際情況來看，該框架的設(shè)置雖然存在許多不足，但仍然在數(shù)據(jù)合規(guī)科技全新業(yè)態(tài)中發(fā)揮出重要作用，應(yīng)根據(jù)其業(yè)務(wù)的更新實(shí)施調(diào)整。例如數(shù)據(jù)處理動(dòng)態(tài)化管理，或是分析數(shù)據(jù)的節(jié)點(diǎn)狀態(tài)等方面后采取針對(duì)性變動(dòng)；二是嚴(yán)格實(shí)施轉(zhuǎn)委托原則。結(jié)合《個(gè)人信息保護(hù)法》等法律法規(guī)可知，處理數(shù)據(jù)時(shí)必須要提前獲得數(shù)據(jù)主體的同意，而后再將其交由委托方處理，多方達(dá)成合意方可進(jìn)行。反之，解除委托關(guān)系后，委托方應(yīng)當(dāng)刪除相關(guān)數(shù)據(jù)信息；三是正當(dāng)程序的權(quán)利保障。自然人均享有正當(dāng)程序權(quán)利，例如針對(duì)不公平自動(dòng)化決策的數(shù)據(jù)主體，可實(shí)現(xiàn)公平聆訊。同時(shí)，數(shù)據(jù)流轉(zhuǎn)也要滿足個(gè)人信息轉(zhuǎn)移權(quán)。

（三）實(shí)現(xiàn)多元化機(jī)制的合理分工

一是要制定標(biāo)準(zhǔn)的宏觀行業(yè)規(guī)則。當(dāng)前正處于數(shù)字化技術(shù)大力發(fā)展階段，且逐步融合到不同領(lǐng)域中。諸如金融、醫(yī)療、保險(xiǎn)等行業(yè)，也都開始朝著數(shù)據(jù)處理的方向發(fā)展，統(tǒng)一行業(yè)標(biāo)準(zhǔn)后可進(jìn)行數(shù)據(jù)合規(guī)科技試點(diǎn)，實(shí)現(xiàn)以點(diǎn)帶面，逐步形成示范并推廣[8]；二是開發(fā)行為的微觀倫理規(guī)范。數(shù)據(jù)合規(guī)科技實(shí)施應(yīng)滿足“倫理先行”原則，不可在法律體系灰色地帶謀取利益。作為數(shù)據(jù)合規(guī)科技的主導(dǎo)方，還需凈化相關(guān)環(huán)境，優(yōu)化更新數(shù)據(jù)模型。

（四）衡量整體風(fēng)險(xiǎn)規(guī)制方案價(jià)值

除了上述的規(guī)制補(bǔ)充、多元化機(jī)制構(gòu)建外，數(shù)據(jù)合規(guī)科技規(guī)制體系穩(wěn)定，還取決于正確價(jià)值考量。從本質(zhì)上分析，數(shù)據(jù)合規(guī)科技是運(yùn)用技術(shù)后的利益與法益間的價(jià)值平衡。關(guān)于風(fēng)險(xiǎn)規(guī)制方案的價(jià)值評(píng)定，可從兩個(gè)方面分析，分別是“帕累托效率”“卡爾多—?？怂剐省?。由于個(gè)人數(shù)據(jù)具備人格權(quán)益屬性，遭受侵害后并不直接和個(gè)人的經(jīng)濟(jì)利益損失相關(guān)，且難以通過事后的補(bǔ)救來挽回，因此有關(guān)學(xué)者認(rèn)為可排除“卡爾多—?？怂剐省?，可將“帕累托效率”看作是評(píng)定數(shù)據(jù)合規(guī)科技風(fēng)險(xiǎn)規(guī)制方案的標(biāo)桿。無論具備怎樣的技術(shù)，獲取利益都不可凌駕于人格權(quán)益上。

（五）科學(xué)制定規(guī)制聯(lián)合管理方案

數(shù)據(jù)合規(guī)科技的規(guī)制，應(yīng)當(dāng)制定出更全面化、系統(tǒng)化的保障體系。結(jié)合上述內(nèi)容分析，以下總結(jié)出該體系的具體內(nèi)容：一是明確數(shù)據(jù)合規(guī)科技規(guī)制的內(nèi)容，包括了四方面，風(fēng)險(xiǎn)規(guī)制、對(duì)象規(guī)制、場(chǎng)景規(guī)制、價(jià)值規(guī)制；二是風(fēng)險(xiǎn)規(guī)制則是針對(duì)上述內(nèi)容，從方案構(gòu)建、數(shù)據(jù)整合、技術(shù)適用、結(jié)果輸出、應(yīng)用市場(chǎng)來分析；三是對(duì)象編制包括三大層面，分別是監(jiān)管層、行業(yè)層、個(gè)體層，分別采取對(duì)應(yīng)規(guī)制措施；四是關(guān)于場(chǎng)景規(guī)制包括：低強(qiáng)度（單次審核）、中強(qiáng)度（定期審核）、高強(qiáng)度（不定期審核）三種。低強(qiáng)度的場(chǎng)景有語音識(shí)別、內(nèi)容推送、路線規(guī)劃、信息過濾等；中強(qiáng)度規(guī)制場(chǎng)景有自動(dòng)駕駛、聯(lián)合統(tǒng)計(jì)、智慧金融、行為分析等；高強(qiáng)度規(guī)制場(chǎng)景有智慧醫(yī)療、風(fēng)險(xiǎn)防控；警務(wù)預(yù)測(cè)等等。

五、結(jié)語

當(dāng)前數(shù)據(jù)成為驅(qū)動(dòng)各國家經(jīng)濟(jì)社會(huì)發(fā)展關(guān)鍵要素，其具備的戰(zhàn)略價(jià)值越發(fā)明顯，但海量數(shù)據(jù)所帶來的安全隱患、威脅和挑戰(zhàn)也不斷增多。歐盟《通用數(shù)據(jù)保護(hù)條例》，我國的《數(shù)據(jù)安全法》等陸續(xù)出臺(tái)，也促使數(shù)據(jù)合規(guī)網(wǎng)絡(luò)逐步蔓延開來。此次研究指出，數(shù)據(jù)合規(guī)科技中常見的風(fēng)險(xiǎn)問題較多，涵蓋方案構(gòu)建、數(shù)據(jù)整合、技術(shù)適用等多個(gè)方面，針對(duì)上述風(fēng)險(xiǎn)問題可采取以下幾項(xiàng)應(yīng)對(duì)措施，分別是明確數(shù)據(jù)合規(guī)科技規(guī)制原理、針對(duì)既有機(jī)制實(shí)施強(qiáng)化完善、實(shí)現(xiàn)多元化機(jī)制的合理分工、衡量整體風(fēng)險(xiǎn)規(guī)制方案價(jià)值、科學(xué)制定規(guī)制聯(lián)合管理方案。