□ 于强伟

自2017年《网络安全法》施行以来，国内关于网络安全、数据安全和个人信息保护的立法和政策持续迭代更新，大量行业标准和团体标准也在此期间发布，许多数据密集型行业，如医疗、出行、金融科技等，开始面临前所未有的压力和挑战。作为控制大量数据的各类企业，无论日常经营管理还是企业资本运作，数据合规逐渐成为他们的一门必修课。

数据为何要合规

伴随着互联网的高速发展，数据问题成为现象级话题。数据合规主要针对的主体，是通过网络平台及其他渠道控制大量数据的各类企业。实践中常见的“大数据杀熟”“信息茧房”“个性化推荐”等现象，往往是数据企业借助数据垄断地位对个人生活实施的不当干预。从需求来看，作为数据控制者的企业，与数据主体（个人）及作为数据监管者的政府之间，有着天然的立场分歧。企业期望尽可能多地控制数据，通过获取数据进行流量变现，并尽可能搭建生态壁垒；个人希望尽可能地保护个人隐私；政府则希望从公共利益角度促进数据的流通和使用。在各方博弈中，可以发现数据合规在很多场景下是外部因素促成的，并非数据企业主动实施。

刑事犯罪风险加大。按照最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，“侵犯公民个人信息罪”的入罪标准降低。例如，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的，即可触发该罪。对于企业而言，这是不可承受的试错风险。

行政处罚成本高企。2021年颁布施行的《个人信息保护法》，对违法处理个人信息未尽个人信息保护义务的，最高可处以5000万元以下或者上一年度营业额5%以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。如果企业有资本运作的计划，此类行为可归入典型的“重大违法行为”，从而可能对资本运作造成影响。

国家主权和安全的需要。2013年美国的“棱镜门”事件，使各国认识到数据安全、网络安全等问题不是简单的技术问题，只有做到数据的合规化管理，才可能保障数据的安全，从而维护国家的主权和安全。因此，2023年2月17日证监会发布的《境内企业境外发行证券和上市管理试行办法》中，明确提出将拟申报境外上市企业的网络安全审查作为备案通过与否的前置性条件。

数据流通利用的需要。近几年，国家和地方出台了许多政策，鼓励数据的交易和流通，为实体产业的数字化升级赋能。一些地方也设立了大数据交易所，如贵阳、上海、北京等。但数据的流通和利用应当基于合规的基本前提，否则可能会滋生新的社会问题。2022年12月，中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》（“数据二十条”）也明确提出，要实现数据流通全过程动态管理，在合规流通使用中激活数据价值。

数据合规的价值

起初，许多人将数据比喻为“新时代的石油”，具有源源不断的使用价值，因此对数据的获取和使用，基本处于野蛮生长状态。自《网络安全法》施行后，对数据的处理提出更高更严厉的要求，数据合规的新时代正式开启。数据的合规化管理，表面看似乎为数据企业增加了管理成本，但实则不然，数据合规能够为企业创造价值。

可以避免承担法律责任。对于日常经营管理活动，从风险管理的角度来看，企业不做风险管理，将来迟早要做危机管理。所有风险导致的危机，最终责任在法律上一般表现为三种形态：刑事处罚、行政处罚及民事赔偿。刑事处罚是企业不能承受之重，许多企业因刑事违法导致一蹶不振，甚至彻底关门；行政处罚如果额度较大也可能给企业带来严重影响；而民事赔偿影响的是企业净利润。从法律角度看，企业的经营业绩经会计核算后，只有在剔除各种法律责任给财务带来的损失之后，才是企业真正的“净利润”。

为企业资本运营保驾护航。如今，能够完全脱离数字化而独善其身的企业越来越少，尤其在企业准备进行对外股权融资或者筹备公司上市时，数据的合规问题已经成为包括监管机构在内的各方普遍关注的通识性问题。如果数据的处理不合规，轻则影响企业估值或导致交易时间表延后，重则可能导致交易受阻。因此，尽早实施数据的合规化治理，能够为企业后续可能的资本运营铺平道路。

帮助企业树立良好的社会形象。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》第十八章明确提出，建立健全数据要素市场规则。对于这种新型生产要素，政策及法规鼓励企业在履行个人信息保护义务的前提下，通过合法途径获取和使用，促进数据流通。如果企业通过爬虫技术非法恶意攫取数据，或者通过流量劫持、个性化推荐等技术手段，给消费者造成诸多干扰，势必会影响企业的声誉及形象。

数据合规的路径

数据合规是一项体系化工程，一般来说从以下四个方面展开工作将会取得相应成效。

一是组织体系。主要是在公司治理层面、领导层面及执行层面，就数据合规的职责进行分解，确定好数据合规相应层级的负责人及其工作机制。数据治理中常见的“数据孤岛”现象，往往是内部机制不协调造成的。

二是制度体系。从网络安全管理、数据分类分级、个人敏感信息保护等方面，依据法律法规的要求以及企业的业务流、数据流现状，做出恰当的制度安排。

三是运行机制。在数据合规审计机制、数据合规培训机制、第三方数据管理机制、数据合规关键岗位强化管理等方面，切实将制度体系的要求落到实处。

四是保障机制。领导的公开承诺和以身作则极其重要，许多企业的制度规则之所以失效，往往因为领导首先带头破坏规则，对不合规处理难以做到一视同仁。

另外，数据合规职能的独立性、适当和充分的人财物支持等也是十分必要的，如果最终能够在企业内部形成数据合规文化，无论企业还是员工都将从中长久受益。

（作者系通商律师事务所合伙人）