前 言

　　2020年4月10日，《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》（簡稱《意見》）正式公布。這是中央首次把數據作為一種新型生產要素寫入文件。美國近年更是通過加強數據控制的《云端法》配合“長臂管轄”原則，將調取數據權限覆蓋至全球與美國相關企業，企圖藉此侵犯他國數據管轄權，最終形成全球數據霸權。國與國之間在數據領域的競爭愈演愈烈。

　　數據作為新時代的石油，不僅僅對國家很重要，對每個企業來說也是重要的資產，是企業未來的核心競爭力。如何使數據資產最大化發揮其價值？關鍵就是數據治理。數據治理是數字化轉型的基礎和關鍵，沒有數據治理，數字化轉型就是空中樓閣，水中撈月。而數據合規則是數據治理的重中之重，兩者如影隨形，相輔相成，從某種意義上，數據治理的目的就是數據合規。本文擬從企業實務角度探討數據合規問題，與大家共同交流。

　　1 中國企業數據合規現狀

　　以大數據、云計算、機器學習、人工智能數等為代表的的金融科技在業務實踐中得到大規模的運用，數據資產的重要性更加凸顯，相應地，數據合規的問題也越來越突出。目前，我國數據保護力度不斷加強，新法規、新指南、新標準不斷出臺，相關職能部門也加大檢查力度。但企業的從理念還是到行動對數據合規的認識都不到位。

　　墨跡科技旗下墨跡天氣App是一款天氣類App，擁有5.56億的累計裝機量。2018年1月23日，北京墨跡風云科技股份有限公司向證監會報送《創業板首次公開發行股票招股說明書》。遺憾的是，2019年10月11日，中國證券監督管理委員會發布公告，北京墨跡風云科技股份有限公司首發申請未予通過。在公告中發審委提出了四條問題，其中重點針對墨跡風云的數據治理提出了質疑。

　　無獨有偶，曠視科技IPO的過程中，上海證券交易所就數據合規與科技倫理進行了問詢。交易所在IPO過程中對數據合規問題進行關切已經成為“必答題”，所有與數據相關企業都要對自己如何收集、使用數據進行說明。

　　2021年5月9日晚間，銀保監會一口氣發布九張行政處罰信息公開表，涉及六大國有行和光大、中信八家銀行。因監管標準化數據（EAST）系統數據質量及報送存在違法違規行為，這八家銀行一共被罰款1770萬元。

　　我國頒布了一系列涉及數據合規的法律規范。《民法典》《網絡安全法》《個人信息安全規范》《數據安全法》《個人信息保護法（草案）》《關鍵信息基礎設施安全保護條例》《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》等均被列為合規依據，從中央到地方將對數據處理、數據活動形成全范圍的規制與保護。

　　隨著各種規章制度越來越細化和深入，可以預見，凡是涉及到數據的問題會越來越敏感，行業監管對數據也只會越來越重視。從本質上來說，數據合規是企業的生存問題，有其現實性和急迫性。

　　2 什么是數據合規

　　理解企業數據合規，首先要重新認識企業數據合規里的“數據”。這里的數據，絕非僅僅狹義上的存放在數據庫里或電子表格里的數據，而是廣義上的企業在生產經營過程中涉及到的一切數據。從數據對象上，既有客戶的，也有企業員工的，還有第三方的；從數據形態上，既有靜態的，也有動態的；從數據結構上，既有結構化的，也有非結構化的；從數據內容上，既有原始的，也有加工過的；從數據存儲上，既有落地的，也有流動的。像客戶行為、應用日志、視頻錄像、電話錄音等等都應屬于數據合規關注的數據范疇。

　　涉及到企業數據合規，最近幾年社會上的熱點案例以及相關的規章制度，基本都集中在個人信息防護和數據安全的層面，因為這兩方面產生的爭議和糾紛最多，而從數字化轉型發展的長遠來看，數據合規遠遠不止個人信息防護和數據安全。數據合規具體涵蓋了哪些方面？如何前瞻性地識別數據合規風險？我們覺得可以從監管部門的規章制度上得以借鑒和思索。

　　作為證券基金行業信息技術管理基本大法的證監會第152號文《證券基金經營機構信息技術管理辦法》，將數據治理作為一個大章節，濃筆重墨，其中“第二十九條：證券基金經營機構應當結合公司發展戰略，建立全面、科學、有效的數據治理組織架構以及數據全生命周期管理機制，確保數據統一管理、持續可控和安全存儲，切實履行數據安全及數據質量管理職責，不斷提升數據使用價值。”，該條制度為我們指出了數據合規的根本原則和基本思路，根本原則就是“全生命周期管理”，基本思路涉及到了“數據戰略”、“數據存儲”、“數據安全”、“數據質量”、“數據變現”等。

　　相對而言，152號文里關于數據的論述還缺乏體系化和結構化，因為畢竟不是專門針對數據治理而制定的。我們覺得可以同時借鑒銀保監會[2018]22號文《銀行業金融機構數據治理指引》。該指引指出，數據管理是金融業由高速發展向高質量發展轉變的關鍵，強調了數據管理的全覆蓋原則，包括數據戰略、數據管理制度、數據標準、信息系統、數據共享、數據安全、應急預案、問責機制和自我評估機制等。

　　結合以上兩個金融行業的重要制度，同時參考行業內的實踐案例，并考慮到可操作性，我們認為數據合規的內涵至少包括以下幾大方面：數據戰略、數據文化、數據標準、數據分類、數據質量、數據存儲、數據安全、數據變現、數據共享等。以上數據合規的幾大關注點，不僅涉及到管理問題，還有較為專業的技術問題。

　　3 企業數據合規體系

　　數據合規的目的不是限制數據資產的使用，而是引導數據資產合法合規地實現價值挖掘和變現，使數字化轉型落到實處。如何使數據資產價值實現和數據合規達到一種動態的可持續性的平衡狀態？關鍵在于構建相關的機制。首先需要明確的是，數據合規不是合規部門的合規，也更不是信息技術部門的合規，而是公司整體上下每個業務單元和每個員工的合規，助力數字轉型，需要公司從高層到基層，系統性結構性全面性地由上而下來打造一套數據合規體系。

　　參照近幾年來部分企業在數據合規建設上的摸索實踐，同時結合最近幾年來相關監管規章制度，我們認為，數據合規體系應至少包含以下內容：

　　（一）明確數據戰略，營造數據文化

　　數據合規和數據治理是密不可分的，數據合規須貫穿整個數據治理的過程，須基于數據治理而開展，而數據治理的有效推進又離不開數據合規，因此，數據合規和數據治理的戰略目的是一致的。為了達到這一目的，須從頂層設計層面明確數據戰略，從上而下將數據思維貫穿于所有業務、所有管理和所有規劃，人人講數據，人人講合規，從下而上推動合規數據文化的培養，助力數字化轉型落到實處。數據戰略的制定須和公司戰略、公司企業文化、公司業務特點和公司當前所處發展階段而結合，因地制宜，高屋建瓴，從宏觀層面來統一建設指導思路，劃分發展階段任務，完善配套制度和細則，搭建組織框架，科學細分任務，明確權責。

　　（二）數據資產的梳理和管理

　　數據資產的管理是一項系統性的工程，是隨著數據規模不斷擴大、數據價值縱深挖掘過程中自然而然產生的一個現實性管理問題。對現有數據資產的梳理，是數據管理工作的起點，更是數據合規工作的起點。各個機構單元掌握哪些數據資產，哪些是敏感數據，哪些是需要公開的數據，這些數據的外部訪問、權限、管理責任、變更情況、使用情況、存儲狀況等，以及是否標準化、來源和用途是否清晰、是否真實、數據之間的關系等等， 都需一一梳理和評估，并最終形成數據資產清單，由各級數據管理員統一匯報給公司數據治理小組，為公司的數據戰略或數據治理提供決策依據，同時，也是為數據合規工作開展做好基礎性的鋪墊。日常的數據資產管理工作和數據治理密不可分，在數據的全生命周期管理中，從數據的生產到使用，直至銷毀，數據合規工作都需要貫穿始終，每一個環節都應當有效留痕和切實管控，從技術上和管理上進行審慎評估，并以制度的形式明確下來，使數據合規真正成為促進數據治理有效開展的強有力抓手。

　　（三）數據分類分級

　　對數據的分類分級，一方面是數據精細化管理的關鍵，另一方面也是數據合規工作以及其他相關數據工作的基礎，因此此處單獨拿出來作為數據合規體系的一部分。2018年9月，證監會發布《證券期貨業數據分類分級指引》，為證券期貨行業的數據工作樹立了行業標準，提供了切實可行的落地思路。該指引將數據的分類分級劃分為三個階段，即業務細分、數據歸類、級別判定，對每一個階段的實施進行了詳細闡述，并且還給出了證券期貨行業典型數據分類分級的模板。該指引充分體現了監管對數據管理的重視，以及在數據風險防控上的高瞻遠矚。

　　（四）數據技術保障

　　根據數據技術涉及的數據對象來劃分，大致可以分為微觀和宏觀兩部分。微觀層面，數據相關技術有數據脫敏、敏感數據掃描、數據加密、數據匿名、數據接口標準規范，以及和數據存儲、數據恢復相關的各種數據技術；從宏觀層面，數據管理過程中應根據業務需要建立相應的數據倉庫、數據集市，乃至數據中臺，實現數據賦能，使數據索取更加智能化，并且使開發工作涉及到數據的部分更加標準化、規范化、流程化，讓更多精力集中于業務邏輯層面。

　　（五）數據應急管理

　　數據災難在很多時候對企業的運作是致命性的，尤其相關技術如大數據、云計算、機器學習等得到大規模使用。若發生數據泄露、數據異常、數據損壞等數據事件時，企業是否能快速應對？建立一套數據應急管理機制迫在眉睫。從更深層次來說，數據應急管理的目的不是為了應急，而是為了防患于未然，避免未來數據事件的惡性發展趨勢。建立數據應急管理機制，一方面要從組織架構上予以保障，梳理相應的應急處置流程，明確獎懲機制，除數據治理小組、各級數據聯絡員參與外，很多時候，法務人員也需提前介入進行法律風險評估；另一方面，應提前建立相應的數據風險識別、監測和評估機制，動態完善相關數據風險預案，并進行定期演練，以檢驗管理有效性。

　　4 企業數據合規實踐關注要點

　　（一）個人信息保護

　　個人信息被濫用已經成為當前社會治理上的痼疾，相信大家都有類似經歷：無論在線下還是線上，注冊會員、開通賬戶或辦理其他業務時，一旦留下了手機號等個人信息，接下來就會有保險、炒股、理財等電信詐騙紛至沓來的騷擾；個人在瀏覽器里的搜索信息或購物軟件里的商品瀏覽記錄，有時候突然出現在手機里其他應用軟件的“精準推送”信息中；更有甚者，有時候個人照片、身份證號、賬戶等私密信息都莫名其妙被發布到網絡上。大家都不同程度地受到個人信息泄露帶來的困擾，尤其當垃圾短信、機器人電話等像狗皮膏藥一樣對我們進行狂轟濫炸時，真是讓人苦不堪言。最近發生的一個大學教授維權案例值得關注，當小區以門禁改造名義收集人臉識別信息時，他選擇了拒絕和維權，他認為小區物業管控沒有必要收集人臉信息，另外人臉信息具備永久性，被泄露的后果更嚴重，經過一番“抗爭”后，最后小區物業保留了刷卡進小區的方式，而不是將人臉識別作為進出小區的唯一途徑。由此案例可看出，個人信息保護非常重要，需要大家在日常生活中加以關注，共同推動社會對個人信息的保護。

　　目前，國內關于個人信息保護的基本法《個人信息保護法》已在進行三審，將為個人信息的使用和保護提供強有力的法律保障。除此之外，行業內還是有其他關于個人信息保護的規章制度，現列舉部分供參考。

　　2019年12月，國家互聯網信息辦公室、工業和信息化部、公安部、市場監管總局聯合印發《App違法違規收集使用個人信息行為認定方法》，該方法中明確了“未公開收集使用規則”、“未明示收集使用個人信息的目的、方式和范圍”“未經用戶同意收集使用個人信息”等違規行為的認定方法，為App運營者自查自糾和網民社會監督提供了可循之徑，同時，該辦法也為2019年8月由全國信息安全標準化技術委員會秘書處起草的《信息安全技術移動互聯網應用（App）收集個人信息基本規范（草案）》提供了配套補充。2019年4月由公安部網絡安全保衛局、北京網絡行業協會、公安部第三研究所聯合發布《互聯網個人信息安全保護指南》，為互聯網環境下的個人信息保護提供了參考借鑒。2017年12月由全國信息安全標準化技術委員會發布《信息安全技術個人信息安全規范》從信息技術建設層面，對提升個人信息保護作了相關要求，該規范于2018年5月正式實施，2020年再次修訂。

　　企業在業務開展和管理過程中，凡是涉及到客戶個人信息的獲取和處理，都需要慎之又慎，須對整個信息流的全生命周期進行通盤考慮和全面分析，一方面厘清信息流使個人信息的處理符合外部法規，另一方面通過完善業務流程和相關授權機制為客戶提供可信賴的服務。在涉及個人信息的處理方面，國內大型互聯網企業極度重視，無論是制度建設、業務梳理，還是技術保障、法務支持，均走在行業的前列，值得其他企業參考借鑒。

　　（二）數據安全

　　數據安全問題一直以來受到的關注度很高，業界有相對來說較為成熟的咨詢服務和技術解決方案。數據安全的基礎是建立在對數據資產的梳理之上，關注點無外乎身份認證、訪問權限、數據防泄漏、數據防篡改、安全審計等。數據安全應該覆蓋數據的全生命周期以及與數據相關的所有重要應用場景。然而，很多數據安全解決方案中對數據的保護，往往都是建立在犧牲效率的基礎上。如何平衡安全與效率，使數據安全策略符合業務實際和公司未來發展方向，值得認真思考。

　　數據安全的合規性問題，可以從實現數據安全的技術手段和管理手段兩個方面進行關注。在技術手段上，從系統層面，有桌面終端安全防護、桌面數據防泄漏、虛擬桌面、堡壘機等解決方案，對數據的流轉進行全程審計或監控；從實現的具體技術細節上，有數據脫敏處理、數據加密、水印溯源、電子簽名、數據掃描等，對數據的安全進行細顆粒度保障。好的技術手段需要好的管理予以保障，才能事半功倍，在管理手段上，基于數據合規體系的構建，從頂層建筑層面打造數據合規文化，強調數據安全，從具體的制度建設上，將數據安全和數據治理緊密結合，使數據安全建設思路深深嵌入到系統建設、系統優化、業務開展等各個環節。

　　在國內制度立法上，數據安全的基本法《數據安全法》已經在今年6月發布，將在今年9月1日生效。該法涵蓋了數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放、法律責任等內容，體現了政府對數字經濟的重視和建設數字中國的決心，為各行各業開展數據安全相關工作提供了指引，更是數據合規工作開展的重要制度依據。

　　（三）數據非法變現

　　數據非法變現的焦點問題在于過度挖掘和濫用數據。數據本身是無罪的，關鍵在于使用的人。

　　舉個例子，可以讓大家更直觀地看到數據非法變現帶來的惡果。在美劇《西部世界》中，時間設定為未來，人工智能和大數據分析的使用達到了登峰造極的地步，作為集大成者的代表大數據分析系統“羅波安”，基于充足的基礎數據和數學模型，將個體的未來計算出來，它可以看到所有人的過去和未來，每個人都事實上被它“鎖”定。因此，個體未來每一個選擇都是必然的，個體是可以被設計的，自由意志只是虛幻。如果一旦發現有人的行為數據偏離預先設定，“羅波安”的人類設計者塞拉克就會不惜代價去試圖修正，甚至直接消滅這個“突變體”，從而保證“羅波安”數據模型的準確性。未來如果任由數據濫用，是極其恐怖的，數據的使用確實有其兩面性，是把雙刃劍。

　　其他類似數據濫用的例子還有大數據殺熟、個人肖像特征非法獲取和濫用、爬取公開信息作為商業用途、使用木馬程序非法獲取數據并販賣、非法囤積數據等等。關于個人信息數據的濫用，相關規章制度已經重點考慮，至少從制度層面堵住了一部分漏洞。隨著社會大眾的數據權益保護意識越來越強，在企業開展業務過程中，即使數據獲取之后沒有實質性的變現，也可能面臨相應的數據合規風險，因為很難擺脫變現的嫌疑。因此，數據管理者需要對數據的全生命周期進行系統性考慮，力爭使管理的每一條數據都是明明白白、干干凈凈。

　　（四）數據交換

　　數據交換包括數據輸出、數據接入、數據共享、數據引用、數據落地等，主要關注數據的流動性問題，是數據治理的重要內容。隨著各種云概念的泛濫，如云接口、云文件、云空間、云搜索、云瀏覽、云社區、云應用、云殺毒、云電視、云直播等等，讓人眼花繚亂，相應地，數據也隨著云技術學會了騰云駕霧，在目前系統建設趨于大集中大統一大交換的背景下，數據交換更加高速和頻繁，數據合規問題更需要引起重視。

　　數據交換方面的合規性問題主要有外部數據的合規使用、共享數據的權益防護、第三方系統接入、用戶生成內容的保護、敏感數據落地管理等。目前較為常見的數據交換合規案例有：外部系統、外部接口或外部數據流接入到本地系統時，需要審慎評估是屬于三方非法接入還是合法合規的系統集成；企業公眾號使用未經授權的圖片，會存在被版權擁有者索賠的風險，本質上也是非結構化數據的合規問題。以上數據交換案例，不僅是數據合規的問題，往往還涉及到法務、信息技術等，需要多方介入共同論證和評估，才能給出合理的解決方案。

　　（五）數據存儲

　　數據存儲和數據的分類分級密切相關，不同的數據級別會對應不同的存儲策略，包括存儲內容、存儲方式、存儲頻率、存儲介質、存儲期限等。例如，對于一級核心系統，相應的數據存儲級別就是最高等級，需要考慮底層數據庫數據和數據日志的實時存儲復制、同城和異地容災備份、數據的多節點分布式存儲等，以及因為數據多活、應用多活帶來的其他相關數據存儲問題等。同時，數據的存儲絕非是一個靜態的概念，必然是一個動態的概念。如果數據靜置不動，不代表數據存儲合規無問題，因為數據存儲的目的就是為了使用，所以數據存儲策略需要首先滿足業務連續性的要求，定期進行業務連續性演練，達到恢復時間目標（RTO）和恢復點目標（RPO）。數據存儲也并非是一個純粹的IT問題，和業務需求緊密相連，業務數據存儲必須滿足監管的最低時限要求。

　　（六）數據出境

　　近年來，國內企業走出去做大做強已成為一個潮流，然而因為國內企業往往不太關注數據安全問題，同時不熟悉所在國家相關法律，數據合規問題往往成為風險敞口，最終影響到了企業在國外的發展，并且很容易給國外帶來先入為主的印象，為后續其他國內企業的市場進入帶來不良影響。

　　涉及到數據方面的法律法規，具有代表性的是歐盟的《一般數據保護條例》（GDPR）和美國的《加利福尼亞州消費者隱私保護法案》（CCPA），兩部法律的目的都是旨在規范數據的合法合規使用，明確數據主體的權益，防止數據濫用，促進數據安全。兩部法律對個人信息保護格外重視，概念界定都較為寬泛，主要的不同就在于立場的不同：GDPR是基于監管者的立場，以個人隱私數據為出發點，強調數據保護的主動性；CCPA偏向于消費者的立場，整體傾向數據的合規使用和合理價值實現。引用網上比較流行的觀點，在個人數據保護層面，GDPR是“原則上禁止，有合法授權時允許”，CCPA則是“原則上允許，有條件禁止”。

　　｜結 語｜

　　總而言之，數字化轉型的大背景下，要求每個人不僅要有數據思維，更要有數據合規思維。同樣，數據合規管理也需要與時俱進，開拓創新，為數字化的成功落地保駕護航。數字轉型，合規先行；合規護航，行穩致遠。