基于新時代環境的數據合規科技風險規制與法理研究

羅 翔

廣東乾敬律師事務所，廣東 廣州 510623

合規通常指代企業合規，即企業及內部員工的經營管理行為需要符合相關規章，不僅需要符合國際、國內法律條文，也不可違背行業準則、商業慣例等。倘若企業及人員存在不合規的行為，不但可能損害企業良好聲譽及形象，還可能造成需承擔法律處罰等嚴重后果，此類后果則是合規所要避免的風險。21 世紀屬于網絡時代，黨的十九屆四中全會提出在處于大數據及信息密集的時代，如何結合科技方式維護企業利益，保護國家數據安全，都是重要的時代課題，值得深思及探究[1]。當前學術界相關研究多集中于公司法合規、行政法合規等方面，對于數據合規的研究較少，且不太深入。

一、數據合規及其意義概述

提及個人數據，可聯想個人信息、個人隱私等，大數據時代下數據治理問題重要性越發凸顯。清華大學法學院程嘯教授指出：“數據是信息的形式，信息是數據的內容”?！稊祿踩ā分赋觥皵祿溉魏我噪娮踊蚍请娮有问綄π畔⒌挠涗洝?。在各大企業中，數據包括個人、非個人兩層面，前者指代員工或是客戶的數據，后者則指代企業的經營記錄、日常管理記錄、財會記錄等。當前我國數據合規領域中所遵循的規定不斷增多，且分工更為細致，出臺了《電子商務法》《網絡安全法》等法律法規。一是維護數據安全，保護個人尊嚴[2]；二是該管理工作屬于各種信息密集行業的重點任務，是確保企業平穩發展增加效益的基礎條件；三是個人數據和公共社會間密切聯系，通過科學利用數據能促進社會進步；其四，對于國家而言，個人數據安全其實也屬于國家安全的部分，通過數據合規旨在保障社會公共利益，保護法人權益，保護國家安全并促進經濟社會健康發展。

二、數據合規科技提出背景及概念

數據早已成為新型生產要素，且其重要性也得到全球范圍關注。無論是傳統企業進行升級優化，抑或是企業打造新發展態勢，都需要以“數據”為基本條件?！吨腥A人民共和國國民經濟和社會發展第十四個五年規劃和2035 年遠景目標綱要》提出“統籌數據開發利用”“推進數據跨部門”，都突出了“數據驅動生產”的主體內涵。數據作為重要資源被各企業、公共部門深度開發研究，雖提升了數據的利用價值，但伴隨而來的風險卻不斷增多。諸如大規模的數據泄露事件頻頻出現，例如“美國營銷巨頭RRD 承認在Conti 勒索軟件攻擊中數據被盜”“國際機場公司Swissport 遭受BlackCat 勒索攻擊，TB 級用戶數據泄露”“全球最大輪胎制造商之一普利司通遭數據泄露”“世界電子郵件營銷巨頭MailChimp 遭黑客攻擊”。諸多此類的事件在全球范圍不斷發生，而以云計算、大數據、移動互聯網為代表的信息網絡日漸普及，數據安全問題開始受到更多關注[3]。我國開始推行諸如《電子商務法》《數據安全法》等法律法規，以滿足社會公眾的訴求。在激發數據潛能和保護隱私雙重需求下，“數據合規科技”應運而生，主要以隱私計算、軟件即服務（SaaS）工具為代表。隱私計算技術包括：一是多方安全計算。此技術能夠解決信息不對稱等問題；二是聯邦學習技術。無需交換私有數據能協同訓練機器模型；三是可信執行環境。該技術的價值主要是提供一個安全、可靠、封閉的存儲空間。而在SaaS 工具中，主要采取的技術則是低代碼、零代碼，不僅能夠有效降低軟件開發的門檻，還能實現其快速開發。數據合規科技的應用前景廣闊，但也延伸出諸多問題，存在許多潛在風險。

三、數據合規科技常見風險問題及規制

數據合規科技源于歐美“通過設計保護隱私”理念。設計初時便融合“數據安全保護”相關技術，未雨綢繆，而并非發生問題后再采取法律處理措施[4]。但當前數據合規科技面臨技術受限、復雜性高等不足，導致存在不同風險問題。

（一）方案構建風險

方案構建是數據合規的起點，通過處理抽象數據，將其轉變為計算問題。處理時不僅不降低廣告跟蹤性能，而且要確保調取用戶數據的安全性、合規性，那么就需要采取多方計算后利用技術范式處理數據，實現重構。主導方提出重新構建方案后，其余人員確認無誤后協調合作。在此過程中，首先，主導者的價值觀念、主觀偏見等都可能影響到方案構建的決策，導致失誤；其次，由于添加了限制條件，導致編寫代碼和技術開發考慮因素多，不能完全保障轉譯后方案準確性。上述情況，都是數據合規科技的方案構建存在的風險。

（二）數據整合風險

數據合規科技中風險嵌入也是常見情況，數據合規科技雖然能拓寬原有的數據模型，但數據渠道本身也可能是風險的根源。數據整合出現風險的原因有三點：一是當前許多數據的來源都是通過互聯網等渠道，其根源難以追溯，形式多樣化，因而判定其是否合規、合法有很大難度；二是如今正處于大數據共享背景，數據信息的傳遞變得復雜，涉及的細節較多，因此其使用邊界也更難明確。而如何通過簡單操作來調動數據庫資源，減少數據轉換操作也是當前的迫切需求[5]；三是若某一方出現數據風險問題，也可能導致“連帶風險”發生。當前數據合規科技在相互滲透的行業間進行，受成本限制各行業安全保護措施越發相似，暴露出一定的數據整合缺陷。

（三）技術適用風險

數據合規科技存在“白盒特性”，白盒即白盒測試（white-box testing），是種測試用例設計方法，它指盒子是可視化，能了解程序內部的邏輯結構，簡言之，是清楚盒子內部如何運作[6]。同理，數據合規科技存在此特性，因而參與此過程中的各方都能掌握到相關數據的參數，而惡意攻擊者甚至能利用該特性進行偽裝，偷竊數據信息的運算結果，抑或是生成惡意代碼。數據合規科技長期要面臨著單點故障、人為攻擊等隱患，關于此類隱患的危害可總結成三點：一是刻意上傳破壞模型；二是通過多種合法手段（如對比運算結果差異、分析模型更新迭代等）來獲取信息；三是惡意攻擊。持有純粹惡意的攻擊方會借用對抗式網絡攻擊、物理推擊等方式來盜竊用戶數據信息。

（四）結果輸出風險

正如上文所述，數據合規管理的意義深遠，不僅與個人隱私保護相關，還與社會發展國家機密保護等有所聯系。簡言之，個人信息不僅關乎某人的利益，和他人利益、整個社會的利益均有關，具備社會性、公共性的特征。所謂的“算法歧視”指人工智能自動化決策中數據分析導致的不公正對待，此問題對于受害群體和社會都有不利影響。若存在數據運算模型不精確、數據運算存在瑕疵，抑或是用戶的隱私被泄露，都可能導致此問題從對個體的不良影響，升級到對整個群體的負面影響。在數據合規科技中不同數據來源若發生錯誤搭配、混淆，很可能對整體數據正確性造成影響，放大了歧視規模并輸出了當前的歧視結果。而如何減少“算法歧視”“歧視輸出結果”，也是當前數據合規科技中需考慮的重點。

（五）應用市場風險

數據合規科技下智能應用將各受眾限制在分隔領域，彼此間缺乏溝通及協作，算法間形成“朝上競爭”。隨著經濟水平發展及技術黑箱的掩蔽之下，傳統的保守型智能應用卻可能面臨“逆向淘汰”風險，取而代之的反而是對數據規整性要求不嚴格、通信成本不高的應用，且算法競爭也朝轉變成“逐底競爭”。所謂“逆向淘汰”，也稱作是精英淘汰，以學術界、政治界為例，部分德才兼備的精英被淘汰、被打壓。如何減少智能應用“逆向淘汰”是數據合規科技規制面臨的難題。

四、針對數據合規科技常見風險的法理對策

以上所存在的不同維度風險，均促使相關技術人員采取有層次的規制措施，由于當前的機制大多存在功能單一、內容復雜等特點，很難針對性地對上述數據合規科技風險進行回應處理，需構建出更系統化、法治化的規制體系。

（一）明確數據合規科技規制原理

傳統法律規制中，對于不同局限間的設置并非完全獨立，而數據合規科技又存在“去中心化”（decentralization）特征。在區塊鏈領域有關研究指出：去中心化網絡模型越發清晰，成為未來發展重要趨勢[7]?；诖藯l件，以往所采取的基于邊界概念的安全防護體系不再適用。若此時法律未能及時跟隨其發展腳步來創新，易形成難以控制的灰色空間。在法律規則的演進下，能夠采取更合理高效的行動，保護用戶隱私下追求數據潛能激發，形成良性互動，讓技術規范嵌入法律政策中，確保將“技術標準的遵守”和“法律義務的履行”所融合。

（二）針對既有機制實施強化完善

關于數據合規科技所存在的風險，要適當對現有的規制進行延伸和完善，建議從以下幾方面切入：一是動態知情同意框架。從實際情況來看，該框架的設置雖然存在許多不足，但仍然在數據合規科技全新業態中發揮出重要作用，應根據其業務的更新實施調整。例如數據處理動態化管理，或是分析數據的節點狀態等方面后采取針對性變動；二是嚴格實施轉委托原則。結合《個人信息保護法》等法律法規可知，處理數據時必須要提前獲得數據主體的同意，而后再將其交由委托方處理，多方達成合意方可進行。反之，解除委托關系后，委托方應當刪除相關數據信息；三是正當程序的權利保障。自然人均享有正當程序權利，例如針對不公平自動化決策的數據主體，可實現公平聆訊。同時，數據流轉也要滿足個人信息轉移權。

（三）實現多元化機制的合理分工

一是要制定標準的宏觀行業規則。當前正處于數字化技術大力發展階段，且逐步融合到不同領域中。諸如金融、醫療、保險等行業，也都開始朝著數據處理的方向發展，統一行業標準后可進行數據合規科技試點，實現以點帶面，逐步形成示范并推廣[8]；二是開發行為的微觀倫理規范。數據合規科技實施應滿足“倫理先行”原則，不可在法律體系灰色地帶謀取利益。作為數據合規科技的主導方，還需凈化相關環境，優化更新數據模型。

（四）衡量整體風險規制方案價值

除了上述的規制補充、多元化機制構建外，數據合規科技規制體系穩定，還取決于正確價值考量。從本質上分析，數據合規科技是運用技術后的利益與法益間的價值平衡。關于風險規制方案的價值評定，可從兩個方面分析，分別是“帕累托效率”“卡爾多—?？怂剐省?。由于個人數據具備人格權益屬性，遭受侵害后并不直接和個人的經濟利益損失相關，且難以通過事后的補救來挽回，因此有關學者認為可排除“卡爾多—?？怂剐省?，可將“帕累托效率”看作是評定數據合規科技風險規制方案的標桿。無論具備怎樣的技術，獲取利益都不可凌駕于人格權益上。

（五）科學制定規制聯合管理方案

數據合規科技的規制，應當制定出更全面化、系統化的保障體系。結合上述內容分析，以下總結出該體系的具體內容：一是明確數據合規科技規制的內容，包括了四方面，風險規制、對象規制、場景規制、價值規制；二是風險規制則是針對上述內容，從方案構建、數據整合、技術適用、結果輸出、應用市場來分析；三是對象編制包括三大層面，分別是監管層、行業層、個體層，分別采取對應規制措施；四是關于場景規制包括：低強度（單次審核）、中強度（定期審核）、高強度（不定期審核）三種。低強度的場景有語音識別、內容推送、路線規劃、信息過濾等；中強度規制場景有自動駕駛、聯合統計、智慧金融、行為分析等；高強度規制場景有智慧醫療、風險防控；警務預測等等。

五、結語

當前數據成為驅動各國家經濟社會發展關鍵要素，其具備的戰略價值越發明顯，但海量數據所帶來的安全隱患、威脅和挑戰也不斷增多。歐盟《通用數據保護條例》，我國的《數據安全法》等陸續出臺，也促使數據合規網絡逐步蔓延開來。此次研究指出，數據合規科技中常見的風險問題較多，涵蓋方案構建、數據整合、技術適用等多個方面，針對上述風險問題可采取以下幾項應對措施，分別是明確數據合規科技規制原理、針對既有機制實施強化完善、實現多元化機制的合理分工、衡量整體風險規制方案價值、科學制定規制聯合管理方案。