企業(yè)數據合規(guī)的現實困境與實踐路徑*

馬美瑤

（重慶郵電大學，重慶 40065）

0 引 言

當前以大數據、云計算、人工智能等為代表的信息技術快速發(fā)展，為經濟社會發(fā)展提供了巨大動力，也為人民生活帶來了許多便利。其中，數據是關鍵生產要素。對企業(yè)來說，做好數據合規(guī)，不僅可以為企業(yè)創(chuàng)造巨大的商業(yè)價值，還能避免企業(yè)陷入法律風險，督促企業(yè)積極承擔社會責任；對個人來說，數據合規(guī)可以防止個人信息數據泄露，保護用戶隱私。在社會層面，企業(yè)數據合規(guī)可以促進數據產業(yè)的安全健康發(fā)展，營造風清氣正的網絡環(huán)境。企業(yè)需要在數據標準、數據分類、數據存儲、數據安全、數據文化等方面做到數據合規(guī)。其目的是合法合規(guī)地引導數據資產實現價值變現。但是，在互聯(lián)網時代，數據也面臨著風險和危機，稍有不慎便可能成為引發(fā)個人信息保護、市場秩序、社會治理和國家安全等問題的導火索[1]。從企業(yè)在數據合規(guī)方面的遭遇來看，數據違規(guī)收集、應用和儲存使得企業(yè)面臨巨額罰款甚至停產停業(yè)危機，黑客入侵、數據泄露等外部風險讓企業(yè)風雨飄搖，企業(yè)合規(guī)成本高昂、內部泄密嚴重等讓企業(yè)應接不暇，漏洞百出。面對這些風險挑戰(zhàn)，如何讓企業(yè)在競爭激烈的市場中站穩(wěn)腳跟并向好發(fā)展，是企業(yè)數據合規(guī)需要完成的使命。

1 國內外數據安全立法概述

1.1 國內數據安全立法方面

以2017 年《中華人民共和國網絡安全法》的實施為開端，我國開始邁進數據應用和治理法治化時代，將數據安全納入了國家安全的范疇進行保護。2021 年9 月1 日《中華人民共和國數據安全法》正式施行，同年11 月1 日《中華人民共和國個人信息保護法》開始實施，同年11 月14 日國家互聯(lián)網信息辦公室發(fā)布了《網絡數據安全管理條例（征求意見稿）》（以下簡稱“條例”），這標志著我國數據安全立法開始走向成熟。以上述“三法一條例”的頒布實施為標志，我國的數據安全立法已經進入了快速發(fā)展時期。同時“三法一條例”也是當前企業(yè)數據合規(guī)建設的基本遵循。

具體來看，《中華人民共和國數據安全法》作為數據安全領域的專項法律，體現了國家立法層面對數據安全的高度重視，同時，對企業(yè)數據合規(guī)建設也具有重要指導意義。比如，該法的第八條規(guī)定了企業(yè)收集和使用數據應遵循的基本原則，第十九條表明企業(yè)在滿足相應條件的情況下可以進行數據交易，此外，還在第四章集中列明了在中國境內從事數據處理活動的企業(yè)應當承擔的基本數據合規(guī)義務。這些法條都為企業(yè)數據合規(guī)指引了方向。同樣，在《中華人民共和國個人信息保護法》中也對企業(yè)數據合規(guī)提出了要求，個人信息的處理更加嚴格，還作出了舉證責任倒置的規(guī)定，即在個人信息權益受到侵害時，大數據企業(yè)負有證明自己沒有過錯的義務。而“條例”則是對《中華人民共和國數據安全法》等上位法的進一步細化實施，在關于數據收集的第四章中，規(guī)定了網絡運營者的數據安全合規(guī)義務，進一步明確平臺規(guī)則透明度義務、平臺第三方產品及服務侵權的先行賠償責任等，在一定程度上增加了企業(yè)的合規(guī)難度。

1.2 國際數據安全立法方面

當前，以歐盟出臺的《通用數據保護條例》（General Data Protection Regulation，GDPR）為契機，各國開始制定或修改本國的數據保護法規(guī)，例如，2018 年6 月，美國加州出臺的《加州消費者隱私法案》被稱為美國最全面、最嚴格的州數據隱私法，該法案于2018 年6 月28 日頒布，并于2020 年1 月1 日生效。2020 年6 月，日本參議院頒布了《個人信息保護法修正案》，此修正案將于2022 年4 月1 日正式實施。本次修訂擴大了個人權利，還把違規(guī)企業(yè)的罰金上限提升至1 億日元（約合人民幣650 萬元）。2020 年11 月，加拿大政府推出《數字憲章實施法案》，如果通過，它將取代現有的 《個人信息保護和電子文件法》，并對該國的隱私立法引入一些新的變化。據聯(lián)合國貿易和發(fā)展會議數據顯示，全球范圍內已經有超過100 個國家進行了數據安全保護相關的立法，40 多個國家出臺了相應的草案，可以說，當今世界已經掀起了數據安全立法的高潮，國際社會開始進入數據保護的快速發(fā)展期。各國數據安全立法主要有以下幾個特點。

一是許多國家逐漸形成全方位保護的立法理念，并突出個人信息使用限制?？v觀各國關于數據安全的立法，從數據的產生、收集、存儲到使用、加工、傳輸、提供、公開等一系列環(huán)節(jié)，都有相應的法規(guī)予以保護。二是明確管轄范圍，加強與數據流通密切的相關國家和地區(qū)的數據信息交流合作，共同打擊數據侵權與泄露事件?，F今許多國家都十分注重網絡空間主權，在數據安全立法方面，都強調管轄權的重要性，長臂管轄已成為今后的立法趨勢。三是強調對個人信息與隱私的保護，大多數國家和地區(qū)均出臺單獨的法典對其進行規(guī)范。個人信息是數據保護中的重中之重，對個人信息的濫用、侵權等行為都將違反本國的相關法律法規(guī)，并受到相應的處罰。四是各國開始采用精細化的立法方式來保護數據安全，明確各方法律義務責任，提升數據治理效果。“數據”一詞內涵豐富，這就要求立法的精準性，要能夠解決形形色色的問題，做到有法可依。

從上述國際立法特點可以看出，各國對于數據和信息的管理愈加嚴格，這同時也意味著企業(yè)尤其是跨國企業(yè)更應當做好數據合規(guī)建設，以滿足國際上對數據安全的要求。

2 企業(yè)數據合規(guī)面臨的現實困境及其成因

2.1 數據應用違規(guī)，企業(yè)合規(guī)成本高昂

在網絡時代，數據是數字經濟的核心，是推動新經濟發(fā)展的關鍵[2]。數據從產生、收集到后續(xù)的使用、保存等全生命周期都會面臨一系列的安全風險，稍有不慎，就會出現數據違規(guī)的現象。數據收集之初，有直接收集、間接收集和通過爬蟲技術收集等方式，其中，通過爬蟲技術獲取其他公司數據，若嚴重干擾其他企業(yè)正常合法經營，違反誠實信用原則和公認的商業(yè)道德，則很有可能構成不正當競爭。例如，微博起訴超級星飯團不正當競爭案一審宣判，超級星飯團擅自抓取微博用戶相關信息、非法獲取微博相關數據，構成不正當競爭，被判賠償1 000 多萬元；若更進一步采用技術手段非法獲取計算機信息系統(tǒng)中存儲的數據，則有可能觸犯刑法，構成非法獲取計算機信息系統(tǒng)數據罪[3]。企業(yè)在使用數據的過程中，常常會出現濫用數據的情況，如對一些個人敏感信息不脫敏直接使用或者未征得用戶同意直接使用數據等，這些都會引發(fā)企業(yè)與用戶信任危機，例如，Facebook 涉嫌非法收集生物識別數據，與用戶達成隱私糾紛和解，賠償了5.5 億美元；谷歌因違反GDPR 而被法國數據保護監(jiān)管機構CNIL 處以5 000 萬歐元的罰款[4]。我國數據違規(guī)現象也層出不窮，例如，2021 年的3·15 晚會就曝光了人臉信息被違規(guī)收集、求職簡歷被非法買賣、手機清理類軟件惡意竊取手機內部信息等多起涉及個人信息安全的事件。

對于企業(yè)來說，數據合規(guī)最關鍵的兩點在于：一是要求數據應用合乎法律規(guī)定（包括數據的利用、處理、使用等行為合乎法律規(guī)定，不得違反國家強制性法律規(guī)定），二是數據應用不得侵犯他人的正當合法權益，這同時也是數據合規(guī)審查的兩條紅線[5]。而企業(yè)在數據應用上之所以會出現違法違規(guī)現象，很大程度上在于要做到上述兩點成本十分高昂，尤其是對于小型企業(yè)，高昂的合規(guī)成本使之望而卻步，似乎只有對數據的無限制使用才是其獲取利潤的“唯一”選擇。據Telos 最近開展的一項企業(yè)合規(guī)成本調查顯示：每家企業(yè)要做到數據合規(guī)，平均需要遵守至少13 個不同的IT 安全或隱私法規(guī)，并且每年在合規(guī)性活動上要花費高達350 萬美元。于是許多企業(yè)抱有僥幸心理，或者說是一廂情愿地認為自己對數據的使用是合法合規(guī)的，殊不知這已經犯了企業(yè)合規(guī)經營的大忌。

2.2 企業(yè)內外數據泄露嚴重

隨著技術的快速更迭，數據泄露的方式也多種多樣，如病毒與非法入侵、系統(tǒng)漏洞、訪問控制和權限管理不善等，這些都使得企業(yè)遭受巨大損失。企業(yè)在面對數據泄露時，常常會出現應對無措的情況。當下許多企業(yè)尤其是互聯(lián)網企業(yè)都時刻面臨著來自內部和外部的各種風險挑戰(zhàn)。內部風險主要包括系統(tǒng)存在漏洞未及時發(fā)現、系統(tǒng)未及時更新、個人私密信息未使用脫敏技術、對企業(yè)核心數據未采用加密保護的技術手段等；外部風險主要是黑客出于炫耀或其他目的，利用特定的漏洞來竊取信息數據，或者是來自惡意人士的攻擊，包括網絡釣魚詐騙、數據盜竊贖金勒索和魚叉式網絡釣魚活動等，這些都給企業(yè)及個人造成了嚴重損害。盡管企業(yè)采用了一些安全防護手段，但是從結果來看，還遠遠不夠。面對上述隨時會發(fā)生的風險，企業(yè)防不勝防，同時在一定程度上也說明了企業(yè)在數據保護技術上的不足，使得不法分子有了可乘之機。

2.2.1 網絡攻擊形勢嚴峻，外部泄露嚴重

據波耐蒙研究所發(fā)布的《2020 年數據泄露損失研究》評估顯示，遭遇數據泄露事件的企業(yè)平均損失386 萬美元。2018 年，Facebook 公司就曾發(fā)生嚴重的數據泄露事件，業(yè)界稱其為“數據門”事件[6]，該事件造成了超8 000 萬用戶的信息外泄。據報道，Facebook 與GSR 公司簽署了相關保密協(xié)議，但GSR 私下違反協(xié)議，將數據轉賣給了第三方劍橋數據分析公司（一家涉嫌影響美國選舉的公司）。經過多年的調查，監(jiān)管機構認為 Facebook 因未能保護這些數據而違反了其較早簽署的保護用戶隱私協(xié)議。同年10 月，英國信息專員辦公室向Facebook 處以50萬英鎊罰款，2020 年4 月，美國聯(lián)邦法院正式批準了美國聯(lián)邦貿易委員會與Facebook 達成的50 億美金和解協(xié)議。

網絡和平研究所所長Marietje Schaake曾說，“盡管網絡攻擊是一種無聲的威脅，但它們會對我們的社會產生破壞性和持久性的影響”。這對企業(yè)來說也不例外。隨著物聯(lián)網的發(fā)展，數以十億計的設備接入移動互聯(lián)網，網絡攻擊造成的威脅正在呈指數級增長。據美國高德納咨詢公司（Gartner）預測，到2022 年左右，全球網絡安全支出費用將達到1 704 億美元。在網絡攻擊不斷加劇的情況下，若企業(yè)一味固守之前的應對模式，則很有可能被競爭激烈的市場淘汰。同時，相較于大型企業(yè)，中小型企業(yè)由于缺乏完備的合規(guī)體系，更容易成為網絡攻擊的首選對象。根據Markel Direct 的一項調查結果顯示，51%的中小企業(yè)都曾有過網絡安全漏洞，所以對中小企業(yè)來說，一旦遭遇攻擊，企業(yè)將面對來自資金鏈斷裂和核心技術泄露的雙重威脅，這對企業(yè)的打擊無疑是致命的[7]。

2.2.2 內部泄密嚴重

數據泄露的原因除外部黑客非法竊取外，還有便是企業(yè)內部員工導致的泄露。由于數據合規(guī)的專業(yè)性較強，很多員工尚無相關的知識儲備，無法意識到數據合規(guī)的重要性，會有意無意地接觸到核心數據或者關鍵數據并使其泄露或者流失，給企業(yè)造成重大損失。內部泄露主要分為兩種類型：一是內部員工因疏忽大意導致泄露而不自知，比如員工對信息數據使用不當、安全意識差等；二是內部員工惡意泄露，比如員工將企業(yè)信息數據資產進行出售來獲取非法利益或者人員報復性操作等。從現實案例來看，顯然后者的危害性更大，例如，2018年1月，某警方偵破了一起新生嬰兒信息倒賣鏈條，經查明，是某地方衛(wèi)生系統(tǒng)的工作人員泄露了50多萬條新生嬰兒和預產孕婦信息數據；2018 年2 月，某知名企業(yè)的合作公司員工泄露防偽數據700 萬條，直接導致了該企業(yè)經濟損失約105.7萬元。這些泄密事件都給企業(yè)數據的安全性敲響了警鐘，說明了企業(yè)員工的違法違規(guī)操作可能給企業(yè)數據合規(guī)造成潛在的威脅和損害。

2.3 立法管控愈嚴，數據處理不當的后果愈重

隨著國內外對數據合規(guī)的監(jiān)管不斷加強，企業(yè)對數據的處理不當導致的泄露，引來監(jiān)管部門的關注，在調查清楚事件后，等待的是相關執(zhí)法機構的一系列處罰，其中最引起公眾關注的還是不斷增加的巨額罰款案例。2016 年，網約車平臺Uber 遭到黑客攻擊，泄露了60 萬司機和5 700 萬用戶的個人信息。該公司沒有披露該事件，而是向黑客支付了10 萬美元，試圖瞞天過海，該行為使公司付出了沉重的代價，在2018 年因違反州數據泄露通知法而被罰款1.48億美元[8]。2017 年，Equifax 由于一個數據庫未及時安裝Apache Struts 框架的嚴重漏洞補丁，損失了近1.5 億條個人信息和財務信息。后在2019 年7 月，Equifax 就此次事件，同意向美國聯(lián)邦貿易委員會、消費者金融保護局以及美國50 個州和地區(qū)支付5.75 億美元，可能增至7 億美元，并承諾采取合理的方法來保護其網絡。這些都充分說明了國際立法非常重視數據安全，同時，巨額罰款對某些企業(yè)來說是致命的打擊，可能導致企業(yè)出現資金周轉困難、企業(yè)信譽下降等后果，從而失去市場中的競爭力。

2020 年，我國信息安全標準化技術委員會發(fā)布了53 項網絡安全國家標準，同時，關于數據安全與合規(guī)方面的配套制度也在不斷推進，相關執(zhí)法實踐逐步走向常態(tài)化，訴訟案例逐漸豐富。針對企業(yè)數據違法違規(guī)方面，也分別適用了不同的法律法規(guī)予以制裁，比如《中華人民共和國刑法》《中華人民共和國民法典》《中華人民共和國網絡安全法》等的配套使用。其中以《中華人民共和國網絡安全法》為例，在第六章就規(guī)定了十余種法律責任及處罰措施。就罰款來說，我國開始向國際靠攏，要求建立和完善懲罰性賠償和巨額罰款制度，讓嚴重違法者付出高昂成本。這在很大程度上給企業(yè)造成了隱形的壓力，迫使企業(yè)不得不開始注重數據合規(guī)。

2.4 合規(guī)意識淡薄，企業(yè)潛藏重大風險

數據是一個企業(yè)的生命，但是企業(yè)員工甚至企業(yè)管理者卻沒有意識到這一點，從而導致數據流失、數據泄露，給企業(yè)造成一筆不菲的“支出”，甚至讓企業(yè)面臨“死亡”的危機。在企業(yè)治理上，很多企業(yè)管理者由于沒有正確認識公司治理風險的概念和種類，難以意識到合規(guī)風險的重要性，比如行業(yè)將風險分為技術風險、銷售風險、產品質量風險、知識產權風險等，但是并未抓住分類的依據和意義，從而將合規(guī)風險這一重要類別忽視不管，使企業(yè)數據安全隱患大大增加。根據公司治理風險的基本理論，企業(yè)面臨的主要風險可以分為3 大類型：經營風險、財務管理風險和合規(guī)風險[9]。因此，對于企業(yè)管理層來說，只有先分清風險類別，了解數據合規(guī)的重要性，打破固有的“數據無用”觀念，才能走好企業(yè)數據合規(guī)的第一步。同樣，對于企業(yè)員工來說，數據合規(guī)不應是一個“新詞”，成為員工自我約束的“法外之地”。在互聯(lián)網時代，員工的一言一行、一舉一動都會在網絡上存下數據、留下痕跡，所以僅以“不知者無罪”而免除責任者“明知不可為而為之”的責任都是不可行、不可取的做法。這些都反映了企業(yè)整體合規(guī)意識的淡薄，對核心競爭力的保護力度不夠。

3 企業(yè)數據合規(guī)的實踐路徑

3.1 國家法律支持

3.1.1 立法明晰企業(yè)類別，及時更新合規(guī)要求

從整體上看，國內外監(jiān)管趨勢愈加嚴格，我國關于數據安全立法的頂層設計也在抓緊建設中，但是在具體落實上仍存在許多法律空白。在企業(yè)數據合規(guī)方面，立法也有亟待出臺和完善的地方。同時，從上述企業(yè)面臨的現實困境可以看出，高昂的合規(guī)成本與短期無法得到的收益使得許多企業(yè)鋌而走險，忽略了自身的數據合規(guī)問題。面對這一現象，或能采取立法手段有所消解。

立法可以根據不同行業(yè)、企業(yè)規(guī)模大小、年收益多少等將企業(yè)進行細分，再以此為前提對不同的企業(yè)規(guī)定不同的合規(guī)要求，而不是將大型企業(yè)（包括跨國企業(yè)）與小型企業(yè)等同視之，這樣可以從源頭上打破小型企業(yè)對數據合規(guī)成本的顧慮，從而做到精細化立法。比如在數據安全與合規(guī)中有一個重要制度——數據分級分類管理制度，針對不同類型的企業(yè)，其數據的種類和重要程度均有所不同，因此，立法需明晰企業(yè)類型、確定數據分類和區(qū)分數據重要性，再對企業(yè)數據合規(guī)提出具體要求，讓企業(yè)有法可依。同時，國家需要及時更新每個層次所對應的具有代表性的企業(yè)合規(guī)范例，鼓勵其他企業(yè)學習參考及應用。

3.1.2 從理論到實踐，普及數據合規(guī)知識

在數字化時代，為了使企業(yè)認識到數據合規(guī)的重要性，監(jiān)管部門應該積極普及數據合規(guī)的相關知識。政府和司法部門相互配合，上到法律法規(guī)的出臺，下到具體案件的審判，從正面的法律知識普及到反面的違法違規(guī)案例公開，都是促使企業(yè)認識到數據合規(guī)重要性的好方法，同時，還可以組織數據合規(guī)方面的法律宣傳會議、知識演講等，促進企業(yè)樹立全面的數據合規(guī)建設思想，讓企業(yè)從整體上意識到數據違法違規(guī)的危害性，從而有意識地關注并解決自身的數據合規(guī)建設問題。

3.2 政府大力扶持

政府鼓勵并幫助企業(yè)進行技術升級。做好企業(yè)數據合規(guī)，離不開技術的支持。而高新技術的應用，離不開政府的大力支持。正如“市場是只看不見的手，需要政府的監(jiān)督”，企業(yè)應用新技術也需要政府的幫助。首先是物質支持，政府可以參照《中華人民共和國中小企業(yè)促進法》對一些掌握核心數據的或者是前景廣闊的但資金有限的企業(yè)提供財政支持，例如補貼或者無息借款，讓企業(yè)能夠合法合規(guī)地生存；其次是技術提供或者分享，若政府在數據合規(guī)的某個方面具有領先于企業(yè)的技術，那么可以考慮免費或者低價提供給有需要的企業(yè)，讓市場展現出最大生機活力。最后，企業(yè)是數據合規(guī)的主體，政府應發(fā)揮引導作用，通過制定發(fā)展路線圖、數據合規(guī)實施綱要及建設科技示范基地等方式來推動企業(yè)數據合規(guī)的發(fā)展。

3.3 企業(yè)自身建設

3.3.1 優(yōu)化企業(yè)數據合規(guī)結構，降低合規(guī)成本

“打鐵還需自身硬”，對于企業(yè)而言，解決數據違規(guī)應用問題的關鍵在于自身數據合規(guī)體系的建立完善。除了國家層面的立法指導，政府的幫助扶持，企業(yè)也需要根據自身的整體情況，建立一套完整而有效的合規(guī)體系?？紤]到合規(guī)的高成本，企業(yè)可以運用智能化的方式推進數據合規(guī)建設[10]。智能化的合規(guī)方式可以使數據從產生之初到后續(xù)的應用等一系列行為都處于一個合法化、標準化的環(huán)境中，從而可以節(jié)省人為合規(guī)所帶來的高昂成本。同時，通過算法還可以對國家法律法規(guī)進行及時的更新，以便企業(yè)能對數據合規(guī)的變化做出快速反應，將一些常見違規(guī)行為進行標記和保存，給企業(yè)以警醒的作用。而且智能化的數據合規(guī)還可以在企業(yè)日常運營中對數據進行備份和保存，一旦發(fā)生數據泄露事件，可以讓企業(yè)留有充分的證據為自己辯白，減輕甚至是免除企業(yè)的責任。當然，企業(yè)也要經常關注自己行業(yè)內的、與其實力相當的、數據合規(guī)出色的企業(yè)的做法，不斷學習改進修正自身的數據合規(guī)體系漏洞，爭取做到低投入、高收效，降低企業(yè)數據違法違規(guī)的風險隱患。企業(yè)還需與監(jiān)管部門保持良好溝通，這樣不僅有助于減少誤解，還可能獲得及時且恰當的指導和支持。

3.3.2 強化技術更新，嚴防數據泄露

企業(yè)數據泄露事件頻頻發(fā)生的原因之一是企業(yè)的技術保障力度不夠。很多企業(yè)意識到數據的商業(yè)價值，但是由于技術有限，也無法做到數據合規(guī)。因此，對企業(yè)來說，提高數據安全保障技術刻不容緩。在企業(yè)外部防護方面，可以根據企業(yè)自身的實際情況，購買數據安全防護產品，同時注意選擇最優(yōu)的技術手段來鞏固自己的數據系統(tǒng)，比如在用戶隱私保護方面，可以采用差分隱私技術，差分隱私保護可以克服傳統(tǒng)隱私保護技術應用時其安全性依賴攻擊者的相關背景知識、保護效果難以用有效嚴格的數學方法定量化描述等缺陷，從而可在大大降低保護對象數據集隱私泄露風險的同時，盡可能保證數據集數據的可用性[11]。在企業(yè)內部治理方面，可以采用智能敏感數據識別技術和數據脫敏風險評估技術，利用智能化的方法對數據進行識別、加工，不僅可以大大節(jié)約合規(guī)成本，還能減小企業(yè)“犯錯”的可能性。在企業(yè)間數據交互方面，同樣可以采用前沿性數據匿名、同態(tài)加密、安全多方計算和聯(lián)邦學習等技術對重要數據進行匿名化處理或者機密保護。企業(yè)只要在技術保障上做到位，就可以遏制住大部分的數據泄露和數據濫用現象。

3.3.3 設立企業(yè)數據合規(guī)官，洞悉立法走向

在國際上，絕大多數跨國企業(yè)應業(yè)務所在國的要求設立了企業(yè)數據合規(guī)官或者數據保護官一職?！暗赖屡c合規(guī)官”一詞最早出現在20世紀80 年代的美國企業(yè)，其職責是研究制定企業(yè)合規(guī)經營政策，監(jiān)督管理企業(yè)文化和各項治理制度的執(zhí)行與落實[12]。在我國，360 公司是國內首家設置首席隱私官的大型互聯(lián)網企業(yè)[13]。對于這些企業(yè)來說，數據合規(guī)官不僅管理企業(yè)日常數據保護工作，還承擔著“數據外交”的職能，其姓名與聯(lián)系方式需要對外披露，同時還要與監(jiān)管機關、數據主體進行對接，并且時刻掌握數據合規(guī)的監(jiān)管走向。由此可見數據合規(guī)官設置的必要性，這也不失為我國企業(yè)進行數據合規(guī)建設的一個好的借鑒方法。但是，值得注意的是，大型企業(yè)除了設置數據合規(guī)官，還要配置合規(guī)部門，配合數據合規(guī)官的工作，當然，中小型企業(yè)則視自身情況而定，可以設置合理人數的合規(guī)專員監(jiān)督審查企業(yè)數據合規(guī)情況。

3.3.4 建立企業(yè)數據合規(guī)文化，培養(yǎng)合規(guī)意識

當下許多企業(yè)出現數據違法違規(guī)現象，源于企業(yè)內部對合規(guī)文化的不重視。因此，建立企業(yè)數據合規(guī)文化，培養(yǎng)全員合規(guī)意識成為形勢所趨。

從整體上看，企業(yè)要正確定位數據合規(guī)文化的重要內涵，將其核心要義和內容滲透到企業(yè)運營理念、業(yè)績考核等日常經營活動中，特別是涉及企業(yè)跨地區(qū)、跨國家，從員工個人到企業(yè)整體，都要具備合規(guī)意識。具體來說，一方面，針對企業(yè)內部安全、合規(guī)、審計等直接責任部門人員，要在正式入職前加強專業(yè)知識和工作能力的教育和培訓，保證其在工作期間能夠遵守相關法律規(guī)范和企業(yè)規(guī)章制度；另一方面，對于其他工作部門人員，則需要加強合規(guī)風險與意識的教育和培訓，企業(yè)可以定期組織數據合規(guī)知識競賽及專業(yè)人員數據安全比賽，以獎勵的方式激發(fā)員工對數據保護與合規(guī)的興趣，最終達到企業(yè)內部人員無論職位高低，都對數據合規(guī)有較為清晰的認知和足夠重視的效果。

4 結 語

在“數據為王”的時代，企業(yè)不僅要面臨競爭激烈的市場角逐，還要處理好數據合規(guī)的一系列難題。通過上述分析的企業(yè)面臨的合規(guī)困境及成因可見，企業(yè)若不重視起來積極尋找解決之道，則很可能有傾覆之險。與此同時，隨著數字經濟時代的到來，企業(yè)應當順應數字經濟化的潮流，從不同方面加強自身數據合規(guī)建設，在合法合規(guī)的前提下充分利用數據，發(fā)揮數據的最大價值，做到以數據合規(guī)促進企業(yè)更好發(fā)展，才是現代企業(yè)的生存之道。