收稿日期：2023-08-18

基金項目：

國家社會科學基金規(guī)劃重大項目“弘揚社會主義法治精神研究”（22ZDA072）。

作者簡介：

孫佑海，男，山東榮成人，天津大學法學院院長、教授、博士生導師。

摘? 要：

近年來，我國企業(yè)數(shù)據(jù)行為違法違規(guī)的情形屢屢發(fā)生，損害了相關主體的合法權益。推進企業(yè)數(shù)據(jù)合規(guī)建設，不僅有助于企業(yè)自身發(fā)展，而且對促進企業(yè)守法，全面建設法治社會具有重大意義。我國企業(yè)數(shù)據(jù)合規(guī)應當遵循數(shù)據(jù)安全、權利與義務、機制激勵、整體治理的原則；通過調(diào)查我國數(shù)據(jù)密集型企業(yè)合規(guī)狀況，發(fā)現(xiàn)其存在數(shù)據(jù)違規(guī)采集、利用、存儲和數(shù)據(jù)違規(guī)出境等問題。對此，需要建立健全我國企業(yè)內(nèi)部數(shù)據(jù)合規(guī)管理體系、合規(guī)風險識別預警機制、數(shù)據(jù)違規(guī)審查和處罰制度、培育企業(yè)合規(guī)文化，以此保障企業(yè)數(shù)據(jù)合規(guī)經(jīng)營，減少法律風險。同時，強化企業(yè)外部的行政監(jiān)管和司法監(jiān)督，推進數(shù)據(jù)合規(guī)領域的行政執(zhí)法和解，建議制定“行政執(zhí)法和解法”；在總結企業(yè)數(shù)據(jù)合規(guī)成功經(jīng)驗的基礎上修改《刑事訴訟法》《刑法》，并制定配套的司法解釋。

關鍵詞：

數(shù)據(jù)理論；數(shù)據(jù)行為；數(shù)據(jù)密集型企業(yè)；企業(yè)數(shù)據(jù)合規(guī)

中圖分類號：D924.3

文獻標識碼：A

文章編號：1000-5099（2023）06-0078-10

一、問題的提出

習近平總書記高度重視企業(yè)合規(guī)工作。2023年4月28日，習近平總書記主持召開“分析研究當前經(jīng)濟形勢和經(jīng)濟工作”會議時指出，“各類企業(yè)都要依法合規(guī)經(jīng)營。要下決心從根本上解決企業(yè)賬款拖欠問題。要推動平臺企業(yè)規(guī)范健康發(fā)展，鼓勵頭部平臺企業(yè)探索創(chuàng)新。”[1]習近平總書記強調(diào)，守法經(jīng)營是任何企業(yè)都必須遵守的一個大原則，企業(yè)只有依法合規(guī)經(jīng)營才能行穩(wěn)致遠。在當前國際競爭越來越體現(xiàn)為規(guī)則之爭、法律之爭的大背景下，我國企業(yè)面臨的國內(nèi)外環(huán)境和風險挑戰(zhàn)日趨復雜嚴峻，必須加快提升依法合規(guī)經(jīng)營管理水平，確保改革發(fā)展各項任務在法治軌道上穩(wěn)步推進。因此，依法合規(guī)經(jīng)營對于提高企業(yè)在市場中的競爭力，增強企業(yè)規(guī)避風險的能力具有重要意義。

從1986年開始，我國先后制定了八個“全民普法”計劃，但由于各種原因，企業(yè)不守法的情形至今屢見不鮮。然而，企業(yè)對社會經(jīng)濟發(fā)展發(fā)揮著十分重要的作用，如果企業(yè)不守法合規(guī)，就會影響社會主義市場經(jīng)濟發(fā)展。如何讓企業(yè)守法合規(guī)經(jīng)營，也是全面依法治國題中應有之義。經(jīng)過數(shù)十年的摸索，我國探索解決企業(yè)守法問題的“鑰匙”，即企業(yè)合規(guī)應運而生。合規(guī)的實質(zhì)，就是通過建立科學有效的管理體系，制定和實施本行業(yè)或本單位內(nèi)部的規(guī)范性文件，確保法律規(guī)定的各項義務得以履行，引導企業(yè)“遵紀守法搞經(jīng)營，在合法合規(guī)中提高企業(yè)競爭能力?！盵2]

個人數(shù)據(jù)安全與國家安全、國家利益息息相關。數(shù)據(jù)本身蘊涵著可以被解讀和分析的國家政治、經(jīng)濟、軍事等方面重要信息，因而更加需要特殊保護[3]。個人數(shù)據(jù)除了具有人格利益之外，還具有巨大的商業(yè)利益和經(jīng)濟價值，特別是在電信、金融、醫(yī)療、教育等信息密集型行業(yè)，出現(xiàn)販賣大量個人信息與非法使用數(shù)據(jù)產(chǎn)品的情形，情節(jié)嚴重者還構成了侵犯公民個人信息罪。國家負有對公民人格尊嚴進行保護的義務，在信息時代，該義務擴展到對公民個人信息相關權益的保護[4]。為此，我國出臺了《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等信息數(shù)據(jù)立法。國家從法律層面加強個人數(shù)據(jù)的安全保護，對維護網(wǎng)絡空間主權以及國家安全，具有十分重要的現(xiàn)實價值。

然而，在社會生活當中，企業(yè)對個人數(shù)據(jù)的不當采集、儲存和處理，侵害了公民的精神利益，還可能危害其人身安全和財產(chǎn)安全。從近年我國企業(yè)經(jīng)營管理來看，存在多起數(shù)據(jù)密集型公司試圖在境外上市，可能泄露國家重要信息和敏感信息的情況，從而有可能危害國家安全。對此，強化數(shù)據(jù)合規(guī)最為重大的意義，在于由過去的“別人要我守法”，變成“我要守法”，改變了被動地、恐懼式守法模式[5]，這使得長期困擾國家主管部門的企業(yè)不守法問題得以解決。因此，強調(diào)企業(yè)數(shù)據(jù)合規(guī)必將促進企業(yè)守法，有助于推動法治社會建設。企業(yè)要實現(xiàn)高質(zhì)量發(fā)展就要破除一系列不規(guī)范、不合規(guī)問題，在企業(yè)內(nèi)部加強合規(guī)控制，建立合規(guī)管理制度體系，提高企業(yè)管理水平和經(jīng)營水平[6]。這表明推動數(shù)據(jù)合規(guī)工作，不僅能預防和降低企業(yè)的經(jīng)營管理風險，還能提高經(jīng)營管理效率，增加企業(yè)效益與利潤，有效提升企業(yè)在國際國內(nèi)的核心競爭力。由此可見，加強數(shù)據(jù)合規(guī)管理對信息密集型企業(yè)具有特殊重要的意義。

綜上所述，鑒于數(shù)據(jù)的極端重要性和數(shù)據(jù)領域違規(guī)行為的嚴重性，數(shù)據(jù)合規(guī)不僅引起國家相關部門高度的重視，而且也成為法學界研究的熱點。如何將企業(yè)數(shù)據(jù)合規(guī)理論與實踐相結合，成為當下法學界亟待思考的問題。對此，本文以企業(yè)數(shù)據(jù)合規(guī)理論為基礎，檢視我國企業(yè)數(shù)據(jù)合規(guī)的現(xiàn)狀、問題并分析其成因，在剖析問題的基礎上提出科學的治理方案，這是筆者探討該論題的意義所在。

二、邏輯展開：我國數(shù)據(jù)合規(guī)的理論基礎

（一）數(shù)據(jù)安全：邏輯主線之奠立

習近平總書記以寬廣的戰(zhàn)略思維深刻把握數(shù)據(jù)安全問題，將數(shù)據(jù)安全置于國家安全的重要地位，標志著黨對國家安全工作的認識達到新高度，同時也是我國數(shù)據(jù)安全治理的根本指導思想。2016年，習近平總書記指出，“要依法加強對大數(shù)據(jù)的管理。一些涉及國家利益、國家安全的數(shù)據(jù)，很多掌握在互聯(lián)網(wǎng)企業(yè)手里，企業(yè)要保證這些數(shù)據(jù)的安全?！盵7]2018年，習近平總書記指出，要規(guī)范企業(yè)投資經(jīng)營行為，合法合規(guī)經(jīng)營，履行社會責任[8]。習近平總書記關于數(shù)據(jù)安全的理論，堅持國家利益至上，以人民安全為宗旨，以政治安全為根本，以經(jīng)濟安全為基礎，統(tǒng)籌外部安全和內(nèi)部安全，堅決維護國家主權、安全和發(fā)展，奠立了國家關于數(shù)據(jù)安全和數(shù)據(jù)治理的理論基礎。數(shù)據(jù)安全的重要性隨著數(shù)據(jù)事業(yè)的發(fā)展而日益凸顯。我們要以習近平關于數(shù)據(jù)安全的重要理論為指導，統(tǒng)籌經(jīng)濟發(fā)展與數(shù)據(jù)安全兩個大局：一方面要善于運用數(shù)據(jù)事業(yè)發(fā)展成果來提高國家安全的治理能力；另一方面又要善于塑造有利于數(shù)據(jù)事業(yè)發(fā)展的安全環(huán)境，在確保國家數(shù)據(jù)安全的基礎上，促進以數(shù)據(jù)為關鍵要素的數(shù)字經(jīng)濟持續(xù)健康發(fā)展，造福于廣大人民群眾。

（二）權義一致：主體意識之塑造

權利和義務相一致，是保障數(shù)據(jù)合規(guī)的重要理論基礎。一是法律要保障公民的數(shù)據(jù)權利?！睹穹ǖ洹芬?guī)定，自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。由此可見，個人信息是一項重要的民事權利。不僅如此，法律對個人數(shù)據(jù)予以保護，本質(zhì)上也是保護公民的尊嚴和自由。保護個人數(shù)據(jù)的目的，是對憲法意義上的公民基本權利的保障，它最終根源于對人的尊嚴的保護[9]。因此，保護個人數(shù)據(jù)是人格權保護的重要組成部分。二是企業(yè)要全面履行自己的義務。根據(jù)權利與義務相對應理論，公民在享有自身權利的同時，其相對的一方，即企業(yè)必須履行自己的義務。只有企業(yè)全面履行自己的法定義務，公民的數(shù)據(jù)權利才能得到實現(xiàn)。對于企業(yè)的經(jīng)營活動而言，應以履行義務為先。只有公民履行自己的法定義務，其數(shù)據(jù)權利才能得到可靠保障。三是數(shù)據(jù)權利和數(shù)據(jù)義務相輔相成。在一定意義上，企業(yè)認真履行好自己的法定數(shù)據(jù)義務，就能最大程度地保障公民的數(shù)據(jù)權利。公民依法主張自己的數(shù)據(jù)權利，客觀上有助于企業(yè)更好地履行自己的法定數(shù)據(jù)義務。

（三）整體治理：治理機制之架構

整體性治理就是以公眾需求為導向，以信息技術為手段，以協(xié)調(diào)、整合和義務為機制，跨越組織功能邊界，在政策、法規(guī)、服務、監(jiān)督等方面，對治理層級、功能、公私部門關系及信息系統(tǒng)等碎片化問題進行有機協(xié)調(diào)與整合，不斷從分散走向集中，從部分走向整體，從破碎走向整合，為公眾提供整體性服務，充分體現(xiàn)國家治理的包容性、整合性整體性治理理論是對19世紀末20世紀初傳統(tǒng)官僚制政府以功能為導向而導致政府職能重復分散的批判，是對20世紀80年代新公共管理理論以客戶需求為導向而導致公共服務碎片化的回應。整體性治理理論由英國學者佩里·?？怂故壮?。1997年，佩里·?？怂乖谄洹墩w政府》一書中第一次提出整體性治理理念。1997年，托尼·布萊爾執(zhí)政的英國工黨政府以整體性治理理論作為其政府改革綱領，并提出協(xié)同政府概念。1999年，英國政府出版《現(xiàn)代化政府》白皮書，在對前兩年工作進行總結基礎上推行整體政府改革十年規(guī)劃。這一模式也迅速推廣諸多國家，為這些國家的治理服務。。整體性治理理論，與系統(tǒng)論有諸多共性。系統(tǒng)論偏重于自然科學，整體性治理理論偏重于社會科學。整體性治理理論對于我國推進數(shù)據(jù)合規(guī)的治理，有一定的啟發(fā)意義。

整體性治理理論對數(shù)據(jù)合規(guī)治理的啟發(fā)意義：一是應當以公眾需求為導向，滿足他們對數(shù)據(jù)安全的強烈期盼；二是以協(xié)調(diào)、整合和義務為機制，跨越部門管理邊界開展合作，可以有效解決僅僅依靠行政主管部門單打獨斗的局面，將行政力量和司法力量等加以協(xié)調(diào)整合，共同為數(shù)據(jù)合規(guī)服務。三是在治理手段方面，充分利用信息技術和政策、法律、服務、監(jiān)督手段，在實施中對這些手段進行整合，為公眾提供整體性服務；四是在整體性治理中，充分發(fā)揮政府和企業(yè)的積極性，尤其要明確，政府有關部門的監(jiān)管僅僅是外部條件，企業(yè)的自覺才是內(nèi)在動因。只有將企業(yè)合規(guī)的內(nèi)在積極性充分調(diào)動起來，企業(yè)的合規(guī)治理才能走向自覺，從而實現(xiàn)可持續(xù)性。以上四個方面的有機融合，有助于實現(xiàn)國家治理的包容性和整合性，有助于履行經(jīng)濟發(fā)展和數(shù)據(jù)安全的雙重使命。

（四）機制激勵：實現(xiàn)數(shù)據(jù)合規(guī)的必由之路

激勵是激發(fā)一定主體從事某一行為的動機，促使其為實現(xiàn)群體或組織的目標增強行為積極性的過程[10]。激勵理論，即研究如何調(diào)動人的積極性的理論激勵理論，即研究如何調(diào)動人的積極性的理論。它認為，工作效率和勞動效率與職工的工作態(tài)度有直接關系，而工作態(tài)度則取決于需要的滿足程度和激勵因素。如美國心理學家馬斯洛把人的各種需求分為生理需求、安全需求、社會需求、尊重需求、自我實現(xiàn)需求五個層次，認為人們按照需求層次追求滿足。因而管理者根據(jù)需求設置目標即可起到激勵作用。另外，雙因素論者赫茨伯格把影響工作態(tài)度的因素分為保健因素和激勵因素兩類，保健因素包括組織政策、管理技術、同事關系、工資待遇、工作環(huán)境等，這些因素的改善可消除職工的不滿情緒，激勵因素是適合個人心理成長，能調(diào)動積極性的因素，但只維持原有的工作效率。自從二十世紀二三十年代以來，國外許多管理學家、心理學家和社會學家結合現(xiàn)代管理的實踐，提出了許多激勵理論。這些理論按照形成時間及其所研究的側(cè)面不同，可分為行為主義激勵理論、認知派激勵理論和綜合型激勵理論三大類。。在激勵理論指引下，企業(yè)數(shù)據(jù)合規(guī)不僅是企業(yè)為督促員工遵守數(shù)據(jù)相關法律法規(guī)等規(guī)范而確立的數(shù)據(jù)密集型企業(yè)治理方式，更是政府部門監(jiān)督和促進數(shù)據(jù)密集型企業(yè)依法依規(guī)運用數(shù)據(jù)的一種外部激勵制度。美國自20世紀90年代建立企業(yè)合規(guī)機制以來，將合規(guī)計劃作為激勵機制加以使用，通過對違法企業(yè)在一定條件下給予寬大刑事、行政處理等方式，激勵企業(yè)建立并實施有效的合規(guī)計劃，促進企業(yè)在法治的軌道上開展經(jīng)營活動。

在我國企業(yè)數(shù)據(jù)合規(guī)建設中，應當以激勵理論為指引，確立三個方面的激勵機制：一是行政寬大處理的激勵機制，將數(shù)據(jù)合規(guī)作為行政和解適用的條件和減輕行政處罰的依據(jù)；二是刑事寬大處理的機制，將數(shù)據(jù)合規(guī)作為不起訴的依據(jù)或無罪抗辯、減免刑罰的理由，以及將數(shù)據(jù)合規(guī)作為簽署暫緩起訴協(xié)議和撤銷起訴的依據(jù)；三是國際組織（如世界銀行）的制裁消除機制，即將企業(yè)數(shù)據(jù)合規(guī)作為附條件或無條件減免國際組織（如世界銀行）制裁的依據(jù)[11]。

三、現(xiàn)實檢視：我國數(shù)據(jù)合規(guī)的現(xiàn)狀、問題及其原因

（一）我國企業(yè)數(shù)據(jù)合規(guī)的現(xiàn)狀

我國金融科技、智能汽車、在線教育、互聯(lián)網(wǎng)和電信行業(yè)數(shù)據(jù)最為密集，也是數(shù)據(jù)合規(guī)的重點。近年來，我國數(shù)據(jù)密集型行業(yè)的合規(guī)工作取得顯著成就。

一是金融科技行業(yè)。金融科技行業(yè)通過利用海量數(shù)據(jù)向用戶提供金融服務，如支付、征信、信貸等方式，其需要通過接受監(jiān)管、主動合規(guī)以激活沉默數(shù)據(jù)、盤活數(shù)據(jù)資產(chǎn)、防范和化解機構的金融風險。如招商銀行、平安銀行等多家銀行對自有App產(chǎn)品予以優(yōu)化，通過向用戶明示“隱私政策更新”，推動行業(yè)數(shù)據(jù)使用行為的合規(guī)[12]。二是智能汽車行業(yè)。智能汽車行業(yè)伴隨著汽車智能化、網(wǎng)聯(lián)化發(fā)展，越來越多涉及用戶數(shù)據(jù)和車輛數(shù)據(jù)的采集、利用問題。智能汽車行業(yè)積極推進數(shù)據(jù)合規(guī)，以汽車工業(yè)協(xié)會基于《數(shù)據(jù)安全法》為指引，建立了汽車大數(shù)據(jù)委員會，探索在行業(yè)內(nèi)部建立數(shù)據(jù)合規(guī)自律規(guī)范。例如，長城汽車公司通過全流程數(shù)據(jù)加密，實現(xiàn)數(shù)據(jù)合規(guī)管理[13]。三是在線教育行業(yè)。在線教育行業(yè)依托互聯(lián)網(wǎng)和大數(shù)據(jù)，利用多種媒體學習資源和資源共享渠道進行線上教學，在線教育行業(yè)對用戶影響較大。截至2020年12月，我國在線教育用戶規(guī)模達3.42億，占網(wǎng)民整體的34.6%；手機在線教育用戶規(guī)模用戶達3.41億，占手機網(wǎng)民的34.6%[14]。海量的數(shù)據(jù)使用量及規(guī)模巨大的市場引起行政主管部門的高度重視，要求行業(yè)規(guī)范其自身數(shù)據(jù)收集、使用行為，承擔社會責任。尤其是在未成年人個人數(shù)據(jù)保護方面，諸多在線教育企業(yè)進行了有益的探索。例如“作業(yè)幫”等在線教育企業(yè)聯(lián)合發(fā)布《促進在線教育行業(yè)健康發(fā)展倡議書》，明確要求落實網(wǎng)絡安全等級保護、網(wǎng)絡安全預警通報和用戶信息保護制度，保障用戶數(shù)據(jù)安全和隱私[15]，以此保護未成年人健康成長。四是互聯(lián)網(wǎng)和電信行業(yè)?；ヂ?lián)網(wǎng)和電信行業(yè)作為全球數(shù)字化進程的先驅(qū)，隨著數(shù)字化進程的加快，數(shù)字技術已向行業(yè)全方位加速滲透、融合。一方面，在數(shù)據(jù)價值提升的背景下，數(shù)據(jù)市場驅(qū)動互聯(lián)網(wǎng)和電信行業(yè)加強數(shù)據(jù)合規(guī)以獲得數(shù)據(jù)利益；另一方面，數(shù)據(jù)安全風險暴露面、攻擊面較廣，使得互聯(lián)網(wǎng)和電信行業(yè)不得不加強數(shù)據(jù)合規(guī)以避免利益損失。例如“釘釘”公司從安全合規(guī)等八個維度建立數(shù)據(jù)安全防護機制，推動數(shù)據(jù)行為全面合規(guī)[16]。

總體來講，上述四個重點數(shù)據(jù)密集型行業(yè)在數(shù)據(jù)合規(guī)領域的有益探索，對整個數(shù)據(jù)行業(yè)的合法合規(guī)經(jīng)營奠定了良好的基礎。

（二）現(xiàn)實問題的檢視

在肯定我國數(shù)據(jù)合規(guī)取得成就的同時，也要正視其存在的問題。我們以數(shù)據(jù)密集型企業(yè)為例，當前在數(shù)據(jù)合規(guī)領域存在以下問題：

其一，是數(shù)據(jù)違規(guī)采集。近年來，我國移動應用軟件在一定程度上存在違規(guī)私自采集、過度采集、超范圍采集用戶數(shù)據(jù)信息、強制授權、不合理索取用戶權限、頻繁騷擾等侵害用戶權益的情形，如未經(jīng)用戶同意自動開啟采集地理位置、身份證號碼、人臉、指紋，讀取通訊錄、使用攝像頭、啟用錄音等功能以及與服務無關的功能?！癦AO”軟件因違規(guī)收集個人信息被工信部約談就是一個鮮活的案例2019年9月，因“ZAO”App用戶隱私協(xié)議不規(guī)范，存在數(shù)據(jù)泄露風險等網(wǎng)絡數(shù)據(jù)安全問題，工業(yè)和信息化部網(wǎng)絡安全管理局對北京陌陌科技有限公司相關負責人進行了問詢約談。。

其二，數(shù)據(jù)違規(guī)儲存。企業(yè)進行數(shù)據(jù)違規(guī)儲存時，可能會產(chǎn)生用戶數(shù)據(jù)泄露事件。例如，實踐中發(fā)生的東航泄露乘客個人隱私事件參見北京市中級人民法院（2017）京01民終509號民事判決書。，以及號稱史上最大的數(shù)據(jù)泄露案——瑞智華勝公司非法盜取30億條個人網(wǎng)絡信息被罰款1 000萬，同時該公司主管人員和直接責任人構成刑事犯罪參見浙江省紹興市越城區(qū)人民法院（2019）浙0602刑初1143號刑事判決書。。

其三，數(shù)據(jù)違規(guī)利用。有的數(shù)據(jù)密集型企業(yè)違規(guī)利用用戶數(shù)據(jù)，嚴重侵害用戶合法權益。例如，移動應用軟件未經(jīng)用戶同意，私自將設備識別信息、商品瀏覽記錄、搜索使用習慣、常用軟件應用列表等個人信息共享或出售給第三方；又如，強制用戶使用定向推送功能，即APP未向用戶告知，或未以顯著方式標示，將收集的用戶搜索、瀏覽記錄、使用習慣等個人信息，用于定向推送或精準營銷；再如，有些精準廣告是在消費者搜索某個產(chǎn)品或是瀏覽某個廣告時被非法記錄下來并被違規(guī)利用的，嚴重損害了消費者的合法權益。

其四，數(shù)據(jù)違規(guī)出境。數(shù)據(jù)安全與國家安全息息相關，其出境應當按照國家規(guī)定的要求進行。而數(shù)據(jù)違規(guī)出境，是指數(shù)據(jù)的出境沒有按照國家的相關要求輸出境外。例如，依規(guī)應當向網(wǎng)信部門申報數(shù)據(jù)出境安全評估卻沒有申報評估的行為。由于數(shù)據(jù)蘊含利益的多樣性和交織性，涉及國家、社會和個人的具體利益，數(shù)據(jù)違規(guī)出境必然給我國的數(shù)據(jù)安全帶來嚴重威脅。

（三）深層原因剖析

我國一些數(shù)據(jù)密集型企業(yè)合規(guī)領域問題叢生，這些問題產(chǎn)生的原因，既有企業(yè)數(shù)據(jù)合規(guī)意識不強，又有政府監(jiān)管乏力，還有監(jiān)管政策不配套等原因。

1.企業(yè)自身的原因

一是企業(yè)尚未形成科學的合規(guī)管理體系。企業(yè)發(fā)展和新型監(jiān)管方式對數(shù)據(jù)安全管理提出了嚴格要求。例如，高科技公司，對數(shù)據(jù)安全要求極高，數(shù)據(jù)泄露影響更大。但是，筆者對一些高科技公司進行合規(guī)問題的調(diào)研表明，諸多公司依然沿用傳統(tǒng)的管理方式，有的公司竟然不知道什么是“企業(yè)合規(guī)”。顯然，如果公司的管理體系沒有適應時代變化相應“升級”，必然導致因用戶不斷提出索賠等原因致使公司管理成本的急劇上升。二是企業(yè)的合規(guī)能力不足。數(shù)據(jù)技術的飛速發(fā)展要求數(shù)據(jù)管理能力不斷提高。例如，利用大數(shù)據(jù)技術獲取企業(yè)不同類型的安全數(shù)據(jù)，識別潛在的數(shù)據(jù)安全風險和威脅，非結構化數(shù)據(jù)的安全保護策略和技術實現(xiàn)方案等均對企業(yè)的合規(guī)管理能力提出了新要求。因此，數(shù)據(jù)安全管理能力的提升至關重要。但是，當前諸多互聯(lián)網(wǎng)企業(yè)在能力建設上的投入依然不足，系統(tǒng)也不夠先進，技術研發(fā)人員與實際需要匹配度過低，無法滿足強化數(shù)據(jù)合規(guī)治理的能力需要。三是企業(yè)尚未形成合規(guī)文化。在整個合規(guī)體系中，合規(guī)文化的作用至關重要。

實踐證明，企業(yè)要實現(xiàn)重大的發(fā)展進步，總是先有理念和境界，然后才有實際行動。通過考察數(shù)據(jù)密集型企業(yè)合規(guī)治理的實際情況，作者發(fā)現(xiàn)有很多企業(yè)，包括一些數(shù)據(jù)領域的頭部公司，數(shù)據(jù)合規(guī)意識十分淡薄。我國數(shù)據(jù)密集型企業(yè)與跨國企業(yè)相比，在合規(guī)領域明顯落后，很多中小公司乃至部分大公司甚至不知曉合規(guī)的概念和功能。有的企業(yè)的商業(yè)模式運轉(zhuǎn)多年，至今依然采用傳統(tǒng)的、粗放式的甚至違規(guī)的數(shù)據(jù)運營模式做支撐。根本原因在于企業(yè)缺乏合規(guī)意識。更為深層的原因，在于企業(yè)整體缺乏良好的合規(guī)文化[17]。

2.政府方面的原因

政府主管部門沒有對數(shù)據(jù)密集型企業(yè)進行正確的監(jiān)管和引導，也是數(shù)據(jù)不合規(guī)問題產(chǎn)生的重要原因。

一是行政監(jiān)管“不作為”。政府有關部門的“不作為”，導致“誰守法誰吃虧”的情形時有發(fā)生。守法成本高，違法成本低，已經(jīng)成為我國數(shù)據(jù)行業(yè)比較普遍的現(xiàn)象。因此，難以形成數(shù)據(jù)密集型企業(yè)合規(guī)的內(nèi)生動力。二是行政監(jiān)管“亂作為”。政府有關主管部門的“亂作為”，在法治軌道之外進行“瞎指揮”，對企業(yè)傷害極大。這些行為都造成對數(shù)據(jù)密集型企業(yè)營商環(huán)境的破壞。三是政府自身數(shù)據(jù)治理能力不足。在《數(shù)據(jù)安全法》《個人信息保護法》等新法律頒布施行的形勢下，部分地方政府沒有認真學法，沒有及時調(diào)整治理方式，無法滿足數(shù)據(jù)密集型企業(yè)的合理需求。例如，有的企業(yè)有數(shù)據(jù)跨境需求，當他們向政府咨詢或者請政府相關部門予以指導時，相關部門以種種理由互相推諉，限制了企業(yè)的數(shù)據(jù)合規(guī)。

3.政策方面的原因

一是沒有形成與行政監(jiān)管相配套的行政和解機制。如前文所述，有的行政監(jiān)管領域，政府主管部門為了支持企業(yè)的發(fā)展，采取了行政執(zhí)法和解等措施，這在很大程度上支持了企業(yè)的發(fā)展。但也要清醒認識到，這些行政執(zhí)法和解試點，僅僅是開始。從全國來看，一方面，國內(nèi)企業(yè)數(shù)據(jù)合規(guī)還沒有形成法律規(guī)范，因此，這項重要的活動缺乏法律依據(jù)，從而影響了行政執(zhí)法和解工作的開展。另一方面，行政監(jiān)管部門開展的行政執(zhí)法和解試點“斷斷續(xù)續(xù)”，影響了行政和解制度的依法構建。因此，涉案企業(yè)在繳納行政和解金之后，既不建立合規(guī)管理體系，也不針對企業(yè)的合規(guī)風險采取預防、監(jiān)控和應對措施，故很難實現(xiàn)“糾正違法行為”和“積極整改”的目標。二是沒有形成與司法監(jiān)督相配套的刑事合規(guī)機制。所謂刑事合規(guī)，是指對于涉嫌犯罪或已經(jīng)構成犯罪的企業(yè)，司法機關以企業(yè)制定合規(guī)計劃為依據(jù)，對其作出寬大刑事處理的制度。刑事合規(guī)的目的是使企業(yè)的經(jīng)營活動符合法律規(guī)定，避免新的刑事風險發(fā)生或最大程度減少企業(yè)因發(fā)生刑事風險而影響其正常的經(jīng)營活動。開展刑事合規(guī)工作需要有法可依。但是，我國《刑事訴訟法》和《刑法》迄今沒有將企業(yè)合規(guī)作為法定從輕或者免除刑罰的條件。這是當前司法機關雖然高度重視刑事合規(guī)工作，但推進卻困難重重的原因之一。三是沒有形成行政監(jiān)管和刑事司法相協(xié)調(diào)的銜接機制。企業(yè)合規(guī)的核心雖然是以企業(yè)為主建立合規(guī)管理體系，但離不開國家機關的指導和監(jiān)督。

從目前的實踐看，筆者發(fā)現(xiàn)行政主管部門與司法機關各自為政，“鐵路警察各管一段”，因而效果較為不佳。調(diào)研結果表明，企業(yè)合規(guī)強烈要求行政主管部門和司法機關的監(jiān)管工作有機銜接。

四、路徑選擇：我國數(shù)據(jù)合規(guī)的整體謀劃與方案設計

（一）核心環(huán)節(jié)：企業(yè)數(shù)據(jù)合規(guī)的自主建設

企業(yè)作為數(shù)據(jù)的保有者，是履行數(shù)據(jù)合規(guī)義務的主體。為此，應當從以下六個方面建立企業(yè)數(shù)據(jù)合規(guī)的科學模式。

1.建立健全企業(yè)數(shù)據(jù)合規(guī)的管理體系

數(shù)據(jù)合規(guī)的實踐經(jīng)驗證明，合規(guī)管理的成敗除與企業(yè)核心層的重視程度相關外，關鍵還在于是否建立了高效的內(nèi)部合規(guī)管理體系。為此，企業(yè)應當基于內(nèi)部管理結構，建構管理層重視、全員參與的數(shù)據(jù)合規(guī)管理體系：應當推動設置相對獨立的專門合規(guī)管理機構，并合理配置該機構的職能與職責；應當加強合規(guī)管理機構與企業(yè)內(nèi)部的審計部門、監(jiān)察部門、內(nèi)控部門等相關部門之間的協(xié)作配合；應當加強合規(guī)管理機構與執(zhí)法機關、商業(yè)合作伙伴、律師事務所等外部機構的溝通協(xié)調(diào)。

根據(jù)數(shù)據(jù)合規(guī)的特點，數(shù)據(jù)密集型企業(yè)應當建立健全數(shù)據(jù)分類分級保護機制，這是實現(xiàn)企業(yè)數(shù)據(jù)合規(guī)的關鍵。《數(shù)據(jù)安全法》設計了數(shù)據(jù)分類分級保護制度，并要求各地以及各部門按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關行業(yè)、領域的重要數(shù)據(jù)具體目錄。為此，數(shù)據(jù)密集型企業(yè)應當按照法律法規(guī)的要求，精準識別企業(yè)數(shù)據(jù)的類型，針對不同類型的數(shù)據(jù)，進行精準化的合規(guī)管理。

2.建立健全數(shù)據(jù)合規(guī)風險的識別預警機制

風險預防是做好數(shù)據(jù)合規(guī)的關鍵環(huán)節(jié)[18]。為此，企業(yè)應當充分了解數(shù)據(jù)合規(guī)發(fā)展所處環(huán)境，進而有效識別重要風險：從宏觀上充分了解企業(yè)所在國家或地區(qū)有關數(shù)據(jù)管理的法律要求及發(fā)展趨勢；從中觀上深度剖析企業(yè)所在行業(yè)的數(shù)據(jù)合規(guī)的規(guī)范；從微觀上全方位審視自身的數(shù)據(jù)使用偏好、業(yè)務模式、發(fā)展戰(zhàn)略。與此同時，要合理確定需要加強數(shù)據(jù)合規(guī)風險管理的關鍵業(yè)務或崗位范圍，有效研判企業(yè)數(shù)據(jù)合規(guī)風險發(fā)展態(tài)勢，圍繞企業(yè)數(shù)據(jù)合規(guī)目標，加快形成數(shù)據(jù)合規(guī)風險識別的工作方案。

3.定期開展數(shù)據(jù)合規(guī)管理評估

對企業(yè)數(shù)據(jù)合規(guī)情況開展定期評估有助于企業(yè)持續(xù)防范數(shù)據(jù)違規(guī)風險。據(jù)此，應當加強對數(shù)據(jù)合規(guī)管理制度的定期評估，對其是否符合當前法律法規(guī)和政策開展評價；加強對數(shù)據(jù)合規(guī)實施機制的定期評估，有效識別合規(guī)管理、審計、監(jiān)察等部門之間的協(xié)調(diào)性，實現(xiàn)數(shù)據(jù)合規(guī)管理體系與企業(yè)管理體系協(xié)同性的持續(xù)監(jiān)測；加強對數(shù)據(jù)合規(guī)管理人員工作績效的定期評估，實現(xiàn)數(shù)據(jù)合規(guī)管理人員業(yè)務能力的持續(xù)提升。

4.建立健全數(shù)據(jù)違規(guī)審查和處罰制度

企業(yè)違規(guī)審查與違規(guī)行為處罰是對數(shù)據(jù)密集型企業(yè)進行全過程管理的重要手段。一方面，從建立健全數(shù)據(jù)合規(guī)風險審查機制審視：健全具有可操作性的數(shù)據(jù)合規(guī)審查程序，將數(shù)據(jù)合規(guī)審查機制納入企業(yè)日常運行中；建立健全通暢的溝通機制，推動合規(guī)信息和風險的逐級傳導；建立健全績效考核機制，提升合規(guī)審查制度的執(zhí)行力。另一方面，從完善違規(guī)行為處罰制度審視：暢通舉報途徑，建立系統(tǒng)的舉報網(wǎng)絡并創(chuàng)造安全的舉報環(huán)境；嚴格落實紀律處分規(guī)定，必要時可向相關執(zhí)法部門報告企業(yè)數(shù)據(jù)違法以及向違規(guī)者提起訴訟；完善違規(guī)行為處罰后的反饋機制，即通過采取針對性的合規(guī)整改措施，進一步改進企業(yè)數(shù)據(jù)合規(guī)管理制度[19]。

5.強化數(shù)據(jù)合規(guī)的能力建設

建立健全數(shù)據(jù)合規(guī)體系應當以能力建設為支撐[20]。數(shù)據(jù)密集型企業(yè)在強化數(shù)據(jù)合規(guī)的能力建設時，應當重點從數(shù)據(jù)風險核查能力、數(shù)據(jù)梳理能力、數(shù)據(jù)保護能力以及數(shù)據(jù)威脅監(jiān)控預警能力等方面展開：應當不斷完善數(shù)據(jù)梳理技術，實現(xiàn)對企業(yè)重要數(shù)據(jù)、敏感數(shù)據(jù)的全面排查梳理，并對不同角色進行數(shù)據(jù)處理的權限進行梳理；應當不斷完善入侵防御技術，通過建立、強化數(shù)據(jù)庫防火墻，實現(xiàn)對外部攻擊及內(nèi)部數(shù)據(jù)庫漏洞的有效防護，防止產(chǎn)生用戶數(shù)據(jù)泄露等問題；應當不斷完善權限管控技術，針對不同訪問需求，規(guī)范數(shù)據(jù)訪問權限，并嚴格記錄訪問情況，實現(xiàn)內(nèi)部數(shù)據(jù)操作行為的有效控制與監(jiān)管；應當不斷完善監(jiān)管稽核技術，實現(xiàn)從數(shù)據(jù)產(chǎn)生到場景化使用的流向監(jiān)控、精準分析；應當不斷完善應急處置技術，健全應急預案和緊急情況下的應對處理機制。

6.培育企業(yè)數(shù)據(jù)合規(guī)文化

促進數(shù)據(jù)密集型企業(yè)合規(guī)經(jīng)營有多種因素，但最為根本的是企業(yè)的合規(guī)文化。優(yōu)秀的企業(yè)文化能夠營造良好的企業(yè)發(fā)展環(huán)境，提高員工的文化素養(yǎng)和道德水準，形成企業(yè)的凝聚力、向心力和拘束力，產(chǎn)生企業(yè)不可或缺的精神力量。因此，在企業(yè)合規(guī)經(jīng)營的各項要素中，合規(guī)文化具有根本性?；诤弦?guī)文化，所有的數(shù)據(jù)密集型企業(yè)在數(shù)據(jù)的日常采集和處理中，都應當全面履行合規(guī)義務；企業(yè)的決策層要帶頭守法遵規(guī)，規(guī)范自身行為；要嚴格全面履行數(shù)據(jù)合規(guī)要求，絕不能允許員工為了追逐利益而從事違法違規(guī)的行為；企業(yè)應當從培養(yǎng)員工的數(shù)據(jù)合規(guī)意識做起，增強員工合規(guī)使用數(shù)據(jù)的自覺性，形成良好的數(shù)據(jù)合規(guī)習慣，使之成為員工的基本理念。

（二）外部保障：國家支持企業(yè)數(shù)據(jù)合規(guī)體系建設

1.政府加強數(shù)據(jù)合規(guī)行政監(jiān)管

為了促進數(shù)據(jù)密集型企業(yè)實現(xiàn)合規(guī)經(jīng)營，強化行政監(jiān)管是十分必要的，也是基本的、前提性的措施?！皣拦芫褪呛駩邸钡倪壿嬕策m合對數(shù)據(jù)密集型企業(yè)的監(jiān)督管理。當前，有關行政監(jiān)管部門在對數(shù)據(jù)密集型企業(yè)的活動實施監(jiān)管時，應當加大對大數(shù)據(jù)相關技術、設備和服務提供商的風險評估和安全管理；應當組織建立健全大數(shù)據(jù)標準體系，研究制定有關大數(shù)據(jù)的基礎標準、技術標準、應用標準和管理標準等；應當加快建立政府信息采集、存儲、公開、共享、使用、質(zhì)量保障和安全管理的技術標準；應當通過嚴格的行政執(zhí)法，依法追究違法者的相關法律責任，倒逼數(shù)據(jù)密集型企業(yè)嚴格實施數(shù)據(jù)合規(guī)。

2.支持檢察機關開展數(shù)據(jù)侵權公益訴訟

檢察機關提起數(shù)據(jù)侵權公益訴訟，是對數(shù)據(jù)領域行政監(jiān)管的不可或缺的有益補充。實踐中，網(wǎng)絡貸款、網(wǎng)絡購物等App違規(guī)收集個人信息的情況屢屢發(fā)生，損害了社會公共利益，也暴露出僅依靠行政監(jiān)管部門單打獨斗不可能實現(xiàn)對數(shù)據(jù)密集型企業(yè)的管理和約束。檢察機關提起公益訴訟可以與行政機關的行政處罰相互配合形成監(jiān)管合力，突破屬地管轄障礙，從而更加有效地保護個人信息安全。《數(shù)據(jù)安全法》的頒布實施，對強化企業(yè)數(shù)據(jù)行為的監(jiān)管提出了新要求，檢察機關在運用公益訴訟手段保障數(shù)據(jù)安全方面大有可為?！秱€人信息保護法》明確把個人信息保護納入公益訴訟范疇，最高人民檢察院專門頒發(fā)依法推進個人信息保護公益訴訟檢察的司法文件，明確提出要延伸拓展公益訴訟檢察職能，這是檢察機關開展數(shù)據(jù)侵權公益訴訟的新機遇。應當明確，防范數(shù)據(jù)壟斷、算法濫用均屬于保護公共利益，在反數(shù)據(jù)壟斷、反算法濫用方面，檢察機關都可以提起公益訴訟，并以此為契機，促進數(shù)據(jù)密集型企業(yè)積極開展數(shù)據(jù)合規(guī)建設。建議國家司法機關制定相關司法解釋，準確界定數(shù)據(jù)合規(guī)、數(shù)據(jù)壟斷、算法濫用的司法適用的內(nèi)涵，并明確檢察機關提起數(shù)據(jù)侵權公益訴訟的條件和辦案流程。

（三）合規(guī)升華：完善企業(yè)數(shù)據(jù)合規(guī)激勵機制

1.構建數(shù)據(jù)治理行政執(zhí)法和解制度

全球企業(yè)合規(guī)治理的經(jīng)驗和我國企業(yè)合規(guī)治理的探索與實踐表明，在行政監(jiān)管領域建立健全數(shù)據(jù)合規(guī)激勵機制，是推動數(shù)據(jù)密集型企業(yè)合規(guī)管理體系建設的必然趨勢，也是實現(xiàn)數(shù)據(jù)密集型企業(yè)守法合規(guī)的必然要求。為此，建議有關行政主管部門基于我國行政執(zhí)法和解試點的經(jīng)驗，在數(shù)據(jù)合規(guī)領域建構行政執(zhí)法和解制度。通過與行政違法的數(shù)據(jù)密集型企業(yè)達成和解協(xié)議、督促其繳納和解金、向企業(yè)內(nèi)部派駐合規(guī)監(jiān)督專門人員等形式推動數(shù)據(jù)密集型企業(yè)建立健全合規(guī)管理體系，完善和落實合規(guī)計劃，進而實現(xiàn)對數(shù)據(jù)密集型企業(yè)的行政監(jiān)管由硬約束到軟激勵的轉(zhuǎn)變；由“嚴厲處罰企業(yè)”到“嚴厲懲處直接責任人”的轉(zhuǎn)變；由企業(yè)被動守法到主動合規(guī)的轉(zhuǎn)變，有效激發(fā)數(shù)據(jù)密集型企業(yè)建立合規(guī)機制的內(nèi)在動力。同時，建議國家積極開展行政執(zhí)法和解的立法工作，將上述行政執(zhí)法和解的有益經(jīng)驗轉(zhuǎn)化為具體的法律制度設計，在法律層面為行政執(zhí)法和解制度的推進提供有效保障。在相關立法路徑的具體選擇上，建議全國人大常委會根據(jù)我國開展企業(yè)合規(guī)的實際，尤其是推進行政執(zhí)法和解的需要，專門制定“行政執(zhí)法和解法”。如果制定專門的法律還不成熟，建議對現(xiàn)行的《行政處罰法》作出修改，將行政執(zhí)法和解制度的基本內(nèi)容納入其中。在這個基礎上，有關行政主管部門應當結合數(shù)據(jù)密集型企業(yè)合規(guī)的實際需要，制定專門的實施細則，督促并幫助數(shù)據(jù)密集型企業(yè)進行合規(guī)整改工作。

2.推進數(shù)據(jù)刑事合規(guī)立法

在數(shù)字時代，為突破數(shù)據(jù)安全治理難題，需要在法治的軌道上激勵企業(yè)積極開展數(shù)據(jù)刑事合規(guī)建設。數(shù)據(jù)產(chǎn)業(yè)的發(fā)展情況表明，數(shù)據(jù)犯罪主要由網(wǎng)絡平臺等實體驅(qū)動，因此，有必要將管控數(shù)據(jù)犯罪風險的合規(guī)義務附加于網(wǎng)絡平臺。根據(jù)當前數(shù)據(jù)產(chǎn)業(yè)發(fā)展的實際狀況，應當加強高科技、智能汽車、在線教育、互聯(lián)網(wǎng)等重點領域企業(yè)的刑事合規(guī)建設。企業(yè)刑事合規(guī)建設主要涉及事前監(jiān)督與事后監(jiān)督兩個階段。在事前監(jiān)督方面，建議檢察機關在履職中及時向相關企業(yè)提出改善治理結構、封堵系統(tǒng)漏洞、防范刑事安全風險的檢察建議，督促企業(yè)制定并實施刑事合規(guī)計劃，同時協(xié)助相關企業(yè)積極進行刑事合規(guī)建設，構建全流程嵌入的綜合防范體系，積極預防和控制與數(shù)據(jù)有關的犯罪。在事后監(jiān)督方面，如果企業(yè)被以單位犯罪追究刑事責任，建議檢察機關以檢察監(jiān)督方式督促企業(yè)積極進行刑事合規(guī)整改建設，以避免該單位再次實施犯罪。鑒于企業(yè)刑事合規(guī)的核心是將企業(yè)犯罪責任模式由過去的事后處置轉(zhuǎn)型為事先預防，涉及通過合規(guī)計劃而達到對涉嫌犯罪的企業(yè)不起訴或者從寬處理的目的，還涉及第三方的評估問題，以及刑事法律和行政法律的銜接問題。這些問題的解決，都需要有明確的法律依據(jù)。在立法路徑的具體選擇上，建議全國人大常委會根據(jù)我國企業(yè)刑事合規(guī)工作的實際，對《刑事訴訟法》《刑法》進行必要的修改，為開展企業(yè)刑事合規(guī)工作提供明確的法律依據(jù)。在這個基礎上，建議最高人民法院和最高人民檢察院根據(jù)相關法律的規(guī)定，制定專門的司法解釋，以滿足數(shù)據(jù)合規(guī)領域檢察工作和審判工作的實際需要。鑒于刑事合規(guī)涉及行政法律與刑事法律的交叉，故建議在條件成熟時，考慮制定相關刑事法律與行政法律相銜接的規(guī)定，以保障數(shù)據(jù)密集型企業(yè)合規(guī)工作在和諧、有序、平穩(wěn)、法治的軌道上運行。

3.推進數(shù)據(jù)合規(guī)協(xié)同共治

大數(shù)據(jù)時代需要協(xié)同共治的方法實現(xiàn)數(shù)據(jù)密集型企業(yè)合規(guī)。我國目前對于數(shù)據(jù)利用以組織內(nèi)部管理為主，而跨部門、跨地區(qū)、跨行業(yè)的數(shù)據(jù)開放、共享和協(xié)作應用程度較低。這都需要通過數(shù)據(jù)開放、共享和協(xié)同，讓數(shù)據(jù)更好地服務社會、造福人民，避免出現(xiàn)數(shù)據(jù)的獨占。企業(yè)數(shù)據(jù)治理應當按照黨中央關于“共建、共治、共享”的要求，精心打造開放性的生態(tài)系統(tǒng)，推動信息公開與公眾參與，防止個別企業(yè)形成數(shù)據(jù)壟斷，危害國家和人民的利益。我國政府部門擁有大量與經(jīng)濟社會發(fā)展密切相關的各類數(shù)據(jù)，應當按照數(shù)據(jù)分級分類保護的要求，需要公開的應當及時公開，向人民群眾提供盡可能多的數(shù)據(jù)；需要保密的，應當按照《保守國家秘密法》的要求，采取必要的保密措施，以維護國家的數(shù)據(jù)安全和數(shù)據(jù)利益。

與此同時，應當充分發(fā)揮第三方評估的作用，有效開展數(shù)據(jù)安全的合規(guī)性評價。為了督促相關企業(yè)高質(zhì)量開展數(shù)據(jù)合規(guī)，應當鼓勵第三方機構為企業(yè)數(shù)據(jù)安全提供合規(guī)科技、風險評估與安全認證[21]，引入數(shù)據(jù)“合規(guī)官”制度提升企業(yè)數(shù)據(jù)合規(guī)管理水平[22]。《數(shù)據(jù)安全法》明確支持數(shù)據(jù)安全檢測評估和認證，以促進數(shù)據(jù)密集型企業(yè)實現(xiàn)數(shù)據(jù)合規(guī)的目標。在當前相關評估標準和制度尚未健全的情況下，相關企業(yè)可以參考等級保護、關鍵基礎設施保護和相關行業(yè)監(jiān)管制度，積極穩(wěn)妥地推進數(shù)據(jù)合規(guī)各項工作的開展。

五、結語

長期以來，黨和國家在推進企業(yè)守法方面做了大量工作。但由于企業(yè)守法的內(nèi)生動力不足，致使企業(yè)違法經(jīng)營的現(xiàn)象屢禁不止。尤其是在網(wǎng)絡信息時代，互聯(lián)網(wǎng)、大數(shù)據(jù)和人工智能在給人們帶來巨大便利的同時，數(shù)據(jù)領域違法犯罪的問題也日益突出，廣大人民群眾深受其害，國家安全受到威脅，企業(yè)自身發(fā)展也受到不利影響。為此，應當促進數(shù)據(jù)密集型企業(yè)由“政府要我守法”，到“我要主動守法”的歷史性轉(zhuǎn)變。強化數(shù)據(jù)密集型企業(yè)合規(guī)是實現(xiàn)上述轉(zhuǎn)變的必由之路。通過建立健全企業(yè)合規(guī)管理體系，建立風險識別機制和促進企業(yè)合規(guī)的各項制度，弘揚合規(guī)文化，輔之以行政監(jiān)管、司法監(jiān)督和社會監(jiān)督的適度介入，必將有助于形成我國數(shù)據(jù)密集型企業(yè)全面守法的新態(tài)勢。在確保數(shù)據(jù)資源為國家安全、經(jīng)濟建設、社會發(fā)展和人民生活提供高質(zhì)量服務的同時，還將為我國全面建成法治社會提供有益經(jīng)驗。建議國家有關部門認真總結數(shù)據(jù)密集型企業(yè)合規(guī)治理的經(jīng)驗，加強相關立法和政策指引，通過企業(yè)數(shù)據(jù)合規(guī)治理的有序推進，為促進全民守法，全面建設社會主義現(xiàn)代化國家做出新貢獻。

參考文獻：

[1]中共中央政治局.分析研究當前經(jīng)濟形勢和經(jīng)濟工作[N].人民日報，2023-04-29（001）.

[2]習近平.習近平談治國理政：第三卷[M].北京：外文出版社，2020：268.

[3]楊蓉.從信息安全、數(shù)據(jù)安全到算法安全——總體國家安全觀視角下的網(wǎng)絡法律治理[J].法學評論，2021（1）：131-136.

[4]王錫鋅.個人信息國家保護義務及展開[J].中國法學，2021（1）：145-166.

[5]楊春福.全民守法的法理闡釋[J].法制與社會發(fā)展，2015（5）：66-68.

[6]朱軍.在合法合規(guī)中提升民企競爭力[J].人民論壇，2019（19）：84-85.

[7]習近平.在網(wǎng)絡安全和信息化工作座談會上的講話[N].人民日報，2016-04-26（002）.

[8]趙超，安蓓.堅持對話協(xié)商共建共享合作共贏交流互鑒 推動共建“一帶一路”走深走實造福人民[N].人民日報，2018-08-28（001）.

[9]張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學，2015（3）：38-59.

[10]章凱.激勵理論新解[J].科學管理研究，2003（2）：89.

[11]陳瑞華.企業(yè)合規(guī)基本理論[M].北京：法律出版社，2021：40-60.

[12]魏倩.守住隱私！銀行數(shù)據(jù)安全治理升級在行動[N].上海證券報，2021-11-11（003）.

[13]中國汽車論壇組委會.圓桌對話：智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全治理與合規(guī)應對[EB/OL].（2021-06-22）[2023-06-18].http：//www.caam.org.cn/search/con_5234048.html.

[14]中國互聯(lián)網(wǎng)絡信息中心.CNNIC發(fā)布第47次<中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告>[EB/OL].（2021-02-03）[2023-08-12]http：//www.cac.gov.cn/gzzt/ztzl/zt/cnic/A0920010802index_1.html.

[15]人民網(wǎng).在線教育專業(yè)委員會成立 作業(yè)幫作為在線教育行業(yè)代表宣讀倡議書[EB/OL].（2021-11-28）[2023-08-12]http：//finance.people.com.cn/n1/2021/0322/c1004-32057447.html.

[16]人民網(wǎng).釘釘發(fā)布安全白皮書3.0為用戶構筑全鏈路安全防護體系[EB/OL].（2021-11-28）[2023-08-12]http：//finance.people.com.cn/n1/2021/1128/c1004-32293796.html.

[17]JACKSON.J.，BRADFORD.B.，HOUGH.M.Why Do People Comply with the Law：Legitimacy and the Influence of Legal Institutions[J].British Journal of Criminology，2012（6）：1 051-1 071.

[18]WITHERS.P.Data Compliance：Achieving It All[J].International Journal for the Data Protection Officer，Privacy Officer and Privacy Counsel，2019 （7）：17-19.

[19]陳瑞華.有效合規(guī)管理的兩種模式[J].法制與社會發(fā)展，2022（1）：5-24.

[20]HORDERN.V.Data Protection Compliance in the Age of Digital Health[J].European Journal of Health Law，2016（3）：248-264.

[21]丁曉東.數(shù)據(jù)交易如何破局——數(shù)據(jù)要素市場中的阿羅信息悖論與法律應對[J].東方法學，2022（2）：144-158.

[22]GOSHADE.K.The Data Protection Officer （DPO） Ensuring Greater Data Protection Compliance[J].Law and World，2020（14）：41-47.

（責任編輯：蒲應秋）楊? 洋? 楊? 波，張? 婭，王勤美，蒲應秋

The Theoretical Basis， Reality Check and Path Choice of Corporate Data Compliance in China

SUN Youhai

（Law School， Tianjin University， Tianjin， China， 300072）

Abstract：

In recent years， violations of corporate data have occurred repeatedly in China， damaging the legitimate rights and interests of relevant subjects. Promoting the construction of corporate data compliance is not only favorable to the development of corporates themselves， but also of great significance in promoting law-abiding corporates and comprehensively building a society based on the rule of law. Corporate data compliance should be based on the theoretical foundation of data security， rights and obligations， mechanism incentives， and overall governance; through the review of China’s data-intensive corporates， it is found that there are data violations in terms of data collection， utilization， storage， data exit and other issues. In response， corporates can adopt solutions through the establishment of a sound internal data compliance management system， a compliance risk identification and warning mechanism， a data violation review and penalty system， and the cultivation of corporate compliance culture. Thus， the corporate data compliance operation is guaranteed and legal risks can be reduced. It is necessary to strengthen the external administrative supervision and judicial supervision， to promote the administrative law enforcement and reconciliation in the field of data compliance with the proposal to formulate the “Law on Administrative Law Enforcement and Reconciliation”. It is also recommended to revise the Criminal Procedure Law and the Criminal Law on the basis of summarizing the successful experience of corporate data compliance， and formulate the supporting judicial interpretation.

Key words：

data theory;data behavior; corporate data compliance; data compliance