《數據安全法》出臺背景下企業數據合規分析

摘要：數據時代下，數據已然成為大數據公司的無形資產，數據合規將成為維護產業平穩健康發展，保障公司商業利益和正常運營的重要基石。除了《數據安全法》的出臺對企業，隨著數據資源的不斷挖掘，數據在采集、使用、存儲三個環節的風險也逐漸提升。企業應當從轉變意識構建合規體系、完善隱私政策獲得明確授權、遵守爬蟲協議合法爬梳數據、加強技術開發提高保護能力、做好盡職調查明確管理義務這五個方面進行合規調整，以提升數據資產的保護力度。

關鍵詞：數據合規;數據安全法;合規建議

引言

隨著各行業對數據資源的不斷挖掘，數據被廣泛應用于廣告定向投遞、文創產品需求分析、輿情預警、市場動態走向分析等多個領域，在算法加持下產生巨大的經濟效益。然而數據重復成本低、流轉率高的特點也使數據的收集使用過程風險倍增、危機重重。一方面，一旦部分如包含個人財產信息在內的敏感數據被不法傳播和利用，將影響至民眾的財產甚至人身安全。另一方面，在網絡爬蟲技術的持續發展背景下，掌握技術優勢的互聯網公司能夠以極低的成本從各類應用軟件、搜索引擎中挖掘海量數據資源，再將分析結果推送給消費者，其中包含著原數據開發者的開發成本和后續轉賣的利潤，開發者開發的數據如何保護、利潤如何分配引發的糾紛越來越多。

越來越多的政府、企業和個人開始重視數據的來源合法、采集合規、安全存儲問題，2020年新浪微博5億用書信息泄露案件、2017年龐理鵬訴東方航空案、2020年百度與大眾點評不正當競爭糾紛案等案件，將人們的視線拉入到數據安全保護問題的討論當中。隨著實踐問題的不斷發酵、民眾呼聲的不斷提高，我國有關信息保護的立法也不斷完善以回應現實問題。目前，我國《網絡安全法》和《電子商務法》已正式生效，《個人信息保護法》也進入了立法程序，2021年6月10日我國《數據安全法》正式出臺，數據合規問題逐漸走入大眾的視野，也逐漸引起相關企業的重視。

一.《數據安全法》的主要內容與要求

《數據安全法》一共分為七章，五十五條。包含數據相關概念、數據分級分類保護制度、數據安全審查制度、數據出境等內容，企業應當注重以下幾個方面，以此為要求進行合規調整。

1.明確數據有關概念

《數據安全法》第三條規定，數據，是指任何以電子或者其他方式對信息的記錄。數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。”在數據的概念方面實現了信息記載形式的全覆蓋，除了電子數據，還將其他記錄方式納入其中。對于數據處理的界定，覆蓋了數據全生命周期。都體現對于數據安全保護范圍更廣、要求更加嚴格。

2.建立數據分級分類保護制度

《數據安全法》第二十一條規定“國家建立數據分級分類保護制度…將關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據列入國家核心數據，實行更加嚴格的管理制度。”體現對于數據保護資源的合理分配和精細化、專業化程度。

3.建立數據安全審查制度

與《網絡安全審查辦法》不同的時，《數據安全法》審查的對象包括所有的影響或可能影響國家安全的數據活動，既包括線上也包括線下，且對數據活動主體并未作出限制。因此，企業在進行數據合規時應當尤其注重對所有的數據資產進行審查，做好有關國家安全的數據的報告，盡到審慎管理和保護義務。

二.企業數據合規的現實風險

以數據分析產業為主的公司類型常有APP運營方、電子商務平臺、各類商業服務網站等形式，普遍的運作模式為通過客戶端界面收集消費者的個人信息或運用爬蟲技術爬梳數據，利用技術手段對此類數據和整理，形成相關產品，再推送給消費者或轉賣給第三方公司。根據該流程，需要采取風控手段的環節主要涉及數據采集、數據分析、數據使用、數據存儲、數據交易等環節，而其中面臨的風險是用戶個人隱私、商業秘密的泄露問題。具體而言，有以下三類風險：

1.數據采集環節中的安全風險

企業的數據采集方式分為用戶授權和爬蟲爬梳兩種。在用戶授權方面，雖然數據行業已經掀起“隱私政策”的浪潮，但筆者仔細查閱 “騰訊” “大眾點評”“步道樂跑”等知名APP隱私政策后發現，這些軟件普遍存在隱私政策冗長、專業術語晦澀，涉及格式條款內容沒有進一步解讀等問題，導致用戶存在不愿讀、讀不懂的問題。同時，看似“勾選同意”的方式實際上架空了用戶的選擇權，因為一旦選擇不同意，用戶將無法享受軟件上的功能與服務，利用技術優勢形成實質的權利不對等的局面。用戶草草勾選后輸入個人信息，為日后引發糾紛買下隱患。

在爬蟲爬梳方面，部分互聯網公司為了降低數據收集成本、豐富數據庫等，利用爬蟲技術從各類網站甚至APP上爬梳網站商業信息，這些行為可能導致原網站潛在客戶流失、流量減少，系統卡頓等問題，對于加工后的爬梳數據，轉賣的利潤是否需要分配給原數據開發者也是糾紛之一，涉案公司可能陷入不正當競爭、商業秘密侵權等案件當中，也是風控需要著眼之處。

2.數據使用環節的安全風險

數據使用環節包括公司對數據的處理分析和數據交易兩種形式。在數據分析處理時，如果對數據的處理超出了用戶授權范圍或客戶預期，此時用戶的控制權將難以得到保障。公民的交易記錄、賬號密碼、生物識別信息一旦泄露，將對公民帶來難以預計的嚴重后果，產生數據隱私不合規的問題。在數據交易過程中，平臺經營者可能僅在第一次收集環節獲取到用戶的同意授權，而在后續通過關聯共享數據或與第三方交易過程中將相關數據一次性轉讓，用戶無法預估后續的流轉環節，數據泄露風險也隨之增加。實踐中大數據殺熟問題的不斷出現也反映相關問題的嚴重性。

3.數據存儲環節的安全風險

在數據價值不斷凸顯的同時也將不法分子的視線引入到數據資產侵權倒賣當中，各類病毒、黑客技術等外部攻擊使得存儲于各平臺的數據安全風險驟升，數據價值之豐厚與流轉成本之低昂愈發刺激數據竊賊的不法行徑。例如，世界四大會計師事務所之一的德勤公司，盡管十分重視大數據使用安全，也同時建立了強有力的技術防范能力，也難以避免曾經遭遇過網絡攻擊，造成許多私密的電子郵件和客戶計劃泄露事件。

三.企業數據合規策略與建議

結合《數據安全法》所提出的安全保護要求和實踐中存在的數據安全威脅，有關企業可以從事前預防和事后控制兩個層次進行數據合規整改，以免產生監管處罰、內部企業文化受損和品牌形象、潛在客戶的流失等違規代價。

1.轉變思想觀念，構建合規體系

企業應當與時俱進，在現行數據保護愈加嚴格和數據安全風險愈加嚴重的形勢下，及時調整合規觀念，做出預案。一方面，需要理清數據保護與利用之間的關系，在最大限度發揮數據價值和推動數據合規交易之間找到平衡;另一方面，需要構建數據合規框架，即以數據種類為基礎，依照性質對數據進行梳理，一旦出現有關數據合規問題，能夠迅速定位問題所在并及時做出應對措施。

2.制定隱私政策，獲得明確授權

針對實踐中產生的隱私政策冗長、相關術語晦澀等問題，企業在制定隱私政策時應該做到簡單明了，在有關專業術語部分進行解釋，或提供人工客服服務，為存在疑惑的客戶提供解讀服務，釋明相關條款尤其是涉及用戶授權范圍、授權方式、使用途徑等內容。為了防止用戶草率同意，可以采用技術手段如強制拉完協議所有界面等方式，以便盡到“合理提示義務”，即便發生糾紛也有充分的證據。但采用該技術的前提依舊是條文內容的簡單明了，否則將存在降低用戶好感度的風險。

3.遵守爬蟲協議，減少訴訟風險

依照爬取網站類型，企業的爬蟲行為分為兩種。一種是對公開查詢服務的網站進行爬出，例如爬取全國企業信用信息公示系統符合《中華人民共和國政府信息公開條例》，不存在合規風險;一種是對商業網絡平臺進行爬取，在爬梳過程中需要注意遵守爬蟲協議的規定，此外，若第三方網站采用了反爬蟲等技術手段、或公示爬蟲聲明，則企業不得繞開相關手段繼續爬取，否則可能面臨以不正當競爭被追訴的風險。

4.培養專業人才，加強技術開發

面對外來攻擊，提升數據安全保障技術是最主要的預防手段，企業可以通過自身培養專業人才或者借助第三方力量來加強技術保障。一方面，企業需要加強法務人員、技術工作人員的數據合規意識，培養數據處理和風險防控方面的專業人才，采用數據脫敏處理、同態加密技術等對相關數據加強保護。另一方面，在自身防護技術力量薄弱時，企業可以借助第三方專業機構，購買數據安全保障服務，從而實現數據保護責任與風險的轉移。雖然這一措施或許會削弱企業的利潤，但相比長遠的企業信譽利益和違規處罰成本來看，技術服務的成本微乎其微。

5.做好盡職調查，協議管理義務

在與第三方交易時，除了獲得用戶的明確授權同意，企業還應當做好盡職調查，將雙方有關數據安全管理義務明確寫入合同當中。對交易對方當事人的盡職調查，主要需要圍繞著數據企業資信、數據安全保障技術和能力、數據用途、數據來源等內容展開，將容錯空間降低也為數據安全多一層保障。此外，交易雙方都對合同客體負有安全管理義務，應當聽過保證協議等方式明確約定，經合同雙方確認，但需注意的是這種形式主要是用違約責任的方式給彼此負上義務，并不免除行政或刑事責任的承擔，一旦一方觸犯了相關法律法規，依舊要面臨懲處。

在發生數據泄露事件時，企業應當立即啟動應急措施，及時向社會發布有關的警示信息，并從此次事件當中吸取教訓，進行總結，不斷進行合規調整以免類似事件再次發生。

四.結語

忽視數據合規，將產生訴訟費用、強令整改費用等一系列違規成本，而直接導致的用戶利益受損、消費者信任度下降等影響更會對企業的信譽這一無形資產產生影響。在《數據安全法》對數據安全保護的范圍、分級分類的專業程度等提出要求時，企業應當直面數據生命全流程周期存在的風險，轉變合規意識，采用更為完善的隱私政策獲得用戶授權、遵守行業規則避免訴累、培養技術人才提升數據安全保障能力、做好盡職調查降低交易風險，以實現企業數據開發使用的風險防控。

參考文獻：

[1]王繼業. 加強數據安全合規管理提升安全生產質效[N]. 國家電網報，2021-06-10（003）.

[2]夏知淵，汪星辰.數據服務合規研究及展望[J].中國金融電腦，2021（06）：65-68.

[3]高海燕.大數據背景下會計倫理問題的思考[J].財會學習，2021（16）：93-95.

[4]李一萌，曹錦秋.電商新紀元背景下平臺經營者合規路徑初探[J].哈爾濱學院學報，2021，42（05）：68-71.

[5]楊毅.數據權屬與合規交易研究[J].武漢金融，2021（05）：82-88.

[6]吳衛明. 《數據安全法》解讀與合規建議，（https：//mp.weixin.qq.com/s/_cSidOqABzYijIXMj-DTMA，2021.6.12日訪問）

作者簡介：

鐘小羽，女，生于2001年4月，漢族，江西宜春人，江蘇大學本科在讀，研究方向：法學

基金項目：

江蘇大學第19批大學生科研課題立項資助項目，項目編號：19C170