黃信瑜，周飛宇

(安徽財經(jīng)大學 法學院，安徽 蚌埠 233030)

個人信息保護法的出臺不僅有力保障了信息安全，也為企業(yè)數(shù)據(jù)合規(guī)提供了規(guī)范指引。根據(jù)中華人民共和國國家互聯(lián)網(wǎng)信息辦公室(以下簡稱“國家網(wǎng)信辦”)公布的《第47次中國互聯(lián)網(wǎng)發(fā)展狀況統(tǒng)計報告》，我國國內(nèi)市場上監(jiān)測到的APP(Application 移動互聯(lián)網(wǎng)應用)數(shù)量為345萬款，這一數(shù)字的背后也意味著互聯(lián)網(wǎng)企業(yè)的龐大規(guī)模。企業(yè)是個人信息領域的直接處理者，促進企業(yè)處理個人信息的規(guī)范化，是事前預防信息安全風險的關鍵環(huán)節(jié)，而這有賴于企業(yè)合規(guī)的建設。對企業(yè)來說，其對內(nèi)要保護勞動者的個人信息，對外要保護廣大用戶的個人信息。而當企業(yè)掌握大數(shù)據(jù)庫時，更需要重視合規(guī)經(jīng)營，履行好自身承擔的法律義務,建設有效的企業(yè)合規(guī)機制，提升企業(yè)現(xiàn)代化治理水平。

一、企業(yè)數(shù)據(jù)合規(guī)的法律價值

企業(yè)合規(guī)是指企業(yè)為保障自身活動符合法律規(guī)則要求而建立的風險防控機制。從公司治理的角度來看，企業(yè)合規(guī)是企業(yè)為防范、識別和應對潛在合規(guī)風險所建立的治理體系。[1]在現(xiàn)實中，企業(yè)經(jīng)營面臨著許多風險，這些風險分為可控風險和不可控風險。違規(guī)風險屬于可控風險，完全可以通過企業(yè)的自我防范和管理來規(guī)避，避免承受因違規(guī)而帶來的損失。在這里，違規(guī)風險并不等同于法律風險，因為法律風險的范圍更加寬泛，例如合同違約風險、侵權糾紛風險、知識產(chǎn)權保護風險都可看作是法律風險的范疇?！昂弦?guī)”中的“規(guī)”對企業(yè)來說，指的是法律法規(guī)對企業(yè)的要求，還包括監(jiān)管機構發(fā)布的標準或者條例，是對企業(yè)經(jīng)營行為的規(guī)制。2017年，原國家質(zhì)量監(jiān)督檢驗檢疫總局和國家標準化管理委員會制定和發(fā)布了GB/T35770-2017《合規(guī)管理體系指南》。其中提到合規(guī)要求的來源包括：法律和法規(guī)；許可、執(zhí)照或其他形式的授權；監(jiān)管機構發(fā)布的命令、條例或指南；法院判決或行政決定；條約、慣例和協(xié)議。所以說，合規(guī)意味著組織遵守了應當適用的法律法規(guī)及監(jiān)管規(guī)定，也遵守了相關標準、有效治理原則或道德準則。當然，企業(yè)也可以在法律法規(guī)的基礎上制定更加嚴格和詳細的內(nèi)部規(guī)范。在現(xiàn)實生活中，企業(yè)的合規(guī)工作主要集中在反商業(yè)賄賂、反壟斷和信息保護等領域?！秱€人信息保護法》及相關規(guī)定就是企業(yè)在處理個人信息時要遵循的“規(guī)”。

企業(yè)是市場經(jīng)營的主體，企業(yè)合規(guī)是實現(xiàn)企業(yè)長遠發(fā)展的內(nèi)在要求，企業(yè)合規(guī)與否早已成為企業(yè)競爭力的一個重要方面。一旦受到法律制裁，企業(yè)在經(jīng)濟和聲譽上會受到損失，市場業(yè)務的開展也會受到限制，甚至面臨被吊銷營業(yè)執(zhí)照的風險。2021年4月，杭州阿里巴巴集團因?qū)嵤艛嘈袨楸粐沂袌霰O(jiān)督管理總局處罰182.28億元，引起了社會的廣泛關注。除了承受巨額罰款之外，阿里巴巴集團還收到了《行政指導書》，被要求加強公司合規(guī)管理，并連續(xù)三年向監(jiān)管部門提交自查合規(guī)報告。[2]近年來，各個監(jiān)管領域相繼發(fā)生類似的處罰案件，國家監(jiān)管部門對違規(guī)企業(yè)的處罰力度越來越大，企業(yè)合規(guī)的重要性也由此凸顯。在信息處理監(jiān)管領域，國家網(wǎng)信辦多次通報有關互聯(lián)網(wǎng)企業(yè)違規(guī)處理個人信息的情況，有的企業(yè)還構成侵犯個人信息犯罪而遭受刑事處罰。既然這樣，企業(yè)完全可以進行自我防范，識別可能存在的違規(guī)風險并有效解決，以避免受到監(jiān)管部門的處罰。同時，企業(yè)數(shù)據(jù)合規(guī)是事前預防機制發(fā)揮作用的體現(xiàn)，如果企業(yè)從事違規(guī)行為，勢必會侵害到普通公民的權益，擾亂正常的社會秩序，此時對違規(guī)企業(yè)進行懲罰只能起到彌補損失和教育警示的作用。只有企業(yè)做到合規(guī)經(jīng)營，才能從源頭上有效減少違法犯罪案件的發(fā)生，推動市場環(huán)境的健康發(fā)展。

司法實踐中，企業(yè)數(shù)據(jù)合規(guī)的法律價值還體現(xiàn)在，數(shù)據(jù)合規(guī)可以成為企業(yè)主張減輕或者免除法律責任的理由，較為典型的是“雀巢公司無罪抗辯案”。蘭州市城關區(qū)人民法院(2016)甘102刑初605號刑事判決書認定的基本案情是：2011年至2013年9月，雀巢(中國)有限公司西北區(qū)嬰兒營養(yǎng)部事務經(jīng)理鄭某、蘭州分公司嬰兒營養(yǎng)部區(qū)域經(jīng)理楊某為推銷雀巢奶粉，授意部門員工通過支付紅包、拉關系等手段，多次從蘭州當?shù)囟嗉裔t(yī)院醫(yī)務人員手中非法獲取公民個人信息。2016年，雀巢公司六名員工因涉嫌侵犯公民個人信息被提起公訴，面對檢察機關的指控，被告人紛紛辯稱，實施侵犯個人信息的行為是為完成公司的任務或是為提升公司的收益，并且非法獲取到的信息都提供給了公司，因而這是一種公司行為。對此，雀巢公司提供了一系列證據(jù)，包括情況說明、銷售政策、在線測試記錄和有被告人簽名的員工培訓手冊，以證明公司內(nèi)部已經(jīng)建立了完善的數(shù)據(jù)合規(guī)管理體系，在防范員工行為方面已經(jīng)盡到了注意義務。經(jīng)過審理，蘭州市城關區(qū)人民法院判定被告人構成侵犯公民個人信息罪，雀巢公司不構成單位犯罪，各被告人不服判決并以上述理由提起上訴。最終，蘭州市中級人民法院裁定駁回上訴、維持原判。具有啟發(fā)意義的是，蘭州市中級人民法院[2017]甘01刑終89號刑事裁定書肯定了雀巢公司在合規(guī)管理上的努力，指出：“各上訴人違反公司管理規(guī)定，為提升個人業(yè)績而實施的犯罪為個人行為”。法院的裁判思路表明，企業(yè)合規(guī)可以作為企業(yè)責任同員工責任的區(qū)分標準，在公司履行管理、培訓和監(jiān)督責任的情況下，員工依然實施犯罪行為，這相當于違背了公司的主觀意志，公司自然也就不需要承擔法律責任。[3]這對于擁有上千名乃至上萬名員工的大企業(yè)來說至關重要，因為企業(yè)難以了解每個員工的行為，企業(yè)所能做的是建立起有效的合規(guī)機制，從而證明自身在管理上不存在“疏忽大意”或者“過于自信”的主觀過錯。

二、企業(yè)數(shù)據(jù)合規(guī)面臨的現(xiàn)實問題

信息時代的到來對企業(yè)來說是一次機遇，豐富的信息量有助于企業(yè)分析市場和精準決策，對信息資源的占有和利用能力將會影響到企業(yè)的發(fā)展前景。但是，機遇的背后伴隨著許多風險，如果企業(yè)不能進行有效的自我規(guī)范，就可能逾越法律的界限，繼而面臨法律懲罰和社會譴責。在信息處理領域，規(guī)范數(shù)據(jù)活動的法律體系基本形成，行政監(jiān)管的力度也在不斷加強。[4]所以，推動企業(yè)數(shù)據(jù)合規(guī)建設尤為迫切。

(一)未能有效防控違規(guī)風險

企業(yè)在經(jīng)營活動中如果涉及到對個人信息的利用，就成為法律意義上的信息處理者，也就要負擔保護個人信息的義務。當企業(yè)不能履行好信息處理者的義務時，內(nèi)部合規(guī)管理體系就會出現(xiàn)漏洞，風險的外溢最終導致企業(yè)承受違規(guī)后果。在信息處理領域，企業(yè)違規(guī)行為具有相似之處，主要原因是違背了信息處理的基本原則。從現(xiàn)實案例來看，信息處理的過程涵蓋多個環(huán)節(jié)，違規(guī)情形多發(fā)生在信息收集、使用和傳輸環(huán)節(jié)。此前，國家網(wǎng)信辦發(fā)布了33款App違法違規(guī)收集使用個人信息情況的通報，違法行為主要是涉事App違反必要原則，收集與其提供服務無關的個人信息。在國家網(wǎng)信辦專項治理活動中，超出必要原則過度收集個人信息也排在了問題舉報量的第一位。企業(yè)為保障能正常提供產(chǎn)品和服務，確實需要向用戶收集必要的信息，但需要的信息范圍是特定的。如果企業(yè)超范圍索要信息，或者通過欺騙、誘導的方式收集信息，就顯然違反了法律要求。在使用環(huán)節(jié)中，常見的違規(guī)情形表現(xiàn)在企業(yè)向用戶定向推送廣告、利用大數(shù)據(jù)“殺熟”、轉(zhuǎn)售個人信息等，還存在具有合作關系的企業(yè)共用信息資源的情況。在這些情形下，企業(yè)對信息的使用已經(jīng)超出了合理范圍，影響到了公眾的生活安寧，而這樣做無非是想借助掌握的信息資源來追求更大的經(jīng)濟利益。

在信息時代，根據(jù)自然人的個人信息可以識別其個人身份，而自然人對信息的自我控制和支配反映了其所享有的人格尊嚴。[5]企業(yè)違規(guī)處理個人信息不僅會造成個人信息被濫用，而且會侵害到自然人的人格權。所以，國家陸續(xù)制定一系列法律法規(guī)，對信息處理的過程進行全面規(guī)制，開展專項的網(wǎng)絡治理活動，讓企業(yè)清醒地認識到，有效防控違規(guī)風險才能實現(xiàn)企業(yè)的可持續(xù)發(fā)展。

(二)缺乏明確的合規(guī)指引標準

促進企業(yè)合規(guī)，首先需要有明確的合規(guī)指引，使企業(yè)能夠據(jù)此制定合規(guī)計劃，建立合規(guī)管理體系。此次《個人信息保護法》的出臺，確立了個人信息處理的基本原則，對信息處理者的義務做出專門的規(guī)定，其中第62條提到，國家網(wǎng)信部門要針對不同類型的信息處理者，制定專門的個人信息保護規(guī)則和標準。其實這同合規(guī)指引標準具有相通之處，制定專門的規(guī)則就是讓企業(yè)明白如何做才符合法律要求，而這項工作還在推進中?，F(xiàn)實中，一般經(jīng)營者和平臺運營商在信息處理方式上必然存在差異，比方說酒店、家裝公司、快遞公司也會收集和使用消費者的個人信息，他們對信息的收集多是在面對面的場景，后續(xù)處理信息時難以及時告知消費者，消費者不能像在網(wǎng)上一樣可以刪除信息和注銷賬號。那么就需要根據(jù)不同類型企業(yè)處理信息的特征制定專門標準，以指導企業(yè)正確開展信息處理活動。同樣，大企業(yè)和中小企業(yè)在企業(yè)治理方面也存在差異，大企業(yè)可以調(diào)動更多的人力物力來從事合規(guī)管理工作，而中小企業(yè)往往會簡化合規(guī)管理流程，合規(guī)指引對此應當有合理的區(qū)分。關于合規(guī)指引，國家標準化管理委員會曾在2017年制定《合規(guī)管理體系指南》，但這是對所有企業(yè)提出的一般性要求，沒有涉及到具體領域。如果缺乏專業(yè)的合規(guī)指南，企業(yè)不知道如何操作，其做法或是照搬法律規(guī)定，或是將這項工作委托給律師事務所，就會影響企業(yè)合規(guī)的實效。這一點可以參考我國證券監(jiān)管領域合規(guī)治理的經(jīng)驗，監(jiān)管部門制定了《商業(yè)銀行合規(guī)風險管理指引》和《保險公司合規(guī)管理辦法》，這為商業(yè)銀行、保險公司等金融機構提供了較為明確的合規(guī)指引，取得了很好的治理效果。

(三)企業(yè)合規(guī)內(nèi)在動力不足

企業(yè)合規(guī)在我國剛剛興起，很多企業(yè)管理者對合規(guī)的基本內(nèi)涵認識尚未成熟，將其看作是簡單的法律事務，認識的局限影響合規(guī)建設的能力。受一些陳舊思想觀念的影響，企業(yè)管理者的規(guī)則意識較為淡薄，重視權力、關系而輕視規(guī)則，甚至形成了一些市場“潛規(guī)則”，導致我國企業(yè)合規(guī)起步較晚、基礎較弱。[6]在信息處理領域，法律規(guī)則的制定相對滯后于信息技術的快速發(fā)展，很長一段時間里，企業(yè)經(jīng)營行為的合規(guī)與否多取決于其自律能力?，F(xiàn)實生活中，企業(yè)一般居于優(yōu)勢地位，企業(yè)管理者認為向網(wǎng)絡用戶提供服務而收集使用信息是一種交易行為，只要不達到犯罪標準就可以自由處理用戶信息。慣性的商業(yè)思維影響企業(yè)對數(shù)據(jù)合規(guī)建設的重視，采取的措施主要是應付執(zhí)法檢查，實際做法與規(guī)則要求不一，沒有建立起真正科學有效的合規(guī)管理體系。一般來說，企業(yè)的合規(guī)管理主要包括對違規(guī)風險的預防監(jiān)測和積極應對，而現(xiàn)實中一些數(shù)據(jù)企業(yè)只有在被調(diào)查后才會整改違規(guī)行為，應對措施較為被動，具有重復違規(guī)的可能性。

造成企業(yè)合規(guī)內(nèi)在動力不足的另外一個主要原因是正向激勵力度還不夠大。目前，我國監(jiān)管部門主要通過強力方式督促企業(yè)進行合規(guī)建設，是一種直接干預的外部壓力機制。在強力合規(guī)模式之下，監(jiān)管部門多采用命令式手段規(guī)范企業(yè)活動，導致企業(yè)處于消極被動地位，制約了合規(guī)建設的積極性。[7]在監(jiān)管范圍難以保證全面覆蓋的情況下，即便處罰結(jié)果非常嚴格，企業(yè)管理者也會產(chǎn)生僥幸心理，并且這種模式會產(chǎn)生監(jiān)管疲軟和監(jiān)管滯后的問題。同時，對企業(yè)進行調(diào)查處罰時沒有區(qū)分合規(guī)建設情況，企業(yè)事前建立合規(guī)管理體系并不能作為從寬處罰的判斷依據(jù)，企業(yè)也不能以積極的合規(guī)整改來與監(jiān)管部門達成執(zhí)法和解協(xié)議。可以看出，合規(guī)監(jiān)管激勵機制的構建仍處在探索階段，培養(yǎng)企業(yè)合規(guī)的法治環(huán)境還沒有完全形成。沒有完善的合規(guī)激勵機制，企業(yè)在合規(guī)建設方面就會缺乏主動性，難以發(fā)揮出正向引導的作用。

三、促進企業(yè)數(shù)據(jù)合規(guī)的治理對策

對企業(yè)來說，通過合規(guī)的確定性來應對外部環(huán)境的不確定性，是防范違規(guī)風險以實現(xiàn)長遠發(fā)展的明智之舉。通過引導企業(yè)合規(guī)來規(guī)范數(shù)據(jù)活動，同樣是創(chuàng)新企業(yè)治理方式的嘗試，對推動數(shù)字經(jīng)濟的健康發(fā)展具有重要意義。所以，促進企業(yè)數(shù)據(jù)合規(guī)是一項系統(tǒng)性工程，既需要企業(yè)發(fā)揮自主能動性，依規(guī)正確從事信息處理活動，也需要加強數(shù)據(jù)合規(guī)公共服務供給，從法律層面給予更加有力的保障。

(一)引導企業(yè)建立數(shù)據(jù)合規(guī)管理體系

構建科學有效的合規(guī)管理體系意味著企業(yè)應當依照法律規(guī)范制定一套合規(guī)計劃，及時識別和評估運營過程中可能產(chǎn)生的違規(guī)風險，對員工進行合規(guī)培訓并暢通問題反映渠道。當然，這一體系并不過于復雜，它有著明確的操作準則，準確把握信息處理基本原則是構建數(shù)據(jù)合規(guī)管理體系的關鍵所在。個人信息處理的基本原則具有指導和評價作用，是日常監(jiān)管中判斷行為是否違規(guī)的基本標準。《個人信息保護法》進一步明確了合法、正當、必要和誠信原則是個人信息處理的基本原則。這些原則分別評價了處理個人信息的形式合法性、目的正當性和手段必要性，要求處理者必須基于明確合理的目的從事數(shù)據(jù)活動，采取必要措施最大限度保障個人信息安全。[8]除基本原則之外，還有一些具體的處理規(guī)則。個人信息可以分為必要信息和非必要信息，也可以分為可識別信息和不可識別信息，不同信息對應的處理規(guī)則同樣存在差別，這就要求企業(yè)對個人信息進行分類管理，遵守具體的規(guī)范要求。例如《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》按照功能服務對應用程序進行了分類，并劃定了不同類型的必要信息范圍，從事相關業(yè)務的企業(yè)應當按照這一具體規(guī)范來確定信息收集范圍。

在數(shù)據(jù)合規(guī)治理的過程中，調(diào)動企業(yè)自主性以形成相互協(xié)作的模式至關重要。只有將數(shù)據(jù)合規(guī)管理體系構建轉(zhuǎn)化為企業(yè)的自覺行動，才能真正發(fā)揮出企業(yè)合規(guī)的法律作用。因此，網(wǎng)信部門等監(jiān)管機構需要指導企業(yè)進行合規(guī)建設，引導企業(yè)根據(jù)自身情況制定數(shù)據(jù)合規(guī)計劃。在相互協(xié)作的過程中，企業(yè)也應準確把握法律規(guī)定的基本原則，遵守告知同意規(guī)則，公開信息處理流程，增強信息處理的透明度，當好個人信息處理者的角色。

(二)加強數(shù)據(jù)合規(guī)公共服務供給

企業(yè)合規(guī)在我國正處于剛剛起步階段，不僅理論研究相對較少，而且合規(guī)供給資源也相對不足，由此需要加強合規(guī)公共服務供給。根據(jù)法律要求，推進個人信息保護社會化服務體系建設是網(wǎng)信部門的職責，這其中就包括數(shù)據(jù)合規(guī)社會化服務體系建設。從現(xiàn)實情況來看，我國尚未設立專門負責數(shù)據(jù)監(jiān)管的機構，多由不同的監(jiān)管部門各自執(zhí)法或者聯(lián)合執(zhí)法，網(wǎng)信部門的工作本身就具有協(xié)調(diào)屬性。這就需要強化國家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)職能，由其負責協(xié)調(diào)不同監(jiān)管部門的工作，主導推進企業(yè)數(shù)據(jù)合規(guī)的建設。在協(xié)調(diào)機制下，網(wǎng)信部門應當結(jié)合當前“六穩(wěn)”、“六保”政策的要求，將加強數(shù)據(jù)合規(guī)公共服務供給作為推動數(shù)字經(jīng)濟發(fā)展的有力舉措。

第一，發(fā)布數(shù)據(jù)合規(guī)指引標準，針對業(yè)務不同、規(guī)模不同的企業(yè)，提供針對性、差異化的指導。在現(xiàn)實中，由于經(jīng)濟實力、組織機構的不同，大型互聯(lián)網(wǎng)企業(yè)和中小型企業(yè)的合規(guī)建設必然是存在差別的，大型企業(yè)應當全面建設合規(guī)管理體系。[9]通過制定公布專業(yè)的信息處理規(guī)范，為企業(yè)建立數(shù)據(jù)合規(guī)計劃指明具體方向。第二，構建合規(guī)計劃有效性識別機制，制定科學統(tǒng)一的數(shù)據(jù)合規(guī)監(jiān)督評估標準，對合規(guī)建設情況進行優(yōu)質(zhì)、良好、達標等不同等級的評定。根據(jù)法律要求，需要對企業(yè)是否建立合規(guī)管理制度以及實施情況做出客觀公正的評價。因此，應當由網(wǎng)信部門統(tǒng)籌建立數(shù)據(jù)合規(guī)評估體系，使數(shù)據(jù)監(jiān)管要求與企業(yè)合規(guī)建設能夠有效銜接。第三，加大合規(guī)人才培養(yǎng)力度，為推動企業(yè)數(shù)據(jù)合規(guī)提供人才支撐。為滿足合規(guī)建設的發(fā)展需求，“企業(yè)合規(guī)師”在2021年正式被納入《中華人民共和國職業(yè)分類大典》而成為一種新的職業(yè)門類。合規(guī)工作不是傳統(tǒng)的法律事務，它的重點在于防范因違反法律法規(guī)而受到行政處罰和刑事追究的風險。所以，企業(yè)合規(guī)師的職責在于幫助企業(yè)建立合規(guī)管理體系，具體包括審計合規(guī)情況、處置違規(guī)事項等，如果企業(yè)進入合規(guī)整改程序，也需要企業(yè)合規(guī)師負責制定整改方案。對此，應當盡快制定企業(yè)合規(guī)師的職業(yè)考核標準，鼓勵高等院校開設專門的合規(guī)專業(yè)，培養(yǎng)適應現(xiàn)實發(fā)展需求的人才隊伍。

(三)增強企業(yè)合規(guī)激勵力度

數(shù)據(jù)合規(guī)治理的關鍵在于促使企業(yè)遵守特定的法律規(guī)范，既要通過制約手段施加合規(guī)壓力，又要通過激勵機制提供合規(guī)動力。通過激勵機制促使企業(yè)從事符合法律要求的行為，有助于轉(zhuǎn)變依賴事后懲戒方式治理數(shù)據(jù)違規(guī)的觀念，進一步節(jié)省監(jiān)管成本和提高監(jiān)管效率。2021年全國“兩會”期間，有多位全國人大代表提議圍繞企業(yè)合規(guī)進一步加強頂層設計，對合規(guī)企業(yè)進行正面評價和政策激勵，推動企業(yè)合規(guī)工作長遠發(fā)展。在實踐中，已經(jīng)有地區(qū)進行構建合規(guī)激勵機制的探索。例如，深圳市創(chuàng)立了政府與企業(yè)合規(guī)建設交流平臺，將“建立起有效的合規(guī)管理體系”設定為稅費減免、資質(zhì)評定等相關扶持政策的申請條件。[10]

促進數(shù)據(jù)合規(guī)也應當順應合規(guī)建設基本規(guī)律，從制度層面構建激勵機制以減少企業(yè)合規(guī)的經(jīng)營成本。首先，需要將企業(yè)合規(guī)納入執(zhí)法監(jiān)管的制度體系，將企業(yè)合規(guī)作為行政處罰寬大處理的考量因素。合規(guī)監(jiān)管激勵的基本思路是，如果經(jīng)合規(guī)評估認證達標的企業(yè)出現(xiàn)初次違規(guī)事項，在該企業(yè)配合調(diào)查并做出合規(guī)承諾之后，可以對其從輕或者減輕處罰，并以此來區(qū)分企業(yè)責任和員工責任，讓實施違規(guī)行為的員工承擔具體責任。另外，有必要在其他領域推廣正在證券監(jiān)管領域試點的行政和解制度，允許涉案企業(yè)提出申請，在能夠重建合規(guī)計劃和消除違法后果的條件下，可以終止執(zhí)法調(diào)查程序。其次，尊重企業(yè)合法收集使用數(shù)據(jù)的權利，保障數(shù)據(jù)要素的正常流通。數(shù)據(jù)企業(yè)可以在商業(yè)活動中正常使用經(jīng)合法程序收集的個人信息，在征得網(wǎng)絡用戶同意后可以分析利用個人數(shù)據(jù)，享有受到法律保護的權利。[11]如果企業(yè)的數(shù)據(jù)權利受到侵害，應當保障企業(yè)能夠得到及時的救濟。最后，加強合規(guī)文化宣傳，營造數(shù)據(jù)合規(guī)的生態(tài)氛圍。建立企業(yè)數(shù)據(jù)合規(guī)評定信息庫，對合規(guī)建設達標并連續(xù)沒有出現(xiàn)違規(guī)事項的企業(yè)給予政策優(yōu)惠，讓真正合規(guī)者得到切實的利益，給其他企業(yè)產(chǎn)生良好的示范作用。同時，要懲治在合規(guī)建設中違背誠實信用原則的行為，即從嚴處理重復違規(guī)行為和虛假合規(guī)行為，在信息庫公布違規(guī)事項以方便公眾查詢，樹立合規(guī)經(jīng)營的文化導向。

網(wǎng)絡技術的快速發(fā)展不斷增強數(shù)據(jù)的重要程度，使各類數(shù)據(jù)成為重要的生產(chǎn)要素，而數(shù)據(jù)活動的頻繁也產(chǎn)生了非法收集、非法泄露、非法使用等違規(guī)問題。《個人信息保護法》的出臺實施會為解決這些問題提供有益方案，并且會提升人們對個人信息的重視程度。在此背景下，開展數(shù)據(jù)合規(guī)建設已經(jīng)成為一種必然選擇。數(shù)據(jù)合規(guī)能夠幫助企業(yè)防范法律風險，實現(xiàn)健康持續(xù)的發(fā)展，也有助于改進監(jiān)管方式，從源頭規(guī)避違規(guī)現(xiàn)象的發(fā)生。企業(yè)應提高數(shù)據(jù)合規(guī)意識，遵守個人信息處理的基本原則，根據(jù)自身情況構建合規(guī)管理體系。數(shù)據(jù)合規(guī)法律治理則重在引導企業(yè)，以網(wǎng)信部門為代表的監(jiān)管主體理應貫徹“寬嚴相濟”的基本方針，積極探索構建數(shù)據(jù)合規(guī)激勵機制，協(xié)調(diào)個人信息保護與促進信息流動這兩個法律價值，更好地適應治理能力現(xiàn)代化的要求。