李玉華 馮泳琦

一、問題的提出

在大數(shù)據(jù)時代，如通訊錄、人臉、指紋等個人數(shù)據(jù)面臨著被過度收集和不法利用等風(fēng)險，在使用智能軟件時，人們常被要求提供與軟件功能無關(guān)的信息，允許智能軟件獲取通訊錄、地理位置等信息幾乎是前提條件，個人隱私等合法權(quán)益很可能在不知不覺中受到侵犯。根據(jù)工業(yè)和信息化部的調(diào)查整治行動結(jié)果，截至2021年4月7日，共發(fā)現(xiàn)有819款應(yīng)用軟件存在違規(guī)收集、使用個人信息等侵犯用戶權(quán)益行為。2021年“央視3·15晚會”提到了多個企業(yè)存在通過人臉識別技術(shù)自動抓取用戶信息行為，某科技公司推出具有人臉識別功能的攝像頭，在多個店鋪門店安裝后，未經(jīng)用戶許可抓取人臉數(shù)據(jù)，對用戶的性別、年齡甚至心情等進行分析。(1)岳品瑜、廖蒙：《央視315晚會曝光監(jiān)控自動抓取人臉數(shù)據(jù)，萬店掌等機構(gòu)被點名》，https://finance.ifeng.com/c/84djKpDrrjo?ivk_sa=1023197a，2021年3月31日訪問。除此之外，個人數(shù)據(jù)被泄露的事件層出不窮。例如，2020年8月，我國某快遞公司的員工通過出租員工系統(tǒng)賬號導(dǎo)出客戶個人數(shù)據(jù)并賣到全國及東南亞等電信詐騙高發(fā)區(qū)，超過40萬條個人信息被泄露，涉案金額120余萬元。(2)李大偉：《圓通多位“內(nèi)鬼”有償租借員工賬號，40萬條公民個人信息被泄露》，https:/www.bjnews.com.cn/detail/160552366415807.html，2021年2月7日訪問。知名的國際酒店萬豪酒店集團因泄露超過3億名賓客的個人數(shù)據(jù)而被英國數(shù)據(jù)保護監(jiān)管機構(gòu)處以9900萬英鎊的罰款。(3)See Wang Wei，Marriott Faces MYM123 Million GDPR Fine Over Starwood Data Breach，https://thehackernews.com/2019/07/marriott-data-breach-gdpr.html。面對日益嚴(yán)峻的個人數(shù)據(jù)保護問題，個人數(shù)據(jù)保護的呼聲日益高漲，迫切需要企業(yè)開展數(shù)據(jù)合規(guī)建設(shè)，通過企業(yè)的合規(guī)經(jīng)營改善目前存在的數(shù)據(jù)保護方面的問題。

根據(jù)中國信息通信研究院的最新統(tǒng)計，2019年，我國的數(shù)字經(jīng)濟增加值規(guī)模達到了5.2億美元，增速位于全球第一，高達15.6%，(4)中國信息通信研究院:《全球數(shù)字經(jīng)濟新圖景(2020年)》，http://www.caict.ac.cn/kxyj/qwfb/bps/202010/P020201014373499777701.pdf，2021年3月20日訪問。數(shù)字經(jīng)濟成為推動經(jīng)濟高質(zhì)量發(fā)展的重要驅(qū)動力。在經(jīng)濟貿(mào)易全球化和互聯(lián)網(wǎng)等信息技術(shù)實現(xiàn)全球互聯(lián)的國際背景下，數(shù)據(jù)跨境流動是大勢所趨，支撐著商品、服務(wù)等全球化貿(mào)易活動的進行，據(jù)調(diào)查預(yù)估，2025年數(shù)據(jù)跨境流動對全球經(jīng)濟增長的價值貢獻有望突破11萬美元。數(shù)據(jù)跨境流動成為許多企業(yè)開展業(yè)務(wù)必不可少的環(huán)節(jié)，企業(yè)借助便捷迅速的數(shù)據(jù)跨境流動降低了國際貿(mào)易成本，構(gòu)建了跨國界的業(yè)務(wù)中心。但是，“棱鏡門”事件凸顯了數(shù)據(jù)流動無界性等特點對數(shù)據(jù)安全、國家安全問題的沖擊，引發(fā)了許多國家的擔(dān)憂與重視。由于數(shù)據(jù)跨境流動涉及個人信息等數(shù)據(jù)保護問題，企業(yè)在進行數(shù)據(jù)跨境流動時會面臨他國合規(guī)調(diào)查的風(fēng)險，例如小米公司將數(shù)據(jù)回傳至北京服務(wù)器，遭到了新加坡的合規(guī)調(diào)查。(5)參見王融：《大數(shù)據(jù)時代，數(shù)據(jù)保護與流動規(guī)則》，人民郵電出版社 2017年版，第278頁。此外，國家跨境執(zhí)法取證也是全球化的體現(xiàn)，而社會不斷信息化和網(wǎng)絡(luò)化導(dǎo)致許多證據(jù)以數(shù)據(jù)形式存在，數(shù)據(jù)跨境流動不僅與企業(yè)的經(jīng)營活動息息相關(guān)，也是與國家跨境執(zhí)法取證有關(guān)的重要問題，確?？缇硤?zhí)法取證合規(guī)是國家面臨的新時代挑戰(zhàn)。

在數(shù)據(jù)驅(qū)動型經(jīng)濟背景下，為了數(shù)據(jù)保護與安全而過度限制甚至禁止數(shù)據(jù)的利用或流動是不可行的，實踐中存在的上述有關(guān)個人數(shù)據(jù)保護與數(shù)據(jù)跨境流動等問題迫切需要解決，推動企業(yè)開展數(shù)據(jù)合規(guī)建設(shè)具有現(xiàn)實的緊迫性與必要性。企業(yè)規(guī)范數(shù)據(jù)的收集、使用和流動等行為，形成數(shù)據(jù)合規(guī)文化和經(jīng)營理念，有助于實現(xiàn)數(shù)據(jù)保護與利用之間的平衡。目前雖然已經(jīng)開展了有關(guān)數(shù)據(jù)合規(guī)的業(yè)務(wù)實踐，但是還缺乏數(shù)據(jù)合規(guī)理論上的系統(tǒng)研究。本文提出了推進數(shù)據(jù)合規(guī)的理論依據(jù)，重點研究了數(shù)據(jù)合規(guī)中個人數(shù)據(jù)保護合規(guī)和數(shù)據(jù)跨境流動合規(guī)這兩個重要方面，并探討了數(shù)據(jù)合規(guī)的行政和刑事激勵機制。

二、數(shù)據(jù)合規(guī)的理論依據(jù)

企業(yè)開展數(shù)據(jù)合規(guī)建設(shè)不僅具有迫切的需求，還有相應(yīng)的理論依據(jù)。企業(yè)的社會屬性要求其承擔(dān)一定的社會責(zé)任，而企業(yè)社會責(zé)任理論不斷發(fā)展，企業(yè)的社會責(zé)任內(nèi)涵也不斷更新，當(dāng)今數(shù)據(jù)合規(guī)成為企業(yè)社會責(zé)任的新內(nèi)容。同時，治理方式多元化是多元社會治理的要求。監(jiān)管機構(gòu)創(chuàng)新監(jiān)管模式，構(gòu)建合規(guī)激勵機制是豐富治理方式、提升治理能力的有效途徑。

(一)企業(yè)社會責(zé)任理論

1.企業(yè)社會責(zé)任理論的源起。企業(yè)社會責(zé)任理論的概念與內(nèi)涵是復(fù)雜多變的，至今未形成統(tǒng)一的定義。根據(jù)傳統(tǒng)的經(jīng)濟學(xué)理論與公司法的理念，由于企業(yè)具有營利的特征，企業(yè)的社會責(zé)任只要求企業(yè)高效利用資源并生產(chǎn)產(chǎn)品和提供服務(wù)，為股東追求最大化利益。(6)參見朱慈蘊：《公司的社會責(zé)任：游走于法律責(zé)任與道德準(zhǔn)則之間》，載《中外法學(xué)》2008年第1期。直至經(jīng)過二次世界大戰(zhàn)后，工業(yè)革命使企業(yè)經(jīng)濟不斷發(fā)展，但其引發(fā)了水質(zhì)污染等環(huán)境問題，社會矛盾日益嚴(yán)重，傳統(tǒng)企業(yè)社會責(zé)任理論的內(nèi)涵與社會現(xiàn)狀不相適應(yīng)，人們開始思考企業(yè)為股東爭取利益的同時是否應(yīng)當(dāng)承擔(dān)部分社會責(zé)任，企業(yè)社會責(zé)任理論的新理念順勢而生。(7)參見楊玲麗：《企業(yè)社會責(zé)任理論述評》，載《蘭州學(xué)刊》2007年第2期。企業(yè)在開展經(jīng)營活動追求利潤的過程可能會對外界產(chǎn)生不良影響，新的企業(yè)社會責(zé)任要求企業(yè)在追求利潤實現(xiàn)發(fā)展的同時要兼顧社會效益。企業(yè)承擔(dān)如環(huán)境保護、消費者保護等部分社會責(zé)任能有效緩解社會矛盾和市場失靈的問題。

2.企業(yè)的社會屬性與責(zé)任。以系統(tǒng)分析和跨學(xué)科的研究方法來分析，企業(yè)本身是一種復(fù)合性的社會經(jīng)濟組織，兼具經(jīng)濟屬性和社會屬性。(8)參見果洪遲：《論企業(yè)的社會屬性與社會價值》，載《北京商學(xué)院學(xué)報》1991年第1期。同時，企業(yè)行為具有外部化作用，即會對市場環(huán)境和社會環(huán)境產(chǎn)生影響。隨著市場經(jīng)濟的發(fā)展，企業(yè)對社會的影響力不斷增強，其社會屬性也日益彰顯。合法合規(guī)的經(jīng)營會給社會帶來良好的效益，但是企業(yè)的違法犯罪行為同樣會給社會環(huán)境與市場秩序帶來嚴(yán)重影響，引發(fā)或者激化社會矛盾。企業(yè)對社會的影響力越大，企業(yè)內(nèi)部逐利行為的外部化作用越明顯，則企業(yè)的社會屬性越強，企業(yè)應(yīng)承擔(dān)相應(yīng)的社會責(zé)任越大。

黨的十八大以來，社會治理成為熱點話題，社會多元主體在社會治理中協(xié)同發(fā)揮作用。黨的十九屆四中全會指出要“完善黨委領(lǐng)導(dǎo)、政府負責(zé)、民主協(xié)商、社會協(xié)同、公眾參與、法治保障、科技支撐的社會治理體系，建設(shè)人人有責(zé)、人人盡責(zé)、人人享有的社會治理共同體”。企業(yè)所具有的社會屬性決定了其必然屬于“社會治理共同體”中的一員，企業(yè)內(nèi)部管理與經(jīng)營效果在一定程度上會對社會治理的效果產(chǎn)生影響。企業(yè)在追求經(jīng)濟效益的過程中消耗了社會資源，作為參與社會治理的一員，企業(yè)應(yīng)改變經(jīng)營理念，承擔(dān)一部分的改善社會環(huán)境、緩解社會矛盾的責(zé)任，積極發(fā)揮企業(yè)的經(jīng)濟功能與社會功能。

3.數(shù)據(jù)合規(guī)成為企業(yè)社會責(zé)任的新內(nèi)涵。當(dāng)前數(shù)據(jù)貿(mào)易活動日益繁榮，數(shù)據(jù)為企業(yè)發(fā)展帶來新的機遇，但是企業(yè)利用數(shù)據(jù)的逐利行為引發(fā)了一些數(shù)據(jù)保護與安全問題。一方面，個人數(shù)據(jù)的商業(yè)價值不斷激增，企業(yè)追求最大化的利潤，卻忽視個人數(shù)據(jù)的保護與安全存儲問題，誘發(fā)了不少以不法手段收集個人數(shù)據(jù)的事件，個人數(shù)據(jù)被泄露與濫用的現(xiàn)象日益嚴(yán)峻。同時，個人在互聯(lián)網(wǎng)留下的信息痕跡在不同程度上反映了個人的偏好與思想，具有一定的人格屬性。企業(yè)為了實現(xiàn)精準(zhǔn)營銷，整合大量個人數(shù)據(jù)刻畫用戶畫像，有可能會侵犯個人的隱私等人格權(quán)益。另一方面，在數(shù)字驅(qū)動型經(jīng)濟時代，全球化的經(jīng)濟貿(mào)易活動促使數(shù)據(jù)全球化流動更加趨向常態(tài)化。企業(yè)利用便捷的信息技術(shù)跨境傳輸數(shù)據(jù)創(chuàng)造利潤，但也為數(shù)據(jù)保護和國家安全問題帶來新的難題與挑戰(zhàn)。

目前個人數(shù)據(jù)保護與數(shù)據(jù)跨境流動的規(guī)范問題是許多國家重點關(guān)注的問題，大數(shù)據(jù)企業(yè)不能僅關(guān)注自身利益，無視在利用數(shù)據(jù)追求利潤的過程中對外部產(chǎn)生的損害，否則將有損營商環(huán)境，不利于企業(yè)提升市場競爭力與實現(xiàn)持續(xù)發(fā)展的目標(biāo)。還會激化數(shù)據(jù)保護與安全的社會問題。實現(xiàn)數(shù)據(jù)保護與數(shù)據(jù)安全需要企業(yè)的力量，企業(yè)在獲取數(shù)據(jù)紅利的同時應(yīng)當(dāng)將數(shù)據(jù)合規(guī)作為承擔(dān)社會責(zé)任的重要內(nèi)容，提升數(shù)據(jù)合規(guī)意識，切實將數(shù)據(jù)合規(guī)貫穿于業(yè)務(wù)活動的各個環(huán)節(jié)。將企業(yè)數(shù)據(jù)合規(guī)作為企業(yè)社會責(zé)任的新內(nèi)涵，是當(dāng)今新形勢下的應(yīng)有之義，可以同步實現(xiàn)企業(yè)良好發(fā)展與有關(guān)數(shù)據(jù)保護方面的社會問題。

(二)多元社會治理理論

新時代推進國家治理體系和治理能力現(xiàn)代化是我國全面深化改革的總目標(biāo)。黨的十九大報告中提到了我國目前仍然存在社會治理水平欠缺的問題，創(chuàng)新社會治理方式是多元社會治理的重要內(nèi)容，也是提高社會治理能力的有效途徑。實現(xiàn)治理能力現(xiàn)代化和社會治理方式多元化，要求政府不斷豐富執(zhí)法與監(jiān)管的模式，多元化的監(jiān)管方式才能更有效地緩解社會矛盾，促進治理能力現(xiàn)代化?！笆奈濉睍r期是數(shù)字經(jīng)濟發(fā)展的重要時期，數(shù)據(jù)治理和保護成為社會治理的重要任務(wù)。治理能力現(xiàn)代化的其中一層含義在于要求政府具有一種政策引導(dǎo)和社會協(xié)同的能力，能夠全面激發(fā)不同社會主體協(xié)同參與社會治理的積極性和創(chuàng)造性，并與市場之間形成良好的互動關(guān)系，為國家良性發(fā)展提供保障。(9)陶希東：《治理能力現(xiàn)代化的五大衡量標(biāo)準(zhǔn)》，http://theory.rmlt.com.cn/2014/1208/355366.shtml，2021年3月22日訪問。企業(yè)開展數(shù)據(jù)合規(guī)是其承擔(dān)社會責(zé)任、參與社會治理的重要表現(xiàn)，推進企業(yè)數(shù)據(jù)合規(guī)不僅需要企業(yè)的落實，也需要監(jiān)管主體的切實參與和積極引導(dǎo)。

監(jiān)管主體重視推進企業(yè)數(shù)據(jù)合規(guī)，創(chuàng)新監(jiān)管方式，探索數(shù)據(jù)合規(guī)激勵機制，有助于實現(xiàn)公司治理與社會治理的同步現(xiàn)代化。具言之，數(shù)據(jù)合規(guī)激勵機制要求企業(yè)落實合規(guī)計劃、積極配合監(jiān)管主體的工作從而獲得從寬處理的結(jié)果。一方面，激勵機制能推動企業(yè)主動合法合規(guī)地開展經(jīng)營活動，幫助企業(yè)實現(xiàn)良性的持續(xù)發(fā)展。另一方面，還能降低企業(yè)違法犯罪的可能性并達到事前預(yù)防的效果，同時，企業(yè)對執(zhí)法工作的積極配合節(jié)約了執(zhí)法資源，對社會治理現(xiàn)代化有積極推動作用。當(dāng)前我國社會治理主體呈現(xiàn)出多元化的特點，使社會治理形成了一個網(wǎng)絡(luò)，各類主體在參與社會治理過程會產(chǎn)生聯(lián)結(jié)、互動、互助、協(xié)商的關(guān)系，從而實現(xiàn)共贏的結(jié)果。(10)參見賀新宇：《政府體制創(chuàng)新與公共管理職能重塑》，載《中國行政管理》2003年第6期。治理能力現(xiàn)代化要求政府創(chuàng)新治理方式，而數(shù)據(jù)合規(guī)激勵機制正是監(jiān)管主體與企業(yè)參與社會治理的新型互動方式，是符合社會治理需要的新型監(jiān)管模式。監(jiān)管主體應(yīng)積極探索數(shù)據(jù)合規(guī)激勵機制，回應(yīng)治理能力現(xiàn)代化與多元社會治理的要求。

三、數(shù)據(jù)合規(guī)的兩個維度

借助先進的現(xiàn)代化信息技術(shù)，數(shù)據(jù)的獲取與傳輸變得更加便捷，同時，數(shù)據(jù)的繁雜與網(wǎng)絡(luò)環(huán)境的復(fù)雜使數(shù)據(jù)的保護與安全問題將面臨更大的挑戰(zhàn)。當(dāng)前世界數(shù)據(jù)保護相關(guān)立法與執(zhí)法日趨嚴(yán)格，推進數(shù)據(jù)合規(guī)不僅可以讓企業(yè)充分防控合規(guī)風(fēng)險，實現(xiàn)商業(yè)的可持續(xù)發(fā)展，還可以營造行業(yè)的數(shù)據(jù)合規(guī)文化并形成行業(yè)自律。數(shù)據(jù)合規(guī)涉及許多方面的內(nèi)容，其中個人數(shù)據(jù)保護合規(guī)與數(shù)據(jù)跨境流動合規(guī)是目前最迫切需要解決的問題。

(一)個人數(shù)據(jù)保護合規(guī)

根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第47次《中國互聯(lián)網(wǎng)發(fā)展?fàn)顩r統(tǒng)計報告》，截至2020年12月，我國網(wǎng)民數(shù)量規(guī)模達到9.89億，互聯(lián)網(wǎng)普及率達到70.4%。(11)參見《中國互聯(lián)網(wǎng)發(fā)展?fàn)顩r統(tǒng)計報告》，載http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/202102/P020210203334633480104.pdf，2021年2月18日訪問。網(wǎng)絡(luò)用戶是數(shù)據(jù)來源的基礎(chǔ)，而過度收集和利用個人數(shù)據(jù)侵犯個人隱私等權(quán)益的事件頻發(fā)甚至無法控制，網(wǎng)民規(guī)模之普遍突出了推進個人數(shù)據(jù)保護合規(guī)的必要性。實現(xiàn)數(shù)據(jù)利用與個人數(shù)據(jù)保護之間的平衡，有賴于推動企業(yè)開展個人數(shù)據(jù)保護合規(guī)，確保個人數(shù)據(jù)收集、利用的合法性與正當(dāng)性。

1.個人數(shù)據(jù)保護合規(guī)的法律依據(jù)。開展數(shù)據(jù)合規(guī)工作的前提是明確個人數(shù)據(jù)保護合規(guī)所應(yīng)當(dāng)遵守的法律規(guī)范。我國立法機關(guān)和一些行政部門對個人數(shù)據(jù)的保護制定了相關(guān)法律文件。現(xiàn)行有效的主要有《刑法》及相關(guān)司法解釋和《民法典》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《消費者保權(quán)益護法》《征信業(yè)管理條例》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息的決定》《網(wǎng)絡(luò)安全審查辦法》等；還有其他規(guī)范性文件和國家標(biāo)準(zhǔn)，例如《App違法違規(guī)收集使用個人信息自評估指南》《網(wǎng)絡(luò)安全等級保護基本要求》《大數(shù)據(jù)安全管理指南》等。針對性較強的《個人信息保護法》與《數(shù)據(jù)安全法》也被列入2020年立法規(guī)劃，并發(fā)布了草案?？傮w而言，個人數(shù)據(jù)保護的法律制度內(nèi)容比較完備，確定了個人數(shù)據(jù)保護的基本原則、數(shù)據(jù)收集和處理的要求等內(nèi)容；相關(guān)的國家標(biāo)準(zhǔn)也為數(shù)據(jù)合規(guī)提供了具體的指引。

歐盟作為個人數(shù)據(jù)保護的代表組織之一，較早開始關(guān)注個人數(shù)據(jù)保護，并于1995年制定了《關(guān)于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的指令》，后續(xù)對該指令進行了一定修改也制定了其他相關(guān)的法律，其中2018年5月生效的《通用數(shù)據(jù)保護條例》(12)歐盟GDPR賦予了數(shù)據(jù)主體同意權(quán)、刪除權(quán)、更改權(quán)等廣泛的數(shù)據(jù)權(quán)利，新增了被遺忘權(quán)、可攜帶權(quán)，同時強調(diào)不得因保護數(shù)據(jù)而禁止數(shù)據(jù)的自由流通。(以下簡稱“歐盟GDPR”)影響力最大，體現(xiàn)了歐盟對個人數(shù)據(jù)保護日趨嚴(yán)格的要求。除此之外，有關(guān)歐盟最新的立法動態(tài)，歐盟委員會于2020年11月15日發(fā)布了《數(shù)據(jù)治理法案》，(13)See Commission proposes measures to boost data sharing and support European data spaces，https://ec.europa.eu/commission/presscorner/detail/en/ip_20_2102.《數(shù)據(jù)治理法案》向社會開放公共部門的數(shù)據(jù)訪問權(quán)限，并創(chuàng)立數(shù)據(jù)中介機構(gòu)，允許其開展非營利性質(zhì)的數(shù)據(jù)交換。于2020年12月15日發(fā)布了《數(shù)字服務(wù)條例》和《數(shù)字市場法》的提案，(14)See The Digital Services Act package，https://ec.europa.eu/digital-single-market/en/node/94375。這兩個提案強化了對在線平臺數(shù)字服務(wù)的規(guī)制，完善了消費者在網(wǎng)絡(luò)平臺的權(quán)利保護機制。完善了個人數(shù)據(jù)保護的法律體系。不同于歐盟的統(tǒng)一立法，美國聯(lián)邦層面關(guān)于數(shù)據(jù)保護的法律比較零散，散落在各個領(lǐng)域的專門立法中。根據(jù)美國國會研究局2019年頒布的《數(shù)據(jù)保護法：概述》的統(tǒng)計，共有12部聯(lián)邦個人信息保護法，例如《電子通信隱私法》(ECPA)、《金融消費者保護法》(CFPA)。(15)此外，還包括：《格雷姆—里奇—比利雷法》(GLBA，即《金融現(xiàn)代法》)、《健康保險流通和責(zé)任法》(HIPAA)、《公平信用報告法》(FCRA)、《通信法》(CA)、《視頻隱私保護法》 (VPPA)、《家庭教育權(quán)和隱私權(quán)法》(FERPA)、《聯(lián)邦證券法》(FSL)、《兒童在線隱私保護法》(COPPA)、《計算機欺詐和濫用法》(CFAA)、《聯(lián)邦貿(mào)易委員會法》(FTC Act)等法案。在各州立法中，加利福尼亞州出臺了較為系統(tǒng)的《加州消費者隱私法》(CCPA)，(16)《加州消費者隱私法》的適用范圍十分廣泛，適用于任何收集加州消費者個人信息的企業(yè)；賦予消費者知情權(quán)、刪除權(quán)、選擇權(quán)、公平交易權(quán)等權(quán)利，并規(guī)定了明確的救濟措施。并于2020年11月3日通過了《加州隱私權(quán)利法案》(CPRA)，該法的大部分條款將于2023年1月1日生效。(17)See LARA O'REILLY，Prop 24 — the California Privacy Rights and Enforcement Act — passed by voters. Here’s what publishers need know，https://digiday.com/media/prop-24-the-california-privacy-rights-and-enforcement-act-passed-by-voters-heres-what-publishers-need-know/.該法案引入了加州隱私保護機構(gòu)作為新的執(zhí)法機構(gòu)；同時新增了“敏感個人信息”的概念，規(guī)定了身份證號碼、宗教信仰、健康信息等為敏感個人信息。除了歐盟和美國這兩個代表之外，許多國家也出臺了個人數(shù)據(jù)保護法規(guī)，個人數(shù)據(jù)保護成為國際上重要的法律價值理念，企業(yè)開展數(shù)據(jù)合規(guī)工作應(yīng)當(dāng)及時了解國內(nèi)外的立法變化，做足充分準(zhǔn)備應(yīng)對合規(guī)風(fēng)險。

2.個人數(shù)據(jù)收集的合規(guī)。數(shù)據(jù)分析與開發(fā)等處理應(yīng)用行為始于數(shù)據(jù)收集，個人數(shù)據(jù)的來源合法與否關(guān)系到后續(xù)的數(shù)據(jù)流動與利用等環(huán)節(jié)的合法性認定。由于個人數(shù)據(jù)被挖掘出的商業(yè)價值巨大，個人數(shù)據(jù)的非法交易、app違法違規(guī)收集個人數(shù)據(jù)等問題亂象叢生，數(shù)據(jù)收集是數(shù)據(jù)監(jiān)管部門重點關(guān)注的問題之一。例如，墨跡科技公司首次公開募股被否決的其中一個原因就在于該公司無法證明其獲取用戶數(shù)據(jù)的手段及方式是合法合規(guī)的。(18)參見中國證券監(jiān)督管理委員會《第十八屆發(fā)審委2019年第142次會議審核結(jié)果公告》。確保數(shù)據(jù)收集行為合法合規(guī)是實現(xiàn)數(shù)據(jù)收集最終目的的前提，收集數(shù)據(jù)應(yīng)該要滿足合法使用數(shù)據(jù)收集技術(shù)、告知用戶且獲得同意、收集比例正當(dāng)?shù)纫蟆?/p>

首先，企業(yè)收集數(shù)據(jù)應(yīng)當(dāng)合法合規(guī)?！秱€人信息安全規(guī)范(GB/T 35273—2020)》第3.5條將收集數(shù)據(jù)的方式分為直接收集與間接收集。從技術(shù)分類來看，主要包括系統(tǒng)日志、網(wǎng)絡(luò)爬蟲、API以及系統(tǒng)特定端口等技術(shù)。(19)參見王亞芬：《數(shù)據(jù)收集的合規(guī)路徑研究》，載微信公眾號“鯨云維度”，2020年6月2日。網(wǎng)絡(luò)爬蟲技術(shù)能幫助數(shù)據(jù)收集者快速高效地獲取數(shù)據(jù)，能自動地對網(wǎng)頁數(shù)據(jù)進行抓取、解析和儲存等，是最為常用的收集技術(shù)。(20)參見劉新宇：《數(shù)據(jù)保護：合規(guī)指引與規(guī)則解析》，中國法制出版社2020年版，第394頁。違法違規(guī)使用技術(shù)，惡意利用爬蟲程序繞過正當(dāng)途徑獲取個人數(shù)據(jù)給網(wǎng)站和網(wǎng)絡(luò)用戶造成危害，會受到法律的規(guī)制，企業(yè)應(yīng)當(dāng)遵守目標(biāo)網(wǎng)站設(shè)置的爬蟲協(xié)議，依法依規(guī)地使用數(shù)據(jù)收集技術(shù)。同時，通過受讓等間接方式獲取數(shù)據(jù)的，也應(yīng)當(dāng)事前做好盡職調(diào)查，確保數(shù)據(jù)來源的合法性。

其次，企業(yè)應(yīng)當(dāng)公開收集個人數(shù)據(jù)，落實告知同意原則，不能從黑市等非法渠道獲取來源不明的個人數(shù)據(jù)。我國相關(guān)法律、歐盟GDPR等法律均規(guī)定了要在個人知悉且同意的情況下收集數(shù)據(jù)，而美國則采取消極的同意原則，僅對敏感數(shù)據(jù)的收集要求個人的同意。(21)參見相麗玲、王景輝：《網(wǎng)絡(luò)經(jīng)營者收集與傳輸個人數(shù)據(jù)的中外法律規(guī)范比較》，載《圖書情報工作》2016年第4期。各行業(yè)部門規(guī)定了相應(yīng)敏感信息范圍，如健康信息、兒童信息等。《民法典》規(guī)定了收集和處理個人信息之前應(yīng)當(dāng)公開處理信息的規(guī)則、目的、方式和范圍，《個人信息安全規(guī)范(GB/T 35273—2020)》第3.6、3.7條與歐盟GDPR第4條明確了對“同意”的認定方法，核心在于確認個人數(shù)據(jù)主體作出同意行為的自主性。數(shù)據(jù)收集者與網(wǎng)絡(luò)用戶之間存在明顯的信息不對稱，同意告知原則是為了保護網(wǎng)絡(luò)用戶的知情權(quán)，而對數(shù)據(jù)收集與處理的相關(guān)信息一一告知網(wǎng)絡(luò)用戶不具有可行性，而且網(wǎng)絡(luò)用戶對告知信息的了解程度無法保證。把握告知數(shù)據(jù)處理相關(guān)信息的充分性與確保網(wǎng)絡(luò)用戶“同意”的有效性，是企業(yè)落實同意告知原則的重點與難點。由于同意告知原則存在上述問題，也有學(xué)者認為允許網(wǎng)絡(luò)用戶撤回同意能為其提供有效救濟。(22)參見萬方：《個人信息處理中的“同意”與“同意撤回”》，載《中國法學(xué)》2021年第1期。《App 違法違規(guī)收集使用個人信息行為認定方法》對不合規(guī)的隱私政策和“未經(jīng)用戶同意收集使用個人信息”的情形進行列舉，企業(yè)可以參照規(guī)定完善優(yōu)化隱私政策(告知同意書)的內(nèi)容，落實同意告知原則。例如，羅列的內(nèi)容應(yīng)清晰明確并與實際的處理方式相符，對重點內(nèi)容使用加粗字體或標(biāo)紅來提醒用戶。除此之外，可以設(shè)置用戶停留在隱私政策的頁面一定時間后才能點擊“同意”按鈕，通過多種方式落實告知與獲得同意的要求。

最后，收集數(shù)據(jù)范圍應(yīng)當(dāng)具有必要性和適當(dāng)性。在大數(shù)據(jù)時代，數(shù)據(jù)不僅是經(jīng)濟發(fā)展的重要推動力，也創(chuàng)新了社會治理的方式和企業(yè)經(jīng)營模式。如果為了保護個人數(shù)據(jù)而完全禁止對個人數(shù)據(jù)的收集，不僅不利于發(fā)揮數(shù)據(jù)的價值，還會導(dǎo)致數(shù)據(jù)市場的失衡，有礙于社會的進步與發(fā)展。(23)參見王衛(wèi)、張夢君、王晶：《數(shù)據(jù)交易與數(shù)據(jù)保護的均衡問題研究》，載《圖書館》2020年第2期。對數(shù)據(jù)收集的范圍進行目的限制并要求數(shù)據(jù)最小化，能在發(fā)揮數(shù)據(jù)價值的同時保護個人數(shù)據(jù)。我國《民法典》第1035條規(guī)定了收集、處理個人信息應(yīng)當(dāng)遵循的合法、正當(dāng)、必要原則，不得過度收集和處理。歐盟確立的數(shù)據(jù)最小化原則也是要求企業(yè)收集的數(shù)據(jù)應(yīng)是與處理目的充分相關(guān)且必要的內(nèi)容。具體而言，要求企業(yè)以開展業(yè)務(wù)、提供服務(wù)的必要需求作為收集數(shù)據(jù)的目的，在收集之前確定收集的范圍且應(yīng)限定在業(yè)務(wù)必需的范圍之內(nèi)，實際所收集的數(shù)據(jù)不能超過必要范圍。當(dāng)需要變更收集目的時，應(yīng)重新告知用戶并重新取得同意后才能進行收集。我國國家互聯(lián)網(wǎng)信息辦公室等四部門于2021年聯(lián)合制定了《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》，其中明確規(guī)定了不同類型app對應(yīng)的必要個人信息范圍，為企業(yè)確定收集范圍與遵守必要原則提供了具有可操作性的指導(dǎo)依據(jù)。

3.個人數(shù)據(jù)利用的合規(guī)。對個人數(shù)據(jù)的分析利用是發(fā)揮個人數(shù)據(jù)價值的核心，其中最主要的方式是通過刻畫用戶畫像來預(yù)測用戶的喜好與行為，對特定用戶提供個性化的廣告信息與資訊，實現(xiàn)精準(zhǔn)營銷。用戶畫像指的是對網(wǎng)絡(luò)用戶方方面面的數(shù)據(jù)進行分析處理，總結(jié)出該用戶的特征形成其個人的特征模型?！秱€人信息安全規(guī)范(GB/T 35273—2020)》第7.4條對用戶畫像的使用作出了限制性規(guī)定。一是要求用戶畫像對用戶的特征描述不得包含污穢、恐怖、暴力以及含有對民族、宗教、疾病的歧視的內(nèi)容；二是使用用戶畫像不得侵害其他權(quán)利主體的合法權(quán)益、不得危害國家安全和擾亂社會秩序等；三是除為實現(xiàn)用戶同意的使用目的所必需的情況之外，避免用戶畫像可以精確定位到特定個人。歐盟GDPR對刻畫用戶畫像的規(guī)定更加具體，要求刻畫用戶畫像是提供對應(yīng)功能所必要的，且要求企業(yè)告知用戶享有反對權(quán)。我國《網(wǎng)絡(luò)安全法》及相關(guān)法律中未明確規(guī)范刻畫用戶畫像的行為，而《個人信息安全規(guī)范(GB/T 35273-2020)》的內(nèi)容具有概括性且沒有強制力。對于刻畫用戶畫像涉及大量個人數(shù)據(jù)，我國應(yīng)當(dāng)完善相關(guān)立法，企業(yè)也應(yīng)當(dāng)要注意把握合理必要的限度，避免侵犯用戶的隱私等合法權(quán)益。

在利用個人數(shù)據(jù)的過程中，企業(yè)要保障用戶的相關(guān)數(shù)據(jù)權(quán)益。除了知情權(quán)以外，歐盟GDPR還確立了數(shù)據(jù)可攜帶權(quán)和被遺忘權(quán)。數(shù)據(jù)可攜帶權(quán)指的是數(shù)據(jù)主體應(yīng)有權(quán)接收其以結(jié)構(gòu)化、通用和機器可讀格式提供給數(shù)據(jù)控制者的個人數(shù)據(jù)，并有權(quán)將這些數(shù)據(jù)不受阻礙地傳輸給其他數(shù)據(jù)控制者。對于個人用戶而言，數(shù)據(jù)可攜帶權(quán)極大程度上增強了其對個人數(shù)據(jù)的控制能力，實現(xiàn)了將個人數(shù)據(jù)在不同設(shè)備的自由轉(zhuǎn)移。但是對于企業(yè)而言，這一權(quán)利的確立給企業(yè)帶來了很大的技術(shù)難題，也增加企業(yè)數(shù)據(jù)合規(guī)的壓力。我國現(xiàn)行有效的規(guī)定、《個人信息保護法(草案)》和其他相關(guān)的草案尚未引入個人的數(shù)據(jù)可攜帶權(quán)，但是歐盟通過GDPR確立數(shù)據(jù)可攜帶權(quán)有助于其他國家的借鑒與引入，跨國企業(yè)應(yīng)注意業(yè)務(wù)所在國是否有相關(guān)的規(guī)定，以備落實數(shù)據(jù)合規(guī)工作。

另外，被遺忘權(quán)是指數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者刪除其個人數(shù)據(jù)，以及數(shù)據(jù)控制者在規(guī)定的情形下有義務(wù)主動刪除個人數(shù)據(jù)。我國《網(wǎng)絡(luò)安全法》第43條規(guī)定了個人信息的刪除權(quán)和更正權(quán)，但是被遺忘權(quán)與刪除權(quán)并不是完全相同的。歐盟GDPR規(guī)定的被遺忘權(quán)還要求數(shù)據(jù)控制者對其傳播后的數(shù)據(jù)負責(zé)，即數(shù)據(jù)控制者有義務(wù)通知第三方停止利用并刪除數(shù)據(jù)。被遺忘權(quán)的確立也引發(fā)了很大的爭論。被遺忘權(quán)的確立一方面加大了對個人數(shù)據(jù)保護的力度，另一個方面與公眾的知情權(quán)和言論自由等價值理論產(chǎn)生了沖突。雖然我國沒有明確規(guī)定被遺忘權(quán)，但是存在如上述刪除權(quán)等相關(guān)的法律基礎(chǔ)，可以根據(jù)我國的實際情況作出本土化規(guī)定。保護個人數(shù)據(jù)的新興權(quán)利體現(xiàn)了對個人數(shù)據(jù)保護的重視，企業(yè)在數(shù)據(jù)利用過程中應(yīng)注意新要求，結(jié)合具體規(guī)定作出積極應(yīng)對。

(二)數(shù)據(jù)跨境流動合規(guī)

頻繁的數(shù)據(jù)跨境流動是數(shù)字經(jīng)濟時代的顯著特征，推動了國際數(shù)字貿(mào)易的迅速發(fā)展。但是，如果缺少相關(guān)的法律規(guī)制和企業(yè)的數(shù)據(jù)合規(guī)建設(shè)，數(shù)據(jù)跨境流動可能會侵犯個人隱私、泄露商業(yè)秘密，甚至?xí)孤秶颐孛芎屯{國家安全。(24)許多奇：《論跨境數(shù)據(jù)流動規(guī)制企業(yè)雙向合規(guī)的法治保障》，載《東方法學(xué)》2020年第2期。如何在數(shù)字貿(mào)易中尋求最大化利益并保障數(shù)據(jù)安全與國家安全，成為各國博弈的前沿焦點。

1.歐美對數(shù)據(jù)跨境流動的規(guī)制路徑。目前對于數(shù)據(jù)跨境流動的規(guī)制未在國際上形成統(tǒng)一的規(guī)則。歐盟基于傳統(tǒng)人權(quán)保護的觀念，對數(shù)據(jù)跨境流動采取了較為嚴(yán)苛的限制政策，主要是通過歐盟《一般數(shù)據(jù)保護規(guī)則》(以下簡稱“歐盟GDPR”)和《非個人數(shù)據(jù)在歐盟境內(nèi)自由流動框架條例》進行規(guī)制。根據(jù)歐盟GDPR第五章關(guān)于向歐盟成員以外或國際組織傳輸數(shù)據(jù)的規(guī)定，滿足歐盟對該國法律的“充分性認定”是允許該國與歐盟成員國進行數(shù)據(jù)傳輸?shù)那闆r之一。歐盟GDPR對其他國家法律的“充分性認定”制定了較高的標(biāo)準(zhǔn)，而高標(biāo)準(zhǔn)的法律要求給跨國公司的合規(guī)工作增加了多重的負擔(dān)，并因此遭到了跨國公司的抱怨。(25)See Bender, David，Binding Corporate Rules for Cross-Border Data Transfer，Rutgers Journal of Law and Urban Policy, Vol. 3, Issue 2 (Spring 2006), pp.154-171.雖然歐盟的規(guī)制路徑明確了數(shù)據(jù)跨境流動的標(biāo)準(zhǔn)，有利于對數(shù)據(jù)流動后續(xù)安全的保障；但復(fù)雜的認定程序與高標(biāo)準(zhǔn)在一定程度上限制了數(shù)據(jù)的自由流動。實際上，“充分性認定”的本質(zhì)其實是要求其他國家和組織的立法達到歐盟GDPR的保護要求，并以此增強其在參與國際規(guī)則制定中的話語權(quán)。(26)參見方芳：《歐盟個人數(shù)據(jù)跨境流動政策的演變:市場統(tǒng)一與貿(mào)易規(guī)范》，載《復(fù)旦國際關(guān)系評論》2019年第1期。

與歐盟對數(shù)據(jù)跨境流動嚴(yán)格規(guī)制的態(tài)度不同，在信息技術(shù)領(lǐng)域具有領(lǐng)先優(yōu)勢的美國充分認識到數(shù)據(jù)自由流動的巨大價值，其采取的是鼓勵數(shù)據(jù)自由流動的寬松政策。美國憑借其經(jīng)濟實力在貿(mào)易談判中占據(jù)主導(dǎo)地位，并將“跨境數(shù)據(jù)自由流動”作為貿(mào)易協(xié)議的內(nèi)容，以此打破其他國家的數(shù)據(jù)出境壁壘并希望構(gòu)建無障礙數(shù)據(jù)流動圈。(27)參見孫方江：《跨境數(shù)據(jù)流動：數(shù)字經(jīng)濟下的全球博弈與中國選擇》，載《西南金融》2021年第1期。美國在推崇數(shù)據(jù)自由流動的政策下全力投入到數(shù)字貿(mào)易競爭中，促進了其國內(nèi)數(shù)字經(jīng)濟的迅速發(fā)展。美國通過出臺《澄清境外數(shù)據(jù)的合法使用法案》(CLOUD法案)允許政府跨境獲取數(shù)據(jù)，打破以往數(shù)據(jù)屬地管轄模式，代表著跨境執(zhí)法數(shù)據(jù)調(diào)取方式的變革，(28)See Kyriakides, Eleni，The CLOUD Act, E-Evidence, and Individual Rights，European Data Protection Law Review (EDPL), Vol. 5, Issue 1 (2019), pp. 99-106.實現(xiàn)了“長臂管轄”。此外，美國并不是對全部數(shù)據(jù)都開放自由流動通道。美國嚴(yán)格限制與重要技術(shù)相關(guān)的數(shù)據(jù)和涉密敏感數(shù)據(jù)的出境，以及會對外國投資的數(shù)據(jù)跨境流動進行管制，對涉及關(guān)鍵技術(shù)等數(shù)據(jù)進行安全審查。(29)參見張茉楠：《跨境數(shù)據(jù)流動：全球態(tài)勢與中國對策》，載《開放導(dǎo)報》2020年第2期。

2.數(shù)據(jù)跨境流動規(guī)制的矛盾與沖突。不同國家對數(shù)據(jù)跨境流動的立場和具體規(guī)制要求不一致，數(shù)據(jù)自由流動的主張與限制數(shù)據(jù)跨境流動的政策存在沖突。相較美國對數(shù)據(jù)跨境流動采取較為開放自由的態(tài)度；其他不少國家對數(shù)據(jù)跨境流動加以限制。例如，俄羅斯對數(shù)據(jù)跨境流動的限制措施分為以下三類：禁止數(shù)據(jù)跨境流動、有條件的數(shù)據(jù)跨境流動、要求數(shù)據(jù)存儲本地化。(30)參見周念利、李金東：《俄羅斯出臺的與貿(mào)易相關(guān)的數(shù)據(jù)流動限制性措施研究——兼談對中國的啟示》，載《國際商參見務(wù)研究》2020年第3期。我國《網(wǎng)絡(luò)安全法》對數(shù)據(jù)存儲本地化也進行了相關(guān)規(guī)定，主張數(shù)據(jù)自由流動的美國認為我國的立法會對全球的服務(wù)貿(mào)易提供者產(chǎn)生不利影響，并向WTO服務(wù)貿(mào)易理事會提出正式函告，對我國參與數(shù)據(jù)跨境流動的合作施加重重阻礙。(31)彭德雷、潘永建：《數(shù)據(jù)出境的中美博弈》，http://www.llinkslaw.com/uploadfile/publication/27_1516248375.pdf，2021年2月21日訪問。由于各國的發(fā)展實力、價值訴求不同，關(guān)于數(shù)據(jù)跨境流動的立場態(tài)度存在差異性是不可避免的。在“棱鏡門”事發(fā)后，數(shù)據(jù)安全問題日益凸顯，出于反監(jiān)控與保障國家安全的目的，要求數(shù)據(jù)本地化和加強數(shù)據(jù)安全審查是現(xiàn)實且必要的。

不同國家和國際組織的立法差異給企業(yè)在數(shù)據(jù)跨境流動的合規(guī)工作增加了很大難度。例如，不同國家和組織對數(shù)據(jù)的分類方式不盡相同，我國將個人數(shù)據(jù)分為基本數(shù)據(jù)和敏感數(shù)據(jù)區(qū)別保護，美國則以是否可公開獲取為分類依據(jù)，歐盟未進行區(qū)分保護。(32)參見婁鶴、陳國彧：《中國企業(yè)個人數(shù)據(jù)跨境傳輸最佳法律實踐探討》，載《信息安全與通信保密》2019年第8期。此外，對于數(shù)據(jù)跨境、敏感數(shù)據(jù)等一系列概念的界定尚未明確，企業(yè)對眾多定義的辨析也是合規(guī)工作的一大難點。迫切需要構(gòu)建關(guān)于數(shù)據(jù)跨境流動的國際規(guī)則，為數(shù)據(jù)跨境流動的合規(guī)工作提供明確而統(tǒng)一的指導(dǎo)和依據(jù)。

3.數(shù)據(jù)跨境流動的合規(guī)選擇。近年來，我國正在不斷完善數(shù)據(jù)跨境流動保護的法律，發(fā)布了《個人信息出境安全評估辦法》《數(shù)據(jù)安全管理辦法》等相關(guān)規(guī)定的征求意見。結(jié)合已生效的相關(guān)法律分析，我國要求企業(yè)將經(jīng)營過程中收集和產(chǎn)生的個人數(shù)據(jù)和重要數(shù)據(jù)存儲在境內(nèi)，因業(yè)務(wù)需要跨境傳輸數(shù)據(jù)的應(yīng)根據(jù)相關(guān)規(guī)定進行風(fēng)險預(yù)測與安全評估。歐盟GDPR規(guī)定未列入“充分性認定”名單的國家可以通過有約束的公司規(guī)則、標(biāo)準(zhǔn)合同條款、經(jīng)批準(zhǔn)的行為準(zhǔn)則和認證機制等替代方案實現(xiàn)數(shù)據(jù)的跨境流動。加拿大則要求企業(yè)以合同的形式明確數(shù)據(jù)跨境流動的保護內(nèi)容，確保數(shù)據(jù)接收方能提供同等水平的保護。日本2020年修改后的《個人信息保護法》規(guī)定，當(dāng)向外國的第三方傳輸個人數(shù)據(jù)時，企業(yè)應(yīng)向個人提供接收方處理個人數(shù)據(jù)的相關(guān)信息。如俄羅斯、印度等國家對數(shù)據(jù)存儲本地化作出了相關(guān)規(guī)定，(33)參見陳詠梅、張姣：《跨境數(shù)據(jù)流動國際規(guī)制新發(fā)展:困境與前路》，載《上海對外經(jīng)貿(mào)大學(xué)學(xué)報》2017年第6期。以及大多數(shù)國家對于涉及個人數(shù)據(jù)的跨境流動都要求獲得數(shù)據(jù)主體的同意。

目前尚未完全形成關(guān)于數(shù)據(jù)跨境流動的國際規(guī)則，而且不同國家與國際組織的相關(guān)規(guī)定和政策差異較大。為了適應(yīng)國際經(jīng)濟貿(mào)易的新形式，促進跨國貿(mào)易活動為全球經(jīng)濟帶來更大的利益，不同國家也紛紛制定相關(guān)的法律或者簽訂雙邊協(xié)議、多邊協(xié)議等協(xié)調(diào)國家之間的立法沖突。中國、澳大利亞、美國、歐盟等76個WTO成員在2019年1月共同簽署了《關(guān)于電子商務(wù)的聯(lián)合聲明》，(34)商務(wù)部新聞辦公室：《中國與75個世貿(mào)組織成員在達沃斯發(fā)表關(guān)于電子商務(wù)的聯(lián)合聲明》，http://www.mofcom.gov.cn/article/ae/ai/201901/20190102830332.shtml，2021年2月21日訪問。意在解決國際貿(mào)易領(lǐng)域出現(xiàn)的如數(shù)據(jù)跨境流動等新問題。雖然不同國家在數(shù)據(jù)保護方面存在立法差異，但是仍存在共同之處，國家之間統(tǒng)籌考慮多方面的利益因素，尋求各國規(guī)定的最大公約數(shù)以構(gòu)建國際規(guī)則創(chuàng)造可能。在國際博弈和合作中，中國應(yīng)當(dāng)為數(shù)據(jù)跨境流動規(guī)制提供科學(xué)有效的中國方案，更加主動地參與國際規(guī)則的建構(gòu)。這更加要求對國內(nèi)的數(shù)據(jù)合規(guī)體系進行完善，順應(yīng)當(dāng)下時代的發(fā)展趨勢，積極尋求數(shù)據(jù)科學(xué)利用與有效保護之間的平衡點，努力為企業(yè)合規(guī)工作提供指導(dǎo)和制度依據(jù)，并充分發(fā)揮數(shù)據(jù)的經(jīng)濟價值。

對于企業(yè)而言，應(yīng)當(dāng)充分了解當(dāng)前國際形勢并考察不同國家的數(shù)據(jù)跨境流動政策，在數(shù)據(jù)跨境流動的過程中迎接合規(guī)工作的挑戰(zhàn)。出于對數(shù)據(jù)保護與合規(guī)問題的重視，不同國家的相關(guān)立法如雨后春筍般頻頻出臺，因此，企業(yè)除了要根據(jù)國內(nèi)外生效的數(shù)據(jù)規(guī)范做好合規(guī)工作，還要留意國內(nèi)外的立法動態(tài)與監(jiān)管趨勢，衡量合規(guī)風(fēng)險以及時做好應(yīng)對準(zhǔn)備。此外，在不同的國家開展業(yè)務(wù)應(yīng)當(dāng)遵循該國的具體要求，企業(yè)應(yīng)該準(zhǔn)備多元化的合規(guī)方案以遵守不同國家的數(shù)據(jù)規(guī)制標(biāo)準(zhǔn)，準(zhǔn)確識別數(shù)據(jù)種類并做好數(shù)據(jù)分類管理，在本國法與目標(biāo)國法之間確定科學(xué)的數(shù)據(jù)戰(zhàn)略實現(xiàn)發(fā)展與合規(guī)的平衡。數(shù)據(jù)合規(guī)雖然是一個法律問題，但是企業(yè)在遵守法律要求時需要相應(yīng)的技術(shù)支持，對于需要本地化處理的數(shù)據(jù)應(yīng)當(dāng)做好技術(shù)準(zhǔn)備。數(shù)據(jù)安全風(fēng)險因信息技術(shù)的發(fā)展而嚴(yán)峻化，企業(yè)同樣可以通過技術(shù)手段增強數(shù)據(jù)跨境流動的安全性，例如完善匿名化技術(shù)、改進信息防火墻技術(shù)等，將合規(guī)的需求作為促進技術(shù)創(chuàng)新和升級的動力，激發(fā)新的經(jīng)營活力和競爭力。

四、數(shù)據(jù)合規(guī)的激勵機制

實現(xiàn)數(shù)據(jù)保護與安全不能僅依賴數(shù)據(jù)監(jiān)管部門的執(zhí)法活動，面對企業(yè)自身開展數(shù)據(jù)合規(guī)動力不足的問題，需要構(gòu)建數(shù)據(jù)合規(guī)激勵機制為企業(yè)開展數(shù)據(jù)合規(guī)提供內(nèi)在動力，其中包括行政監(jiān)管激勵機制與刑事激勵機制。

(一)激勵機制是實現(xiàn)數(shù)據(jù)合規(guī)與發(fā)展的有效途徑

1.數(shù)據(jù)監(jiān)管難度大是激勵機制的客觀需求。由于數(shù)據(jù)類的違法犯罪行為具有很強的隱蔽性，對此類違法行為的監(jiān)管難度極大。首先，不法分子可以通過信息技術(shù)在虛擬的網(wǎng)絡(luò)空間遠程操控，不必直接接觸受害者就可以完成違法行為，實施違法行為的時間、地點都不受限制。其次，信息數(shù)據(jù)和違法技術(shù)具有無形性，違法行為可能不會留下蛛絲馬跡，導(dǎo)致違法行為和結(jié)果不容易被發(fā)現(xiàn)和偵破。除此之外，信息技術(shù)不斷更新變化，使得違法方式層出不窮，這也加大了對信息安全的監(jiān)管難度。當(dāng)數(shù)據(jù)儲存系統(tǒng)被破壞或者機密信息和涉及個人隱私等敏感數(shù)據(jù)被公開，發(fā)達的通訊技術(shù)可能使重要信息瞬時傳播到不同地區(qū)甚至其他國家，這不僅可能影響到個人信息主體的生活安寧，如果泄露的是國家機密，還可能會危害國家安全?？紤]到危及數(shù)據(jù)保護與安全的事件往往沒有事先預(yù)兆，數(shù)據(jù)傳播的無邊界性導(dǎo)致危害結(jié)果難以遏制，即使事后盡快刪除了所有相關(guān)信息數(shù)據(jù)，但是造成的危害影響是難以消除的。

2.激勵機制為數(shù)據(jù)合規(guī)提供內(nèi)在動力。真正實現(xiàn)數(shù)據(jù)合規(guī)要求企業(yè)在將合規(guī)意識和具體措施貫穿至業(yè)務(wù)的全部流程，這對企業(yè)在數(shù)據(jù)收集、儲存和處理等各環(huán)節(jié)提出更高的技術(shù)要求，增加了企業(yè)的合規(guī)成本。然而，如果僅僅依靠外界的強制性規(guī)定和法律制裁，難以讓潛在違法犯罪者消除違法動因，自覺進行合規(guī)工作。在法律層面構(gòu)建數(shù)據(jù)合規(guī)激勵機制，例如建立有效數(shù)據(jù)合規(guī)能減輕處罰力度、達成行政和解等。通過體現(xiàn)數(shù)據(jù)合規(guī)對企業(yè)良好可持續(xù)發(fā)展的推動作用，可以促使企業(yè)將合規(guī)的外界要求化為內(nèi)在追求，讓企業(yè)有足夠的動力主動進行數(shù)據(jù)合規(guī)，建立并完善內(nèi)部數(shù)據(jù)合規(guī)建設(shè)，在合規(guī)的基礎(chǔ)上創(chuàng)造利潤的最大化。有效的數(shù)據(jù)合規(guī)包括數(shù)據(jù)安全技術(shù)的升級、定期的合規(guī)培訓(xùn)等，既能提升對外來黑客攻擊的防御能力，還可以降低內(nèi)部員工擅自泄露信息的可能性，雙重提高數(shù)據(jù)安全性。因有效落實數(shù)據(jù)合規(guī)而獲得寬大處理結(jié)果的事例，會為其他企業(yè)產(chǎn)生積極正向的引導(dǎo)作用，推動形成穩(wěn)定合規(guī)的行業(yè)自律。有效的數(shù)據(jù)合規(guī)也讓企業(yè)避免因違法犯罪而被處以嚴(yán)厲的法律制裁，為企業(yè)的持續(xù)發(fā)展保駕護航?？傊弦?guī)激勵機制是實現(xiàn)數(shù)據(jù)發(fā)展與安全的有效途徑。

(二)數(shù)據(jù)合規(guī)的行政監(jiān)管激勵機制

1.行政監(jiān)管激勵機制的探索。我國最早探索行政監(jiān)管激勵機制是在證券監(jiān)管領(lǐng)域，中國證監(jiān)會發(fā)布的《證券公司和證券投資基金管理公司合規(guī)管理辦法》確立了強制合規(guī)制度，并明確規(guī)定了如果證券基金經(jīng)營機構(gòu)存在“有效的合規(guī)，主動發(fā)現(xiàn)違法違規(guī)行為或合規(guī)風(fēng)險隱患，積極妥善處理，落實責(zé)任追究，完善內(nèi)部控制制度和業(yè)務(wù)流程并及時向中國證監(jiān)會或其派出機構(gòu)報告”的情形，可以“依法從輕、減輕處理”。(35)《證券公司和證券投資基金管理公司合規(guī)管理辦法》第36條：“證券基金經(jīng)營機構(gòu)通過有效的合規(guī)管理，主動發(fā)現(xiàn)違法違規(guī)行為或合規(guī)風(fēng)險隱患，積極妥善處理，落實責(zé)任追究，完善內(nèi)部控制制度和業(yè)務(wù)流程并及時向中國證監(jiān)會或其派出機構(gòu)報告的，依法從輕、減輕處理；情節(jié)輕微并及時糾正違法違規(guī)行為或避免合規(guī)風(fēng)險，沒有造成危害后果的，不予追究責(zé)任。對于證券基金經(jīng)營機構(gòu)的違法違規(guī)行為，合規(guī)負責(zé)人已經(jīng)按照本辦法的規(guī)定盡職履行審查、監(jiān)督、檢查和報告職責(zé)的，不予追究責(zé)任?！迸c監(jiān)管機構(gòu)達成行政和解，避免被追究刑事法律責(zé)任也是行政監(jiān)管激勵的一種方式。從理論而言，相較于從寬處理，達成行政和解無疑會產(chǎn)生更大的激勵效果。然而，相關(guān)的規(guī)定沒有發(fā)揮出行政和解對推動企業(yè)合規(guī)的最大激勵作用。

中國證監(jiān)會于2015年發(fā)布了《行政和解試點實施辦法》(以下簡稱《實施辦法》)，展開了行政和解制度的探索。該《實施辦法》正在被修訂，辦法名稱被修改為《證券期貨行政和解實施辦法》。(36)關(guān)于就《證券期貨行政和解實施辦法(征求意見稿)公開征求意見的通知》，http://www.csrc.gov.cn/pub/zjhpublic/zjh/202008/t20200807_381313.htm，2021年2月25日訪問。雖然原《實施辦法》和征求意見稿都要求和解協(xié)議中應(yīng)當(dāng)載明當(dāng)事人(行政相對人)糾正違法行為的整改具體措施安排，但是未將事前的合規(guī)機制或事后的主動報告與整改作為和解的適用條件，這樣的規(guī)定對激發(fā)企業(yè)合規(guī)內(nèi)在動力顯然效力不足。從實踐分析，行政和解試點工作從2015年開始，直至2019年才出現(xiàn)首個達成行政執(zhí)法和解的案例。(37)《中國證監(jiān)會2019年法治政府建設(shè)情況》，http://www.csrc.gov.cn/pub/newsite/zjhxwfb/xwdd/202004/t20200417_373995.html，2021年2月25日訪問。在中國證監(jiān)會與申請人達成行政和解協(xié)議的相關(guān)公告中，只載明了“申請人已采取必要措施加強公司的內(nèi)控管理，并在完成后向中國證監(jiān)會提交書面整改報告”。(38)中國證監(jiān)會發(fā)布的〔2019〕11號以及〔2020〕1號公告。卻未見和解協(xié)議的具體內(nèi)容以及加強內(nèi)控管理的具體措施。缺少行政和解工作的公開性和透明度不利于其他開展證券業(yè)務(wù)的企業(yè)從中吸取合規(guī)經(jīng)驗，對促進形成行業(yè)合規(guī)自律的效果產(chǎn)生了不良影響。

2.數(shù)據(jù)合規(guī)領(lǐng)域行政監(jiān)管激勵機制的初步構(gòu)建。除了《證券公司和證券投資基金管理公司合規(guī)管理辦法》外，《企業(yè)境外經(jīng)營合規(guī)管理指引》《經(jīng)營者反壟斷合規(guī)指南》等合規(guī)指南也陸續(xù)印發(fā)，但是相關(guān)法律法規(guī)并沒有規(guī)定將企業(yè)合規(guī)作為從寬處理的情形。在數(shù)據(jù)保護與安全方面，我國不斷加大對數(shù)據(jù)保護的力度，懲戒數(shù)據(jù)違法行為的執(zhí)法行動成為監(jiān)管活動的重要內(nèi)容，并呈現(xiàn)出常態(tài)化的趨勢。例如，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局四部門聯(lián)合開展全國范圍的互聯(lián)網(wǎng)網(wǎng)站安全專項整治工作,(39)莊紅韜、楊曦：《四部委聯(lián)合開展互聯(lián)網(wǎng)網(wǎng)站安全專項整治》，http://fi nance.people.com.cn/n1/2019/0613/c1004-31134313.html，2021年2月19日訪問。工業(yè)和信息化部展開的信息通信領(lǐng)域APP侵害用戶權(quán)益專項整治行動(40)工信微報：《工業(yè)和信息化部開展APP侵犯用戶權(quán)益專項整治行動》，http://www.cac.gov.cn/2019-11/04/c_1574399754695177.htm，2021年2月19日訪問。等。從相關(guān)部門的執(zhí)法活動可以看出，目前我國沒有統(tǒng)一的數(shù)據(jù)監(jiān)管部門，由多個監(jiān)管部門各自或聯(lián)動執(zhí)法，除此之外，一些行業(yè)主管機構(gòu)也在重視數(shù)據(jù)合規(guī)問題，例如中國證監(jiān)會、中國人民銀行。但是零散的執(zhí)法主體容易導(dǎo)致出現(xiàn)權(quán)責(zé)不清、效率低下等問題?！耙环ㄒ粵Q定”的實施報告(41)2017年12月24日在第十二屆全國人民代表大會常務(wù)委員會第三十一次會議上，全國人民代表大會常務(wù)委員會執(zhí)法檢查組關(guān)于檢查《網(wǎng)絡(luò)安全法》《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》實施情況的報告。指出網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)職能履行不夠順暢，存在同一事項重復(fù)檢查且標(biāo)準(zhǔn)不一等問題增加了執(zhí)法對象的額外負擔(dān)。從懲治措施分析，大多數(shù)執(zhí)法主體通過約談、警告、責(zé)令整改、罰款等措施查處各類數(shù)據(jù)違法行為，未將數(shù)據(jù)合規(guī)作為一種激勵手段。構(gòu)建數(shù)據(jù)合規(guī)方面的行政監(jiān)管激勵機制可以從以下幾個方面考慮。

首先，鑒于目前數(shù)據(jù)監(jiān)管存在“九龍治水”的現(xiàn)象，應(yīng)當(dāng)加強網(wǎng)信辦的統(tǒng)籌職能或者設(shè)立一個專門的數(shù)據(jù)監(jiān)管部門，有一個明確的主導(dǎo)部門才能有效推進合規(guī)激勵機制的建立與實踐。其次，可以加大行政處罰的力度并將有效的數(shù)據(jù)合規(guī)作為決定行政處罰力度的考慮因素。目前我國對于數(shù)據(jù)違法違規(guī)行為的行政處罰力度較低，過低的企業(yè)違法成本無法防范企業(yè)的數(shù)據(jù)違規(guī)行為。例如，《網(wǎng)絡(luò)安全法》對竊取個人數(shù)據(jù)等相關(guān)違法行為的處罰規(guī)定為“沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款”。然而谷歌公司因違反歐盟GDPR關(guān)于收集信息的相關(guān)規(guī)定而被罰款5000歐元。(42)參見余天：《法國對谷歌開5千萬歐元罰單，因違反數(shù)據(jù)隱私保護規(guī)定》，https://baijiahao.baidu.com/s?id=1623403410799939131&wfr=spider&for=pc，2021年3月20日訪問。同時，歐盟GDPR第83條規(guī)定了決定是否處以行政罰款以及罰款數(shù)額時應(yīng)當(dāng)考慮的因素包括企業(yè)合規(guī)程度。我國可以借鑒歐盟GDPR，通過加重對不合規(guī)的制裁力度以及強調(diào)企業(yè)合規(guī)程度對于制裁力度的影響這兩方面推動企業(yè)制定合規(guī)計劃。(43)See Voss, W. Gregory，Internal Compliance Mechanisms for Firms in the EU General Data Protection Regulation，Revue Juridique Themis, Vol. 50, Issue 3 (2016), pp.783-820.再次，可以嘗試在數(shù)據(jù)安全監(jiān)管領(lǐng)域引入行政和解制度。其中要注意明確以企業(yè)具備有效的數(shù)據(jù)合規(guī)制度作為適用條件之一，和解協(xié)議內(nèi)容要包括對合規(guī)的落實審查，增加行政和解工作的透明度，促進形成行業(yè)合規(guī)文化。由于數(shù)據(jù)安全類的違法行為產(chǎn)生的負面影響可能會涉及范圍甚廣、影響深遠，應(yīng)重視事前的合規(guī)防范，如果只是事后積極整改以及減少不良影響、承諾事后積極制定合規(guī)計劃，則應(yīng)限制行政和解的適用。最后，還要有齊備的配套措施，如制定相應(yīng)的合規(guī)指引和數(shù)據(jù)安全標(biāo)準(zhǔn)制度，為企業(yè)開展合規(guī)工作提供明確具體的方向；以及建立后續(xù)的監(jiān)督機制與審核機制，確保合規(guī)制度的落實等。

(三)數(shù)據(jù)合規(guī)的刑事激勵機制

1.刑事合規(guī)激勵機制的探索。合規(guī)激勵機制包括行政監(jiān)管激勵機制以及刑事激勵機制，不同于行政監(jiān)管激勵機制的探索思路，刑事激勵機制在理論研究和實踐試點上沒有限定犯罪類型和罪名，分析目前刑事合規(guī)激勵機制的探索情況有助于構(gòu)建契合數(shù)據(jù)合規(guī)的刑事激勵機制。

在刑事激勵機制中，將有效的合規(guī)作為法定的量刑情節(jié)、無罪辯護的事由、適用強制措施的考慮因素等都是激勵的具體方式。目前促進合規(guī)的刑事激勵機制只處于探索階段，我國還未真正形成刑事合規(guī)激勵的理念與制度。隨著社會發(fā)展，刑事訴訟需要適應(yīng)時代變化和治理需求進行觀念轉(zhuǎn)變和制度變革，實現(xiàn)刑事訴訟從以人為中心到個人與企業(yè)兼顧的轉(zhuǎn)變。(44)參見李玉華：《以合規(guī)為核心的企業(yè)認罪認罰從寬制度》，載《浙江工商大學(xué)學(xué)報》2021年第1期。探索建立刑事合規(guī)激勵機制就是對關(guān)注民營企業(yè)持續(xù)發(fā)展這一要求的回應(yīng)。最高人民檢察院于2020年3月啟動涉案違法犯罪依法不捕、不訴、不判處實刑的企業(yè)合規(guī)監(jiān)管試點工作，其中合規(guī)不起訴制度是理論和實踐中的研究重點，目前已有一些地區(qū)的檢察機關(guān)展開改革探索，例如浙江省岱山縣檢察院創(chuàng)新運用“認罪認罰+合規(guī)承諾+不起訴”辦案模式并推出《涉企案件刑事合規(guī)辦理規(guī)程(試行)》。(45)參見岱山縣檢察院：《岱山縣院依托刑事合規(guī)業(yè)務(wù)服務(wù)民營經(jīng)濟“乘風(fēng)破浪”》 ，http://www.zjdaishan.jcy.gov.cn/djdt/202011/t20201126_3057171.shtml，2021年2月26日訪問。還有深圳市寶安區(qū)檢察院對企業(yè)合規(guī)不起訴機制進行試點，創(chuàng)立了獨立監(jiān)控人制度和配套的合規(guī)專員制度，但是在開展刑事合規(guī)探索工作中也發(fā)現(xiàn)了諸如法律依據(jù)不足、受限于辦案期限與業(yè)務(wù)考核、驗收機制難度大、行刑程序銜接不暢等問題。(46)參見許錦標(biāo)：《我院黃美華檢察官應(yīng)邀在企業(yè)合規(guī)與社會治理專題研討會發(fā)表主題演講》，http://bajcy.baoan.gov.cn/bjzx_141860/bjxw_141864/202012/t20201228_5733068.html，2021年2月26日訪問。

2.數(shù)據(jù)合規(guī)刑事激勵機制的初步構(gòu)建。在刑事實體法層面，由于我國未確立嚴(yán)格責(zé)任制度，將企業(yè)數(shù)據(jù)合規(guī)作為出罪事由對促進企業(yè)合規(guī)的激勵效果可能并不明顯，在短時間內(nèi)無法解決這一問題，將企業(yè)數(shù)據(jù)合規(guī)作為量刑情節(jié)更具有操作性。刑罰既有懲罰的作用也有預(yù)防的作用，企業(yè)合規(guī)降低了借助刑法預(yù)防犯罪的必要性，可以以此作為減輕刑罰的事由。同時，主動的事前合規(guī)所對應(yīng)的從寬程度應(yīng)大于事后被動合規(guī)的從寬程度。此外，國家在為企業(yè)提供激勵動力的同時，應(yīng)當(dāng)增加相應(yīng)的壓力，壓力也是動力的來源。在數(shù)據(jù)犯罪規(guī)制方面，我國1997年《刑法》對侵入計算機系統(tǒng)類的犯罪進行規(guī)制，2009年將侵犯個人信息類犯罪納入刑法，經(jīng)過后續(xù)的修正案和司法解釋，對信息數(shù)據(jù)安全法益的保護逐漸完善，但是相關(guān)罪名的設(shè)定與大數(shù)據(jù)時代下的數(shù)據(jù)特征不太契合，導(dǎo)致對相關(guān)法益的保護尚不全面。例如，我國關(guān)于計算機犯罪的立法是以技術(shù)限定性為中心，很大程度上忽略了對數(shù)據(jù)的保護。(47)參見于志剛、李源粒：《大數(shù)據(jù)時代數(shù)據(jù)犯罪的類型化與制裁思路》，載《政治與法律》2016年第9期。激勵機制是為了促進企業(yè)合規(guī)，是為了保護企業(yè)的持續(xù)發(fā)展，而保護法益也是不可忽視的價值訴求。全面的法律規(guī)制，才能豐富完善合規(guī)的具體內(nèi)容，保障對信息數(shù)據(jù)安全法益的保護。

在刑事程序法層面，可以在適用強制性措施與程序分流兩個環(huán)節(jié)發(fā)揮對企業(yè)的數(shù)據(jù)合規(guī)激勵作用。(48)參見李玉華：《我國企業(yè)合規(guī)的刑事訴訟激勵》，載《比較法研究》2020年第1期。在強制性措施環(huán)節(jié)，可以將數(shù)據(jù)合規(guī)作為采取強制性措施的考慮因素，有效的數(shù)據(jù)合規(guī)可以避免對經(jīng)營活動影響較大的強制性措施或者縮短期限，以在偵查期間也能繼續(xù)正常經(jīng)營激勵企業(yè)開展數(shù)據(jù)合規(guī)。在程序分流環(huán)節(jié)，可以在符合其他法律條件的情況下采用簡易程序或速裁程序，減少企業(yè)在訴訟活動中的時間成本和人力物力以激勵企業(yè)進行數(shù)據(jù)合規(guī)工作。應(yīng)當(dāng)注意的是，在審查數(shù)據(jù)合規(guī)有效性以適用激勵機制時，應(yīng)當(dāng)結(jié)合數(shù)據(jù)保護與大數(shù)據(jù)企業(yè)的經(jīng)營規(guī)模與特點等多方面的因素。此外，對合規(guī)不起訴制度的探索能更大程度激勵企業(yè)進行數(shù)據(jù)合規(guī)。目前檢察機關(guān)探索出“檢察建議模式”和“附條件不起訴模式”這兩種激勵模式。(49)參見陳瑞華：《刑事訴訟的合規(guī)激勵模式》，載《中國法學(xué)》2020年第6期。最高人民檢察院發(fā)布的2019年度全國檢察機關(guān)社會治理類優(yōu)秀檢察建議中，就有檢察機關(guān)對企業(yè)發(fā)出關(guān)于加強用戶個人信息保護的檢察建議書，并在后續(xù)工作中召開了關(guān)于個人數(shù)據(jù)保護合規(guī)的研討會，督促企業(yè)根據(jù)檢察建議落實整改。(50)參見《上海市人民檢察院就互聯(lián)網(wǎng)應(yīng)用商店對收錄軟件個人信息保護未履行管理責(zé)任問題向某網(wǎng)絡(luò)科技有限公司制發(fā)檢察建議》，https://www.spp.gov.cn/spp/xwfbh/wsfbt/202008/t20200805_475448.shtml#4，2021年3月11日訪問。可見實踐中已有檢察機關(guān)推動數(shù)據(jù)合規(guī)的事例，是數(shù)據(jù)合規(guī)方面的刑事訴訟合規(guī)激勵的雛形，應(yīng)當(dāng)提高檢察機關(guān)對數(shù)據(jù)保護的重視，積極探索與完善激勵方式。

結(jié) 語

信息技術(shù)的快速發(fā)展使得數(shù)據(jù)成為重要的生產(chǎn)要素，在數(shù)據(jù)收集、利用與跨境流動過程中，數(shù)據(jù)過度收集、泄露等問題層出不窮。為了保護個人信息與維護國家安全，企業(yè)應(yīng)當(dāng)承擔(dān)相應(yīng)的社會責(zé)任，積極開展數(shù)據(jù)合規(guī)，監(jiān)管主體積極探索數(shù)據(jù)合規(guī)激勵機制是對治理能力現(xiàn)代化要求的回應(yīng)。數(shù)據(jù)合規(guī)幫助企業(yè)防范法律風(fēng)險，實現(xiàn)健康持續(xù)的發(fā)展，當(dāng)前其內(nèi)容主要包括個人數(shù)據(jù)保護合規(guī)和數(shù)據(jù)跨境流動合規(guī)兩個維度。個人數(shù)據(jù)保護合規(guī)主要需要注重在收集、利用過程的規(guī)范，遵守合法、正當(dāng)、必要的原則；數(shù)據(jù)跨境流動合規(guī)要求企業(yè)關(guān)注不同國家的規(guī)定而做出相應(yīng)的合規(guī)方案。目前國內(nèi)外對數(shù)據(jù)合規(guī)的監(jiān)管越來越嚴(yán)，我國企業(yè)應(yīng)提高數(shù)據(jù)合規(guī)意識，積極開展合規(guī)建設(shè)。同時，我國應(yīng)當(dāng)積極構(gòu)建數(shù)據(jù)合規(guī)激勵機制，促進企業(yè)將合規(guī)要求內(nèi)化，推動企業(yè)建立并落實數(shù)據(jù)合規(guī)。