基于新时代环境的数据合规科技风险规制与法理研究

罗 翔

广东乾敬律师事务所，广东 广州 510623

合规通常指代企业合规，即企业及内部员工的经营管理行为需要符合相关规章，不仅需要符合国际、国内法律条文，也不可违背行业准则、商业惯例等。倘若企业及人员存在不合规的行为，不但可能损害企业良好声誉及形象，还可能造成需承担法律处罚等严重后果，此类后果则是合规所要避免的风险。21 世纪属于网络时代，党的十九届四中全会提出在处于大数据及信息密集的时代，如何结合科技方式维护企业利益，保护国家数据安全，都是重要的时代课题，值得深思及探究[1]。当前学术界相关研究多集中于公司法合规、行政法合规等方面，对于数据合规的研究较少，且不太深入。

一、数据合规及其意义概述

提及个人数据，可联想个人信息、个人隐私等，大数据时代下数据治理问题重要性越发凸显。清华大学法学院程啸教授指出：“数据是信息的形式，信息是数据的内容”。《数据安全法》指出“数据指任何以电子或非电子形式对信息的记录”。在各大企业中，数据包括个人、非个人两层面，前者指代员工或是客户的数据，后者则指代企业的经营记录、日常管理记录、财会记录等。当前我国数据合规领域中所遵循的规定不断增多，且分工更为细致，出台了《电子商务法》《网络安全法》等法律法规。一是维护数据安全，保护个人尊严[2]；二是该管理工作属于各种信息密集行业的重点任务，是确保企业平稳发展增加效益的基础条件；三是个人数据和公共社会间密切联系，通过科学利用数据能促进社会进步；其四，对于国家而言，个人数据安全其实也属于国家安全的部分，通过数据合规旨在保障社会公共利益，保护法人权益，保护国家安全并促进经济社会健康发展。

二、数据合规科技提出背景及概念

数据早已成为新型生产要素，且其重要性也得到全球范围关注。无论是传统企业进行升级优化，抑或是企业打造新发展态势，都需要以“数据”为基本条件。《中华人民共和国国民经济和社会发展第十四个五年规划和2035 年远景目标纲要》提出“统筹数据开发利用”“推进数据跨部门”，都突出了“数据驱动生产”的主体内涵。数据作为重要资源被各企业、公共部门深度开发研究，虽提升了数据的利用价值，但伴随而来的风险却不断增多。诸如大规模的数据泄露事件频频出现，例如“美国营销巨头RRD 承认在Conti 勒索软件攻击中数据被盗”“国际机场公司Swissport 遭受BlackCat 勒索攻击，TB 级用户数据泄露”“全球最大轮胎制造商之一普利司通遭数据泄露”“世界电子邮件营销巨头MailChimp 遭黑客攻击”。诸多此类的事件在全球范围不断发生，而以云计算、大数据、移动互联网为代表的信息网络日渐普及，数据安全问题开始受到更多关注[3]。我国开始推行诸如《电子商务法》《数据安全法》等法律法规，以满足社会公众的诉求。在激发数据潜能和保护隐私双重需求下，“数据合规科技”应运而生，主要以隐私计算、软件即服务（SaaS）工具为代表。隐私计算技术包括：一是多方安全计算。此技术能够解决信息不对称等问题；二是联邦学习技术。无需交换私有数据能协同训练机器模型；三是可信执行环境。该技术的价值主要是提供一个安全、可靠、封闭的存储空间。而在SaaS 工具中，主要采取的技术则是低代码、零代码，不仅能够有效降低软件开发的门槛，还能实现其快速开发。数据合规科技的应用前景广阔，但也延伸出诸多问题，存在许多潜在风险。

三、数据合规科技常见风险问题及规制

数据合规科技源于欧美“通过设计保护隐私”理念。设计初时便融合“数据安全保护”相关技术，未雨绸缪，而并非发生问题后再采取法律处理措施[4]。但当前数据合规科技面临技术受限、复杂性高等不足，导致存在不同风险问题。

（一）方案构建风险

方案构建是数据合规的起点，通过处理抽象数据，将其转变为计算问题。处理时不仅不降低广告跟踪性能，而且要确保调取用户数据的安全性、合规性，那么就需要采取多方计算后利用技术范式处理数据，实现重构。主导方提出重新构建方案后，其余人员确认无误后协调合作。在此过程中，首先，主导者的价值观念、主观偏见等都可能影响到方案构建的决策，导致失误；其次，由于添加了限制条件，导致编写代码和技术开发考虑因素多，不能完全保障转译后方案准确性。上述情况，都是数据合规科技的方案构建存在的风险。

（二）数据整合风险

数据合规科技中风险嵌入也是常见情况，数据合规科技虽然能拓宽原有的数据模型，但数据渠道本身也可能是风险的根源。数据整合出现风险的原因有三点：一是当前许多数据的来源都是通过互联网等渠道，其根源难以追溯，形式多样化，因而判定其是否合规、合法有很大难度；二是如今正处于大数据共享背景，数据信息的传递变得复杂，涉及的细节较多，因此其使用边界也更难明确。而如何通过简单操作来调动数据库资源，减少数据转换操作也是当前的迫切需求[5]；三是若某一方出现数据风险问题，也可能导致“连带风险”发生。当前数据合规科技在相互渗透的行业间进行，受成本限制各行业安全保护措施越发相似，暴露出一定的数据整合缺陷。

（三）技术适用风险

数据合规科技存在“白盒特性”，白盒即白盒测试（white-box testing），是种测试用例设计方法，它指盒子是可视化，能了解程序内部的逻辑结构，简言之，是清楚盒子内部如何运作[6]。同理，数据合规科技存在此特性，因而参与此过程中的各方都能掌握到相关数据的参数，而恶意攻击者甚至能利用该特性进行伪装，偷窃数据信息的运算结果，抑或是生成恶意代码。数据合规科技长期要面临着单点故障、人为攻击等隐患，关于此类隐患的危害可总结成三点：一是刻意上传破坏模型；二是通过多种合法手段（如对比运算结果差异、分析模型更新迭代等）来获取信息；三是恶意攻击。持有纯粹恶意的攻击方会借用对抗式网络攻击、物理推击等方式来盗窃用户数据信息。

（四）结果输出风险

正如上文所述，数据合规管理的意义深远，不仅与个人隐私保护相关，还与社会发展国家机密保护等有所联系。简言之，个人信息不仅关乎某人的利益，和他人利益、整个社会的利益均有关，具备社会性、公共性的特征。所谓的“算法歧视”指人工智能自动化决策中数据分析导致的不公正对待，此问题对于受害群体和社会都有不利影响。若存在数据运算模型不精确、数据运算存在瑕疵，抑或是用户的隐私被泄露，都可能导致此问题从对个体的不良影响，升级到对整个群体的负面影响。在数据合规科技中不同数据来源若发生错误搭配、混淆，很可能对整体数据正确性造成影响，放大了歧视规模并输出了当前的歧视结果。而如何减少“算法歧视”“歧视输出结果”，也是当前数据合规科技中需考虑的重点。

（五）应用市场风险

数据合规科技下智能应用将各受众限制在分隔领域，彼此间缺乏沟通及协作，算法间形成“朝上竞争”。随着经济水平发展及技术黑箱的掩蔽之下，传统的保守型智能应用却可能面临“逆向淘汰”风险，取而代之的反而是对数据规整性要求不严格、通信成本不高的应用，且算法竞争也朝转变成“逐底竞争”。所谓“逆向淘汰”，也称作是精英淘汰，以学术界、政治界为例，部分德才兼备的精英被淘汰、被打压。如何减少智能应用“逆向淘汰”是数据合规科技规制面临的难题。

四、针对数据合规科技常见风险的法理对策

以上所存在的不同维度风险，均促使相关技术人员采取有层次的规制措施，由于当前的机制大多存在功能单一、内容复杂等特点，很难针对性地对上述数据合规科技风险进行回应处理，需构建出更系统化、法治化的规制体系。

（一）明确数据合规科技规制原理

传统法律规制中，对于不同局限间的设置并非完全独立，而数据合规科技又存在“去中心化”（decentralization）特征。在区块链领域有关研究指出：去中心化网络模型越发清晰，成为未来发展重要趋势[7]。基于此条件，以往所采取的基于边界概念的安全防护体系不再适用。若此时法律未能及时跟随其发展脚步来创新，易形成难以控制的灰色空间。在法律规则的演进下，能够采取更合理高效的行动，保护用户隐私下追求数据潜能激发，形成良性互动，让技术规范嵌入法律政策中，确保将“技术标准的遵守”和“法律义务的履行”所融合。

（二）针对既有机制实施强化完善

关于数据合规科技所存在的风险，要适当对现有的规制进行延伸和完善，建议从以下几方面切入：一是动态知情同意框架。从实际情况来看，该框架的设置虽然存在许多不足，但仍然在数据合规科技全新业态中发挥出重要作用，应根据其业务的更新实施调整。例如数据处理动态化管理，或是分析数据的节点状态等方面后采取针对性变动；二是严格实施转委托原则。结合《个人信息保护法》等法律法规可知，处理数据时必须要提前获得数据主体的同意，而后再将其交由委托方处理，多方达成合意方可进行。反之，解除委托关系后，委托方应当删除相关数据信息；三是正当程序的权利保障。自然人均享有正当程序权利，例如针对不公平自动化决策的数据主体，可实现公平聆讯。同时，数据流转也要满足个人信息转移权。

（三）实现多元化机制的合理分工

一是要制定标准的宏观行业规则。当前正处于数字化技术大力发展阶段，且逐步融合到不同领域中。诸如金融、医疗、保险等行业，也都开始朝着数据处理的方向发展，统一行业标准后可进行数据合规科技试点，实现以点带面，逐步形成示范并推广[8]；二是开发行为的微观伦理规范。数据合规科技实施应满足“伦理先行”原则，不可在法律体系灰色地带谋取利益。作为数据合规科技的主导方，还需净化相关环境，优化更新数据模型。

（四）衡量整体风险规制方案价值

除了上述的规制补充、多元化机制构建外，数据合规科技规制体系稳定，还取决于正确价值考量。从本质上分析，数据合规科技是运用技术后的利益与法益间的价值平衡。关于风险规制方案的价值评定，可从两个方面分析，分别是“帕累托效率”“卡尔多—希克斯效率”。由于个人数据具备人格权益属性，遭受侵害后并不直接和个人的经济利益损失相关，且难以通过事后的补救来挽回，因此有关学者认为可排除“卡尔多—希克斯效率”，可将“帕累托效率”看作是评定数据合规科技风险规制方案的标杆。无论具备怎样的技术，获取利益都不可凌驾于人格权益上。

（五）科学制定规制联合管理方案

数据合规科技的规制，应当制定出更全面化、系统化的保障体系。结合上述内容分析，以下总结出该体系的具体内容：一是明确数据合规科技规制的内容，包括了四方面，风险规制、对象规制、场景规制、价值规制；二是风险规制则是针对上述内容，从方案构建、数据整合、技术适用、结果输出、应用市场来分析；三是对象编制包括三大层面，分别是监管层、行业层、个体层，分别采取对应规制措施；四是关于场景规制包括：低强度（单次审核）、中强度（定期审核）、高强度（不定期审核）三种。低强度的场景有语音识别、内容推送、路线规划、信息过滤等；中强度规制场景有自动驾驶、联合统计、智慧金融、行为分析等；高强度规制场景有智慧医疗、风险防控；警务预测等等。

五、结语

当前数据成为驱动各国家经济社会发展关键要素，其具备的战略价值越发明显，但海量数据所带来的安全隐患、威胁和挑战也不断增多。欧盟《通用数据保护条例》，我国的《数据安全法》等陆续出台，也促使数据合规网络逐步蔓延开来。此次研究指出，数据合规科技中常见的风险问题较多，涵盖方案构建、数据整合、技术适用等多个方面，针对上述风险问题可采取以下几项应对措施，分别是明确数据合规科技规制原理、针对既有机制实施强化完善、实现多元化机制的合理分工、衡量整体风险规制方案价值、科学制定规制联合管理方案。