前 言

　　2020年4月10日，《中共中央國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》（簡(jiǎn)稱(chēng)《意見(jiàn)》）正式公布。這是中央首次把數(shù)據(jù)作為一種新型生產(chǎn)要素寫(xiě)入文件。美國(guó)近年更是通過(guò)加強(qiáng)數(shù)據(jù)控制的《云端法》配合“長(zhǎng)臂管轄”原則，將調(diào)取數(shù)據(jù)權(quán)限覆蓋至全球與美國(guó)相關(guān)企業(yè)，企圖藉此侵犯他國(guó)數(shù)據(jù)管轄權(quán)，最終形成全球數(shù)據(jù)霸權(quán)。國(guó)與國(guó)之間在數(shù)據(jù)領(lǐng)域的競(jìng)爭(zhēng)愈演愈烈。

　　數(shù)據(jù)作為新時(shí)代的石油，不僅僅對(duì)國(guó)家很重要，對(duì)每個(gè)企業(yè)來(lái)說(shuō)也是重要的資產(chǎn)，是企業(yè)未來(lái)的核心競(jìng)爭(zhēng)力。如何使數(shù)據(jù)資產(chǎn)最大化發(fā)揮其價(jià)值？關(guān)鍵就是數(shù)據(jù)治理。數(shù)據(jù)治理是數(shù)字化轉(zhuǎn)型的基礎(chǔ)和關(guān)鍵，沒(méi)有數(shù)據(jù)治理，數(shù)字化轉(zhuǎn)型就是空中樓閣，水中撈月。而數(shù)據(jù)合規(guī)則是數(shù)據(jù)治理的重中之重，兩者如影隨形，相輔相成，從某種意義上，數(shù)據(jù)治理的目的就是數(shù)據(jù)合規(guī)。本文擬從企業(yè)實(shí)務(wù)角度探討數(shù)據(jù)合規(guī)問(wèn)題，與大家共同交流。

　　1 中國(guó)企業(yè)數(shù)據(jù)合規(guī)現(xiàn)狀

　　以大數(shù)據(jù)、云計(jì)算、機(jī)器學(xué)習(xí)、人工智能數(shù)等為代表的的金融科技在業(yè)務(wù)實(shí)踐中得到大規(guī)模的運(yùn)用，數(shù)據(jù)資產(chǎn)的重要性更加凸顯，相應(yīng)地，數(shù)據(jù)合規(guī)的問(wèn)題也越來(lái)越突出。目前，我國(guó)數(shù)據(jù)保護(hù)力度不斷加強(qiáng)，新法規(guī)、新指南、新標(biāo)準(zhǔn)不斷出臺(tái)，相關(guān)職能部門(mén)也加大檢查力度。但企業(yè)的從理念還是到行動(dòng)對(duì)數(shù)據(jù)合規(guī)的認(rèn)識(shí)都不到位。

　　墨跡科技旗下墨跡天氣App是一款天氣類(lèi)App，擁有5.56億的累計(jì)裝機(jī)量。2018年1月23日，北京墨跡風(fēng)云科技股份有限公司向證監(jiān)會(huì)報(bào)送《創(chuàng)業(yè)板首次公開(kāi)發(fā)行股票招股說(shuō)明書(shū)》。遺憾的是，2019年10月11日，中國(guó)證券監(jiān)督管理委員會(huì)發(fā)布公告，北京墨跡風(fēng)云科技股份有限公司首發(fā)申請(qǐng)未予通過(guò)。在公告中發(fā)審委提出了四條問(wèn)題，其中重點(diǎn)針對(duì)墨跡風(fēng)云的數(shù)據(jù)治理提出了質(zhì)疑。

　　無(wú)獨(dú)有偶，曠視科技IPO的過(guò)程中，上海證券交易所就數(shù)據(jù)合規(guī)與科技倫理進(jìn)行了問(wèn)詢(xún)。交易所在IPO過(guò)程中對(duì)數(shù)據(jù)合規(guī)問(wèn)題進(jìn)行關(guān)切已經(jīng)成為“必答題”，所有與數(shù)據(jù)相關(guān)企業(yè)都要對(duì)自己如何收集、使用數(shù)據(jù)進(jìn)行說(shuō)明。

　　2021年5月9日晚間，銀保監(jiān)會(huì)一口氣發(fā)布九張行政處罰信息公開(kāi)表，涉及六大國(guó)有行和光大、中信八家銀行。因監(jiān)管標(biāo)準(zhǔn)化數(shù)據(jù)（EAST）系統(tǒng)數(shù)據(jù)質(zhì)量及報(bào)送存在違法違規(guī)行為，這八家銀行一共被罰款1770萬(wàn)元。

　　我國(guó)頒布了一系列涉及數(shù)據(jù)合規(guī)的法律規(guī)范。《民法典》《網(wǎng)絡(luò)安全法》《個(gè)人信息安全規(guī)范》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法（草案）》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》等均被列為合規(guī)依據(jù)，從中央到地方將對(duì)數(shù)據(jù)處理、數(shù)據(jù)活動(dòng)形成全范圍的規(guī)制與保護(hù)。

　　隨著各種規(guī)章制度越來(lái)越細(xì)化和深入，可以預(yù)見(jiàn)，凡是涉及到數(shù)據(jù)的問(wèn)題會(huì)越來(lái)越敏感，行業(yè)監(jiān)管對(duì)數(shù)據(jù)也只會(huì)越來(lái)越重視。從本質(zhì)上來(lái)說(shuō)，數(shù)據(jù)合規(guī)是企業(yè)的生存問(wèn)題，有其現(xiàn)實(shí)性和急迫性。

　　2 什么是數(shù)據(jù)合規(guī)

　　理解企業(yè)數(shù)據(jù)合規(guī)，首先要重新認(rèn)識(shí)企業(yè)數(shù)據(jù)合規(guī)里的“數(shù)據(jù)”。這里的數(shù)據(jù)，絕非僅僅狹義上的存放在數(shù)據(jù)庫(kù)里或電子表格里的數(shù)據(jù)，而是廣義上的企業(yè)在生產(chǎn)經(jīng)營(yíng)過(guò)程中涉及到的一切數(shù)據(jù)。從數(shù)據(jù)對(duì)象上，既有客戶的，也有企業(yè)員工的，還有第三方的；從數(shù)據(jù)形態(tài)上，既有靜態(tài)的，也有動(dòng)態(tài)的；從數(shù)據(jù)結(jié)構(gòu)上，既有結(jié)構(gòu)化的，也有非結(jié)構(gòu)化的；從數(shù)據(jù)內(nèi)容上，既有原始的，也有加工過(guò)的；從數(shù)據(jù)存儲(chǔ)上，既有落地的，也有流動(dòng)的。像客戶行為、應(yīng)用日志、視頻錄像、電話錄音等等都應(yīng)屬于數(shù)據(jù)合規(guī)關(guān)注的數(shù)據(jù)范疇。

　　涉及到企業(yè)數(shù)據(jù)合規(guī)，最近幾年社會(huì)上的熱點(diǎn)案例以及相關(guān)的規(guī)章制度，基本都集中在個(gè)人信息防護(hù)和數(shù)據(jù)安全的層面，因?yàn)檫@兩方面產(chǎn)生的爭(zhēng)議和糾紛最多，而從數(shù)字化轉(zhuǎn)型發(fā)展的長(zhǎng)遠(yuǎn)來(lái)看，數(shù)據(jù)合規(guī)遠(yuǎn)遠(yuǎn)不止個(gè)人信息防護(hù)和數(shù)據(jù)安全。數(shù)據(jù)合規(guī)具體涵蓋了哪些方面？如何前瞻性地識(shí)別數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)？我們覺(jué)得可以從監(jiān)管部門(mén)的規(guī)章制度上得以借鑒和思索。

　　作為證券基金行業(yè)信息技術(shù)管理基本大法的證監(jiān)會(huì)第152號(hào)文《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》，將數(shù)據(jù)治理作為一個(gè)大章節(jié)，濃筆重墨，其中“第二十九條：證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)結(jié)合公司發(fā)展戰(zhàn)略，建立全面、科學(xué)、有效的數(shù)據(jù)治理組織架構(gòu)以及數(shù)據(jù)全生命周期管理機(jī)制，確保數(shù)據(jù)統(tǒng)一管理、持續(xù)可控和安全存儲(chǔ)，切實(shí)履行數(shù)據(jù)安全及數(shù)據(jù)質(zhì)量管理職責(zé)，不斷提升數(shù)據(jù)使用價(jià)值。”，該條制度為我們指出了數(shù)據(jù)合規(guī)的根本原則和基本思路，根本原則就是“全生命周期管理”，基本思路涉及到了“數(shù)據(jù)戰(zhàn)略”、“數(shù)據(jù)存儲(chǔ)”、“數(shù)據(jù)安全”、“數(shù)據(jù)質(zhì)量”、“數(shù)據(jù)變現(xiàn)”等。

　　相對(duì)而言，152號(hào)文里關(guān)于數(shù)據(jù)的論述還缺乏體系化和結(jié)構(gòu)化，因?yàn)楫吘共皇菍?zhuān)門(mén)針對(duì)數(shù)據(jù)治理而制定的。我們覺(jué)得可以同時(shí)借鑒銀保監(jiān)會(huì)[2018]22號(hào)文《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》。該指引指出，數(shù)據(jù)管理是金融業(yè)由高速發(fā)展向高質(zhì)量發(fā)展轉(zhuǎn)變的關(guān)鍵，強(qiáng)調(diào)了數(shù)據(jù)管理的全覆蓋原則，包括數(shù)據(jù)戰(zhàn)略、數(shù)據(jù)管理制度、數(shù)據(jù)標(biāo)準(zhǔn)、信息系統(tǒng)、數(shù)據(jù)共享、數(shù)據(jù)安全、應(yīng)急預(yù)案、問(wèn)責(zé)機(jī)制和自我評(píng)估機(jī)制等。

　　結(jié)合以上兩個(gè)金融行業(yè)的重要制度，同時(shí)參考行業(yè)內(nèi)的實(shí)踐案例，并考慮到可操作性，我們認(rèn)為數(shù)據(jù)合規(guī)的內(nèi)涵至少包括以下幾大方面：數(shù)據(jù)戰(zhàn)略、數(shù)據(jù)文化、數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)分類(lèi)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)安全、數(shù)據(jù)變現(xiàn)、數(shù)據(jù)共享等。以上數(shù)據(jù)合規(guī)的幾大關(guān)注點(diǎn)，不僅涉及到管理問(wèn)題，還有較為專(zhuān)業(yè)的技術(shù)問(wèn)題。

　　3 企業(yè)數(shù)據(jù)合規(guī)體系

　　數(shù)據(jù)合規(guī)的目的不是限制數(shù)據(jù)資產(chǎn)的使用，而是引導(dǎo)數(shù)據(jù)資產(chǎn)合法合規(guī)地實(shí)現(xiàn)價(jià)值挖掘和變現(xiàn)，使數(shù)字化轉(zhuǎn)型落到實(shí)處。如何使數(shù)據(jù)資產(chǎn)價(jià)值實(shí)現(xiàn)和數(shù)據(jù)合規(guī)達(dá)到一種動(dòng)態(tài)的可持續(xù)性的平衡狀態(tài)？關(guān)鍵在于構(gòu)建相關(guān)的機(jī)制。首先需要明確的是，數(shù)據(jù)合規(guī)不是合規(guī)部門(mén)的合規(guī)，也更不是信息技術(shù)部門(mén)的合規(guī)，而是公司整體上下每個(gè)業(yè)務(wù)單元和每個(gè)員工的合規(guī)，助力數(shù)字轉(zhuǎn)型，需要公司從高層到基層，系統(tǒng)性結(jié)構(gòu)性全面性地由上而下來(lái)打造一套數(shù)據(jù)合規(guī)體系。

　　參照近幾年來(lái)部分企業(yè)在數(shù)據(jù)合規(guī)建設(shè)上的摸索實(shí)踐，同時(shí)結(jié)合最近幾年來(lái)相關(guān)監(jiān)管規(guī)章制度，我們認(rèn)為，數(shù)據(jù)合規(guī)體系應(yīng)至少包含以下內(nèi)容：

　?。ㄒ唬┟鞔_數(shù)據(jù)戰(zhàn)略，營(yíng)造數(shù)據(jù)文化

　　數(shù)據(jù)合規(guī)和數(shù)據(jù)治理是密不可分的，數(shù)據(jù)合規(guī)須貫穿整個(gè)數(shù)據(jù)治理的過(guò)程，須基于數(shù)據(jù)治理而開(kāi)展，而數(shù)據(jù)治理的有效推進(jìn)又離不開(kāi)數(shù)據(jù)合規(guī)，因此，數(shù)據(jù)合規(guī)和數(shù)據(jù)治理的戰(zhàn)略目的是一致的。為了達(dá)到這一目的，須從頂層設(shè)計(jì)層面明確數(shù)據(jù)戰(zhàn)略，從上而下將數(shù)據(jù)思維貫穿于所有業(yè)務(wù)、所有管理和所有規(guī)劃，人人講數(shù)據(jù)，人人講合規(guī)，從下而上推動(dòng)合規(guī)數(shù)據(jù)文化的培養(yǎng)，助力數(shù)字化轉(zhuǎn)型落到實(shí)處。數(shù)據(jù)戰(zhàn)略的制定須和公司戰(zhàn)略、公司企業(yè)文化、公司業(yè)務(wù)特點(diǎn)和公司當(dāng)前所處發(fā)展階段而結(jié)合，因地制宜，高屋建瓴，從宏觀層面來(lái)統(tǒng)一建設(shè)指導(dǎo)思路，劃分發(fā)展階段任務(wù)，完善配套制度和細(xì)則，搭建組織框架，科學(xué)細(xì)分任務(wù)，明確權(quán)責(zé)。

　?。ǘ?shù)據(jù)資產(chǎn)的梳理和管理

　　數(shù)據(jù)資產(chǎn)的管理是一項(xiàng)系統(tǒng)性的工程，是隨著數(shù)據(jù)規(guī)模不斷擴(kuò)大、數(shù)據(jù)價(jià)值縱深挖掘過(guò)程中自然而然產(chǎn)生的一個(gè)現(xiàn)實(shí)性管理問(wèn)題。對(duì)現(xiàn)有數(shù)據(jù)資產(chǎn)的梳理，是數(shù)據(jù)管理工作的起點(diǎn)，更是數(shù)據(jù)合規(guī)工作的起點(diǎn)。各個(gè)機(jī)構(gòu)單元掌握哪些數(shù)據(jù)資產(chǎn)，哪些是敏感數(shù)據(jù)，哪些是需要公開(kāi)的數(shù)據(jù)，這些數(shù)據(jù)的外部訪問(wèn)、權(quán)限、管理責(zé)任、變更情況、使用情況、存儲(chǔ)狀況等，以及是否標(biāo)準(zhǔn)化、來(lái)源和用途是否清晰、是否真實(shí)、數(shù)據(jù)之間的關(guān)系等等， 都需一一梳理和評(píng)估，并最終形成數(shù)據(jù)資產(chǎn)清單，由各級(jí)數(shù)據(jù)管理員統(tǒng)一匯報(bào)給公司數(shù)據(jù)治理小組，為公司的數(shù)據(jù)戰(zhàn)略或數(shù)據(jù)治理提供決策依據(jù)，同時(shí)，也是為數(shù)據(jù)合規(guī)工作開(kāi)展做好基礎(chǔ)性的鋪墊。日常的數(shù)據(jù)資產(chǎn)管理工作和數(shù)據(jù)治理密不可分，在數(shù)據(jù)的全生命周期管理中，從數(shù)據(jù)的生產(chǎn)到使用，直至銷(xiāo)毀，數(shù)據(jù)合規(guī)工作都需要貫穿始終，每一個(gè)環(huán)節(jié)都應(yīng)當(dāng)有效留痕和切實(shí)管控，從技術(shù)上和管理上進(jìn)行審慎評(píng)估，并以制度的形式明確下來(lái)，使數(shù)據(jù)合規(guī)真正成為促進(jìn)數(shù)據(jù)治理有效開(kāi)展的強(qiáng)有力抓手。

　?。ㄈ?shù)據(jù)分類(lèi)分級(jí)

　　對(duì)數(shù)據(jù)的分類(lèi)分級(jí)，一方面是數(shù)據(jù)精細(xì)化管理的關(guān)鍵，另一方面也是數(shù)據(jù)合規(guī)工作以及其他相關(guān)數(shù)據(jù)工作的基礎(chǔ)，因此此處單獨(dú)拿出來(lái)作為數(shù)據(jù)合規(guī)體系的一部分。2018年9月，證監(jiān)會(huì)發(fā)布《證券期貨業(yè)數(shù)據(jù)分類(lèi)分級(jí)指引》，為證券期貨行業(yè)的數(shù)據(jù)工作樹(shù)立了行業(yè)標(biāo)準(zhǔn)，提供了切實(shí)可行的落地思路。該指引將數(shù)據(jù)的分類(lèi)分級(jí)劃分為三個(gè)階段，即業(yè)務(wù)細(xì)分、數(shù)據(jù)歸類(lèi)、級(jí)別判定，對(duì)每一個(gè)階段的實(shí)施進(jìn)行了詳細(xì)闡述，并且還給出了證券期貨行業(yè)典型數(shù)據(jù)分類(lèi)分級(jí)的模板。該指引充分體現(xiàn)了監(jiān)管對(duì)數(shù)據(jù)管理的重視，以及在數(shù)據(jù)風(fēng)險(xiǎn)防控上的高瞻遠(yuǎn)矚。

　?。ㄋ模?shù)據(jù)技術(shù)保障

　　根據(jù)數(shù)據(jù)技術(shù)涉及的數(shù)據(jù)對(duì)象來(lái)劃分，大致可以分為微觀和宏觀兩部分。微觀層面，數(shù)據(jù)相關(guān)技術(shù)有數(shù)據(jù)脫敏、敏感數(shù)據(jù)掃描、數(shù)據(jù)加密、數(shù)據(jù)匿名、數(shù)據(jù)接口標(biāo)準(zhǔn)規(guī)范，以及和數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)恢復(fù)相關(guān)的各種數(shù)據(jù)技術(shù)；從宏觀層面，數(shù)據(jù)管理過(guò)程中應(yīng)根據(jù)業(yè)務(wù)需要建立相應(yīng)的數(shù)據(jù)倉(cāng)庫(kù)、數(shù)據(jù)集市，乃至數(shù)據(jù)中臺(tái)，實(shí)現(xiàn)數(shù)據(jù)賦能，使數(shù)據(jù)索取更加智能化，并且使開(kāi)發(fā)工作涉及到數(shù)據(jù)的部分更加標(biāo)準(zhǔn)化、規(guī)范化、流程化，讓更多精力集中于業(yè)務(wù)邏輯層面。

　?。ㄎ澹?shù)據(jù)應(yīng)急管理

　　數(shù)據(jù)災(zāi)難在很多時(shí)候?qū)ζ髽I(yè)的運(yùn)作是致命性的，尤其相關(guān)技術(shù)如大數(shù)據(jù)、云計(jì)算、機(jī)器學(xué)習(xí)等得到大規(guī)模使用。若發(fā)生數(shù)據(jù)泄露、數(shù)據(jù)異常、數(shù)據(jù)損壞等數(shù)據(jù)事件時(shí)，企業(yè)是否能快速應(yīng)對(duì)？建立一套數(shù)據(jù)應(yīng)急管理機(jī)制迫在眉睫。從更深層次來(lái)說(shuō)，數(shù)據(jù)應(yīng)急管理的目的不是為了應(yīng)急，而是為了防患于未然，避免未來(lái)數(shù)據(jù)事件的惡性發(fā)展趨勢(shì)。建立數(shù)據(jù)應(yīng)急管理機(jī)制，一方面要從組織架構(gòu)上予以保障，梳理相應(yīng)的應(yīng)急處置流程，明確獎(jiǎng)懲機(jī)制，除數(shù)據(jù)治理小組、各級(jí)數(shù)據(jù)聯(lián)絡(luò)員參與外，很多時(shí)候，法務(wù)人員也需提前介入進(jìn)行法律風(fēng)險(xiǎn)評(píng)估；另一方面，應(yīng)提前建立相應(yīng)的數(shù)據(jù)風(fēng)險(xiǎn)識(shí)別、監(jiān)測(cè)和評(píng)估機(jī)制，動(dòng)態(tài)完善相關(guān)數(shù)據(jù)風(fēng)險(xiǎn)預(yù)案，并進(jìn)行定期演練，以檢驗(yàn)管理有效性。

　　4 企業(yè)數(shù)據(jù)合規(guī)實(shí)踐關(guān)注要點(diǎn)

　　（一）個(gè)人信息保護(hù)

　　個(gè)人信息被濫用已經(jīng)成為當(dāng)前社會(huì)治理上的痼疾，相信大家都有類(lèi)似經(jīng)歷：無(wú)論在線下還是線上，注冊(cè)會(huì)員、開(kāi)通賬戶或辦理其他業(yè)務(wù)時(shí)，一旦留下了手機(jī)號(hào)等個(gè)人信息，接下來(lái)就會(huì)有保險(xiǎn)、炒股、理財(cái)?shù)入娦旁p騙紛至沓來(lái)的騷擾；個(gè)人在瀏覽器里的搜索信息或購(gòu)物軟件里的商品瀏覽記錄，有時(shí)候突然出現(xiàn)在手機(jī)里其他應(yīng)用軟件的“精準(zhǔn)推送”信息中；更有甚者，有時(shí)候個(gè)人照片、身份證號(hào)、賬戶等私密信息都莫名其妙被發(fā)布到網(wǎng)絡(luò)上。大家都不同程度地受到個(gè)人信息泄露帶來(lái)的困擾，尤其當(dāng)垃圾短信、機(jī)器人電話等像狗皮膏藥一樣對(duì)我們進(jìn)行狂轟濫炸時(shí)，真是讓人苦不堪言。最近發(fā)生的一個(gè)大學(xué)教授維權(quán)案例值得關(guān)注，當(dāng)小區(qū)以門(mén)禁改造名義收集人臉識(shí)別信息時(shí)，他選擇了拒絕和維權(quán)，他認(rèn)為小區(qū)物業(yè)管控沒(méi)有必要收集人臉信息，另外人臉信息具備永久性，被泄露的后果更嚴(yán)重，經(jīng)過(guò)一番“抗?fàn)帯焙?，最后小區(qū)物業(yè)保留了刷卡進(jìn)小區(qū)的方式，而不是將人臉識(shí)別作為進(jìn)出小區(qū)的唯一途徑。由此案例可看出，個(gè)人信息保護(hù)非常重要，需要大家在日常生活中加以關(guān)注，共同推動(dòng)社會(huì)對(duì)個(gè)人信息的保護(hù)。

　　目前，國(guó)內(nèi)關(guān)于個(gè)人信息保護(hù)的基本法《個(gè)人信息保護(hù)法》已在進(jìn)行三審，將為個(gè)人信息的使用和保護(hù)提供強(qiáng)有力的法律保障。除此之外，行業(yè)內(nèi)還是有其他關(guān)于個(gè)人信息保護(hù)的規(guī)章制度，現(xiàn)列舉部分供參考。

　　2019年12月，國(guó)家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局聯(lián)合印發(fā)《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》，該方法中明確了“未公開(kāi)收集使用規(guī)則”、“未明示收集使用個(gè)人信息的目的、方式和范圍”“未經(jīng)用戶同意收集使用個(gè)人信息”等違規(guī)行為的認(rèn)定方法，為App運(yùn)營(yíng)者自查自糾和網(wǎng)民社會(huì)監(jiān)督提供了可循之徑，同時(shí)，該辦法也為2019年8月由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處起草的《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用（App）收集個(gè)人信息基本規(guī)范（草案）》提供了配套補(bǔ)充。2019年4月由公安部網(wǎng)絡(luò)安全保衛(wèi)局、北京網(wǎng)絡(luò)行業(yè)協(xié)會(huì)、公安部第三研究所聯(lián)合發(fā)布《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》，為互聯(lián)網(wǎng)環(huán)境下的個(gè)人信息保護(hù)提供了參考借鑒。2017年12月由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《信息安全技術(shù)個(gè)人信息安全規(guī)范》從信息技術(shù)建設(shè)層面，對(duì)提升個(gè)人信息保護(hù)作了相關(guān)要求，該規(guī)范于2018年5月正式實(shí)施，2020年再次修訂。

　　企業(yè)在業(yè)務(wù)開(kāi)展和管理過(guò)程中，凡是涉及到客戶個(gè)人信息的獲取和處理，都需要慎之又慎，須對(duì)整個(gè)信息流的全生命周期進(jìn)行通盤(pán)考慮和全面分析，一方面厘清信息流使個(gè)人信息的處理符合外部法規(guī)，另一方面通過(guò)完善業(yè)務(wù)流程和相關(guān)授權(quán)機(jī)制為客戶提供可信賴(lài)的服務(wù)。在涉及個(gè)人信息的處理方面，國(guó)內(nèi)大型互聯(lián)網(wǎng)企業(yè)極度重視，無(wú)論是制度建設(shè)、業(yè)務(wù)梳理，還是技術(shù)保障、法務(wù)支持，均走在行業(yè)的前列，值得其他企業(yè)參考借鑒。

　?。ǘ?shù)據(jù)安全

　　數(shù)據(jù)安全問(wèn)題一直以來(lái)受到的關(guān)注度很高，業(yè)界有相對(duì)來(lái)說(shuō)較為成熟的咨詢(xún)服務(wù)和技術(shù)解決方案。數(shù)據(jù)安全的基礎(chǔ)是建立在對(duì)數(shù)據(jù)資產(chǎn)的梳理之上，關(guān)注點(diǎn)無(wú)外乎身份認(rèn)證、訪問(wèn)權(quán)限、數(shù)據(jù)防泄漏、數(shù)據(jù)防篡改、安全審計(jì)等。數(shù)據(jù)安全應(yīng)該覆蓋數(shù)據(jù)的全生命周期以及與數(shù)據(jù)相關(guān)的所有重要應(yīng)用場(chǎng)景。然而，很多數(shù)據(jù)安全解決方案中對(duì)數(shù)據(jù)的保護(hù)，往往都是建立在犧牲效率的基礎(chǔ)上。如何平衡安全與效率，使數(shù)據(jù)安全策略符合業(yè)務(wù)實(shí)際和公司未來(lái)發(fā)展方向，值得認(rèn)真思考。

　　數(shù)據(jù)安全的合規(guī)性問(wèn)題，可以從實(shí)現(xiàn)數(shù)據(jù)安全的技術(shù)手段和管理手段兩個(gè)方面進(jìn)行關(guān)注。在技術(shù)手段上，從系統(tǒng)層面，有桌面終端安全防護(hù)、桌面數(shù)據(jù)防泄漏、虛擬桌面、堡壘機(jī)等解決方案，對(duì)數(shù)據(jù)的流轉(zhuǎn)進(jìn)行全程審計(jì)或監(jiān)控；從實(shí)現(xiàn)的具體技術(shù)細(xì)節(jié)上，有數(shù)據(jù)脫敏處理、數(shù)據(jù)加密、水印溯源、電子簽名、數(shù)據(jù)掃描等，對(duì)數(shù)據(jù)的安全進(jìn)行細(xì)顆粒度保障。好的技術(shù)手段需要好的管理予以保障，才能事半功倍，在管理手段上，基于數(shù)據(jù)合規(guī)體系的構(gòu)建，從頂層建筑層面打造數(shù)據(jù)合規(guī)文化，強(qiáng)調(diào)數(shù)據(jù)安全，從具體的制度建設(shè)上，將數(shù)據(jù)安全和數(shù)據(jù)治理緊密結(jié)合，使數(shù)據(jù)安全建設(shè)思路深深嵌入到系統(tǒng)建設(shè)、系統(tǒng)優(yōu)化、業(yè)務(wù)開(kāi)展等各個(gè)環(huán)節(jié)。

　　在國(guó)內(nèi)制度立法上，數(shù)據(jù)安全的基本法《數(shù)據(jù)安全法》已經(jīng)在今年6月發(fā)布，將在今年9月1日生效。該法涵蓋了數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護(hù)義務(wù)、政務(wù)數(shù)據(jù)安全與開(kāi)放、法律責(zé)任等內(nèi)容，體現(xiàn)了政府對(duì)數(shù)字經(jīng)濟(jì)的重視和建設(shè)數(shù)字中國(guó)的決心，為各行各業(yè)開(kāi)展數(shù)據(jù)安全相關(guān)工作提供了指引，更是數(shù)據(jù)合規(guī)工作開(kāi)展的重要制度依據(jù)。

　?。ㄈ?shù)據(jù)非法變現(xiàn)

　　數(shù)據(jù)非法變現(xiàn)的焦點(diǎn)問(wèn)題在于過(guò)度挖掘和濫用數(shù)據(jù)。數(shù)據(jù)本身是無(wú)罪的，關(guān)鍵在于使用的人。

　　舉個(gè)例子，可以讓大家更直觀地看到數(shù)據(jù)非法變現(xiàn)帶來(lái)的惡果。在美劇《西部世界》中，時(shí)間設(shè)定為未來(lái)，人工智能和大數(shù)據(jù)分析的使用達(dá)到了登峰造極的地步，作為集大成者的代表大數(shù)據(jù)分析系統(tǒng)“羅波安”，基于充足的基礎(chǔ)數(shù)據(jù)和數(shù)學(xué)模型，將個(gè)體的未來(lái)計(jì)算出來(lái)，它可以看到所有人的過(guò)去和未來(lái)，每個(gè)人都事實(shí)上被它“鎖”定。因此，個(gè)體未來(lái)每一個(gè)選擇都是必然的，個(gè)體是可以被設(shè)計(jì)的，自由意志只是虛幻。如果一旦發(fā)現(xiàn)有人的行為數(shù)據(jù)偏離預(yù)先設(shè)定，“羅波安”的人類(lèi)設(shè)計(jì)者塞拉克就會(huì)不惜代價(jià)去試圖修正，甚至直接消滅這個(gè)“突變體”，從而保證“羅波安”數(shù)據(jù)模型的準(zhǔn)確性。未來(lái)如果任由數(shù)據(jù)濫用，是極其恐怖的，數(shù)據(jù)的使用確實(shí)有其兩面性，是把雙刃劍。

　　其他類(lèi)似數(shù)據(jù)濫用的例子還有大數(shù)據(jù)殺熟、個(gè)人肖像特征非法獲取和濫用、爬取公開(kāi)信息作為商業(yè)用途、使用木馬程序非法獲取數(shù)據(jù)并販賣(mài)、非法囤積數(shù)據(jù)等等。關(guān)于個(gè)人信息數(shù)據(jù)的濫用，相關(guān)規(guī)章制度已經(jīng)重點(diǎn)考慮，至少?gòu)闹贫葘用娑伦×艘徊糠致┒?。隨著社會(huì)大眾的數(shù)據(jù)權(quán)益保護(hù)意識(shí)越來(lái)越強(qiáng)，在企業(yè)開(kāi)展業(yè)務(wù)過(guò)程中，即使數(shù)據(jù)獲取之后沒(méi)有實(shí)質(zhì)性的變現(xiàn)，也可能面臨相應(yīng)的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)，因?yàn)楹茈y擺脫變現(xiàn)的嫌疑。因此，數(shù)據(jù)管理者需要對(duì)數(shù)據(jù)的全生命周期進(jìn)行系統(tǒng)性考慮，力爭(zhēng)使管理的每一條數(shù)據(jù)都是明明白白、干干凈凈。

　?。ㄋ模?shù)據(jù)交換

　　數(shù)據(jù)交換包括數(shù)據(jù)輸出、數(shù)據(jù)接入、數(shù)據(jù)共享、數(shù)據(jù)引用、數(shù)據(jù)落地等，主要關(guān)注數(shù)據(jù)的流動(dòng)性問(wèn)題，是數(shù)據(jù)治理的重要內(nèi)容。隨著各種云概念的泛濫，如云接口、云文件、云空間、云搜索、云瀏覽、云社區(qū)、云應(yīng)用、云殺毒、云電視、云直播等等，讓人眼花繚亂，相應(yīng)地，數(shù)據(jù)也隨著云技術(shù)學(xué)會(huì)了騰云駕霧，在目前系統(tǒng)建設(shè)趨于大集中大統(tǒng)一大交換的背景下，數(shù)據(jù)交換更加高速和頻繁，數(shù)據(jù)合規(guī)問(wèn)題更需要引起重視。

　　數(shù)據(jù)交換方面的合規(guī)性問(wèn)題主要有外部數(shù)據(jù)的合規(guī)使用、共享數(shù)據(jù)的權(quán)益防護(hù)、第三方系統(tǒng)接入、用戶生成內(nèi)容的保護(hù)、敏感數(shù)據(jù)落地管理等。目前較為常見(jiàn)的數(shù)據(jù)交換合規(guī)案例有：外部系統(tǒng)、外部接口或外部數(shù)據(jù)流接入到本地系統(tǒng)時(shí)，需要審慎評(píng)估是屬于三方非法接入還是合法合規(guī)的系統(tǒng)集成；企業(yè)公眾號(hào)使用未經(jīng)授權(quán)的圖片，會(huì)存在被版權(quán)擁有者索賠的風(fēng)險(xiǎn)，本質(zhì)上也是非結(jié)構(gòu)化數(shù)據(jù)的合規(guī)問(wèn)題。以上數(shù)據(jù)交換案例，不僅是數(shù)據(jù)合規(guī)的問(wèn)題，往往還涉及到法務(wù)、信息技術(shù)等，需要多方介入共同論證和評(píng)估，才能給出合理的解決方案。

　?。ㄎ澹?shù)據(jù)存儲(chǔ)

　　數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)的分類(lèi)分級(jí)密切相關(guān)，不同的數(shù)據(jù)級(jí)別會(huì)對(duì)應(yīng)不同的存儲(chǔ)策略，包括存儲(chǔ)內(nèi)容、存儲(chǔ)方式、存儲(chǔ)頻率、存儲(chǔ)介質(zhì)、存儲(chǔ)期限等。例如，對(duì)于一級(jí)核心系統(tǒng)，相應(yīng)的數(shù)據(jù)存儲(chǔ)級(jí)別就是最高等級(jí)，需要考慮底層數(shù)據(jù)庫(kù)數(shù)據(jù)和數(shù)據(jù)日志的實(shí)時(shí)存儲(chǔ)復(fù)制、同城和異地容災(zāi)備份、數(shù)據(jù)的多節(jié)點(diǎn)分布式存儲(chǔ)等，以及因?yàn)閿?shù)據(jù)多活、應(yīng)用多活帶來(lái)的其他相關(guān)數(shù)據(jù)存儲(chǔ)問(wèn)題等。同時(shí)，數(shù)據(jù)的存儲(chǔ)絕非是一個(gè)靜態(tài)的概念，必然是一個(gè)動(dòng)態(tài)的概念。如果數(shù)據(jù)靜置不動(dòng)，不代表數(shù)據(jù)存儲(chǔ)合規(guī)無(wú)問(wèn)題，因?yàn)閿?shù)據(jù)存儲(chǔ)的目的就是為了使用，所以數(shù)據(jù)存儲(chǔ)策略需要首先滿足業(yè)務(wù)連續(xù)性的要求，定期進(jìn)行業(yè)務(wù)連續(xù)性演練，達(dá)到恢復(fù)時(shí)間目標(biāo)（RTO）和恢復(fù)點(diǎn)目標(biāo)（RPO）。數(shù)據(jù)存儲(chǔ)也并非是一個(gè)純粹的IT問(wèn)題，和業(yè)務(wù)需求緊密相連，業(yè)務(wù)數(shù)據(jù)存儲(chǔ)必須滿足監(jiān)管的最低時(shí)限要求。

　　（六）數(shù)據(jù)出境

　　近年來(lái)，國(guó)內(nèi)企業(yè)走出去做大做強(qiáng)已成為一個(gè)潮流，然而因?yàn)閲?guó)內(nèi)企業(yè)往往不太關(guān)注數(shù)據(jù)安全問(wèn)題，同時(shí)不熟悉所在國(guó)家相關(guān)法律，數(shù)據(jù)合規(guī)問(wèn)題往往成為風(fēng)險(xiǎn)敞口，最終影響到了企業(yè)在國(guó)外的發(fā)展，并且很容易給國(guó)外帶來(lái)先入為主的印象，為后續(xù)其他國(guó)內(nèi)企業(yè)的市場(chǎng)進(jìn)入帶來(lái)不良影響。

　　涉及到數(shù)據(jù)方面的法律法規(guī)，具有代表性的是歐盟的《一般數(shù)據(jù)保護(hù)條例》（GDPR）和美國(guó)的《加利福尼亞州消費(fèi)者隱私保護(hù)法案》（CCPA），兩部法律的目的都是旨在規(guī)范數(shù)據(jù)的合法合規(guī)使用，明確數(shù)據(jù)主體的權(quán)益，防止數(shù)據(jù)濫用，促進(jìn)數(shù)據(jù)安全。兩部法律對(duì)個(gè)人信息保護(hù)格外重視，概念界定都較為寬泛，主要的不同就在于立場(chǎng)的不同：GDPR是基于監(jiān)管者的立場(chǎng)，以個(gè)人隱私數(shù)據(jù)為出發(fā)點(diǎn)，強(qiáng)調(diào)數(shù)據(jù)保護(hù)的主動(dòng)性；CCPA偏向于消費(fèi)者的立場(chǎng)，整體傾向數(shù)據(jù)的合規(guī)使用和合理價(jià)值實(shí)現(xiàn)。引用網(wǎng)上比較流行的觀點(diǎn)，在個(gè)人數(shù)據(jù)保護(hù)層面，GDPR是“原則上禁止，有合法授權(quán)時(shí)允許”，CCPA則是“原則上允許，有條件禁止”。

　?。Y(jié) 語(yǔ)｜

　　總而言之，數(shù)字化轉(zhuǎn)型的大背景下，要求每個(gè)人不僅要有數(shù)據(jù)思維，更要有數(shù)據(jù)合規(guī)思維。同樣，數(shù)據(jù)合規(guī)管理也需要與時(shí)俱進(jìn)，開(kāi)拓創(chuàng)新，為數(shù)字化的成功落地保駕護(hù)航。數(shù)字轉(zhuǎn)型，合規(guī)先行；合規(guī)護(hù)航，行穩(wěn)致遠(yuǎn)。