隨著大數(shù)據(jù)、云計(jì)算、人工智能等新興技術(shù)在數(shù)字經(jīng)濟(jì)中廣泛運(yùn)用，數(shù)據(jù)要素已成為引領(lǐng)中國高質(zhì)量發(fā)展的一個(gè)新引擎。但隨之而來， 數(shù)據(jù)的分布式存儲(chǔ)、多渠道流轉(zhuǎn)、多業(yè)務(wù)共享已成為常態(tài)，數(shù)據(jù)活動(dòng)場(chǎng)景復(fù)雜性增大，新的信息安全風(fēng)險(xiǎn)點(diǎn)由此延伸。

與此同時(shí)，我國的數(shù)據(jù)安全也邁入了強(qiáng)監(jiān)管時(shí)代。《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律陸續(xù)出臺(tái)，健全了我國數(shù)據(jù)安全法律法規(guī)矩陣，構(gòu)建了我國網(wǎng)絡(luò)空間治理和數(shù)據(jù)保護(hù)的基本法，對(duì)企業(yè)的數(shù)據(jù)收集以及使用等各環(huán)節(jié)，做出了明確規(guī)范和要求。

在此背景下，企業(yè)數(shù)據(jù)合規(guī)也面臨著更高的要求。

那么，什么是企業(yè)數(shù)據(jù)合規(guī)？

企業(yè)數(shù)據(jù)合規(guī)是指企業(yè)對(duì)數(shù)據(jù)采取的行為符合所在地與業(yè)務(wù)關(guān)聯(lián)地法律法規(guī)的要求。企業(yè)從數(shù)據(jù)的收集、處理、儲(chǔ)存，到轉(zhuǎn)讓、刪除、銷毀，都需要依照相關(guān)法規(guī)來執(zhí)行。

做好數(shù)據(jù)合規(guī)，能幫助企業(yè)避免關(guān)法律風(fēng)險(xiǎn)，促進(jìn)企業(yè)良性發(fā)展；同時(shí)也能確保企業(yè)可以持續(xù)、合法的使用相應(yīng)的數(shù)據(jù)，以及擁有相應(yīng)數(shù)據(jù)產(chǎn)品的財(cái)產(chǎn)權(quán)利，幫助企業(yè)維護(hù)好數(shù)據(jù)資產(chǎn)。

01、數(shù)據(jù)合規(guī)監(jiān)管框架

要做好企業(yè)數(shù)據(jù)合規(guī)，我們首先需要理清當(dāng)前的數(shù)據(jù)合規(guī)監(jiān)管框架。

從主要的法規(guī)、監(jiān)管政策發(fā)布實(shí)施時(shí)間來看，自2019年起，數(shù)據(jù)合規(guī)和保護(hù)逐漸進(jìn)入到強(qiáng)監(jiān)管的時(shí)代。

2013年的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》就個(gè)人信息的收集和使用規(guī)范以及企業(yè)需要采取的安全保障措施作出專章規(guī)定，其中確定的大部分原則延續(xù)至今。

2017年，《網(wǎng)絡(luò)安全法》開始實(shí)施，該法作為網(wǎng)絡(luò)安全領(lǐng)域的第一部法律，在網(wǎng)絡(luò)運(yùn)行安全和網(wǎng)絡(luò)信息安全方面提出了數(shù)據(jù)保護(hù)和個(gè)人信息保護(hù)的要求。

2019年初，工信部、網(wǎng)信辦、公安部、市場(chǎng)監(jiān)管總局共同以一則《開展APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》啟動(dòng)了持續(xù)到現(xiàn)在的專項(xiàng)整治行動(dòng)。

2020年10月1日，市場(chǎng)監(jiān)督總局和國家標(biāo)準(zhǔn)委員會(huì)聯(lián)合發(fā)布了GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》，從數(shù)據(jù)處理全流程的活動(dòng)原則和安全要求上作出全面規(guī)定。

2021年1月1日實(shí)施的《民法典》則是從基本法律的高度上明確了個(gè)人信息受法律保護(hù)。

2021年8月1日，最高院《關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用若干問題的規(guī)定》成為第一個(gè)針對(duì)特定個(gè)人信息（人臉）保護(hù)作出的司法解釋。

2021年9月1日，確立數(shù)據(jù)安全及治理基本框架的《數(shù)據(jù)安全法》實(shí)施。

2021年11月1日，針對(duì)個(gè)人信息保護(hù)的《個(gè)人信息保護(hù)法》實(shí)施。

另外，公安部2019年發(fā)布的《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》、信標(biāo)委2020年7月發(fā)布的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)收集使用個(gè)人信息自評(píng)估指南》、9月發(fā)布的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)個(gè)人信息保護(hù)常見文集及處置指南》也是經(jīng)常被提及和參考的一些文件。

上述文件，共同構(gòu)筑了當(dāng)下數(shù)據(jù)合規(guī)的監(jiān)管框架。

02、常見的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)類型

侵犯?jìng)€(gè)人信息

大數(shù)據(jù)技術(shù)的發(fā)展給生產(chǎn)生活帶來了便利，但如若濫用技術(shù)、過度收集和使用個(gè)人數(shù)據(jù)，會(huì)造成對(duì)個(gè)人信息的侵犯，觸發(fā)數(shù)據(jù)合規(guī)問題。這一風(fēng)險(xiǎn)現(xiàn)象在一些APP中時(shí)有發(fā)生，比如一些APP會(huì)使用默認(rèn)授權(quán)的方式來強(qiáng)迫用戶同意APP對(duì)其個(gè)人信息的收集、或是要求開啟與其服務(wù)無關(guān)的權(quán)限。

2021年5月1日實(shí)施的《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》（以下簡稱《規(guī)定》）對(duì)此做了相應(yīng)規(guī)范與界定，明確了39種常見類型App必要的個(gè)人信息收集范圍，同時(shí)要求App不得因?yàn)橛脩艟芙^提供非必要個(gè)人信息而拒絕用戶使用其基本服務(wù)。?

侵犯消費(fèi)者權(quán)益

這一風(fēng)險(xiǎn)主要存在于企業(yè)的數(shù)據(jù)應(yīng)用階段，比如常見的“大數(shù)據(jù)殺熟”現(xiàn)象，同樣的商品或服務(wù)，老客戶看到的價(jià)格遠(yuǎn)高于新客戶的價(jià)格。這一現(xiàn)象實(shí)質(zhì)上是企業(yè)對(duì)大數(shù)據(jù)算法等技術(shù)手段的濫用。

對(duì)此，相關(guān)機(jī)構(gòu)也出臺(tái)了明文規(guī)定：文化和旅游部在《在線旅游經(jīng)營服務(wù)管理暫行規(guī)定》中要求在線旅游企業(yè)不得濫用大數(shù)據(jù)分析侵犯旅游者的合法權(quán)益；市場(chǎng)監(jiān)管總局發(fā)布了《關(guān)于平臺(tái)經(jīng)濟(jì)領(lǐng)域的反壟斷指南》征求意見稿，力求進(jìn)一步加強(qiáng)對(duì)互聯(lián)網(wǎng)平臺(tái)不公平價(jià)格行為的監(jiān)管。?

侵犯商業(yè)機(jī)密

商業(yè)機(jī)密數(shù)據(jù)是指對(duì)企業(yè)生產(chǎn)發(fā)展和競(jìng)爭力具有重要價(jià)值的企業(yè)數(shù)據(jù)，如客戶資料、生產(chǎn)數(shù)據(jù)等。企業(yè)既存在著商業(yè)數(shù)據(jù)秘密被他人侵犯的風(fēng)險(xiǎn)，也存在著侵犯他人商業(yè)數(shù)據(jù)秘密的風(fēng)險(xiǎn)。比如一些企業(yè)利用掌握其他企業(yè)商業(yè)數(shù)據(jù)秘密的員工跳槽所帶來的相關(guān)數(shù)據(jù)進(jìn)行業(yè)務(wù)拓展，或者利用尚未公開的技術(shù)數(shù)據(jù)進(jìn)行新產(chǎn)品開發(fā)等，都存在侵犯商業(yè)秘密的風(fēng)險(xiǎn)。

侵犯計(jì)算機(jī)/信息網(wǎng)絡(luò)違法犯罪

企業(yè)數(shù)據(jù)風(fēng)險(xiǎn)不僅包括民事上的涉訴風(fēng)險(xiǎn)，還可能使企業(yè)及管理層面臨刑事責(zé)任風(fēng)險(xiǎn)。

例如“爬蟲”是企業(yè)高效提取并利用數(shù)據(jù)最常用的網(wǎng)絡(luò)信息搜索技術(shù)，但若“爬蟲”行為未在法律框架內(nèi)實(shí)施，則可能給企業(yè)帶來嚴(yán)重的刑事后果。如在數(shù)據(jù)獲取環(huán)節(jié)，利用“爬蟲”非法獲取其他計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)的，可能涉嫌“非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪”；干擾其他網(wǎng)站正常運(yùn)營，或者故意制作、傳播病毒等破壞性程序，影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行的，可能構(gòu)成“破壞計(jì)算機(jī)信息系統(tǒng)罪”。

違反網(wǎng)絡(luò)安全保護(hù)或信息網(wǎng)絡(luò)安全管理義務(wù)

數(shù)據(jù)安全問題一直以來都是用戶關(guān)心的重點(diǎn)，也是企業(yè)應(yīng)當(dāng)重點(diǎn)關(guān)注的事項(xiàng)。在信息網(wǎng)絡(luò)安全管理方面，如企業(yè)作為網(wǎng)絡(luò)服務(wù)提供者不履行法律法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正導(dǎo)致違法信息大量傳播、用戶信息泄露等的，則可能構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。

數(shù)據(jù)跨境流動(dòng)合規(guī)風(fēng)險(xiǎn)

企業(yè)若未經(jīng)國家相關(guān)部門批準(zhǔn)而將數(shù)據(jù)擅自傳輸至國外也可能面臨構(gòu)成《刑法》中國家安全犯罪的風(fēng)險(xiǎn)。《評(píng)估指南》和《評(píng)估辦法》中也均要求可能影響國家安全、經(jīng)濟(jì)發(fā)展、公共利益的數(shù)據(jù)在出境前應(yīng)先報(bào)請(qǐng)行業(yè)主管或監(jiān)管部門組織安全評(píng)估。?

《網(wǎng)絡(luò)安全法》第六十六條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者違法在境外存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)或者向境外提供網(wǎng)絡(luò)數(shù)據(jù)的，將由有關(guān)主管部門進(jìn)行行政處罰或?qū)χ鞴苋藛T處以罰款。除了《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法（草案）》等數(shù)據(jù)安全專門法律法規(guī)的規(guī)定之外，一些專業(yè)領(lǐng)域方面的法律規(guī)定中也對(duì)數(shù)據(jù)跨境流動(dòng)進(jìn)行了限制，若未注意可能會(huì)受到相應(yīng)的行政處罰。

03、企業(yè)如何做好數(shù)據(jù)合規(guī)？

1. 建立數(shù)據(jù)合規(guī)框架體系
一個(gè)完備、高效的內(nèi)部合規(guī)管理組織體系，是做好企業(yè)數(shù)據(jù)合規(guī)的基礎(chǔ)保障。

企業(yè)可以以“專家+工具”模式，依據(jù)國家法律法規(guī)、上級(jí)監(jiān)管部門、國標(biāo)行標(biāo)及企業(yè)內(nèi)部數(shù)據(jù)安全相關(guān)要求，圍繞數(shù)據(jù)生命周期各環(huán)節(jié)中數(shù)據(jù)采集、傳輸、存儲(chǔ)、使用、共享、銷毀的數(shù)據(jù)分布、數(shù)據(jù)分類分級(jí)、業(yè)務(wù)場(chǎng)景、數(shù)據(jù)流轉(zhuǎn)環(huán)節(jié)及管控措施等詳情展開梳理、搜集與分析，把控各個(gè)節(jié)點(diǎn)的法律風(fēng)險(xiǎn)，并對(duì)應(yīng)提出相應(yīng)合規(guī)方案。

在工具層面，億信華辰的數(shù)據(jù)治理產(chǎn)品睿治就是一個(gè)輔助保障數(shù)據(jù)安全合規(guī)的優(yōu)秀工具，它將數(shù)據(jù)安全管理貫穿于數(shù)據(jù)治理全過程，可以提供對(duì)隱私數(shù)據(jù)的加密、脫敏、模糊化處理、數(shù)據(jù)庫授權(quán)監(jiān)控等多種數(shù)據(jù)安全管理措施，全方位保障數(shù)據(jù)的安全合規(guī)運(yùn)作。
? ??
同時(shí)，在企業(yè)橫向?qū)用妫髽I(yè)各個(gè)部門都應(yīng)當(dāng)建立數(shù)據(jù)合規(guī)管理制度，明晰各職能部門、各工作人員的責(zé)權(quán)利，讓合規(guī)要求落實(shí)到每個(gè)環(huán)節(jié)及責(zé)任人，使相應(yīng)的制度具有約束力和警示作用。

此外，還需建立一個(gè)常態(tài)化的合規(guī)策略體系，使安全合規(guī)持續(xù)同步法律法規(guī)要求及業(yè)務(wù)發(fā)展需要，形成從制定計(jì)劃、評(píng)估安全、執(zhí)行解決方案、到總結(jié)經(jīng)驗(yàn)的數(shù)據(jù)安全閉環(huán)管理流程，使數(shù)據(jù)安全合規(guī)建設(shè)有的放矢、安全標(biāo)準(zhǔn)規(guī)范落地、安全能力循序提升。

在構(gòu)建企業(yè)合規(guī)體系時(shí)，需要注意的是企業(yè)數(shù)據(jù)安全合規(guī)管理組織體系應(yīng)是與企業(yè)現(xiàn)有管理體系高度融合的，不是另起爐灶，否則成本過高且難以正常運(yùn)行。而且，數(shù)據(jù)安全合規(guī)重點(diǎn)是因人而異的，即不同行業(yè)、不同服務(wù)對(duì)象、不同規(guī)模的企業(yè)重點(diǎn)不同，在合規(guī)管理組織體系建設(shè)中也應(yīng)充分結(jié)合企業(yè)特征突出重點(diǎn)、管好難點(diǎn)，并且與企業(yè)其他合規(guī)要求協(xié)調(diào)同步，彼此增益。

2. 建設(shè)企業(yè)數(shù)據(jù)安全能力

要做好數(shù)據(jù)合規(guī)，離不開建立完善的數(shù)據(jù)安全技術(shù)體系，圍繞數(shù)據(jù)合規(guī)的各項(xiàng)要求，建立與制度流程相配套并保證有效執(zhí)行的技術(shù)和工具。

企業(yè)在進(jìn)行數(shù)據(jù)安全技術(shù)體系建設(shè)時(shí)，需從數(shù)據(jù)安全管理、數(shù)據(jù)安全防護(hù)、數(shù)據(jù)安全監(jiān)測(cè)與審計(jì)三方面來加強(qiáng)能力建設(shè)。

(1)數(shù)據(jù)安全管理能力
數(shù)據(jù)安全管理是指實(shí)現(xiàn)數(shù)據(jù)安全管理流程、策略、規(guī)范及數(shù)據(jù)資產(chǎn)的電子化、信息化管理。
企業(yè)需要對(duì)重要數(shù)據(jù)、敏感數(shù)據(jù)進(jìn)行全面排查梳理，并根據(jù)業(yè)務(wù)需要對(duì)不同角色接觸、處理數(shù)據(jù)的權(quán)限進(jìn)行梳理。針對(duì)不同的訪問需求，規(guī)范數(shù)據(jù)訪問權(quán)限，并嚴(yán)格記錄訪問情況，實(shí)現(xiàn)內(nèi)部數(shù)據(jù)操作行為的有效控制與監(jiān)管。同時(shí)也要配備各環(huán)節(jié)相應(yīng)的應(yīng)急處置機(jī)制，一旦發(fā)生安全事件，確保企業(yè)有完善的應(yīng)急預(yù)案和應(yīng)對(duì)處理機(jī)制，防止事態(tài)進(jìn)一步擴(kuò)大。

（2）安全防護(hù)能力
企業(yè)需建立數(shù)據(jù)全生命周期的安全防護(hù)能力，如數(shù)據(jù)加密、脫敏、數(shù)字水印、訪問控制、數(shù)據(jù)防泄露等，支撐數(shù)據(jù)安全管理工作的落地執(zhí)行。安全防護(hù)能力的建設(shè)主要可從以下三個(gè)方面來切入。
①脫敏流轉(zhuǎn)。即在數(shù)據(jù)使用流轉(zhuǎn)過程，遵循數(shù)據(jù)最小使用原則，去標(biāo)識(shí)，去隱私，實(shí)現(xiàn)數(shù)據(jù)的安全高效利用，在安全的前提下提升數(shù)據(jù)的使用價(jià)值。
②密文存儲(chǔ)。即落實(shí)重要數(shù)據(jù)識(shí)別和分類分級(jí)保護(hù)要求，對(duì)重要的核心數(shù)據(jù)加密存儲(chǔ)，守護(hù)數(shù)據(jù)安全。
③入侵防御。即建立、檢查數(shù)據(jù)庫防火墻，以便對(duì)外部攻擊進(jìn)行有效防護(hù)，同時(shí)也對(duì)內(nèi)部數(shù)據(jù)庫漏洞進(jìn)行有效防護(hù)，防止漏洞被違規(guī)利用。

（3）數(shù)據(jù)安全監(jiān)管與審計(jì)能力
企業(yè)需構(gòu)建一個(gè)可控、可查、可見的統(tǒng)一的內(nèi)部數(shù)據(jù)安全閉環(huán)監(jiān)管體系，從數(shù)據(jù)產(chǎn)生，到場(chǎng)景化使用，進(jìn)行流向監(jiān)控、精準(zhǔn)分析，實(shí)現(xiàn)有效監(jiān)管；通過對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)及業(yè)務(wù)數(shù)據(jù)場(chǎng)景的持續(xù)運(yùn)營，梳理資產(chǎn)、數(shù)據(jù)、用戶、權(quán)限等要求，指導(dǎo)安全技術(shù)、管理、運(yùn)營能力的體系化建設(shè)與協(xié)作。

3. 強(qiáng)化人員數(shù)據(jù)合規(guī)意識(shí)與能力

數(shù)據(jù)安全合規(guī)治理是多元主體共同參與的過程，其中人員是數(shù)據(jù)安全各項(xiàng)要求有效實(shí)施的基石，也是安全風(fēng)險(xiǎn)的重要來源，應(yīng)加強(qiáng)人員安全意識(shí)培養(yǎng)、技能提升、規(guī)范流程演練，以明確安全職責(zé)、部門協(xié)同機(jī)制等，提升應(yīng)急響應(yīng)與處置能力。

（1）建立人員安全意識(shí)培養(yǎng)機(jī)制
通過定期開展培訓(xùn)，將法律法規(guī)、標(biāo)準(zhǔn)規(guī)范、案例事件等進(jìn)行宣貫，逐步提升人員對(duì)數(shù)據(jù)安全的價(jià)值認(rèn)識(shí)和威脅識(shí)別能力。

（2）加強(qiáng)合規(guī)治理參與人員的技能培訓(xùn)
對(duì)不同崗位的人員制定科學(xué)合理的培訓(xùn)計(jì)劃，按照必備優(yōu)先，先基礎(chǔ)、后專業(yè)、再全面的原則，逐步提升人員的專業(yè)技能。

（3）建立應(yīng)急演練機(jī)制
通過定期或事件觸發(fā)機(jī)制，對(duì)實(shí)際業(yè)務(wù)場(chǎng)景中的各類風(fēng)險(xiǎn)主題的處理方式、協(xié)作流程及響應(yīng)機(jī)制等進(jìn)行模擬演練，確保安全措施落實(shí)到位，安全處置流程正確有效等，全面提升數(shù)據(jù)安全合規(guī)治理運(yùn)營保障能力。

04、小結(jié)

當(dāng)前形勢(shì)下，企業(yè)數(shù)據(jù)合規(guī)面臨著更高的挑戰(zhàn)，更高的要求，這也意味著企業(yè)在數(shù)據(jù)合規(guī)方面的投入也會(huì)隨之增加。于是很多企業(yè)把數(shù)據(jù)合規(guī)看作是一項(xiàng)成本負(fù)擔(dān)。但在數(shù)據(jù)安全步入法制時(shí)代的新形勢(shì)下，企業(yè)應(yīng)轉(zhuǎn)變觀念，充分認(rèn)識(shí)數(shù)字經(jīng)濟(jì)發(fā)展新形勢(shì)和數(shù)據(jù)安全合規(guī)治理的新變化新需求，堅(jiān)持合規(guī)優(yōu)先，發(fā)展并進(jìn)，急用先行，逐層推進(jìn)原則，構(gòu)建科學(xué)的數(shù)據(jù)合規(guī)治理制度體系，讓數(shù)據(jù)更好且更規(guī)范地驅(qū)動(dòng)發(fā)展。