建立健全数据合规体系 促进数据有效流通和使用

方 跃（中欧国际工商学院经济学与决策科学教授）

伴随着数字经济的高速发展，数据安全保护与合规风险也与日俱增，尤其是《数据安全法》和《个人信息保护法》出台后，有关数据安全保护和合规的案件及咨询呈现爆发性增长趋势。在认识和挖掘数据价值的同时，如何一方面提高数据治理水平，另一方面做好企业数字合规与数字价值发现之间的平衡成为数字化生存的难题。具体体现如下：

第一，数据安全和个人信息保护需要合规监管，但不意味着过度约束，否则短期会对数据流动与数据价值发挥造成不必要的阻碍，长期将给社会与企业带来额外的成本和风险，不利于经济可持续发展。

不同监管机构执行的数据私隐法有不同的标准和实施办法，要满足这些法律法规的不同标准，企业需要耗费大量时间和资源，不但增加了营运成本，还难以确保全面遵守。此外，不少企业（尤其是民企）还担心对于公司收集、存储、处理和使用数据的盘查，可能会损害公司的声誉和业务经营。因此，相关主体在数字化转型的过程中会存有防御和排斥心理，久而久之，创新（无论是消费互联网还是工业互联网都是以数据为基础）热情也会随之消减。

第二，地方数据交易所“各自为战”，既没有形成统一市场，也没有实现价值发现功能，未能最大限度发挥数据使用效应，逐渐形成“微生态”。

近年来，广东、北京、上海、浙江、贵州等地方相继成立数据交易所，但各地的数据交易所在数据确权、数据定价、数据交易、数据安全、数据增值协作等方面的监管标准与规范操作存在诸多差异。在数据安全保障等方面，地方数据交易所的不同监管尺度给数据使用方带来不小的困扰，比如有的过分强调数据安全性，令企业增加额外的数据使用成本与数据使用限制；有的又对数据安全性的管理相对宽松，引发企业对数据滥用风险与数据泄露问题的担忧。

针对数据定价，多数地方数据交易所无法给出权威的说法，导致交易双方均认为数据定价缺乏“公允性”。长此以往，数据循环仅限于组织内部的“微生态”，没有真正流通共享，不利于打造社会意义上的大数字生态。

第三，可持续地进行数字化转型仅靠监管走不远，企业对于数据认知的意识和保护责任还不充分。

数据治理是一项庞大又复杂的工程，需要企业高层牵头、中层组织、基础落实，各部门相互配合。目前多数企业的数据治理工作单由一个部门牵头，而其他部门参与度较低。多数企业由于缺少完善的制度管理、数据治理管理流程和管理标准体系，跨系统、跨部门数据治理沟通成本高、协调难度大，面临一系列挑战和风险：

数据收集风险：未经用户同意的情况下，企业APP、小程序和网站等违规收集数据，在用户拒绝收集后反复弹窗骚扰多次要求收集，或者不给用户明确的拒绝选项强行收集。数据存储风险：内部人员窃取以及系统安全中的数据库软件漏洞均容易带来存储风险。数据使用风险：网购平台、在线旅游、网约车等通过搜集用户个人资料、消费习惯、流量轨迹等行为信息，向用户推荐产品、服务，最终形成相应定价。这类大数据“杀熟”和算法推荐等数据滥用行为已引起社会普遍反感，对企业造成不良影响。数据提供风险：此类风险威胁主要来自于不合规的提供和共享。数据公开风险：很多数据在未经过严格保密审查、未进行泄密隐患风险评估，或者未意识到数据情报价值或涉及公民隐私的情况下被随意发布。

基于上述问题，从国家、社会和企业层面建立健全的数据合规体系，降低数据风险，促进数据有效流通和使用是数字经济发展的大势所趋，也是企业实现可持续发展的安全保障。具体可从如下方面推进：

第一，法律法规应当遵循动态原则和包容审慎的精神，在合法权益保障的前提下，便利数据流动和数据价值发挥。

数据合规的本质是希望企业和社会充分发挥数据价值，促进中国数字经济发展。

首先，应对数据监管可以二分法的原则来处理：一方面做到将有明显个人烙印的信息进行严监管，另一方面对其他信息做到宽监管，督促市场形成一个自律组织，强化市场淘汰机制。

其次，明确规制举措的范围和限度，在安全管理和数据开发利用之间做好平衡，才能提升企业数字化转型的技能、意愿、信心，达到能转、会转、敢转的目的。

最后，对数据合规和个人信息保护中的细节不宜跟风国外，需要随着经济发展进程、地区发展不平衡和行业发展的不同阶段进行调整，绝对不能“一刀切”。

第二，从国家层面需尽快建立数据资产估值体系的标准，充分发挥数据交易所数据价值发现的作用。

交易所的数据交易目前尚不存在统一定价规范，地方要求亦有所不同。除上海、贵阳对定价要求有明确规定外，其他一般由交易双方自由议价。数据资产的价值，需结合特定应用场景、获取的难易程度、时效性和未来预期的收益等多重因素进行评估。数据交易所可以呈现一些数据交易实例，推动市场提升对数据价值的认知，也可以推动各领域、各行业更加重视和挖掘数据价值，以及数据价值的变现。

第三，在数据治理方面需社会监督、政府监管、企业自律三方合力，提高数据合规和个人信息保护的意识和力度。

数据合规保护是底线要求。数据合规不仅仅是被动地满足规范和监管的合规要求，企业更应把数据安全视为自己不可推卸的责任、企业文化的重要组成部分，以及可持续成长的战略重点之一，甚至可以在企业管理者中开设相应课程，将数据治理作为一项长期的任务推进。

第四，政府加大扶植力度，并充分发挥龙头企业、机构、行业协会的示范效应和引领作用。

比如，成立专业的国家层面的统一数据中心。以医疗行业为例，目前各个医院自建数据库，数据无法流通，合规也面临挑战，无法发挥价值，应该建立国家统一的公民医疗信息数据库来解决上述问题。

鼓励具有示范效应的企业率先探索对数据的开发与流通应用。如光大银行就将银行数据资产分为原始类、过程类和应用类，共17个估值对象，结合111个计算参数，计算出目前的数据资产价值超过千亿元，对行业有一定示范意义。

充分发挥行业协会的作用，利用好平台，鼓励创造更多交流机会，开放宣传更多数据共享的案例。鼓励国内顶尖律师事务所积极参与，推动数据合规监管法律体系的完善。