數(shù)字化轉(zhuǎn)型背景下企業(yè)數(shù)據(jù)合規(guī)研究

張玥萌，陸昊飏

(武漢理工大學 法學與人文社會學院，湖北 武漢430070)

0 引言

當前，企業(yè)推進數(shù)字化轉(zhuǎn)型將面臨挑戰(zhàn)，在傳統(tǒng)企業(yè)合規(guī)模式下，企業(yè)在經(jīng)營過程中往往會陷入彌補“合規(guī)傷痕”困境，這對企業(yè)合規(guī)管理提出了更高的要求，也使得企業(yè)合規(guī)管理體系構(gòu)建成為大勢所趨。結(jié)合近年來傳統(tǒng)企業(yè)數(shù)字化轉(zhuǎn)型的實踐探索，以及企業(yè)治理模式的司法探索，本文提出傳統(tǒng)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型背景下企業(yè)合規(guī)制度建設(shè)路徑：①技術(shù)維度上，將合規(guī)科技引入傳統(tǒng)產(chǎn)業(yè)為企業(yè)數(shù)字化轉(zhuǎn)型注入新動能；②法律維度上，用全鏈條合規(guī)制度體系為企業(yè)數(shù)字化轉(zhuǎn)型保駕護航；③市場維度上，增強合規(guī)風險評估意識降低企業(yè)數(shù)字化轉(zhuǎn)型的潛在風險。

1 企業(yè)數(shù)據(jù)合規(guī)發(fā)展趨勢

1.1 合規(guī)科技應用發(fā)展迅猛

隨著新興科技和傳統(tǒng)行業(yè)融合逐步深入，合規(guī)科技不僅幫助企業(yè)提升生產(chǎn)效率，而且成為傳統(tǒng)行業(yè)創(chuàng)新發(fā)展的主要驅(qū)動力，如何將數(shù)字科技轉(zhuǎn)變?yōu)楹弦?guī)科技，再利用合規(guī)科技降低經(jīng)營成本，成為企業(yè)亟待思考的問題。在數(shù)字化轉(zhuǎn)型過程中，企業(yè)能夠利用人工智能等技術(shù)，對企業(yè)經(jīng)營過程中存在的各類風險進行預測，有效規(guī)避風險，同時能夠動態(tài)跟蹤政府、市場等監(jiān)管部門的規(guī)則變化，將其導入計算機系統(tǒng)，結(jié)合企業(yè)經(jīng)營過程，形成分析報告。由此可見，合規(guī)科技迅猛發(fā)展，為數(shù)字化轉(zhuǎn)型時代企業(yè)合規(guī)管理奠定了良好的發(fā)展基礎(chǔ)，為企業(yè)將業(yè)務信息轉(zhuǎn)化為可用于分析的有效數(shù)據(jù)提供了技術(shù)層面支持，也有利于企業(yè)合規(guī)工作發(fā)生質(zhì)的改變。

1.2 合規(guī)制度建設(shè)大勢所趨

2018年，原中國銀監(jiān)會、原中國保監(jiān)會、中國證監(jiān)會頒布一系列企業(yè)合規(guī)管理指引、管理辦法，對企業(yè)推進合規(guī)管理制度建設(shè)起到重要推動作用，將對企業(yè)實施合規(guī)管理的要求擴展到諸多行業(yè)[1]。這使得建立完善的合規(guī)管理體系成為企業(yè)提高在市場上的競爭力、適應數(shù)字化時代的必要條件之一。與此同時，隨著跨國企業(yè)進入中國，外企紛紛開始構(gòu)建企業(yè)合規(guī)體系，部分律師事務所開始為外企提供合規(guī)服務，而中國企業(yè)前往其他國家和地區(qū)進行貿(mào)易往來，如何遵守當?shù)氐姆煞ㄒ?guī)，規(guī)避可能發(fā)生的法律風險，成為中國企業(yè)面臨的重要研究課題[2]。因此，合規(guī)不僅是企業(yè)走向全球的迫切需求，更是企業(yè)持續(xù)發(fā)展的內(nèi)生動力。

2 企業(yè)數(shù)字化轉(zhuǎn)型過程中數(shù)據(jù)合規(guī)管理需求

2.1 數(shù)據(jù)隱私保護合規(guī)性需求

近年來，侵害數(shù)據(jù)隱私事件層出不窮，個人數(shù)據(jù)安全也屢次被媒體報道。在發(fā)展數(shù)字經(jīng)濟過程中，出于服務精細化和商業(yè)精準營銷的需要，各類對個人信息采集和開發(fā)利用越來越頻繁，數(shù)據(jù)挖掘分析越來越深入，對個人畫像越來越精準。與此同時，隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》相繼通過，我國數(shù)據(jù)安全保護方面的法律監(jiān)管體系得到了進一步完善。其中，對于企業(yè)數(shù)據(jù)合規(guī)管理規(guī)定，標志著各個行業(yè)合規(guī)制度確立。隨著數(shù)據(jù)保護法律體系完善，各監(jiān)管部門的執(zhí)法力度也越來越大，部分企業(yè)涉及違規(guī)使用個人信息的APP被責令下架，并且要求企業(yè)限期進行合規(guī)整改，這使得企業(yè)合規(guī)管理制度建設(shè)成為企業(yè)的必選項。鑒于此，企業(yè)在數(shù)字化轉(zhuǎn)型過程中對數(shù)據(jù)隱私保護合規(guī)性需求成為迫在眉睫的問題。

2.2 數(shù)據(jù)交易監(jiān)管合規(guī)性需求

“十三五”時期是我國大數(shù)據(jù)產(chǎn)業(yè)蓬勃發(fā)展階段，2020年4月,中共中央、國務院發(fā)布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》,將數(shù)據(jù)列為生產(chǎn)要素，提出要釋放數(shù)據(jù)要素的潛力，消除信息鴻溝、信任鴻溝，促進數(shù)據(jù)資源要素化，實現(xiàn)數(shù)據(jù)價值最大化。傳統(tǒng)企業(yè)在數(shù)字化轉(zhuǎn)型過程中，為了達到經(jīng)營利益最大化的目的，企業(yè)數(shù)據(jù)變現(xiàn)意愿尤為強烈，往往需要進行相應的數(shù)據(jù)交易。數(shù)據(jù)交易過程中，企業(yè)將進行數(shù)據(jù)采集、數(shù)據(jù)加工、數(shù)據(jù)使用以及第三方關(guān)聯(lián)等。除了我國現(xiàn)有相關(guān)法律法規(guī)，各數(shù)據(jù)交易平臺也制定了相關(guān)交易規(guī)則，以貴陽大數(shù)據(jù)交易所為例，其在完善交易規(guī)制基礎(chǔ)上，推出了數(shù)據(jù)交易定價體系、數(shù)據(jù)交易監(jiān)管體系等十大標準及規(guī)范，對數(shù)據(jù)交易行為進行了更加系統(tǒng)的規(guī)范。這使得企業(yè)在數(shù)字化轉(zhuǎn)型過程中，對數(shù)據(jù)交易合規(guī)性產(chǎn)生了較強的現(xiàn)實需求，亟待建立完善的數(shù)據(jù)合規(guī)管理架構(gòu)，確保能夠落實和履行生產(chǎn)經(jīng)營中的數(shù)據(jù)交易合規(guī)義務，最大程度地降低合規(guī)風險。

2.3 參與國際競爭合規(guī)性需求

經(jīng)濟全球化發(fā)展勢必會導致國內(nèi)外企業(yè)聯(lián)系更加緊密，國際商務活動更加活躍，企業(yè)只有主動適應構(gòu)建數(shù)據(jù)合規(guī)管理體系發(fā)展，才能在全球化商業(yè)活動中找到自己的發(fā)展之路。在數(shù)據(jù)跨境問題上，企業(yè)必須滿足各國所提出的有關(guān)數(shù)據(jù)收集等方面要求，實現(xiàn)國內(nèi)外雙向合規(guī)[3]。一方面，隨著國家鼓勵外商企業(yè)在華投資政策實施，外企在華投資建廠數(shù)量增加，外資企業(yè)涌入使得國內(nèi)企業(yè)數(shù)據(jù)合規(guī)文化理念發(fā)生巨大轉(zhuǎn)變；另一方面，隨著國內(nèi)企業(yè)不斷發(fā)展壯大，涉及到的國際業(yè)務日益增加，企業(yè)想在國際市場上贏得先機，必須重視企業(yè)數(shù)據(jù)合規(guī)制度建設(shè)，與國際市場接軌，積極了解國外相關(guān)法律法規(guī)，避免因為違規(guī)行為而影響企業(yè)正常經(jīng)營以及技術(shù)升級，保證企業(yè)經(jīng)營活動中涉及跨境數(shù)據(jù)流動行為的規(guī)范性，進一步提高企業(yè)核心競爭力，促進高水平開放的進程。

3 企業(yè)數(shù)據(jù)合規(guī)管理數(shù)字化轉(zhuǎn)型分析

3.1 合規(guī)數(shù)字化技術(shù)應用不足

企業(yè)數(shù)據(jù)合規(guī)管理需要數(shù)字技術(shù)支持，數(shù)字化技術(shù)運用使得企業(yè)數(shù)據(jù)合規(guī)管理更加智能，但企業(yè)為進行數(shù)據(jù)合規(guī)體系建設(shè)專項引入數(shù)字化技術(shù)成本較高。因此，部分傳統(tǒng)企業(yè)為降低成本，在數(shù)據(jù)合規(guī)管理體系中減少了數(shù)字化技術(shù)應用的部分，使得自身數(shù)據(jù)合規(guī)管理體系建設(shè)不夠完善。近年來，國家頒布了一系列促進企業(yè)數(shù)字化轉(zhuǎn)型政策，為企業(yè)進行數(shù)字化轉(zhuǎn)型提供了機遇。與此同時，數(shù)字化轉(zhuǎn)型過程中所需要的高新科技，亦可以滿足企業(yè)數(shù)據(jù)合規(guī)管理需求，也在一定程度上降低了企業(yè)進行數(shù)據(jù)合規(guī)管理體系建設(shè)的必要支出，但實際操作過程中，部分企業(yè)受限于數(shù)據(jù)環(huán)境和管理模式制約，未認識到在數(shù)字化轉(zhuǎn)型過程中引進的高科技能在數(shù)據(jù)合規(guī)管理中發(fā)揮作用，企業(yè)技術(shù)人才儲備也無法充分利用高科技，不能從事相關(guān)監(jiān)測分析，沒有將技術(shù)應用到數(shù)據(jù)合規(guī)管理體系中，導致合規(guī)數(shù)字化技術(shù)應用不足。

3.2 合規(guī)運行的保障機制不暢

目前，企業(yè)在構(gòu)建企業(yè)數(shù)據(jù)合規(guī)管理體系出現(xiàn)形式化問題，缺乏基本保障體系，沒有實現(xiàn)完整的制度閉環(huán)。一方面，企業(yè)建設(shè)數(shù)據(jù)合規(guī)管理制度，大多為照搬復制，并未針對企業(yè)實際情況，對企業(yè)經(jīng)營過程中涉及到的各個具體流程進行具體的細化改進。部分企業(yè)數(shù)據(jù)合規(guī)管理制度往往只是指引性文件，沒有具體措施，并未明確責任制度，缺少實踐性；另一方面，數(shù)據(jù)合規(guī)管理流程缺乏體系性，由于部分企業(yè)數(shù)據(jù)合規(guī)管理制度只涉及到法律層面的原則性規(guī)定，導致其管理流程浮于表面，沒有形成完整流程閉環(huán)，實施過程中存在著無法忽視的漏洞。同時，企業(yè)數(shù)據(jù)合規(guī)內(nèi)部審查機制不夠完善，沒有明確風險負責人和風險管理部門，缺乏員工培訓作為支撐，使得企業(yè)數(shù)據(jù)合規(guī)風險防控機制處于半停工狀態(tài)，無法及時進行數(shù)據(jù)風險預警。

3.3 合規(guī)風險評估和管控不力

中小型企業(yè)在數(shù)據(jù)安全管理體系建設(shè)方面難抓住重點，在實際操作過程中，無法有針對性地對數(shù)據(jù)安全風險進行預見性預測，使得數(shù)據(jù)安全風險評估過于表面化，不能發(fā)現(xiàn)重大風險。一方面，企業(yè)缺少保障數(shù)據(jù)安全的專業(yè)技術(shù)。由于對數(shù)據(jù)安全重視程度不夠，目前部分企業(yè)未引進專業(yè)的高新技術(shù)，無法保障數(shù)據(jù)安全；另一方面，部分企業(yè)缺少保障數(shù)據(jù)安全的專業(yè)人才，對專業(yè)評估方法不夠了解，無法運用技術(shù)措施。企業(yè)合規(guī)是一種專業(yè)的法律風險管理活動，企業(yè)合規(guī)組織主體應由有資質(zhì)的專業(yè)人員組成，應具備相應的法律素養(yǎng)，確保數(shù)據(jù)安全管理體系具有風險導向性，圍繞防控行政和刑事違法事件展開[4]。由于缺乏專業(yè)管理團隊，部分企業(yè)數(shù)據(jù)合規(guī)管理體系中對數(shù)據(jù)安全的檢查管控存在缺口，未定期對數(shù)據(jù)安全保護進行審計檢查，無法得知數(shù)據(jù)安全管理體系執(zhí)行的真實效果，管控力度較低。

4 企業(yè)數(shù)據(jù)合規(guī)管理數(shù)字化轉(zhuǎn)型路徑

4.1 技術(shù)維度：合規(guī)科技數(shù)字化應用

隨著數(shù)字經(jīng)濟不斷深入，合規(guī)科技發(fā)展主要圍繞著兩個目標：①在監(jiān)管規(guī)則變化頻繁的情況下如何幫助企業(yè)滿足具體合規(guī)要求；②降低企業(yè)合規(guī)成本滿足其利益最大化。因此，近年來合規(guī)科技主要發(fā)展方向集中在提高企業(yè)合規(guī)的風險管理能力，使得企業(yè)在精準滿足市場監(jiān)管規(guī)定的同時，降低整體運營成本[5]。

合規(guī)科技數(shù)字化應用，具體體現(xiàn)在數(shù)字化實時監(jiān)管、數(shù)據(jù)識別與分析和數(shù)據(jù)加密與傳輸3個方面：①企業(yè)應積極利用面部識別等生物識別技術(shù)，解決制造、運輸以及銷售過程中監(jiān)管難存在的問題；②積極利用政府政務公開數(shù)據(jù)，結(jié)合企業(yè)自身經(jīng)營進行數(shù)據(jù)識別與分析，做出最優(yōu)的決策方案；③在公司開展技術(shù)方面的相關(guān)培訓，倡導員工積極主動學習高新技術(shù)，了解相關(guān)領(lǐng)域相關(guān)法律法規(guī)，為企業(yè)創(chuàng)新增添活力。將數(shù)字技術(shù)引入傳統(tǒng)產(chǎn)業(yè)，讓數(shù)字科技和企業(yè)管理、生產(chǎn)與服務融合，有效解決轉(zhuǎn)型面臨的困境。

4.2 法律維度：全鏈條合規(guī)制度體系

在實踐過程中，數(shù)據(jù)合規(guī)管理體系容易產(chǎn)生形式化的問題，體系建設(shè)過程中缺乏針對性，沒有專業(yè)的監(jiān)管團隊。因此，為有效實施企業(yè)合規(guī)風險防控，在構(gòu)建全鏈條數(shù)據(jù)合規(guī)管理體系時，企業(yè)可以從4個方面展開：①完善企業(yè)法律合規(guī)風險管控的組織架構(gòu)，筑牢數(shù)據(jù)風險防控體系，加強以外部風險為防控重點的防控體系建設(shè)；②加強數(shù)據(jù)合規(guī)管理制度建設(shè)，加強企業(yè)數(shù)據(jù)采集、存儲的合規(guī)審查，建立企業(yè)數(shù)據(jù)安全分級分類管理制度，完善企業(yè)數(shù)據(jù)風險識別、評估、預警和防控機制；③要重視信息保護，對關(guān)鍵崗位人員進行權(quán)限管控，管控信息使用范圍，對數(shù)據(jù)信息進行科學分類，風險分級，避免數(shù)據(jù)信息發(fā)生泄露風險，確保數(shù)據(jù)合法使用；④形成三位一體的環(huán)形管控機制，做到事前防范數(shù)據(jù)信息安全法律風險，事中控制數(shù)據(jù)信息的流轉(zhuǎn)與使用，事后補救侵犯數(shù)據(jù)信息安全所造成的危害結(jié)果，提高企業(yè)法律風險防控能力。

4.3 市場維度：合規(guī)風險評估與應對

企業(yè)進行數(shù)字化轉(zhuǎn)型過程中，將面臨外部交易行為、利益獲取誘導、自身合規(guī)意識缺乏等各類風險，企業(yè)應對風險類型進行分類處理，結(jié)合企業(yè)實際發(fā)展，有針對性進行風險管控，將風險管控重點從各個流程轉(zhuǎn)向整體層面。首先對企業(yè)涉及的數(shù)據(jù)信息定期進行審查，督促企業(yè)進行法律合規(guī)與企業(yè)業(yè)務的有效融合，避免企業(yè)因管理不當引起的合同、信息數(shù)據(jù)等糾紛；其次對第三方交易伙伴進行合規(guī)背景調(diào)查或盡職調(diào)查，委托專門機構(gòu)定期對合作企業(yè)進行風險評估，及時發(fā)現(xiàn)合作過程中可能會面臨的違規(guī)風險，對有極大合規(guī)風險的第三方交易伙伴可結(jié)束合作；第三對定期組織開展的面向員工的合規(guī)培訓進行相關(guān)資料留存，在培訓過程中要求員工簽署合規(guī)承諾書，預防可能存在的違規(guī)風險，有效避免可能會遭受的行政或刑事處罰。

4.4 管理維度：全流程合規(guī)管理指引

數(shù)據(jù)合規(guī)管理體系必須覆蓋到企業(yè)經(jīng)營的各個流程，保障企業(yè)能實現(xiàn)全流程的合規(guī)管理。全覆蓋管理指引是數(shù)據(jù)合規(guī)管理體系中必不可少的組成部分，企業(yè)應積極完善合規(guī)管理流程，形成能實時監(jiān)管的數(shù)據(jù)合規(guī)管理體系。首先，企業(yè)在利用數(shù)據(jù)過程中，應持續(xù)加大對數(shù)據(jù)采集規(guī)范管理，在對數(shù)據(jù)采集過程中進行統(tǒng)一管理，明確數(shù)據(jù)采集范圍，加強數(shù)據(jù)采集合規(guī)意識；其次，企業(yè)應建立數(shù)據(jù)分析管理體系，加強企業(yè)數(shù)據(jù)分析團隊建設(shè)，充分利用數(shù)字化技術(shù)對數(shù)據(jù)處理分析，對企業(yè)所需的市場趨勢進行評估，實現(xiàn)業(yè)務創(chuàng)新、產(chǎn)品創(chuàng)新和服務創(chuàng)新；最后，企業(yè)可以建立數(shù)字化業(yè)務流程體系，設(shè)置專崗，建設(shè)線上風險反饋平臺，建立線上風險防控反應機制，實現(xiàn)線上監(jiān)管模式，采用線上申請、線上回復的高效處理模式，盡量減少應對緊急合規(guī)風險過程中的不必要流程，進一步提高企業(yè)風險預警與風險處理的應對效率。