前 言

　　2020年4月10日,，《中共中央國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》（簡(jiǎn)稱(chēng)《意見(jiàn)》）正式公布。這是中央首次把數(shù)據(jù)作為一種新型生產(chǎn)要素寫(xiě)入文件。美國(guó)近年更是通過(guò)加強(qiáng)數(shù)據(jù)控制的《云端法》配合“長(zhǎng)臂管轄”原則，將調(diào)取數(shù)據(jù)權(quán)限覆蓋至全球與美國(guó)相關(guān)企業(yè)，企圖藉此侵犯他國(guó)數(shù)據(jù)管轄權(quán),，最終形成全球數(shù)據(jù)霸權(quán),。國(guó)與國(guó)之間在數(shù)據(jù)領(lǐng)域的競(jìng)爭(zhēng)愈演愈烈,。

　　數(shù)據(jù)作為新時(shí)代的石油,，不僅僅對(duì)國(guó)家很重要，對(duì)每個(gè)企業(yè)來(lái)說(shuō)也是重要的資產(chǎn),，是企業(yè)未來(lái)的核心競(jìng)爭(zhēng)力,。如何使數(shù)據(jù)資產(chǎn)最大化發(fā)揮其價(jià)值？關(guān)鍵就是數(shù)據(jù)治理,。數(shù)據(jù)治理是數(shù)字化轉(zhuǎn)型的基礎(chǔ)和關(guān)鍵,，沒(méi)有數(shù)據(jù)治理，數(shù)字化轉(zhuǎn)型就是空中樓閣,，水中撈月,。而數(shù)據(jù)合規(guī)則是數(shù)據(jù)治理的重中之重，兩者如影隨形,，相輔相成,，從某種意義上，數(shù)據(jù)治理的目的就是數(shù)據(jù)合規(guī),。本文擬從企業(yè)實(shí)務(wù)角度探討數(shù)據(jù)合規(guī)問(wèn)題,，與大家共同交流。

　　1 中國(guó)企業(yè)數(shù)據(jù)合規(guī)現(xiàn)狀

　　以大數(shù)據(jù),、云計(jì)算,、機(jī)器學(xué)習(xí)、人工智能數(shù)等為代表的的金融科技在業(yè)務(wù)實(shí)踐中得到大規(guī)模的運(yùn)用,，數(shù)據(jù)資產(chǎn)的重要性更加凸顯,，相應(yīng)地，數(shù)據(jù)合規(guī)的問(wèn)題也越來(lái)越突出,。目前,，我國(guó)數(shù)據(jù)保護(hù)力度不斷加強(qiáng)，新法規(guī),、新指南,、新標(biāo)準(zhǔn)不斷出臺(tái)，相關(guān)職能部門(mén)也加大檢查力度,。但企業(yè)的從理念還是到行動(dòng)對(duì)數(shù)據(jù)合規(guī)的認(rèn)識(shí)都不到位。

　　墨跡科技旗下墨跡天氣App是一款天氣類(lèi)App,，擁有5.56億的累計(jì)裝機(jī)量,。2018年1月23日，北京墨跡風(fēng)云科技股份有限公司向證監(jiān)會(huì)報(bào)送《創(chuàng)業(yè)板首次公開(kāi)發(fā)行股票招股說(shuō)明書(shū)》,。遺憾的是,，2019年10月11日，中國(guó)證券監(jiān)督管理委員會(huì)發(fā)布公告，北京墨跡風(fēng)云科技股份有限公司首發(fā)申請(qǐng)未予通過(guò),。在公告中發(fā)審委提出了四條問(wèn)題,，其中重點(diǎn)針對(duì)墨跡風(fēng)云的數(shù)據(jù)治理提出了質(zhì)疑。

　　無(wú)獨(dú)有偶,，曠視科技IPO的過(guò)程中,，上海證券交易所就數(shù)據(jù)合規(guī)與科技倫理進(jìn)行了問(wèn)詢(xún)。交易所在IPO過(guò)程中對(duì)數(shù)據(jù)合規(guī)問(wèn)題進(jìn)行關(guān)切已經(jīng)成為“必答題”,，所有與數(shù)據(jù)相關(guān)企業(yè)都要對(duì)自己如何收集,、使用數(shù)據(jù)進(jìn)行說(shuō)明。

　　2021年5月9日晚間,，銀保監(jiān)會(huì)一口氣發(fā)布九張行政處罰信息公開(kāi)表,，涉及六大國(guó)有行和光大、中信八家銀行,。因監(jiān)管標(biāo)準(zhǔn)化數(shù)據(jù)（EAST）系統(tǒng)數(shù)據(jù)質(zhì)量及報(bào)送存在違法違規(guī)行為,，這八家銀行一共被罰款1770萬(wàn)元。

　　我國(guó)頒布了一系列涉及數(shù)據(jù)合規(guī)的法律規(guī)范,?！睹穹ǖ洹贰毒W(wǎng)絡(luò)安全法》《個(gè)人信息安全規(guī)范》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法（草案）》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》等均被列為合規(guī)依據(jù)，從中央到地方將對(duì)數(shù)據(jù)處理,、數(shù)據(jù)活動(dòng)形成全范圍的規(guī)制與保護(hù),。

　　隨著各種規(guī)章制度越來(lái)越細(xì)化和深入，可以預(yù)見(jiàn),，凡是涉及到數(shù)據(jù)的問(wèn)題會(huì)越來(lái)越敏感,，行業(yè)監(jiān)管對(duì)數(shù)據(jù)也只會(huì)越來(lái)越重視。從本質(zhì)上來(lái)說(shuō),，數(shù)據(jù)合規(guī)是企業(yè)的生存問(wèn)題,，有其現(xiàn)實(shí)性和急迫性。

　　2 什么是數(shù)據(jù)合規(guī)

　　理解企業(yè)數(shù)據(jù)合規(guī),，首先要重新認(rèn)識(shí)企業(yè)數(shù)據(jù)合規(guī)里的“數(shù)據(jù)”,。這里的數(shù)據(jù)，絕非僅僅狹義上的存放在數(shù)據(jù)庫(kù)里或電子表格里的數(shù)據(jù),，而是廣義上的企業(yè)在生產(chǎn)經(jīng)營(yíng)過(guò)程中涉及到的一切數(shù)據(jù),。從數(shù)據(jù)對(duì)象上，既有客戶(hù)的,，也有企業(yè)員工的,，還有第三方的；從數(shù)據(jù)形態(tài)上,，既有靜態(tài)的,，也有動(dòng)態(tài)的,；從數(shù)據(jù)結(jié)構(gòu)上，既有結(jié)構(gòu)化的,，也有非結(jié)構(gòu)化的,；從數(shù)據(jù)內(nèi)容上，既有原始的,，也有加工過(guò)的,；從數(shù)據(jù)存儲(chǔ)上，既有落地的,，也有流動(dòng)的,。像客戶(hù)行為、應(yīng)用日志,、視頻錄像,、電話(huà)錄音等等都應(yīng)屬于數(shù)據(jù)合規(guī)關(guān)注的數(shù)據(jù)范疇。

　　涉及到企業(yè)數(shù)據(jù)合規(guī),，最近幾年社會(huì)上的熱點(diǎn)案例以及相關(guān)的規(guī)章制度,，基本都集中在個(gè)人信息防護(hù)和數(shù)據(jù)安全的層面，因?yàn)檫@兩方面產(chǎn)生的爭(zhēng)議和糾紛最多,，而從數(shù)字化轉(zhuǎn)型發(fā)展的長(zhǎng)遠(yuǎn)來(lái)看,，數(shù)據(jù)合規(guī)遠(yuǎn)遠(yuǎn)不止個(gè)人信息防護(hù)和數(shù)據(jù)安全。數(shù)據(jù)合規(guī)具體涵蓋了哪些方面,？如何前瞻性地識(shí)別數(shù)據(jù)合規(guī)風(fēng)險(xiǎn),？我們覺(jué)得可以從監(jiān)管部門(mén)的規(guī)章制度上得以借鑒和思索。

　　作為證券基金行業(yè)信息技術(shù)管理基本大法的證監(jiān)會(huì)第152號(hào)文《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》,，將數(shù)據(jù)治理作為一個(gè)大章節(jié),，濃筆重墨，其中“第二十九條：證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)結(jié)合公司發(fā)展戰(zhàn)略,，建立全面,、科學(xué)、有效的數(shù)據(jù)治理組織架構(gòu)以及數(shù)據(jù)全生命周期管理機(jī)制,，確保數(shù)據(jù)統(tǒng)一管理,、持續(xù)可控和安全存儲(chǔ)，切實(shí)履行數(shù)據(jù)安全及數(shù)據(jù)質(zhì)量管理職責(zé),，不斷提升數(shù)據(jù)使用價(jià)值,。”,，該條制度為我們指出了數(shù)據(jù)合規(guī)的根本原則和基本思路,，根本原則就是“全生命周期管理”，基本思路涉及到了“數(shù)據(jù)戰(zhàn)略”,、“數(shù)據(jù)存儲(chǔ)”,、“數(shù)據(jù)安全”、“數(shù)據(jù)質(zhì)量”,、“數(shù)據(jù)變現(xiàn)”等,。

　　相對(duì)而言，152號(hào)文里關(guān)于數(shù)據(jù)的論述還缺乏體系化和結(jié)構(gòu)化,，因?yàn)楫吘共皇菍?zhuān)門(mén)針對(duì)數(shù)據(jù)治理而制定的,。我們覺(jué)得可以同時(shí)借鑒銀保監(jiān)會(huì)[2018]22號(hào)文《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》。該指引指出,，數(shù)據(jù)管理是金融業(yè)由高速發(fā)展向高質(zhì)量發(fā)展轉(zhuǎn)變的關(guān)鍵,，強(qiáng)調(diào)了數(shù)據(jù)管理的全覆蓋原則，包括數(shù)據(jù)戰(zhàn)略,、數(shù)據(jù)管理制度,、數(shù)據(jù)標(biāo)準(zhǔn)、信息系統(tǒng),、數(shù)據(jù)共享,、數(shù)據(jù)安全、應(yīng)急預(yù)案,、問(wèn)責(zé)機(jī)制和自我評(píng)估機(jī)制等,。

　　結(jié)合以上兩個(gè)金融行業(yè)的重要制度，同時(shí)參考行業(yè)內(nèi)的實(shí)踐案例,，并考慮到可操作性,，我們認(rèn)為數(shù)據(jù)合規(guī)的內(nèi)涵至少包括以下幾大方面：數(shù)據(jù)戰(zhàn)略、數(shù)據(jù)文化,、數(shù)據(jù)標(biāo)準(zhǔn),、數(shù)據(jù)分類(lèi)、數(shù)據(jù)質(zhì)量,、數(shù)據(jù)存儲(chǔ),、數(shù)據(jù)安全、數(shù)據(jù)變現(xiàn),、數(shù)據(jù)共享等,。以上數(shù)據(jù)合規(guī)的幾大關(guān)注點(diǎn)，不僅涉及到管理問(wèn)題,，還有較為專(zhuān)業(yè)的技術(shù)問(wèn)題,。

　　3 企業(yè)數(shù)據(jù)合規(guī)體系

　　數(shù)據(jù)合規(guī)的目的不是限制數(shù)據(jù)資產(chǎn)的使用，而是引導(dǎo)數(shù)據(jù)資產(chǎn)合法合規(guī)地實(shí)現(xiàn)價(jià)值挖掘和變現(xiàn),，使數(shù)字化轉(zhuǎn)型落到實(shí)處,。如何使數(shù)據(jù)資產(chǎn)價(jià)值實(shí)現(xiàn)和數(shù)據(jù)合規(guī)達(dá)到一種動(dòng)態(tài)的可持續(xù)性的平衡狀態(tài)？關(guān)鍵在于構(gòu)建相關(guān)的機(jī)制,。首先需要明確的是,，數(shù)據(jù)合規(guī)不是合規(guī)部門(mén)的合規(guī),，也更不是信息技術(shù)部門(mén)的合規(guī)，而是公司整體上下每個(gè)業(yè)務(wù)單元和每個(gè)員工的合規(guī),，助力數(shù)字轉(zhuǎn)型,，需要公司從高層到基層，系統(tǒng)性結(jié)構(gòu)性全面性地由上而下來(lái)打造一套數(shù)據(jù)合規(guī)體系,。

　　參照近幾年來(lái)部分企業(yè)在數(shù)據(jù)合規(guī)建設(shè)上的摸索實(shí)踐,，同時(shí)結(jié)合最近幾年來(lái)相關(guān)監(jiān)管規(guī)章制度，我們認(rèn)為,，數(shù)據(jù)合規(guī)體系應(yīng)至少包含以下內(nèi)容：

　?。ㄒ唬┟鞔_數(shù)據(jù)戰(zhàn)略，營(yíng)造數(shù)據(jù)文化

　　數(shù)據(jù)合規(guī)和數(shù)據(jù)治理是密不可分的,，數(shù)據(jù)合規(guī)須貫穿整個(gè)數(shù)據(jù)治理的過(guò)程,，須基于數(shù)據(jù)治理而開(kāi)展，而數(shù)據(jù)治理的有效推進(jìn)又離不開(kāi)數(shù)據(jù)合規(guī),，因此,，數(shù)據(jù)合規(guī)和數(shù)據(jù)治理的戰(zhàn)略目的是一致的。為了達(dá)到這一目的,，須從頂層設(shè)計(jì)層面明確數(shù)據(jù)戰(zhàn)略,，從上而下將數(shù)據(jù)思維貫穿于所有業(yè)務(wù)、所有管理和所有規(guī)劃,，人人講數(shù)據(jù),，人人講合規(guī)，從下而上推動(dòng)合規(guī)數(shù)據(jù)文化的培養(yǎng),，助力數(shù)字化轉(zhuǎn)型落到實(shí)處,。數(shù)據(jù)戰(zhàn)略的制定須和公司戰(zhàn)略、公司企業(yè)文化,、公司業(yè)務(wù)特點(diǎn)和公司當(dāng)前所處發(fā)展階段而結(jié)合,，因地制宜，高屋建瓴,，從宏觀層面來(lái)統(tǒng)一建設(shè)指導(dǎo)思路,，劃分發(fā)展階段任務(wù)，完善配套制度和細(xì)則,，搭建組織框架,，科學(xué)細(xì)分任務(wù)，明確權(quán)責(zé),。

　?。ǘ?shù)據(jù)資產(chǎn)的梳理和管理

　　數(shù)據(jù)資產(chǎn)的管理是一項(xiàng)系統(tǒng)性的工程，是隨著數(shù)據(jù)規(guī)模不斷擴(kuò)大、數(shù)據(jù)價(jià)值縱深挖掘過(guò)程中自然而然產(chǎn)生的一個(gè)現(xiàn)實(shí)性管理問(wèn)題,。對(duì)現(xiàn)有數(shù)據(jù)資產(chǎn)的梳理,，是數(shù)據(jù)管理工作的起點(diǎn)，更是數(shù)據(jù)合規(guī)工作的起點(diǎn),。各個(gè)機(jī)構(gòu)單元掌握哪些數(shù)據(jù)資產(chǎn),，哪些是敏感數(shù)據(jù)，哪些是需要公開(kāi)的數(shù)據(jù),，這些數(shù)據(jù)的外部訪(fǎng)問(wèn)、權(quán)限,、管理責(zé)任,、變更情況、使用情況,、存儲(chǔ)狀況等,，以及是否標(biāo)準(zhǔn)化、來(lái)源和用途是否清晰,、是否真實(shí),、數(shù)據(jù)之間的關(guān)系等等， 都需一一梳理和評(píng)估,，并最終形成數(shù)據(jù)資產(chǎn)清單,，由各級(jí)數(shù)據(jù)管理員統(tǒng)一匯報(bào)給公司數(shù)據(jù)治理小組，為公司的數(shù)據(jù)戰(zhàn)略或數(shù)據(jù)治理提供決策依據(jù),，同時(shí),，也是為數(shù)據(jù)合規(guī)工作開(kāi)展做好基礎(chǔ)性的鋪墊。日常的數(shù)據(jù)資產(chǎn)管理工作和數(shù)據(jù)治理密不可分,，在數(shù)據(jù)的全生命周期管理中,，從數(shù)據(jù)的生產(chǎn)到使用，直至銷(xiāo)毀,，數(shù)據(jù)合規(guī)工作都需要貫穿始終,，每一個(gè)環(huán)節(jié)都應(yīng)當(dāng)有效留痕和切實(shí)管控，從技術(shù)上和管理上進(jìn)行審慎評(píng)估,，并以制度的形式明確下來(lái),，使數(shù)據(jù)合規(guī)真正成為促進(jìn)數(shù)據(jù)治理有效開(kāi)展的強(qiáng)有力抓手。

　?。ㄈ?shù)據(jù)分類(lèi)分級(jí)

　　對(duì)數(shù)據(jù)的分類(lèi)分級(jí),，一方面是數(shù)據(jù)精細(xì)化管理的關(guān)鍵，另一方面也是數(shù)據(jù)合規(guī)工作以及其他相關(guān)數(shù)據(jù)工作的基礎(chǔ),，因此此處單獨(dú)拿出來(lái)作為數(shù)據(jù)合規(guī)體系的一部分,。2018年9月，證監(jiān)會(huì)發(fā)布《證券期貨業(yè)數(shù)據(jù)分類(lèi)分級(jí)指引》,，為證券期貨行業(yè)的數(shù)據(jù)工作樹(shù)立了行業(yè)標(biāo)準(zhǔn),，提供了切實(shí)可行的落地思路,。該指引將數(shù)據(jù)的分類(lèi)分級(jí)劃分為三個(gè)階段，即業(yè)務(wù)細(xì)分,、數(shù)據(jù)歸類(lèi),、級(jí)別判定，對(duì)每一個(gè)階段的實(shí)施進(jìn)行了詳細(xì)闡述,，并且還給出了證券期貨行業(yè)典型數(shù)據(jù)分類(lèi)分級(jí)的模板,。該指引充分體現(xiàn)了監(jiān)管對(duì)數(shù)據(jù)管理的重視，以及在數(shù)據(jù)風(fēng)險(xiǎn)防控上的高瞻遠(yuǎn)矚,。

　?。ㄋ模?shù)據(jù)技術(shù)保障

　　根據(jù)數(shù)據(jù)技術(shù)涉及的數(shù)據(jù)對(duì)象來(lái)劃分，大致可以分為微觀和宏觀兩部分,。微觀層面,，數(shù)據(jù)相關(guān)技術(shù)有數(shù)據(jù)脫敏、敏感數(shù)據(jù)掃描,、數(shù)據(jù)加密,、數(shù)據(jù)匿名、數(shù)據(jù)接口標(biāo)準(zhǔn)規(guī)范,，以及和數(shù)據(jù)存儲(chǔ),、數(shù)據(jù)恢復(fù)相關(guān)的各種數(shù)據(jù)技術(shù)；從宏觀層面,，數(shù)據(jù)管理過(guò)程中應(yīng)根據(jù)業(yè)務(wù)需要建立相應(yīng)的數(shù)據(jù)倉(cāng)庫(kù),、數(shù)據(jù)集市，乃至數(shù)據(jù)中臺(tái),，實(shí)現(xiàn)數(shù)據(jù)賦能,，使數(shù)據(jù)索取更加智能化，并且使開(kāi)發(fā)工作涉及到數(shù)據(jù)的部分更加標(biāo)準(zhǔn)化,、規(guī)范化,、流程化，讓更多精力集中于業(yè)務(wù)邏輯層面,。

　?。ㄎ澹?shù)據(jù)應(yīng)急管理

　　數(shù)據(jù)災(zāi)難在很多時(shí)候?qū)ζ髽I(yè)的運(yùn)作是致命性的，尤其相關(guān)技術(shù)如大數(shù)據(jù),、云計(jì)算,、機(jī)器學(xué)習(xí)等得到大規(guī)模使用。若發(fā)生數(shù)據(jù)泄露,、數(shù)據(jù)異常,、數(shù)據(jù)損壞等數(shù)據(jù)事件時(shí)，企業(yè)是否能快速應(yīng)對(duì)？建立一套數(shù)據(jù)應(yīng)急管理機(jī)制迫在眉睫,。從更深層次來(lái)說(shuō),，數(shù)據(jù)應(yīng)急管理的目的不是為了應(yīng)急，而是為了防患于未然,，避免未來(lái)數(shù)據(jù)事件的惡性發(fā)展趨勢(shì),。建立數(shù)據(jù)應(yīng)急管理機(jī)制，一方面要從組織架構(gòu)上予以保障,，梳理相應(yīng)的應(yīng)急處置流程,，明確獎(jiǎng)懲機(jī)制，除數(shù)據(jù)治理小組,、各級(jí)數(shù)據(jù)聯(lián)絡(luò)員參與外,，很多時(shí)候，法務(wù)人員也需提前介入進(jìn)行法律風(fēng)險(xiǎn)評(píng)估,；另一方面，應(yīng)提前建立相應(yīng)的數(shù)據(jù)風(fēng)險(xiǎn)識(shí)別,、監(jiān)測(cè)和評(píng)估機(jī)制,，動(dòng)態(tài)完善相關(guān)數(shù)據(jù)風(fēng)險(xiǎn)預(yù)案，并進(jìn)行定期演練,，以檢驗(yàn)管理有效性,。

　　4 企業(yè)數(shù)據(jù)合規(guī)實(shí)踐關(guān)注要點(diǎn)

　　（一）個(gè)人信息保護(hù)

　　個(gè)人信息被濫用已經(jīng)成為當(dāng)前社會(huì)治理上的痼疾,，相信大家都有類(lèi)似經(jīng)歷：無(wú)論在線(xiàn)下還是線(xiàn)上,，注冊(cè)會(huì)員、開(kāi)通賬戶(hù)或辦理其他業(yè)務(wù)時(shí),，一旦留下了手機(jī)號(hào)等個(gè)人信息,，接下來(lái)就會(huì)有保險(xiǎn)、炒股,、理財(cái)?shù)入娦旁p騙紛至沓來(lái)的騷擾,；個(gè)人在瀏覽器里的搜索信息或購(gòu)物軟件里的商品瀏覽記錄，有時(shí)候突然出現(xiàn)在手機(jī)里其他應(yīng)用軟件的“精準(zhǔn)推送”信息中,；更有甚者,，有時(shí)候個(gè)人照片、身份證號(hào),、賬戶(hù)等私密信息都莫名其妙被發(fā)布到網(wǎng)絡(luò)上,。大家都不同程度地受到個(gè)人信息泄露帶來(lái)的困擾，尤其當(dāng)垃圾短信,、機(jī)器人電話(huà)等像狗皮膏藥一樣對(duì)我們進(jìn)行狂轟濫炸時(shí),，真是讓人苦不堪言。最近發(fā)生的一個(gè)大學(xué)教授維權(quán)案例值得關(guān)注，當(dāng)小區(qū)以門(mén)禁改造名義收集人臉識(shí)別信息時(shí),，他選擇了拒絕和維權(quán),，他認(rèn)為小區(qū)物業(yè)管控沒(méi)有必要收集人臉信息，另外人臉信息具備永久性,，被泄露的后果更嚴(yán)重,，經(jīng)過(guò)一番“抗?fàn)帯焙螅詈笮^(qū)物業(yè)保留了刷卡進(jìn)小區(qū)的方式,，而不是將人臉識(shí)別作為進(jìn)出小區(qū)的唯一途徑,。由此案例可看出，個(gè)人信息保護(hù)非常重要,，需要大家在日常生活中加以關(guān)注,，共同推動(dòng)社會(huì)對(duì)個(gè)人信息的保護(hù)。

　　目前,，國(guó)內(nèi)關(guān)于個(gè)人信息保護(hù)的基本法《個(gè)人信息保護(hù)法》已在進(jìn)行三審,，將為個(gè)人信息的使用和保護(hù)提供強(qiáng)有力的法律保障。除此之外,，行業(yè)內(nèi)還是有其他關(guān)于個(gè)人信息保護(hù)的規(guī)章制度,，現(xiàn)列舉部分供參考。

　　2019年12月,，國(guó)家互聯(lián)網(wǎng)信息辦公室,、工業(yè)和信息化部、公安部,、市場(chǎng)監(jiān)管總局聯(lián)合印發(fā)《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》,，該方法中明確了“未公開(kāi)收集使用規(guī)則”、“未明示收集使用個(gè)人信息的目的,、方式和范圍”“未經(jīng)用戶(hù)同意收集使用個(gè)人信息”等違規(guī)行為的認(rèn)定方法,，為App運(yùn)營(yíng)者自查自糾和網(wǎng)民社會(huì)監(jiān)督提供了可循之徑，同時(shí),，該辦法也為2019年8月由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處起草的《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用（App）收集個(gè)人信息基本規(guī)范（草案）》提供了配套補(bǔ)充,。2019年4月由公安部網(wǎng)絡(luò)安全保衛(wèi)局、北京網(wǎng)絡(luò)行業(yè)協(xié)會(huì),、公安部第三研究所聯(lián)合發(fā)布《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》,，為互聯(lián)網(wǎng)環(huán)境下的個(gè)人信息保護(hù)提供了參考借鑒。2017年12月由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《信息安全技術(shù)個(gè)人信息安全規(guī)范》從信息技術(shù)建設(shè)層面,，對(duì)提升個(gè)人信息保護(hù)作了相關(guān)要求,，該規(guī)范于2018年5月正式實(shí)施，2020年再次修訂,。

　　企業(yè)在業(yè)務(wù)開(kāi)展和管理過(guò)程中,，凡是涉及到客戶(hù)個(gè)人信息的獲取和處理,，都需要慎之又慎，須對(duì)整個(gè)信息流的全生命周期進(jìn)行通盤(pán)考慮和全面分析,，一方面厘清信息流使個(gè)人信息的處理符合外部法規(guī),，另一方面通過(guò)完善業(yè)務(wù)流程和相關(guān)授權(quán)機(jī)制為客戶(hù)提供可信賴(lài)的服務(wù)。在涉及個(gè)人信息的處理方面,，國(guó)內(nèi)大型互聯(lián)網(wǎng)企業(yè)極度重視,，無(wú)論是制度建設(shè)、業(yè)務(wù)梳理,，還是技術(shù)保障,、法務(wù)支持，均走在行業(yè)的前列,，值得其他企業(yè)參考借鑒,。

　　（二）數(shù)據(jù)安全

　　數(shù)據(jù)安全問(wèn)題一直以來(lái)受到的關(guān)注度很高,，業(yè)界有相對(duì)來(lái)說(shuō)較為成熟的咨詢(xún)服務(wù)和技術(shù)解決方案,。數(shù)據(jù)安全的基礎(chǔ)是建立在對(duì)數(shù)據(jù)資產(chǎn)的梳理之上，關(guān)注點(diǎn)無(wú)外乎身份認(rèn)證,、訪(fǎng)問(wèn)權(quán)限,、數(shù)據(jù)防泄漏、數(shù)據(jù)防篡改,、安全審計(jì)等,。數(shù)據(jù)安全應(yīng)該覆蓋數(shù)據(jù)的全生命周期以及與數(shù)據(jù)相關(guān)的所有重要應(yīng)用場(chǎng)景,。然而,，很多數(shù)據(jù)安全解決方案中對(duì)數(shù)據(jù)的保護(hù)，往往都是建立在犧牲效率的基礎(chǔ)上,。如何平衡安全與效率,，使數(shù)據(jù)安全策略符合業(yè)務(wù)實(shí)際和公司未來(lái)發(fā)展方向，值得認(rèn)真思考,。

　　數(shù)據(jù)安全的合規(guī)性問(wèn)題,，可以從實(shí)現(xiàn)數(shù)據(jù)安全的技術(shù)手段和管理手段兩個(gè)方面進(jìn)行關(guān)注。在技術(shù)手段上,，從系統(tǒng)層面,，有桌面終端安全防護(hù)、桌面數(shù)據(jù)防泄漏,、虛擬桌面,、堡壘機(jī)等解決方案，對(duì)數(shù)據(jù)的流轉(zhuǎn)進(jìn)行全程審計(jì)或監(jiān)控,；從實(shí)現(xiàn)的具體技術(shù)細(xì)節(jié)上,，有數(shù)據(jù)脫敏處理,、數(shù)據(jù)加密、水印溯源,、電子簽名,、數(shù)據(jù)掃描等，對(duì)數(shù)據(jù)的安全進(jìn)行細(xì)顆粒度保障,。好的技術(shù)手段需要好的管理予以保障,，才能事半功倍，在管理手段上,，基于數(shù)據(jù)合規(guī)體系的構(gòu)建,，從頂層建筑層面打造數(shù)據(jù)合規(guī)文化，強(qiáng)調(diào)數(shù)據(jù)安全,，從具體的制度建設(shè)上,，將數(shù)據(jù)安全和數(shù)據(jù)治理緊密結(jié)合，使數(shù)據(jù)安全建設(shè)思路深深嵌入到系統(tǒng)建設(shè),、系統(tǒng)優(yōu)化,、業(yè)務(wù)開(kāi)展等各個(gè)環(huán)節(jié)。

　　在國(guó)內(nèi)制度立法上,，數(shù)據(jù)安全的基本法《數(shù)據(jù)安全法》已經(jīng)在今年6月發(fā)布,，將在今年9月1日生效。該法涵蓋了數(shù)據(jù)安全與發(fā)展,、數(shù)據(jù)安全制度,、數(shù)據(jù)安全保護(hù)義務(wù)、政務(wù)數(shù)據(jù)安全與開(kāi)放,、法律責(zé)任等內(nèi)容,，體現(xiàn)了政府對(duì)數(shù)字經(jīng)濟(jì)的重視和建設(shè)數(shù)字中國(guó)的決心，為各行各業(yè)開(kāi)展數(shù)據(jù)安全相關(guān)工作提供了指引,，更是數(shù)據(jù)合規(guī)工作開(kāi)展的重要制度依據(jù),。

　　（三）數(shù)據(jù)非法變現(xiàn)

　　數(shù)據(jù)非法變現(xiàn)的焦點(diǎn)問(wèn)題在于過(guò)度挖掘和濫用數(shù)據(jù),。數(shù)據(jù)本身是無(wú)罪的,，關(guān)鍵在于使用的人。

　　舉個(gè)例子,，可以讓大家更直觀地看到數(shù)據(jù)非法變現(xiàn)帶來(lái)的惡果,。在美劇《西部世界》中，時(shí)間設(shè)定為未來(lái),，人工智能和大數(shù)據(jù)分析的使用達(dá)到了登峰造極的地步,，作為集大成者的代表大數(shù)據(jù)分析系統(tǒng)“羅波安”，基于充足的基礎(chǔ)數(shù)據(jù)和數(shù)學(xué)模型,，將個(gè)體的未來(lái)計(jì)算出來(lái),，它可以看到所有人的過(guò)去和未來(lái),，每個(gè)人都事實(shí)上被它“鎖”定。因此,，個(gè)體未來(lái)每一個(gè)選擇都是必然的,，個(gè)體是可以被設(shè)計(jì)的，自由意志只是虛幻,。如果一旦發(fā)現(xiàn)有人的行為數(shù)據(jù)偏離預(yù)先設(shè)定,，“羅波安”的人類(lèi)設(shè)計(jì)者塞拉克就會(huì)不惜代價(jià)去試圖修正，甚至直接消滅這個(gè)“突變體”,，從而保證“羅波安”數(shù)據(jù)模型的準(zhǔn)確性,。未來(lái)如果任由數(shù)據(jù)濫用，是極其恐怖的,，數(shù)據(jù)的使用確實(shí)有其兩面性,，是把雙刃劍。

　　其他類(lèi)似數(shù)據(jù)濫用的例子還有大數(shù)據(jù)殺熟,、個(gè)人肖像特征非法獲取和濫用,、爬取公開(kāi)信息作為商業(yè)用途、使用木馬程序非法獲取數(shù)據(jù)并販賣(mài),、非法囤積數(shù)據(jù)等等,。關(guān)于個(gè)人信息數(shù)據(jù)的濫用，相關(guān)規(guī)章制度已經(jīng)重點(diǎn)考慮,，至少?gòu)闹贫葘用娑伦×艘徊糠致┒?。隨著社會(huì)大眾的數(shù)據(jù)權(quán)益保護(hù)意識(shí)越來(lái)越強(qiáng)，在企業(yè)開(kāi)展業(yè)務(wù)過(guò)程中,，即使數(shù)據(jù)獲取之后沒(méi)有實(shí)質(zhì)性的變現(xiàn),，也可能面臨相應(yīng)的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)，因?yàn)楹茈y擺脫變現(xiàn)的嫌疑,。因此,，數(shù)據(jù)管理者需要對(duì)數(shù)據(jù)的全生命周期進(jìn)行系統(tǒng)性考慮,，力爭(zhēng)使管理的每一條數(shù)據(jù)都是明明白白,、干干凈凈。

　?。ㄋ模?shù)據(jù)交換

　　數(shù)據(jù)交換包括數(shù)據(jù)輸出,、數(shù)據(jù)接入、數(shù)據(jù)共享,、數(shù)據(jù)引用,、數(shù)據(jù)落地等，主要關(guān)注數(shù)據(jù)的流動(dòng)性問(wèn)題,，是數(shù)據(jù)治理的重要內(nèi)容,。隨著各種云概念的泛濫,，如云接口、云文件,、云空間,、云搜索、云瀏覽,、云社區(qū),、云應(yīng)用、云殺毒,、云電視,、云直播等等，讓人眼花繚亂,，相應(yīng)地,，數(shù)據(jù)也隨著云技術(shù)學(xué)會(huì)了騰云駕霧，在目前系統(tǒng)建設(shè)趨于大集中大統(tǒng)一大交換的背景下,，數(shù)據(jù)交換更加高速和頻繁,，數(shù)據(jù)合規(guī)問(wèn)題更需要引起重視。

　　數(shù)據(jù)交換方面的合規(guī)性問(wèn)題主要有外部數(shù)據(jù)的合規(guī)使用,、共享數(shù)據(jù)的權(quán)益防護(hù),、第三方系統(tǒng)接入、用戶(hù)生成內(nèi)容的保護(hù),、敏感數(shù)據(jù)落地管理等,。目前較為常見(jiàn)的數(shù)據(jù)交換合規(guī)案例有：外部系統(tǒng)、外部接口或外部數(shù)據(jù)流接入到本地系統(tǒng)時(shí),，需要審慎評(píng)估是屬于三方非法接入還是合法合規(guī)的系統(tǒng)集成,；企業(yè)公眾號(hào)使用未經(jīng)授權(quán)的圖片，會(huì)存在被版權(quán)擁有者索賠的風(fēng)險(xiǎn),，本質(zhì)上也是非結(jié)構(gòu)化數(shù)據(jù)的合規(guī)問(wèn)題,。以上數(shù)據(jù)交換案例，不僅是數(shù)據(jù)合規(guī)的問(wèn)題,，往往還涉及到法務(wù),、信息技術(shù)等，需要多方介入共同論證和評(píng)估,，才能給出合理的解決方案,。

　　（五）數(shù)據(jù)存儲(chǔ)

　　數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)的分類(lèi)分級(jí)密切相關(guān),，不同的數(shù)據(jù)級(jí)別會(huì)對(duì)應(yīng)不同的存儲(chǔ)策略,，包括存儲(chǔ)內(nèi)容、存儲(chǔ)方式,、存儲(chǔ)頻率,、存儲(chǔ)介質(zhì),、存儲(chǔ)期限等。例如,，對(duì)于一級(jí)核心系統(tǒng),，相應(yīng)的數(shù)據(jù)存儲(chǔ)級(jí)別就是最高等級(jí)，需要考慮底層數(shù)據(jù)庫(kù)數(shù)據(jù)和數(shù)據(jù)日志的實(shí)時(shí)存儲(chǔ)復(fù)制,、同城和異地容災(zāi)備份,、數(shù)據(jù)的多節(jié)點(diǎn)分布式存儲(chǔ)等，以及因?yàn)閿?shù)據(jù)多活,、應(yīng)用多活帶來(lái)的其他相關(guān)數(shù)據(jù)存儲(chǔ)問(wèn)題等,。同時(shí)，數(shù)據(jù)的存儲(chǔ)絕非是一個(gè)靜態(tài)的概念,，必然是一個(gè)動(dòng)態(tài)的概念,。如果數(shù)據(jù)靜置不動(dòng)，不代表數(shù)據(jù)存儲(chǔ)合規(guī)無(wú)問(wèn)題,，因?yàn)閿?shù)據(jù)存儲(chǔ)的目的就是為了使用,，所以數(shù)據(jù)存儲(chǔ)策略需要首先滿(mǎn)足業(yè)務(wù)連續(xù)性的要求，定期進(jìn)行業(yè)務(wù)連續(xù)性演練,，達(dá)到恢復(fù)時(shí)間目標(biāo)（RTO）和恢復(fù)點(diǎn)目標(biāo)（RPO）,。數(shù)據(jù)存儲(chǔ)也并非是一個(gè)純粹的IT問(wèn)題，和業(yè)務(wù)需求緊密相連,，業(yè)務(wù)數(shù)據(jù)存儲(chǔ)必須滿(mǎn)足監(jiān)管的最低時(shí)限要求,。

　　（六）數(shù)據(jù)出境

　　近年來(lái),，國(guó)內(nèi)企業(yè)走出去做大做強(qiáng)已成為一個(gè)潮流,，然而因?yàn)閲?guó)內(nèi)企業(yè)往往不太關(guān)注數(shù)據(jù)安全問(wèn)題，同時(shí)不熟悉所在國(guó)家相關(guān)法律,，數(shù)據(jù)合規(guī)問(wèn)題往往成為風(fēng)險(xiǎn)敞口,，最終影響到了企業(yè)在國(guó)外的發(fā)展，并且很容易給國(guó)外帶來(lái)先入為主的印象,，為后續(xù)其他國(guó)內(nèi)企業(yè)的市場(chǎng)進(jìn)入帶來(lái)不良影響,。

　　涉及到數(shù)據(jù)方面的法律法規(guī)，具有代表性的是歐盟的《一般數(shù)據(jù)保護(hù)條例》（GDPR）和美國(guó)的《加利福尼亞州消費(fèi)者隱私保護(hù)法案》（CCPA）,，兩部法律的目的都是旨在規(guī)范數(shù)據(jù)的合法合規(guī)使用,，明確數(shù)據(jù)主體的權(quán)益,，防止數(shù)據(jù)濫用,，促進(jìn)數(shù)據(jù)安全。兩部法律對(duì)個(gè)人信息保護(hù)格外重視,，概念界定都較為寬泛,，主要的不同就在于立場(chǎng)的不同：GDPR是基于監(jiān)管者的立場(chǎng),，以個(gè)人隱私數(shù)據(jù)為出發(fā)點(diǎn)，強(qiáng)調(diào)數(shù)據(jù)保護(hù)的主動(dòng)性,；CCPA偏向于消費(fèi)者的立場(chǎng),，整體傾向數(shù)據(jù)的合規(guī)使用和合理價(jià)值實(shí)現(xiàn)。引用網(wǎng)上比較流行的觀點(diǎn),，在個(gè)人數(shù)據(jù)保護(hù)層面,，GDPR是“原則上禁止，有合法授權(quán)時(shí)允許”,，CCPA則是“原則上允許,，有條件禁止”。

　?。Y(jié) 語(yǔ)｜

　　總而言之,，數(shù)字化轉(zhuǎn)型的大背景下，要求每個(gè)人不僅要有數(shù)據(jù)思維,，更要有數(shù)據(jù)合規(guī)思維,。同樣，數(shù)據(jù)合規(guī)管理也需要與時(shí)俱進(jìn),，開(kāi)拓創(chuàng)新,，為數(shù)字化的成功落地保駕護(hù)航。數(shù)字轉(zhuǎn)型,，合規(guī)先行,；合規(guī)護(hù)航，行穩(wěn)致遠(yuǎn),。