数字经济时代，数据成为经济高质量发展的重要引擎。伴随着数字经济发展壮大，企业数据安全风险也喧嚣而上，鉴于当前传统企业数据安全控制模式的封闭式、静态保护无法满足数字经济时代的动态发展要求，因而数据合规成为兼顾发挥数据流通价值和企业数据安全动态保护，促进数字经济发展繁荣的有力手段。新形势下，企业数据安全保护合规风险包括两方面：

• 一是管理层面，企业违反企业数据安全处理规则而引发的合规风险；

• 二是法律义务层面，企业不履行企业数据安全保障义务而引发的合规风险。

构建企业数据安全与合规体系需按照数据分类与分级分层防护，数据生命周期安全防护的思路，并辅以“技数赋能”,辨识企业数据安全与合规义务及合规风险，继而实现全方位，立体化的企业数据安全与防护。

【关键词】数据合规；企业数据安全治理；数据全生命周期保护；数据分类分级分层；技数赋能

2022年12月，中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》。《意见》指出要“加强企业数据合规体系建设和监管”、“鼓励企业创新内部数据合规管理体系”，强化企业的企业数据安全保护义务，要求企业“建立健全全流程企业数据安全管理制度”。作为预防、识别、应对企业数据合规风险的企业数据安全管理体系，数据合规制度能够强化企业数据安全监管与控制的同时，促进数据开放、流通与利用，对于数字经济发展大有裨益。因此，本文拟对数据合规内涵进行剖析并审视企业数据合规在不同数据要素场景下的功能指向，结合当前企业面临的企业数据安全合规风险探究了企业数据合规建设的具体办法，旨在为企业数据安全合规治理与共享提供裨的经验借鉴，推动数字经济的优质发展。

从文义解释上看，“合规”字面理解就是合乎规定。“规”就是法律规范，包括且不限于国家法律法规、行业规范、企业内部管理制度等。而合规之“合”，不仅意味着企业的行为合乎上述规则，且更强调企业合规的自主性，是以适应外部国家监管要求为目的，提升企业内部治理能力为要义的企业自律行为。与传统事后制裁模式不同，合规更强调事前预防，是一种积极治理模式，更依赖与合规对象的合作。

“企业数据合规”则是企业合规理论在企业数据安全领域的具体运用，旨在为预防、识别、应对企业数据安全风险，提高企业数据安全风险防范能力，避免企业及其成员因数据管理行为不符合法律规定而给企业带来法律责任、经济损失而形成的企业内控机制。关于企业数据合规的内涵，本文认为，其至少包括以下两个要素：

一是企业数据合规的目的是使企业的数据管理行为符合相关法律规范规定。企业数据合规首先意味着是对我国现行法律规范的遵守。当前企业业务范围涉及到国民经济命脉、关键信息科技等领域，在业务活动过程中所形成的数据，关系到国家政治、经济、民生等各个方面，这些数据如若被泄露、盗用、篡改将会给个人隐私、国家安全、公共利益带来严重威胁，因而企业的数据管理行为必须遵守国家相关法律规范的规定。二是企业数据合规要求企业承担企业数据安全风险的识别与防范义务。企业数据合规本质上是企业合规计划在数据管理领域的特殊应用，是改善企业数据治理的创新机制，主要依赖于企业的自我约束。

企业数据安全既涉及到个人信息保护，又涉及到公共利益和国家安全，因而企业在数据流通过程中的合规义务不容忽视。组织视角下企业通开展数据合规强化企业数据安全治理，不仅是应对日趋严峻的国家数据安全风险形势的现实需要，也是优化数据要素市场化配置，推动数字经济高质量发展的题中应有之义。

 1.总体国家安全观维度：维护国家安全、公共利益的现实需要

《企业数据安全法》第4条规定，“维护企业数据安全，应当坚持总体国家安全观，建立健全企业数据安全治理体系，提高企业数据安全保障能力”。结合总体国家安全观要求，企业数据分为纯粹商业性数据和公共安全性数据两种。纯粹商业性数据自不必多言。当前企业深度开展政府、国家等数据公共业务，掌握了大量的公共安全性数据如公民身份信息、生物信息、国土地理信息、道路数据、军工技术等数据。一旦这些公共安全性数据被泄露、篡改、破坏或者被非法利用，将会给国家安全、公共利益、国计民生带来巨大威胁。2021年，滴滴公司在美上市紧急停牌下架事件是企业数据安全风险引发国家安全隐患的最好例证。由此可见，企业数据安全不再是一个私权保护所能统摄的问题而是具备了公权属性，而且这种具有显著公权力特征的私权日益强大，使得企业成为数据安全治理领域的主导力量。

2.数字经济维度：最大效能的发挥数据流通价值，实现数据动态保护的需求

《中国数字经济发展研究报告（2023 年）》指出，2022年，我国数字经济规模达到50.2万亿元，同比增长10.3%，占GDP比重达41.5%。作为数字经济重要内核的数据要素，数据唯有在动态的、合法合规的流通与开放共享中才能充分实现其经济价值。传统企业数据安全监管模式由于侧重对数据相对静态的管理而在一定程度上限制了数据的流通与共享，因而无法适应数字经济时代企业数据业务上的大规模数据流转与大规模数据处理的需求。相较于传统企业数据安全监管模式，数据合规制度能够通过多元主体协商和公私合作的协同治理方式，突破“数据悖论”，在保障企业数据安全的前提下，促进数据流通与开放共享，使数字经济中的一座座数据孤岛重新链接，在规避企业数据安全风险的同时，最大效能的发挥数据流通价值，实现数据动态保护的需求，促进数字经济发展繁荣。

3.组织视角维度：企业数据安全治理的重要组成部分

数据合规概念围着企业而生，是企业内部治理的重要组件。传统高权行政下的监管模式，对具备隐蔽性、复杂性、创造性特点的数字经济领域而言具有较为明显的缺陷，因此，引入数据合规治理体系非常有必要。数字经济时代，企业将数据视为数字经济营利的关键要素，拥有高质量的数据，企业就能借此开发出更多的算法产品，同时对产品、服务进行更精准定位，在市场竞争中获得更大优势，因而数据对企业商业价值不置可否。

基于企业的营利属性视角，企业开展数据合规、保护企业数据安全具有天然的内驱力，通过企业内部治理，强化对企业数据安全保护，以避免数据泄露、篡改、丢失给企业商业价值造成损失。此外，基于企业的外部法律风险视角，通过构建数据合规督促企业形成守法经营的合规文化，规范企业数据处理行为，也能避免企业因企业数据安全法律风险而使企业遭受到巨额的民事罚款和行政、刑事执法处罚。

对数据合规风险进行详尽剖析进是建立完善企业数据合规体系的关键。当前，企业数据安全合规风险主要来源于两方面：一是管理层面，企业违反企业数据安全处理规则而引发的合规风险；二是法律义务层面，企业不履行企业数据安全保障义务而引发的合规风险。

1.数据收集合规风险

互联网领域，企业对数据收集的主要手段是爬虫技术（Crawler）。数据爬取本身不具有违法性，但是企业若为谋求不正当利益，违反“爬虫协议”（Robots）恶意滥用爬虫技术肆无忌惮地抓取数据就会引发合规风险。需要注意的是，司法实践中对违法利用爬虫技术抓取数据的行为评价跨度极大。对于手段恶劣、后果严重的爬虫行为，企业不仅可能会被数据权利方提出侵权指控、不正当竞争指控，甚至还可能基于网络爬虫行为对网站技术防护措施系统的强行破解而被认定为“非法侵入计算机信息系统罪”等刑事罪名而承担刑事责任。

2.数据存储合规风险

数据存储作为企业收集数据必经的处理活动之一，具有重大的合规意义。企业对数据进行存储时需要确保“安全原则”的适用，提高数据存储后的保密性、完整性和安全性，并通过加密、去标识化、备份等技术手段保证数据存储的稳定和流畅。尤其是针对去标识化的数据与可用于恢复识别个人信息的数据进行物理隔离。此外，《网络安全法》第37条、第77条特别规定了个人信息和重要数据的本地存储制度。考虑到公民隐私、国家安全以及公共利益保护的重要性日益凸显，本地存储制度的适用场景越来越多，企业必须深刻掌握和理解本地存储制度的适用情形，以避免因数据存储不当而承担非必要的合规风险。

3.数据使用合规风险

企业超出合理、正当、必要的数据使用范围是企业承担合规风险的主要来源之一。企业不正当使用数据的表现形式，体现为大数据杀熟、广告精准推送等。此外，在数据的删除上，用户有权行使“被遗忘权”，要求企业在规定的情形下删除其个人数据；企业也有义务主动配合其删除数据的要求，确保相关数据不会在后续留存、使用。虽然我国并没有规定被遗忘权，但是《企业数据安全法》和《个人信息保护法》等法律规定了“数据主体行使的删除权”和“数据处理者履行删除义务”，因而企业也应当遵守相关法律规定，以避免不必要的合规风险。

4.数据跨境流转双向合规风险

大规模的数据跨境流转是企业“走出去”满足国际贸易的业务需要，也是国际政策博弈的最为复杂的领域之一。据不完全统计，在全球总计231个国家（地区）中，已经有超过135个国家（地区）出台数据保护法，其中大多数有跨境数据流动法律或者政策。企业数据跨境流转合规风险主要体现为双向合规风险，企业不仅需要关注我国关于数据跨境流转的监管要求，而且还需要关注数据输入国关于数据保护领域的立法规定，以避免我国与数据输入国之间因限制数据跨境流转的规范与监管冲突而导致的企业合规经营风险。企业数据合规部门需要对数据输出国和数据输入国的数据跨境流转监管制度全面了解，否则稍有不慎就有可能触及“数据主权”问题。

企业履行数据安全保障义务不仅关系到自身数据合规的体系建设，而且还会对国家安全和公共利益施加不可小觑的影响，因此企业不履行数据安全保障义务与其他违规行为相比，其损害后果更为严重。作为企业数据安全风险管理人，如果企业仅需支付较小的成本就可以避免较大的损害，那么法律为企业设定企业数据安全保障义务就是合理的。为避免企业不履行数据安全保障义务而引发的合规风险，需要明确企业数据安全保障义务的范围和界限。具体而言，企业的数据安全保障义务包含个人信息权益保护义务、行政监管义务两个层面。

1.个人信息权益保护义务

数字科技时代，企业通过“告知-同意”范式大规模收集用户信息，利用算法技术对个人信息与行为数据进行分析处理，得以无偿占有个人的“数字劳动”。自此，用户成为数据生产链条上的一环，沦为被生产和消费的数据资源。这种从消费者沦为数据生产资源的地位转变，进一步加剧了个人与企业之间的力量悬殊。霍菲尔德指出，财产权的本质是人与人之间的法律关系。因而，企业与其研发的数字产品之间的关系实际上是企业与个人之间的关系。鉴于数据在收集、存储、使用和流转过程中常常伴随着个人信息权益受侵害的风险，因此在促进和发展数据要素上的财产性权益时，应当坚持和强调企业保护个人信息权益的义务。

2.行政监管义务

从企业合规风险视角看，数据犯罪的成立，往往是从违反数据行政监管的前置性条件开始。这意味着作为前置法的行政法关于数据处理规则和管理义务的规定为犯罪构成要件。在此基础上，只要符合数量、情节等特定构成要件就足以转化为犯罪。根据《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第4条的规定，网络服务提供者拒不履行信息网络管理义务，经监管部门责令采取改正措施而拒不改正，致使泄露行踪轨迹信息、通信内容、财产信息五百条以上的即可构成刑法286之一的“拒不履行信息网络安全管理义务罪”。考虑到数据泄露动辄以几十万乃至上亿条计，对于海量化数据处理的现代企业而言，一旦行政合规未达标准，几乎是“一泄露就入罪”。因而企业不履行企业数据安全保障义务所承担的刑事合规风险，其基础和必要的前置性条件是违反行政监管义务。

基于数据犯罪的低入罪门槛以及企业数据安全事件的不可逆性、事后性、复杂性和创新性等特点，本文认为，企业应当着重加强事前、事中合规，即日常性、常态化的数据合规体系。具体而言，应当着手数据分类分级分层保护、贯彻数据全生命周期安全保护理念，辅之以“技数赋能”识别企业数据安全合规义务和合规风险，以此来搭建企业数据合规体系，强化企业数据安全风险的前端治理。当然，任何措施都不可能规避所有的风险，事后应急管理，补救措施同样也必不可少。

数据的分类分级分层是企业数据保护的首要工作，不仅对企业数据安全具有重要的法益识别和风险防范功能，而且是构建集中统一、标准专业的数据合规体系框架的前提和基础。具体而言，企业应当遵循“分类识别管理、分级分层保护”的思路对数据进行定级分类，把数据划分为一般数据、重要数据、核心数据。根据受保护数据的类别和级别，分层识别匹配不同层级的安全保护等级和措施，对企业数据安全资源进行高效配置，为企业数据全生命周期安全保护活动制定相应的数据合规管理措施。此外，由于企业自身的逐利性，基于企业内部视角的数据分类分级，不能很好的处理企业数据安全管理的“外溢效应”问题。因此需要国家制定和完善行业数据分级分类的指导目录、等级保护条例和管理细则，明确企业数据分级分类分层保护的责任和义务，为企业数据安全提供更高水平的保护。

一是分类识别管理。遵循有关法律、法规以及部门规定的要求，从国家、行业、组织等多个视角和维度，对国家和行业领域内有专门管理要求的数据进行分类标识，并对企业所掌握的数据分类建立管理目录。二是分级分层保护。在完成分类的基础上，从企业数据安全的角度出发，根据对国家、社会、个人的价值以及数据遭到破坏或泄露后造成的影响范围、对象和危害程度，对数据进行定级。

此外，数据的类别级别并不是一尘不变的，可能会因时间、政策、安全事件的发生、业务变化或相关行业规则变化而发生改变，因此需要对数据层级和类别进行定期审核并及时改变调整。

《企业数据安全法》第27条规定，“建立健全全流程企业数据安全管理制度”。企业在完成数据分类分级分层的基础上，应当根据企业数据安全保护法益的重要性程度，确定数据收集、存储、使用、流转等全生命周期环节采取的企业数据安全防控策略和管控措施，以此来提升企业数据安全保护管理的水准。

1.企业数据合规组织架构

企业数据合规组织架构是企业进行企业数据安全建设的基石，其包括数据合规管理委员会、数据合规官以及数据合规执行部门。数据合规管理委员会作为企业专门负责企业数据安全和合规管理的部门，能够有效地联合不同层级、地域以及分管不同业务的企业部门，在数据合规全生命周期安全保护体系中起到中心枢纽、承上启下的关键作用。数据合规管理委员会一方面负责传达最高决策层关于企业数据安全方面的经营决策，同时数据合规管理委员会在数据保护的专业性问题上也受到数据合规官的直接指导，需要将企业存在的任何数据管理风险及时向数据合规官通报，以便数据合规官对企业数据安全环节的风险有清晰的了解；另一方面，数据合规管理委员会负责完善企业数据安全保护制度和流程，并将数据合规风险的全流程通过可视化的方式呈现给数据合规执行部门，将数据合规执行部门的职责进行分解，落实各部门企业数据安全保护的责任，达到对数据合规的精细化、项目化管理。

2.全流程数据合规管理体系

企业数据合规管理体系必须覆盖到企业经营的各个流程,保障企业能实现全流程的合规管理。一是建立企业数据安全风险审查机制。数据合规执行部门需要对数据的收集、存储、使用和流转等环节实行全生命周期安全审查，对重要数据、核心数据有针对性地进行定期审查、风险评估，有效定位企业数据安全链条中的风险来源。二是构建企业数据安全风险识别预警系统。作为海量性、系统性、多样性、隐蔽性等风险特性的集合，企业数据安全风险具有互联互通、开源迭代的特点。企业数据安全风险防控任一环节出现细微漏洞，都有可能扩大、产生连锁效应，因而必须加强对企业数据安全风险的识别预警，及时防微杜渐。三是建立企业数据安全事件应急制度。任何措施都不可能规避所有的风险，在发生企业数据安全事件后，应当立即启动应急预案并采取相应的补救措施，防止企业损失的进一步扩大，并按照规定向用户和有关主管部门进行报告，配合行政监管。四是数据跨境提供管理制度。数据跨境提供管理制度是保障国家数据主权和公共利益不受侵害的基础性保障。在总体国家安全观的角度下开张数据跨境流转，坚持关键领域数据保护对内合规的“本地化”主体立场，落实企业数据跨境提供的安全主体责任。

3.技数赋能企业数据安全合规义务和风险识别

数字和技术相伴而生，“技数赋能”的优势在于将算法技术和数字建模相结合，形成一套技术化、数字化、可视化的知识图谱和算法模型，使得企业数据安全合规义务和风险识别更加高效和准确。新形势下，企业的数据合规义务不仅范围广、涉及面庞杂而且非常细碎，单单仅依靠数据合规部门或者企业法务部门进行人工识别、对数据进行分类分级，根本无力应对，而且存在效率不高、有效性存疑等问题，因而需要通过技数赋能运用算法技术和数字建模实现企业数据安全合规义务和风险的完整提取和识别。具体方法如下：

• （1）通过大数据检索收集、整理企业数据安全合规义务和风险方面的规范性法律文件以及现行的国家、地方和行业标准等。

• （2）采取关键信息抽取、语言文本分析、知识融合、知识加工技术进行分析提取，建立可视化的知识图谱和算法模型。

• （3）为确保企业数据合规义务和风险识别工作的精准化，通过模型训练、深度学习不断分析数据信息的关联性和因果性，以此来提升知识图谱和算法模型的精确度，准确识别企业数据安全合规义务和风险。

以“技数赋能”识别企业数据合规义务和风险，建立可视化的知识图谱和算法模型，是持续改进数据全生命周期企业数据安全管理体系的关键措施。

随着数字经济的迅速发展，数据作为新生产要素的时代已经来临，其已然成为赋能企业科技创新，实现企业商业增殖的重要要素。但是，数据要素经济显性价值的背后直接关系到国家政治、经济、民生等各个方面的安全。因此，数据安全也必须纳入到企业经营理念之中，需要统筹协调好国家安全、数字经济发展、社会公众隐私与数据使用商业利益之间关系。

企业数据合规治理做为数据安全治理方面的专项合规规划，应同时考虑开发数据流通价值与保障数据安全两方面的需要，通过对数据进行分类分级分层防护，对数据进行全寿命周期安全防护，技数赋能等方式对企业数据安全遵守义务与风险进行识别，增强对企业内外偶联性与复杂性数据安全风险环境抵御能力，以便及时查补破绽，防微杜渐实现国家安全，经济发展，商业效益和数据安全的动态平衡。

来源：企业合规管理论坛