企業數據合規：企業數據安全治理之維

摘 要：數字經濟時代，數據成為經濟高質量發展的重要引擎。鑒于當前傳統企業數據的封閉式、靜態保護管理模式無法滿足數字經濟時代的動態發展要求，因而數據合規成為兼顧發揮數據流通價值和企業數據安全動態保護，促進數字經濟發展繁榮的有力手段。新形勢下，企業數據安全保護合規風險包括兩方面：一是管理層面，企業違反企業數據安全處理規則而引發的合規風險；二是法律義務層面，企業不履行企業數據安全保障義務而引發的合規風險。企業數據安全合規體系的搭建需要遵循數據分類分級分層保護、數據全生命周期安全保護理念，輔之“技數賦能”識別企業數據安全合規義務和合規風險，進而實現對企業數據安全全方位、立體化保護。

關鍵詞：數據合規；企業數據安全治理；數據全生命周期保護；數據分類分級分層；技數賦能

中圖分類號中圖分類號：D922

文獻標識碼：A

DOIdoi：10.3969/j.issn.1672-2272.202403109

英文標題Enterprise Data Compliance： The Dimension of Data Security Governance

Xu Hui，Gong Yi

（School of Law，Xiangtan University，Xiangtan 411105， China）

英文摘要Abstract：In the era of digital economy， data has become an important engine for high-quality economic development. Given that the current closed and static data governance model of traditional enterprises cannot meet the dynamic development requirements of the digital economy era， data compliance has become a powerful means to balance the value of data circulation and dynamic protection of enterprise data security， promoting the development and prosperity of the digital economy. In the new situation， the compliance risks of enterprise data security protection include two aspects： firstly， at the management level， the compliance risks caused by the violation of enterprise data security processing rules by the enterprise; Secondly， at the level of legal obligations， compliance risks arising from the failure of enterprises to fulfill their data security obligations. The construction of an enterprise data security compliance system needs to follow the concepts of data classification， hierarchical protection， and full lifecycle security protection， supplemented by “technological empowerment” to identify the compliance obligations and risks of enterprise data security， thereby achieving comprehensive and three-dimensional protection of enterprise data security.

英文關鍵詞Key Words：Data Compliance; Data Security Governance; Data Life Cycle Protection; Data Classification， Grading， and Layering; Technical Empowerment

0 引言

2022年12月，《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》指出，要“加強企業數據合規體系建設和監管”“鼓勵企業創新內部數據合規管理體系”，要求企業“建立健全全流程企業數據安全管理制度”。作為預防、識別、應對企業數據合規風險的企業數據安全管理體系，數據合規制度能夠強化企業數據安全監管與控制的同時，促進數據開放、流通與利用，對于數字經濟發展大有裨益。因此，本文擬對數據合規內涵進行剖析，并審視企業數據合規在不同數據要素場景下的功能指向，結合企業目前所面臨的企業數據安全合規風險，探析企業數據合規構建的具體路徑，以期對企業數據安全合規治理提供參考，促進數字經濟高質量發展。

1 企業數據合規的內涵及其功能指向

1.1 企業數據合規的內涵

從文義解釋上看，“合規”字面理解就是合乎規定。“規”就是法律規范，包括且不限于國家法律法規、行業規范、企業內部管理制度等。而合規之“合”，不僅意味著企業的行為合乎上述規則，且更強調企業合規的自主性，是以適應外部國家監管要求為目的，提升企業內部治理能力為要義的企業自律行為。與傳統事后制裁模式不同，合規更強調事前預防，是一種積極治理模式，更依賴與合規對象的合作。

“企業數據合規”則是企業合規理論在企業數據安全領域的具體運用，旨在為預防、識別、應對企業數據安全風險，提高企業數據安全風險防范能力，避免企業及其成員因數據管理行為不符合法律規定而給企業帶來法律責任、經濟損失而形成的企業內控機制[1]。關于企業數據合規的內涵，本文認為，其至少包括以下兩個要素。

一是企業數據合規的目的是使企業的數據管理行為符合相關法律規范規定。企業數據合規首先意味著是對我國現行法律規范的遵守。當前企業業務范圍涉及到國民經濟命脈、關鍵信息科技等領域，所形成的數據如若被泄露、盜用、篡改，將會給個人隱私、國家安全、公共利益帶來嚴重威脅，因而企業的數據管理行為必須遵守國家相關法律規范的規定。

二是企業數據合規要求企業承擔企業數據安全風險的識別與防范義務。企業數據合規本質上是企業合規計劃在數據管理領域的特殊應用，是改善企業數據治理的創新機制，主要依賴于企業的自我約束。

1.2 企業數據合規的功能指向：三重維度

企業數據安全既涉及到個人信息保護，又涉及到公共利益和國家安全，因而企業在數據流通過程中的合規義務不容忽視[2]。組織視角下企業開展數據合規強化企業數據安全治理，不僅是應對日趨嚴峻的國家數據安全風險形勢的現實需要，也是優化數據要素市場化配置、推動數字經濟高質量發展的應有之義。

1.2.1 總體國家安全觀維度：維護國家安全、公共利益的現實需要

《企業數據安全法》第4條規定，“維護企業數據安全，應當堅持總體國家安全觀，建立健全企業數據安全治理體系，提高企業數據安全保障能力”。結合總體國家安全觀要求，企業數據分為純粹商業性數據和公共安全性數據兩種[3]。當前一些數據企業與政府深度合作，開展數據公共業務，掌握了大量的公共安全性數據，如公民身份信息、生物信息、國土地理信息、道路數據、軍工技術等數據。一旦這些公共安全性數據被泄露、篡改、破壞或者被非法利用，將會給國家安全、公共利益、公民利益、國計民生帶來巨大威脅。2021年，滴滴公司在美上市緊急停牌下架事件是企業數據安全風險引發國家安全隱患的最好例證。由此可見，企業數據安全不再是一個私權保護所能統攝的問題，而是具備了公權屬性，而且這種具有顯著公權力特征的私權日益強大，使得企業成為數據安全治理領域的主要力量[4]。

1.2.2 數字經濟維度：最大效能地發揮數據流通價值，實現數據動態保護的需求

《中國數字經濟發展研究報告（2023 年）》指出，2022年，中國數字經濟規模達到50.2萬億元，同比增長10.3%，占GDP比重達41.5%。作為數字經濟重要內核的數據要素，唯有在動態的、合法合規的流通與開放共享中才能充分實現其經濟價值[5]。傳統企業數據安全監管模式由于側重對數據相對靜態的管理，而在一定程度上限制了數據的流通與共享，因而無法適應數字經濟時代企業大規模數據流轉與大規模數據處理的需求。相較于傳統企業數據安全監管模式，數據合規制度能夠通過多元主體協商和公私合作的協同治理方式，突破“數據悖論”，在保障企業數據安全的前提下，促進數據流通與開放共享，使數字經濟中的一座座數據孤島重新鏈接，在規避企業數據安全風險的同時，最大效能地發揮數據流通價值，實現數據動態保護的需求，促進數字經濟發展繁榮。

1.2.3 組織視角維度：企業數據安全治理的重要組成部分

數據合規治理是企業內部治理的重要一環。傳統高權行政下的監管模式，對具備隱蔽性、復雜性、創造性特點的數字經濟領域而言具有較為明顯的缺陷，因此，引入數據合規治理體系非常有必要[6]。數字經濟時代，企業將數據視為數字經濟營利的關鍵要素，擁有高質量的數據，企業就能借此開發出更多的算法產品，同時對產品、服務進行更精準定位，在市場競爭中獲得更大優勢，因而數據對企業的商業價值毋庸置疑[7]。基于企業營利屬性視角，企業開展數據合規治理、保護企業數據安全具有天然的內驅力，通過企業內部治理，強化對企業數據安全保護，以避免數據泄露、篡改、丟失給企業商業價值造成損失。此外，基于企業外部法律風險視角，通過數據合規治理督促企業形成守法經營的合規文化，規范企業數據處理行為，也能避免因數據安全法律風險而使企業遭受到巨額的民事罰款和行政、刑事處罰。

2 企業數據安全合規風險識別

對數據合規風險進行詳盡剖析是建立完善企業數據合規體系的關鍵。當前，企業數據安全合規風險主要來源于兩方面：一是管理層面，企業違反企業數據安全處理規則而引發的合規風險；二是法律義務層面，企業不履行企業數據安全保障義務而引發的合規風險。

2.1 管理層面：違反企業數據安全處理規則而引發的合規風險

2.1.1 數據收集合規風險

互聯網領域，企業進行數據收集的主要手段是爬蟲技術（Crawler）。數據爬取本身不具有違法性，但是企業若為謀求不正當利益，違反“爬蟲協議”（Robots），惡意濫用爬蟲技術肆無忌憚地抓取數據就會引發合規風險。需要注意的是，司法實踐中對違法利用爬蟲技術抓取數據的行為評價跨度極大。對于手段惡劣、后果嚴重的爬蟲行為，企業不僅可能會被數據權利方提出侵權指控、不正當競爭指控，甚至還可能基于網絡爬蟲行為對網站技術防護措施系統的強行破解，而被認定為“非法侵入計算機信息系統罪”等刑事罪名而承擔刑事責任。

2.1.2 數據存儲合規風險

數據存儲作為企業收集數據必經的流程之一，具有重大的合規意義。企業對數據進行存儲時需要確保“安全原則”的適用，提高數據存儲后的保密性、完整性和安全性，并通過加密、去標識化、備份等技術手段保證數據存儲的穩定和流暢。尤其是針對去標識化的數據與可用于恢復識別個人信息的數據進行物理隔離。此外，《網絡安全法》第37條、第77條特別規定了個人信息和重要數據的本地存儲制度。考慮到公民隱私、國家安全以及公共利益保護的重要性日益凸顯，本地存儲制度的適用場景越來越多，企業必須深刻掌握和理解本地存儲制度的適用情形，以避免因數據存儲不當而承擔非必要的合規風險。

2.1.3 數據使用合規風險

企業超出合理、正當、必要的數據使用范圍是企業承擔合規風險的主要來源之一。企業不正當使用數據的表現形式，體現為大數據殺熟、廣告精準推送等。此外，在數據的刪除上，用戶有權行使“被遺忘權”，要求企業在規定的情形下刪除其個人數據；企業也有義務主動配合其刪除數據的要求，確保相關數據不會在后續留存、使用。雖然我國并沒有規定被遺忘權，但是《企業數據安全法》和《個人信息保護法》等法律規定了“數據主體行使的刪除權”和“數據處理者履行刪除義務”，因而企業也應當遵守相關法律規定，以避免不必要的合規風險。

2.1.4 數據跨境流轉雙向合規風險

大規模的數據跨境流轉是企業“走出去”滿足國際貿易的業務需要，也是國際政策博弈的最為復雜的領域之一。據不完全統計，在全球231個國家（地區）中，已經有超過135個國家（地區）出臺了數據保護法，其中大多數有跨境數據流動法律或者政策[8]。企業數據跨境流轉合規風險主要體現為雙向合規風險，企業不僅需要關注我國關于數據跨境流轉的監管要求，而且還需要關注數據輸入國關于數據保護領域的立法規定，以避免我國與數據輸入國之間因限制數據跨境流轉的規范與監管沖突而導致的企業合規經營風險。企業數據合規部門需要對數據輸出國和數據輸入國的數據跨境流轉監管制度全面了解，否則稍有不慎就有可能觸及“數據主權”問題。

2.2 法律義務層面：不履行數據安全保障義務而引發的合規風險

企業履行數據安全保障義務不僅關系到自身數據合規的體系建設，而且還會對國家安全和公共利益施加不可小覷的影響，因此企業不履行數據安全保障義務與其他違規行為相比，其損害后果更為嚴重。作為企業數據安全風險管理人，如果企業僅需支付較小的成本就可以避免較大的損失，那么法律為企業設定企業數據安全保障義務就是合理的[9]。為避免企業不履行數據安全保障義務而引發的合規風險，需要明確企業數據安全保障義務的范圍和界限。具體而言，企業的數據安全保障義務包含個人信息權益保護義務、行政監管義務兩個層面。

2.2.1 個人信息權益保護義務

數字科技時代，企業通過“告知-同意”范式大規模收集用戶信息，利用算法技術對個人信息與行為數據進行分析處理，得以無償占有個人的“數字勞動”。自此，用戶成為數據生產鏈條上的一環，淪為被生產和消費的數據資源。這種從消費者淪為數據生產資源的地位轉變，進一步加劇了個人與企業之間的力量懸殊。霍菲爾德指出，財產權的本質是人與人之間的法律關系[10]。因而，企業與其研發的數字產品之間的關系實際上是企業與個人之間的關系。鑒于數據在收集、存儲、使用和流轉過程中常常伴隨著個人信息權益受侵害的風險，因此在促進和發展數據要素上的財產性權益時[11]，應當堅持和強調企業保護個人信息權益的義務。

2.2.2 行政監管義務

從企業合規風險視角看，數據犯罪的成立，往往是從違反數據行政監管的前置性條件開始。這意味著作為前置法的行政法關于數據處理規則和管理義務的規定為犯罪構成要件。在此基礎上，只要符合數量、情節等特定構成要件就足以轉化為犯罪[12]。根據《關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》第4條的規定，網絡服務提供者拒不履行信息網絡管理義務，經監管部門責令采取改正措施而拒不改正，致使泄露行蹤軌跡信息、通信內容、財產信息五百條以上的即可構成刑法286之一的“拒不履行信息網絡安全管理義務罪”。考慮到數據泄露動輒以幾十萬乃至上億條計，對于海量數據處理的現代企業而言，一旦行政合規未達標準[13]，幾乎是“一泄露就入罪”。因而企業不履行企業數據安全保障義務所承擔的刑事合規風險，其基礎和必要的前置性條件是違反行政監管義務。

3 企業數據安全合規體系構建的路徑指向

基于數據犯罪的低入罪門檻以及企業數據安全事件的不可逆性、事后性、復雜性和創新性等特點，本文認為，企業應當著重加強事前、事中合規，即日常性、常態化的數據合規體系建設。具體而言，應當著手數據分類分級分層保護、貫徹數據全生命周期安全保護理念，輔之以“技數賦能”識別企業數據安全合規義務和合規風險，以此來構建企業數據合規體系，強化企業數據安全風險的前端治理。當然，任何措施都不可能規避所有的風險，事后應急管理、補救措施同樣也必不可少。

3.1 數據分類分級分層保護

數據的分類分級分層是企業數據保護的首要工作，不僅對企業數據安全具有重要的法益識別和風險防范功能[14]，而且是構建集中統一、標準專業的數據合規體系框架的前提和基礎。具體而言，企業應當遵循“分類識別管理、分級分層保護”的思路對數據進行定級分類，將數據劃分為一般數據、重要數據、核心數據。根據受保護數據的類別和級別，分層識別匹配不同層級的安全保護等級和措施，對企業數據安全資源進行高效配置，為企業數據全生命周期安全保護活動制定相應的數據合規管理措施。此外，由于企業自身的逐利性，基于企業內部視角的數據分類分級，不能很好地處理企業數據安全管理的“外溢效應”問題。因此需要國家制定和完善行業數據分級分類的指導目錄、等級保護條例和管理細則，明確企業數據分級分類分層保護的責任和義務，為企業數據安全提供更高水平的保護[15]。

一是分類識別管理。遵循有關法律、法規以及部門規定的要求，從國家、行業、組織等多個視角和維度，對國家和行業領域內有專門管理要求的數據進行分類標識，并對企業所掌握的數據分類建立管理目錄。

二是分級分層保護。在完成分類的基礎上，從企業數據安全的角度出發，根據對國家、社會、個人的價值以及數據遭到破壞或泄露后造成的影響范圍、對象和危害程度，對數據進行定級（表 1）。

此外數據的類別級別并不是一成不變的，可能會因時間、政策、安全事件的發生、業務變化或相關行業規則變化而發生改變，因此需要對數據層級和類別進行定期審核并及時改變調整。

3.2 數據全生命周期安全保護

《企業數據安全法》第27條規定，“建立健全全流程企業數據安全管理制度”。企業在完成數據分類分級分層的基礎上，應當根據企業數據安全保護法益的重要性程度，確定數據收集、存儲、使用、流轉等全生命周期環節采取的企業數據安全防控策略和管控措施，以此來提升企業數據安全保護管理水平。

3.2.1 企業數據合規組織架構

企業數據合規組織架構是企業進行企業數據安全建設的基石，其包括數據合規管理委員會、數據合規官以及數據合規執行部門。數據合規管理委員會作為企業專門負責企業數據安全和合規管理的部門，能夠有效聯合不同層級、地域以及分管不同業務的企業部門，在數據合規全生命周期安全保護體系中起到中心樞紐、承上啟下的關鍵作用。數據合規管理委員會一方面負責傳達最高決策層關于企業數據安全方面的經營決策，同時數據合規管理委員會在數據保護的專業性問題上也受到數據合規官的直接指導，需要將企業存在的任何數據管理風險及時向數據合規官通報，以便數據合規官對企業數據安全環節的風險有清晰的了解；另一方面，數據合規管理委員會負責完善企業數據安全保護制度和流程，并將數據合規風險的全流程通過可視化的方式呈現給數據合規執行部門，將數據合規執行部門的職責進行分解，落實各部門企業數據安全保護的責任，達到對數據合規的精細化、項目化管理。

3.2.2 全流程數據合規管理體系

企業數據合規管理體系必須覆蓋企業經營的各個流程，保障企業能實現全流程的合規管理[16]。一是建立企業數據安全風險審查機制。數據合規執行部門需要對數據的收集、存儲、使用和流轉等環節實行全生命周期安全審查，對重要數據、核心數據有針對性地進行定期審查、風險評估，有效定位企業數據安全鏈條中的風險來源。二是構建企業數據安全風險識別預警系統。作為海量性、系統性、多樣性、隱蔽性等風險特性的集合，企業數據安全風險具有互聯互通、開源迭代的特點。企業數據安全風險防控任一環節出現細微漏洞，都有可能擴大、產生連鎖效應，因而必須加強對企業數據安全風險的識別預警，防微杜漸。三是建立企業數據安全事件應急制度。任何措施都不可能規避所有的風險，在發生企業數據安全事件后，應當立即啟動應急預案并采取相應的補救措施，防止企業損失進一步擴大，并按照規定向用戶和有關主管部門進行報告，配合行政監管。四是數據跨境提供管理制度。數據跨境提供管理制度是保障國家數據主權和公共利益不受侵害的基礎性保障。在總體國家安全觀的角度下開展數據跨境流轉，堅持關鍵領域數據保護對內合規的“本地化”主體立場，落實企業數據跨境提供的安全主體責任[17]。

3.3 “技數賦能”企業數據安全合規義務和風險識別

數字和技術相伴而生，“技數賦能”的優勢在于將算法技術和數字建模相結合，形成一套技術化、數字化、可視化的知識圖譜和算法模型，使得企業數據安全合規義務和風險識別更加高效和準確。新形勢下，企業的數據合規義務不僅范圍廣、涉及面龐雜而且非常細碎，單單僅依靠數據合規部門或者企業法務部門進行人工識別、對數據進行分類分級，根本無力應對，而且存在效率不高、有效性存疑等問題，因而需要通過技數賦能，運用算法技術和數字建模實現企業數據安全合規義務和風險的完整提取和識別。具體方法如下：①通過大數據檢索收集、整理企業數據安全合規義務和風險方面的規范性法律文件以及現行的國家、地方和行業標準等；②采取關鍵信息抽取、語言文本分析、知識融合、知識加工技術進行分析提取，建立可視化的知識圖譜和算法模型；③為確保企業數據合規義務和風險識別工作的精準化，通過模型訓練、深度學習不斷分析數據信息的關聯性和因果性，以此來提升知識圖譜和算法模型的精確度，準確識別企業數據安全合規義務和風險。以“技數賦能”識別企業數據合規義務和風險，建立可視化的知識圖譜和算法模型，是持續改進數據全生命周期企業數據安全管理體系的關鍵措施。

4 結語

隨著數字經濟的快速發展，數據作為新生產要素的時代已經來臨，其已然成為賦能企業科技創新，實現企業商業增值的重要要素。但是，數據要素顯性經濟價值直接關系到國家政治、經濟、民生等各個方面的安全。因此，數據安全也必須納入到企業經營理念之中，需要統籌協調好國家安全、數字經濟發展、社會公眾隱私與數據使用商業利益之間的關系。作為數據安全治理領域的專項合規計劃，企業數據合規治理中應兼顧發揮數據流通價值和維護數據安全的雙重需求，通過數據分類分級分層保護、數據全生命周期安全保護、技數賦能企業數據安全合規義務和風險識別，提高抵御企業內外部偶聯性及復雜性的數據安全風險環境的能力[18] ，以及時查補漏洞，防微杜漸，在國家安全、經濟發展、商業效益與數據安全之間達成動態平衡。

參考文獻參考文獻：

[1] 徐博強.合規視野下民營企業刑事風險防控探析[J].東北師大學報（哲學社會科學版），2022（2）：102-110.

[2] 孫瑩.企業數據確權與授權機制研究[J].比較法研究，2023（3）：56-73.

[3] 鮑靜，張勇進，董占廣.我國政府數據開放管理若干基本問題研究[J].行政論壇，2017（1）：25-32.

[4] 李晗.區塊鏈智能合約中個人信息安全的法律保護[J].華東政法大學學報，2023（4）：49-58.

[5] 劉小妹.數字經濟立法的內在邏輯和基本模式[J].華東政法大學學報，2023（4）：28-37.

[6] 王誠，魏雅雪.企業合規治理：平臺經濟反壟斷行政執法新視角[J].東岳論叢，2022（4）：181-190.

[7] 索洛姆·維爾瓊，林少偉.數據治理的關系理論[J].上海政法學院學報（法治論叢），2023（2）：119-160.

[8] 許多奇.論跨境數據流動規制企業雙向合規的法治保障[J].東方法學，2020（2）：185-197.

[9] 劉召成.違反安全保障義務侵權責任的體系構造[J].國家檢察官學院學報，2019（6）：53-66.

[10] 霍菲爾德.基本法律概念[M].張書友，譯.北京：中國法制出版社，2009.

[11] 王利明.論數據權益：以“權利束”為視角[J].政治與法律，2022（7）：99-113.

[12] 毛逸瀟.數據保護合規體系研究[J].國家檢察官學院學報，2022（2）：93.

[13] 周維明.刑事合規視野下數據犯罪的治理路徑[J].西南政法大學學報，2022（5）：128-139.

[14] 張勇.企業數據安全分類分級的刑法保護[J].法治研究，2021（3）：17-27.

[15] 洪延青.國家安全視野中的數據分類分級保護[J].中國法律評論，2021（5）：71-78.

[16] 張玥萌，陸昊飏.數字化轉型背景下企業數據合規研究[J].科技創業月刊，2022（10）：55-57.

[17] 張莉.數據治理與企業數據安全[M].北京：人民郵電出版社，2019.

[18] 孟翔宇，王晶晶.盧曼社會系統理論視域下的企業合規有效性標準研究[J].科技創業月刊，2024（2）：175-179.

責任編輯（責任編輯：吳 漢）