李昊翔，毛逸瀟

（中國政法大學，北京102249 ）

黨的二十大報告提出要“強化數據安全保障體系建設”。邁入數字社會后，數據不再純粹是技術代名詞，而是成為人們日常生活不可或缺的組成部分，更是被確認為數字經濟時代最關鍵的新型生產要素。然而，承載多元利益的數據正面臨嚴重的法益侵害問題，日益嚴峻的數據犯罪態(tài)勢給數據法律秩序和數字社會治理帶來重大挑戰(zhàn)。維系數字社會的健康可持續(xù)發(fā)展離不開對數據犯罪的有效治理，以平臺企業(yè)為代表的數據處理者自覺建立數據安全合規(guī)體系是完善內部治理結構、預防數據犯罪、防范和化解自身刑事風險的重要舉措。2022 年6月22 日，中央全面深化改革委員會第二十六次會議審議通過的《中共中央、國務院關于構建數據基礎制度更好發(fā)揮數據要素作用的意見》提出，“要建立合規(guī)高效的數據要素流通和交易制度，完善數據全流程合規(guī)和監(jiān)管規(guī)則體系”。企業(yè)合規(guī)作為一種公司治理方式，本身并不會自動發(fā)揮作用，唯有建立外部激勵機制，這種公司治理方式才會得到激活①參見郭傳凱：《互聯網平臺企業(yè)反壟斷合規(guī)制度的建構》，載《法學論壇》2023 年第3 期，第1 頁。。確立激勵機制是推動數據安全合規(guī)體系建設的關鍵環(huán)節(jié)，只有引入數據安全合規(guī)激勵機制才能為平臺企業(yè)建設數據安全合規(guī)體系提供內在動力和方向指引，才能有利于激發(fā)平臺企業(yè)投入成本加強數據安全保障的積極性，最終實現保障個人數據合理使用的目的。2022 年8 月10 日，最高人民檢察院發(fā)布首例數據合規(guī)不起訴的典型案例，標志著數據安全合規(guī)激勵機制在司法領域也進入試點探索階段，亟需夯實理論依據、凝練實踐經驗，推進數據安全合規(guī)改革向縱深發(fā)展②參見張昊：《能動履職提升企業(yè)合規(guī)改革工作質效》，載《法治日報》2022 年8 月11 日，第3 版。。

如何構建規(guī)范化的企業(yè)合規(guī)機制，如何充分發(fā)揮其保障企業(yè)合理使用個人數據的作用成了構建我國數據安全保障體系的時代問題。本文將“個人數據安全”與“企業(yè)合規(guī)”這兩個重點前沿問題有機結合、深度貫通起來，在個人數據的保護措施中引入了企業(yè)合規(guī)的新模式，既是完善數據安全保障體系、推動數據治理現代化的新思路，也是數字時代企業(yè)專項合規(guī)建設的重要組成部分。

一、數字經濟時代個人數據合理使用現狀的類型化考察

通過實證檢索北大法寶和中國裁判文書網等已公開的司法案例，并實地調研部分企業(yè)的《隱私條款》和合規(guī)建設情況，按照企業(yè)建立合規(guī)機制保障個人數據安全的不同運行方式，可以將我國當前數據合規(guī)管理模式分為三種，分別為大型網絡平臺個人數據合理使用的合規(guī)管理模式、國有企業(yè)數字化轉型過程中個人數據合理使用的合規(guī)管理模式和中小微企業(yè)個人數據合理使用的合規(guī)管理模式。

（一）大型企業(yè)的數據安全合規(guī)機制

大型企業(yè)管理的大型網絡平臺承載較大的用戶體量，平臺收集、使用和流轉等處理個人數據的行為較為頻繁，個人數據被不合理使用的案發(fā)率較高，但由于大型網絡平臺擁有較為卓越的法律顧問單位，合規(guī)處理個人數據的意識較高，企業(yè)內部綜合治理能力、治理水平較為完善。例如，騰訊集團早在2013 年就已經建立了專門的數據隱私合規(guī)團隊，是國內最早進行個人數據保護和數據合規(guī)探索的互聯網企業(yè)之一。

騰訊集團的數據安全合規(guī)機制有以下特點：第一，集團高層高度重視。早在合規(guī)理念還未在我國推廣之時，集團高層已經開始謀劃內部合規(guī)建設，設立專門負責合規(guī)建設的部門。第二，內部管理較為完善。公司內部開展多輪合規(guī)培訓，覆蓋公司的管理層、普通員工和新員工，提升全體員工的合規(guī)意識。第三，數據安全保障技術高。騰訊建立了自行研制的“靈犀隱私平臺”，對數據進行分類分級，在共享、存儲、出境等多方面建設配套的系統。第四，積極公布數據合規(guī)建設成果。2018 年騰訊集團發(fā)布了首個互聯網企業(yè)的隱私保護白皮書——《騰訊隱私保護白皮書》，向用戶集中展示微信、QQ 的隱私保護功能。

大型企業(yè)的用戶數據龐大，公司體量大而形成的與用戶不對等狀態(tài)較為嚴重，易造成個人數據泄露等重大數據安全事件③參見《cookie 技術引發(fā)數據隱私問題，Meta 將支付9000 萬美元和解訴訟》，載新浪科技，https：//baijiahao.baidu.com/s?id=1725074664935127702＆wfr=spider＆for=pc，2023 年7 月6 日訪問。，故大型企業(yè)構建數據安全合規(guī)體系迫在眉睫，但由于大型企業(yè)擁有前瞻性眼光，企業(yè)內部高度重視合規(guī)建設，內部組織體系較為完善，擁有專業(yè)化人才，較易建立有效的數據安全合規(guī)機制。

（二）國有企業(yè)的數據合規(guī)建設成果

2021 年，廣州市國資委印發(fā)的《監(jiān)管企業(yè)數據安全合規(guī)管理指南》（以下簡稱《指南》），為廣州市國有控股企業(yè)、國有實際控制企業(yè)的數據安全合規(guī)工作提供了具體指導。以廣州市國有企業(yè)數據合規(guī)建設成果為例，國有企業(yè)的數據合規(guī)呈現出以下特點。

第一，組織建設水平較高。國有企業(yè)內部均設立黨委，貫徹落實上級領導機構提出的合規(guī)建設要求，推動形成規(guī)范有序的數據管理體制機制，保障數據安全、國家安全。

第二，數據管理層次明確。以廣州市為例，廣州市國資委領導下的國有企業(yè)建立了數據安全保障的“三道防線”，以職能部門為首的機構負責解決數據合規(guī)的技術性問題；以合規(guī)管理部門為首的機構負責解決合規(guī)建設中遇到的法律性問題；以數據合規(guī)辦公室為首的機構負責解決合規(guī)建設的內部審計和風險管控等風險性問題，詳細分工見圖1。

圖1 廣州市國有企業(yè)數據保障分工圖

第三，懲戒機制完善。對于建立了合規(guī)機制和無效合規(guī)機制的國有企業(yè)，《指南》中明確規(guī)定了國資委可以采用約談、問責的懲戒機制，確保合規(guī)機制的有效推廣。

國有企業(yè)組織體系完善，懲戒機制全面，易于建立有效的、有約束力的合規(guī)機制，但是其動力不足，往往相較于市場呈現出機制建立的滯后性。

（三）中小微企業(yè)的數據合規(guī)模式

中小微企業(yè)體量小，用戶較少，因此參與處理的個人數據也較少。由于其安全意識弱、內部監(jiān)管機制缺失、風險防控力較差等問題，中小微企業(yè)遇到的數據合規(guī)問題也不容忽視。以上海市普陀區(qū)Z 公司非法“爬取”數據案建立的合規(guī)機制為例④參見《涉案企業(yè)合規(guī)典型案例（第三批）》，載最高人民檢察院網上發(fā)布廳， https：//www.spp.gov.cn/xwfbh/wsfbt/202208/t20220810_570413.shtml#2，2023 年7 月6 日訪問。，中小微企業(yè)建立的合規(guī)機制有以下特點。

第一，合規(guī)意識較差。檢察機關調查時發(fā)現，Z 公司管理層及員工存在重技術開發(fā)、輕數據合規(guī)等問題，存在管理盲區(qū)、制度空白、技術濫用等合規(guī)風險，未建立有效的合規(guī)機制，也缺乏數據安全意識。

第二，風險來源廣泛。小微企業(yè)內部用戶較少，故需以外部合作、共享的方式獲取數據。如Z 公司與E 公司達成合規(guī)數據交互約定，徹底銷毀相關爬蟲程序及源代碼，對非法獲取的涉案數據進行無害化處理，并與E 平臺API 數據接口直連，實現數據來源合法化，這種外面獲取數據的行為帶來的額外風險會增加。

第三，合規(guī)整改較快。由于小微企業(yè)的內部體量較小，其合規(guī)問題較為突出、集中。最高檢、司法部、財政部等九部委聯合制定《關于建立涉案企業(yè)合規(guī)第三方監(jiān)督評估機制的指導意見（試行）》后，中小微企業(yè)的整改工作較快得到落實。

中小微企業(yè)整改意愿強、建立體系快，由于其注重效益而容易出現忽視安全制度建設，造成違背市場競爭規(guī)范、侵犯個人數據合理使用的問題，且由于其體量較小，難以建立完備的、全面的合規(guī)機制，專業(yè)化程度也受到限制。

二、個人數據合理使用的合規(guī)管理體系有效性缺失表征

數據作為新興的生產要素，統籌兼顧多元利益，其安全重要性不言而喻。針對違規(guī)處理個人數據行為的法律規(guī)制體系已逐漸完善，如何針對個人數據安全風險有效構建合規(guī)數已經成為當前學界關注的焦點，而企業(yè)合規(guī)的運行效果作為合規(guī)計劃有效性的實質評判標準，主要體現為內部專項合規(guī)政策的制定、專項合規(guī)組織機構和專項合規(guī)預防體系三個方面⑤參見劉艷紅：《涉案企業(yè)合規(guī)建設的有效性標準研究》，載《東方法學》2022 年第4 期，第118 頁。。但在合規(guī)試點改革過程中，前述三類企業(yè)的數據安全合規(guī)體系建設均存在類似問題，反映出個人數據合理使用的合規(guī)管理體系未能有效運行。

（一）個人數據合理使用合規(guī)建設的高層重視與投入有限

盡管所有數據安全問題中個人數據泄露占比最高，且互聯網領域存在數據流轉迅速、違法成本低的特點，企業(yè)高層往往為了節(jié)約成本而刻意忽視個人數據合理使用體系建設，導致互聯網成為個人數據泄漏的重災區(qū)。為了解決這一問題，2020 年，我國信息安全標準化技術委員會發(fā)布了數十項網絡安全國家標準，且個人數據立法保護配套的司法解釋和具體實施細則正在籌備，相關執(zhí)法實踐逐步走向正規(guī)化，糾紛解決方式逐漸多樣。針對企業(yè)個人數據使用違法違規(guī)方面的法律體系也不斷完善，除《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等專門性立法外，《中華人民共和國網絡安全法》第六章也規(guī)定了企業(yè)違規(guī)處理個人數據的法律責任及處罰措施。以罰款為例，我國開始向國際靠攏，要求建立和完善懲罰性賠償和巨額罰款制度，讓嚴重違法者付出高昂成本，這在很大程度上給企業(yè)造成了隱性壓力，迫使企業(yè)不得不注重數據合規(guī)體系的構建⑥馬美瑤：《企業(yè)數據合規(guī)的現實困境與實踐路徑》，載《信息安全與通信保密》2022 年第7 期，第115 頁。。

但初步調查研究表明，以罰款為主的經濟制裁倒逼企業(yè)進行個人數據合規(guī)體系建設顯然是不夠的，守法成本和違法成本具有相對性，僅僅增加違法的經濟成本不能激發(fā)企業(yè)建設個人數據合規(guī)體系的積極性，反而滋生企業(yè)高層的僥幸心理。另外，法律制裁具有滯后性，在個人數據違規(guī)使用出現問題后再進行處罰，可能已經導致個人數據泄露、用戶權益受損的后果，侵害用戶的個人權益并不利于社會經濟的穩(wěn)定發(fā)展。因此，目前單一經濟制裁項下的企業(yè)個人數據合理使用合規(guī)建設仍存在缺陷，企業(yè)高層對個人數據合理使用合規(guī)建設的重視不足、合規(guī)建設資源投入有限的現象普遍存在⑦參見于沖：《數據安全犯罪的迭代異化與刑法規(guī)制路徑——以刑事合規(guī)計劃的引入為視角》，載《西北大學學報》2020 年第5 期，第95 頁。。

（二）個人數據合理使用專項合規(guī)體系的專業(yè)化程度不足

相較于其他領域的專項合規(guī)體系，企業(yè)構建個人數據合理使用專項合規(guī)體系需要更強的專業(yè)性。首先，企業(yè)需甄別一項數據是否屬于個人數據。個人數據甄別具有較強的專業(yè)性，相關信息是否可以識別特定自然人和地域，與技術水平、投入時間、信息數量等因素有關。在實踐運行中，很多新型、邊緣性數據是否屬于個人數據往往存在較大爭議⑧參見田建立：《非法使用公民個人信息亦應入罪》，載《檢察日報》2023 年2 月11 日，第3 版。。其次，企業(yè)應加強對個人數據使用的風險監(jiān)測，如構建風險預警模型、制定風險評估議案、制定應急預案等。且對個人數據使用的風險監(jiān)測需在識別個人數據的基礎上利用大數據、AI 等先進技術，聚焦個人數據關鍵節(jié)點，根據企業(yè)特點構建風險預警模型，實時監(jiān)測相關信息，實現風險事前預警、事中跟蹤、事后問責的閉環(huán)處理機制。最后，企業(yè)需采取保障個人數據使用安全的技術措施，如數據加密、去標識化、數據備份等技術措施或其他個人數據使用的必要措施。而個人數據中涉及大量的專業(yè)化信息，包括人臉識別等生物信息、電話號碼等隱私信息，這類信息和用戶主體的人身權益和財產權益密切相關，涉及各行各業(yè)，所采取的技術安全措施也更具專業(yè)化。

實證研究表明，涉及個人數據合理使用的企業(yè)大部分為科技公司、網絡公司、技術研發(fā)公司等從事專業(yè)化、技術化行業(yè)的企業(yè)，其因個人數據使用產生糾紛的原因基本可以分為內部風險和外部風險兩類。內部個人數據安全風險即由于企業(yè)內部使用個人數據不當，如企業(yè)風險監(jiān)測系統不完善、企業(yè)合規(guī)管理組織欠缺、企業(yè)個人數據處理指南不規(guī)范、企業(yè)技術防范措施落后等，導致企業(yè)個人數據使用出現問題。外部個人數據安全風險是由于企業(yè)受到黑客等第三人的惡意攻擊，其利用企業(yè)系統缺陷、訪問控制和權限管理不善等特定的漏洞來非法入侵企業(yè)系統、竊取企業(yè)的個人數據、干擾企業(yè)的個人數據正常使用。如Facebook 在2018 年遭遇信息泄露事件，該類風險常難以預料、無法及時應對。內、外部各種個人數據安全風險挑戰(zhàn)使企業(yè)難以有效應對，個人數據安全風險呈現出泛在化的特征⑨參見劉雙陽：《風險泛在語境下間接危險犯的擴張邏輯與教義限縮——以信息散布型網絡犯罪為視角》，載《河南財經政法大學學報》2020 年第6 期，第88 頁。。盡管企業(yè)已經采用了部分風險防范手段，但并未有效規(guī)避相關風險，企業(yè)在個人數據甄別、個人數據使用風險監(jiān)測、個人數據安全技術措施方面仍存在不足。這在一定程度上也說明了企業(yè)在個人數據使用專項合規(guī)體系中的專業(yè)化程度不高，才持續(xù)面臨企業(yè)內部風險及外部風險的個人數據使用危機。

（三）個人數據合理使用合規(guī)管理體系的紙面化現象嚴重

為建立企業(yè)合規(guī)體系，相關機關先后發(fā)布了《關于建立涉案企業(yè)合規(guī)第三方評估機制的指導意見（試行）》《涉案企業(yè)合規(guī)建設、評估和審查辦法（試行）》《中小企業(yè)合規(guī)管理體系有效性評價團體標準》《中央企業(yè)合規(guī)管理指引（試行）》等規(guī)范性文件，最高人民檢察院也適時公布合規(guī)典型案例，推動涉案企業(yè)合規(guī)改革向縱深發(fā)展。但無論是規(guī)范性文件還是指導案例，都只是對企業(yè)合規(guī)體系建設及管理提出了原則性要求及建議，并沒有明確提出具體的操作標準和實踐過程中的具體步驟。如《中小企業(yè)合規(guī)管理體系有效性評價團體標準》雖然嘗試對各項合規(guī)工作提出了評價方法、評價指標、評價流程，卻僅止步于描述，這就導致了個人數據合理使用合規(guī)管理體系的紙面化現象嚴重。究其原因，在于統一性規(guī)范需要尊重各行業(yè)的差異性，只能對各行業(yè)的共同特征進行規(guī)定，需要下級部門甚至企業(yè)自身來細化個人數據合理使用合規(guī)管理體系的具體標準及操作步驟。

然而，初步實證研究表明，多數企業(yè)還不能根據現有規(guī)范性文件或指導案例制定兼具合理性、合法性、實操性的個人數據合理使用合規(guī)管理體系。以個人數據收集需要獲得個人同意為例，《信息安全技術 個人信息安全規(guī)范》（GB/T 35273-2020）將收集行為定義為“獲得個人信息的控制權的行為”，其基礎在于必須由個人數據主體即用戶通過“明示肯定性動作授權”的方式進行，包括主動點擊“同意”“注冊”等后進行獲取，用戶的授權成了個人數據使用合法合規(guī)的構成要件。但是，有學者基于“平臺企業(yè)與個人用戶處理個人數據能力的不對等”，主張“可能造成個人數據獲取模式與用戶的主觀意愿之間，存在著明顯的分離”⑩參見王懷勇、常宇豪：《個人信息保護的理念嬗變與制度變革》，載《法制與社會發(fā)展》2020 年第6 期，第143 頁。。因為數據獲取并非用戶看到的簡單“同意”“注冊”，而是一個具有技術門檻的數據處理行為，用戶無法獲取相關數據，會造成信息認知與獲取之間的不對等?參見苗澤一：《數據交易市場構建背景下的個人信息保護研究》，載《政法論壇》2022 年第6 期，第59 頁。。在日常生活過程中，多數用戶并不會認真閱讀相關隱私協議，而是跳過閱讀、直接同意，這種建立在不完全知情基礎上的“知情—同意”模式不僅會損害相關主體的用戶權益，還借助于隱私協議使企業(yè)找到規(guī)避收集數據行為法律風險的避風港。另外，《個人信息保護法》第6 條規(guī)定，企業(yè)收集個人信息應當具有明確、合理的目的，但對于哪些個人數據是符合“明確、合理”目的要求而企業(yè)有權獲取授權的，這本身就是一個不明確、無法闡明的概念，甚至對于“明確、合理”都缺乏準確的界定。因此，多數企業(yè)根據現有規(guī)范性文件或指導案例制定的個人數據合理使用合規(guī)管理體系的紙面化現象仍然嚴重，體系設計存在缺陷，體系執(zhí)行流于形式，效果無法凸顯，不能有效規(guī)避各類風險?參見李勇：《涉罪企業(yè)合規(guī)有效性標準研究——以A 公司串通投標案為例》，載《政法論壇》2022 年第1 期，第140 頁。。

三、企業(yè)合理使用個人數據的合規(guī)治理模式應然轉向

從騰訊集團等大型企業(yè)初步建立內部數據安全合規(guī)體系到大型企業(yè)、國有企業(yè)、中小微企業(yè)參與企業(yè)合規(guī)改革試點，各企業(yè)均逐步探索行之有效的合規(guī)治理模式，合規(guī)制度和合規(guī)文化在我國范圍內得到全面推行?參見陳瑞華：《企業(yè)合規(guī)視野下的暫緩起訴協議制度 》，載《比較法研究》2020 年第1 期，第5 頁。，企業(yè)合理使用個人數據的治理邏輯發(fā)生轉變。

（一）引入公私合作的協同治理模式

隨著我國社會主義市場經濟體制的逐步建立和完善，為了發(fā)揮市場在資源配置中的決定性作用，主要職能為服務與監(jiān)管的行政機關轉而服務于企業(yè)發(fā)展。公私合作即被稱為publicprivate-partnerships （PPP）的治理模式，該模式主張發(fā)揮雙方各自的優(yōu)勢來提供公共服務。單純依靠行政機關維護市場的穩(wěn)定和社會秩序容易出現滯后性。由于市場的復雜性，行政機關無法做到事無巨細，并且行政機關行使處罰權時需要其執(zhí)法對象有明確的違法事實。因此，等到行政機關行使處罰權時往往是問題已經產生，呈現出了滯后性，而對于個人數據的問題而言，政府采取措施時，企業(yè)已經出現了個人數據的不合理使用的問題，嚴重侵犯了個人的隱私，危害了個人數據安全，對用戶本身產生了嚴重的后果。

公私合作的模式主張同時發(fā)揮企業(yè)（數據處理者）的自我管理作用和行政、司法機關的監(jiān)督管理作用。它們通過完善外部激勵機制促進企業(yè)建立內部自我管理的規(guī)章制度，發(fā)揮企業(yè)自身的積極性，更好地起到預防個人數據不合理使用的問題，減輕了行政機關的壓力，也盡可能規(guī)避個人數據不合理使用問題的發(fā)生。因此，以公私合作的治理模式保障個人數據的合理使用，既降低了成本，也強化了效果，具有無可比擬的優(yōu)越性。

（二）采取柔性治理的合規(guī)激勵措施

樹立回應型監(jiān)管理念，以柔性治理措施為首選，以勸服替代壓制?！盎貞员O(jiān)管”的概念來源于西方發(fā)達國家，是基于對“命令控制性監(jiān)管”的批判而提出的。“回應性監(jiān)管理念的基本觀點是為了能夠有效監(jiān)管，監(jiān)管者和監(jiān)管手段應該適應被監(jiān)管機構或者個體的行動”，“行政機關可以在傳統的命令與控制手段之外，將一些新的監(jiān)管手段作為必要的補充”，有效規(guī)制企業(yè)的違規(guī)行為?參見曹煒：《環(huán)境監(jiān)管中的“規(guī)范執(zhí)行偏離效應”研究 》，載《中國法學》2018 年第6 期，第276 頁。，如“行政約談”便是在我國較為普遍的一種柔性治理措施。

柔性治理措施主張行政、司法機關對企業(yè)進行“勸服”，鼓勵、引導企業(yè)自我調整、自我管理，自發(fā)地建立保障個人數據合理使用的機制，盡量減少對企業(yè)的打壓、處罰，保障企業(yè)的活力，更好地促進企業(yè)的發(fā)展，也促進個人數據合理使用合規(guī)的不斷完善。如有學者指出，“合規(guī)整改的嚴厲性和實效性，使其發(fā)揮超越刑罰的實質制裁和犯罪治理效果”?參見劉艷紅：《企業(yè)合規(guī)不起訴改革的刑法教義學根基》，載《中國刑事法雜志》2022 年第1 期，第108 頁。，即將合規(guī)整改作為一種新型的柔性治理措施，企業(yè)需要針對現實化的合規(guī)風險進行相應的補救完善，打造個人數據合規(guī)等專項合規(guī)計劃，由于合規(guī)計劃的建設、運行具有較強的制裁性，這一過程超越法律制裁，更有助于企業(yè)后續(xù)合理使用個人數據。

（三）完善個人數據合理使用的規(guī)定

企業(yè)合規(guī)作為近年來興起的企業(yè)治理模式，正逐步在我國推廣開來。我國企業(yè)建立合規(guī)管理體系的積極性越來越高，國家行政監(jiān)管部門也開始在多個領域引入合規(guī)激勵機制，以“合規(guī)寬大處理”的方式激勵更多企業(yè)開展合規(guī)整改。2021 年11 月15 日，市場監(jiān)管總局發(fā)布《企業(yè)境外反壟斷合規(guī)指引》；2022 年7月5 日，浙江省市場監(jiān)督管理局發(fā)布了省級地方標準《互聯網平臺企業(yè)競爭合規(guī)管理規(guī)范》（DB33/T 2511-2022）。在行政機關的鼓勵引導下，企業(yè)內部建立符合時代化的機制，保障個人數據的安全問題。

個人數據安全合規(guī)機制兼顧自由與秩序，保障個人數據有序流通與合理使用；數據的收集、流通和使用已成為主流，大數據時代是社會發(fā)展的必然趨勢，也為人們的生活帶來了極大便利。因此，一味限制個人數據使其無法流通顯然是不合理也無法做到的，促進大數據的有序流通對于建立國內外雙循環(huán)、大市場有著重要的推動作用，而為了彌補市場的弊端、保障數據流通的規(guī)范和合法，建立規(guī)范的數據流通法律法規(guī)也是不可阻擋的必然要求。建立個人數據合理使用的合規(guī)模式，就是為了保障個人數據的有序流通，同時也保障了其合理合法使用，既促進了數字市場的發(fā)展，也維護了社會的秩序。

四、個人數據合理使用的民行刑一體化合規(guī)體系構建

隨著三大數據立法特別是2021 年我國首部針對個人數據保護專門立法的《個人信息保護法》的正式實施，圍繞個人數據合理使用與在大數據時代下個人數據保護等問題的研究全面展開。

（一）個人數據合理使用有效合規(guī)建設的民行刑一體化需求

數字經濟時代，個人數據多層次、多維度的價值屬性意味著個人數據應受到多重法律保護，也意味著個人數據處理者面臨多元的數據安全風險，個人數據處理者應建立民行刑一體化的數據安全風險防控機制。

一方面，個人數據處理者違規(guī)處理數據行為面臨著民行刑風險，且形成一體化的個人數據安全風險。我國當前針對個人數據處理者的違規(guī)行為，已經形成民行刑完善的嚴密追責體系，違規(guī)處理個人數據的行為既可能構成民事侵權行為、行政違法行為，又可能因情節(jié)嚴重構成侵犯公民個人信息罪等個人數據犯罪，且個人數據犯罪多為法定犯，以違反前置法規(guī)定為前提。具體而言，個人數據處理犯罪行為以違反個人數據處理規(guī)則和個人數據合規(guī)管理義務為前提?參見毛逸瀟：《數據保護合規(guī)體系研究》，載《國家檢察官學院學報》2022 年第2 期，第85-86 頁。，而個人數據處理規(guī)則和個人數據合規(guī)管理義務由《中華人民共和國民法典》《中華人民共和國個人信息保護法》等民商事法律規(guī)定，個人數據處理者怠于履行義務的行為和違規(guī)處理個人數據的行為會面臨民事侵權責任和行政處罰責任，故個人數據處理者一旦需承擔刑事責任，一般情況下也需承擔民事侵權責任和行政違法責任，企業(yè)面臨著階梯化的民事、行政、刑事合規(guī)風險，民行刑違法一體化造就了個人數據安全風險的一體化。

另一方面，面對一體化的個人數據安全風險，企業(yè)應構建一體化的風險防范機制，全面化解個人數據違規(guī)處理行為的違法風險和犯罪風險。個人數據安全風險的民行刑一體化風險類型，意味著刑事安全風險由前置違法風險積累、遞進而形成。但并不否認刑事安全風險和前置違法風險的獨立性，企業(yè)構建僅足以防范刑事安全風險的個人數據，刑事合規(guī)體系尚不能有效防范前置違法風險，且刑事合規(guī)體系雖獲得減免刑事責任的刑事激勵，但未消除再次構成違法行為的可能性，仍需面臨行政處罰等非刑罰處罰措施。若企業(yè)僅構建足以防范前置違法風險的個人數據安全合規(guī)體系，則無法應對刑事安全風險，還存在個人數據犯罪的再犯可能性，缺失獲得量刑激勵措施的有力依據。故應以民行刑規(guī)范為指引，通過行業(yè)協會與檢察機關協同治理的模式，推動企業(yè)構成民行刑一體化的風險防范機制，有效防范企業(yè)個人數據處理過程中的所有法律風險?參見毛逸瀟：《“行檢協同式”個人信息合規(guī)行刑銜接激勵新模式研究》，載《法學論壇》2022 年第6 期，第65-67 頁。。

（二）“過程導向、體系完整”的個人數據通用合規(guī)要素

為了有效防范風險，企業(yè)形成包含內部合規(guī)政策、組織管理流程和合規(guī)操作指南等通用因素的合規(guī)體系，并通過事前設計（Plan）、有效執(zhí)行（Do）、定期評估（Check）、動態(tài)完善（Check）的PDCA 四環(huán)節(jié)，構建從合規(guī)體系設計到合規(guī)運行效果的全過程長效性合規(guī)機制?參見劉艷紅、丁鵬：《TQM 視域下“雙一流”高校碩士學位論文全流程質量監(jiān)管體系探索——以G 省2019 年碩士學位論文抽檢評議結果為樣本》，載《甘肅政法大學學報》2021 年第4 期，第2-5 頁。。

1.事前設計環(huán)節(jié)。企業(yè)需制定包含內部合規(guī)政策、組織管理體系、個人數據處理指南等全面規(guī)范個人數據處理行為的內部合規(guī)文件，類型化梳理常見的個人數據安全風險并引入可以動態(tài)識別、即時預警的風險監(jiān)測機制，制定應急處置個人數據安全事件的風險響應范本，形成融“預防—監(jiān)測—應對”為一體的合規(guī)體系。

2.有效執(zhí)行環(huán)節(jié)。為了避免合規(guī)體系的虛置，企業(yè)應在全業(yè)務流程和全管理流程貫徹落實事前設計的合規(guī)體系，在新服務對象、新業(yè)務功能、新員工上崗等新風險源接洽、投入使用前，通過事前風險識別、員工崗前教育培訓、第三方盡職調查等多種途徑，提前預防個人數據安全風險。在企業(yè)日常經營、處理個人數據過程中，通過定期舉辦員工教育培訓、開展合規(guī)審計、形成合規(guī)報告的方式，并輔以內部員工舉報通道，全面監(jiān)測業(yè)務流程和管理過程中的個人數據安全風險。在發(fā)生個人數據安全事件后，通過配合執(zhí)法機關調查、立即開展內部調查、針對風險源處理其責任人、采取補救止損措施，并向有關部門報告，完善合規(guī)體系，有效應對個人數據安全風險。

3.定期評估環(huán)節(jié)。有效合規(guī)體系可以改善企業(yè)經營狀態(tài)并形成員工兼具道德感與責任感的企業(yè)合規(guī)文化?參見陳瑞華：《論企業(yè)合規(guī)的性質》，載《浙江工商大學學報》2021 年第1 期，第47 頁。，且規(guī)避民行刑法律風險，故應確保企業(yè)的合規(guī)體系保持常態(tài)化的良好運行效果。企業(yè)應定期開展合規(guī)運行效果評估活動，測評合規(guī)機制的實際運行效果，通過數據反饋發(fā)現合規(guī)體系的不足。

4.動態(tài)完善環(huán)節(jié)。數字技術的更新迭代會催生新型個人數據安全風險，在企業(yè)定期評估和全面監(jiān)測過程中，若發(fā)現企業(yè)未規(guī)避的風險類型，需針對性加強風險防范機制，實現合規(guī)體系的持續(xù)改進和長治久新。

（三）“風險導向、針對強化”的個人數據專業(yè)合規(guī)要素

企業(yè)在處理個人數據的全生命周期都面臨特有的安全風險，故個人數據合規(guī)體系還應以特有的合規(guī)風險為導向，針對性強化專業(yè)合規(guī)政策、專業(yè)合規(guī)組織、專業(yè)合規(guī)評估等個人數據專業(yè)合規(guī)要素。

第一，企業(yè)需制定專業(yè)的合規(guī)政策并形成專業(yè)合規(guī)管理組織。面對個人數據處理過程中泛在且專業(yè)的安全風險，企業(yè)需制定專業(yè)的合規(guī)政策和管理指引，明確防范對象和措施，提醒內部員工規(guī)避相關風險。面臨技術性較強的專門合規(guī)風險，企業(yè)需引進專業(yè)型技術人才并設立專業(yè)的個人信息保護合規(guī)部門，通過技術手段、職業(yè)敏感性，事前預防、全面監(jiān)測、識別應對相關風險。

第二，企業(yè)需開展專業(yè)的個人數據安全影響評估活動，識別、規(guī)避隱蔽的專門合規(guī)風險。根據國家市場監(jiān)督管理總局公布的《信息安全技術 個人信息安全影響評估指南》（GB/T 39335-2020），專業(yè)的個人數據保護影響評估活動除卻針對內部員工和合作第三方的事前評估活動，還應針對網絡環(huán)境和技術措施、個人數據處理全流程、業(yè)務安全態(tài)勢等特有的風險源開展個人數據安全影響評估活動，及時發(fā)現并避免專門的合規(guī)風險現實化。

第三，企業(yè)應定期組織專業(yè)的個人信息保護合規(guī)審計活動。2023 年8 月3 日，國家互聯網信息辦公室公布《個人信息保護合規(guī)審計管理辦法（征求意見稿）》，要求個人數據處理者每兩年至少開展一次個人信息保護合規(guī)審計，評估個人數據安全合規(guī)體系的實際運行效果，且應重點審查個人數據專門合規(guī)風險的防范情況，確保合規(guī)體系的有效性。

結語

隨著時代發(fā)展和技術進步，數據安全保護責任逐漸由個人責任轉向平臺責任?參見劉艷紅：《人工智能時代網絡游戲外掛的刑法規(guī)制》，載《華東政法大學學報》2022 年第1 期，第65 頁。，而平臺在履行數據安全保護責任中存在內部審查機制不完善、積極保護數據信息安全的企業(yè)文化相對欠缺、數據保護系統存在技術性漏洞等問題，引入企業(yè)合規(guī)機制對于有效解決包括但不限于上述問題具有可行性且更具有優(yōu)越性。但當前我國在企業(yè)數據合規(guī)和個人數據合理使用問題的研究中呈現出相互割裂的狀態(tài)，缺乏從企業(yè)合規(guī)視角研究個人數據合理使用問題的學術和實證研究成果，即當前我國雖然構建起了一套復雜的數據合規(guī)與個人數據合理使用的規(guī)范體系，但存在平衡性不足，過于行業(yè)化瑣碎化等問題，亟待從企業(yè)合規(guī)角度出發(fā)，出臺針對個人數據合理處理的規(guī)范性文件。

在個人數據合理使用的企業(yè)合規(guī)建設方面，需要立法上的專門支持，檢察院等國家機關在執(zhí)法司法過程中激勵企業(yè)合理使用個人數據，企業(yè)自身要充分考慮自身的特殊性，強化責任意識，積極建立行之有效且效益長遠的個人數據合規(guī)機制，從源頭上保障數據安全和數據的合規(guī)處理。行業(yè)協會和檢察機關通力合作，發(fā)揮各自優(yōu)勢，破除現有弊端，構建民行刑一體化的合規(guī)機制，實現長遠發(fā)展。以企業(yè)合規(guī)推進個人數據的合理使用是構建我國數據安全保障體系的時代問題，在當今大數據時代下，研究以企業(yè)合規(guī)建設保障個人數據合理使用具有重要的時代意義。同時，保障個人數據安全的同時還可以更好地促進數據流通，維護市場秩序，鼓勵企業(yè)內部治理，降低企業(yè)風險，提升企業(yè)的國際競爭力，維護我國企業(yè)良好的市場形象。而此問題在我國尚屬起步階段，無論是在理論研究還是具體實踐方面均沒有充足的經驗，因此，如何更好將企業(yè)合規(guī)同個人數據合理使用相結合，仍有待進一步研究。