摘要：數(shù)據(jù)時代下，數(shù)據(jù)已然成為大數(shù)據(jù)公司的無形資產(chǎn)，數(shù)據(jù)合規(guī)將成為維護(hù)產(chǎn)業(yè)平穩(wěn)健康發(fā)展，保障公司商業(yè)利益和正常運(yùn)營的重要基石。除了《數(shù)據(jù)安全法》的出臺對企業(yè)，隨著數(shù)據(jù)資源的不斷挖掘，數(shù)據(jù)在采集、使用、存儲三個環(huán)節(jié)的風(fēng)險也逐漸提升。企業(yè)應(yīng)當(dāng)從轉(zhuǎn)變意識構(gòu)建合規(guī)體系、完善隱私政策獲得明確授權(quán)、遵守爬蟲協(xié)議合法爬梳數(shù)據(jù)、加強(qiáng)技術(shù)開發(fā)提高保護(hù)能力、做好盡職調(diào)查明確管理義務(wù)這五個方面進(jìn)行合規(guī)調(diào)整，以提升數(shù)據(jù)資產(chǎn)的保護(hù)力度。

關(guān)鍵詞：數(shù)據(jù)合規(guī);數(shù)據(jù)安全法;合規(guī)建議

引言

隨著各行業(yè)對數(shù)據(jù)資源的不斷挖掘，數(shù)據(jù)被廣泛應(yīng)用于廣告定向投遞、文創(chuàng)產(chǎn)品需求分析、輿情預(yù)警、市場動態(tài)走向分析等多個領(lǐng)域，在算法加持下產(chǎn)生巨大的經(jīng)濟(jì)效益。然而數(shù)據(jù)重復(fù)成本低、流轉(zhuǎn)率高的特點(diǎn)也使數(shù)據(jù)的收集使用過程風(fēng)險倍增、危機(jī)重重。一方面，一旦部分如包含個人財(cái)產(chǎn)信息在內(nèi)的敏感數(shù)據(jù)被不法傳播和利用，將影響至民眾的財(cái)產(chǎn)甚至人身安全。另一方面，在網(wǎng)絡(luò)爬蟲技術(shù)的持續(xù)發(fā)展背景下，掌握技術(shù)優(yōu)勢的互聯(lián)網(wǎng)公司能夠以極低的成本從各類應(yīng)用軟件、搜索引擎中挖掘海量數(shù)據(jù)資源，再將分析結(jié)果推送給消費(fèi)者，其中包含著原數(shù)據(jù)開發(fā)者的開發(fā)成本和后續(xù)轉(zhuǎn)賣的利潤，開發(fā)者開發(fā)的數(shù)據(jù)如何保護(hù)、利潤如何分配引發(fā)的糾紛越來越多。

越來越多的政府、企業(yè)和個人開始重視數(shù)據(jù)的來源合法、采集合規(guī)、安全存儲問題，2020年新浪微博5億用書信息泄露案件、2017年龐理鵬訴東方航空案、2020年百度與大眾點(diǎn)評不正當(dāng)競爭糾紛案等案件，將人們的視線拉入到數(shù)據(jù)安全保護(hù)問題的討論當(dāng)中。隨著實(shí)踐問題的不斷發(fā)酵、民眾呼聲的不斷提高，我國有關(guān)信息保護(hù)的立法也不斷完善以回應(yīng)現(xiàn)實(shí)問題。目前，我國《網(wǎng)絡(luò)安全法》和《電子商務(wù)法》已正式生效，《個人信息保護(hù)法》也進(jìn)入了立法程序，2021年6月10日我國《數(shù)據(jù)安全法》正式出臺，數(shù)據(jù)合規(guī)問題逐漸走入大眾的視野，也逐漸引起相關(guān)企業(yè)的重視。

一.《數(shù)據(jù)安全法》的主要內(nèi)容與要求

《數(shù)據(jù)安全法》一共分為七章，五十五條。包含數(shù)據(jù)相關(guān)概念、數(shù)據(jù)分級分類保護(hù)制度、數(shù)據(jù)安全審查制度、數(shù)據(jù)出境等內(nèi)容，企業(yè)應(yīng)當(dāng)注重以下幾個方面，以此為要求進(jìn)行合規(guī)調(diào)整。

1.明確數(shù)據(jù)有關(guān)概念

《數(shù)據(jù)安全法》第三條規(guī)定，數(shù)據(jù)，是指任何以電子或者其他方式對信息的記錄。數(shù)據(jù)處理，包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力?！痹跀?shù)據(jù)的概念方面實(shí)現(xiàn)了信息記載形式的全覆蓋，除了電子數(shù)據(jù)，還將其他記錄方式納入其中。對于數(shù)據(jù)處理的界定，覆蓋了數(shù)據(jù)全生命周期。都體現(xiàn)對于數(shù)據(jù)安全保護(hù)范圍更廣、要求更加嚴(yán)格。

2.建立數(shù)據(jù)分級分類保護(hù)制度

《數(shù)據(jù)安全法》第二十一條規(guī)定“國家建立數(shù)據(jù)分級分類保護(hù)制度…將關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)列入國家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度?！斌w現(xiàn)對于數(shù)據(jù)保護(hù)資源的合理分配和精細(xì)化、專業(yè)化程度。

3.建立數(shù)據(jù)安全審查制度

與《網(wǎng)絡(luò)安全審查辦法》不同的時，《數(shù)據(jù)安全法》審查的對象包括所有的影響或可能影響國家安全的數(shù)據(jù)活動，既包括線上也包括線下，且對數(shù)據(jù)活動主體并未作出限制。因此，企業(yè)在進(jìn)行數(shù)據(jù)合規(guī)時應(yīng)當(dāng)尤其注重對所有的數(shù)據(jù)資產(chǎn)進(jìn)行審查，做好有關(guān)國家安全的數(shù)據(jù)的報告，盡到審慎管理和保護(hù)義務(wù)。

二.企業(yè)數(shù)據(jù)合規(guī)的現(xiàn)實(shí)風(fēng)險

以數(shù)據(jù)分析產(chǎn)業(yè)為主的公司類型常有APP運(yùn)營方、電子商務(wù)平臺、各類商業(yè)服務(wù)網(wǎng)站等形式，普遍的運(yùn)作模式為通過客戶端界面收集消費(fèi)者的個人信息或運(yùn)用爬蟲技術(shù)爬梳數(shù)據(jù)，利用技術(shù)手段對此類數(shù)據(jù)和整理，形成相關(guān)產(chǎn)品，再推送給消費(fèi)者或轉(zhuǎn)賣給第三方公司。根據(jù)該流程，需要采取風(fēng)控手段的環(huán)節(jié)主要涉及數(shù)據(jù)采集、數(shù)據(jù)分析、數(shù)據(jù)使用、數(shù)據(jù)存儲、數(shù)據(jù)交易等環(huán)節(jié)，而其中面臨的風(fēng)險是用戶個人隱私、商業(yè)秘密的泄露問題。具體而言，有以下三類風(fēng)險：

1.數(shù)據(jù)采集環(huán)節(jié)中的安全風(fēng)險

企業(yè)的數(shù)據(jù)采集方式分為用戶授權(quán)和爬蟲爬梳兩種。在用戶授權(quán)方面，雖然數(shù)據(jù)行業(yè)已經(jīng)掀起“隱私政策”的浪潮，但筆者仔細(xì)查閱 “騰訊” “大眾點(diǎn)評”“步道樂跑”等知名APP隱私政策后發(fā)現(xiàn)，這些軟件普遍存在隱私政策冗長、專業(yè)術(shù)語晦澀，涉及格式條款內(nèi)容沒有進(jìn)一步解讀等問題，導(dǎo)致用戶存在不愿讀、讀不懂的問題。同時，看似“勾選同意”的方式實(shí)際上架空了用戶的選擇權(quán)，因?yàn)橐坏┻x擇不同意，用戶將無法享受軟件上的功能與服務(wù)，利用技術(shù)優(yōu)勢形成實(shí)質(zhì)的權(quán)利不對等的局面。用戶草草勾選后輸入個人信息，為日后引發(fā)糾紛買下隱患。

在爬蟲爬梳方面，部分互聯(lián)網(wǎng)公司為了降低數(shù)據(jù)收集成本、豐富數(shù)據(jù)庫等，利用爬蟲技術(shù)從各類網(wǎng)站甚至APP上爬梳網(wǎng)站商業(yè)信息，這些行為可能導(dǎo)致原網(wǎng)站潛在客戶流失、流量減少，系統(tǒng)卡頓等問題，對于加工后的爬梳數(shù)據(jù)，轉(zhuǎn)賣的利潤是否需要分配給原數(shù)據(jù)開發(fā)者也是糾紛之一，涉案公司可能陷入不正當(dāng)競爭、商業(yè)秘密侵權(quán)等案件當(dāng)中，也是風(fēng)控需要著眼之處。

2.數(shù)據(jù)使用環(huán)節(jié)的安全風(fēng)險

數(shù)據(jù)使用環(huán)節(jié)包括公司對數(shù)據(jù)的處理分析和數(shù)據(jù)交易兩種形式。在數(shù)據(jù)分析處理時，如果對數(shù)據(jù)的處理超出了用戶授權(quán)范圍或客戶預(yù)期，此時用戶的控制權(quán)將難以得到保障。公民的交易記錄、賬號密碼、生物識別信息一旦泄露，將對公民帶來難以預(yù)計(jì)的嚴(yán)重后果，產(chǎn)生數(shù)據(jù)隱私不合規(guī)的問題。在數(shù)據(jù)交易過程中，平臺經(jīng)營者可能僅在第一次收集環(huán)節(jié)獲取到用戶的同意授權(quán)，而在后續(xù)通過關(guān)聯(lián)共享數(shù)據(jù)或與第三方交易過程中將相關(guān)數(shù)據(jù)一次性轉(zhuǎn)讓，用戶無法預(yù)估后續(xù)的流轉(zhuǎn)環(huán)節(jié)，數(shù)據(jù)泄露風(fēng)險也隨之增加。實(shí)踐中大數(shù)據(jù)殺熟問題的不斷出現(xiàn)也反映相關(guān)問題的嚴(yán)重性。

3.數(shù)據(jù)存儲環(huán)節(jié)的安全風(fēng)險

在數(shù)據(jù)價值不斷凸顯的同時也將不法分子的視線引入到數(shù)據(jù)資產(chǎn)侵權(quán)倒賣當(dāng)中，各類病毒、黑客技術(shù)等外部攻擊使得存儲于各平臺的數(shù)據(jù)安全風(fēng)險驟升，數(shù)據(jù)價值之豐厚與流轉(zhuǎn)成本之低昂愈發(fā)刺激數(shù)據(jù)竊賊的不法行徑。例如，世界四大會計(jì)師事務(wù)所之一的德勤公司，盡管十分重視大數(shù)據(jù)使用安全，也同時建立了強(qiáng)有力的技術(shù)防范能力，也難以避免曾經(jīng)遭遇過網(wǎng)絡(luò)攻擊，造成許多私密的電子郵件和客戶計(jì)劃泄露事件。

三.企業(yè)數(shù)據(jù)合規(guī)策略與建議

結(jié)合《數(shù)據(jù)安全法》所提出的安全保護(hù)要求和實(shí)踐中存在的數(shù)據(jù)安全威脅，有關(guān)企業(yè)可以從事前預(yù)防和事后控制兩個層次進(jìn)行數(shù)據(jù)合規(guī)整改，以免產(chǎn)生監(jiān)管處罰、內(nèi)部企業(yè)文化受損和品牌形象、潛在客戶的流失等違規(guī)代價。

1.轉(zhuǎn)變思想觀念，構(gòu)建合規(guī)體系

企業(yè)應(yīng)當(dāng)與時俱進(jìn)，在現(xiàn)行數(shù)據(jù)保護(hù)愈加嚴(yán)格和數(shù)據(jù)安全風(fēng)險愈加嚴(yán)重的形勢下，及時調(diào)整合規(guī)觀念，做出預(yù)案。一方面，需要理清數(shù)據(jù)保護(hù)與利用之間的關(guān)系，在最大限度發(fā)揮數(shù)據(jù)價值和推動數(shù)據(jù)合規(guī)交易之間找到平衡;另一方面，需要構(gòu)建數(shù)據(jù)合規(guī)框架，即以數(shù)據(jù)種類為基礎(chǔ)，依照性質(zhì)對數(shù)據(jù)進(jìn)行梳理，一旦出現(xiàn)有關(guān)數(shù)據(jù)合規(guī)問題，能夠迅速定位問題所在并及時做出應(yīng)對措施。

2.制定隱私政策，獲得明確授權(quán)

針對實(shí)踐中產(chǎn)生的隱私政策冗長、相關(guān)術(shù)語晦澀等問題，企業(yè)在制定隱私政策時應(yīng)該做到簡單明了，在有關(guān)專業(yè)術(shù)語部分進(jìn)行解釋，或提供人工客服服務(wù)，為存在疑惑的客戶提供解讀服務(wù)，釋明相關(guān)條款尤其是涉及用戶授權(quán)范圍、授權(quán)方式、使用途徑等內(nèi)容。為了防止用戶草率同意，可以采用技術(shù)手段如強(qiáng)制拉完協(xié)議所有界面等方式，以便盡到“合理提示義務(wù)”，即便發(fā)生糾紛也有充分的證據(jù)。但采用該技術(shù)的前提依舊是條文內(nèi)容的簡單明了，否則將存在降低用戶好感度的風(fēng)險。

3.遵守爬蟲協(xié)議，減少訴訟風(fēng)險

依照爬取網(wǎng)站類型，企業(yè)的爬蟲行為分為兩種。一種是對公開查詢服務(wù)的網(wǎng)站進(jìn)行爬出，例如爬取全國企業(yè)信用信息公示系統(tǒng)符合《中華人民共和國政府信息公開條例》，不存在合規(guī)風(fēng)險;一種是對商業(yè)網(wǎng)絡(luò)平臺進(jìn)行爬取，在爬梳過程中需要注意遵守爬蟲協(xié)議的規(guī)定，此外，若第三方網(wǎng)站采用了反爬蟲等技術(shù)手段、或公示爬蟲聲明，則企業(yè)不得繞開相關(guān)手段繼續(xù)爬取，否則可能面臨以不正當(dāng)競爭被追訴的風(fēng)險。

4.培養(yǎng)專業(yè)人才，加強(qiáng)技術(shù)開發(fā)

面對外來攻擊，提升數(shù)據(jù)安全保障技術(shù)是最主要的預(yù)防手段，企業(yè)可以通過自身培養(yǎng)專業(yè)人才或者借助第三方力量來加強(qiáng)技術(shù)保障。一方面，企業(yè)需要加強(qiáng)法務(wù)人員、技術(shù)工作人員的數(shù)據(jù)合規(guī)意識，培養(yǎng)數(shù)據(jù)處理和風(fēng)險防控方面的專業(yè)人才，采用數(shù)據(jù)脫敏處理、同態(tài)加密技術(shù)等對相關(guān)數(shù)據(jù)加強(qiáng)保護(hù)。另一方面，在自身防護(hù)技術(shù)力量薄弱時，企業(yè)可以借助第三方專業(yè)機(jī)構(gòu)，購買數(shù)據(jù)安全保障服務(wù)，從而實(shí)現(xiàn)數(shù)據(jù)保護(hù)責(zé)任與風(fēng)險的轉(zhuǎn)移。雖然這一措施或許會削弱企業(yè)的利潤，但相比長遠(yuǎn)的企業(yè)信譽(yù)利益和違規(guī)處罰成本來看，技術(shù)服務(wù)的成本微乎其微。

5.做好盡職調(diào)查，協(xié)議管理義務(wù)

在與第三方交易時，除了獲得用戶的明確授權(quán)同意，企業(yè)還應(yīng)當(dāng)做好盡職調(diào)查，將雙方有關(guān)數(shù)據(jù)安全管理義務(wù)明確寫入合同當(dāng)中。對交易對方當(dāng)事人的盡職調(diào)查，主要需要圍繞著數(shù)據(jù)企業(yè)資信、數(shù)據(jù)安全保障技術(shù)和能力、數(shù)據(jù)用途、數(shù)據(jù)來源等內(nèi)容展開，將容錯空間降低也為數(shù)據(jù)安全多一層保障。此外，交易雙方都對合同客體負(fù)有安全管理義務(wù)，應(yīng)當(dāng)聽過保證協(xié)議等方式明確約定，經(jīng)合同雙方確認(rèn)，但需注意的是這種形式主要是用違約責(zé)任的方式給彼此負(fù)上義務(wù)，并不免除行政或刑事責(zé)任的承擔(dān)，一旦一方觸犯了相關(guān)法律法規(guī)，依舊要面臨懲處。

在發(fā)生數(shù)據(jù)泄露事件時，企業(yè)應(yīng)當(dāng)立即啟動應(yīng)急措施，及時向社會發(fā)布有關(guān)的警示信息，并從此次事件當(dāng)中吸取教訓(xùn)，進(jìn)行總結(jié)，不斷進(jìn)行合規(guī)調(diào)整以免類似事件再次發(fā)生。

四.結(jié)語

忽視數(shù)據(jù)合規(guī)，將產(chǎn)生訴訟費(fèi)用、強(qiáng)令整改費(fèi)用等一系列違規(guī)成本，而直接導(dǎo)致的用戶利益受損、消費(fèi)者信任度下降等影響更會對企業(yè)的信譽(yù)這一無形資產(chǎn)產(chǎn)生影響。在《數(shù)據(jù)安全法》對數(shù)據(jù)安全保護(hù)的范圍、分級分類的專業(yè)程度等提出要求時，企業(yè)應(yīng)當(dāng)直面數(shù)據(jù)生命全流程周期存在的風(fēng)險，轉(zhuǎn)變合規(guī)意識，采用更為完善的隱私政策獲得用戶授權(quán)、遵守行業(yè)規(guī)則避免訴累、培養(yǎng)技術(shù)人才提升數(shù)據(jù)安全保障能力、做好盡職調(diào)查降低交易風(fēng)險，以實(shí)現(xiàn)企業(yè)數(shù)據(jù)開發(fā)使用的風(fēng)險防控。

參考文獻(xiàn)：

[1]王繼業(yè). 加強(qiáng)數(shù)據(jù)安全合規(guī)管理提升安全生產(chǎn)質(zhì)效[N]. 國家電網(wǎng)報，2021-06-10（003）.

[2]夏知淵，汪星辰.數(shù)據(jù)服務(wù)合規(guī)研究及展望[J].中國金融電腦，2021（06）：65-68.

[3]高海燕.大數(shù)據(jù)背景下會計(jì)倫理問題的思考[J].財(cái)會學(xué)習(xí)，2021（16）：93-95.

[4]李一萌，曹錦秋.電商新紀(jì)元背景下平臺經(jīng)營者合規(guī)路徑初探[J].哈爾濱學(xué)院學(xué)報，2021，42（05）：68-71.

[5]楊毅.數(shù)據(jù)權(quán)屬與合規(guī)交易研究[J].武漢金融，2021（05）：82-88.

[6]吳衛(wèi)明. 《數(shù)據(jù)安全法》解讀與合規(guī)建議，（https：//mp.weixin.qq.com/s/_cSidOqABzYijIXMj-DTMA，2021.6.12日訪問）

作者簡介：

鐘小羽，女，生于2001年4月，漢族，江西宜春人，江蘇大學(xué)本科在讀，研究方向：法學(xué)

基金項(xiàng)目：

江蘇大學(xué)第19批大學(xué)生科研課題立項(xiàng)資助項(xiàng)目，項(xiàng)目編號：19C170