前 言

　　2020年4月10日，《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》（简称《意见》）正式公布。这是中央首次把数据作为一种新型生产要素写入文件。美国近年更是通过加强数据控制的《云端法》配合“长臂管辖”原则，将调取数据权限覆盖至全球与美国相关企业，企图藉此侵犯他国数据管辖权，最终形成全球数据霸权。国与国之间在数据领域的竞争愈演愈烈。

　　数据作为新时代的石油，不仅仅对国家很重要，对每个企业来说也是重要的资产，是企业未来的核心竞争力。如何使数据资产最大化发挥其价值？关键就是数据治理。数据治理是数字化转型的基础和关键，没有数据治理，数字化转型就是空中楼阁，水中捞月。而数据合规则是数据治理的重中之重，两者如影随形，相辅相成，从某种意义上，数据治理的目的就是数据合规。本文拟从企业实务角度探讨数据合规问题，与大家共同交流。

　　1 中国企业数据合规现状

　　以大数据、云计算、机器学习、人工智能数等为代表的的金融科技在业务实践中得到大规模的运用，数据资产的重要性更加凸显，相应地，数据合规的问题也越来越突出。目前，我国数据保护力度不断加强，新法规、新指南、新标准不断出台，相关职能部门也加大检查力度。但企业的从理念还是到行动对数据合规的认识都不到位。

　　墨迹科技旗下墨迹天气App是一款天气类App，拥有5.56亿的累计装机量。2018年1月23日，北京墨迹风云科技股份有限公司向证监会报送《创业板首次公开发行股票招股说明书》。遗憾的是，2019年10月11日，中国证券监督管理委员会发布公告，北京墨迹风云科技股份有限公司首发申请未予通过。在公告中发审委提出了四条问题，其中重点针对墨迹风云的数据治理提出了质疑。

　　无独有偶，旷视科技IPO的过程中，上海证券交易所就数据合规与科技伦理进行了问询。交易所在IPO过程中对数据合规问题进行关切已经成为“必答题”，所有与数据相关企业都要对自己如何收集、使用数据进行说明。

　　2021年5月9日晚间，银保监会一口气发布九张行政处罚信息公开表，涉及六大国有行和光大、中信八家银行。因监管标准化数据（EAST）系统数据质量及报送存在违法违规行为，这八家银行一共被罚款1770万元。

　　我国颁布了一系列涉及数据合规的法律规范。《民法典》《网络安全法》《个人信息安全规范》《数据安全法》《个人信息保护法（草案）》《关键信息基础设施安全保护条例》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等均被列为合规依据，从中央到地方将对数据处理、数据活动形成全范围的规制与保护。

　　随着各种规章制度越来越细化和深入，可以预见，凡是涉及到数据的问题会越来越敏感，行业监管对数据也只会越来越重视。从本质上来说，数据合规是企业的生存问题，有其现实性和急迫性。

　　2 什么是数据合规

　　理解企业数据合规，首先要重新认识企业数据合规里的“数据”。这里的数据，绝非仅仅狭义上的存放在数据库里或电子表格里的数据，而是广义上的企业在生产经营过程中涉及到的一切数据。从数据对象上，既有客户的，也有企业员工的，还有第三方的；从数据形态上，既有静态的，也有动态的；从数据结构上，既有结构化的，也有非结构化的；从数据内容上，既有原始的，也有加工过的；从数据存储上，既有落地的，也有流动的。像客户行为、应用日志、视频录像、电话录音等等都应属于数据合规关注的数据范畴。

　　涉及到企业数据合规，最近几年社会上的热点案例以及相关的规章制度，基本都集中在个人信息防护和数据安全的层面，因为这两方面产生的争议和纠纷最多，而从数字化转型发展的长远来看，数据合规远远不止个人信息防护和数据安全。数据合规具体涵盖了哪些方面？如何前瞻性地识别数据合规风险？我们觉得可以从监管部门的规章制度上得以借鉴和思索。

　　作为证券基金行业信息技术管理基本大法的证监会第152号文《证券基金经营机构信息技术管理办法》，将数据治理作为一个大章节，浓笔重墨，其中“第二十九条：证券基金经营机构应当结合公司发展战略，建立全面、科学、有效的数据治理组织架构以及数据全生命周期管理机制，确保数据统一管理、持续可控和安全存储，切实履行数据安全及数据质量管理职责，不断提升数据使用价值。”，该条制度为我们指出了数据合规的根本原则和基本思路，根本原则就是“全生命周期管理”，基本思路涉及到了“数据战略”、“数据存储”、“数据安全”、“数据质量”、“数据变现”等。

　　相对而言，152号文里关于数据的论述还缺乏体系化和结构化，因为毕竟不是专门针对数据治理而制定的。我们觉得可以同时借鉴银保监会[2018]22号文《银行业金融机构数据治理指引》。该指引指出，数据管理是金融业由高速发展向高质量发展转变的关键，强调了数据管理的全覆盖原则，包括数据战略、数据管理制度、数据标准、信息系统、数据共享、数据安全、应急预案、问责机制和自我评估机制等。

　　结合以上两个金融行业的重要制度，同时参考行业内的实践案例，并考虑到可操作性，我们认为数据合规的内涵至少包括以下几大方面：数据战略、数据文化、数据标准、数据分类、数据质量、数据存储、数据安全、数据变现、数据共享等。以上数据合规的几大关注点，不仅涉及到管理问题，还有较为专业的技术问题。

　　3 企业数据合规体系

　　数据合规的目的不是限制数据资产的使用，而是引导数据资产合法合规地实现价值挖掘和变现，使数字化转型落到实处。如何使数据资产价值实现和数据合规达到一种动态的可持续性的平衡状态？关键在于构建相关的机制。首先需要明确的是，数据合规不是合规部门的合规，也更不是信息技术部门的合规，而是公司整体上下每个业务单元和每个员工的合规，助力数字转型，需要公司从高层到基层，系统性结构性全面性地由上而下来打造一套数据合规体系。

　　参照近几年来部分企业在数据合规建设上的摸索实践，同时结合最近几年来相关监管规章制度，我们认为，数据合规体系应至少包含以下内容：

　　（一）明确数据战略，营造数据文化

　　数据合规和数据治理是密不可分的，数据合规须贯穿整个数据治理的过程，须基于数据治理而开展，而数据治理的有效推进又离不开数据合规，因此，数据合规和数据治理的战略目的是一致的。为了达到这一目的，须从顶层设计层面明确数据战略，从上而下将数据思维贯穿于所有业务、所有管理和所有规划，人人讲数据，人人讲合规，从下而上推动合规数据文化的培养，助力数字化转型落到实处。数据战略的制定须和公司战略、公司企业文化、公司业务特点和公司当前所处发展阶段而结合，因地制宜，高屋建瓴，从宏观层面来统一建设指导思路，划分发展阶段任务，完善配套制度和细则，搭建组织框架，科学细分任务，明确权责。

　　（二）数据资产的梳理和管理

　　数据资产的管理是一项系统性的工程，是随着数据规模不断扩大、数据价值纵深挖掘过程中自然而然产生的一个现实性管理问题。对现有数据资产的梳理，是数据管理工作的起点，更是数据合规工作的起点。各个机构单元掌握哪些数据资产，哪些是敏感数据，哪些是需要公开的数据，这些数据的外部访问、权限、管理责任、变更情况、使用情况、存储状况等，以及是否标准化、来源和用途是否清晰、是否真实、数据之间的关系等等， 都需一一梳理和评估，并最终形成数据资产清单，由各级数据管理员统一汇报给公司数据治理小组，为公司的数据战略或数据治理提供决策依据，同时，也是为数据合规工作开展做好基础性的铺垫。日常的数据资产管理工作和数据治理密不可分，在数据的全生命周期管理中，从数据的生产到使用，直至销毁，数据合规工作都需要贯穿始终，每一个环节都应当有效留痕和切实管控，从技术上和管理上进行审慎评估，并以制度的形式明确下来，使数据合规真正成为促进数据治理有效开展的强有力抓手。

　　（三）数据分类分级

　　对数据的分类分级，一方面是数据精细化管理的关键，另一方面也是数据合规工作以及其他相关数据工作的基础，因此此处单独拿出来作为数据合规体系的一部分。2018年9月，证监会发布《证券期货业数据分类分级指引》，为证券期货行业的数据工作树立了行业标准，提供了切实可行的落地思路。该指引将数据的分类分级划分为三个阶段，即业务细分、数据归类、级别判定，对每一个阶段的实施进行了详细阐述，并且还给出了证券期货行业典型数据分类分级的模板。该指引充分体现了监管对数据管理的重视，以及在数据风险防控上的高瞻远瞩。

　　（四）数据技术保障

　　根据数据技术涉及的数据对象来划分，大致可以分为微观和宏观两部分。微观层面，数据相关技术有数据脱敏、敏感数据扫描、数据加密、数据匿名、数据接口标准规范，以及和数据存储、数据恢复相关的各种数据技术；从宏观层面，数据管理过程中应根据业务需要建立相应的数据仓库、数据集市，乃至数据中台，实现数据赋能，使数据索取更加智能化，并且使开发工作涉及到数据的部分更加标准化、规范化、流程化，让更多精力集中于业务逻辑层面。

　　（五）数据应急管理

　　数据灾难在很多时候对企业的运作是致命性的，尤其相关技术如大数据、云计算、机器学习等得到大规模使用。若发生数据泄露、数据异常、数据损坏等数据事件时，企业是否能快速应对？建立一套数据应急管理机制迫在眉睫。从更深层次来说，数据应急管理的目的不是为了应急，而是为了防患于未然，避免未来数据事件的恶性发展趋势。建立数据应急管理机制，一方面要从组织架构上予以保障，梳理相应的应急处置流程，明确奖惩机制，除数据治理小组、各级数据联络员参与外，很多时候，法务人员也需提前介入进行法律风险评估；另一方面，应提前建立相应的数据风险识别、监测和评估机制，动态完善相关数据风险预案，并进行定期演练，以检验管理有效性。

　　4 企业数据合规实践关注要点

　　（一）个人信息保护

　　个人信息被滥用已经成为当前社会治理上的痼疾，相信大家都有类似经历：无论在线下还是线上，注册会员、开通账户或办理其他业务时，一旦留下了手机号等个人信息，接下来就会有保险、炒股、理财等电信诈骗纷至沓来的骚扰；个人在浏览器里的搜索信息或购物软件里的商品浏览记录，有时候突然出现在手机里其他应用软件的“精准推送”信息中；更有甚者，有时候个人照片、身份证号、账户等私密信息都莫名其妙被发布到网络上。大家都不同程度地受到个人信息泄露带来的困扰，尤其当垃圾短信、机器人电话等像狗皮膏药一样对我们进行狂轰滥炸时，真是让人苦不堪言。最近发生的一个大学教授维权案例值得关注，当小区以门禁改造名义收集人脸识别信息时，他选择了拒绝和维权，他认为小区物业管控没有必要收集人脸信息，另外人脸信息具备永久性，被泄露的后果更严重，经过一番“抗争”后，最后小区物业保留了刷卡进小区的方式，而不是将人脸识别作为进出小区的唯一途径。由此案例可看出，个人信息保护非常重要，需要大家在日常生活中加以关注，共同推动社会对个人信息的保护。

　　目前，国内关于个人信息保护的基本法《个人信息保护法》已在进行三审，将为个人信息的使用和保护提供强有力的法律保障。除此之外，行业内还是有其他关于个人信息保护的规章制度，现列举部分供参考。

　　2019年12月，国家互联网信息办公室、工业和信息化部、公安部、市场监管总局联合印发《App违法违规收集使用个人信息行为认定方法》，该方法中明确了“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”等违规行为的认定方法，为App运营者自查自纠和网民社会监督提供了可循之径，同时，该办法也为2019年8月由全国信息安全标准化技术委员会秘书处起草的《信息安全技术移动互联网应用（App）收集个人信息基本规范（草案）》提供了配套补充。2019年4月由公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布《互联网个人信息安全保护指南》，为互联网环境下的个人信息保护提供了参考借鉴。2017年12月由全国信息安全标准化技术委员会发布《信息安全技术个人信息安全规范》从信息技术建设层面，对提升个人信息保护作了相关要求，该规范于2018年5月正式实施，2020年再次修订。

　　企业在业务开展和管理过程中，凡是涉及到客户个人信息的获取和处理，都需要慎之又慎，须对整个信息流的全生命周期进行通盘考虑和全面分析，一方面厘清信息流使个人信息的处理符合外部法规，另一方面通过完善业务流程和相关授权机制为客户提供可信赖的服务。在涉及个人信息的处理方面，国内大型互联网企业极度重视，无论是制度建设、业务梳理，还是技术保障、法务支持，均走在行业的前列，值得其他企业参考借鉴。

　　（二）数据安全

　　数据安全问题一直以来受到的关注度很高，业界有相对来说较为成熟的咨询服务和技术解决方案。数据安全的基础是建立在对数据资产的梳理之上，关注点无外乎身份认证、访问权限、数据防泄漏、数据防篡改、安全审计等。数据安全应该覆盖数据的全生命周期以及与数据相关的所有重要应用场景。然而，很多数据安全解决方案中对数据的保护，往往都是建立在牺牲效率的基础上。如何平衡安全与效率，使数据安全策略符合业务实际和公司未来发展方向，值得认真思考。

　　数据安全的合规性问题，可以从实现数据安全的技术手段和管理手段两个方面进行关注。在技术手段上，从系统层面，有桌面终端安全防护、桌面数据防泄漏、虚拟桌面、堡垒机等解决方案，对数据的流转进行全程审计或监控；从实现的具体技术细节上，有数据脱敏处理、数据加密、水印溯源、电子签名、数据扫描等，对数据的安全进行细颗粒度保障。好的技术手段需要好的管理予以保障，才能事半功倍，在管理手段上，基于数据合规体系的构建，从顶层建筑层面打造数据合规文化，强调数据安全，从具体的制度建设上，将数据安全和数据治理紧密结合，使数据安全建设思路深深嵌入到系统建设、系统优化、业务开展等各个环节。

　　在国内制度立法上，数据安全的基本法《数据安全法》已经在今年6月发布，将在今年9月1日生效。该法涵盖了数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任等内容，体现了政府对数字经济的重视和建设数字中国的决心，为各行各业开展数据安全相关工作提供了指引，更是数据合规工作开展的重要制度依据。

　　（三）数据非法变现

　　数据非法变现的焦点问题在于过度挖掘和滥用数据。数据本身是无罪的，关键在于使用的人。

　　举个例子，可以让大家更直观地看到数据非法变现带来的恶果。在美剧《西部世界》中，时间设定为未来，人工智能和大数据分析的使用达到了登峰造极的地步，作为集大成者的代表大数据分析系统“罗波安”，基于充足的基础数据和数学模型，将个体的未来计算出来，它可以看到所有人的过去和未来，每个人都事实上被它“锁”定。因此，个体未来每一个选择都是必然的，个体是可以被设计的，自由意志只是虚幻。如果一旦发现有人的行为数据偏离预先设定，“罗波安”的人类设计者塞拉克就会不惜代价去试图修正，甚至直接消灭这个“突变体”，从而保证“罗波安”数据模型的准确性。未来如果任由数据滥用，是极其恐怖的，数据的使用确实有其两面性，是把双刃剑。

　　其他类似数据滥用的例子还有大数据杀熟、个人肖像特征非法获取和滥用、爬取公开信息作为商业用途、使用木马程序非法获取数据并贩卖、非法囤积数据等等。关于个人信息数据的滥用，相关规章制度已经重点考虑，至少从制度层面堵住了一部分漏洞。随着社会大众的数据权益保护意识越来越强，在企业开展业务过程中，即使数据获取之后没有实质性的变现，也可能面临相应的数据合规风险，因为很难摆脱变现的嫌疑。因此，数据管理者需要对数据的全生命周期进行系统性考虑，力争使管理的每一条数据都是明明白白、干干净净。

　　（四）数据交换

　　数据交换包括数据输出、数据接入、数据共享、数据引用、数据落地等，主要关注数据的流动性问题，是数据治理的重要内容。随着各种云概念的泛滥，如云接口、云文件、云空间、云搜索、云浏览、云社区、云应用、云杀毒、云电视、云直播等等，让人眼花缭乱，相应地，数据也随着云技术学会了腾云驾雾，在目前系统建设趋于大集中大统一大交换的背景下，数据交换更加高速和频繁，数据合规问题更需要引起重视。

　　数据交换方面的合规性问题主要有外部数据的合规使用、共享数据的权益防护、第三方系统接入、用户生成内容的保护、敏感数据落地管理等。目前较为常见的数据交换合规案例有：外部系统、外部接口或外部数据流接入到本地系统时，需要审慎评估是属于三方非法接入还是合法合规的系统集成；企业公众号使用未经授权的图片，会存在被版权拥有者索赔的风险，本质上也是非结构化数据的合规问题。以上数据交换案例，不仅是数据合规的问题，往往还涉及到法务、信息技术等，需要多方介入共同论证和评估，才能给出合理的解决方案。

　　（五）数据存储

　　数据存储和数据的分类分级密切相关，不同的数据级别会对应不同的存储策略，包括存储内容、存储方式、存储频率、存储介质、存储期限等。例如，对于一级核心系统，相应的数据存储级别就是最高等级，需要考虑底层数据库数据和数据日志的实时存储复制、同城和异地容灾备份、数据的多节点分布式存储等，以及因为数据多活、应用多活带来的其他相关数据存储问题等。同时，数据的存储绝非是一个静态的概念，必然是一个动态的概念。如果数据静置不动，不代表数据存储合规无问题，因为数据存储的目的就是为了使用，所以数据存储策略需要首先满足业务连续性的要求，定期进行业务连续性演练，达到恢复时间目标（RTO）和恢复点目标（RPO）。数据存储也并非是一个纯粹的IT问题，和业务需求紧密相连，业务数据存储必须满足监管的最低时限要求。

　　（六）数据出境

　　近年来，国内企业走出去做大做强已成为一个潮流，然而因为国内企业往往不太关注数据安全问题，同时不熟悉所在国家相关法律，数据合规问题往往成为风险敞口，最终影响到了企业在国外的发展，并且很容易给国外带来先入为主的印象，为后续其他国内企业的市场进入带来不良影响。

　　涉及到数据方面的法律法规，具有代表性的是欧盟的《一般数据保护条例》（GDPR）和美国的《加利福尼亚州消费者隐私保护法案》（CCPA），两部法律的目的都是旨在规范数据的合法合规使用，明确数据主体的权益，防止数据滥用，促进数据安全。两部法律对个人信息保护格外重视，概念界定都较为宽泛，主要的不同就在于立场的不同：GDPR是基于监管者的立场，以个人隐私数据为出发点，强调数据保护的主动性；CCPA偏向于消费者的立场，整体倾向数据的合规使用和合理价值实现。引用网上比较流行的观点，在个人数据保护层面，GDPR是“原则上禁止，有合法授权时允许”，CCPA则是“原则上允许，有条件禁止”。

　　｜结 语｜

　　总而言之，数字化转型的大背景下，要求每个人不仅要有数据思维，更要有数据合规思维。同样，数据合规管理也需要与时俱进，开拓创新，为数字化的成功落地保驾护航。数字转型，合规先行；合规护航，行稳致远。