基于新時代環(huán)境的數(shù)據(jù)合規(guī)科技風(fēng)險規(guī)制與法理研究

合規(guī)通常指代企業(yè)合規(guī)，即企業(yè)及內(nèi)部員工的經(jīng)營管理行為需要符合相關(guān)規(guī)章，不僅需要符合國際、國內(nèi)法律條文，也不可違背行業(yè)準(zhǔn)則、商業(yè)慣例等。倘若企業(yè)及人員存在不合規(guī)的行為，不但可能損害企業(yè)良好聲譽及形象，還可能造成需承擔(dān)法律處罰等嚴(yán)重后果，此類后果則是合規(guī)所要避免的風(fēng)險。21世紀(jì)屬于網(wǎng)絡(luò)時代，黨的十九屆四中全會提出在處于大數(shù)據(jù)及信息密集的時代，如何結(jié)合科技方式維護企業(yè)利益，保護國家數(shù)據(jù)安全，都是重要的時代課題，值得深思及探究[1]。當(dāng)前學(xué)術(shù)界相關(guān)研究多集中于公司法合規(guī)、行政法合規(guī)等方面，對于數(shù)據(jù)合規(guī)的研究較少，且不太深入。一、數(shù)據(jù)合規(guī)及其意義概述提及個人數(shù)據(jù)，可聯(lián)想個人信息、個人隱私等，大數(shù)據(jù)時代下數(shù)據(jù)治理問題重要性越發(fā)凸顯。清華大學(xué)法學(xué)院程嘯教授指出：“數(shù)據(jù)是信息的形式，信息是數(shù)據(jù)的內(nèi)容”?！稊?shù)據(jù)安全法》指出“數(shù)據(jù)指任何以電子或非電子形式對信息的記錄”。在各大企業(yè)中，數(shù)據(jù)包括個人、非個人兩層面，前者指代員工或是客戶的數(shù)據(jù)，后者則指代企業(yè)的經(jīng)營記錄、日常管理記錄、財會記錄等。當(dāng)前我國數(shù)據(jù)合規(guī)領(lǐng)域中所遵循的規(guī)定不斷增多，且分工更為細致，出臺了《電子商務(wù)法》《網(wǎng)絡(luò)安全法》等法律法規(guī)。一是維護數(shù)據(jù)安全，保護個人尊嚴(yán)[2]；二是該管理工作屬于各種信息密集行業(yè)的重點任務(wù)，是確保企業(yè)平穩(wěn)發(fā)展增加效益的基礎(chǔ)條件；三是個人數(shù)據(jù)和公共社會間密切聯(lián)系，通過科學(xué)利用數(shù)據(jù)能促進社會進步；其四，對于國家而言，個人數(shù)據(jù)安全其實也屬于國家安全的部分，通過數(shù)據(jù)合規(guī)旨在保障社會公共利益，保護法人權(quán)益，保護國家安全并促進經(jīng)濟社會健康發(fā)展。二、數(shù)據(jù)合規(guī)科技提出背景及概念數(shù)據(jù)早已成為新型生產(chǎn)要素，且其重要性也得到全球范圍關(guān)注。無論是傳統(tǒng)企業(yè)進行升級優(yōu)化，抑或是企業(yè)打造新發(fā)展態(tài)勢，都需要以“數(shù)據(jù)”為基本條件。《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標(biāo)綱要》提出“統(tǒng)籌數(shù)據(jù)開發(fā)利用”“推進數(shù)據(jù)跨部門”，都突出了“數(shù)據(jù)驅(qū)動生產(chǎn)”的主體內(nèi)涵。數(shù)據(jù)作為重要資源被各企業(yè)、公共部門深度開發(fā)研究，雖提升了數(shù)據(jù)的利用價值，但伴隨而來的風(fēng)險卻不斷增多。諸如大規(guī)模的數(shù)據(jù)泄露事件頻頻出現(xiàn)，例如“美國營銷巨頭RRD承認在Conti勒索軟件攻擊中數(shù)據(jù)被盜”“國際機場公司Swissport遭受BlackCat勒索攻擊，TB級用戶數(shù)據(jù)泄露”“全球最大輪胎制造商之一普利司通遭數(shù)據(jù)泄露”“世界電子郵件營銷巨頭MailChimp遭黑客攻擊”。諸多此類的事件在全球范圍不斷發(fā)生，而以云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)為代表的信息網(wǎng)絡(luò)日漸普及，數(shù)據(jù)安全問題開始受到更多關(guān)注[3]。我國開始推行諸如《電子商務(wù)法》《數(shù)據(jù)安全法》等法律法規(guī)，以滿足社會公眾的訴求。在激發(fā)數(shù)據(jù)潛能和保護隱私雙重需求下，“數(shù)據(jù)合規(guī)科技”應(yīng)運而生，主要以隱私計算、軟件即服務(wù)（SaaS）工具為代表。隱私計算技術(shù)包括：一是多方安全計算。此技術(shù)能夠解決信息不對稱等問題；二是聯(lián)邦學(xué)習(xí)技術(shù)。無需交換私有數(shù)據(jù)能協(xié)同訓(xùn)練機器模型；三是可信執(zhí)行環(huán)境。該技術(shù)的價值主要是提供一個安全、可靠、封閉的存儲空間。而在SaaS工具中，主要采取的技術(shù)則是低代碼、零代碼，不僅能夠有效降低軟件開發(fā)的門檻，還能實現(xiàn)其快速開發(fā)。數(shù)據(jù)合規(guī)科技的應(yīng)用前景廣闊，但也延伸出諸多問題，存在許多潛在風(fēng)險。三、數(shù)據(jù)合規(guī)科技常見風(fēng)險問題及規(guī)制數(shù)據(jù)合規(guī)科技源于歐美“通過設(shè)計保護隱私”理念。設(shè)計初時便融合“數(shù)據(jù)安全保護”相關(guān)技術(shù)，未雨綢繆，而并非發(fā)生問題后再采取法律處理措施[4]。但當(dāng)前數(shù)據(jù)合規(guī)科技面臨技術(shù)受限、復(fù)雜性高等不足，導(dǎo)致存在不同風(fēng)險問題。（一）方案構(gòu)建風(fēng)險方案構(gòu)建是數(shù)據(jù)合規(guī)的起點，通過處理抽象數(shù)據(jù)，將其轉(zhuǎn)變?yōu)橛嬎銌栴}。處理時不僅不降低廣告跟蹤性能，而且要確保調(diào)取用戶數(shù)據(jù)的安全性、合規(guī)性，那么就需要采取多方計算后利用技術(shù)范式處理數(shù)據(jù)，實現(xiàn)重構(gòu)。主導(dǎo)方提出重新構(gòu)建方案后，其余人員確認無誤后協(xié)調(diào)合作。在此過程中，首先，主導(dǎo)者的價值觀念、主觀偏見等都可能影響到方案構(gòu)建的決策，導(dǎo)致失誤；其次，由于添加了限制條件，導(dǎo)致編寫代碼和技術(shù)開發(fā)考慮因素多，不能完全保障轉(zhuǎn)譯后方案準(zhǔn)確性。上述情況，都是數(shù)據(jù)合規(guī)科技的方案構(gòu)建存在的風(fēng)險。（二）數(shù)據(jù)整合風(fēng)險數(shù)據(jù)合規(guī)科技中風(fēng)險嵌入也是常見情況，數(shù)據(jù)合規(guī)科技雖然能拓寬原有的數(shù)據(jù)模型，但數(shù)據(jù)渠道本身也可能是風(fēng)險的根源。數(shù)據(jù)整合出現(xiàn)風(fēng)險的原因有三點：一是當(dāng)前許多數(shù)據(jù)的來源都是通過互聯(lián)網(wǎng)等渠道，其根源難以追溯，形式多樣化，因而判定其是否合規(guī)、合法有很大難度；二是如今正處于大數(shù)據(jù)共享背景，數(shù)據(jù)信息的傳遞變得復(fù)雜，涉及的細節(jié)較多，因此其使用邊界也更難明確。而如何通過簡單操作來調(diào)動數(shù)據(jù)庫資源，減少數(shù)據(jù)轉(zhuǎn)換操作也是當(dāng)前的迫切需求[5]；三是若某一方出現(xiàn)數(shù)據(jù)風(fēng)險問題，也可能導(dǎo)致“連帶風(fēng)險”發(fā)生。當(dāng)前數(shù)據(jù)合規(guī)科技在相互滲透的行業(yè)間進行，受成本限制各行業(yè)安全保護措施越發(fā)相似，暴露出一定的數(shù)據(jù)整合缺陷。（三）技術(shù)適用風(fēng)險數(shù)據(jù)合規(guī)科技存在“白盒特性”，白盒即白盒測試（white-boxtesting），是種測試用例設(shè)計方法，它指盒子是可視化，能了解程序內(nèi)部的邏輯結(jié)構(gòu)，簡言之，是清楚盒子內(nèi)部如何運作[6]。同理，數(shù)據(jù)合規(guī)科技存在此特性，因而參與此過程中的各方都能掌握到相關(guān)數(shù)據(jù)的參數(shù)，而惡意攻擊者甚至能利用該特性進行偽裝，偷竊數(shù)據(jù)信息的運算結(jié)果，抑或是生成惡意代碼。數(shù)據(jù)合規(guī)科技長期要面臨著單點故障、人為攻擊等隱患，關(guān)于此類隱患的危害可總結(jié)成三點：一是刻意上傳破壞模型；二是通過多種合法手段（如對比運算結(jié)果差異、分析模型更新迭代等）來獲取信息；三是惡意攻擊。持有純粹惡意的攻擊方會借用對抗式網(wǎng)絡(luò)攻擊、物理推擊等方式來盜竊用戶數(shù)據(jù)信息。（四）結(jié)果輸出風(fēng)險正如上文所述，數(shù)據(jù)合規(guī)管理的意義深遠，不僅與個人隱私保護相關(guān)，還與社會發(fā)展國家機密保護等有所聯(lián)系。簡言之，個人信息不僅關(guān)乎某人的利益，和他人利益、整個社會的利益均有關(guān)，具備社會性、公共性的特征。所謂的“算法歧視”指人工智能自動化決策中數(shù)據(jù)分析導(dǎo)致的不公正對待，此問題對于受害群體和社會都有不利影響。若存在數(shù)據(jù)運算模型不精確、數(shù)據(jù)運算存在瑕疵，抑或是用戶的隱私被泄露，都可能導(dǎo)致此問題從對個體的不良影響，升級到對整個群體的負面影響。在數(shù)據(jù)合規(guī)科技中不同數(shù)據(jù)來源若發(fā)生錯誤搭配、混淆，很可能對整體數(shù)據(jù)正確性造成影響，放大了歧視規(guī)模并輸出了當(dāng)前的歧視結(jié)果。而如何減少“算法歧視”“歧視輸出結(jié)果”，也是當(dāng)前數(shù)據(jù)合規(guī)科技中需考慮的重點。（五）應(yīng)用市場風(fēng)險數(shù)據(jù)合規(guī)科技下智能應(yīng)用將各受眾限制在分隔領(lǐng)域，彼此間缺乏溝通及協(xié)作，算法間形成“朝上競爭”。隨著經(jīng)濟水平發(fā)展及技術(shù)黑箱的掩蔽之下，傳統(tǒng)的保守型智能應(yīng)用卻可能面臨“逆向淘汰”風(fēng)險，取而代之的反而是對數(shù)據(jù)規(guī)整性要求不嚴(yán)格、通信成本不高的應(yīng)用，且算法競爭也朝轉(zhuǎn)變成“逐底競爭”。所謂“逆向淘汰”，也稱作是精英淘汰，以學(xué)術(shù)界、政治界為例，部分德才兼?zhèn)涞木⒈惶蕴?、被打壓。如何減少智能應(yīng)用“逆向淘汰”是數(shù)據(jù)合規(guī)科技規(guī)制面臨的難題。四、針對數(shù)據(jù)合規(guī)科技常見風(fēng)險的法理對策以上所存在的不同維度風(fēng)險，均促使相關(guān)技術(shù)人員采取有層次的規(guī)制措施，由于當(dāng)前的機制大多存在功能單一、內(nèi)容復(fù)雜等特點，很難針對性地對上述數(shù)據(jù)合規(guī)科技風(fēng)險進行回應(yīng)處理，需構(gòu)建出更系統(tǒng)化、法治化的規(guī)制體系。（一）明確數(shù)據(jù)合規(guī)科技規(guī)制原理傳統(tǒng)法律規(guī)制中，對于不同局限間的設(shè)置并非完全獨立，而數(shù)據(jù)合規(guī)科技又存在“去中心化”（decentralization）特征。在區(qū)塊鏈領(lǐng)域有關(guān)研究指出：去中心化網(wǎng)絡(luò)模型越發(fā)清晰，成為未來發(fā)展重要趨勢[7]?；诖藯l件，以往所采取的基于邊界概念的安全防護體系不再適用。若此時法律未能及時跟隨其發(fā)展腳步來創(chuàng)新，易形成難以控制的灰色空間。在法律規(guī)則的演進下，能夠采取更合理高效的行動，保護用戶隱私下追求數(shù)據(jù)潛能激發(fā)，形成良性互動，讓技術(shù)規(guī)范嵌入法律政策中，確保將“技術(shù)標(biāo)準(zhǔn)的遵守”和“法律義務(wù)的履行”所融合。（二）針對既有機制實施強化完善關(guān)于數(shù)據(jù)合規(guī)科技所存在的風(fēng)險，要適當(dāng)對現(xiàn)有的規(guī)制進行延伸和完善，建議從以下幾方面切入：一是動態(tài)知情同意框架。從實際情況來看，該框架的設(shè)置雖然存在許多不足，但仍然在數(shù)據(jù)合規(guī)科技全新業(yè)態(tài)中發(fā)揮出重要作用，應(yīng)根據(jù)其業(yè)務(wù)的更新實施調(diào)整。例如數(shù)據(jù)處理動態(tài)化管理，或是分析數(shù)據(jù)的節(jié)點狀態(tài)等方面后采取針對性變動；二是嚴(yán)格實施轉(zhuǎn)委托原則。結(jié)合《個人信息保護法》等法律法規(guī)可知，處理數(shù)據(jù)時必須要提前獲得數(shù)據(jù)主體的同意，而后再將其交由委托方處理，多方達成合意方可進行。反之，解除委托關(guān)系后，委托方應(yīng)當(dāng)刪除相關(guān)數(shù)據(jù)信息；三是正當(dāng)程序的權(quán)利保障。自然人均享有正當(dāng)程序權(quán)利，例如針對不公平自動化決策的數(shù)據(jù)主體，可實現(xiàn)公平聆訊。同時，數(shù)據(jù)流轉(zhuǎn)也要滿足個人信息轉(zhuǎn)移權(quán)。（三）實現(xiàn)多元化機制的合理分工一是要制定標(biāo)準(zhǔn)的宏觀行業(yè)規(guī)則。當(dāng)前正處于數(shù)字化技術(shù)大力發(fā)展階段，且逐步融合到不同領(lǐng)域中。諸如金融、醫(yī)療、保險等行業(yè)，也都開始朝著數(shù)據(jù)處理的方向發(fā)展，統(tǒng)一行業(yè)標(biāo)準(zhǔn)后可進行數(shù)據(jù)合規(guī)科技試點，實現(xiàn)以點帶面，逐步形成示范并推廣[8]；二是開發(fā)行為的微觀倫理規(guī)范。數(shù)據(jù)合規(guī)科技實施應(yīng)滿足“倫理先行”原則，不可在法律體系灰色地帶謀取利益。作為數(shù)據(jù)合規(guī)科技的主導(dǎo)方，還需凈化相關(guān)環(huán)境，優(yōu)化更新數(shù)據(jù)模型。（四）衡量整體風(fēng)險規(guī)制方案價值除了上述的規(guī)制補充、多元化機制構(gòu)建外，數(shù)據(jù)合規(guī)科技規(guī)制體系穩(wěn)定，還取決于正確價值考量。從本質(zhì)上分析，數(shù)據(jù)合規(guī)科技是運用技術(shù)后的利益與法益間的價值平衡。關(guān)于風(fēng)險規(guī)制方案的價值評定，可從兩個方面分析，分別是“帕累托效率”“卡爾多—?？怂剐省?。由于個人數(shù)據(jù)具備人格權(quán)益屬性，遭受侵害后并不直接和個人的經(jīng)濟利益損失相關(guān)，且難以通過事后的補救來挽回，因此有關(guān)學(xué)者認為可排除“卡爾多—?？怂剐省?，可將“帕累托效率”看作是評定數(shù)據(jù)合規(guī)科技風(fēng)險規(guī)制方案的標(biāo)桿。無論具備怎樣的技術(shù)，獲取利益都不可凌駕于人格權(quán)益上。（五）科學(xué)制定規(guī)制聯(lián)合管理方案數(shù)據(jù)合規(guī)科技的規(guī)制，應(yīng)當(dāng)制定出更全面化、系統(tǒng)化的保障體系。結(jié)合上述內(nèi)容分析，以下總結(jié)出該體系的具體內(nèi)容：一是明確數(shù)據(jù)合規(guī)科技規(guī)制的內(nèi)容，包括了四方面，風(fēng)險規(guī)制、對象規(guī)制、場景規(guī)制、價值規(guī)制；二是風(fēng)險規(guī)制則是針對上述內(nèi)容，從方案構(gòu)建、數(shù)據(jù)整合、技術(shù)適用、結(jié)果輸出、應(yīng)用市場來分析；三是對象編制包括三大層面，分別是監(jiān)管層、行業(yè)層、個體層，分別采取對應(yīng)規(guī)制措施；四是關(guān)于場景規(guī)制包括：低強度（單次審核）、中強度（定期審核）、高強度（不定期審核）三種。低強度的場景有語音識別、內(nèi)容推送、路線規(guī)劃、信息過濾等；中強度規(guī)制場景有自動駕駛、聯(lián)合統(tǒng)計、智慧金融、行為分析等；高強度規(guī)制場景有智慧醫(yī)療、風(fēng)險防控；警務(wù)預(yù)測等等。五、結(jié)語當(dāng)前數(shù)據(jù)成為驅(qū)動