SCI论文(www.lunwensci.com)
摘要:数据合规指企业及员工在数据收集、存储、处理等应符合国际及国内有关法律规章和规 范,此外还需符合行业准则、社会道德等诸多层面的要求。当前正处于数据合规起步阶段,从立法 的高度抑或执法强度分析,证实数据合规受到广泛关注。在此背景下,诸如隐私计算技术、软件即 服务( SaaS )平台等开始进入社会大众视野。文章结合实际,从数据合规这一概念切入,介绍数据 合规科技提出背景及概念,重点阐述数据合规科技的风险规制及法理对策, 旨在为有关从业者提 供可靠依据。
关键词:数据合规科技,风险,规制,法理
合规通常指代企业合规,即企业及内部员工 的经营管理行为需要符合相关规章,不仅需要符 合国际、国内法律条文,也不可违背行业准则、 商业惯例等。倘若企业及人员存在不合规的行 为,不但可能损害企业良好声誉及形象,还可能 造成需承担法律处罚等严重后果,此类后果则是 合规所要避免的风险。21 世纪属于网络时代,党 的十九届四中全会提出在处于大数据及信息密集 的时代,如何结合科技方式维护企业利益,保护国 家数据安全,都是重要的时代课题,值得深思及 探究 [1] 。当前学术界相关研究多集中于公司法合 规、行政法合规等方面,对于数据合规的研究较 少,且不太深入。
一、数据合规及其意义概述
提及个人数据,可联想个人信息、个人隐私等, 大数据时代下数据治理问题重要性越发凸显。清华 大学法学院程啸教授指出:“数据是信息的形式 , 信息是数据的内容”。《数据安全法》指出“数据指 任何以电子或非电子形式对信息的记录”。在各大 企业中,数据包括个人、非个人两层面,前者指代 员工或是客户的数据,后者则指代企业的经营记 录、日常管理记录、财会记录等。当前我国数据合规 领域中所遵循的规定不断增多,且分工更为细致 , 出台了《电子商务法》《网络安全法》等法律法规。一 是维护数据安全,保护个人尊严[2];二是该管理工 作属于各种信息密集行业的重点任务,是确保企业 平稳发展增加效益的基础条件;三是个人数据和公 共社会间密切联系,通过科学利用数据能促进社会进步;其四,对于国家而言,个人数据安全其实也属 于国家安全的部分,通过数据合规旨在保障社会公 共利益,保护法人权益,保护国家安全并促进经济 社会健康发展。
二、数据合规科技提出背景及概念
数据早已成为新型生产要素,且其重要性也 得到全球范围关注。无论是传统企业进行升级优 化,抑或是企业打造新发展态势,都需要以“数 据 ”为基本条件。《中华人民共和国国民经济和社 会发展第十四个五年规划和 2035 年远景目标纲要 》 提出“统筹数据开发利用 ”“推进数据跨部门”, 都突出了“数据驱动生产 ”的主体内涵。数据作为 重要资源被各企业、公共部门深度开发研究,虽 提升了数据的利用价值,但伴随而来的风险却不 断增多。诸如大规模的数据泄露事件频频出现, 例如“美国营销巨头 RRD 承认在 Conti 勒索软件 攻击中数据被盗 ”“ 国际机场公司 Swissport 遭受 BlackCat 勒索攻击,TB 级用户数据泄露 ”“全球 最大轮胎制造商之一普利司通遭数据泄露 ”“世 界电子邮件营销巨头 MailChimp 遭黑客攻击”。 诸多此类的事件在全球范围不断发生,而以云计 算、大数据、移动互联网为代表的信息网络日渐 普及,数据安全问题开始受到更多关注 [3] 。我国 开始推行诸如《 电子商务法》《数据安全法 》等 法律法规,以满足社会公众的诉求。在激发数据 潜能和保护隐私双重需求下,“ 数据合规科技 ”应 运而生,主要以隐私计算、软件即服务 (SaaS) 工 具为代表。隐私计算技术包括:一是多方安全计算。此技术能够解决信息不对称等问题;二是联邦 学习技术。无需交换私有数据能协同训练机器模 型;三是可信执行环境。该技术的价值主要是提供 一个安全、可靠、封闭的存储空间。而在 SaaS 工 具中,主要采取的技术则是低代码、零代码,不仅 能够有效降低软件开发的门槛,还能实现其快速 开发。数据合规科技的应用前景广阔,但也延伸 出诸多问题,存在许多潜在风险。
三、数据合规科技常见风险问题及规制
数据合规科技源于欧美“通过设计保护隐私 ” 理念。设计初时便融合“数据安全保护 ”相关技 术,未雨绸缪,而并非发生问题后再采取法律处理 措施 [4] 。但当前数据合规科技面临技术受限、复 杂性高等不足,导致存在不同风险问题。
( 一 ) 方案构建风险
方案构建是数据合规的起点,通过处理抽象 数据,将其转变为计算问题。处理时不仅不降低 广告跟踪性能,而且要确保调取用户数据的安全 性、合规性,那么就需要采取多方计算后利用技术 范式处理数据,实现重构。主导方提出重新构建 方案后,其余人员确认无误后协调合作。在此过 程中,首先,主导者的价值观念、主观偏见等都可 能影响到方案构建的决策,导致失误;其次,由于 添加了限制条件,导致编写代码和技术开发考虑 因素多,不能完全保障转译后方案准确性。上述情 况,都是数据合规科技的方案构建存在的风险。
( 二 ) 数据整合风险
数据合规科技中风险嵌入也是常见情况,数据 合规科技虽然能拓宽原有的数据模型,但数据渠 道本身也可能是风险的根源。数据整合出现风险 的原因有三点:一是当前许多数据的来源都是通 过互联网等渠道,其根源难以追溯,形式多样化, 因而判定其是否合规、合法有很大难度;二是如今 正处于大数据共享背景,数据信息的传递变得复 杂,涉及的细节较多,因此其使用边界也更难明 确。而如何通过简单操作来调动数据库资源,减少 数据转换操作也是当前的迫切需求 [5];三是若某 一方出现数据风险问题,也可能导致“连带风险 ” 发生。当前数据合规科技在相互渗透的行业间进 行,受成本限制各行业安全保护措施越发相似,暴 露出一定的数据整合缺陷。
( 三 ) 技术适用风险
数据合规科技存在“ 白盒特性”, 白盒即白盒 测试 (white-box testing), 是种测试用例设计方法, 它指盒子是可视化,能了解程序内部的逻辑结构, 简言之,是清楚盒子内部如何运作 [6] 。同理,数据 合规科技存在此特性,因而参与此过程中的各方 都能掌握到相关数据的参数,而恶意攻击者甚至能利用该特性进行伪装,偷窃数据信息的运算结 果,抑或是生成恶意代码。数据合规科技长期要面 临着单点故障、人为攻击等隐患,关于此类隐患的 危害可总结成三点:一是刻意上传破坏模型;二是 通过多种合法手段 (如对比运算结果差异、分析 模型更新迭代等 ) 来获取信息;三是恶意攻击。持 有纯粹恶意的攻击方会借用对抗式网络攻击、物 理推击等方式来盗窃用户数据信息。
( 四 ) 结果输出风险
正如上文所述,数据合规管理的意义深远,不 仅与个人隐私保护相关,还与社会发展国家机密 保护等有所联系。简言之,个人信息不仅关乎某人 的利益,和他人利益、整个社会的利益均有关,具 备社会性、公共性的特征。所谓的“算法歧视 ”指 人工智能自动化决策中数据分析导致的不公正对 待,此问题对于受害群体和社会都有不利影响。若 存在数据运算模型不精确、数据运算存在瑕疵, 抑或是用户的隐私被泄露,都可能导致此问题从 对个体的不良影响,升级到对整个群体的负面影 响。在数据合规科技中不同数据来源若发生错误 搭配、混淆,很可能对整体数据正确性造成影响, 放大了歧视规模并输出了当前的歧视结果。而如 何减少“算法歧视 ”“歧视输出结果”, 也是当前 数据合规科技中需考虑的重点。
( 五 ) 应用市场风险
数据合规科技下智能应用将各受众限制在分 隔领域,彼此间缺乏沟通及协作,算法间形成“朝 上竞争 ”。随着经济水平发展及技术黑箱的掩蔽之 下,传统的保守型智能应用却可能面临“逆向淘 汰 ”风险,取而代之的反而是对数据规整性要求 不严格、通信成本不高的应用,且算法竞争也朝转 变成“逐底竞争”。 所谓“逆向淘汰”, 也称作是 精英淘汰,以学术界、政治界为例,部分德才兼备 的精英被淘汰、被打压。如何减少智能应用“逆 向淘汰 ”是数据合规科技规制面临的难题。
四、针对数据合规科技常见风险的法理对策
以上所存在的不同维度风险,均促使相关技 术人员采取有层次的规制措施,由于当前的机制 大多存在功能单一、内容复杂等特点,很难针对性 地对上述数据合规科技风险进行回应处理,需构 建出更系统化、法治化的规制体系。
( 一 ) 明确数据合规科技规制原理
传统法律规制中,对于不同局限间的设置并 非完全独立,而数据合规科技又存在“去中心化 ” (decentralization) 特征。在区块链领域有关研究指 出:去中心化网络模型越发清晰,成为未来发展重 要趋势 [7] 。基于此条件,以往所采取的基于边界 概念的安全防护体系不再适用。若此时法律未能及时跟随其发展脚步来创新,易形成难以控制的 灰色空间。在法律规则的演进下,能够采取更合 理高效的行动,保护用户隐私下追求数据潜能激 发,形成良性互动,让技术规范嵌入法律政策中, 确保将“技术标准的遵守 ”和“法律义务的履行 ” 所融合。
( 二 ) 针对既有机制实施强化完善
关于数据合规科技所存在的风险,要适当对 现有的规制进行延伸和完善,建议从以下几方面 切入:一是动态知情同意框架。从实际情况来看, 该框架的设置虽然存在许多不足,但仍然在数据 合规科技全新业态中发挥出重要作用,应根据其 业务的更新实施调整。例如数据处理动态化管理, 或是分析数据的节点状态等方面后采取针对性变 动;二是严格实施转委托原则。结合《个人信息保 护法 》等法律法规可知,处理数据时必须要提前 获得数据主体的同意,而后再将其交由委托方处 理,多方达成合意方可进行。反之,解除委托关系 后,委托方应当删除相关数据信息;三是正当程序 的权利保障。自然人均享有正当程序权利,例如针 对不公平自动化决策的数据主体,可实现公平聆 讯。同时,数据流转也要满足个人信息转移权。
( 三 ) 实现多元化机制的合理分工
一是要制定标准的宏观行业规则。当前正处 于数字化技术大力发展阶段,且逐步融合到不同 领域中。诸如金融、医疗、保险等行业,也都开始 朝着数据处理的方向发展,统一行业标准后可进 行数据合规科技试点,实现以点带面,逐步形成 示范并推广 [8];二是开发行为的微观伦理规范。 数据合规科技实施应满足“伦理先行 ”原则,不 可在法律体系灰色地带谋取利益。作为数据合规 科技的主导方,还需净化相关环境,优化更新数据 模型。
( 四 ) 衡量整体风险规制方案价值
除了上述的规制补充、多元化机制构建外, 数据合规科技规制体系稳定,还取决于正确价值 考量。从本质上分析,数据合规科技是运用技术后 的利益与法益间的价值平衡。关于风险规制方案 的价值评定,可从两个方面分析,分别是“帕累托 效率 ”“卡尔多 — 希克斯效率 ”。 由于个人数据 具备人格权益属性,遭受侵害后并不直接和个人 的经济利益损失相关,且难以通过事后的补救来 挽回,因此有关学者认为可排除“卡尔多 — 希克 斯效率 ”,可将“帕累托效率 ”看作是评定数据合 规科技风险规制方案的标杆。无论具备怎样的技 术,获取利益都不可凌驾于人格权益上。
( 五 ) 科学制定规制联合管理方案
数据合规科技的规制,应当制定出更全面 化、系统化的保障体系。结合上述内容分析,以下 总结出该体系的具体内容:一是明确数据合规科 技规制的内容,包括了四方面,风险规制、对象规 制、场景规制、价值规制;二是风险规制则是针对 上述内容,从方案构建、数据整合、技术适用、结 果输出、应用市场来分析;三是对象编制包括三 大层面,分别是监管层、行业层、个体层,分别采 取对应规制措施;四是关于场景规制包括:低强度 (单次审核)、 中强度 (定期审核)、 高强度 (不 定期审核 ) 三种。低强度的场景有语音识别、内 容推送、路线规划、信息过滤等;中强度规制场景 有自动驾驶、联合统计、智慧金融、行为分析等; 高强度规制场景有智慧医疗、风险防控;警务预测 等等。
五 、结语
当前数据成为驱动各国家经济社会发展关键 要素,其具备的战略价值越发明显,但海量数据 所带来的安全隐患、威胁和挑战也不断增多。欧盟 《 通用数据保护条例》, 我国的《 数据安全法 》等 陆续出台,也促使数据合规网络逐步蔓延开来。 此次研究指出,数据合规科技中常见的风险问题 较多,涵盖方案构建、数据整合、技术适用等多个 方面,针对上述风险问题可采取以下几项应对措 施,分别是明确数据合规科技规制原理、针对既 有机制实施强化完善、实现多元化机制的合理分 工、衡量整体风险规制方案价值、科学制定规制联 合管理方案。
参考文献
[1] 山成英,赵大伟.合规科技在私募股权投资管理中的应用研究[J].金融发展评论,2022(4):37-48.
[2] 石菲.亚马逊云科技:安全合规是最高优先级[J].中国信息化,2022(4):26.
[3] 胥爱欢,赵俊豪,杨思睿.国外金融科技发展与监管的实践经验及若干启示[J].海南金融,2022(4): 50-57.
[4] 赵大伟.监管科技研究的几个基本理论问题[J].河北金融,2022(1):5-10.
[5] 唐林垚.数据合规科技的风险规制及法理构建[J].东方法学,2022(1):79-93.
[6] 郭 增辉.合规科技在 反 洗钱领域 的 应 用 与 发 展 —— 来自香港的实践[J].清华金融评论,2021 (12):96-98.
[7] 金泽芬.对监管科技解决金融业合规困境的思考[J].金融科技时代,2021.29(9):79-83.
[8] 陈福中,潘兴琦,刘若愚.《数据安全法》对金融科技企业数据合规的五点影响[J].中国律师,2021 (7):83-85.
关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网!
文章出自SCI论文网转载请注明出处:https://www.lunwensci.com/falvlunwen/58254.html
