前 言

　　2020年4月10日,，《中共中央國務院關于構(gòu)建更加完善的要素市場化配置體制機制的意見》（簡稱《意見》）正式公布,。這是中央首次把數(shù)據(jù)作為一種新型生產(chǎn)要素寫入文件,。美國近年更是通過加強數(shù)據(jù)控制的《云端法》配合“長臂管轄”原則,，將調(diào)取數(shù)據(jù)權(quán)限覆蓋至全球與美國相關企業(yè),，企圖藉此侵犯他國數(shù)據(jù)管轄權(quán),，最終形成全球數(shù)據(jù)霸權(quán)。國與國之間在數(shù)據(jù)領域的競爭愈演愈烈,。

　　數(shù)據(jù)作為新時代的石油,，不僅僅對國家很重要，對每個企業(yè)來說也是重要的資產(chǎn),，是企業(yè)未來的核心競爭力,。如何使數(shù)據(jù)資產(chǎn)最大化發(fā)揮其價值？關鍵就是數(shù)據(jù)治理,。數(shù)據(jù)治理是數(shù)字化轉(zhuǎn)型的基礎和關鍵,，沒有數(shù)據(jù)治理，數(shù)字化轉(zhuǎn)型就是空中樓閣,，水中撈月,。而數(shù)據(jù)合規(guī)則是數(shù)據(jù)治理的重中之重，兩者如影隨形,，相輔相成,，從某種意義上，數(shù)據(jù)治理的目的就是數(shù)據(jù)合規(guī),。本文擬從企業(yè)實務角度探討數(shù)據(jù)合規(guī)問題,，與大家共同交流。

　　1 中國企業(yè)數(shù)據(jù)合規(guī)現(xiàn)狀

　　以大數(shù)據(jù),、云計算,、機器學習、人工智能數(shù)等為代表的的金融科技在業(yè)務實踐中得到大規(guī)模的運用,，數(shù)據(jù)資產(chǎn)的重要性更加凸顯,，相應地，數(shù)據(jù)合規(guī)的問題也越來越突出,。目前,，我國數(shù)據(jù)保護力度不斷加強,，新法規(guī)、新指南,、新標準不斷出臺,，相關職能部門也加大檢查力度。但企業(yè)的從理念還是到行動對數(shù)據(jù)合規(guī)的認識都不到位,。

　　墨跡科技旗下墨跡天氣App是一款天氣類App,，擁有5.56億的累計裝機量。2018年1月23日,，北京墨跡風云科技股份有限公司向證監(jiān)會報送《創(chuàng)業(yè)板首次公開發(fā)行股票招股說明書》,。遺憾的是，2019年10月11日,，中國證券監(jiān)督管理委員會發(fā)布公告,，北京墨跡風云科技股份有限公司首發(fā)申請未予通過。在公告中發(fā)審委提出了四條問題,，其中重點針對墨跡風云的數(shù)據(jù)治理提出了質(zhì)疑,。

　　無獨有偶，曠視科技IPO的過程中,，上海證券交易所就數(shù)據(jù)合規(guī)與科技倫理進行了問詢,。交易所在IPO過程中對數(shù)據(jù)合規(guī)問題進行關切已經(jīng)成為“必答題”，所有與數(shù)據(jù)相關企業(yè)都要對自己如何收集,、使用數(shù)據(jù)進行說明,。

　　2021年5月9日晚間，銀保監(jiān)會一口氣發(fā)布九張行政處罰信息公開表,，涉及六大國有行和光大,、中信八家銀行。因監(jiān)管標準化數(shù)據(jù)（EAST）系統(tǒng)數(shù)據(jù)質(zhì)量及報送存在違法違規(guī)行為,，這八家銀行一共被罰款1770萬元,。

　　我國頒布了一系列涉及數(shù)據(jù)合規(guī)的法律規(guī)范?！睹穹ǖ洹贰毒W(wǎng)絡安全法》《個人信息安全規(guī)范》《數(shù)據(jù)安全法》《個人信息保護法（草案）》《關鍵信息基礎設施安全保護條例》《最高人民法院關于審理使用人臉識別技術(shù)處理個人信息相關民事案件適用法律若干問題的規(guī)定》等均被列為合規(guī)依據(jù),，從中央到地方將對數(shù)據(jù)處理、數(shù)據(jù)活動形成全范圍的規(guī)制與保護,。

　　隨著各種規(guī)章制度越來越細化和深入,，可以預見，凡是涉及到數(shù)據(jù)的問題會越來越敏感,，行業(yè)監(jiān)管對數(shù)據(jù)也只會越來越重視。從本質(zhì)上來說,，數(shù)據(jù)合規(guī)是企業(yè)的生存問題,，有其現(xiàn)實性和急迫性,。

　　2 什么是數(shù)據(jù)合規(guī)

　　理解企業(yè)數(shù)據(jù)合規(guī)，首先要重新認識企業(yè)數(shù)據(jù)合規(guī)里的“數(shù)據(jù)”,。這里的數(shù)據(jù),，絕非僅僅狹義上的存放在數(shù)據(jù)庫里或電子表格里的數(shù)據(jù)，而是廣義上的企業(yè)在生產(chǎn)經(jīng)營過程中涉及到的一切數(shù)據(jù),。從數(shù)據(jù)對象上,，既有客戶的，也有企業(yè)員工的,，還有第三方的,；從數(shù)據(jù)形態(tài)上，既有靜態(tài)的,，也有動態(tài)的,；從數(shù)據(jù)結(jié)構(gòu)上，既有結(jié)構(gòu)化的,，也有非結(jié)構(gòu)化的,；從數(shù)據(jù)內(nèi)容上，既有原始的,，也有加工過的,；從數(shù)據(jù)存儲上，既有落地的,，也有流動的,。像客戶行為、應用日志,、視頻錄像,、電話錄音等等都應屬于數(shù)據(jù)合規(guī)關注的數(shù)據(jù)范疇。

　　涉及到企業(yè)數(shù)據(jù)合規(guī),，最近幾年社會上的熱點案例以及相關的規(guī)章制度,，基本都集中在個人信息防護和數(shù)據(jù)安全的層面，因為這兩方面產(chǎn)生的爭議和糾紛最多,，而從數(shù)字化轉(zhuǎn)型發(fā)展的長遠來看,，數(shù)據(jù)合規(guī)遠遠不止個人信息防護和數(shù)據(jù)安全。數(shù)據(jù)合規(guī)具體涵蓋了哪些方面,？如何前瞻性地識別數(shù)據(jù)合規(guī)風險,？我們覺得可以從監(jiān)管部門的規(guī)章制度上得以借鑒和思索。

　　作為證券基金行業(yè)信息技術(shù)管理基本大法的證監(jiān)會第152號文《證券基金經(jīng)營機構(gòu)信息技術(shù)管理辦法》,，將數(shù)據(jù)治理作為一個大章節(jié),，濃筆重墨，其中“第二十九條：證券基金經(jīng)營機構(gòu)應當結(jié)合公司發(fā)展戰(zhàn)略,，建立全面,、科學,、有效的數(shù)據(jù)治理組織架構(gòu)以及數(shù)據(jù)全生命周期管理機制，確保數(shù)據(jù)統(tǒng)一管理,、持續(xù)可控和安全存儲,，切實履行數(shù)據(jù)安全及數(shù)據(jù)質(zhì)量管理職責，不斷提升數(shù)據(jù)使用價值,?！保摋l制度為我們指出了數(shù)據(jù)合規(guī)的根本原則和基本思路,，根本原則就是“全生命周期管理”,，基本思路涉及到了“數(shù)據(jù)戰(zhàn)略”、“數(shù)據(jù)存儲”,、“數(shù)據(jù)安全”,、“數(shù)據(jù)質(zhì)量”、“數(shù)據(jù)變現(xiàn)”等,。

　　相對而言,，152號文里關于數(shù)據(jù)的論述還缺乏體系化和結(jié)構(gòu)化，因為畢竟不是專門針對數(shù)據(jù)治理而制定的,。我們覺得可以同時借鑒銀保監(jiān)會[2018]22號文《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》,。該指引指出，數(shù)據(jù)管理是金融業(yè)由高速發(fā)展向高質(zhì)量發(fā)展轉(zhuǎn)變的關鍵,，強調(diào)了數(shù)據(jù)管理的全覆蓋原則,，包括數(shù)據(jù)戰(zhàn)略、數(shù)據(jù)管理制度,、數(shù)據(jù)標準,、信息系統(tǒng)、數(shù)據(jù)共享,、數(shù)據(jù)安全,、應急預案、問責機制和自我評估機制等,。

　　結(jié)合以上兩個金融行業(yè)的重要制度,，同時參考行業(yè)內(nèi)的實踐案例，并考慮到可操作性,，我們認為數(shù)據(jù)合規(guī)的內(nèi)涵至少包括以下幾大方面：數(shù)據(jù)戰(zhàn)略,、數(shù)據(jù)文化、數(shù)據(jù)標準,、數(shù)據(jù)分類,、數(shù)據(jù)質(zhì)量、數(shù)據(jù)存儲、數(shù)據(jù)安全,、數(shù)據(jù)變現(xiàn),、數(shù)據(jù)共享等。以上數(shù)據(jù)合規(guī)的幾大關注點,，不僅涉及到管理問題，還有較為專業(yè)的技術(shù)問題,。

　　3 企業(yè)數(shù)據(jù)合規(guī)體系

　　數(shù)據(jù)合規(guī)的目的不是限制數(shù)據(jù)資產(chǎn)的使用,，而是引導數(shù)據(jù)資產(chǎn)合法合規(guī)地實現(xiàn)價值挖掘和變現(xiàn)，使數(shù)字化轉(zhuǎn)型落到實處,。如何使數(shù)據(jù)資產(chǎn)價值實現(xiàn)和數(shù)據(jù)合規(guī)達到一種動態(tài)的可持續(xù)性的平衡狀態(tài),？關鍵在于構(gòu)建相關的機制。首先需要明確的是,，數(shù)據(jù)合規(guī)不是合規(guī)部門的合規(guī),，也更不是信息技術(shù)部門的合規(guī)，而是公司整體上下每個業(yè)務單元和每個員工的合規(guī),，助力數(shù)字轉(zhuǎn)型,，需要公司從高層到基層，系統(tǒng)性結(jié)構(gòu)性全面性地由上而下來打造一套數(shù)據(jù)合規(guī)體系,。

　　參照近幾年來部分企業(yè)在數(shù)據(jù)合規(guī)建設上的摸索實踐,，同時結(jié)合最近幾年來相關監(jiān)管規(guī)章制度，我們認為,，數(shù)據(jù)合規(guī)體系應至少包含以下內(nèi)容：

　?。ㄒ唬┟鞔_數(shù)據(jù)戰(zhàn)略，營造數(shù)據(jù)文化

　　數(shù)據(jù)合規(guī)和數(shù)據(jù)治理是密不可分的,，數(shù)據(jù)合規(guī)須貫穿整個數(shù)據(jù)治理的過程,，須基于數(shù)據(jù)治理而開展，而數(shù)據(jù)治理的有效推進又離不開數(shù)據(jù)合規(guī),，因此,，數(shù)據(jù)合規(guī)和數(shù)據(jù)治理的戰(zhàn)略目的是一致的。為了達到這一目的,，須從頂層設計層面明確數(shù)據(jù)戰(zhàn)略,，從上而下將數(shù)據(jù)思維貫穿于所有業(yè)務、所有管理和所有規(guī)劃,，人人講數(shù)據(jù),，人人講合規(guī)，從下而上推動合規(guī)數(shù)據(jù)文化的培養(yǎng),，助力數(shù)字化轉(zhuǎn)型落到實處,。數(shù)據(jù)戰(zhàn)略的制定須和公司戰(zhàn)略、公司企業(yè)文化、公司業(yè)務特點和公司當前所處發(fā)展階段而結(jié)合,，因地制宜,，高屋建瓴，從宏觀層面來統(tǒng)一建設指導思路,，劃分發(fā)展階段任務,，完善配套制度和細則，搭建組織框架,，科學細分任務,，明確權(quán)責。

　?。ǘ?shù)據(jù)資產(chǎn)的梳理和管理

　　數(shù)據(jù)資產(chǎn)的管理是一項系統(tǒng)性的工程,，是隨著數(shù)據(jù)規(guī)模不斷擴大、數(shù)據(jù)價值縱深挖掘過程中自然而然產(chǎn)生的一個現(xiàn)實性管理問題,。對現(xiàn)有數(shù)據(jù)資產(chǎn)的梳理,，是數(shù)據(jù)管理工作的起點，更是數(shù)據(jù)合規(guī)工作的起點,。各個機構(gòu)單元掌握哪些數(shù)據(jù)資產(chǎn),，哪些是敏感數(shù)據(jù)，哪些是需要公開的數(shù)據(jù),，這些數(shù)據(jù)的外部訪問,、權(quán)限、管理責任,、變更情況,、使用情況、存儲狀況等,，以及是否標準化,、來源和用途是否清晰、是否真實,、數(shù)據(jù)之間的關系等等,， 都需一一梳理和評估，并最終形成數(shù)據(jù)資產(chǎn)清單,，由各級數(shù)據(jù)管理員統(tǒng)一匯報給公司數(shù)據(jù)治理小組,，為公司的數(shù)據(jù)戰(zhàn)略或數(shù)據(jù)治理提供決策依據(jù)，同時,，也是為數(shù)據(jù)合規(guī)工作開展做好基礎性的鋪墊,。日常的數(shù)據(jù)資產(chǎn)管理工作和數(shù)據(jù)治理密不可分，在數(shù)據(jù)的全生命周期管理中,，從數(shù)據(jù)的生產(chǎn)到使用,，直至銷毀,，數(shù)據(jù)合規(guī)工作都需要貫穿始終，每一個環(huán)節(jié)都應當有效留痕和切實管控,，從技術(shù)上和管理上進行審慎評估,，并以制度的形式明確下來，使數(shù)據(jù)合規(guī)真正成為促進數(shù)據(jù)治理有效開展的強有力抓手,。

　?。ㄈ?shù)據(jù)分類分級

　　對數(shù)據(jù)的分類分級，一方面是數(shù)據(jù)精細化管理的關鍵,，另一方面也是數(shù)據(jù)合規(guī)工作以及其他相關數(shù)據(jù)工作的基礎,，因此此處單獨拿出來作為數(shù)據(jù)合規(guī)體系的一部分。2018年9月,，證監(jiān)會發(fā)布《證券期貨業(yè)數(shù)據(jù)分類分級指引》，為證券期貨行業(yè)的數(shù)據(jù)工作樹立了行業(yè)標準,，提供了切實可行的落地思路,。該指引將數(shù)據(jù)的分類分級劃分為三個階段，即業(yè)務細分,、數(shù)據(jù)歸類,、級別判定，對每一個階段的實施進行了詳細闡述,，并且還給出了證券期貨行業(yè)典型數(shù)據(jù)分類分級的模板,。該指引充分體現(xiàn)了監(jiān)管對數(shù)據(jù)管理的重視，以及在數(shù)據(jù)風險防控上的高瞻遠矚,。

　?。ㄋ模?shù)據(jù)技術(shù)保障

　　根據(jù)數(shù)據(jù)技術(shù)涉及的數(shù)據(jù)對象來劃分，大致可以分為微觀和宏觀兩部分,。微觀層面,，數(shù)據(jù)相關技術(shù)有數(shù)據(jù)脫敏、敏感數(shù)據(jù)掃描,、數(shù)據(jù)加密,、數(shù)據(jù)匿名、數(shù)據(jù)接口標準規(guī)范,，以及和數(shù)據(jù)存儲,、數(shù)據(jù)恢復相關的各種數(shù)據(jù)技術(shù)；從宏觀層面,，數(shù)據(jù)管理過程中應根據(jù)業(yè)務需要建立相應的數(shù)據(jù)倉庫,、數(shù)據(jù)集市，乃至數(shù)據(jù)中臺,，實現(xiàn)數(shù)據(jù)賦能,，使數(shù)據(jù)索取更加智能化，并且使開發(fā)工作涉及到數(shù)據(jù)的部分更加標準化、規(guī)范化,、流程化,，讓更多精力集中于業(yè)務邏輯層面。

　?。ㄎ澹?shù)據(jù)應急管理

　　數(shù)據(jù)災難在很多時候?qū)ζ髽I(yè)的運作是致命性的,，尤其相關技術(shù)如大數(shù)據(jù)、云計算,、機器學習等得到大規(guī)模使用,。若發(fā)生數(shù)據(jù)泄露、數(shù)據(jù)異常,、數(shù)據(jù)損壞等數(shù)據(jù)事件時,，企業(yè)是否能快速應對？建立一套數(shù)據(jù)應急管理機制迫在眉睫,。從更深層次來說,，數(shù)據(jù)應急管理的目的不是為了應急，而是為了防患于未然,，避免未來數(shù)據(jù)事件的惡性發(fā)展趨勢,。建立數(shù)據(jù)應急管理機制，一方面要從組織架構(gòu)上予以保障,，梳理相應的應急處置流程,，明確獎懲機制，除數(shù)據(jù)治理小組,、各級數(shù)據(jù)聯(lián)絡員參與外,，很多時候，法務人員也需提前介入進行法律風險評估,；另一方面,，應提前建立相應的數(shù)據(jù)風險識別、監(jiān)測和評估機制,，動態(tài)完善相關數(shù)據(jù)風險預案,，并進行定期演練，以檢驗管理有效性,。

　　4 企業(yè)數(shù)據(jù)合規(guī)實踐關注要點

　?。ㄒ唬﹤€人信息保護

　　個人信息被濫用已經(jīng)成為當前社會治理上的痼疾，相信大家都有類似經(jīng)歷：無論在線下還是線上,，注冊會員,、開通賬戶或辦理其他業(yè)務時，一旦留下了手機號等個人信息,，接下來就會有保險,、炒股,、理財?shù)入娦旁p騙紛至沓來的騷擾；個人在瀏覽器里的搜索信息或購物軟件里的商品瀏覽記錄,，有時候突然出現(xiàn)在手機里其他應用軟件的“精準推送”信息中,；更有甚者，有時候個人照片,、身份證號,、賬戶等私密信息都莫名其妙被發(fā)布到網(wǎng)絡上。大家都不同程度地受到個人信息泄露帶來的困擾,，尤其當垃圾短信,、機器人電話等像狗皮膏藥一樣對我們進行狂轟濫炸時，真是讓人苦不堪言,。最近發(fā)生的一個大學教授維權(quán)案例值得關注,，當小區(qū)以門禁改造名義收集人臉識別信息時，他選擇了拒絕和維權(quán),，他認為小區(qū)物業(yè)管控沒有必要收集人臉信息,，另外人臉信息具備永久性，被泄露的后果更嚴重,，經(jīng)過一番“抗爭”后，最后小區(qū)物業(yè)保留了刷卡進小區(qū)的方式,，而不是將人臉識別作為進出小區(qū)的唯一途徑,。由此案例可看出，個人信息保護非常重要,，需要大家在日常生活中加以關注,，共同推動社會對個人信息的保護。

　　目前,，國內(nèi)關于個人信息保護的基本法《個人信息保護法》已在進行三審,，將為個人信息的使用和保護提供強有力的法律保障。除此之外,，行業(yè)內(nèi)還是有其他關于個人信息保護的規(guī)章制度,，現(xiàn)列舉部分供參考。

　　2019年12月,，國家互聯(lián)網(wǎng)信息辦公室,、工業(yè)和信息化部、公安部,、市場監(jiān)管總局聯(lián)合印發(fā)《App違法違規(guī)收集使用個人信息行為認定方法》,，該方法中明確了“未公開收集使用規(guī)則”、“未明示收集使用個人信息的目的,、方式和范圍”“未經(jīng)用戶同意收集使用個人信息”等違規(guī)行為的認定方法,，為App運營者自查自糾和網(wǎng)民社會監(jiān)督提供了可循之徑,，同時，該辦法也為2019年8月由全國信息安全標準化技術(shù)委員會秘書處起草的《信息安全技術(shù)移動互聯(lián)網(wǎng)應用（App）收集個人信息基本規(guī)范（草案）》提供了配套補充,。2019年4月由公安部網(wǎng)絡安全保衛(wèi)局,、北京網(wǎng)絡行業(yè)協(xié)會、公安部第三研究所聯(lián)合發(fā)布《互聯(lián)網(wǎng)個人信息安全保護指南》,，為互聯(lián)網(wǎng)環(huán)境下的個人信息保護提供了參考借鑒,。2017年12月由全國信息安全標準化技術(shù)委員會發(fā)布《信息安全技術(shù)個人信息安全規(guī)范》從信息技術(shù)建設層面，對提升個人信息保護作了相關要求,，該規(guī)范于2018年5月正式實施,，2020年再次修訂。

　　企業(yè)在業(yè)務開展和管理過程中,，凡是涉及到客戶個人信息的獲取和處理,，都需要慎之又慎，須對整個信息流的全生命周期進行通盤考慮和全面分析,，一方面厘清信息流使個人信息的處理符合外部法規(guī),，另一方面通過完善業(yè)務流程和相關授權(quán)機制為客戶提供可信賴的服務。在涉及個人信息的處理方面,，國內(nèi)大型互聯(lián)網(wǎng)企業(yè)極度重視,，無論是制度建設、業(yè)務梳理,，還是技術(shù)保障,、法務支持，均走在行業(yè)的前列,，值得其他企業(yè)參考借鑒,。

　　（二）數(shù)據(jù)安全

　　數(shù)據(jù)安全問題一直以來受到的關注度很高,，業(yè)界有相對來說較為成熟的咨詢服務和技術(shù)解決方案,。數(shù)據(jù)安全的基礎是建立在對數(shù)據(jù)資產(chǎn)的梳理之上，關注點無外乎身份認證,、訪問權(quán)限,、數(shù)據(jù)防泄漏、數(shù)據(jù)防篡改,、安全審計等,。數(shù)據(jù)安全應該覆蓋數(shù)據(jù)的全生命周期以及與數(shù)據(jù)相關的所有重要應用場景。然而,，很多數(shù)據(jù)安全解決方案中對數(shù)據(jù)的保護,，往往都是建立在犧牲效率的基礎上。如何平衡安全與效率,，使數(shù)據(jù)安全策略符合業(yè)務實際和公司未來發(fā)展方向,，值得認真思考,。

　　數(shù)據(jù)安全的合規(guī)性問題，可以從實現(xiàn)數(shù)據(jù)安全的技術(shù)手段和管理手段兩個方面進行關注,。在技術(shù)手段上,，從系統(tǒng)層面，有桌面終端安全防護,、桌面數(shù)據(jù)防泄漏,、虛擬桌面、堡壘機等解決方案,，對數(shù)據(jù)的流轉(zhuǎn)進行全程審計或監(jiān)控,；從實現(xiàn)的具體技術(shù)細節(jié)上，有數(shù)據(jù)脫敏處理,、數(shù)據(jù)加密,、水印溯源、電子簽名,、數(shù)據(jù)掃描等,，對數(shù)據(jù)的安全進行細顆粒度保障。好的技術(shù)手段需要好的管理予以保障,，才能事半功倍,，在管理手段上，基于數(shù)據(jù)合規(guī)體系的構(gòu)建,，從頂層建筑層面打造數(shù)據(jù)合規(guī)文化,，強調(diào)數(shù)據(jù)安全，從具體的制度建設上,，將數(shù)據(jù)安全和數(shù)據(jù)治理緊密結(jié)合，使數(shù)據(jù)安全建設思路深深嵌入到系統(tǒng)建設,、系統(tǒng)優(yōu)化,、業(yè)務開展等各個環(huán)節(jié)。

　　在國內(nèi)制度立法上,，數(shù)據(jù)安全的基本法《數(shù)據(jù)安全法》已經(jīng)在今年6月發(fā)布,，將在今年9月1日生效。該法涵蓋了數(shù)據(jù)安全與發(fā)展,、數(shù)據(jù)安全制度,、數(shù)據(jù)安全保護義務、政務數(shù)據(jù)安全與開放,、法律責任等內(nèi)容,，體現(xiàn)了政府對數(shù)字經(jīng)濟的重視和建設數(shù)字中國的決心，為各行各業(yè)開展數(shù)據(jù)安全相關工作提供了指引,，更是數(shù)據(jù)合規(guī)工作開展的重要制度依據(jù),。

　?。ㄈ?shù)據(jù)非法變現(xiàn)

　　數(shù)據(jù)非法變現(xiàn)的焦點問題在于過度挖掘和濫用數(shù)據(jù)。數(shù)據(jù)本身是無罪的,，關鍵在于使用的人,。

　　舉個例子，可以讓大家更直觀地看到數(shù)據(jù)非法變現(xiàn)帶來的惡果,。在美劇《西部世界》中,，時間設定為未來，人工智能和大數(shù)據(jù)分析的使用達到了登峰造極的地步,，作為集大成者的代表大數(shù)據(jù)分析系統(tǒng)“羅波安”,，基于充足的基礎數(shù)據(jù)和數(shù)學模型，將個體的未來計算出來,，它可以看到所有人的過去和未來,，每個人都事實上被它“鎖”定。因此,，個體未來每一個選擇都是必然的,，個體是可以被設計的，自由意志只是虛幻,。如果一旦發(fā)現(xiàn)有人的行為數(shù)據(jù)偏離預先設定,，“羅波安”的人類設計者塞拉克就會不惜代價去試圖修正，甚至直接消滅這個“突變體”,，從而保證“羅波安”數(shù)據(jù)模型的準確性,。未來如果任由數(shù)據(jù)濫用，是極其恐怖的,，數(shù)據(jù)的使用確實有其兩面性,，是把雙刃劍。

　　其他類似數(shù)據(jù)濫用的例子還有大數(shù)據(jù)殺熟,、個人肖像特征非法獲取和濫用,、爬取公開信息作為商業(yè)用途、使用木馬程序非法獲取數(shù)據(jù)并販賣,、非法囤積數(shù)據(jù)等等,。關于個人信息數(shù)據(jù)的濫用，相關規(guī)章制度已經(jīng)重點考慮,，至少從制度層面堵住了一部分漏洞,。隨著社會大眾的數(shù)據(jù)權(quán)益保護意識越來越強，在企業(yè)開展業(yè)務過程中,，即使數(shù)據(jù)獲取之后沒有實質(zhì)性的變現(xiàn),，也可能面臨相應的數(shù)據(jù)合規(guī)風險，因為很難擺脫變現(xiàn)的嫌疑,。因此,，數(shù)據(jù)管理者需要對數(shù)據(jù)的全生命周期進行系統(tǒng)性考慮,，力爭使管理的每一條數(shù)據(jù)都是明明白白、干干凈凈,。

　?。ㄋ模?shù)據(jù)交換

　　數(shù)據(jù)交換包括數(shù)據(jù)輸出、數(shù)據(jù)接入,、數(shù)據(jù)共享,、數(shù)據(jù)引用、數(shù)據(jù)落地等,，主要關注數(shù)據(jù)的流動性問題,，是數(shù)據(jù)治理的重要內(nèi)容。隨著各種云概念的泛濫,，如云接口,、云文件、云空間,、云搜索,、云瀏覽、云社區(qū),、云應用,、云殺毒、云電視,、云直播等等,，讓人眼花繚亂，相應地,，數(shù)據(jù)也隨著云技術(shù)學會了騰云駕霧,，在目前系統(tǒng)建設趨于大集中大統(tǒng)一大交換的背景下，數(shù)據(jù)交換更加高速和頻繁,，數(shù)據(jù)合規(guī)問題更需要引起重視,。

　　數(shù)據(jù)交換方面的合規(guī)性問題主要有外部數(shù)據(jù)的合規(guī)使用、共享數(shù)據(jù)的權(quán)益防護,、第三方系統(tǒng)接入、用戶生成內(nèi)容的保護,、敏感數(shù)據(jù)落地管理等,。目前較為常見的數(shù)據(jù)交換合規(guī)案例有：外部系統(tǒng)、外部接口或外部數(shù)據(jù)流接入到本地系統(tǒng)時,，需要審慎評估是屬于三方非法接入還是合法合規(guī)的系統(tǒng)集成,；企業(yè)公眾號使用未經(jīng)授權(quán)的圖片，會存在被版權(quán)擁有者索賠的風險,，本質(zhì)上也是非結(jié)構(gòu)化數(shù)據(jù)的合規(guī)問題,。以上數(shù)據(jù)交換案例,，不僅是數(shù)據(jù)合規(guī)的問題，往往還涉及到法務,、信息技術(shù)等,，需要多方介入共同論證和評估，才能給出合理的解決方案,。

　?。ㄎ澹?shù)據(jù)存儲

　　數(shù)據(jù)存儲和數(shù)據(jù)的分類分級密切相關，不同的數(shù)據(jù)級別會對應不同的存儲策略,，包括存儲內(nèi)容,、存儲方式、存儲頻率,、存儲介質(zhì),、存儲期限等。例如,，對于一級核心系統(tǒng),，相應的數(shù)據(jù)存儲級別就是最高等級，需要考慮底層數(shù)據(jù)庫數(shù)據(jù)和數(shù)據(jù)日志的實時存儲復制,、同城和異地容災備份,、數(shù)據(jù)的多節(jié)點分布式存儲等，以及因為數(shù)據(jù)多活,、應用多活帶來的其他相關數(shù)據(jù)存儲問題等,。同時，數(shù)據(jù)的存儲絕非是一個靜態(tài)的概念,，必然是一個動態(tài)的概念,。如果數(shù)據(jù)靜置不動，不代表數(shù)據(jù)存儲合規(guī)無問題,，因為數(shù)據(jù)存儲的目的就是為了使用,，所以數(shù)據(jù)存儲策略需要首先滿足業(yè)務連續(xù)性的要求，定期進行業(yè)務連續(xù)性演練,，達到恢復時間目標（RTO）和恢復點目標（RPO）,。數(shù)據(jù)存儲也并非是一個純粹的IT問題，和業(yè)務需求緊密相連,，業(yè)務數(shù)據(jù)存儲必須滿足監(jiān)管的最低時限要求,。

　　（六）數(shù)據(jù)出境

　　近年來,，國內(nèi)企業(yè)走出去做大做強已成為一個潮流,，然而因為國內(nèi)企業(yè)往往不太關注數(shù)據(jù)安全問題，同時不熟悉所在國家相關法律，數(shù)據(jù)合規(guī)問題往往成為風險敞口,，最終影響到了企業(yè)在國外的發(fā)展,，并且很容易給國外帶來先入為主的印象，為后續(xù)其他國內(nèi)企業(yè)的市場進入帶來不良影響,。

　　涉及到數(shù)據(jù)方面的法律法規(guī),，具有代表性的是歐盟的《一般數(shù)據(jù)保護條例》（GDPR）和美國的《加利福尼亞州消費者隱私保護法案》（CCPA），兩部法律的目的都是旨在規(guī)范數(shù)據(jù)的合法合規(guī)使用,，明確數(shù)據(jù)主體的權(quán)益,，防止數(shù)據(jù)濫用，促進數(shù)據(jù)安全,。兩部法律對個人信息保護格外重視,，概念界定都較為寬泛，主要的不同就在于立場的不同：GDPR是基于監(jiān)管者的立場,，以個人隱私數(shù)據(jù)為出發(fā)點,，強調(diào)數(shù)據(jù)保護的主動性；CCPA偏向于消費者的立場,，整體傾向數(shù)據(jù)的合規(guī)使用和合理價值實現(xiàn),。引用網(wǎng)上比較流行的觀點，在個人數(shù)據(jù)保護層面,，GDPR是“原則上禁止,，有合法授權(quán)時允許”，CCPA則是“原則上允許,，有條件禁止”,。

　　｜結(jié) 語｜

　　總而言之,，數(shù)字化轉(zhuǎn)型的大背景下,，要求每個人不僅要有數(shù)據(jù)思維，更要有數(shù)據(jù)合規(guī)思維,。同樣,，數(shù)據(jù)合規(guī)管理也需要與時俱進，開拓創(chuàng)新,，為數(shù)字化的成功落地保駕護航,。數(shù)字轉(zhuǎn)型，合規(guī)先行,；合規(guī)護航,，行穩(wěn)致遠。