孫 躍

近年來，持續(xù)高速發(fā)展的數(shù)字經(jīng)濟已經(jīng)成為我國經(jīng)濟增長和社會進步的重要驅(qū)動力之一。數(shù)據(jù)是數(shù)字經(jīng)濟的基本生產(chǎn)要素和載體，企業(yè)則是市場經(jīng)濟的主體及主要組織形式。因此，企業(yè)數(shù)據(jù)在數(shù)字經(jīng)濟中具有十分重要的地位。在域外，自2018年歐盟實施《通用數(shù)據(jù)保護條例》（簡稱GDPR）以來，西方發(fā)達(dá)國家圍繞企業(yè)數(shù)據(jù)治理展開的執(zhí)法活動日益頻繁。在國內(nèi)，隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》以及配套法律規(guī)范的相繼實施，依法依規(guī)治理企業(yè)數(shù)據(jù)處理活動已成為政府和企業(yè)必須面對的現(xiàn)實課題。

隨著合規(guī)制度被引入我國企業(yè)治理體系，通過合規(guī)建設(shè)來降低數(shù)據(jù)處理違規(guī)風(fēng)險對企業(yè)經(jīng)營造成的損失，具有較強的理論研究與實踐應(yīng)用價值。雖然當(dāng)前有不少學(xué)者對企業(yè)合規(guī)問題進行了研究，但普遍存在兩方面不足：其一，現(xiàn)有研究大多側(cè)重于從整體角度研究企業(yè)合規(guī)問題，針對企業(yè)數(shù)據(jù)合規(guī)的專門性研究成果還不夠豐富；其二，圍繞企業(yè)數(shù)據(jù)治理展開的研究更多側(cè)重于行政監(jiān)管與執(zhí)法視角，對數(shù)據(jù)合規(guī)這一以企業(yè)自治為主的創(chuàng)新機制關(guān)注度有限。基于上述研究背景與問題意識，本文將在明確企業(yè)數(shù)據(jù)合規(guī)基本定位的基礎(chǔ)之上，從應(yīng)對多維法律風(fēng)險的角度闡述企業(yè)數(shù)據(jù)合規(guī)的主要功能，并重點探討企業(yè)數(shù)據(jù)合規(guī)體系的構(gòu)建路徑，為企業(yè)數(shù)據(jù)合規(guī)建設(shè)及數(shù)據(jù)治理政務(wù)活動提供參考和指引。

一、企業(yè)數(shù)據(jù)合規(guī)的基本定位及作用

企業(yè)數(shù)據(jù)合規(guī)建設(shè)雖然以企業(yè)為中心和主體，但其重要意義并不局限于企業(yè)自身的經(jīng)營管理，還涉及個人權(quán)益與公共利益。從企業(yè)的角度來看，數(shù)據(jù)合規(guī)是一種具有創(chuàng)新性的企業(yè)數(shù)據(jù)治理模式。從個人權(quán)益角度來看，企業(yè)數(shù)據(jù)合規(guī)是一種加強個人信息保護的有效手段。從公共利益角度來看，企業(yè)數(shù)據(jù)合規(guī)建設(shè)有助于規(guī)范數(shù)字經(jīng)濟的發(fā)展。

（一）作為企業(yè)數(shù)據(jù)治理創(chuàng)新模式的數(shù)據(jù)合規(guī)

從企業(yè)經(jīng)營管理的角度來看，數(shù)據(jù)合規(guī)本質(zhì)上是一種針對企業(yè)數(shù)據(jù)處理活動的自我治理機制。首先，企業(yè)數(shù)據(jù)合規(guī)是一種數(shù)據(jù)處理法律風(fēng)險控制機制。根據(jù)法律風(fēng)險來源，數(shù)據(jù)違規(guī)風(fēng)險可以被分為兩類。第一類為數(shù)據(jù)違規(guī)的原生性風(fēng)險，主要是指因數(shù)據(jù)違規(guī)直接引發(fā)的風(fēng)險，如企業(yè)在收集與處理數(shù)據(jù)過程中對個人信息權(quán)益或相關(guān)公共利益的侵害引發(fā)的不利法律后果等。第二類為數(shù)據(jù)違規(guī)的派生性或次生性風(fēng)險，主要是指因數(shù)據(jù)違規(guī)間接引發(fā)的擴散性風(fēng)險。在數(shù)字化的大趨勢下，企業(yè)數(shù)據(jù)與財務(wù)、人力資源、法律事務(wù)、營銷、技術(shù)研發(fā)等各個業(yè)務(wù)部門之間均可能發(fā)生交叉關(guān)系，由此加劇了數(shù)據(jù)違規(guī)風(fēng)險的流動性與擴散性。通過建立數(shù)據(jù)合規(guī)機制，有助于降低數(shù)據(jù)違規(guī)的派生性風(fēng)險在企業(yè)各個業(yè)務(wù)部門之間的流動與擴散，從而使企業(yè)治理與合規(guī)體系更加完整。

其次，數(shù)據(jù)合規(guī)也是一種數(shù)據(jù)違規(guī)事后處理的創(chuàng)新機制，旨在降低數(shù)據(jù)違規(guī)活動造成的損失成本。數(shù)據(jù)違規(guī)可能會帶來大規(guī)模侵權(quán)、不正當(dāng)競爭或濫用市場支配地位、刑事犯罪等法律風(fēng)險，使包括企業(yè)在內(nèi)的多方主體遭受巨大損失。盡管建立數(shù)據(jù)合規(guī)體系并不能絕對避免數(shù)據(jù)違規(guī)事故的發(fā)生，但通過與執(zhí)法或司法活動的積極配合，可借助合規(guī)整改等方式減免相應(yīng)的法律責(zé)任。

最后，企業(yè)數(shù)據(jù)合規(guī)亦是一種可用于改善企業(yè)數(shù)據(jù)治理形象的創(chuàng)新機制。企業(yè)數(shù)據(jù)合規(guī)主要依靠企業(yè)的自我治理與約束，本質(zhì)上是一種“自律機制”。企業(yè)數(shù)據(jù)合規(guī)不僅可以提升企業(yè)處理數(shù)據(jù)的合法性，而且還可以增強企業(yè)的商業(yè)道德與科技倫理意識，有助于激勵企業(yè)承擔(dān)與之相匹配的社會責(zé)任，引導(dǎo)企業(yè)塑造良好的商業(yè)信譽與公共形象。

（二）作為加強個人信息保護手段的數(shù)據(jù)合規(guī)

隨著互聯(lián)網(wǎng)時代的來臨與數(shù)字科技的發(fā)展，數(shù)據(jù)已逐漸成為個人信息的主要載體?！睹穹ǖ洹冯m然并未直接采用“個人信息權(quán)（利）”的表述方式，但在第111條明確了“自然人的個人信息受法律保護”，相當(dāng)于確立了個人信息作為一種新興權(quán)益的法律地位。根據(jù)《個人信息保護法》第54條的規(guī)定，個人信息處理者應(yīng)當(dāng)定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計?？梢?，通過建立合規(guī)機制保護個人信息及數(shù)據(jù)權(quán)益已成為企業(yè)必須履行的法定義務(wù)。

從企業(yè)與個人的相互關(guān)系來看，相對于個人，企業(yè)經(jīng)營管理活動會有更大概率引發(fā)個人信息侵權(quán)行為。作為市場經(jīng)濟主導(dǎo)者的企業(yè)天然就擁有更多機會獲取其他主體的個人信息，包括用戶、員工以及來自第三方企業(yè)甚至政府機關(guān)的個人信息。例如，互聯(lián)網(wǎng)平臺企業(yè)擁有強大的科技和資本實力，能夠更加快捷高效地收集與處理海量個人信息，一旦違規(guī)處理數(shù)據(jù)，將對個人信息保護產(chǎn)生巨大威脅。又如，關(guān)鍵信息基礎(chǔ)設(shè)施運營者（CIIO）掌握的個人信息和數(shù)據(jù)關(guān)系到國計民生的重要領(lǐng)域，其對數(shù)據(jù)處理的合規(guī)性與國民數(shù)據(jù)安全之間具有密切聯(lián)系。因此，企業(yè)需要建立數(shù)據(jù)合規(guī)機制來履行保護個人信息和數(shù)據(jù)安全的法定義務(wù)。

從國家與個人的相互關(guān)系來看，個人信息權(quán)利束是國家履行積極保護義務(wù)和通過制度性保障對個人進行賦權(quán)的結(jié)果，是個人制衡信息處理者的工具和國家對數(shù)據(jù)處理者的規(guī)制策略。個人信息在概念上雖凸顯“個人”，但其并非純粹的私法權(quán)利，個人對其信息并不享有絕對支配權(quán)。質(zhì)言之，個人信息只有在公共領(lǐng)域才能發(fā)揮其身份識別功能以及基于此產(chǎn)生的財產(chǎn)性利益。不僅如此，在經(jīng)濟全球化與經(jīng)濟數(shù)字化的疊加效應(yīng)下，跨境數(shù)據(jù)流動不僅關(guān)乎國際貿(mào)易，而且也與國家數(shù)據(jù)安全甚至數(shù)據(jù)主權(quán)息息相關(guān)。數(shù)據(jù)合規(guī)建設(shè)的水平不僅關(guān)乎我國企業(yè)參與國際數(shù)字經(jīng)濟貿(mào)易活動，而且還會影響我國數(shù)字經(jīng)濟在全球范圍內(nèi)的戰(zhàn)略布局。

（三）作為數(shù)字經(jīng)濟發(fā)展規(guī)范方式的數(shù)據(jù)合規(guī)

數(shù)字經(jīng)濟的發(fā)展是一個“去中心化”與“再中心化”相互交織的過程：在“去中心化”過程中，需要增強社會的信任，以互動性、參與性的制度構(gòu)建回應(yīng)這一趨勢；在“再中心化”過程中，則需要防范平臺的無序擴張、野蠻生長所帶來的壟斷、不正當(dāng)競爭、隱私泄露等一系列風(fēng)險?！毒W(wǎng)絡(luò)安全法》第17條規(guī)定，鼓勵有關(guān)企業(yè)、機構(gòu)開展網(wǎng)絡(luò)安全認(rèn)證、檢測和風(fēng)險評估等安全服務(wù)是國家推進網(wǎng)絡(luò)安全社會化服務(wù)體系建設(shè)的重要路徑之一?！稊?shù)據(jù)安全法》第18條規(guī)定，國家支持有關(guān)部門、行業(yè)組織、企業(yè)、教育和科研機構(gòu)、有關(guān)專業(yè)機構(gòu)等在數(shù)據(jù)安全風(fēng)險評估、防范、處置等方面開展協(xié)作。鑒于此，數(shù)字經(jīng)濟發(fā)展的規(guī)范化需要引入“多元共治”理念，依靠由政府、企業(yè)、個人等“社會治理共同體”間的“共建共治共享”實現(xiàn)。

在企業(yè)層面，數(shù)據(jù)合規(guī)建設(shè)旨在引導(dǎo)企業(yè)從數(shù)字經(jīng)濟治理的對象轉(zhuǎn)向數(shù)字經(jīng)濟治理的主體之一，進而提升企業(yè)參與數(shù)字經(jīng)濟治理的主動性與積極性，增強其在數(shù)據(jù)治理活動中的參與感與獲得感。對于政府而言，企業(yè)數(shù)據(jù)合規(guī)建設(shè)可以降低行政監(jiān)管與執(zhí)法的成本，提高數(shù)據(jù)治理政務(wù)活動的效率與效果。就“企業(yè)—政府”的雙向互動關(guān)系而言，企業(yè)數(shù)據(jù)合規(guī)建設(shè)可以促進形成“內(nèi)外聯(lián)動”與“自治+他治”的“數(shù)據(jù)多元共治”新格局，進一步凝聚企業(yè)與政府在規(guī)范數(shù)字經(jīng)濟發(fā)展方面的合力，最終形成更加持久穩(wěn)固的數(shù)字經(jīng)濟秩序。

二、企業(yè)數(shù)據(jù)合規(guī)法律風(fēng)險應(yīng)對功能的多維展開

企業(yè)數(shù)據(jù)合規(guī)具有創(chuàng)新企業(yè)治理、加強個人信息保護、規(guī)范數(shù)字經(jīng)濟發(fā)展等諸多作用，而這些均建立在企業(yè)數(shù)據(jù)合規(guī)具有的數(shù)據(jù)處理活動風(fēng)險應(yīng)對功能之上。結(jié)合企業(yè)經(jīng)營與管理的實際情況，企業(yè)數(shù)據(jù)合規(guī)的功能可從不同法律部門與領(lǐng)域的視角展開。

（一）基于民商經(jīng)濟法維度的分析

《民法典》在第四篇第六章中明確了個人信息及隱私保護的規(guī)則，奠定了個人信息保護的私法基礎(chǔ)。根據(jù)《個人信息保護法》第69條和最高人民法院《關(guān)于人臉識別技術(shù)處理個人信息的司法解釋》第6條的要旨，若企業(yè)平時不能采取有效措施存儲證據(jù)以證明其在數(shù)據(jù)處理過程中不存在過錯或不當(dāng)行為，在日后糾紛中將可能承擔(dān)敗訴風(fēng)險。由于數(shù)據(jù)往往以具體產(chǎn)品或服務(wù)為載體，互聯(lián)網(wǎng)平臺企業(yè)需要在提供服務(wù)時與用戶訂立合同。數(shù)據(jù)糾紛類案件不僅可能涉及民事法律關(guān)系，還可能與經(jīng)濟法中的濫用市場支配地位、不正當(dāng)競爭以及消費者權(quán)益保護等問題相關(guān)聯(lián)，數(shù)據(jù)處理違規(guī)引發(fā)的風(fēng)險還會從傳統(tǒng)侵權(quán)法領(lǐng)域擴展到合同法、經(jīng)濟法等領(lǐng)域。例如，在全國首例涉直播數(shù)據(jù)權(quán)益不正當(dāng)競爭案中，法院就判定數(shù)據(jù)獲取違規(guī)行為同時侵害了主播個人信息權(quán)利、消費者權(quán)益以及基于正當(dāng)競爭市場經(jīng)濟秩序的公共利益。法院認(rèn)定企業(yè)通過App與用戶簽訂了《服務(wù)協(xié)議》《隱私政策》，通過收集用戶數(shù)據(jù)實施基于特定算法的價格歧視（即“大數(shù)據(jù)殺熟”）行為存在虛假宣傳、價格欺詐和欺騙行為，判令企業(yè)應(yīng)當(dāng)承擔(dān)《消費者權(quán)益保護法》第55條規(guī)定的“退一賠三”懲罰性賠償責(zé)任。

由于企業(yè)數(shù)據(jù)處理違規(guī)引發(fā)的個人信息侵權(quán)風(fēng)險可能會從個人利益層面擴張到公共利益層面，根據(jù)《個人信息保護法》第70條以及《民事訴訟法》第55條的規(guī)定，企業(yè)數(shù)據(jù)的違規(guī)處理還會產(chǎn)生被提起公益訴訟的風(fēng)險。在最高人民檢察院2021 年4月發(fā)布的“檢察機關(guān)個人信息保護公益訴訟典型案例”中，有一起案例涉及某網(wǎng)絡(luò)科技企業(yè)侵害公民個人信息，最終該企業(yè)被當(dāng)?shù)貦z察機關(guān)提起民事公益訴訟并責(zé)令限期整改。

綜上，基于民商經(jīng)濟法的維度，加強企業(yè)數(shù)據(jù)合規(guī)建設(shè)主要具有以下功能：（1）降低因侵害個人信息及數(shù)據(jù)權(quán)益引發(fā)的民事訴訟概率；（2）防止因侵害個人信息及數(shù)據(jù)權(quán)益引發(fā)的個體訴訟向群體訴訟甚至公益訴訟轉(zhuǎn)化；（3）通過替代性的糾紛解決方案控制因侵害個人信息及數(shù)據(jù)權(quán)益引發(fā)的訴訟烈度，降低數(shù)據(jù)處理活動引發(fā)的民事爭議解決成本；（4）對于難以避免的民事訴訟風(fēng)險，企業(yè)可通過數(shù)據(jù)合規(guī)建設(shè)來強化日常管理與證據(jù)固定，在一定程度上避免其在訴訟中處于明顯不利地位。

（二）基于行政法維度的分析

自2017年《網(wǎng)絡(luò)安全法》實施以來，各級執(zhí)法機關(guān)越發(fā)重視對企業(yè)數(shù)據(jù)合規(guī)的行政監(jiān)管，企業(yè)因未落實網(wǎng)絡(luò)安全等級保護制度及網(wǎng)絡(luò)安全保護義務(wù)、未履行個人信息保護義務(wù)、未落實真實身份信息認(rèn)證、未履行網(wǎng)絡(luò)信息內(nèi)容審核義務(wù)、網(wǎng)絡(luò)產(chǎn)品和服務(wù)不符合法定要求等方面的事由遭受行政處罰的案例日益增多。實踐中，銀行、證券、保險等金融行業(yè)是企業(yè)數(shù)據(jù)合規(guī)風(fēng)險的高發(fā)領(lǐng)域。自2018 年中國銀保監(jiān)會發(fā)布《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》后，不少企業(yè)因監(jiān)管標(biāo)準(zhǔn)化數(shù)據(jù)（EAST）系統(tǒng)數(shù)據(jù)質(zhì)量及報送存在違法違規(guī)行為而受罰。根據(jù)《個人信息保護法》第66條的規(guī)定，個人信息違法行為的行政處罰責(zé)任被進一步加重，主要體現(xiàn)在“罰金幅度提高”和“行業(yè)禁入”兩個方面。不僅如此，數(shù)據(jù)違規(guī)行為還會影響企業(yè)上市與投融資業(yè)務(wù)的開展。隨著網(wǎng)信、工信、市場監(jiān)管、公安等部門以及地方政府陸續(xù)制定關(guān)于數(shù)據(jù)合規(guī)的各種規(guī)范與標(biāo)準(zhǔn)，數(shù)據(jù)行政監(jiān)管規(guī)范體系將日益健全，行政監(jiān)管和處罰力度將呈現(xiàn)加大趨勢。在此背景下，企業(yè)建立數(shù)據(jù)合規(guī)可主動配合數(shù)據(jù)行政監(jiān)管，通過“內(nèi)外結(jié)合”的方式滿足合規(guī)經(jīng)營需求。

除配合日常行政監(jiān)管外，企業(yè)數(shù)據(jù)合規(guī)還具有促進行政執(zhí)法和解的激勵功能。所謂行政執(zhí)法和解，即行政機關(guān)在執(zhí)法活動中與行政相對人進行協(xié)商并達(dá)成和解協(xié)議的方式，在行政相對人滿足限定條件的前提下減免行政處罰。行政執(zhí)法和解具有較強的協(xié)商性與民主性，有助于將行政監(jiān)管理念從處罰轉(zhuǎn)變?yōu)轭A(yù)防，通過督促企業(yè)整改等方式降低行政執(zhí)法成本、提高行政執(zhí)法效率、激勵企業(yè)合規(guī)經(jīng)營。盡管我國尚未建立一般性行政執(zhí)法和解制度，但中國證監(jiān)會早在2015 年就發(fā)布了《行政和解試點實施辦法》，嘗試在金融監(jiān)管與執(zhí)法領(lǐng)域探索構(gòu)建行政和解制度。可以預(yù)見的是，隨著行政執(zhí)法和解制度的日益成熟，其遲早會進入數(shù)據(jù)治理系統(tǒng)并與數(shù)據(jù)合規(guī)機制建立耦合關(guān)系?？梢?，企業(yè)通過建立數(shù)據(jù)合規(guī)并將其作為一種行政執(zhí)法和解的激勵工具，具有降低因行政處罰等制裁措施造成的經(jīng)營損失以及預(yù)防數(shù)據(jù)監(jiān)管與處罰風(fēng)險的重要功能。

（三）基于刑事法維度的分析

《刑法》中與企業(yè)數(shù)據(jù)合規(guī)相關(guān)的罪名可以被分為兩類。一類是與個人信息保護直接相關(guān)的罪名，主要包括《刑法》第253條之一規(guī)定的“侵犯公民個人信息罪”以及第286條之一規(guī)定的“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”。另一類則是與個人信息保護存在間接關(guān)聯(lián)的罪名。以侵犯公民個人信息罪為例，該罪名增設(shè)于2009 年實施的《刑法修正案（七）》。2015年實施的《刑法修正案（九）》將該罪的主體范圍進行了擴張，并提高了最高法定刑幅度，折射出立法機關(guān)對個人信息保護重視程度不斷提高的總體趨勢。在司法領(lǐng)域，最高人民法院、最高人民檢察院近年來也陸續(xù)在涉及數(shù)據(jù)及個人信息保護等領(lǐng)域發(fā)布了刑事司法解釋及指導(dǎo)性案例，體現(xiàn)出司法機關(guān)對打擊治理相關(guān)領(lǐng)域犯罪活動的重視。

《刑法》中關(guān)于個人信息保護的罪名有相當(dāng)一部分屬于單位犯罪。從程序法與實體法互動角度來看，即便企業(yè)最后被追究的罪名不成立，刑事訴訟程序的嚴(yán)苛性與復(fù)雜性也會嚴(yán)重影響企業(yè)的經(jīng)營及公眾形象。根據(jù)實踐經(jīng)驗，企業(yè)合規(guī)可以在爭取不起訴或暫緩起訴、尋求無罪抗辯、減輕刑事處罰等方面產(chǎn)生積極作用。綜上，將數(shù)據(jù)合規(guī)作為專項計劃融入企業(yè)刑事合規(guī)體系之中，不僅具有預(yù)防數(shù)據(jù)犯罪活動的重要功能，同時還具有減免此類犯罪刑事法律責(zé)任的刑事訴訟激勵功能。

（四）基于國際法維度的分析

企業(yè)數(shù)據(jù)合規(guī)具有引導(dǎo)企業(yè)數(shù)據(jù)處理活動符合域外及國際數(shù)據(jù)規(guī)范的功能。在經(jīng)濟全球化與經(jīng)濟數(shù)字化兩大趨勢的疊加背景下，各國對個人信息保護及跨境數(shù)據(jù)合規(guī)的重視程度越來越高。這意味著企業(yè)在參與國際數(shù)字經(jīng)濟貿(mào)易活動中，因違反國際組織或外國相關(guān)法律法規(guī)而引發(fā)的數(shù)據(jù)處理風(fēng)險不斷上升。歐盟GDPR 第六章規(guī)定，各國應(yīng)當(dāng)設(shè)立獨立的政府監(jiān)管機構(gòu)來監(jiān)督數(shù)據(jù)合規(guī)問題。2021年，歐盟依據(jù)GDPR進行的罰款總額為11億歐元，約為2020 年罰款總額的7 倍。近年來，我國已有多家企業(yè)因數(shù)據(jù)合規(guī)問題遭到不同方式與程度的制裁；亦有部分國家通過提高數(shù)據(jù)合規(guī)準(zhǔn)入門檻，在實質(zhì)上設(shè)立了“數(shù)據(jù)貿(mào)易壁壘”?？鐕髽I(yè)的合規(guī)建設(shè)已無法回避國際法律維度下的數(shù)據(jù)跨境合規(guī)問題。

不同國家或國際組織對數(shù)據(jù)合規(guī)設(shè)置的具體標(biāo)準(zhǔn)碎片化現(xiàn)象比較嚴(yán)重，容易引發(fā)規(guī)范間的沖突，具體體現(xiàn)在“價值”與“規(guī)則”兩方面。一方面，不同國家、地區(qū)對數(shù)據(jù)合規(guī)價值取向的側(cè)重有所不同。例如，相對于歐盟GDPR，美國2018 年頒布的《加利福尼亞消費者隱私法》（簡稱CCPA）更加重視產(chǎn)業(yè)利益，強調(diào)通過合理地削弱個人對數(shù)據(jù)信息的絕對控制權(quán)來為數(shù)據(jù)所有者與控制者留有探索創(chuàng)新性數(shù)據(jù)交易商業(yè)模式的空間。另一方面，不同國家、地區(qū)關(guān)于同一數(shù)據(jù)合規(guī)事項的規(guī)定不盡相同。例如，我國2022 年制定的《數(shù)據(jù)出境安全評估辦法》就面臨與GDPR、美國與歐盟的《隱私盾協(xié)議》（U.S.-EU Privacy Shield）、OECD 規(guī)則體系的銜接問題。為了應(yīng)對上述挑戰(zhàn)，數(shù)據(jù)合規(guī)的功能需要從銜接本國數(shù)據(jù)規(guī)范與國際多元數(shù)據(jù)規(guī)范的維度展開。

三、企業(yè)數(shù)據(jù)合規(guī)體系的構(gòu)建路徑

企業(yè)數(shù)據(jù)合規(guī)體系主要包括基本原則、流程及其內(nèi)容、專門機構(gòu)與運行機制三部分。數(shù)據(jù)合規(guī)基本原則為企業(yè)數(shù)據(jù)合規(guī)奠定價值取向與總體目標(biāo)，是數(shù)據(jù)合規(guī)體系的“靈魂”；數(shù)據(jù)合規(guī)流程及內(nèi)容確定了企業(yè)數(shù)據(jù)合規(guī)體系建設(shè)的框架和具體事項，是數(shù)據(jù)合規(guī)的“骨骼”與“血肉”；數(shù)據(jù)合規(guī)專門機構(gòu)與運行機制涉及企業(yè)數(shù)據(jù)合規(guī)的具體實施主體及作業(yè)模式，是數(shù)據(jù)合規(guī)體系的“神經(jīng)系統(tǒng)”。

（一）樹立企業(yè)數(shù)據(jù)合規(guī)的基本原則

通過綜合分析我國數(shù)據(jù)領(lǐng)域的主要立法以及域外代表性法律規(guī)范（特別是歐盟GDPR）中的一般性條款與法律原則規(guī)定，可以提煉出數(shù)據(jù)合規(guī)應(yīng)遵循的四項基本原則：合法合規(guī)、告知同意、正當(dāng)目的、最小必要。合法合規(guī)原則是數(shù)據(jù)合規(guī)建設(shè)的首要原則與最低限度；告知同意原則是數(shù)據(jù)合規(guī)風(fēng)險控制的主要準(zhǔn)則；正當(dāng)目的原則是在實質(zhì)層面對合法合規(guī)原則的補充與調(diào)整；最小必要原則是在企業(yè)數(shù)據(jù)權(quán)益與個人信息權(quán)益之間進行權(quán)衡所應(yīng)遵循的原則。

1.合法合規(guī)原則

關(guān)于個人信息保護與數(shù)據(jù)處理的立法，無論是我國還是歐盟GDPR，都將合法性（合法合規(guī)）原則確立為企業(yè)數(shù)據(jù)合規(guī)應(yīng)當(dāng)滿足的首要原則與最低標(biāo)準(zhǔn)。合法合規(guī)原則可以從狹義和廣義兩個角度理解。狹義上的合法合規(guī)原則要求企業(yè)處理數(shù)據(jù)活動必須遵守法律、行政法規(guī)的基本規(guī)定，特別是與個人信息保護及數(shù)據(jù)處理直接相關(guān)的法律規(guī)定。廣義上的合法合規(guī)原則要求企業(yè)數(shù)據(jù)合規(guī)除符合相關(guān)法律、行政法規(guī)外，還必須符合與這些法律、行政法規(guī)相關(guān)的輔助性或解釋性規(guī)范。由于法律、行政法規(guī)的內(nèi)容相對抽象和概括，在適用與執(zhí)行過程中還需要進一步的細(xì)化與解釋。實踐中，行政機關(guān)或司法機關(guān)往往會制定一系列規(guī)范以作為監(jiān)管執(zhí)法活動或司法裁判活動的依據(jù)，這些規(guī)范雖然并非我國2015 年《立法法》中規(guī)定的法律或行政法規(guī)，但在內(nèi)容上具有更強的可操作性，因而也應(yīng)當(dāng)被作為企業(yè)合規(guī)建設(shè)遵守的規(guī)范依據(jù)。

行政執(zhí)法機關(guān)制定的數(shù)據(jù)規(guī)范主要包括：（1）國務(wù)院各部門制定的規(guī)章，如工信部制定的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》、國家互聯(lián)網(wǎng)信息辦公室制定的《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》、國家互聯(lián)網(wǎng)信息辦公室和工業(yè)和信息化部等部門聯(lián)合制定《App 違法違規(guī)收集使用個人信息行為認(rèn)定方法》等；（2）地方性法規(guī)，如《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》《上海市數(shù)據(jù)條例》等；（3）地方規(guī)范性文件，如廣州市國資委制定的《廣州市國資委監(jiān)管企業(yè)數(shù)據(jù)安全合規(guī)管理指南（試行2021年版）》等；（4）國家標(biāo)準(zhǔn)或團體規(guī)定，如全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會制定的《信息安全技術(shù)—個人信息去標(biāo)識化指南》（GB/T 37964—2019）、《個人信息安全影響評估指南》（GB/T 39335—2020）等。

司法機關(guān)制定或通過個案裁判形成的數(shù)據(jù)規(guī)范主要包括：（1）司法解釋，如最高人民法院制定的《關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》《關(guān)于審理侵害信息網(wǎng)絡(luò)傳播權(quán)民事糾紛案件適用法律若干問題的規(guī)定》《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》等；（2）判例，特別是最高人民法院或最高人民檢察院發(fā)布的指導(dǎo)性案例、典型案例等。例如，最高人民法院指導(dǎo)案例145 至147 號、最高人民檢察院發(fā)布的檢察機關(guān)個人信息保護公益訴訟典型案例等權(quán)威性司法案例，均涉及個人信息保護與數(shù)據(jù)合規(guī)問題。

2.告知同意原則

我國《民法典》第1035 條第一款第（一）項、《數(shù)據(jù)安全法》第18條和第19條、《個人信息保護法》第13 條第一款第（一）項、《網(wǎng)絡(luò)安全法》第22 條第三款共同確立了個人信息數(shù)據(jù)處理的“告知同意原則”；歐盟GDPR 在第7條和第8條對數(shù)據(jù)處理的同意原則進行了專門規(guī)定。告知同意本質(zhì)上是一種建立在企業(yè)與個人之間的數(shù)據(jù)處理合意（契約）行為，其內(nèi)涵可以從程序前置性、告知方式、特殊情形下的單獨同意以及例外情形等四個方面展開。

首先，通過特定的方式告知并取得個人同意應(yīng)當(dāng)作為所有個人信息數(shù)據(jù)處理活動的前置程序。為了避免沒有履行告知與同意義務(wù)的風(fēng)險，應(yīng)根據(jù)我國《個人信息保護法》第17條規(guī)定，采取“處理前告知同意”而非“事后追認(rèn)”的方式。其次，告知應(yīng)當(dāng)采用明確易理解的方式。根據(jù)《個人信息保護法》第14條的規(guī)定，基于個人同意處理個人信息的，該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿且明確地作出。以網(wǎng)站或App中的“隱私政策”為例，不能期待用戶以全文閱讀的方式了解所有的隱私條款，因而企業(yè)在設(shè)定用戶的義務(wù)或者擴大經(jīng)營者被授權(quán)的范圍時，應(yīng)當(dāng)采取更加顯著的方式進行重點提示和解釋說明。再次，要對法定應(yīng)當(dāng)采取單獨同意方式處理個人信息數(shù)據(jù)進行專門的合規(guī)審查。根據(jù)《個人信息保護法》，當(dāng)存在“向第三方提供其處理的個人信息”“公開其處理的個人信息”“對外提供個人圖像、個人身份特征信息”“處理敏感個人信息”“向境外提供個人信息”等情形時，需要以單獨方式征求個人同意。最后，需要明確告知同意原則的例外情形。實踐中常見的除外情形有兩類：其一為“法律、行政法規(guī)另有規(guī)定的事項”，通常是緊急情況下出于維護重大公共利益的需求。此種情形下需要遵循比例原則，衡量并判斷個人信息權(quán)益與公共利益孰輕孰重，同時應(yīng)根據(jù)《個人信息保護法》第18條第二款的規(guī)定，在緊急情況消失后及時告知個人。其二為“特殊群體的告知同意規(guī)則”。例如，根據(jù)《個人信息保護法》第31 條，個人信息處理者處理不滿14 周歲未成年人的個人信息應(yīng)當(dāng)取得其父母或者其他監(jiān)護人的同意。

3.正當(dāng)目的原則

我國《民法典》第1035 條第一款、《個人信息保護法》第5 條、《數(shù)據(jù)安全法》第17 條第一款、《網(wǎng)絡(luò)安全法》第41條第一款共同確立了個人信息數(shù)據(jù)處理的正當(dāng)性（正當(dāng)目的）原則；歐盟GDPR 第5 條和第6條中均有關(guān)于數(shù)據(jù)處理目的限制的規(guī)定。如果說合法合規(guī)原則是對數(shù)據(jù)合規(guī)進行判斷的形式標(biāo)準(zhǔn)，那么正當(dāng)目的則是對數(shù)據(jù)合規(guī)進行實質(zhì)性判斷的重要標(biāo)準(zhǔn)之一。

首先，基于正當(dāng)性原則的合規(guī)性審查，要重點考察企業(yè)對個人信息數(shù)據(jù)進行處理時是否具有明確的正當(dāng)性依據(jù)。根據(jù)《民法典》第1036條以及《個人信息保護法》第13條的規(guī)定，個人信息處理的正當(dāng)性依據(jù)主要包括：（1）為了履行約定義務(wù)；（2）為了履行法定義務(wù)；（3）為了應(yīng)對突發(fā)公共衛(wèi)生事件或者緊急情況下保護自然人的生命健康和財產(chǎn)安全；（4）為了公共利益并合理處理；（5）在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息。因此，在個人信息數(shù)據(jù)處理缺乏以上法定事由作為正當(dāng)性基礎(chǔ)時，就應(yīng)當(dāng)認(rèn)定處理行為違規(guī)。其次，根據(jù)《個人信息保護法》第21條的規(guī)定，在個人信息處理者委托處理個人信息的情況下，還需要審查受托人是否在約定的目的范圍內(nèi)處理個人信息數(shù)據(jù)。最后，根據(jù)《個人信息保護法》第26條的規(guī)定，企業(yè)收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他（如商業(yè)營利）目的。

4.最小必要原則

我國《民法典》第1035 條第一款、《個人信息保護法》第5 條、《數(shù)據(jù)安全法》第17 條第一款、《網(wǎng)絡(luò)安全法》第41條第一款共同確立了數(shù)據(jù)處理活動的最小必要原則；歐盟GDPR 則在第5 條1（c）中規(guī)定了最小必要原則。

首先，企業(yè)在處理個人信息數(shù)據(jù)時，需要將數(shù)據(jù)處理限定在實現(xiàn)其服務(wù)功能的最小信息范圍內(nèi)。為了滿足這一要求，應(yīng)當(dāng)從“定性”和“定量”兩個維度對企業(yè)數(shù)據(jù)合規(guī)進行審查。定性審查的重點在于考察企業(yè)處理個人信息是否與其提供的服務(wù)密切相關(guān)，在非必要的情況下不得收集個人信息。定量審查需要考察企業(yè)處理數(shù)據(jù)的規(guī)模體量與其提供服務(wù)基本需求之間的比例是否得當(dāng)，不應(yīng)以提供必要服務(wù)為由進行個人信息數(shù)據(jù)的超量處理。其次，企業(yè)在對最小必要原則進行抗辯時，要遵循《個人信息保護法》第16條的規(guī)定。除非處理個人信息屬于企業(yè)提供產(chǎn)品或者服務(wù)所必需，否則企業(yè)不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)。最后，要對最小必要原則進行動態(tài)合規(guī)性審查。根據(jù)《個人信息保護法》第19條的規(guī)定，個人信息數(shù)據(jù)存儲期限應(yīng)當(dāng)為實現(xiàn)處理目的所必要的最短時間。此外，還要根據(jù)《個人信息保護法》第47條的規(guī)定，審查個人信息數(shù)據(jù)存儲的必要性基礎(chǔ)是否喪失，當(dāng)存在以下兩種情形時，應(yīng)當(dāng)主動刪除或配合個人行使刪除權(quán)（被遺忘權(quán)）：（1）處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；（2）企業(yè)停止提供產(chǎn)品或者服務(wù)或存儲期限已屆滿。

（二）明確企業(yè)數(shù)據(jù)合規(guī)的流程及其內(nèi)容

數(shù)據(jù)處理是由多個環(huán)節(jié)組成的活動。根據(jù)數(shù)據(jù)處理活動的不同環(huán)節(jié)，企業(yè)數(shù)據(jù)處理活動主要包括數(shù)據(jù)收集、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)流轉(zhuǎn)等流程。明確這些流程中的合規(guī)事項及其審查標(biāo)準(zhǔn)，是企業(yè)數(shù)據(jù)合規(guī)體系構(gòu)建的主要內(nèi)容。

1.數(shù)據(jù)收集合規(guī)

根據(jù)來源的不同，數(shù)據(jù)收集可以被分為直接收集和間接收集。直接收集即企業(yè)采用一定的技術(shù)手段直接獲取個人信息數(shù)據(jù)。根據(jù)《信息安全技術(shù)個人信息安全規(guī)范》《App違法違規(guī)認(rèn)定方法》《App違法違規(guī)收集使用個人信息自評估指南》的相關(guān)規(guī)定，企業(yè)在收集用戶個人信息時要堅持合法與誠信原則，不得使用欺詐、誘騙、誤導(dǎo)或以合法形式掩蓋非法目的等方式；也不得隱瞞產(chǎn)品或服務(wù)的個人信息收集功能。因此，數(shù)據(jù)收集合規(guī)審查應(yīng)當(dāng)圍繞企業(yè)是否將收集活動的目的、方式、可能的后果等如實告知用戶進行。間接收集即企業(yè)從第三方（通常是數(shù)據(jù)交易相對人）處獲取個人信息等數(shù)據(jù)。針對第三方提供的個人信息，企業(yè)有必要將數(shù)據(jù)合規(guī)審查嵌入與目標(biāo)企業(yè)交易的盡職調(diào)查流程中，防止數(shù)據(jù)收集違規(guī)引發(fā)的法律風(fēng)險在具有交易關(guān)系的企業(yè)之間傳遞。

同時，企業(yè)還要對個人信息數(shù)據(jù)收集的技術(shù)手段進行合規(guī)審查，例如實踐中被廣泛使用“網(wǎng)絡(luò)爬蟲”。網(wǎng)絡(luò)爬蟲是一種由機器模仿人的行為抓取數(shù)據(jù)的工具，爬蟲的活動一般表面顯現(xiàn)為正常用戶的操作。當(dāng)企業(yè)運營爬蟲工具收集數(shù)據(jù)時，如果沒有履行對個人的告知同意義務(wù)或違反被爬取網(wǎng)站的Robots協(xié)議（反爬蟲協(xié)議），則有可能會面臨承擔(dān)民事侵權(quán)責(zé)任甚至刑事責(zé)任的后果。因此，企業(yè)需要對爬蟲技術(shù)的運用進行合規(guī)監(jiān)控，在直接爬取個人信息數(shù)據(jù)時要履行告知同意義務(wù)；在爬取其他網(wǎng)站數(shù)據(jù)時，要遵循網(wǎng)站的Robots 協(xié)議，不得運用技術(shù)手段繞開或破壞被爬取網(wǎng)站的反爬取系統(tǒng)。

2.數(shù)據(jù)存儲合規(guī)

企業(yè)數(shù)據(jù)存儲的合規(guī)事項包括三個主要內(nèi)容。首先，企業(yè)要加強個人信息數(shù)據(jù)存儲的安全保障機制。“對外”層面，非因法定或約定事由，企業(yè)不得隨意公開個人信息數(shù)據(jù)，并應(yīng)當(dāng)采取必要技術(shù)手段對個人信息數(shù)據(jù)進行加密保護。“對內(nèi)”層面，企業(yè)需要建立完整的數(shù)據(jù)訪問權(quán)限與監(jiān)管機制，防止數(shù)據(jù)被無權(quán)或越權(quán)訪問，并能夠通過數(shù)據(jù)訪問記錄追蹤數(shù)據(jù)訪問情況，確定數(shù)據(jù)安全的責(zé)任主體。

其次，企業(yè)要對存儲的個人信息數(shù)據(jù)進行分類與分級管理。企業(yè)應(yīng)當(dāng)運用類型化思維，綜合現(xiàn)行法律法規(guī)、國家標(biāo)準(zhǔn)（如《信息系統(tǒng)安全等級保護定級指南》）以及地方政府?dāng)?shù)據(jù)分類分級指南的規(guī)定，對各類數(shù)據(jù)分類分級管理，以確保數(shù)據(jù)存儲的安全性。在此基礎(chǔ)上，企業(yè)還應(yīng)當(dāng)著重加強對生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡、未成年人等個人敏感信息的保護，防止個人敏感信息被泄露、非法提供或濫用。

最后，根據(jù)《個人信息保護法》第51 條規(guī)定，企業(yè)還需要對個人信息進行去標(biāo)識處理。企業(yè)需要建立“確定目標(biāo)—識別標(biāo)識—處理標(biāo)識—驗證審批”的個人信息去標(biāo)識化流程機制，運用統(tǒng)計技術(shù)、密碼技術(shù)、抑制技術(shù)、假名化技術(shù)、泛化技術(shù)、隨機化技術(shù)以及數(shù)據(jù)合成技術(shù)等手段進行個人信息數(shù)據(jù)的去標(biāo)識化。

3.數(shù)據(jù)使用合規(guī)

狹義上的數(shù)據(jù)使用合規(guī)主要面向企業(yè)自身使用數(shù)據(jù)的行為。企業(yè)在使用數(shù)據(jù)時往往需要借助特定的算法實現(xiàn)，因而除應(yīng)當(dāng)貫徹企業(yè)數(shù)據(jù)合規(guī)的基本原則外，企業(yè)還需要重視對算法合規(guī)的審查。根據(jù)《個人信息保護法》第24 條以及網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局制定的《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》，對算法合規(guī)的審查主要從“算法透明”“算法公正”“算法弱勢群體保護”等角度展開。算法透明要求企業(yè)應(yīng)當(dāng)以顯著方式告知用戶其提供算法推薦服務(wù)的情況，并以適當(dāng)方式公示算法推薦服務(wù)的基本原理、目的意圖和主要運行機制等，避免“算法黑箱”損害個人信息權(quán)益。算法公正要求企業(yè)應(yīng)當(dāng)向用戶提供不針對其個人特征的選項或者向用戶提供便捷的關(guān)閉算法推薦服務(wù)的選項，不得運用算法技術(shù)手段進行“算法歧視”（如“大數(shù)據(jù)殺熟”）。算法弱勢群體保護要求企業(yè)應(yīng)對未成年人、老年人、勞動者、消費者等特定情境下的算法弱勢群體給予合理的差別待遇，以保護這些群體的數(shù)據(jù)權(quán)益。

廣義上的數(shù)據(jù)使用合規(guī)除包括企業(yè)自身使用數(shù)據(jù)的行為合規(guī)外，還應(yīng)當(dāng)包括對企業(yè)配合用戶行使個人信息權(quán)能的情況進行審查與規(guī)范。在我國現(xiàn)行立法框架下，個人信息權(quán)利束主要包括查詢權(quán)、更正權(quán)、刪除權(quán)（被遺忘權(quán)）、復(fù)制權(quán)、轉(zhuǎn)移權(quán)（可攜權(quán)）等。由于個人信息及其數(shù)據(jù)產(chǎn)生與流通均具有公共性，因而相關(guān)權(quán)利束的行使無法建立在個人對其信息的絕對控制之上，而是需要包括企業(yè)在內(nèi)的多方主體的配合?；谏鲜鲈恚髽I(yè)不僅負(fù)有消極不作為方式避免侵害個人信息數(shù)據(jù)權(quán)益的義務(wù)，而且負(fù)有以積極作為方式配合用戶在合法合理的限度內(nèi)行使其個人信息權(quán)利以滿足用戶數(shù)據(jù)權(quán)益的義務(wù)。

4.數(shù)據(jù)流轉(zhuǎn)合規(guī)

數(shù)據(jù)流轉(zhuǎn)合規(guī)主要針對企業(yè)向第三方轉(zhuǎn)讓個人信息數(shù)據(jù)的行為。根據(jù)《個人信息保護法》第23條的規(guī)定，企業(yè)向其他個人信息處理者提供其處理的個人信息的，應(yīng)當(dāng)向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。同時，接收企業(yè)應(yīng)當(dāng)在上述處理目的、處理方式和個人信息的種類等范圍內(nèi)處理個人信息，變更原先的處理目的、處理方式應(yīng)當(dāng)依照本法規(guī)定重新取得個人同意?？紤]到SDK（軟件開發(fā)包）可能產(chǎn)生的數(shù)據(jù)合規(guī)隱患，企業(yè)在涉及運用SDK 進行第三方接入管理的數(shù)據(jù)處理行為時，還應(yīng)當(dāng)建立專門的第三方接入管理機制，明確企業(yè)與第三方的權(quán)責(zé)劃分。企業(yè)還需要對第三方接入進行實時監(jiān)管與審計，在出現(xiàn)安全隱患時應(yīng)當(dāng)及時停止第三方接入。

由于數(shù)據(jù)跨境流動涉及國家數(shù)據(jù)安全甚至數(shù)據(jù)主權(quán)問題，企業(yè)應(yīng)嚴(yán)格依照《個人信息保護法》《數(shù)據(jù)出境安全評估辦法》中關(guān)于個人信息及數(shù)據(jù)跨境提供的規(guī)則進行評估，并結(jié)合數(shù)據(jù)接收方所在國家或地區(qū)的規(guī)定以及雙方訂立的合同進行合規(guī)審查。對于金融、生物醫(yī)療等領(lǐng)域的個人信息出境規(guī)則，應(yīng)當(dāng)依據(jù)國務(wù)院《人類遺傳資源管理條例》、中國人民銀行《個人金融信息保護技術(shù)規(guī)范》（JR/T 0171—2020）以及國家衛(wèi)健委《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）》規(guī)定的標(biāo)準(zhǔn)，審查數(shù)據(jù)能否跨境流轉(zhuǎn)以及流轉(zhuǎn)的具體程序。

（三）健全企業(yè)數(shù)據(jù)合規(guī)專門機構(gòu)與運行機制

企業(yè)數(shù)據(jù)合規(guī)部門是企業(yè)數(shù)據(jù)合規(guī)建設(shè)與運行的主導(dǎo)者。就工作模式而言，企業(yè)數(shù)據(jù)合規(guī)可以分為數(shù)據(jù)合規(guī)的日常管理機制與違規(guī)風(fēng)險應(yīng)對機制，前者致力于預(yù)防數(shù)據(jù)合規(guī)風(fēng)險，后者則以應(yīng)對已經(jīng)發(fā)生的數(shù)據(jù)違規(guī)風(fēng)險為目標(biāo)?；跀?shù)據(jù)合規(guī)部門及相關(guān)工作機制的運行，企業(yè)數(shù)據(jù)合規(guī)體系得以實現(xiàn)從靜態(tài)到動態(tài)運轉(zhuǎn)，形成一個鮮活的數(shù)據(jù)治理有機體。

1.設(shè)立數(shù)據(jù)合規(guī)專門機構(gòu)

企業(yè)數(shù)據(jù)合規(guī)管理部門是數(shù)據(jù)合規(guī)體系運行的主導(dǎo)者。從企業(yè)數(shù)據(jù)合規(guī)部門與其他企業(yè)部門的關(guān)系來看，數(shù)據(jù)合規(guī)管理部門的設(shè)立模式主要有三種。第一種模式是將數(shù)據(jù)合規(guī)內(nèi)置于企業(yè)的法律事務(wù)部門（即“法務(wù)部”）。在這一模式下，數(shù)據(jù)合規(guī)部門作為綜合性合規(guī)部門的組成部分之一內(nèi)置于法務(wù)部。第二種模式是合規(guī)部門獨立于法務(wù)部，但數(shù)據(jù)合規(guī)部門并不獨立于綜合性的合規(guī)部門。第三種模式則是將數(shù)據(jù)合規(guī)部門獨立于法務(wù)部和綜合性合規(guī)部門。

第一種模式的優(yōu)點在于可以精簡企業(yè)的管理部門，降低管理成本，且有助于促進合規(guī)事務(wù)與法律事務(wù)的一體化處理，這一模式適合傳統(tǒng)中小企業(yè)。對于以數(shù)字經(jīng)濟為主要業(yè)務(wù)領(lǐng)域的企業(yè)（如互聯(lián)網(wǎng)企業(yè)、高新制造業(yè)或服務(wù)業(yè)企業(yè)等），其數(shù)據(jù)合規(guī)事項較為龐雜，專業(yè)性較強，因而不宜采用此種模式。同時，從治理邏輯層面看，數(shù)據(jù)合規(guī)并不完全屬于法律事務(wù)的下位概念。由于數(shù)據(jù)合規(guī)不僅局限于企業(yè)交易過程，還包括事前評估與事后督導(dǎo)，超出了傳統(tǒng)法務(wù)的工作范圍。因此，對于數(shù)據(jù)合規(guī)事務(wù)需求量較大且具備一定人財物條件的企業(yè)，應(yīng)當(dāng)優(yōu)先采用第二或第三種模式，將企業(yè)數(shù)據(jù)合規(guī)部門與傳統(tǒng)意義上的法務(wù)部門進行分離。至于數(shù)據(jù)合規(guī)專門機構(gòu)的負(fù)責(zé)人，則可以借鑒德國1977 年《聯(lián)邦數(shù)據(jù)保護法》的規(guī)定，任命至少一名“數(shù)據(jù)保護官（DPO）”，賦予其獨立履行企業(yè)數(shù)據(jù)合規(guī)監(jiān)管職權(quán)的地位。

2.數(shù)據(jù)合規(guī)日常管理機制

數(shù)據(jù)合規(guī)日常管理機制的主要功能在于通過系統(tǒng)性管理工程降低數(shù)據(jù)違規(guī)風(fēng)險，持續(xù)性改進企業(yè)數(shù)據(jù)合規(guī)治理體系。數(shù)據(jù)合規(guī)日常管理工作包括以下方面：其一，確定企業(yè)數(shù)據(jù)合規(guī)管理團隊。考慮到企業(yè)數(shù)據(jù)合規(guī)管理具有很強的綜合性，因而應(yīng)當(dāng)為此組建具有法律、科技、財務(wù)等多元知識結(jié)構(gòu)背景的人才隊伍，以確保數(shù)據(jù)合規(guī)日常管理的專業(yè)性。其二，參與制定或修改企業(yè)數(shù)據(jù)合規(guī)文件（如數(shù)據(jù)合規(guī)管理規(guī)定、數(shù)據(jù)合規(guī)員工手冊、數(shù)據(jù)合規(guī)指引等），為數(shù)據(jù)合規(guī)公司治理制度提供明確而完備的規(guī)范依據(jù)，監(jiān)督這些規(guī)范文件的執(zhí)行情況。其三，對數(shù)據(jù)合規(guī)事務(wù)進行全方位督導(dǎo)，及時發(fā)現(xiàn)、記錄、審查、評估、通報數(shù)據(jù)違規(guī)的潛在風(fēng)險并提出具體建議與方案；對其他部門執(zhí)行數(shù)據(jù)合規(guī)事項的情況進行考核與評價。其四，組織數(shù)據(jù)合規(guī)培訓(xùn)，增強企業(yè)數(shù)據(jù)合規(guī)意識與治理能力。其五，與企業(yè)其他職能部門、政府機關(guān)、第三方機構(gòu)進行對接，通過協(xié)作共同推動企業(yè)數(shù)據(jù)合規(guī)體系的建設(shè)與完善，形成企業(yè)數(shù)據(jù)合規(guī)的“多元共治”格局。

3.數(shù)據(jù)違規(guī)風(fēng)險的應(yīng)對機制

健全的數(shù)據(jù)合規(guī)日常管理機制雖然可以有效防控數(shù)據(jù)違規(guī)風(fēng)險，但并不能完全消除企業(yè)違規(guī)數(shù)據(jù)風(fēng)險。因此，對于已經(jīng)發(fā)生的數(shù)據(jù)違規(guī)風(fēng)險，還需要建立特定的應(yīng)對機制。根據(jù)法律關(guān)系與法律責(zé)任的性質(zhì)，企業(yè)數(shù)據(jù)違規(guī)風(fēng)險主要包括民事法律風(fēng)險、行政法律風(fēng)險以及刑事法律風(fēng)險。

數(shù)據(jù)違規(guī)的民事法律風(fēng)險主要體現(xiàn)為數(shù)據(jù)違規(guī)引發(fā)的侵權(quán)責(zé)任和違約責(zé)任?？紤]到民商事糾紛解決機制相對多元化，企業(yè)應(yīng)當(dāng)及時采取停止侵害、繼續(xù)履約或積極賠償?shù)确绞交饷?，防止?shù)據(jù)違規(guī)產(chǎn)生高昂的訴訟成本或?qū)ζ髽I(yè)聲譽造成嚴(yán)重負(fù)面影響。數(shù)據(jù)違規(guī)的行政法律風(fēng)險主要體現(xiàn)為企業(yè)因違規(guī)處理個人信息數(shù)據(jù)遭受行政處罰。為了應(yīng)對此類風(fēng)險，企業(yè)數(shù)據(jù)合規(guī)部門應(yīng)當(dāng)在第一時間告知企業(yè)管理層及其他部門配合行政監(jiān)管執(zhí)法部門的調(diào)查并及時進行合規(guī)整改，確保在最短時間內(nèi)消除企業(yè)數(shù)據(jù)違規(guī)事由。數(shù)據(jù)違規(guī)的刑事法律風(fēng)險主要指企業(yè)因違反刑法而涉嫌犯罪。鑒于刑罰的嚴(yán)厲性，企業(yè)在面臨此類風(fēng)險時應(yīng)當(dāng)格外審慎，需要及時采用認(rèn)罪認(rèn)罰、補救挽損、查出責(zé)任人、評估整改等手段，爭取程序?qū)用娴暮弦?guī)不起訴或?qū)嶓w層面的刑事責(zé)任減免。

結(jié)語

盡管近年來數(shù)字經(jīng)濟的發(fā)展為我國帶來了“數(shù)字紅利”，但企業(yè)處理數(shù)據(jù)的行為在促進數(shù)字經(jīng)濟發(fā)展與提高人民生活水平福利的同時，也對個人信息保護與數(shù)字經(jīng)濟治理提出了諸多新挑戰(zhàn)。正是在這一時代背景下，作為一種數(shù)據(jù)治理創(chuàng)新模式的企業(yè)數(shù)據(jù)合規(guī)應(yīng)運而生。企業(yè)數(shù)據(jù)合規(guī)機制本質(zhì)上是一種基于多元共治理念的數(shù)據(jù)治理模式。在規(guī)范依據(jù)方面，其涉及民商經(jīng)濟法、行政法、刑事法、國際法等多元法律規(guī)范體系；在治理主體方面，其涉及立法機關(guān)、行政（監(jiān)管與執(zhí)法）機關(guān)、司法機關(guān)、企業(yè)自身以及第三方機構(gòu)等多元主體；在治理機制方面，企業(yè)數(shù)據(jù)合規(guī)同時涉及數(shù)據(jù)的日常治理與涉案風(fēng)險應(yīng)對（整改）。正因如此，對企業(yè)數(shù)據(jù)合規(guī)的研究以及實踐應(yīng)用轉(zhuǎn)化，需要整合多重維度的智識。

沿著上述思路，本文從基本定位、多維功能以及構(gòu)建路徑的角度，對數(shù)字經(jīng)濟時代背景下的企業(yè)數(shù)據(jù)合規(guī)基本問題進行了探討?？梢灶A(yù)見，隨著國家、企業(yè)以及個人對數(shù)據(jù)合規(guī)建設(shè)的日益重視，企業(yè)數(shù)據(jù)合規(guī)體系也會越發(fā)完備。在企業(yè)數(shù)據(jù)合規(guī)體系的保駕護航下，數(shù)字經(jīng)濟發(fā)展產(chǎn)生的“數(shù)字紅利”也將進一步惠及更多市場主體，這對于數(shù)字科技時代個人信息權(quán)益的保護、數(shù)字經(jīng)濟的健康持續(xù)發(fā)展以及通過科技賦能促進共同富裕的實現(xiàn)，都將產(chǎn)生更加顯著而深遠(yuǎn)的積極效用。