前 言

　　2020年4月10日，《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》（簡稱《意見》）正式公布。這是中央首次把數(shù)據(jù)作為一種新型生產要素寫入文件。美國近年更是通過加強數(shù)據(jù)控制的《云端法》配合“長臂管轄”原則，將調取數(shù)據(jù)權限覆蓋至全球與美國相關企業(yè)，企圖藉此侵犯他國數(shù)據(jù)管轄權，最終形成全球數(shù)據(jù)霸權。國與國之間在數(shù)據(jù)領域的競爭愈演愈烈。

　　數(shù)據(jù)作為新時代的石油，不僅僅對國家很重要，對每個企業(yè)來說也是重要的資產，是企業(yè)未來的核心競爭力。如何使數(shù)據(jù)資產最大化發(fā)揮其價值？關鍵就是數(shù)據(jù)治理。數(shù)據(jù)治理是數(shù)字化轉型的基礎和關鍵，沒有數(shù)據(jù)治理，數(shù)字化轉型就是空中樓閣，水中撈月。而數(shù)據(jù)合規(guī)則是數(shù)據(jù)治理的重中之重，兩者如影隨形，相輔相成，從某種意義上，數(shù)據(jù)治理的目的就是數(shù)據(jù)合規(guī)。本文擬從企業(yè)實務角度探討數(shù)據(jù)合規(guī)問題，與大家共同交流。

　　1 中國企業(yè)數(shù)據(jù)合規(guī)現(xiàn)狀

　　以大數(shù)據(jù)、云計算、機器學習、人工智能數(shù)等為代表的的金融科技在業(yè)務實踐中得到大規(guī)模的運用，數(shù)據(jù)資產的重要性更加凸顯，相應地，數(shù)據(jù)合規(guī)的問題也越來越突出。目前，我國數(shù)據(jù)保護力度不斷加強，新法規(guī)、新指南、新標準不斷出臺，相關職能部門也加大檢查力度。但企業(yè)的從理念還是到行動對數(shù)據(jù)合規(guī)的認識都不到位。

　　墨跡科技旗下墨跡天氣App是一款天氣類App，擁有5.56億的累計裝機量。2018年1月23日，北京墨跡風云科技股份有限公司向證監(jiān)會報送《創(chuàng)業(yè)板首次公開發(fā)行股票招股說明書》。遺憾的是，2019年10月11日，中國證券監(jiān)督管理委員會發(fā)布公告，北京墨跡風云科技股份有限公司首發(fā)申請未予通過。在公告中發(fā)審委提出了四條問題，其中重點針對墨跡風云的數(shù)據(jù)治理提出了質疑。

　　無獨有偶，曠視科技IPO的過程中，上海證券交易所就數(shù)據(jù)合規(guī)與科技倫理進行了問詢。交易所在IPO過程中對數(shù)據(jù)合規(guī)問題進行關切已經成為“必答題”，所有與數(shù)據(jù)相關企業(yè)都要對自己如何收集、使用數(shù)據(jù)進行說明。

　　2021年5月9日晚間，銀保監(jiān)會一口氣發(fā)布九張行政處罰信息公開表，涉及六大國有行和光大、中信八家銀行。因監(jiān)管標準化數(shù)據(jù)（EAST）系統(tǒng)數(shù)據(jù)質量及報送存在違法違規(guī)行為，這八家銀行一共被罰款1770萬元。

　　我國頒布了一系列涉及數(shù)據(jù)合規(guī)的法律規(guī)范。《民法典》《網絡安全法》《個人信息安全規(guī)范》《數(shù)據(jù)安全法》《個人信息保護法（草案）》《關鍵信息基礎設施安全保護條例》《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》等均被列為合規(guī)依據(jù)，從中央到地方將對數(shù)據(jù)處理、數(shù)據(jù)活動形成全范圍的規(guī)制與保護。

　　隨著各種規(guī)章制度越來越細化和深入，可以預見，凡是涉及到數(shù)據(jù)的問題會越來越敏感，行業(yè)監(jiān)管對數(shù)據(jù)也只會越來越重視。從本質上來說，數(shù)據(jù)合規(guī)是企業(yè)的生存問題，有其現(xiàn)實性和急迫性。

　　2 什么是數(shù)據(jù)合規(guī)

　　理解企業(yè)數(shù)據(jù)合規(guī)，首先要重新認識企業(yè)數(shù)據(jù)合規(guī)里的“數(shù)據(jù)”。這里的數(shù)據(jù)，絕非僅僅狹義上的存放在數(shù)據(jù)庫里或電子表格里的數(shù)據(jù)，而是廣義上的企業(yè)在生產經營過程中涉及到的一切數(shù)據(jù)。從數(shù)據(jù)對象上，既有客戶的，也有企業(yè)員工的，還有第三方的；從數(shù)據(jù)形態(tài)上，既有靜態(tài)的，也有動態(tài)的；從數(shù)據(jù)結構上，既有結構化的，也有非結構化的；從數(shù)據(jù)內容上，既有原始的，也有加工過的；從數(shù)據(jù)存儲上，既有落地的，也有流動的。像客戶行為、應用日志、視頻錄像、電話錄音等等都應屬于數(shù)據(jù)合規(guī)關注的數(shù)據(jù)范疇。

　　涉及到企業(yè)數(shù)據(jù)合規(guī)，最近幾年社會上的熱點案例以及相關的規(guī)章制度，基本都集中在個人信息防護和數(shù)據(jù)安全的層面，因為這兩方面產生的爭議和糾紛最多，而從數(shù)字化轉型發(fā)展的長遠來看，數(shù)據(jù)合規(guī)遠遠不止個人信息防護和數(shù)據(jù)安全。數(shù)據(jù)合規(guī)具體涵蓋了哪些方面？如何前瞻性地識別數(shù)據(jù)合規(guī)風險？我們覺得可以從監(jiān)管部門的規(guī)章制度上得以借鑒和思索。

　　作為證券基金行業(yè)信息技術管理基本大法的證監(jiān)會第152號文《證券基金經營機構信息技術管理辦法》，將數(shù)據(jù)治理作為一個大章節(jié)，濃筆重墨，其中“第二十九條：證券基金經營機構應當結合公司發(fā)展戰(zhàn)略，建立全面、科學、有效的數(shù)據(jù)治理組織架構以及數(shù)據(jù)全生命周期管理機制，確保數(shù)據(jù)統(tǒng)一管理、持續(xù)可控和安全存儲，切實履行數(shù)據(jù)安全及數(shù)據(jù)質量管理職責，不斷提升數(shù)據(jù)使用價值。”，該條制度為我們指出了數(shù)據(jù)合規(guī)的根本原則和基本思路，根本原則就是“全生命周期管理”，基本思路涉及到了“數(shù)據(jù)戰(zhàn)略”、“數(shù)據(jù)存儲”、“數(shù)據(jù)安全”、“數(shù)據(jù)質量”、“數(shù)據(jù)變現(xiàn)”等。

　　相對而言，152號文里關于數(shù)據(jù)的論述還缺乏體系化和結構化，因為畢竟不是專門針對數(shù)據(jù)治理而制定的。我們覺得可以同時借鑒銀保監(jiān)會[2018]22號文《銀行業(yè)金融機構數(shù)據(jù)治理指引》。該指引指出，數(shù)據(jù)管理是金融業(yè)由高速發(fā)展向高質量發(fā)展轉變的關鍵，強調了數(shù)據(jù)管理的全覆蓋原則，包括數(shù)據(jù)戰(zhàn)略、數(shù)據(jù)管理制度、數(shù)據(jù)標準、信息系統(tǒng)、數(shù)據(jù)共享、數(shù)據(jù)安全、應急預案、問責機制和自我評估機制等。

　　結合以上兩個金融行業(yè)的重要制度，同時參考行業(yè)內的實踐案例，并考慮到可操作性，我們認為數(shù)據(jù)合規(guī)的內涵至少包括以下幾大方面：數(shù)據(jù)戰(zhàn)略、數(shù)據(jù)文化、數(shù)據(jù)標準、數(shù)據(jù)分類、數(shù)據(jù)質量、數(shù)據(jù)存儲、數(shù)據(jù)安全、數(shù)據(jù)變現(xiàn)、數(shù)據(jù)共享等。以上數(shù)據(jù)合規(guī)的幾大關注點，不僅涉及到管理問題，還有較為專業(yè)的技術問題。

　　3 企業(yè)數(shù)據(jù)合規(guī)體系

　　數(shù)據(jù)合規(guī)的目的不是限制數(shù)據(jù)資產的使用，而是引導數(shù)據(jù)資產合法合規(guī)地實現(xiàn)價值挖掘和變現(xiàn)，使數(shù)字化轉型落到實處。如何使數(shù)據(jù)資產價值實現(xiàn)和數(shù)據(jù)合規(guī)達到一種動態(tài)的可持續(xù)性的平衡狀態(tài)？關鍵在于構建相關的機制。首先需要明確的是，數(shù)據(jù)合規(guī)不是合規(guī)部門的合規(guī)，也更不是信息技術部門的合規(guī)，而是公司整體上下每個業(yè)務單元和每個員工的合規(guī)，助力數(shù)字轉型，需要公司從高層到基層，系統(tǒng)性結構性全面性地由上而下來打造一套數(shù)據(jù)合規(guī)體系。

　　參照近幾年來部分企業(yè)在數(shù)據(jù)合規(guī)建設上的摸索實踐，同時結合最近幾年來相關監(jiān)管規(guī)章制度，我們認為，數(shù)據(jù)合規(guī)體系應至少包含以下內容：

　　（一）明確數(shù)據(jù)戰(zhàn)略，營造數(shù)據(jù)文化

　　數(shù)據(jù)合規(guī)和數(shù)據(jù)治理是密不可分的，數(shù)據(jù)合規(guī)須貫穿整個數(shù)據(jù)治理的過程，須基于數(shù)據(jù)治理而開展，而數(shù)據(jù)治理的有效推進又離不開數(shù)據(jù)合規(guī)，因此，數(shù)據(jù)合規(guī)和數(shù)據(jù)治理的戰(zhàn)略目的是一致的。為了達到這一目的，須從頂層設計層面明確數(shù)據(jù)戰(zhàn)略，從上而下將數(shù)據(jù)思維貫穿于所有業(yè)務、所有管理和所有規(guī)劃，人人講數(shù)據(jù)，人人講合規(guī)，從下而上推動合規(guī)數(shù)據(jù)文化的培養(yǎng)，助力數(shù)字化轉型落到實處。數(shù)據(jù)戰(zhàn)略的制定須和公司戰(zhàn)略、公司企業(yè)文化、公司業(yè)務特點和公司當前所處發(fā)展階段而結合，因地制宜，高屋建瓴，從宏觀層面來統(tǒng)一建設指導思路，劃分發(fā)展階段任務，完善配套制度和細則，搭建組織框架，科學細分任務，明確權責。

　　（二）數(shù)據(jù)資產的梳理和管理

　　數(shù)據(jù)資產的管理是一項系統(tǒng)性的工程，是隨著數(shù)據(jù)規(guī)模不斷擴大、數(shù)據(jù)價值縱深挖掘過程中自然而然產生的一個現(xiàn)實性管理問題。對現(xiàn)有數(shù)據(jù)資產的梳理，是數(shù)據(jù)管理工作的起點，更是數(shù)據(jù)合規(guī)工作的起點。各個機構單元掌握哪些數(shù)據(jù)資產，哪些是敏感數(shù)據(jù)，哪些是需要公開的數(shù)據(jù)，這些數(shù)據(jù)的外部訪問、權限、管理責任、變更情況、使用情況、存儲狀況等，以及是否標準化、來源和用途是否清晰、是否真實、數(shù)據(jù)之間的關系等等， 都需一一梳理和評估，并最終形成數(shù)據(jù)資產清單，由各級數(shù)據(jù)管理員統(tǒng)一匯報給公司數(shù)據(jù)治理小組，為公司的數(shù)據(jù)戰(zhàn)略或數(shù)據(jù)治理提供決策依據(jù)，同時，也是為數(shù)據(jù)合規(guī)工作開展做好基礎性的鋪墊。日常的數(shù)據(jù)資產管理工作和數(shù)據(jù)治理密不可分，在數(shù)據(jù)的全生命周期管理中，從數(shù)據(jù)的生產到使用，直至銷毀，數(shù)據(jù)合規(guī)工作都需要貫穿始終，每一個環(huán)節(jié)都應當有效留痕和切實管控，從技術上和管理上進行審慎評估，并以制度的形式明確下來，使數(shù)據(jù)合規(guī)真正成為促進數(shù)據(jù)治理有效開展的強有力抓手。

　　（三）數(shù)據(jù)分類分級

　　對數(shù)據(jù)的分類分級，一方面是數(shù)據(jù)精細化管理的關鍵，另一方面也是數(shù)據(jù)合規(guī)工作以及其他相關數(shù)據(jù)工作的基礎，因此此處單獨拿出來作為數(shù)據(jù)合規(guī)體系的一部分。2018年9月，證監(jiān)會發(fā)布《證券期貨業(yè)數(shù)據(jù)分類分級指引》，為證券期貨行業(yè)的數(shù)據(jù)工作樹立了行業(yè)標準，提供了切實可行的落地思路。該指引將數(shù)據(jù)的分類分級劃分為三個階段，即業(yè)務細分、數(shù)據(jù)歸類、級別判定，對每一個階段的實施進行了詳細闡述，并且還給出了證券期貨行業(yè)典型數(shù)據(jù)分類分級的模板。該指引充分體現(xiàn)了監(jiān)管對數(shù)據(jù)管理的重視，以及在數(shù)據(jù)風險防控上的高瞻遠矚。

　　（四）數(shù)據(jù)技術保障

　　根據(jù)數(shù)據(jù)技術涉及的數(shù)據(jù)對象來劃分，大致可以分為微觀和宏觀兩部分。微觀層面，數(shù)據(jù)相關技術有數(shù)據(jù)脫敏、敏感數(shù)據(jù)掃描、數(shù)據(jù)加密、數(shù)據(jù)匿名、數(shù)據(jù)接口標準規(guī)范，以及和數(shù)據(jù)存儲、數(shù)據(jù)恢復相關的各種數(shù)據(jù)技術；從宏觀層面，數(shù)據(jù)管理過程中應根據(jù)業(yè)務需要建立相應的數(shù)據(jù)倉庫、數(shù)據(jù)集市，乃至數(shù)據(jù)中臺，實現(xiàn)數(shù)據(jù)賦能，使數(shù)據(jù)索取更加智能化，并且使開發(fā)工作涉及到數(shù)據(jù)的部分更加標準化、規(guī)范化、流程化，讓更多精力集中于業(yè)務邏輯層面。

　　（五）數(shù)據(jù)應急管理

　　數(shù)據(jù)災難在很多時候對企業(yè)的運作是致命性的，尤其相關技術如大數(shù)據(jù)、云計算、機器學習等得到大規(guī)模使用。若發(fā)生數(shù)據(jù)泄露、數(shù)據(jù)異常、數(shù)據(jù)損壞等數(shù)據(jù)事件時，企業(yè)是否能快速應對？建立一套數(shù)據(jù)應急管理機制迫在眉睫。從更深層次來說，數(shù)據(jù)應急管理的目的不是為了應急，而是為了防患于未然，避免未來數(shù)據(jù)事件的惡性發(fā)展趨勢。建立數(shù)據(jù)應急管理機制，一方面要從組織架構上予以保障，梳理相應的應急處置流程，明確獎懲機制，除數(shù)據(jù)治理小組、各級數(shù)據(jù)聯(lián)絡員參與外，很多時候，法務人員也需提前介入進行法律風險評估；另一方面，應提前建立相應的數(shù)據(jù)風險識別、監(jiān)測和評估機制，動態(tài)完善相關數(shù)據(jù)風險預案，并進行定期演練，以檢驗管理有效性。

　　4 企業(yè)數(shù)據(jù)合規(guī)實踐關注要點

　　（一）個人信息保護

　　個人信息被濫用已經成為當前社會治理上的痼疾，相信大家都有類似經歷：無論在線下還是線上，注冊會員、開通賬戶或辦理其他業(yè)務時，一旦留下了手機號等個人信息，接下來就會有保險、炒股、理財?shù)入娦旁p騙紛至沓來的騷擾；個人在瀏覽器里的搜索信息或購物軟件里的商品瀏覽記錄，有時候突然出現(xiàn)在手機里其他應用軟件的“精準推送”信息中；更有甚者，有時候個人照片、身份證號、賬戶等私密信息都莫名其妙被發(fā)布到網絡上。大家都不同程度地受到個人信息泄露帶來的困擾，尤其當垃圾短信、機器人電話等像狗皮膏藥一樣對我們進行狂轟濫炸時，真是讓人苦不堪言。最近發(fā)生的一個大學教授維權案例值得關注，當小區(qū)以門禁改造名義收集人臉識別信息時，他選擇了拒絕和維權，他認為小區(qū)物業(yè)管控沒有必要收集人臉信息，另外人臉信息具備永久性，被泄露的后果更嚴重，經過一番“抗爭”后，最后小區(qū)物業(yè)保留了刷卡進小區(qū)的方式，而不是將人臉識別作為進出小區(qū)的唯一途徑。由此案例可看出，個人信息保護非常重要，需要大家在日常生活中加以關注，共同推動社會對個人信息的保護。

　　目前，國內關于個人信息保護的基本法《個人信息保護法》已在進行三審，將為個人信息的使用和保護提供強有力的法律保障。除此之外，行業(yè)內還是有其他關于個人信息保護的規(guī)章制度，現(xiàn)列舉部分供參考。

　　2019年12月，國家互聯(lián)網信息辦公室、工業(yè)和信息化部、公安部、市場監(jiān)管總局聯(lián)合印發(fā)《App違法違規(guī)收集使用個人信息行為認定方法》，該方法中明確了“未公開收集使用規(guī)則”、“未明示收集使用個人信息的目的、方式和范圍”“未經用戶同意收集使用個人信息”等違規(guī)行為的認定方法，為App運營者自查自糾和網民社會監(jiān)督提供了可循之徑，同時，該辦法也為2019年8月由全國信息安全標準化技術委員會秘書處起草的《信息安全技術移動互聯(lián)網應用（App）收集個人信息基本規(guī)范（草案）》提供了配套補充。2019年4月由公安部網絡安全保衛(wèi)局、北京網絡行業(yè)協(xié)會、公安部第三研究所聯(lián)合發(fā)布《互聯(lián)網個人信息安全保護指南》，為互聯(lián)網環(huán)境下的個人信息保護提供了參考借鑒。2017年12月由全國信息安全標準化技術委員會發(fā)布《信息安全技術個人信息安全規(guī)范》從信息技術建設層面，對提升個人信息保護作了相關要求，該規(guī)范于2018年5月正式實施，2020年再次修訂。

　　企業(yè)在業(yè)務開展和管理過程中，凡是涉及到客戶個人信息的獲取和處理，都需要慎之又慎，須對整個信息流的全生命周期進行通盤考慮和全面分析，一方面厘清信息流使個人信息的處理符合外部法規(guī)，另一方面通過完善業(yè)務流程和相關授權機制為客戶提供可信賴的服務。在涉及個人信息的處理方面，國內大型互聯(lián)網企業(yè)極度重視，無論是制度建設、業(yè)務梳理，還是技術保障、法務支持，均走在行業(yè)的前列，值得其他企業(yè)參考借鑒。

　　（二）數(shù)據(jù)安全

　　數(shù)據(jù)安全問題一直以來受到的關注度很高，業(yè)界有相對來說較為成熟的咨詢服務和技術解決方案。數(shù)據(jù)安全的基礎是建立在對數(shù)據(jù)資產的梳理之上，關注點無外乎身份認證、訪問權限、數(shù)據(jù)防泄漏、數(shù)據(jù)防篡改、安全審計等。數(shù)據(jù)安全應該覆蓋數(shù)據(jù)的全生命周期以及與數(shù)據(jù)相關的所有重要應用場景。然而，很多數(shù)據(jù)安全解決方案中對數(shù)據(jù)的保護，往往都是建立在犧牲效率的基礎上。如何平衡安全與效率，使數(shù)據(jù)安全策略符合業(yè)務實際和公司未來發(fā)展方向，值得認真思考。

　　數(shù)據(jù)安全的合規(guī)性問題，可以從實現(xiàn)數(shù)據(jù)安全的技術手段和管理手段兩個方面進行關注。在技術手段上，從系統(tǒng)層面，有桌面終端安全防護、桌面數(shù)據(jù)防泄漏、虛擬桌面、堡壘機等解決方案，對數(shù)據(jù)的流轉進行全程審計或監(jiān)控；從實現(xiàn)的具體技術細節(jié)上，有數(shù)據(jù)脫敏處理、數(shù)據(jù)加密、水印溯源、電子簽名、數(shù)據(jù)掃描等，對數(shù)據(jù)的安全進行細顆粒度保障。好的技術手段需要好的管理予以保障，才能事半功倍，在管理手段上，基于數(shù)據(jù)合規(guī)體系的構建，從頂層建筑層面打造數(shù)據(jù)合規(guī)文化，強調數(shù)據(jù)安全，從具體的制度建設上，將數(shù)據(jù)安全和數(shù)據(jù)治理緊密結合，使數(shù)據(jù)安全建設思路深深嵌入到系統(tǒng)建設、系統(tǒng)優(yōu)化、業(yè)務開展等各個環(huán)節(jié)。

　　在國內制度立法上，數(shù)據(jù)安全的基本法《數(shù)據(jù)安全法》已經在今年6月發(fā)布，將在今年9月1日生效。該法涵蓋了數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護義務、政務數(shù)據(jù)安全與開放、法律責任等內容，體現(xiàn)了政府對數(shù)字經濟的重視和建設數(shù)字中國的決心，為各行各業(yè)開展數(shù)據(jù)安全相關工作提供了指引，更是數(shù)據(jù)合規(guī)工作開展的重要制度依據(jù)。

　　（三）數(shù)據(jù)非法變現(xiàn)

　　數(shù)據(jù)非法變現(xiàn)的焦點問題在于過度挖掘和濫用數(shù)據(jù)。數(shù)據(jù)本身是無罪的，關鍵在于使用的人。

　　舉個例子，可以讓大家更直觀地看到數(shù)據(jù)非法變現(xiàn)帶來的惡果。在美劇《西部世界》中，時間設定為未來，人工智能和大數(shù)據(jù)分析的使用達到了登峰造極的地步，作為集大成者的代表大數(shù)據(jù)分析系統(tǒng)“羅波安”，基于充足的基礎數(shù)據(jù)和數(shù)學模型，將個體的未來計算出來，它可以看到所有人的過去和未來，每個人都事實上被它“鎖”定。因此，個體未來每一個選擇都是必然的，個體是可以被設計的，自由意志只是虛幻。如果一旦發(fā)現(xiàn)有人的行為數(shù)據(jù)偏離預先設定，“羅波安”的人類設計者塞拉克就會不惜代價去試圖修正，甚至直接消滅這個“突變體”，從而保證“羅波安”數(shù)據(jù)模型的準確性。未來如果任由數(shù)據(jù)濫用，是極其恐怖的，數(shù)據(jù)的使用確實有其兩面性，是把雙刃劍。

　　其他類似數(shù)據(jù)濫用的例子還有大數(shù)據(jù)殺熟、個人肖像特征非法獲取和濫用、爬取公開信息作為商業(yè)用途、使用木馬程序非法獲取數(shù)據(jù)并販賣、非法囤積數(shù)據(jù)等等。關于個人信息數(shù)據(jù)的濫用，相關規(guī)章制度已經重點考慮，至少從制度層面堵住了一部分漏洞。隨著社會大眾的數(shù)據(jù)權益保護意識越來越強，在企業(yè)開展業(yè)務過程中，即使數(shù)據(jù)獲取之后沒有實質性的變現(xiàn)，也可能面臨相應的數(shù)據(jù)合規(guī)風險，因為很難擺脫變現(xiàn)的嫌疑。因此，數(shù)據(jù)管理者需要對數(shù)據(jù)的全生命周期進行系統(tǒng)性考慮，力爭使管理的每一條數(shù)據(jù)都是明明白白、干干凈凈。

　　（四）數(shù)據(jù)交換

　　數(shù)據(jù)交換包括數(shù)據(jù)輸出、數(shù)據(jù)接入、數(shù)據(jù)共享、數(shù)據(jù)引用、數(shù)據(jù)落地等，主要關注數(shù)據(jù)的流動性問題，是數(shù)據(jù)治理的重要內容。隨著各種云概念的泛濫，如云接口、云文件、云空間、云搜索、云瀏覽、云社區(qū)、云應用、云殺毒、云電視、云直播等等，讓人眼花繚亂，相應地，數(shù)據(jù)也隨著云技術學會了騰云駕霧，在目前系統(tǒng)建設趨于大集中大統(tǒng)一大交換的背景下，數(shù)據(jù)交換更加高速和頻繁，數(shù)據(jù)合規(guī)問題更需要引起重視。

　　數(shù)據(jù)交換方面的合規(guī)性問題主要有外部數(shù)據(jù)的合規(guī)使用、共享數(shù)據(jù)的權益防護、第三方系統(tǒng)接入、用戶生成內容的保護、敏感數(shù)據(jù)落地管理等。目前較為常見的數(shù)據(jù)交換合規(guī)案例有：外部系統(tǒng)、外部接口或外部數(shù)據(jù)流接入到本地系統(tǒng)時，需要審慎評估是屬于三方非法接入還是合法合規(guī)的系統(tǒng)集成；企業(yè)公眾號使用未經授權的圖片，會存在被版權擁有者索賠的風險，本質上也是非結構化數(shù)據(jù)的合規(guī)問題。以上數(shù)據(jù)交換案例，不僅是數(shù)據(jù)合規(guī)的問題，往往還涉及到法務、信息技術等，需要多方介入共同論證和評估，才能給出合理的解決方案。

　　（五）數(shù)據(jù)存儲

　　數(shù)據(jù)存儲和數(shù)據(jù)的分類分級密切相關，不同的數(shù)據(jù)級別會對應不同的存儲策略，包括存儲內容、存儲方式、存儲頻率、存儲介質、存儲期限等。例如，對于一級核心系統(tǒng)，相應的數(shù)據(jù)存儲級別就是最高等級，需要考慮底層數(shù)據(jù)庫數(shù)據(jù)和數(shù)據(jù)日志的實時存儲復制、同城和異地容災備份、數(shù)據(jù)的多節(jié)點分布式存儲等，以及因為數(shù)據(jù)多活、應用多活帶來的其他相關數(shù)據(jù)存儲問題等。同時，數(shù)據(jù)的存儲絕非是一個靜態(tài)的概念，必然是一個動態(tài)的概念。如果數(shù)據(jù)靜置不動，不代表數(shù)據(jù)存儲合規(guī)無問題，因為數(shù)據(jù)存儲的目的就是為了使用，所以數(shù)據(jù)存儲策略需要首先滿足業(yè)務連續(xù)性的要求，定期進行業(yè)務連續(xù)性演練，達到恢復時間目標（RTO）和恢復點目標（RPO）。數(shù)據(jù)存儲也并非是一個純粹的IT問題，和業(yè)務需求緊密相連，業(yè)務數(shù)據(jù)存儲必須滿足監(jiān)管的最低時限要求。

　　（六）數(shù)據(jù)出境

　　近年來，國內企業(yè)走出去做大做強已成為一個潮流，然而因為國內企業(yè)往往不太關注數(shù)據(jù)安全問題，同時不熟悉所在國家相關法律，數(shù)據(jù)合規(guī)問題往往成為風險敞口，最終影響到了企業(yè)在國外的發(fā)展，并且很容易給國外帶來先入為主的印象，為后續(xù)其他國內企業(yè)的市場進入帶來不良影響。

　　涉及到數(shù)據(jù)方面的法律法規(guī)，具有代表性的是歐盟的《一般數(shù)據(jù)保護條例》（GDPR）和美國的《加利福尼亞州消費者隱私保護法案》（CCPA），兩部法律的目的都是旨在規(guī)范數(shù)據(jù)的合法合規(guī)使用，明確數(shù)據(jù)主體的權益，防止數(shù)據(jù)濫用，促進數(shù)據(jù)安全。兩部法律對個人信息保護格外重視，概念界定都較為寬泛，主要的不同就在于立場的不同：GDPR是基于監(jiān)管者的立場，以個人隱私數(shù)據(jù)為出發(fā)點，強調數(shù)據(jù)保護的主動性；CCPA偏向于消費者的立場，整體傾向數(shù)據(jù)的合規(guī)使用和合理價值實現(xiàn)。引用網上比較流行的觀點，在個人數(shù)據(jù)保護層面，GDPR是“原則上禁止，有合法授權時允許”，CCPA則是“原則上允許，有條件禁止”。

　　｜結 語｜

　　總而言之，數(shù)字化轉型的大背景下，要求每個人不僅要有數(shù)據(jù)思維，更要有數(shù)據(jù)合規(guī)思維。同樣，數(shù)據(jù)合規(guī)管理也需要與時俱進，開拓創(chuàng)新，為數(shù)字化的成功落地保駕護航。數(shù)字轉型，合規(guī)先行；合規(guī)護航，行穩(wěn)致遠。