万字解析：个体律师对数据合规从入门到放弃的理性告别

数据合规业务的发展并非一蹴而就，而是伴随数字经济的脉动，经历了从萌芽到爆发，再到商业需求与合规成本动态平衡的多个阶段。

在2017年前后，全球数据合规意识开始初步萌生，主要受欧盟《通用数据保护条例》（GDPR）和中国台湾地区《个人资料保护法》等法规的推动。此时，企业对数据合规的认知尚处于初步阶段，更多是被动地响应外部合规要求，将其视为一种外部压力而非内在需求。

随着数据业务的快速发展，尤其是在大型互联网企业中，数据合规不再停留在表面。合规律师被要求“比顾问律师更进一步，了解企业经营中的明规则、潜规则，再提出合规建议确保法律规范”。这标志着合规工作开始深入到商业模式和技术细节中，传统的、仅限于法律文本解读的合规咨询已无法满足企业需求。

此时数据合规工作已从单纯的法律风险规避，转向了与企业核心业务深度融合的实践性工作。合规专业人士不再仅仅是法律条文的传达者，而必须成为业务的“赋能者”，能够理解数据流转的商业逻辑和技术实现路径，从而提供切实可行且能融入业务流程的合规解决方案。

实务需要迫使合规人才具备跨学科（法律、商业、技术）的综合能力，并预示着未来数据合规服务的更高门槛和更广阔空间，合规不再是“事后补救”，而是“事前设计”和“全程管理”。第一批数据保护官（DPO）等专业角色也应运而生，体现了对合规专业化和实践性的需求。

在一些大型互联网企业合规体系初步建立后，法务部门可能一度面临存在感较弱的“冷板凳期”，认为合规工作只需维持。

然而，数字经济的本质是快速迭代和创新，市场业务模式如短视频、MCN、直播、电商的飞速创新，以及开源技术的广泛应用，不断催生新的数据使用场景和合规挑战。这种动态平衡的现象，反映了合规需求与业务创新速度之间的动态张力。

企业在完成初步合规体系建设后，可能会放松警惕或削减投入，认为合规已是“完成时”。然而，新的业务模式和技术应用如海量数据采集、处理和变现会迅速突破现有合规框架，产生新的风险。

这种“冷板凳期”往往是短暂的，很快就会被新一轮的合规需求打破，迫使企业再次投入大量资源。这形成了一种“合规建设-稳定-创新突破-新合规需求”的周期性循环。企业应认识到数据合规是一个持续演进的过程，需要保持持续的投入和敏锐的洞察力，将合规能力视为一种动态的、与业务发展同步的战略资产，而非一次性项目。

2020年成为数据合规业务的爆发元年，标志性事件如“大数据杀熟”引发广泛关注，以及“滴滴事件”的重磅罚单，极大提升了全社会对数据合规的重视程度。

滴滴事件中，国家网信办对滴滴处以人民币80.26亿元罚款，对滴滴董事长兼CEO程维、总裁柳青各处人民币100万元罚款。经查实，滴滴存在违法收集用户手机相册截图信息、过度收集用户剪切板信息、应用列表信息、人脸识别信息、年龄段信息、职业信息、亲情关系信息、家和公司打车地址信息等行为。

此外，滴滴还存在未明确告知乘客出行意图分析、常驻城市信息分析、异地商务/旅游信息分析，以及频繁索取无关的“电话权限”等问题。更严重的是，滴滴公司存在严重影响国家安全的数据处理活动，给国家关键信息基础设施安全和数据安全带来严重风险隐患。

该事件不仅暴露了企业在数据合规方面的深层问题，更直接推动了中国《网络安全法》、《数据安全法》、《个人信息保护法》“三驾马车”的加速完善，堪称中国数据合规立法的关键催化剂。

同时，它们也迅速提高了公众和企业的合规意识，将数据合规从一个相对小众的法律领域推向了企业运营的焦点，从而引爆了市场对合规服务的巨大需求，使其成为一个“风口”行业。在此阶段，数据合规项目数量激增，陆续出现了“开源合规第一案”、“爬虫撤案第一案”等典型案例。

市场对专业合规团队的需求变得迫切，监管执法和公众舆论，尤其是通过重大事件的曝光，是推动数据合规行业成熟和规范化的重要外部力量。企业必须从这些案例中汲取教训，将合规视为不可逾越的红线。

随着数据合规服务的供给增加与市场竞争加剧，服务价格面临下行压力出现“选择太多价格太低”的现象。同时，新的政策法规密集出台，合规要求日益细化和严格，对服务提供商的专业能力提出了更高要求。

例如，中国在2022年出台了《数据出境安全评估办法》，2023年出台了《个人信息出境标准合同办法》等配套制度。此外，欧盟《数据法案》中关于数据共享义务、透明性义务、数据访问义务等新要求，美国加州数据泄露通知制度中对违规企业的集体诉讼和高额罚款规定。

导致合规服务提供商面临“内卷”和“外压”的双重挑战。一方面，市场竞争导致利润空间受挤压；另一方面，法规的频繁更新和日益复杂性要求服务商必须持续投入学习和提升专业能力。

这迫使合规服务向更专业化、精细化、高附加值的方向发展，组建团队时不仅需要法律人才支撑更需要引入专业工程师提供技术支持以应对同质化竞争。数据合规行业正在经历一个洗牌和专业化的过程，只有那些能够提供深度专业知识、高效解决方案和持续创新服务的团队才能在竞争中脱颖而出。

在经历上述阶段后，数据合规的未来发展路径逐渐清晰：它将是“法律+技术”深度融合的产物，合规专业人士不仅精通法律，更要理解技术实现和商业逻辑，单纯的法律知识已不足以应对复杂的数据合规挑战。

随着大数据、人工智能、物联网等技术在商业中的深度应用，数据处理的复杂性呈指数级增长。合规不再是简单的“法律审查”，而是需要将法律要求内嵌到技术架构和业务流程中（Privacy by Design, Security by Design）。

这要求合规专业人士能够与技术团队无缝协作，理解数据流、系统架构和算法逻辑，从而设计出既符合法律规定又具备可操作性的合规方案。这一趋势将推动法律服务行业向技术化、产品化转型，催生更多跨学科的复合型人才，并促进合规科技的发展。

“出海”成为中国企业的重要趋势，因此涉外数据合规能力将成为核心竞争力。数据合规已成为企业的“刚需”，企业为此付费的意愿和能力也在增强。

数据跨境流动监管是全球数字经济时代面临的共同难题，各国政府在制定规则时需平衡多重考量。

隐私与安全。这是最核心的考量，旨在保护个人数据不被滥用、泄露或非法访问。

国家安全。数据可能包含敏感的国家安全信息，因此各国政府会对此进行严格审查，以防范潜在的国家安全威胁。

例如，上海某医院与牛津大学研究者合作研究基因数据并将成果发表在《Nature》杂志，后被定性为数据出境不合规而受到刑事处罚，这凸显了国家安全考量在医疗数据等敏感领域的重要性。

数据流动的经济赋能优势。数据流动能够促进经济发展和创新，例如麦肯锡研究报告显示，数据流动每增加10%，GDP就会增加0.2%，各国在监管的同时也需要权衡如何最大化数据流动的经济效益。

国际经贸规则的话语权争夺。中国、美国、欧盟等主要经济体都在积极制定数据法规，其底层目的之一是争夺国际经贸规则在数据领域的制定权和话语权。

这种趋势意味着，数据合规已不再仅仅是企业避免罚款的内部事务，而是国家间数据主权争夺的具象化体现。

因此，提供全球数据合规服务，需要律师不仅了解各国法律，更要对国际关系、地缘政治和经济学有深刻理解，这无疑大大增加了其复杂性，超越了传统法律服务的范畴。

欧盟在数据跨境流动监管方面采取了独特的模式，其核心价值取向是将个人数据权确立为基本人权，因此隐私保护及数据安全优先于数据跨境自由流动。

在监管模式上，欧盟采取“外部严格、内部宽松”的跨境数据流动模式，即对欧盟内部数据流动相对宽松，但对流向欧盟以外国家的数据则采取严格的“充分保护”标准。

具体要求包括《个人数据保护指令》以“充分保护”为实质标准，数据出境要求呈现阶梯式，如通过“充分保护认定”（欧盟委员会对某些国家或地区数据保护水平的认定）、“隐私保护协议”（如标准合同条款SCC）或“约束性公司规则”（BCR）等机制。

美国在数据跨境流动监管方面则持截然不同的立场，其核心价值取向是主张数据跨境自由流动，反对数据存储本地化，是全球数据的主要输入地。其监管模式总体上是市场主导、监管分散，没有统一的框架，而是以监管嵌入方式进行调控。

然而，在个别领域，特别是国家安全和执法方面，美国具有较强的“长臂管辖”倾向。例如，通过《外国投资风险审查现代化法案》（FIRRMA）与美国外国投资委员会（CFIUS）介入数据交易审查，进行国家安全围堵。

此外，《云法案》（CLOUD Act）则实现了“数据治外法权”，用于执法获取机制，允许美国执法部门直接向美国科技公司索取存储在海外服务器上的数据。

美国与欧盟之间也一直在尝试重建跨境合法性机制，如“欧美数据隐私框架”（EU-U.S. Data Privacy Framework, DPF）。尽管该框架已于2023年7月17日获得欧盟委员会的充分性认定，但欧洲议会仍对其是否充分保护欧盟公民免受美国大规模监控表示“实质性怀疑”，并有非政府组织宣布将再次向欧洲法院提出挑战。

这种反复的失效（如之前的Privacy Shield和Safe Harbor）和持续的质疑，本质上是美欧在数据治理底层价值观上的根本性分歧。

欧盟强调个人基本人权，而美国强调自由流动和国家安全。这种深层矛盾无法通过简单的协议完全弥合，导致企业在跨大西洋数据传输上面临巨大的法律不确定性和合规成本。这不仅仅是技术性的法律问题，更是地缘政治和意识形态在数据领域的具象化博弈。

对于跨国企业而言，这意味着需要为数据传输机制的持续变化做好准备，并可能需要采取更保守的策略，如加强数据本地化部署或寻求更具弹性的合规方案，以应对这种由地缘政治驱动的合规风险。

中国在数据跨境流动监管方面，则采取了反对数据无序自由流动，坚持维护国家数据安全的立场。在数据流动上具有明显“中文数据自给自足，英文数据需求较低”的趋势，并要求外企进入中国市场时坚持数据存储本地化。其监管模式以国家安全为底线，以制度规制为路径，以技术审慎为前提，确保数据流动可溯可控。

现行的《网络安全法》、《数据安全法》和《个人信息保护法》三位一体对数据流动进行监管。其中，《个人信息保护法》第38条规定了个人信息出境的多种条件，包括：通过国家网信部门组织的安全评估；获得专业机构的个人信息保护认证；与境外接收方签订标准合同（该合同由国家网信办统一制定）；或符合法律、法规或网信办规定的其他条件。

配套制度包括2022年网信办出台的《数据出境安全评估办法》和2023年网信办出台的《个人信息出境标准合同办法》。此外，《数据安全法》为“重要数据”的出境提供了分类管理的法律基础，强调政府应建立重要数据的分类分级制度，并出台配套的出境管理办法。目前已在部分行业如工业、金融、交通等开展试点监管。

由此可见中国在数据主权和国家安全考量下，采取了一种“有序开放”的策略。通过强制数据本地化和严格的出境评估机制，确保了对关键数据的控制权，同时仍为外资企业提供了进入中国市场的可能性。

这是一种在维护国家利益和促进数字经济发展之间寻求平衡的务实路径。对于希望进入或留在中国市场的外企而言，这要求其必须深度理解并适应中国的监管逻辑，投入资源进行本地化部署和合规改造。这种模式可能成为未来其他新兴市场在数据治理方面的参考，即如何在确保国家安全和数据主权的前提下，仍能参与全球数字经济。

大语言模型（LLM）等人工智能技术的发展，在带来巨大机遇的同时，也引发了前所未有的数据合规风险。这些风险主要来源于两方面：训练数据侵权（输入侵权）和生成内容侵权（输出侵权）。

大语言模型在训练过程中需要海量数据，这些数据可能包含大量受著作权保护的文本、图片等内容。未经著作权人授权而直接用于模型训练，可能构成侵权。有意思的是曾有律师同行联名禁止大模型使用他们起草的法律文书作为训练数据，这直接指向了训练数据可能侵犯著作权的问题。同时，“合理使用”（Fair Use）原则在AI训练中的适用性仍存在巨大争议。

大模型的数据获取往往依赖网络爬虫技术，未经授权的爬取行为可能违反网站的服务条款，甚至触犯商标法或不正当竞争法。

在欧盟，对数据爬取采取严格限制态度，明确规定未经同意的爬取是绝对禁止的。

在美国，没有专门的爬虫法律，主要依赖法院判例。例如，“领英案”中法院认为公开数据不能单方面禁止爬取，为数据获取提供了一定空间。

在中国，在“微博诉脉脉案”中，法院判决认为数据爬取需要“平台+用户”的双重授权，这一判例为后续引申出的“三重授权”概念奠定了基础。这意味着在中国，数据获取的合法性要求更为精细和严格。

此外，训练数据中可能包含大量个人信息甚至敏感个人信息。如果模型在训练过程中未经授权收集、处理这些信息，或者在模型输出中无意间泄露这些信息，将构成对个人隐私权的侵犯。

数据的匿名化和去标识化处理在实践中也面临巨大挑战。在数据收集、存储和训练过程中，如果安全措施不到位，可能导致训练数据泄露，引发法律责任和声誉损害。

模型生成的内容可能与现有受著作权保护的作品高度相似，甚至构成对原作的实质性复制或改编，从而侵犯著作权人的复制权、改编权等。

模型也可能生成包含虚假、诽谤性言论的内容，损害个人或组织的声誉；或生成包含未经授权的个人肖像或隐私信息的内容。

如果模型通过非法或不道德的手段获取训练数据，并利用这些数据生成内容，从而在市场竞争中获得不当优势，可能构成不正当竞争。

除了法律风险，大语言模型还伴随着显著的伦理和社会风险。如果训练数据本身存在偏见，模型在生成内容时可能会放大这些偏见，导致歧视性输出。模型生成的高度逼真的虚假信息如假新闻或深度伪造（Deepfake）内容，可能对社会稳定和个人信任造成严重冲击。

当前面临的突出问题是法律的滞后性——立法跟不上技术更新，法律法规诞生时可能已过时。这使得在规制大语言模型等新兴技术时，现有法律框架显得力不从心，亟需创新性的法律和政策应对。

这种滞后性导致监管者面临两难：过度严格的规制可能扼杀技术创新和产业发展，而放任自流则可能引发严重的法律、伦理和社会问题。

对于企业而言，这意味着在缺乏明确法律指引的“灰色地带”运营，需要超越最低法律要求，进行更深层次的伦理考量和风险管理。大模型“输入侵权”和“输出侵权”的特性，要求合规必须贯穿AI系统的整个生命周期，从数据源头到最终应用。

这不仅仅是法律审查，更是将法律要求内嵌到技术系统中的工程实践。对于个体律师而言，这意味着面对AI系统数据合规单纯的法律知识已远不足以应对，必须具备跨学科的综合能力。

在数据合规的实践中，企业面临着诸多具体而复杂的挑战，这些挑战不仅关乎法律条文的理解，更涉及商业模式的重塑和技术路径的选择。

随着全球数据监管日益严格，数据处罚可能会演变为中国企业在海外市场被“变相征税”的手段，间接增加运营成本，甚至成为贸易保护或市场竞争的工具。

客观而言数据合规在国际经济和地缘政治竞争中被“武器化”的趋势越来越明显。罚款不再仅仅是惩戒违规行为，而是东道国政府对外国（尤其是中国）企业施加经济压力、设置市场壁垒的一种手段，类似于贸易保护主义。

这反映了数据主权争端的深化，即国家对本国境内数据的控制权与国家经济和安全利益紧密相连。因此，数据合规将成为中国企业“出海”过程中一个关键的“卡脖子”因素，若无法满足目标市场要求，可能面临业务受阻、市场准入困难甚至被禁止运营的风险。

对于“出海”的中国企业而言，数据合规不再仅仅是法律部门的职责，而是一个需要高层战略考量和跨部门协同应对的复杂挑战。企业需要构建更具韧性的全球合规体系，并可能需要政府层面的外交和贸易支持，以应对这种伪装成合规执法的地缘政治风险。

在跨境贸易数据合规需求得到普遍重视的当下，中国企业在海外聘请数据合规律师时却面临诸多困境。一方面，当地律师可能对中国业务模式理解不足，导致效率低下且立场可能偏向当地监管机构。另一方面，海外华人律师大多专注于移民业务，缺乏数据合规专长。

被吐槽最多的就是部分香港律师在提供服务过程中表现出的“高高在上”态度，对创新型业务模式优先提出“中国企业总是喜欢钻法律空子”的质疑而非因地制宜的提供合规指导与法律支持，这种先入为主的偏见与认知差异渐渐将香港律师挤出跨境数据合规业务的舞台。

拥有众多用户的平台方，往往认为其获得的用户数据是公司的财产。但事实上数据权属问题尚处于“混沌状态”，没有明确的定论。这意味着在法律上对于数据的所有权、使用权、收益权等仍存在模糊地带极易引发争议，阻碍数据要素的流通和价值实现。

这种模糊性是构建成熟数据要素市场的根本性障碍。如果数据的“所有者”不明确，如何进行数据的交易、估值、许可、质押，乃至将数据纳入企业资产负债表？

这不仅导致平台与用户之间、以及不同数据使用者之间的纠纷，也使得数据作为新型生产要素的价值难以被充分释放和有效流转，这种“混沌状态”是数字经济发展的深层瓶颈。

解决数据权属问题需要法律、经济和技术层面的共同努力，需要探索超越传统物权或知识产权概念的新型数据权益框架，例如数据使用权、收益权的分层设计，以及多方参与的利益共享机制。

爬虫技术有多种方式，其中常见有三种：模仿用户的爬虫、解析URL（域名解析）和镜像加域名解析，这些方式的共同点是均未直接侵害系统本身，尚不构成破换计算机系统。

在中国数据爬取行为的合规性，强调“双重授权”的重要性——用户作为数据来源，企业实质上需要获得用户的授权。

“双重授权”概念源于中国“微博诉脉脉案”。在该案中，法院判决认为数据的使用不仅需要数据平台（如微博）的授权，还需要数据主体（用户）的授权，奠定了“平台+用户”双重授权的基础。随着数字经济发展，数据权属复杂性增加，以及中国对数据安全和个人信息保护的日益重视，促使了更严格的授权要求。

“双重授权”的提出，旨在构建更全面的数据利用合法性基础，强化对个人信息的保护。它确保了个人数据在被爬取和利用时，不仅要符合平台的规定，更要尊重数据主体的意愿，并可能需要满足其他法律法规或监管机构的要求。这有助于规范数据市场秩序，减少因数据滥用引发的不正当竞争和法律纠纷，从而平衡数据平台、数据用户以及其他相关方的利益。

在“双重授权”的基础上引申出了“三重授权”，即除了平台和用户还需要数据来源方、数据处理方或监管机构的授权。与欧盟对未经同意爬取的一刀切禁止，以及美国相对宽松的判例法模式不同，中国“三重授权”体现了在平台经济背景下，对数据权益复杂性的深刻理解。

它试图在数据利用效率与个人信息保护、公平竞争之间找到一个更精细的平衡点，是中国司法实践在数据权属模糊状态下的一种创新性探索。这一模式可能为其他面临类似数据权益挑战的司法管辖区提供借鉴，即如何通过多层次的授权机制，在保障数据主体权益的同时，促进数据的合法合规利用。

将数据资产纳入企业财务报表，是解决数据权属问题路径的一种探索。中国在推动数据资产化方面走在前列。2024年1月1日，《企业数据资源相关会计处理暂行规定》正式施行，标志着数据资源可作为资产在企业的会计和财务报告中确认、计量、报告和披露。

此外，中国资产评估协会制定的《数据资产评估指导意见》也已于2023年10月1日起施行，为数据资产的评估和入表提供了指引。

尽管政策先行，但目前企业对此仍缺乏信心，政策也尚不明朗。一方面，数据资产入表往往被市场解读为企业经营困难的信号，可能导致投资人丧失信心；另一方面，数据交易并不强制在交易所进行，有价值的数据通常不会在交易所进行交易，数据资产的价值评估和交易机制尚不成熟。

现有需求主要来自国央企、数据交易中介和数据工具企业。2024年第一季度，完成数据资产入表的A股上市公司以市值500亿元以下的企业和国企/城投集团下属子公司为主，这表明目前主要受政策驱动而非普遍市场需求。

这种政策与市场信心之间的反差，反映了在数据权属模糊、价值评估标准不成熟、以及市场对数据资产入表存在负面解读等多重挑战。国央企作为主要实践者，其动力更多来源于政策要求而非纯粹的市场效益。

要真正激活数据要素市场，不仅需要完善的法律和会计框架，更需要建立透明的交易机制、权威的估值体系，以切实可行的标准来扭转市场观念。

一旦数据资产入表大范围获得成功将是中国数字经济发展的重要里程碑，但就现状而言其推广和普及仍需时间，并有赖于解决深层次的制度和市场障碍，形成更多可复制的成功案例，从而引导更广泛的私营企业参与。

大多数使用者明知开源软件在商业使用时通常需要付费，但在早期研发时为了快速迭代和降低成本而选择性忽视了这一点，等产品规模化或商业化成熟后再回过头来补票。

要么替换掉原有的开源软件，要么获得相应的授权，但无论哪种选择都会伴随着复杂的数据迁移并产生工作产生高昂的代价，本质上是将“技术债务”转化为了“合规债务”。

如果在产品设计和开发初期就融入“合规设计”（Compliance by Design）原则，将合规性视为与功能性同等重要的考量因素，足以避免大部分潜在的知识产权法律纠纷以节省大量运营成本。

公共数据作为一种特殊的数据资源，兼具“公共性”和“财产性”，同时具备“社会治理”和“经济生产”的双重功能。这意味着公共数据不仅是政府提升治理能力、提供公共服务的基础，也是驱动数字经济发展、创造新价值的重要生产要素。

目前世界范围内普遍缺乏成体系的数据法规来规范公共数据开放利用。中国正经历从“政府信息公开”向“公共数据开放”的价值取向转变，以期进一步释放数据生产要素价值，但目前尚无专门的公共数据开放基础法律。

虽然一些地方法规如《上海市公共数据开放暂行办法（2019）》和《深圳经济特区数据条例（2022）》已出台，但这些法规在实践中的可行性不足被认为是“空架子”。

“空架子”原因并非仅仅是法律制度缺位，更面临数据供出能力欠缺、应用场景挖掘不足、收益分配机制不明、数据安全压力等深层次的现实问题。

政府部门缺乏共享数据的内在动力——共享会增加责任、带来成本，但因此产生的收益和权属却不明确，数据权属的“混沌状态”是将公共数据从行政副产品转化为真正可流通、可变现的经济资产所面临的根本性障碍。

要激活公共数据价值，需要超越简单的立法，进行全面的制度改革明确数据权益，并建立公平、透明的激励和收益分配机制。公共数据开放的成功，不仅取决于技术平台和法律规定，更取决于政府内部的协作意愿、数据治理能力以及市场化运营机制的健全。

这需要多方协同，包括政策制定者、数据持有者、技术服务商和数据使用者，共同构建一个可持续的生态系统。

本公众号文章仅代表个人观点，

并不代表任何律师事务所或律师出具的任何形式的法律意见或建议。

转载请注明来源，

欢迎评论区交流讨论。