基于扎根理論的數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系構(gòu)建及應(yīng)用

【摘要】數(shù)據(jù)合規(guī)是企業(yè)實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)價(jià)值的關(guān)鍵因素， 如何評(píng)估企業(yè)數(shù)據(jù)合規(guī)水平成為亟待解決的問題。在文獻(xiàn)回顧的基礎(chǔ)上， 運(yùn)用扎根理論， 選擇被問詢的IPO企業(yè)作為樣本建立合規(guī)評(píng)估點(diǎn)， 構(gòu)建包括8項(xiàng)一級(jí)指標(biāo)、 16項(xiàng)二級(jí)指標(biāo)、 70項(xiàng)三級(jí)指標(biāo)在內(nèi)的數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系， 對(duì)華大基因的數(shù)據(jù)合規(guī)情況進(jìn)行效果檢驗(yàn)， 驗(yàn)證指標(biāo)體系的合理性。研究為數(shù)字經(jīng)濟(jì)時(shí)代企業(yè)數(shù)據(jù)合規(guī)管理實(shí)踐提供了理論支持， 并為數(shù)據(jù)合規(guī)研究提供了參考。

【關(guān)鍵詞】數(shù)據(jù)合規(guī)；數(shù)據(jù)合規(guī)量化；數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系；扎根理論；企業(yè)治理

【中圖分類號(hào)】 F276" " "【文獻(xiàn)標(biāo)識(shí)碼】A" " " 【文章編號(hào)】1004-0994（2024）18-0111-7

一、 引言

隨著云計(jì)算、 大數(shù)據(jù)和人工智能等新一代信息技術(shù)的深入運(yùn)用， 數(shù)據(jù)日益成為驅(qū)動(dòng)當(dāng)下經(jīng)濟(jì)發(fā)展的戰(zhàn)略性資源。2020年4月9日， 中共中央、 國(guó)務(wù)院印發(fā)的《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見》指出， 數(shù)據(jù)已成為數(shù)字經(jīng)濟(jì)時(shí)代下一種新的生產(chǎn)要素。在企業(yè)的日常經(jīng)營(yíng)活動(dòng)中， 數(shù)據(jù)需要進(jìn)行相應(yīng)的合規(guī)治理以提升其安全性和規(guī)范性， 將其轉(zhuǎn)化為可見、 可用、 可管的數(shù)據(jù)資產(chǎn)， 從而實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)價(jià)值。并且， 數(shù)據(jù)作為一種新的資源， 企業(yè)在處理和使用的過程中伴隨著數(shù)據(jù)違規(guī)現(xiàn)象的發(fā)生， 數(shù)據(jù)的價(jià)值挖掘與數(shù)據(jù)安全和隱私保護(hù)之間的矛盾越來越突出， 大量數(shù)據(jù)泄露、 數(shù)據(jù)濫用、 數(shù)據(jù)盜用等事件不斷出現(xiàn)， 有效地對(duì)數(shù)據(jù)進(jìn)行合規(guī)治理已成為促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的關(guān)鍵。因此， 數(shù)據(jù)作為數(shù)字經(jīng)濟(jì)時(shí)代下推動(dòng)經(jīng)濟(jì)社會(huì)轉(zhuǎn)型發(fā)展的強(qiáng)大助力， 如何檢驗(yàn)和提升數(shù)據(jù)的合規(guī)性亟待學(xué)界的高度關(guān)注。

目前， 數(shù)據(jù)合規(guī)的相關(guān)研究主要集中在監(jiān)管科技手段和預(yù)防管理制度上。在監(jiān)管科技手段方面， 合規(guī)科技是數(shù)據(jù)合規(guī)治理的常用工具之一。合規(guī)科技是以數(shù)據(jù)為驅(qū)動(dòng)力， 以區(qū)塊鏈、 云計(jì)算、 人工智能等技術(shù)為依托的科技管理手段， 通過對(duì)數(shù)字技術(shù)的設(shè)計(jì)和集成完成對(duì)企業(yè)數(shù)據(jù)風(fēng)險(xiǎn)的識(shí)別與自動(dòng)化監(jiān)管（Douglas等，2016）。使用合規(guī)科技可以及時(shí)獲取真實(shí)、 全面的數(shù)據(jù)， 提高數(shù)據(jù)處理的效率和安全性（Fabrizio和DéboraManke，2021）， 并且還可以在與第三方合作的過程中檢測(cè)追蹤數(shù)據(jù)腐敗問題， 提升數(shù)據(jù)采集、 數(shù)據(jù)處理、 第三方合作等方面的合規(guī)性（馬明亮，2022）。在預(yù)防管理制度方面， 相關(guān)部門根據(jù)已有的法律法規(guī)， 同時(shí)針對(duì)不同行業(yè)的特征制定了更加精細(xì)化的數(shù)據(jù)合規(guī)標(biāo)準(zhǔn)， 建立和完善了數(shù)據(jù)合規(guī)認(rèn)證制度， 對(duì)企業(yè)做出合規(guī)程度評(píng)級(jí)并進(jìn)行分級(jí)預(yù)防管理（毛逸瀟，2022）?？傮w來看， 目前大多數(shù)國(guó)內(nèi)外有關(guān)數(shù)據(jù)合規(guī)治理的研究均認(rèn)為應(yīng)在數(shù)據(jù)處理前和應(yīng)用過程中采取措施以起到預(yù)警作用， 避免數(shù)據(jù)不合規(guī)情況的發(fā)生。

然而， 對(duì)于數(shù)據(jù)使用全過程合規(guī)程度的細(xì)分和監(jiān)測(cè)， 尤其是針對(duì)上市公司的數(shù)據(jù)合規(guī)評(píng)估體系， 我國(guó)的研究相對(duì)較少涉及。在數(shù)字經(jīng)濟(jì)時(shí)代， 數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系的構(gòu)建對(duì)于數(shù)據(jù)這一生產(chǎn)要素的使用有著重要的作用： 第一， 數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系能夠細(xì)化數(shù)據(jù)使用的全過程， 分類分析數(shù)據(jù)采集、 數(shù)據(jù)存儲(chǔ)、 數(shù)據(jù)處理等多個(gè)階段， 有利于對(duì)數(shù)據(jù)合規(guī)進(jìn)行精準(zhǔn)化治理； 第二， 數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系能夠量化數(shù)據(jù)合規(guī)情況， 利用設(shè)計(jì)的公式度量數(shù)據(jù)合規(guī)程度， 通過數(shù)據(jù)合規(guī)程度的變化分析和檢驗(yàn)外部監(jiān)督對(duì)企業(yè)數(shù)據(jù)合規(guī)的影響。對(duì)數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系開展系統(tǒng)性研究， 不僅能夠豐富數(shù)據(jù)治理相關(guān)研究， 而且有利于企業(yè)對(duì)自身內(nèi)部數(shù)據(jù)治理體系的效果進(jìn)行識(shí)別和檢驗(yàn)， 引導(dǎo)企業(yè)加強(qiáng)數(shù)據(jù)合規(guī)治理并創(chuàng)新數(shù)據(jù)治理模式。

二、 文獻(xiàn)回顧

本文從數(shù)據(jù)、 數(shù)據(jù)合規(guī)和數(shù)據(jù)合規(guī)評(píng)估體系三個(gè)方面回顧已有研究， 在此基礎(chǔ)上總結(jié)數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系構(gòu)建的理論方法。

在經(jīng)濟(jì)活動(dòng)中， Farboodi和Veldkamp（2020）認(rèn)為數(shù)據(jù)是一種表現(xiàn)形式、 一項(xiàng)生產(chǎn)要素、 一類用于傳遞信息的副產(chǎn)品。就企業(yè)而言， Helen（1996）研究得出數(shù)據(jù)是一種能夠?qū)ζ髽I(yè)價(jià)值產(chǎn)生增益效果的資源， 在企業(yè)資產(chǎn)形成和積累的過程中， 伴隨著組織規(guī)模的擴(kuò)大， 數(shù)據(jù)帶來的效益也越發(fā)明顯。相較于其他生產(chǎn)要素， 數(shù)據(jù)有著其自身的特殊性， 費(fèi)方域等（2018）和趙欣（2022）研究得出數(shù)據(jù)具有很強(qiáng)的外部效應(yīng)和循環(huán)效應(yīng)， 其在實(shí)際投入使用中所產(chǎn)生的效果往往會(huì)超出預(yù)期范圍， 且產(chǎn)品和服務(wù)的質(zhì)量與數(shù)據(jù)集的大小成正比。姜盼盼（2019）指出數(shù)據(jù)具有經(jīng)濟(jì)性， 既可以帶來經(jīng)濟(jì)利益， 又可能在違規(guī)情況下造成一定的損失。數(shù)據(jù)的不正當(dāng)使用會(huì)造成信息不統(tǒng)一、 不兼容， 從而產(chǎn)生“數(shù)據(jù)孤島”， 使得企業(yè)各個(gè)部門的各類信息無法實(shí)時(shí)互通和共享， 降低了企業(yè)的協(xié)作效率和運(yùn)行效率， 甚至可能影響管理層的經(jīng)營(yíng)決策（馬偉東和武騰飛，2023）； 同時(shí)， 還會(huì)導(dǎo)致數(shù)據(jù)抓取、 數(shù)據(jù)互斥和流量劫持等不正當(dāng)競(jìng)爭(zhēng)行為的出現(xiàn)， 不僅損害消費(fèi)者和經(jīng)營(yíng)者的利益， 還有可能引發(fā)市場(chǎng)的混亂甚至失靈（陳兵，2019）。因此， 為了讓數(shù)據(jù)真正成為企業(yè)的資產(chǎn)并發(fā)揮其應(yīng)有的價(jià)值， 數(shù)據(jù)合規(guī)問題備受關(guān)注。

數(shù)據(jù)合規(guī)是指企業(yè)從數(shù)據(jù)的收集、 處理、 儲(chǔ)存到轉(zhuǎn)讓、 刪除、 銷毀， 都必須遵守相關(guān)法律法規(guī)（付偉和于長(zhǎng)鉞，2017）， 其是確保數(shù)據(jù)（尤其是敏感數(shù)據(jù)）免受丟失、 被盜、 損壞、 濫用的正式標(biāo)準(zhǔn)和實(shí)踐（Withers，2019）。在實(shí)際中， 數(shù)據(jù)合規(guī)會(huì)呈現(xiàn)出法律性、 敏感性和全程性等特點(diǎn)。法律性是指治理體系或方法的制定和執(zhí)行都必須以相關(guān)法律法規(guī)為基礎(chǔ)（陳兵和胡珍，2021）； 數(shù)據(jù)樣本、 合規(guī)依據(jù)和技術(shù)手段等任何一個(gè)方面的變動(dòng)都會(huì)影響實(shí)踐， 這就是數(shù)據(jù)合規(guī)的敏感性（唐彬彬，2020）； 合規(guī)治理是一個(gè)全局的概念， 其不單單涉及某一個(gè)環(huán)節(jié)， 而是涵蓋采集、 存儲(chǔ)和處理等所有方面的工作， 因此具有全程性（吳信東等，2019）。針對(duì)不同的行業(yè)和主體， 數(shù)據(jù)合規(guī)的要素也略有不同， 盛豪杰（2022）研究了其共性并提出數(shù)據(jù)合規(guī)涉及數(shù)據(jù)獲取、 儲(chǔ)存、 流轉(zhuǎn)和銷毀四個(gè)方面， 林璐（2023）進(jìn)一步延伸認(rèn)為在運(yùn)用數(shù)據(jù)的過程中要確保數(shù)據(jù)采集、 存儲(chǔ)、 傳輸、 處理等環(huán)節(jié)的合規(guī)性。就企業(yè)而言， 數(shù)據(jù)合規(guī)與數(shù)據(jù)安全存在著一定的聯(lián)系（楊慧妍，2023）， 其是數(shù)據(jù)合規(guī)的準(zhǔn)則和核心之一（Vojvodic和Hitz，2019）， 且可以作為數(shù)據(jù)合規(guī)治理的效果和目的之一（Tamilarasi和Jawahar，2022）?？傊?， 數(shù)據(jù)合規(guī)是數(shù)字經(jīng)濟(jì)時(shí)代下社會(huì)治理的重要組成部分。

目前數(shù)據(jù)合規(guī)評(píng)估體系的相關(guān)研究主要集中于企業(yè)內(nèi)部的管理策略和技術(shù)手段方面。Chaudhuri等（2011）和Rehman等（2016）構(gòu)建了企業(yè)數(shù)據(jù)三維要素框架， 從管理層面、 技術(shù)層面、 應(yīng)用層面評(píng)估數(shù)據(jù)安全； 王起全（2010）和Tallon（2013）設(shè)計(jì)了SHEL模型， 從管理制度、 技術(shù)環(huán)境、 技術(shù)設(shè)備和技術(shù)人員四個(gè)方面入手進(jìn)行數(shù)據(jù)安全評(píng)價(jià)。吳繼英等（2021）基于以上兩個(gè)模型框架， 并參考《信息安全技術(shù) 大數(shù)據(jù)安全管理指南》（GB/T 37973—2019）建立了“三維一體”的企業(yè)大數(shù)據(jù)安全評(píng)價(jià)指標(biāo)體系， 對(duì)數(shù)據(jù)的基礎(chǔ)安全、 管理安全、 技術(shù)安全進(jìn)行分析。楊曉琪等（2021）則基于DSG數(shù)據(jù)基礎(chǔ)安全治理框架（Brian等，2018）和國(guó)家數(shù)據(jù)基礎(chǔ)安全能力成熟度模型， 并結(jié)合網(wǎng)絡(luò)數(shù)據(jù)安全等級(jí)保護(hù)制度2.0， 提出建立一種管理+技術(shù)的數(shù)據(jù)安全評(píng)估模型。文禹衡和金銘（2022）聚焦于管理策略方面， 構(gòu)建了注冊(cè)協(xié)議和后續(xù)管理制度相結(jié)合的數(shù)據(jù)合規(guī)評(píng)估體系?？傮w來看， 現(xiàn)有的數(shù)據(jù)合規(guī)評(píng)估體系都是僅從企業(yè)管理和技術(shù)手段的安全性或合規(guī)性出發(fā)， 未體現(xiàn)企業(yè)整體， 也沒有細(xì)分?jǐn)?shù)據(jù)應(yīng)用的各個(gè)環(huán)節(jié)， 缺少全局性和全面性， 因此有必要構(gòu)建能夠針對(duì)企業(yè)整體并覆蓋數(shù)據(jù)應(yīng)用全流程的數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系。評(píng)估數(shù)據(jù)合規(guī)情況的前提是確立一套包含評(píng)估點(diǎn)與合規(guī)依據(jù)在內(nèi)的體系框架， 但當(dāng)下業(yè)內(nèi)尚未形成統(tǒng)一制式的數(shù)據(jù)合規(guī)要點(diǎn)框架。鑒于此， 本文采用扎根理論這一質(zhì)性研究方法， 對(duì)原始資料進(jìn)行收集和分析并從中提煉核心概念和范疇， 進(jìn)而構(gòu)建數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系。

三、 研究設(shè)計(jì)與樣本選擇依據(jù)

對(duì)于涉及大量數(shù)據(jù)業(yè)務(wù)的企業(yè)， 其上市時(shí)必須經(jīng)歷數(shù)據(jù)合規(guī)的相關(guān)檢查和審核， 企業(yè)上市時(shí)收到的問詢函中涉及的數(shù)據(jù)合規(guī)問題較多且相對(duì)清晰和密集， 因此以企業(yè)上市時(shí)收到的數(shù)據(jù)合規(guī)問詢函件、 企業(yè)招股說明書、 企業(yè)第三方回函件等相關(guān)文件作為原始資料， 梳理出企業(yè)內(nèi)部數(shù)據(jù)治理的核心概念和范疇， 在此基礎(chǔ)上將數(shù)據(jù)合規(guī)的法律法規(guī)、 部門規(guī)章、 相關(guān)政策、 安全標(biāo)準(zhǔn)等作為研究資料提煉數(shù)據(jù)合規(guī)依據(jù)， 進(jìn)而確定數(shù)據(jù)合規(guī)的評(píng)估點(diǎn)， 并運(yùn)用扎根理論對(duì)樣本內(nèi)容逐一進(jìn)行編碼， 最終構(gòu)建數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系。

考慮到數(shù)據(jù)合規(guī)相關(guān)法律的實(shí)施時(shí)間， 本文選擇自2016年以來受到證券交易所以問詢等方式要求企業(yè)就數(shù)據(jù)合規(guī)方面的情況進(jìn)行答復(fù)的擬上市企業(yè)作為樣本（共有36家）， 并整理其數(shù)據(jù)合規(guī)相關(guān)文件， 共獲取樣本條文312條， 企業(yè)行業(yè)類型包括電子信息類、 互聯(lián)網(wǎng)服務(wù)類、 醫(yī)藥類等。并且， 評(píng)估企業(yè)數(shù)據(jù)是否合規(guī)， 需要將數(shù)據(jù)合規(guī)評(píng)估點(diǎn)與合規(guī)依據(jù)進(jìn)行對(duì)比， 因此要建立數(shù)據(jù)合規(guī)依據(jù)庫(kù)。合規(guī)依據(jù)的篩選過程如下： 第一， 以“合規(guī)評(píng)估”作為關(guān)鍵詞檢索并獲取合規(guī)依據(jù)； 第二， 根據(jù)樣本行業(yè)的特殊性補(bǔ)充檢索合規(guī)依據(jù)。經(jīng)過收集整理數(shù)據(jù)合規(guī)方面的法律法規(guī)和分析提煉各行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)的共通性， 本文獲取了包括《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》等在內(nèi)的合規(guī)依據(jù)共計(jì)15部， 如表1所示。

四、 數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系構(gòu)建

為了準(zhǔn)確地評(píng)估企業(yè)數(shù)據(jù)合規(guī)性， 需要從數(shù)據(jù)方面的法律法規(guī)等制度標(biāo)準(zhǔn)入手， 同時(shí)結(jié)合數(shù)據(jù)合規(guī)治理和安全評(píng)估的相關(guān)研究文獻(xiàn)， 借鑒DMSS國(guó)家數(shù)據(jù)成熟度標(biāo)準(zhǔn)模型中“數(shù)據(jù)生命周期安全”的6個(gè)影響環(huán)節(jié)， 在數(shù)據(jù)采集安全、 數(shù)據(jù)傳輸安全、 數(shù)據(jù)存儲(chǔ)安全、 數(shù)據(jù)處理安全、 數(shù)據(jù)交換安全、 數(shù)據(jù)銷毀安全這幾個(gè)模塊的基礎(chǔ)上進(jìn)行延伸和擴(kuò)展， 對(duì)擬上市企業(yè)的文件資料進(jìn)行梳理和分析， 運(yùn)用扎根理論提煉出數(shù)據(jù)合規(guī)評(píng)估點(diǎn)并范疇化， 整理歸納出數(shù)據(jù)采集合規(guī)、 數(shù)據(jù)存儲(chǔ)合規(guī)、 數(shù)據(jù)交換合規(guī)、 數(shù)據(jù)處理合規(guī)、 數(shù)據(jù)安全管理合規(guī)、 數(shù)據(jù)出境合規(guī)、 數(shù)據(jù)銷毀合規(guī)和數(shù)據(jù)傳輸合規(guī)這8個(gè)主范疇， 進(jìn)而構(gòu)建數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系并得出數(shù)據(jù)合規(guī)量化公式。具體流程如圖1所示。

（一） 編號(hào)

對(duì)擬上市的36家企業(yè)的數(shù)據(jù)合規(guī)相關(guān)文件資料進(jìn)行內(nèi)容分析， 并根據(jù)調(diào)查訪問順序編號(hào)， 在對(duì)312條樣本條文進(jìn)行信息篩選、 整理、 歸納后共形成103個(gè)編號(hào)。

（二） 開放性編碼

開放性編碼又稱一級(jí)編碼， 是對(duì)原始資料進(jìn)行逐字逐句分析和整理， 將其概念化和范疇化的過程（王炳成等，2022）。將編號(hào)后的樣本依次導(dǎo)入Nvivo軟件， 開始對(duì)文本貼標(biāo)簽， 從中發(fā)掘初始概念。由于初始概念較多、 層次較低且存在一些交叉， 需要進(jìn)一步對(duì)獲得的初始概念進(jìn)行篩選、 合并和范疇化， 最終完成對(duì)103個(gè)編號(hào)對(duì)應(yīng)內(nèi)容的開放性編碼， 得到70個(gè)初始概念和16個(gè)范疇， 如表2所示。

（三） 主軸編碼

主軸編碼又稱二級(jí)編碼， 是指以開放性編碼形成的初始范疇為基礎(chǔ)進(jìn)行分析， 找出獨(dú)立范疇之間的共性和邏輯并將其聯(lián)系在一起， 再編碼形成更高層級(jí)的主范疇（陳向明，1999）。本文將16個(gè)范疇按數(shù)據(jù)常規(guī)操作流程進(jìn)行整理， 通過不斷歸納和演繹， 比較開放性編碼中所獲取的概念“標(biāo)簽”， 最終提煉出8個(gè)主范疇， 具體為： 數(shù)據(jù)采集合規(guī)、 數(shù)據(jù)存儲(chǔ)合規(guī)、 數(shù)據(jù)交換合規(guī)、 數(shù)據(jù)處理合規(guī)、 數(shù)據(jù)安全管理合規(guī)、 數(shù)據(jù)出境合規(guī)、 數(shù)據(jù)銷毀合規(guī)和數(shù)據(jù)傳輸合規(guī)。

（四） 數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系構(gòu)建

按照前述方法和過程對(duì)36個(gè)樣本進(jìn)行分析后， 獲取數(shù)據(jù)合規(guī)的全部評(píng)估點(diǎn)。借鑒文禹衡和金銘（2022）的合規(guī)性評(píng)估研究， 盡管有的評(píng)估點(diǎn)在每個(gè)樣本中都會(huì)出現(xiàn)——可視為數(shù)據(jù)合規(guī)的“交集”， 有的評(píng)估點(diǎn)只會(huì)在某個(gè)或某些樣本中出現(xiàn)， 但是整個(gè)評(píng)估點(diǎn)不應(yīng)該僅僅局限于“交集”， 而是需要將所有的評(píng)估點(diǎn)匯總形成“并集”——數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系， 其中一級(jí)指標(biāo)和二級(jí)指標(biāo)組成的數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系主要框架如表3所示。

該數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系由8個(gè)一級(jí)指標(biāo)（主范疇）、 16個(gè)二級(jí)指標(biāo)（范疇）和70個(gè)三級(jí)指標(biāo)（概念化， 即表2中的70個(gè)具體事項(xiàng)）組成。從客觀實(shí)踐情況來看， 已出現(xiàn)在樣本中的評(píng)估點(diǎn)實(shí)際上就是企業(yè)容易出現(xiàn)的數(shù)據(jù)合規(guī)問題， 理應(yīng)作為數(shù)據(jù)合規(guī)評(píng)估考慮的因素， 即如果一家企業(yè)在A環(huán)節(jié)滿足某評(píng)估點(diǎn)的要求， 而在B環(huán)節(jié)缺失相同或相似的評(píng)估點(diǎn)， 則意味著該家企業(yè)對(duì)于B環(huán)節(jié)并未考慮周全， 而不是說該評(píng)估點(diǎn)在此環(huán)節(jié)不需要考慮。因此， 該指標(biāo)體系對(duì)各級(jí)指標(biāo)不進(jìn)行權(quán)重區(qū)分， 而是直接通過合規(guī)點(diǎn)數(shù)或不合規(guī)點(diǎn)數(shù)與合規(guī)評(píng)估總點(diǎn)數(shù)的比例對(duì)企業(yè)數(shù)據(jù)合規(guī)情況進(jìn)行評(píng)估和總結(jié)。

（五） 數(shù)據(jù)合規(guī)量化

為了清晰直觀地掌握企業(yè)的數(shù)據(jù)合規(guī)情況， 本文在數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系的基礎(chǔ)上進(jìn)一步設(shè)計(jì)數(shù)據(jù)合規(guī)度量公式， 對(duì)企業(yè)的數(shù)據(jù)合規(guī)情況進(jìn)行量化以幫助企業(yè)分析和應(yīng)對(duì)可能或已經(jīng)發(fā)生的數(shù)據(jù)合規(guī)問題， 進(jìn)而有利于企業(yè)內(nèi)部對(duì)數(shù)據(jù)治理策略進(jìn)行調(diào)整和完善。

1. 數(shù)據(jù)合規(guī)程度公式。對(duì)于企業(yè)的數(shù)據(jù)合規(guī)程度， 可以通過“合規(guī)點(diǎn)”加以量化評(píng)價(jià)， 如式（1）所示：

數(shù)據(jù)合規(guī)程度=數(shù)據(jù)合規(guī)點(diǎn)數(shù)/數(shù)據(jù)合規(guī)評(píng)估總點(diǎn)數(shù)

（1）

從式（1）中可以看出， 在對(duì)企業(yè)的數(shù)據(jù)合規(guī)情況進(jìn)行評(píng)估時(shí)， 數(shù)據(jù)合規(guī)點(diǎn)數(shù)越多， 那么企業(yè)數(shù)據(jù)合規(guī)程度越高。

2. 數(shù)據(jù)不合規(guī)程度公式。對(duì)于企業(yè)的數(shù)據(jù)不合規(guī)程度， 則需要進(jìn)行具體的分析， 企業(yè)數(shù)據(jù)不合規(guī)主要體現(xiàn)在兩個(gè)方面： 數(shù)據(jù)形式不合規(guī)和數(shù)據(jù)內(nèi)容不合規(guī)。

數(shù)據(jù)形式不合規(guī)指的是企業(yè)的內(nèi)部數(shù)據(jù)治理體系中缺少法律法規(guī)等合規(guī)依據(jù)中提到的具體事項(xiàng)與內(nèi)容， 可用“缺失的評(píng)估點(diǎn)”衡量， 如式（2）所示：

數(shù)據(jù)形式不合規(guī)程度=內(nèi)部現(xiàn)有數(shù)據(jù)治理體系缺失的評(píng)估點(diǎn)/數(shù)據(jù)合規(guī)評(píng)估總點(diǎn)數(shù) （2）

數(shù)據(jù)形式不合規(guī)體現(xiàn)了企業(yè)現(xiàn)有數(shù)據(jù)治理體系的不健全。

數(shù)據(jù)內(nèi)容不合規(guī)指的是企業(yè)的內(nèi)部數(shù)據(jù)治理體系中雖然設(shè)立了相應(yīng)的評(píng)估點(diǎn)， 但設(shè)立的具體內(nèi)容和實(shí)際操作與相關(guān)的合規(guī)依據(jù)并不相符， 可用“操作有誤的評(píng)估點(diǎn)”衡量， 如式（3）所示：

數(shù)據(jù)內(nèi)容不合規(guī)程度=內(nèi)部現(xiàn)有數(shù)據(jù)治理體系操作有誤的評(píng)估點(diǎn)/數(shù)據(jù)合規(guī)評(píng)估總點(diǎn)數(shù)" " "（3）

數(shù)據(jù)內(nèi)容不合規(guī)體現(xiàn)了企業(yè)現(xiàn)有數(shù)據(jù)治理體系執(zhí)行的不完善。

對(duì)數(shù)據(jù)形式不合規(guī)和數(shù)據(jù)內(nèi)容不合規(guī)程度公式的分析和設(shè)計(jì)， 能夠總結(jié)出企業(yè)數(shù)據(jù)不合規(guī)程度的計(jì)算方法， 如式（4）所示：

數(shù)據(jù)不合規(guī)程度=形式不合規(guī)程度+內(nèi)容不合規(guī)程度=1-數(shù)據(jù)合規(guī)程度 （4）

3. 數(shù)據(jù)治理體系化程度公式。進(jìn)一步地， 前文選取構(gòu)建數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系的樣本具有普遍性， 構(gòu)建的結(jié)果也幾乎包含了所有數(shù)據(jù)方面的相關(guān)法律法規(guī)， 深入分析后， 本文認(rèn)為若企業(yè)缺少上述數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系中的某一方面， 則說明企業(yè)在這方面并沒有建立相關(guān)措施等， 可以認(rèn)作該企業(yè)數(shù)據(jù)合規(guī)體系不完善。所以， 企業(yè)數(shù)據(jù)合規(guī)治理是否達(dá)到“體系化”， 即體系是否完整和健全， 可以通過數(shù)據(jù)形式不合規(guī)來進(jìn)行量化評(píng)價(jià)， 具體計(jì)算方法如式（5）所示：

數(shù)據(jù)治理體系化程度=1-數(shù)據(jù)形式不合規(guī)程度 （5）

數(shù)據(jù)形式不合規(guī)的點(diǎn)數(shù)越少， 企業(yè)內(nèi)部數(shù)據(jù)治理體系化程度越高。數(shù)據(jù)治理體系化程度體現(xiàn)了企業(yè)的數(shù)據(jù)隱私保護(hù)和數(shù)據(jù)合規(guī)管理制度是否體系化， 以及是否確立了完整的數(shù)據(jù)保護(hù)規(guī)范和管理流程。如果企業(yè)的數(shù)據(jù)治理體系化程度高， 那么企業(yè)在數(shù)據(jù)收集到處理、 存儲(chǔ)、 使用和銷毀等方面， 都能夠遵循相應(yīng)的數(shù)據(jù)保護(hù)、 隱私保護(hù)和合規(guī)管理規(guī)范， 并不斷進(jìn)行更新， 以最大限度地保證數(shù)據(jù)安全和合規(guī)性； 相反， 如果企業(yè)的數(shù)據(jù)治理體系化程度低， 則可能會(huì)面臨多種風(fēng)險(xiǎn)， 如數(shù)據(jù)泄露、 數(shù)據(jù)濫用、 數(shù)據(jù)不合規(guī)以及監(jiān)管方面的處罰。

綜上， 數(shù)據(jù)合規(guī)量化公式既能反映企業(yè)當(dāng)下內(nèi)部數(shù)據(jù)的合規(guī)和不合規(guī)程度， 以及具體不合規(guī)的方面和模塊， 又能從整體上評(píng)價(jià)、 分析現(xiàn)有數(shù)據(jù)治理體系的構(gòu)建情況和需要更新升級(jí)的環(huán)節(jié)， 有助于企業(yè)對(duì)數(shù)據(jù)不合規(guī)問題進(jìn)行糾正， 提升內(nèi)部數(shù)據(jù)治理的體系化水平。

五、 案例運(yùn)用與分析

深圳華大基因股份有限公司（簡(jiǎn)稱“華大基因”）是一家專注于基因數(shù)據(jù)資源分析和研究的高科技公司， 其作為我國(guó)生命科學(xué)領(lǐng)域的領(lǐng)先企業(yè)之一， 擁有完整的基因測(cè)序、 蛋白質(zhì)組學(xué)、 生命信息學(xué)等領(lǐng)域技術(shù)體系， 并擁有世界領(lǐng)先的基因測(cè)序能力和生物信息數(shù)據(jù)分析能力。

本文選擇華大基因作為單個(gè)案例研究對(duì)象主要是出于以下幾點(diǎn)考慮： 首先， 華大基因案例本身對(duì)于數(shù)據(jù)治理而言具有特殊性。早在2015年， 華大基因旗下子公司深圳華大基因科技服務(wù)有限公司（簡(jiǎn)稱“華大科技”）就因?yàn)槿祟愡z傳資源信息違規(guī)出境的問題而受到行政處罰， 而之后華大基因在力求上市時(shí)所公布的招股說明書并未透露華大科技數(shù)據(jù)違規(guī)的相關(guān)信息， 因此受到了我國(guó)科技部的處罰， 同時(shí)這一事件引起了社會(huì)和媒體的廣泛關(guān)注， 深交所也對(duì)其進(jìn)行了數(shù)據(jù)合規(guī)問詢。其次， 生命安全一直是世界衛(wèi)生健康發(fā)展的首要課題， 醫(yī)療行業(yè)的種種行為受到了社會(huì)大眾的廣泛關(guān)注。根據(jù)前文介紹， 華大基因的主要業(yè)務(wù)為基因問題的分析、 研究和解決， 基因資源作為遺傳資源的重要組成部分， 是國(guó)家重要的戰(zhàn)略性資源， 對(duì)國(guó)民健康和生物產(chǎn)業(yè)發(fā)展具有舉足輕重的作用。最后， 華大基因的業(yè)務(wù)范圍不僅僅局限于國(guó)內(nèi)， 還包含大量的國(guó)際交流與合作， 這就涉及數(shù)據(jù)跨境問題， 基因數(shù)據(jù)工作也上升到國(guó)家數(shù)據(jù)安全的層面。

因此， 本文選擇華大基因作為研究對(duì)象， 評(píng)估其受到問詢前后的數(shù)據(jù)合規(guī)情況， 闡述企業(yè)后續(xù)的治理措施和合規(guī)情況的變化， 觀察本文所構(gòu)建的數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系的應(yīng)用效果。

（一） 問詢前的數(shù)據(jù)合規(guī)評(píng)估結(jié)果分析

根據(jù)對(duì)華大基因案例的具體整理可以發(fā)現(xiàn)， 其數(shù)據(jù)合規(guī)問題主要體現(xiàn)在數(shù)據(jù)泄露風(fēng)險(xiǎn)、 數(shù)據(jù)采集是否合法合規(guī)、 數(shù)據(jù)項(xiàng)目是否遵守相關(guān)法律法規(guī)等方面， 在將其與數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系進(jìn)行比照和分析之后， 總結(jié)得出華大基因數(shù)據(jù)合規(guī)問題主要體現(xiàn)在以下幾個(gè)方面：" A1第三方合作、 A8數(shù)據(jù)出境管理、 A10收集、 A15數(shù)據(jù)安全管理措施?；谶@四個(gè)范疇， 運(yùn)用數(shù)據(jù)合規(guī)量化公式進(jìn)行計(jì)算和分析， 得出華大基因受到問詢前各個(gè)模塊的數(shù)據(jù)合規(guī)情況， 如表4所示。

1. 華大基因數(shù)據(jù)資源的特殊性。由于華大基因是一家專注于基因資源處理分析的高科技公司， 且基因資源本身就是國(guó)家重要的戰(zhàn)略保護(hù)資源， 其對(duì)數(shù)據(jù)的采集和處理尤為關(guān)注， 對(duì)此建設(shè)了很多信息保護(hù)基礎(chǔ)設(shè)施并采取了一系列安全技術(shù)手段， 因此華大基因在“收集”“處理資質(zhì)”“數(shù)據(jù)安全技術(shù)措施”和“關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)”這幾個(gè)模塊的數(shù)據(jù)合規(guī)程度相對(duì)較高， 分別為49.3%、 36.7%、 34.6%和36.8%。但是， 華大基因在“刪除、匿名化”模塊的數(shù)據(jù)合規(guī)程度相對(duì)較低， 僅為13.5%， 本文進(jìn)一步計(jì)算了其數(shù)據(jù)形式不合規(guī)程度， 發(fā)現(xiàn)該值高達(dá)68.5%?？赡艿脑蚴?， 華大基因日常業(yè)務(wù)涉及的基因資源存在特殊性和敏感性， 導(dǎo)致其在銷毀方面的工作極為稀少， 從而缺少這方面的數(shù)據(jù)合規(guī)模塊。

2. 華大基因跨境業(yè)務(wù)繁多。華大基因在“存儲(chǔ)地點(diǎn)”“數(shù)據(jù)公開”“第三方合作”和“數(shù)據(jù)出境管理”這幾個(gè)模塊都設(shè)置了相應(yīng)的數(shù)據(jù)合規(guī)標(biāo)準(zhǔn)， 但計(jì)算結(jié)果表明， 其數(shù)據(jù)合規(guī)程度都相對(duì)較低， 分別為21.5%、 25.7%、 14.7%和27.1%。進(jìn)一步分析這幾個(gè)模塊的數(shù)據(jù)不合規(guī)程度， 發(fā)現(xiàn)其內(nèi)容不合規(guī)程度均大于60%， 可以得出雖然華大基因已經(jīng)意識(shí)到自己的主要業(yè)務(wù)包含大量的國(guó)際合作與交流并設(shè)計(jì)了一定的合規(guī)標(biāo)準(zhǔn)， 但由于數(shù)據(jù)跨境項(xiàng)目過于繁多且復(fù)雜， 其在數(shù)據(jù)的存儲(chǔ)、 交換、 出境上容易出現(xiàn)疏忽和過失， 數(shù)據(jù)存儲(chǔ)和管理與信息公開的要求及規(guī)定難以做到精準(zhǔn)、 完備。

3. 華大基因內(nèi)部數(shù)據(jù)治理的方法和手段落后。根據(jù)華大基因在信息披露方面制定的《信息披露管理制度》《重大信息內(nèi)部報(bào)告制度》《年報(bào)信息披露重大差錯(cuò)責(zé)任追究制度》和在內(nèi)部管理層面設(shè)立的合規(guī)管理體系進(jìn)行估算， 其數(shù)據(jù)治理體系化程度不足30%， 可以得出華大基因內(nèi)部數(shù)據(jù)治理的管理策略和技術(shù)手段一直存在滯后性。當(dāng)數(shù)據(jù)合規(guī)相關(guān)的法律法規(guī)及政策文件得到更新和完善時(shí)， 企業(yè)內(nèi)部并沒有根據(jù)合規(guī)依據(jù)對(duì)管理策略和技術(shù)手段進(jìn)行調(diào)整與更新， 再加上華大基因本身規(guī)模龐大和業(yè)務(wù)量繁多， 導(dǎo)致其難以兼顧處理的數(shù)據(jù)量和處理的及時(shí)性， 效率難以得到保證。因此， 其在數(shù)據(jù)的采集、 存儲(chǔ)、 處理、 傳輸和安全管理上存在嚴(yán)重不足， 具體表現(xiàn)為“分類分級(jí)”“存儲(chǔ)的安全措施”“使用、 加工”“人員管理及安全教育”“數(shù)據(jù)安全管理措施”和“傳輸、 提供”模塊的數(shù)據(jù)合規(guī)程度都相對(duì)較低， 除去“分類分級(jí)”的24.7%和“使用、 加工”的23.6%， 其他幾個(gè)模塊的數(shù)據(jù)合規(guī)程度都不足20%， 可見華大基因數(shù)據(jù)合規(guī)整體運(yùn)作方面問題的嚴(yán)重性。

4. 華大科技事件的后續(xù)反應(yīng)。華大科技數(shù)據(jù)違規(guī)事件發(fā)生之后， 華大基因采取積極有效的措施對(duì)其內(nèi)部數(shù)據(jù)問題進(jìn)行整改并最終重新獲得參與國(guó)際合作項(xiàng)目的批準(zhǔn)。因此， 其在數(shù)據(jù)安全管理方面的“問題整改和糾正措施”模塊的數(shù)據(jù)合規(guī)程度較高（僅次于“收集”模塊）， 為43.2%， 體現(xiàn)了華大基因?qū)τ谥皵?shù)據(jù)違規(guī)問題的重視以及整改措施的及時(shí)和到位。

（二） 問詢后的數(shù)據(jù)合規(guī)再評(píng)估

在收到深交所下發(fā)的問詢函之后， 華大基因管理層高度重視且積極地對(duì)問詢內(nèi)容中提到的數(shù)據(jù)合規(guī)問題進(jìn)行回函和反饋， 采取以下措施解決內(nèi)部數(shù)據(jù)合規(guī)問題。

1. 完善用戶對(duì)于數(shù)據(jù)資源的處理權(quán)利。在初始數(shù)據(jù)的自主處理方面， 華大基因完善了個(gè)人信息收集的權(quán)限， 更新了用戶的注銷方式和投訴渠道， 并拓寬了可隱藏?cái)?shù)據(jù)的選擇范圍， 使得用戶對(duì)于自身數(shù)據(jù)的上傳、 使用和刪除有了更多的自主權(quán)。因此， 華大基因在“收集”模塊的數(shù)據(jù)合規(guī)程度進(jìn)一步提升到60.5%， “刪除、 匿名化”模塊的數(shù)據(jù)合規(guī)程度也上升到31.2%。

2. 公開有關(guān)部門的認(rèn)證授權(quán)信息和跨境項(xiàng)目的相關(guān)內(nèi)容。在信息公開方面， 華大基因?qū)ν鈴?qiáng)調(diào)其內(nèi)部基因資源的相關(guān)數(shù)據(jù)一直存儲(chǔ)在國(guó)內(nèi)專業(yè)機(jī)構(gòu)并公開了存儲(chǔ)期限和容災(zāi)備份的部分信息。同時(shí)， 華大基因展示了其在開展國(guó)際業(yè)務(wù)前所做的數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估和專業(yè)機(jī)構(gòu)二次評(píng)估的結(jié)果， 表明自身對(duì)跨境數(shù)據(jù)資源已有完備的安全風(fēng)險(xiǎn)管理機(jī)制且能夠進(jìn)行實(shí)時(shí)監(jiān)控和預(yù)警。在此基礎(chǔ)上， 華大基因在“存儲(chǔ)地點(diǎn)”“第三方合作”“數(shù)據(jù)出境管理”和“傳輸、 提供”等模塊的數(shù)據(jù)合規(guī)程度都有了大幅度的提升且超過了40%， 其中“存儲(chǔ)地點(diǎn)”的數(shù)據(jù)合規(guī)程度更是達(dá)到68.4%。

3. 更新內(nèi)部數(shù)據(jù)治理方法和手段。在內(nèi)部管理策略和技術(shù)手段方面， 華大基因重新制定了數(shù)據(jù)安全保護(hù)措施和安全管理協(xié)議， 且加強(qiáng)了原有的數(shù)據(jù)安全管理保護(hù)等級(jí)和內(nèi)部系統(tǒng)訪問控制審核， 以強(qiáng)化數(shù)據(jù)合規(guī)審核標(biāo)準(zhǔn)和加大審核力度； 同時(shí)， 根據(jù)合規(guī)依據(jù)更新了數(shù)據(jù)安全技術(shù)并增設(shè)信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者， 在相關(guān)人員上崗前進(jìn)行統(tǒng)一的數(shù)據(jù)保護(hù)和數(shù)據(jù)處理培訓(xùn)并簽訂保護(hù)協(xié)議； 此外， 在相關(guān)部門的授權(quán)和批準(zhǔn)下主動(dòng)尋找優(yōu)質(zhì)的數(shù)據(jù)處理合作方共同消化業(yè)務(wù)量以提升數(shù)據(jù)處理效率。因此， 華大基因在“使用、 加工”“數(shù)據(jù)安全管理措施”“人員管理及安全教育”和“數(shù)據(jù)安全技術(shù)措施”等模塊的數(shù)據(jù)合規(guī)程度都得到了一定提升， 其中“存儲(chǔ)的安全措施”和“關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)”模塊的提升幅度較大， 其數(shù)據(jù)合規(guī)程度分別達(dá)到了61.4%和59.3%。

從以上分析可以看出， 本文所構(gòu)建的數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系能夠清楚直接地體現(xiàn)企業(yè)具體環(huán)節(jié)的數(shù)據(jù)合規(guī)程度， 幫助企業(yè)精準(zhǔn)定位數(shù)據(jù)合規(guī)問題所在， 從而進(jìn)行專門的整改、 調(diào)整和治理， 提升企業(yè)處理數(shù)據(jù)合規(guī)問題的效率和效果。并且， 數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系也驗(yàn)證了問詢函等監(jiān)督方式對(duì)于企業(yè)合規(guī)有著正向影響， 企業(yè)在外部監(jiān)督的關(guān)注和督促下， 往往會(huì)及時(shí)主動(dòng)地采取糾正措施以提升企業(yè)數(shù)據(jù)合規(guī)程度。

另外， 需要說明的是， 由于數(shù)據(jù)合規(guī)治理體系屬于企業(yè)內(nèi)部管理制度， 存在機(jī)密性， 本文僅將華大基因和政府部門對(duì)外公開的關(guān)于其內(nèi)部數(shù)據(jù)合規(guī)治理的相關(guān)細(xì)則與數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系的合規(guī)點(diǎn)進(jìn)行比較和計(jì)算數(shù)據(jù)合規(guī)程度， 關(guān)于其數(shù)據(jù)形式不合規(guī)程度、 數(shù)據(jù)內(nèi)容不合規(guī)程度和數(shù)據(jù)治理體系化程度則因缺少完整的華大基因內(nèi)部數(shù)據(jù)合規(guī)體系而沒有進(jìn)行測(cè)算， 只在結(jié)果分析中做一定的判斷和評(píng)估。

六、 結(jié)論與建議

2022年12月， 中共中央、 國(guó)務(wù)院發(fā)布《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》， 其中明確指出要加強(qiáng)數(shù)據(jù)分類分級(jí)管理、 構(gòu)建數(shù)據(jù)安全合規(guī)有序跨境流通機(jī)制、 完善數(shù)據(jù)全流程合規(guī)與監(jiān)管規(guī)則體系。在政策的指導(dǎo)引領(lǐng)下， 采用扎根理論這一質(zhì)性研究方法， 并在已有文獻(xiàn)和理論的支持下， 將36家擬上市企業(yè)的文件資料和數(shù)據(jù)合規(guī)相關(guān)法律法規(guī)相結(jié)合， 從而進(jìn)行逐步編碼和系統(tǒng)分析并建立含一級(jí)和二級(jí)指標(biāo)的數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系主要框架， 進(jìn)而構(gòu)建數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系且設(shè)計(jì)數(shù)據(jù)合規(guī)量化公式， 最終將其應(yīng)用于華大基因問詢案件以檢驗(yàn)該指標(biāo)體系的實(shí)施效果， 為相關(guān)研究與實(shí)踐提供借鑒。通過數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系的構(gòu)建和應(yīng)用過程的分析、 思考及總結(jié)， 本文對(duì)數(shù)字經(jīng)濟(jì)時(shí)代下數(shù)據(jù)合規(guī)的進(jìn)一步發(fā)展提出如下建議：

1. 完善數(shù)據(jù)合規(guī)相關(guān)法律法規(guī)， 構(gòu)建科學(xué)系統(tǒng)的合規(guī)法律制度體系。目前， 我國(guó)的數(shù)據(jù)安全合規(guī)治理體系主要由《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》三部法律構(gòu)成， 這些法律法規(guī)的出臺(tái)順應(yīng)了數(shù)據(jù)使用的發(fā)展， 對(duì)于企業(yè)的數(shù)據(jù)管理有一定的限制和啟發(fā)， 在重要數(shù)據(jù)處理和個(gè)人信息保護(hù)領(lǐng)域也滿足了基本需求， 已經(jīng)初步形成了數(shù)據(jù)合規(guī)治理的總體制度框架。但是， 其在實(shí)踐操作中還有所不足， 根據(jù)數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系的構(gòu)建過程和應(yīng)用分析能夠發(fā)現(xiàn)， 法律法規(guī)是企業(yè)設(shè)計(jì)數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系和制定數(shù)據(jù)合規(guī)治理策略的核心與基礎(chǔ)， 只有制度體系完善， 企業(yè)才有數(shù)據(jù)合規(guī)治理的著力點(diǎn)。因此， 監(jiān)管部門需要厘清和確定數(shù)據(jù)合規(guī)的概念、 特征、 因素、 本質(zhì)， 制定和細(xì)化數(shù)據(jù)合規(guī)治理法則并明確數(shù)據(jù)合規(guī)的職責(zé)與義務(wù)， 加快出臺(tái)數(shù)據(jù)合規(guī)治理配套法律法規(guī)和安全標(biāo)準(zhǔn)， 設(shè)立分類分級(jí)的數(shù)據(jù)合規(guī)審查和保護(hù)制度， 做到不同類型、 不同環(huán)節(jié)、 不同主體的數(shù)據(jù)都能有法可循， 最終形成科學(xué)完整的數(shù)據(jù)合規(guī)治理制度體系， 引導(dǎo)企業(yè)自身內(nèi)部數(shù)據(jù)合規(guī)治理的合法化和規(guī)范化。

2. 加強(qiáng)數(shù)據(jù)合規(guī)技術(shù)的研發(fā)和人才培養(yǎng)， 制定全面規(guī)范的數(shù)據(jù)合規(guī)治理體系。從數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系的應(yīng)用效果可以看出， 數(shù)據(jù)技術(shù)是數(shù)據(jù)合規(guī)治理的方法基礎(chǔ)以及有效工具， 從用戶個(gè)人數(shù)據(jù)隱私保護(hù)到企業(yè)內(nèi)部數(shù)據(jù)合規(guī)再到國(guó)家重要數(shù)據(jù)資源安全、 從事前防范到事中監(jiān)管再到事后追溯， 都離不開關(guān)鍵技術(shù)的應(yīng)用與突破。因此， 企業(yè)需要加強(qiáng)數(shù)據(jù)流通過程中合規(guī)監(jiān)測(cè)、 保護(hù)、 處理的技術(shù)研發(fā)和升級(jí)， 做到全環(huán)節(jié)、 全模塊覆蓋。同時(shí)， 從數(shù)據(jù)合規(guī)評(píng)估指標(biāo)體系案例評(píng)估結(jié)果可以看出， 人員管理及安全教育一直是數(shù)據(jù)治理中容易忽視的一部分， 但也是極其重要的部分， 合規(guī)治理的系統(tǒng)化需要相關(guān)人員具備專業(yè)的技術(shù)處理與管控能力。因此， 企業(yè)需要加強(qiáng)相關(guān)人才培養(yǎng)， 通過嚴(yán)格的培訓(xùn)、 考核和篩選打造一批優(yōu)秀的數(shù)據(jù)合規(guī)治理團(tuán)隊(duì)， 為企業(yè)內(nèi)部數(shù)據(jù)合規(guī)治理提供人才助力。在技術(shù)革新的基礎(chǔ)上， 企業(yè)管理層需要制定一套數(shù)據(jù)合規(guī)治理的運(yùn)行機(jī)制、 建設(shè)標(biāo)準(zhǔn)和應(yīng)用平臺(tái)， 在統(tǒng)一的數(shù)據(jù)合規(guī)規(guī)范下利用技術(shù)手段實(shí)現(xiàn)各級(jí)各類數(shù)據(jù)資源的連接、 集成和共享， 最終形成有序、 動(dòng)態(tài)、 可持續(xù)發(fā)展的數(shù)據(jù)合規(guī)治理體系。

【 主 要 參 考 文 獻(xiàn) 】

陳兵，胡珍．?dāng)?shù)字經(jīng)濟(jì)下統(tǒng)籌數(shù)據(jù)安全與發(fā)展的法治路徑［ J］．長(zhǎng)白學(xué)刊，2021（5）：84 ～ 93+2．

陳兵．互聯(lián)網(wǎng)新型不正當(dāng)競(jìng)爭(zhēng)行為審裁理路實(shí)證研究［ J］．學(xué)術(shù)論壇，2019（5）：26 ～ 38．

陳向明.扎根理論的思路和方法［ J］．教育研究與實(shí)驗(yàn)，1999（4）：58 ～ 63+73．

費(fèi)方域，閆自信，陳永偉等．?dāng)?shù)字經(jīng)濟(jì)時(shí)代數(shù)據(jù)性質(zhì)、產(chǎn)權(quán)和競(jìng)爭(zhēng)［ J］．財(cái)經(jīng)問題研究，2018（2）：3 ～ 21．

付偉，于長(zhǎng)鉞．?dāng)?shù)據(jù)權(quán)屬國(guó)內(nèi)外研究述評(píng)與發(fā)展動(dòng)態(tài)分析［ J］．現(xiàn)代情報(bào)，2017（7）：159 ～ 165．

姜盼盼．大數(shù)據(jù)時(shí)代讀者個(gè)人信息保護(hù)路徑探討［ J］．圖書館工作與研究，2019（6）：11 ～ 15．

林璐．?dāng)?shù)字化轉(zhuǎn)型背景下電力企業(yè)數(shù)據(jù)合規(guī)營(yíng)銷內(nèi)控體系研究［ J］．價(jià)格理論與實(shí)踐，2023（1）：194 ～ 198．

馬明亮．合規(guī)科技在企業(yè)整改中的價(jià)值與實(shí)現(xiàn)路徑［ J］．蘇州大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2022（4）：60 ～ 70．

馬偉東，武騰飛．?dāng)?shù)字時(shí)代提升電子政務(wù)服務(wù)效能分析［ J］．生產(chǎn)力研究，2023（8）：39 ～ 42．

毛逸瀟．“行檢協(xié)同式”個(gè)人信息合規(guī)行刑銜接激勵(lì)新模式研究［ J］．法學(xué)論壇，2022（6）：63 ～ 75．

盛豪杰．圖書館數(shù)據(jù)合規(guī)：緣起、原理及具體構(gòu)建［ J］．圖書館，2022（7）：1 ～ 9．

唐彬彬．跨境電子數(shù)據(jù)取證規(guī)則的反思與重構(gòu)［ J］．法學(xué)家，2020（4）：156 ～ 170+196．

王炳成，趙靜怡，姜力文．組織在惰性氛圍下如何進(jìn)行商業(yè)模式創(chuàng)新？［ J］．科研管理，2022（10）：127 ～ 135．

王起全．航空企業(yè)基于SHEL模型的神經(jīng)網(wǎng)絡(luò)安全評(píng)價(jià)研究［ J］．中國(guó)安全科學(xué)學(xué)報(bào)，2010（2）：46 ～ 53．

文禹衡，金銘．科學(xué)數(shù)據(jù)中心用戶注冊(cè)協(xié)議的合規(guī)性評(píng)估研究［ J］．圖書情報(bào)知識(shí)，2022（1）：119 ～ 129．

吳繼英，張一凡，熊書明．基于SHEL模型的企業(yè)大數(shù)據(jù)安全評(píng)價(jià)指標(biāo)體系構(gòu)建［ J］．科技管理研究，2021（17）：144 ～ 151．

吳信東，董丙冰，堵新政等．?dāng)?shù)據(jù)治理技術(shù)［ J］．軟件學(xué)報(bào)，2019（9）：2830 ～ 2856．

楊慧妍．國(guó)家安全視域下的數(shù)據(jù)出境合規(guī)體系研究——以國(guó)內(nèi)首例涉案數(shù)據(jù)被鑒定為情報(bào)案為例［ J］．情報(bào)雜志，2023（6）：201 ～ 207．

楊曉琪，白利芳，唐剛．基于DSMM模型的數(shù)據(jù)安全評(píng)估模型研究與設(shè)計(jì)［ J］．信息網(wǎng)絡(luò)安全，2021（9）：90 ～ 95．

趙欣．基層社會(huì)治理數(shù)字化轉(zhuǎn)型的現(xiàn)狀及優(yōu)化策略［ J］．湖南社會(huì)科學(xué)，2022（5）：80 ～ 89．

Brian Lowans， Deborah Kish， Bart Willemsen， et al.. How to use the data security governance framework［ J］． Gartner Research，2018（4）：1．

Chaudhuri S.， Dayal U.， Narasayya V.. An overview of business intelligence technology［ J］． Communications of the ACM，2011（8）：88 ～ 98．

Douglas W. Arner， Jànos Barberis， Ross P. Buckey. FinTech， regtech， and the reconceptyalization of financial regulation［ J］． Northwestern Journal of International Law ＆ Business，2016（37）：371 ～ 388．

Fabrizio Bon Vecchio， DéboraManke Vieira. Compliance programs and artificial intelligence［ J］． Studies in Law： Research Papers，2021（28）：66．

Farboodi M.， Veldkamp L.. A growth model of the data economy［ J］． Social Science Electronic Publishing，2020（4）：27 ～ 35．

Helen Meyer. Tips for safeguarding your digital assets［ J］． Computers amp; Security，1996（7）：576 ～ 588．

Rehman M. H. U.， Chang V.，Batool A.， et al.. Big data reduction framework for value creation in sustainable enterprises［ J］． International Journal of Information Management，2016（6）：917 ～ 928．

Tallon P. P.. Corporate governance of big data： Perspectives on value， risk and cost［ J］． Computer，2013（6）：32 ～ 38．

Tamilarasi K.， Jawahar A.. Retraction note： Medical data security for healthcare applications using hybrid lightweight encryption and swarm optimization algorithm［ J］． Wireless Personal Communications，2022（1）：1865 ～ 1886．

Vojvodic Milomir， Hitz Christian. Governance team leadership and business user participation-Organizational practices for innovative customer engagement in data compliance project［ J］． Central European Business Review，2019（2）：15 ～ 45．

Withers P.. Data compliance：Achieving it all［ J］． International Journal for the Data Protection Officer， Privacy Officer and Privacy Counsel，2019（7）：19．

（責(zé)任編輯·校對(duì)： 陳晶" 喻晨）

DOI：10．19641/j．cnki．42-1290/f．2024．18．017

【基金項(xiàng)目】國(guó)家社會(huì)科學(xué)基金項(xiàng)目“經(jīng)濟(jì)高質(zhì)量發(fā)展情境下區(qū)域知識(shí)資本效能測(cè)度及優(yōu)化路徑”（項(xiàng)目編號(hào)：19AGL033）；江蘇高校優(yōu)勢(shì)學(xué)科

建設(shè)工程項(xiàng)目（項(xiàng)目編號(hào)：PAPD）；江蘇省研究生科研與實(shí)踐創(chuàng)新計(jì)劃項(xiàng)目（項(xiàng)目編號(hào)：SJCX24_1193）