摘 要： 數(shù)字經(jīng)濟(jì)的飛速發(fā)展推動(dòng)企業(yè)實(shí)現(xiàn)降本增效，也帶來(lái)了數(shù)據(jù)安全風(fēng)險(xiǎn)。我國(guó)目前主要采取行政主導(dǎo)方式應(yīng)對(duì)數(shù)字經(jīng)濟(jì)轉(zhuǎn)型期出現(xiàn)的各種問(wèn)題。當(dāng)前我國(guó)企業(yè)數(shù)據(jù)合規(guī)建設(shè)面臨上位法缺失、數(shù)據(jù)權(quán)利邊界模糊、合規(guī)激勵(lì)不足等困境。未來(lái)應(yīng)在保障數(shù)據(jù)安全的前提下，加強(qiáng)價(jià)值引領(lǐng)，進(jìn)一步厘清數(shù)據(jù)合規(guī)實(shí)體標(biāo)準(zhǔn)，在實(shí)體與程序方面明確數(shù)據(jù)合規(guī)激勵(lì)機(jī)制，構(gòu)建數(shù)據(jù)合規(guī)分類合規(guī)制度，以審慎包容的態(tài)度持續(xù)開(kāi)展數(shù)據(jù)合規(guī)協(xié)同激勵(lì)的法律構(gòu)建，促進(jìn)數(shù)據(jù)利用、保障數(shù)據(jù)安全，促進(jìn)企業(yè)的可持續(xù)發(fā)展，以此實(shí)現(xiàn)我國(guó)數(shù)字社會(huì)多元治理，豐富和完善中國(guó)自主數(shù)據(jù)治理法律體系。

關(guān)鍵詞： 企業(yè)合規(guī)； 數(shù)據(jù)合規(guī)； 合規(guī)激勵(lì)

中圖分類號(hào)： D920.0； D922.8 文獻(xiàn)標(biāo)識(shí)碼： A DOI： 10.3963/j.issn.1671-6477.2025.01.008

在數(shù)字經(jīng)濟(jì)背景下，數(shù)據(jù)作為新型生產(chǎn)要素，已經(jīng)成為國(guó)家基礎(chǔ)性戰(zhàn)略資源和關(guān)鍵生產(chǎn)要素，不斷形成新質(zhì)生產(chǎn)力，數(shù)字經(jīng)濟(jì)業(yè)已成為推動(dòng)我國(guó)經(jīng)濟(jì)發(fā)展的新的巨大引擎。數(shù)字經(jīng)濟(jì)轉(zhuǎn)型過(guò)程中，各國(guó)都在積極探索數(shù)據(jù)合規(guī)的有效方案，我國(guó)的數(shù)據(jù)合規(guī)法律構(gòu)建仍處于萌芽狀態(tài)，目前關(guān)于企業(yè)數(shù)據(jù)合規(guī)的研究多集中于反壟斷、反賄賂、知識(shí)產(chǎn)權(quán)及商業(yè)秘密等傳統(tǒng)合規(guī)領(lǐng)域[1]，部分研究關(guān)注企業(yè)數(shù)據(jù)合規(guī)的問(wèn)題，并對(duì)制度的構(gòu)建進(jìn)行了一定的有益嘗試，但這些僅停留于形而上的制度框架搭建層面[2]，實(shí)踐中，企業(yè)在進(jìn)行數(shù)據(jù)合規(guī)時(shí)面臨標(biāo)準(zhǔn)不清、權(quán)責(zé)關(guān)系不明、激勵(lì)不足等困境需要正視和解決。

一、 企業(yè)數(shù)據(jù)合規(guī)的法理基礎(chǔ)

企業(yè)數(shù)據(jù)合規(guī)管理是企業(yè)持續(xù)健康發(fā)展的重要前提。理論上講，狹義上的企業(yè)合規(guī)是指企業(yè)為規(guī)避經(jīng)濟(jì)或其他損失而采取的通過(guò)事前制定相關(guān)規(guī)章來(lái)防范后續(xù)因自身的違法違規(guī)經(jīng)營(yíng)而受到行政、刑事處罰的一種公司治理方式[3]；廣義上的企業(yè)合規(guī)還包括企業(yè)因違法行為涉案后為得到從寬處理而根據(jù)行政管理部門(mén)或司法部門(mén)的要求進(jìn)行的規(guī)范管理[4]。數(shù)據(jù)合規(guī)通常是指確保數(shù)據(jù)（尤其是敏感數(shù)據(jù)）免受丟失、被盜、損壞和濫用的正式標(biāo)準(zhǔn)及其實(shí)踐。

（一） 企業(yè)數(shù)據(jù)合規(guī)的法律淵源

著眼于數(shù)據(jù)質(zhì)量和數(shù)據(jù)安全，我國(guó)先后頒布實(shí)施了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，通過(guò)了《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》（以下簡(jiǎn)稱“數(shù)據(jù)二十條”），初步構(gòu)建起數(shù)據(jù)基礎(chǔ)制度體系框架。企業(yè)數(shù)據(jù)合規(guī)指引散見(jiàn)于上述立法及行政規(guī)章、地方性規(guī)范以及有關(guān)數(shù)據(jù)制度的政策性文件中。2020年《中共中央國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》及“數(shù)據(jù)二十條”的出臺(tái)，為企業(yè)數(shù)據(jù)合規(guī)提供了明確的指引和要求?！秶?guó)家數(shù)據(jù)標(biāo)準(zhǔn)體系建設(shè)指南》的發(fā)布，進(jìn)一步為企業(yè)數(shù)據(jù)合規(guī)提供了建設(shè)思路，同時(shí)為接下來(lái)的國(guó)家數(shù)據(jù)標(biāo)準(zhǔn)體系的建設(shè)提供了基本框架。此外，地方性法規(guī)也紛紛推出數(shù)據(jù)相關(guān)條例①，逐步搭建的數(shù)據(jù)法律架構(gòu)，為企業(yè)在數(shù)據(jù)的收集、處理、流通、安全保障等方面提供了法律依據(jù)。黨的二十屆三中全會(huì)之后，我國(guó)數(shù)據(jù)治理制度的一體化建設(shè)從宏觀到微觀加速推進(jìn)，企業(yè)數(shù)據(jù)合規(guī)的法律構(gòu)建由“為什么”轉(zhuǎn)向“如何構(gòu)建”。

（二） 企業(yè)數(shù)據(jù)合規(guī)法律構(gòu)建的正當(dāng)性

我國(guó)是首個(gè)將數(shù)據(jù)列為生產(chǎn)要素的國(guó)家②。依據(jù)《中國(guó)數(shù)字經(jīng)濟(jì)發(fā)展研究報(bào)告》（2024年）[5]，數(shù)字經(jīng)濟(jì)已經(jīng)成為拉動(dòng)我國(guó)經(jīng)濟(jì)增長(zhǎng)的新引擎。但數(shù)字經(jīng)濟(jì)的飛速發(fā)展，數(shù)據(jù)風(fēng)險(xiǎn)的頻繁出現(xiàn)與目前立法回應(yīng)不足的矛盾制約了我國(guó)數(shù)字經(jīng)濟(jì)的健康發(fā)展。構(gòu)建企業(yè)數(shù)據(jù)合規(guī)的法律體系，實(shí)現(xiàn)數(shù)字經(jīng)濟(jì)的有效治理，以保障我國(guó)數(shù)字經(jīng)濟(jì)在發(fā)展的關(guān)鍵點(diǎn)上順利實(shí)現(xiàn)轉(zhuǎn)型與彎道超車，應(yīng)盡快提上立法日程。

數(shù)據(jù)風(fēng)險(xiǎn)具有特殊性。技術(shù)的快速迭代使得數(shù)據(jù)安全等規(guī)則面臨重大挑戰(zhàn)[6]。在數(shù)據(jù)合規(guī)法律淵源不足、數(shù)據(jù)合規(guī)監(jiān)管低效的環(huán)境下，數(shù)據(jù)泄露的風(fēng)險(xiǎn)比以往任何時(shí)代都更高。風(fēng)險(xiǎn)來(lái)源一方面是由于企業(yè)內(nèi)部自身合規(guī)能力不足，包括客觀的合規(guī)技術(shù)不足，數(shù)據(jù)保護(hù)組織架構(gòu)不健全，以及企業(yè)內(nèi)部數(shù)據(jù)合規(guī)管理人員道德風(fēng)險(xiǎn)所造成的數(shù)據(jù)泄露。另一方面則可能來(lái)自企業(yè)外部，包括黑客攻擊抑或合作的第三方企業(yè)主體泄露數(shù)據(jù)等。數(shù)據(jù)風(fēng)險(xiǎn)不同以往的企業(yè)經(jīng)營(yíng)過(guò)程中存在的風(fēng)險(xiǎn)，其具有隱蔽性和復(fù)雜性。一方面，數(shù)據(jù)在被收集、儲(chǔ)存、傳輸過(guò)程中可能由于復(fù)雜的技術(shù)問(wèn)題而導(dǎo)致數(shù)據(jù)泄露的潛在風(fēng)險(xiǎn)不易被發(fā)現(xiàn)；另一方面，數(shù)據(jù)一旦被泄露，則難以恢復(fù)到權(quán)益被侵害之前的狀態(tài)。隨著數(shù)字經(jīng)濟(jì)的發(fā)展，數(shù)據(jù)的跨境流動(dòng)也不斷發(fā)展，構(gòu)建企業(yè)數(shù)據(jù)合規(guī)法律體系更關(guān)系到國(guó)家數(shù)據(jù)信息安全。

企業(yè)逐利的天然屬性與合規(guī)成本的現(xiàn)實(shí)沖突，需要從法律層面構(gòu)建企業(yè)數(shù)據(jù)合規(guī)治理體系。企業(yè)作為數(shù)據(jù)的收集者和最終受益者，應(yīng)認(rèn)識(shí)到數(shù)據(jù)合規(guī)的重要性，從組織架構(gòu)、制度體系和運(yùn)行機(jī)制等方面依法構(gòu)建數(shù)據(jù)合規(guī)體系。但企業(yè)在合規(guī)成本高昂以及利益驅(qū)動(dòng)下，可能會(huì)違反相關(guān)數(shù)據(jù)法律規(guī)定而超范圍收集、強(qiáng)制授權(quán)、非法獲取公民個(gè)人信息，并超出被授權(quán)的原定范圍、用途或時(shí)間限制濫用數(shù)據(jù)。企業(yè)收集數(shù)據(jù)后，通過(guò)對(duì)數(shù)據(jù)進(jìn)行分析整理，可精準(zhǔn)勾勒出不同用戶群體的購(gòu)物習(xí)慣、消費(fèi)水平、生活軌跡圖譜等，進(jìn)而進(jìn)行相關(guān)廣告的精準(zhǔn)投送，利用優(yōu)勢(shì)地位實(shí)施自我優(yōu)待甚至不正當(dāng)競(jìng)爭(zhēng)。此外，企業(yè)中的數(shù)據(jù)處理員工可能會(huì)出于逐利的目的，利用職務(wù)便利而違反相關(guān)數(shù)據(jù)法律，侵犯?jìng)€(gè)人利益甚至公共利益。2020年廣東省深圳市寶安區(qū)人民檢察院訴付某等人侵犯公民個(gè)人信息刑事附帶民事公益訴訟案中，某快遞公司營(yíng)業(yè)點(diǎn)主管以及倉(cāng)庫(kù)管理員付某等8人，利用職務(wù)便利通過(guò)營(yíng)業(yè)點(diǎn)主管賬戶查詢公民的一般信息和個(gè)人敏感信息，并對(duì)公民個(gè)人信息進(jìn)行買(mǎi)賣(mài)以牟利，嚴(yán)重侵犯了公民的個(gè)人信息安全，并損害了社會(huì)公共利益③。

近年來(lái)，數(shù)據(jù)違規(guī)行為以及因企業(yè)數(shù)據(jù)合規(guī)不足而導(dǎo)致用戶敏感數(shù)據(jù)泄露等案例屢屢發(fā)生，數(shù)據(jù)合規(guī)不僅僅關(guān)系到企業(yè)自身的生存發(fā)展，更關(guān)系到新時(shí)代我國(guó)的數(shù)據(jù)治理和數(shù)據(jù)安全，僅靠企業(yè)自身自覺(jué)是不現(xiàn)實(shí)的，這其中的許多困境需要我們正視并加以紓解。

二、 現(xiàn)狀考察：企業(yè)數(shù)據(jù)合規(guī)法律構(gòu)建的探索

應(yīng)該說(shuō)，我國(guó)企業(yè)數(shù)據(jù)合規(guī)的法律構(gòu)建仍處于探索、初建階段。目前我國(guó)有關(guān)數(shù)據(jù)的專門(mén)立法只有《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》三部，其他有關(guān)數(shù)據(jù)合規(guī)的規(guī)定散見(jiàn)于諸多政策性文件之中。

（一） 企業(yè)數(shù)據(jù)合規(guī)法律構(gòu)建的實(shí)踐

我國(guó)大部分企業(yè)尤其是國(guó)資國(guó)企依據(jù)《數(shù)據(jù)安全法》在數(shù)據(jù)處理活動(dòng)中搭建了合規(guī)法律框架④，如華錄集團(tuán)組織所屬企業(yè)編制了《數(shù)據(jù)安全合規(guī)指引》《數(shù)據(jù)產(chǎn)品個(gè)人信息保護(hù)合規(guī)指引》《“數(shù)據(jù)銀行”合規(guī)指引》等數(shù)據(jù)合規(guī)系列指引⑤。國(guó)新健康保障服務(wù)集團(tuán)股份有限公司在《民法典》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律制度框架內(nèi)，建立了“1+3+N”數(shù)據(jù)合規(guī)體系⑥?！稊?shù)據(jù)安全法》明確了企業(yè)在數(shù)據(jù)處理活動(dòng)中的法律適用范圍，它界定了數(shù)據(jù)的概念，并對(duì)數(shù)據(jù)流通的不同環(huán)節(jié)包括收集、儲(chǔ)存、使用、加工傳輸?shù)茸鞒隽艘?guī)定，對(duì)數(shù)據(jù)安全的基本制度作出了規(guī)定，建立了數(shù)據(jù)分類分級(jí)保護(hù)制度，對(duì)重要數(shù)據(jù)實(shí)施特別保護(hù)措施。同時(shí)該法要求建立數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估和預(yù)警系統(tǒng)，以及數(shù)據(jù)安全事件發(fā)生時(shí)的應(yīng)急響應(yīng)機(jī)制，確保及時(shí)發(fā)現(xiàn)并處理數(shù)據(jù)安全風(fēng)險(xiǎn)。但《數(shù)據(jù)安全法》在實(shí)踐中并未為企業(yè)提供明確的合規(guī)指引。首先，針對(duì)“重要數(shù)據(jù)”的范圍、劃分標(biāo)準(zhǔn)未作出規(guī)定，同時(shí)，盡管《數(shù)據(jù)安全法》構(gòu)建了數(shù)據(jù)分類分級(jí)保護(hù)制度，但缺乏數(shù)據(jù)分類分級(jí)的具體標(biāo)準(zhǔn)，合規(guī)標(biāo)準(zhǔn)的不明導(dǎo)致各地區(qū)、各行業(yè)對(duì)數(shù)據(jù)分類分級(jí)的差異化，增加了企業(yè)的合規(guī)成本。其次，《數(shù)據(jù)安全法》針對(duì)數(shù)據(jù)安全審查制度的規(guī)定不夠明確，該法第24條針對(duì)數(shù)據(jù)安全審查制度的規(guī)定缺少對(duì)數(shù)據(jù)審查主體、審查內(nèi)容和審查程序等具體要求的規(guī)定，數(shù)據(jù)安全審查制度的不統(tǒng)一致使有關(guān)部門(mén)難以有效規(guī)制企業(yè)的數(shù)據(jù)收集行為。總體而言，《數(shù)據(jù)安全法》為企業(yè)遵守?cái)?shù)據(jù)合規(guī)提供了原則性指引，但缺乏具體的、明確的合規(guī)指引，致使企業(yè)合規(guī)成本增加，監(jiān)管部門(mén)也難以依據(jù)該法監(jiān)管、指引企業(yè)遵守?cái)?shù)據(jù)合規(guī)。

《個(gè)人信息保護(hù)法》是我國(guó)第一部規(guī)范個(gè)人信息保護(hù)的綜合性法律，構(gòu)建了以知情同意為核心的個(gè)人信息處理規(guī)則⑦，針對(duì)企業(yè)對(duì)個(gè)人信息的處理，包括保證個(gè)人信息的質(zhì)量及個(gè)人信息主體的權(quán)利等作出了較為抽象的結(jié)果要求[7]，構(gòu)成了企業(yè)數(shù)據(jù)要素流通的合法性基礎(chǔ)之一。個(gè)人信息保護(hù)法明確規(guī)定了在統(tǒng)一的合法性基礎(chǔ)下，哪些情形需要單獨(dú)同意。但實(shí)際上，以知情同意為核心的數(shù)據(jù)處理規(guī)則在實(shí)踐中仍不能起到完全保護(hù)個(gè)人信息安全的作用。企業(yè)在利益的驅(qū)動(dòng)下，往往會(huì)強(qiáng)制或過(guò)度收集數(shù)據(jù)，數(shù)據(jù)主體處于先天弱勢(shì)的地位，面對(duì)企業(yè)收集數(shù)據(jù)時(shí)出具的知情同意書(shū)和授權(quán)免責(zé)書(shū)，數(shù)據(jù)主體僅具有形式上的選擇權(quán)，如若不同意對(duì)企業(yè)的授權(quán)和免責(zé)，則無(wú)法正常使用相關(guān)產(chǎn)品或服務(wù)。此外，數(shù)據(jù)主體受限于專業(yè)能力和對(duì)于授權(quán)與同意書(shū)的審查惰性，導(dǎo)致數(shù)據(jù)主體對(duì)于自己數(shù)據(jù)權(quán)利的處分也無(wú)法真正遵循內(nèi)心的真實(shí)意思，對(duì)于數(shù)據(jù)收集后的處理及可能的風(fēng)險(xiǎn)無(wú)從知曉，亦無(wú)從判斷[8]。在此過(guò)程中，企業(yè)作為數(shù)據(jù)收集者利用先天優(yōu)勢(shì)條件，以隱形的強(qiáng)制同意手段規(guī)避《個(gè)人信息保護(hù)法》的知情同意規(guī)則，不當(dāng)?shù)貙?shù)據(jù)風(fēng)險(xiǎn)轉(zhuǎn)移給了數(shù)據(jù)主體，而數(shù)據(jù)主體在自身數(shù)據(jù)被不當(dāng)泄露后，也無(wú)法得知由誰(shuí)泄露，如何泄露，因而也難以為自己維權(quán)。綜上，《個(gè)人信息保護(hù)法》構(gòu)建起了數(shù)據(jù)流通合規(guī)的基本門(mén)檻，但企業(yè)數(shù)據(jù)合規(guī)過(guò)程中是否存在其他合法性基礎(chǔ)，如何實(shí)現(xiàn)個(gè)人信息的匿名化處理以及必要信息的界限在何處，都是《個(gè)人信息保護(hù)法》所沒(méi)有明確規(guī)定的，這也為企業(yè)在收集個(gè)人信息并對(duì)個(gè)人信息加工整理成為原始數(shù)據(jù)后進(jìn)行利用留下了合規(guī)風(fēng)險(xiǎn)。

近年來(lái)我國(guó)一直以審慎包容的態(tài)度，通過(guò)“軟法”模式以行政主導(dǎo)的方式持續(xù)回應(yīng)數(shù)字經(jīng)濟(jì)發(fā)展過(guò)程中不斷出現(xiàn)的新需求，推進(jìn)數(shù)據(jù)基礎(chǔ)制度的建立，有關(guān)數(shù)據(jù)合規(guī)的相關(guān)法律依據(jù)散見(jiàn)于大量的政策性文件中。2015年國(guó)務(wù)院發(fā)布《關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)＋”行動(dòng)的指導(dǎo)意見(jiàn)》，強(qiáng)調(diào)網(wǎng)絡(luò)經(jīng)濟(jì)與實(shí)體經(jīng)濟(jì)的協(xié)同互動(dòng)。2019年公安部發(fā)布的《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》，2020年信標(biāo)委發(fā)布的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）收集使用個(gè)人信息自評(píng)估指南》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）個(gè)人信息保護(hù)常見(jiàn)文集及處置指南》，2021年工業(yè)和信息化部發(fā)布的《“十四五”大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃》，都強(qiáng)調(diào)激發(fā)數(shù)據(jù)要素價(jià)值潛能，推進(jìn)大數(shù)據(jù)高質(zhì)量發(fā)展。2022年中共中央、國(guó)務(wù)院發(fā)布《數(shù)據(jù)二十條》，強(qiáng)調(diào)構(gòu)建數(shù)據(jù)基礎(chǔ)制度激活數(shù)據(jù)要素潛能，做強(qiáng)做優(yōu)做大數(shù)字經(jīng)濟(jì)，以及2024年最新發(fā)布的《國(guó)家數(shù)據(jù)標(biāo)準(zhǔn)體系建設(shè)指南》《網(wǎng)絡(luò)數(shù)據(jù)管理?xiàng)l例（未生效）》針對(duì)對(duì)個(gè)人信息、重要數(shù)據(jù)以及網(wǎng)絡(luò)數(shù)據(jù)的跨境流動(dòng)作出了相關(guān)規(guī)定，都為實(shí)務(wù)中企業(yè)構(gòu)建數(shù)據(jù)合規(guī)體系提供了參考。

地方層面陸續(xù)依上位法出臺(tái)了數(shù)據(jù)條例，但未針對(duì)企業(yè)數(shù)據(jù)合規(guī)作出明確規(guī)定?！渡虾Ｊ袛?shù)據(jù)條例》強(qiáng)調(diào)依法保護(hù)自然人對(duì)其個(gè)人信息享有的人格權(quán)益，規(guī)定需以合法、正當(dāng)?shù)姆绞绞占瘮?shù)據(jù)，保護(hù)在使用、加工等數(shù)據(jù)處理活動(dòng)中形成的法定或者約定的財(cái)產(chǎn)權(quán)益。針對(duì)數(shù)據(jù)安全責(zé)任制，明確規(guī)定數(shù)據(jù)處理者是數(shù)據(jù)安全責(zé)任主體，當(dāng)存在多個(gè)數(shù)據(jù)處理者時(shí)，由各數(shù)據(jù)處理者承擔(dān)相應(yīng)的安全責(zé)任⑧。條例更加注重對(duì)個(gè)人權(quán)益的保護(hù)及公共數(shù)據(jù)的開(kāi)發(fā)與利用。

總體而言，各地的地方性數(shù)據(jù)法規(guī)在上位法的框架內(nèi)對(duì)于企業(yè)數(shù)據(jù)合規(guī)的體系構(gòu)建起到了一定的指引作用?！皵?shù)據(jù)二十條”為企業(yè)數(shù)據(jù)合規(guī)的構(gòu)建提供了基本制度指引，《國(guó)家數(shù)據(jù)標(biāo)準(zhǔn)體系建設(shè)指南》則為數(shù)據(jù)合規(guī)未來(lái)法律制度的框架搭建提供了四梁八柱。

（二） 企業(yè)數(shù)據(jù)合規(guī)的行業(yè)實(shí)踐

隨著數(shù)據(jù)成為重要的新質(zhì)生產(chǎn)力要素，數(shù)據(jù)對(duì)于企業(yè)進(jìn)行決策制定、創(chuàng)新收入模式、降低經(jīng)營(yíng)成本等方面發(fā)揮的作用越來(lái)越大。以電商平臺(tái)為例，用戶在進(jìn)入相關(guān)界面后，平臺(tái)會(huì)設(shè)置“個(gè)性化內(nèi)容展示”。而“個(gè)性化內(nèi)容展示”這一功能正是平臺(tái)通過(guò)收集包括用戶的客戶端瀏覽記錄、交易、售后、關(guān)注分享信息、發(fā)布信息以及用戶的IP地址、瀏覽器類型、電信運(yùn)營(yíng)商、使用語(yǔ)言、訪問(wèn)日期和時(shí)間以及用戶的設(shè)備相關(guān)信息、所在位置信息等提取用戶的偏好特征，并向用戶推薦可能感興趣的商品、服務(wù)或其他信息。企業(yè)收集的信息越多，經(jīng)過(guò)分析后所能勾勒出的目標(biāo)用戶需求就越準(zhǔn)確，對(duì)于相關(guān)市場(chǎng)的現(xiàn)狀就越了解，作出決策信息的過(guò)程中所消耗的負(fù)外部成本就越小。而在企業(yè)對(duì)數(shù)據(jù)的收集、分析、傳輸、存儲(chǔ)過(guò)程中所面臨的數(shù)據(jù)風(fēng)險(xiǎn)也不容忽視。

早期的企業(yè)合規(guī)治理的行業(yè)實(shí)踐主要是企業(yè)自我管理和自我監(jiān)督的治理模式[9]。企業(yè)自身在進(jìn)行數(shù)據(jù)合規(guī)過(guò)程中往往會(huì)制定內(nèi)部合規(guī)指引，通常包括收集限制、目的規(guī)范、使用限制、安全保障和相關(guān)責(zé)任等內(nèi)容。但實(shí)際操作中，企業(yè)時(shí)常會(huì)突破數(shù)據(jù)合規(guī)規(guī)定，為實(shí)現(xiàn)商業(yè)利益的最大化而突破原始收集目的，過(guò)度收集用戶信息，并在分析整理數(shù)據(jù)過(guò)程中未經(jīng)原始數(shù)據(jù)所有人的同意而改變數(shù)據(jù)用途、與第三方進(jìn)行共享等。此外，關(guān)于企業(yè)存儲(chǔ)的相關(guān)主體的數(shù)據(jù)，按約定的儲(chǔ)存期限屆滿后，數(shù)據(jù)如何銷毀，數(shù)據(jù)主體終止授權(quán)后是否真的能有權(quán)刪除其先前授權(quán)給企業(yè)的相關(guān)數(shù)據(jù)等，都存在一定疑問(wèn)。更為重要的是，企業(yè)數(shù)據(jù)泄露違規(guī)的相關(guān)機(jī)制在企業(yè)自身的合規(guī)指引中很難得到體現(xiàn)和落實(shí)，企業(yè)作為市場(chǎng)中的逐利者，實(shí)現(xiàn)其商業(yè)利益最大化是第一位的，其數(shù)據(jù)違規(guī)后的責(zé)任機(jī)制也大多是為了挽回企業(yè)損失，而非基于數(shù)據(jù)主體相關(guān)信息泄露的補(bǔ)救和公共利益受損的恢復(fù)。

各地經(jīng)濟(jì)發(fā)展水平也影響了企業(yè)數(shù)據(jù)合規(guī)的實(shí)踐，如北京、浙江等地區(qū)涉及企業(yè)數(shù)據(jù)的糾紛較多。實(shí)務(wù)中，企業(yè)數(shù)據(jù)糾紛主要集中在知識(shí)產(chǎn)權(quán)與不正當(dāng)競(jìng)爭(zhēng)糾紛，但由于目前我國(guó)缺乏專門(mén)的數(shù)據(jù)立法，實(shí)務(wù)中也沒(méi)有對(duì)數(shù)據(jù)的性質(zhì)達(dá)成共識(shí)，實(shí)務(wù)中的數(shù)據(jù)侵權(quán)裁判路徑大多依據(jù)反不正當(dāng)競(jìng)爭(zhēng)法第12條互聯(lián)網(wǎng)專條或求助于反不正當(dāng)競(jìng)爭(zhēng)法第2條針對(duì)不正當(dāng)競(jìng)爭(zhēng)的兜底條款。盡管目前實(shí)務(wù)中法院通過(guò)反不正當(dāng)競(jìng)爭(zhēng)法回避企業(yè)數(shù)據(jù)權(quán)屬問(wèn)題暫時(shí)解決了企業(yè)數(shù)據(jù)糾紛，但其本質(zhì)上是將企業(yè)數(shù)據(jù)權(quán)利降格為一種受法律保護(hù)的純粹經(jīng)濟(jì)利益[10]，只有在該權(quán)利被侵害而導(dǎo)致其他民事權(quán)利被侵害時(shí)，才能得到事后救濟(jì)[11]，這對(duì)企業(yè)數(shù)據(jù)的保護(hù)是遠(yuǎn)遠(yuǎn)不夠的。還有少部分糾紛在現(xiàn)有的法律框架下尋求著作權(quán)、商標(biāo)權(quán)等救濟(jì)方式。多數(shù)涉案數(shù)據(jù)保護(hù)需要法院針對(duì)數(shù)據(jù)的性質(zhì)及具體案情進(jìn)行個(gè)案分析判斷⑨。

三、 困境分析：企業(yè)數(shù)據(jù)合規(guī)過(guò)程中規(guī)范體系不足

我國(guó)數(shù)據(jù)合規(guī)的法律框架仍處于初建過(guò)程中，現(xiàn)有的立法及相關(guān)合規(guī)政策未能兼顧到不同領(lǐng)域數(shù)據(jù)的差異，數(shù)據(jù)分類標(biāo)準(zhǔn)及產(chǎn)權(quán)歸屬不明確、企業(yè)合規(guī)激勵(lì)不足、監(jiān)管機(jī)構(gòu)權(quán)責(zé)不明等困境，制約了數(shù)據(jù)的有效利用和價(jià)值發(fā)揮。為推動(dòng)企業(yè)自覺(jué)實(shí)施有效數(shù)據(jù)合規(guī)，保障數(shù)據(jù)安全，進(jìn)一步推動(dòng)數(shù)字化轉(zhuǎn)型、數(shù)字經(jīng)濟(jì)發(fā)展，數(shù)據(jù)合規(guī)法律規(guī)范體系亟待完善。

（一） 企業(yè)數(shù)據(jù)合規(guī)的上位法淵源缺失

企業(yè)數(shù)據(jù)合規(guī)目前無(wú)立法上的明確規(guī)定。自2014年國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)明確將企業(yè)合規(guī)管理置于重要位置，我國(guó)一直在加快健全網(wǎng)絡(luò)安全保障的數(shù)字經(jīng)濟(jì)治理的法律法規(guī)體系，相繼頒布實(shí)施了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，通過(guò)了大量促進(jìn)數(shù)字經(jīng)濟(jì)治理的政策性文件，初步構(gòu)建了數(shù)據(jù)基礎(chǔ)制度體系的框架。但目前并未有專門(mén)針對(duì)企業(yè)數(shù)據(jù)合規(guī)的相關(guān)立法，企業(yè)數(shù)據(jù)合規(guī)的規(guī)定散見(jiàn)于不同的法律及大量政策性文件，大量與企業(yè)合規(guī)和數(shù)據(jù)合規(guī)相關(guān)的規(guī)則、標(biāo)準(zhǔn)和指南，數(shù)量眾多、內(nèi)容繁雜，不僅缺乏整體的規(guī)范淵源體系，而且不同規(guī)范淵源之間的效力層級(jí)模糊[1]。各地政府在頂層設(shè)計(jì)的指引下，紛紛制定數(shù)據(jù)條例，大量政策的協(xié)調(diào)性、統(tǒng)一性在此過(guò)程中不能得到充分的體現(xiàn)，且法律或相關(guān)政策對(duì)數(shù)據(jù)合規(guī)大多僅作了原則上的要求，并未針對(duì)企業(yè)數(shù)據(jù)合規(guī)的標(biāo)準(zhǔn)、合規(guī)主體、合規(guī)監(jiān)管主體、合規(guī)監(jiān)管方式作出細(xì)化要求和明確規(guī)定，數(shù)據(jù)合規(guī)指導(dǎo)法律標(biāo)準(zhǔn)的缺乏使得企業(yè)在實(shí)際運(yùn)營(yíng)中難以建立統(tǒng)一有效的合規(guī)管理體系，增加了企業(yè)數(shù)據(jù)合規(guī)操作的不確定性。

（二） 企業(yè)數(shù)據(jù)權(quán)屬不明確

我國(guó)目前并未針對(duì)數(shù)據(jù)進(jìn)行賦權(quán)，在數(shù)據(jù)使用各主體間發(fā)生糾紛時(shí)，各主體享有的權(quán)利內(nèi)容的邊界難以被清晰界定，無(wú)法形成統(tǒng)一裁量標(biāo)準(zhǔn)[12]。針對(duì)目前的現(xiàn)狀而言，數(shù)據(jù)權(quán)屬的不明確并未對(duì)實(shí)務(wù)中企業(yè)間的數(shù)據(jù)流通造成過(guò)多不利影響。學(xué)界普遍認(rèn)為，不應(yīng)從所有權(quán)的角度進(jìn)行數(shù)據(jù)確權(quán)，也有一些學(xué)者認(rèn)為對(duì)數(shù)據(jù)難以確權(quán)或無(wú)需確權(quán)[13-14]。但隨著數(shù)字經(jīng)濟(jì)的進(jìn)一步發(fā)展及相應(yīng)數(shù)據(jù)制度的完善，數(shù)據(jù)產(chǎn)權(quán)的確立是必要的，數(shù)據(jù)產(chǎn)權(quán)的確立是數(shù)據(jù)法律規(guī)范關(guān)系中的核心內(nèi)容，數(shù)據(jù)產(chǎn)權(quán)不明確，將會(huì)為數(shù)據(jù)流通過(guò)程中的侵權(quán)行為留下規(guī)制漏洞，確認(rèn)權(quán)利主體才能在數(shù)據(jù)合規(guī)過(guò)程中出現(xiàn)違規(guī)行為時(shí)正確歸責(zé)。明確數(shù)據(jù)產(chǎn)權(quán)，對(duì)于企業(yè)規(guī)范數(shù)據(jù)行為、協(xié)調(diào)相關(guān)數(shù)據(jù)主體的利益關(guān)系，進(jìn)而促進(jìn)數(shù)據(jù)生產(chǎn)和流通，具有重要意義。

對(duì)于數(shù)據(jù)是否需要確權(quán)以及構(gòu)建何種數(shù)據(jù)產(chǎn)權(quán)制度，國(guó)內(nèi)學(xué)界可謂觀點(diǎn)紛呈。支持?jǐn)?shù)據(jù)確權(quán)的學(xué)者多認(rèn)為，解決數(shù)據(jù)的賦權(quán)問(wèn)題有助于促進(jìn)數(shù)據(jù)的開(kāi)發(fā)利用，促進(jìn)數(shù)據(jù)流動(dòng)，進(jìn)而推動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展，但支持?jǐn)?shù)據(jù)確權(quán)的學(xué)者對(duì)于數(shù)據(jù)產(chǎn)權(quán)的制度設(shè)計(jì)仍存在較大爭(zhēng)議。早期有學(xué)者依據(jù)傳統(tǒng)物權(quán)理論路徑，主張構(gòu)建數(shù)據(jù)所有權(quán)與數(shù)據(jù)用益權(quán)的二元結(jié)構(gòu)[15]，還包括通過(guò)從主體、客體、內(nèi)容橫向分層與縱向按照數(shù)據(jù)生成的周期分階，在尊重初始數(shù)據(jù)所有權(quán)的同時(shí)，以企業(yè)數(shù)據(jù)用益權(quán)為基礎(chǔ)，構(gòu)建數(shù)據(jù)資源持有權(quán)、數(shù)據(jù)加工使用權(quán)、數(shù)據(jù)產(chǎn)品經(jīng)營(yíng)權(quán)三階段的確權(quán)制度[16]，以及基于“權(quán)利束”理論，認(rèn)為數(shù)據(jù)權(quán)益是在保障個(gè)人信息權(quán)益的前提下多項(xiàng)權(quán)益的集合，對(duì)數(shù)據(jù)權(quán)益的賦權(quán)可能來(lái)自于法律的多個(gè)領(lǐng)域等多種觀點(diǎn)[17]。否定數(shù)據(jù)賦權(quán)的學(xué)者多認(rèn)為數(shù)據(jù)賦權(quán)論存在歸因錯(cuò)誤，數(shù)據(jù)確權(quán)可能會(huì)引發(fā)“反公地悲劇”的結(jié)果，從而阻礙數(shù)據(jù)的利用與共享[13]。有學(xué)者分析了將數(shù)據(jù)納入私法權(quán)利體系的困難[18]，也有學(xué)者認(rèn)為平臺(tái)數(shù)據(jù)的權(quán)屬無(wú)法確定[19]。實(shí)務(wù)中針對(duì)企業(yè)數(shù)據(jù)的賦權(quán)還未面臨緊迫性，企業(yè)之間大多依據(jù)合同來(lái)確立數(shù)據(jù)流通中的權(quán)益分配。但筆者認(rèn)為，數(shù)據(jù)權(quán)利制度作為數(shù)據(jù)基礎(chǔ)制度中的重要內(nèi)容，應(yīng)當(dāng)在一定程度上得到確立。

清晰的產(chǎn)權(quán)歸屬是交易的前提和基礎(chǔ)[20]。但在實(shí)踐中，盡管數(shù)據(jù)已經(jīng)融入到經(jīng)濟(jì)發(fā)展、社會(huì)治理的多個(gè)方面，但在數(shù)字經(jīng)濟(jì)發(fā)展過(guò)程中，數(shù)據(jù)權(quán)益分配的問(wèn)題仍然存在巨大爭(zhēng)議。針對(duì)數(shù)據(jù)的確權(quán)和數(shù)據(jù)分類，目前并未有法律對(duì)此進(jìn)行回應(yīng)，民法典第127條針對(duì)數(shù)據(jù)保護(hù)作出了相應(yīng)規(guī)定，盡管該條將數(shù)據(jù)規(guī)定在財(cái)產(chǎn)權(quán)之后，但針對(duì)數(shù)據(jù)的性質(zhì)是否為財(cái)產(chǎn)權(quán)并不明確?！稊?shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等針對(duì)數(shù)據(jù)的法律性質(zhì)及權(quán)利邊界也未作出明確規(guī)定。目前僅在“數(shù)據(jù)二十條”中提出了企業(yè)數(shù)據(jù)、公共數(shù)據(jù)及個(gè)人數(shù)據(jù)的分類授權(quán)，但并未針對(duì)分類標(biāo)準(zhǔn)、數(shù)據(jù)處理主體等內(nèi)容作出明確規(guī)定。

（三） 企業(yè)數(shù)據(jù)合規(guī)激勵(lì)不足

合規(guī)成本高昂與合規(guī)激勵(lì)不足是目前企業(yè)數(shù)據(jù)合規(guī)所面臨的困境之一。企業(yè)數(shù)據(jù)合規(guī)管理普遍存在費(fèi)用高昂、覆蓋面廣、專業(yè)化和職業(yè)化程度高的特點(diǎn)，企業(yè)實(shí)施數(shù)據(jù)合規(guī)需要投入大量成本，包括技術(shù)研發(fā)、合規(guī)管理體系建設(shè)、數(shù)據(jù)分類分級(jí)保護(hù)等，對(duì)于中小企業(yè)而言，高昂的合規(guī)成本可能不僅不會(huì)促進(jìn)其發(fā)展，反而成為其發(fā)展的重?fù)?dān)從而阻礙其發(fā)展。然而，實(shí)務(wù)中企業(yè)合規(guī)卻缺乏相應(yīng)的政策支持和激勵(lì)措施，使企業(yè)在實(shí)施數(shù)據(jù)合規(guī)的同時(shí)，面臨巨大的經(jīng)濟(jì)壓力和運(yùn)營(yíng)困難。

目前，針對(duì)企業(yè)數(shù)據(jù)合規(guī)的行政合規(guī)激勵(lì)主要包括事前合規(guī)激勵(lì)、事后合規(guī)激勵(lì)和行政和解激勵(lì)三個(gè)方面。合規(guī)激勵(lì)的合法性基礎(chǔ)可以追溯到《行政處罰法》第33條前兩款的規(guī)定，依據(jù)《行政處罰法》第33條第2款的規(guī)定，企業(yè)在數(shù)據(jù)違規(guī)后若有證據(jù)證明沒(méi)有主觀過(guò)錯(cuò)，則不予行政處罰，而在初次違規(guī)后若能建立或整改合規(guī)制度，則可能符合第33條第1款的“初次違法且危害后果輕微并及時(shí)改正的，可以不予行政處罰”的規(guī)定，從而可能免受行政處罰。針對(duì)行政和解制度，反壟斷領(lǐng)域已經(jīng)將行政和解正式引入并實(shí)踐了行政和解制度。但在企業(yè)數(shù)據(jù)合規(guī)領(lǐng)域，目前并無(wú)明確的法律法規(guī)授權(quán)相關(guān)行政機(jī)關(guān)對(duì)可能存在數(shù)據(jù)違法行為的企業(yè)在事前或事中進(jìn)行約談，以阻止企業(yè)實(shí)施數(shù)據(jù)違規(guī)行為。立法授權(quán)的空白及行政和解適用在數(shù)據(jù)合規(guī)領(lǐng)域的導(dǎo)向不明，使得實(shí)踐中行政機(jī)關(guān)在運(yùn)用行政和解手段推動(dòng)企業(yè)實(shí)施數(shù)據(jù)合規(guī)時(shí)于法無(wú)據(jù)，在這一模式下，行政和解在企業(yè)數(shù)據(jù)合規(guī)過(guò)程中所能發(fā)揮的作用有限，無(wú)法真正推動(dòng)企業(yè)數(shù)據(jù)合規(guī)由事后轉(zhuǎn)向事前，企業(yè)數(shù)據(jù)合規(guī)仍以被動(dòng)合規(guī)為主要形式。

（四） 企業(yè)數(shù)據(jù)合規(guī)監(jiān)管不足

企業(yè)作為市場(chǎng)經(jīng)濟(jì)中數(shù)據(jù)的主要收集和應(yīng)用者，處在多重社會(huì)關(guān)系中，實(shí)施數(shù)據(jù)運(yùn)用違規(guī)、造成數(shù)據(jù)泄露帶來(lái)的風(fēng)險(xiǎn)可能是公共的、社會(huì)的，甚至可能跨區(qū)域、跨國(guó)境傳播。數(shù)字經(jīng)濟(jì)的全球化更是導(dǎo)致數(shù)據(jù)風(fēng)險(xiǎn)的外溢和傳導(dǎo)速度加快。企業(yè)應(yīng)當(dāng)自覺(jué)組織數(shù)據(jù)合規(guī)體系，降低數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)。企業(yè)合規(guī)管理投入主要包括建設(shè)合規(guī)管理組織架構(gòu)、推進(jìn)合規(guī)管理運(yùn)行、提供合規(guī)管理保障等的人員、資產(chǎn)成本[21]。但在目前合規(guī)淵源不清、合規(guī)激勵(lì)不足，以及企業(yè)自身合規(guī)能力參差不齊與合規(guī)動(dòng)力不足的情況下，就需要行政機(jī)關(guān)等外部力量的介入，對(duì)企業(yè)數(shù)據(jù)合規(guī)行為進(jìn)行再監(jiān)管。

目前，我國(guó)正以政策先行的方式推動(dòng)企業(yè)數(shù)據(jù)合規(guī)的體系建設(shè)，相關(guān)的企業(yè)合規(guī)建設(shè)首先體現(xiàn)在商業(yè)銀行、證券公司等領(lǐng)域，目前以上兩個(gè)領(lǐng)域在企業(yè)合規(guī)管理工作方面取得初步成效，但依舊存在合規(guī)負(fù)責(zé)人履職保障不足、追責(zé)力度不夠等問(wèn)題?！吨醒肫髽I(yè)合規(guī)管理辦法》第五條明確提出堅(jiān)持權(quán)責(zé)清晰⑩ ，但相關(guān)的數(shù)據(jù)合規(guī)組織體系架構(gòu)，外部監(jiān)督的對(duì)應(yīng)部門(mén)、監(jiān)督職權(quán)、合規(guī)責(zé)任等并未作出明確規(guī)定。在行政體系之內(nèi)，行政主體的具體監(jiān)管職能尚不明確[22]，合規(guī)監(jiān)管指引的欠缺使得企業(yè)的數(shù)據(jù)合規(guī)整改存在被動(dòng)、盲目以及內(nèi)部權(quán)責(zé)難以確定等困境，數(shù)據(jù)合規(guī)體系的構(gòu)建難以進(jìn)一步完善。

企業(yè)數(shù)據(jù)合規(guī)的不斷發(fā)展與對(duì)應(yīng)監(jiān)管制度缺失的矛盾凸顯，針對(duì)企業(yè)數(shù)據(jù)合規(guī)的監(jiān)管散見(jiàn)于部分規(guī)章及政策性文件，法律依據(jù)的缺失與規(guī)范的不統(tǒng)一，這意味著在實(shí)踐中企業(yè)面臨多部門(mén)監(jiān)管的壓力，政府對(duì)企業(yè)數(shù)據(jù)合規(guī)監(jiān)管的有效性也受到限制，從而無(wú)法發(fā)揮出其應(yīng)有的效能。此外，目前針對(duì)企業(yè)數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)的監(jiān)管大多依賴事后懲罰機(jī)制，而針對(duì)企業(yè)數(shù)據(jù)合規(guī)的事前預(yù)防性監(jiān)管不足。其中固然有數(shù)據(jù)風(fēng)險(xiǎn)隱蔽性強(qiáng)、調(diào)查取證技術(shù)難度高等客觀因素，但政府作為監(jiān)管主體，應(yīng)始終具備整體性視野，對(duì)合規(guī)能力較弱、合規(guī)難度較大的企業(yè)持續(xù)關(guān)注，從系統(tǒng)性、預(yù)防性的角度，包括參照合規(guī)管理標(biāo)準(zhǔn)、定期實(shí)施數(shù)據(jù)合規(guī)評(píng)估檢查等方式進(jìn)行常態(tài)化數(shù)據(jù)合規(guī)監(jiān)管。

四、 域外借鑒：美國(guó)、歐盟企業(yè)數(shù)據(jù)合規(guī)法律的構(gòu)建

隨著全球化和數(shù)字經(jīng)濟(jì)的發(fā)展，數(shù)據(jù)保護(hù)已經(jīng)成為全球關(guān)注的焦點(diǎn)，推動(dòng)企業(yè)數(shù)據(jù)合規(guī)也日益成為重要的議題。不同國(guó)家和地區(qū)對(duì)數(shù)據(jù)保護(hù)進(jìn)行了相關(guān)的立法探索，其中，歐盟和美國(guó)關(guān)于企業(yè)數(shù)據(jù)合規(guī)的法律規(guī)制框架可為我國(guó)構(gòu)建企業(yè)數(shù)據(jù)合規(guī)法律制度提供相應(yīng)的參考。

（一） 美國(guó)的企業(yè)數(shù)據(jù)合規(guī)法律依據(jù)

美國(guó)針對(duì)企業(yè)數(shù)據(jù)合規(guī)方面的法律規(guī)定較為分散，主要包括聯(lián)邦法律和州法律兩個(gè)層面。聯(lián)邦層面并沒(méi)有統(tǒng)一的數(shù)據(jù)保護(hù)法規(guī)，其中對(duì)于企業(yè)數(shù)據(jù)合規(guī)影響最大的為《聯(lián)邦貿(mào)易委員會(huì)法案》（Federal Trade Commission Act，以下簡(jiǎn)稱“FTC法案”）。根據(jù)FTC法案第五章節(jié)，數(shù)據(jù)處理的情況必須在隱私政策或通知等資料中闡明，并且需要嚴(yán)格遵守這些政策。在州法律層面，各州制定了自己的數(shù)據(jù)保護(hù)法律，其中《加利福尼亞州消費(fèi)者隱私法案》（CCPA）被認(rèn)為是美國(guó)目前最具影響力的州級(jí)數(shù)據(jù)和隱私保護(hù)立法，該法案確定了數(shù)據(jù)合規(guī)流程以及數(shù)據(jù)權(quán)利和數(shù)據(jù)處理者的義務(wù)。此外，《美國(guó)隱私權(quán)法案》（以下簡(jiǎn)稱APR）正在嘗試建立聯(lián)邦層面統(tǒng)一的數(shù)據(jù)隱私權(quán)和保護(hù)措施，強(qiáng)調(diào)數(shù)據(jù)最小化原則和對(duì)個(gè)人定向廣告的選擇退出權(quán)。

（二） 歐盟企業(yè)數(shù)據(jù)合規(guī)法律構(gòu)建

歐盟基于《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡(jiǎn)稱“GDPR”），對(duì)企業(yè)數(shù)據(jù)合規(guī)提出了一系列嚴(yán)格的要求，構(gòu)建起了以保護(hù)個(gè)人數(shù)據(jù)為中心，以合規(guī)問(wèn)責(zé)和行政監(jiān)管為主的全方位和全流程的數(shù)據(jù)治理制度體系，旨在嚴(yán)格保護(hù)歐盟居民的個(gè)人數(shù)據(jù)。GDPR要求企業(yè)必須有合法的理由來(lái)處理個(gè)人數(shù)據(jù)，例如數(shù)據(jù)主體的明確同意、履行合同義務(wù)、遵守法律要求、保護(hù)關(guān)鍵利益、公共利益或追求合法利益等，并賦予數(shù)據(jù)主體一系列權(quán)利以保障個(gè)人數(shù)據(jù)。此外，GDPR還規(guī)定在某些高風(fēng)險(xiǎn)的情況下，如敏感數(shù)據(jù)或大規(guī)模監(jiān)控，企業(yè)必須進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估。對(duì)于某些大規(guī)模處理敏感數(shù)據(jù)或大規(guī)模監(jiān)控的企業(yè)，則必須任命一名數(shù)據(jù)保護(hù)官（DPO）來(lái)監(jiān)督企業(yè)對(duì)GDPR的遵守情況。企業(yè)在運(yùn)營(yíng)過(guò)程中也必須能夠證明其遵守了GDPR的要求，相關(guān)的記錄保存可能包括維護(hù)數(shù)據(jù)處理活動(dòng)的記錄，以證明其合規(guī)性。GDPR對(duì)于數(shù)據(jù)的跨境傳輸和數(shù)據(jù)的透明度以及溝通等都作出了相應(yīng)規(guī)定，企業(yè)如不遵守GDPR，則將面臨重大處罰。

歐盟以及美國(guó)針對(duì)數(shù)據(jù)和隱私的保護(hù)立法，其中對(duì)于數(shù)據(jù)合規(guī)流程、用戶行使權(quán)利的流程以及數(shù)據(jù)處理者相關(guān)義務(wù)和法律責(zé)任的規(guī)定，為我國(guó)完善個(gè)人數(shù)據(jù)保障方面的數(shù)據(jù)合規(guī)法律完善以及數(shù)據(jù)合規(guī)法律體系的構(gòu)建提供了很好的域外借鑒。

五、 完善之路：構(gòu)建企業(yè)數(shù)據(jù)合規(guī)法律自主知識(shí)體系

企業(yè)數(shù)據(jù)合規(guī)的法律淵源廣泛導(dǎo)致企業(yè)數(shù)據(jù)合規(guī)義務(wù)泛化，給企業(yè)帶來(lái)沉重負(fù)擔(dān)。為實(shí)現(xiàn)數(shù)據(jù)合規(guī)的加速推進(jìn)，應(yīng)當(dāng)進(jìn)一步在立法層面上完善數(shù)據(jù)合規(guī)法律規(guī)范，進(jìn)一步明確數(shù)據(jù)合規(guī)過(guò)程中相關(guān)數(shù)據(jù)、組織架構(gòu)的明確定義，對(duì)數(shù)據(jù)權(quán)利進(jìn)行確權(quán)以及授權(quán)，增加企業(yè)數(shù)據(jù)合規(guī)的激勵(lì)措施，為企業(yè)構(gòu)建數(shù)據(jù)合規(guī)體系提供明確的指引。

（一） 進(jìn)一步明確企業(yè)數(shù)據(jù)合規(guī)的實(shí)體標(biāo)準(zhǔn)

首先，應(yīng)當(dāng)制定統(tǒng)一的數(shù)據(jù)合規(guī)指南。目前我國(guó)已經(jīng)出臺(tái)了《國(guó)家數(shù)據(jù)標(biāo)準(zhǔn)體系建設(shè)指南》，其中包含了數(shù)據(jù)標(biāo)準(zhǔn)體系結(jié)構(gòu)、數(shù)據(jù)基礎(chǔ)設(shè)施、資源、技術(shù)、流通、融合應(yīng)用、安全保障標(biāo)準(zhǔn)以及實(shí)施路徑和政策支持的相關(guān)規(guī)定，對(duì)于未來(lái)建設(shè)企業(yè)數(shù)據(jù)合規(guī)法律體系提供了大的框架。按照《國(guó)家數(shù)據(jù)標(biāo)準(zhǔn)體系建設(shè)指南》的要求，我國(guó)將于2026年底基本建成國(guó)家數(shù)據(jù)標(biāo)準(zhǔn)體系，圍繞數(shù)據(jù)流通利用基礎(chǔ)設(shè)施、數(shù)據(jù)管理、數(shù)據(jù)服務(wù)、訓(xùn)練數(shù)據(jù)集、公共數(shù)據(jù)授權(quán)運(yùn)營(yíng)、數(shù)據(jù)確權(quán)、數(shù)據(jù)資源定價(jià)以及企業(yè)數(shù)據(jù)范式交易等方面，修訂30項(xiàng)以上數(shù)據(jù)領(lǐng)域基礎(chǔ)通用國(guó)家標(biāo)準(zhǔn)。明確的數(shù)據(jù)確權(quán)以及針對(duì)不同的數(shù)據(jù)主體、數(shù)據(jù)權(quán)利進(jìn)行權(quán)益劃分是目前推動(dòng)數(shù)據(jù)合規(guī)法律體系建構(gòu)的前提條件。

數(shù)據(jù)作為新的生產(chǎn)要素在經(jīng)濟(jì)發(fā)展中所起的作用越來(lái)越大，各地也紛紛頒布相關(guān)的數(shù)據(jù)條例或相關(guān)合規(guī)指引，不同合規(guī)指引在效力層面的不統(tǒng)一以及標(biāo)準(zhǔn)的差異性增加了企業(yè)數(shù)據(jù)合規(guī)的負(fù)擔(dān)和成本，目前急需對(duì)數(shù)據(jù)合規(guī)相關(guān)法律制度進(jìn)行梳理，明確企業(yè)數(shù)據(jù)合規(guī)的標(biāo)準(zhǔn)。數(shù)據(jù)立法本身的專業(yè)性與復(fù)雜性及目前數(shù)字經(jīng)濟(jì)轉(zhuǎn)型期合規(guī)情形的多變性，使得我國(guó)很難在短期內(nèi)出臺(tái)專門(mén)針對(duì)企業(yè)數(shù)據(jù)合規(guī)的單行法律，因此有必要在政策方面探尋有效的規(guī)制路徑。針對(duì)目前企業(yè)數(shù)據(jù)合規(guī)的困境以政策作出有效回應(yīng)，針對(duì)快速發(fā)展的數(shù)字經(jīng)濟(jì)態(tài)勢(shì)及時(shí)轉(zhuǎn)變策略，并及時(shí)將行之有效的政策上升為立法，為企業(yè)數(shù)據(jù)合規(guī)提供上位法依據(jù)；企業(yè)數(shù)據(jù)合規(guī)的立法指引應(yīng)當(dāng)明確數(shù)據(jù)合規(guī)中的相關(guān)術(shù)語(yǔ)、重點(diǎn)關(guān)注數(shù)據(jù)的識(shí)別、不同合規(guī)主體的責(zé)任邊界、內(nèi)部合規(guī)體系的構(gòu)建標(biāo)準(zhǔn)，以達(dá)到對(duì)目前紛繁復(fù)雜的數(shù)據(jù)條例進(jìn)行整理協(xié)調(diào)，明確數(shù)據(jù)合規(guī)統(tǒng)一標(biāo)準(zhǔn)。

（二） 構(gòu)建企業(yè)數(shù)據(jù)合規(guī)分級(jí)分類制度

基于數(shù)據(jù)承載主體和涉及的利益關(guān)系的復(fù)雜性，在對(duì)數(shù)據(jù)予以確權(quán)、進(jìn)行產(chǎn)權(quán)化設(shè)計(jì)時(shí)，有必要進(jìn)行類型化[23]。根據(jù)適用范圍、效力層級(jí)等構(gòu)建分級(jí)分類的合規(guī)管理制度體系，有助于不同的主體明確自身享有的數(shù)據(jù)權(quán)利和義務(wù)，適合目前多類型的企業(yè)依據(jù)自身情況制定相應(yīng)的內(nèi)部合規(guī)組織體系。我國(guó)立法針對(duì)企業(yè)數(shù)據(jù)合規(guī)并未有統(tǒng)一的規(guī)定，鑒于市場(chǎng)經(jīng)濟(jì)中企業(yè)的類型、規(guī)模不同，筆者認(rèn)為企業(yè)數(shù)據(jù)合規(guī)的法律要求不能一概而論，應(yīng)當(dāng)針對(duì)不同的行業(yè)、企業(yè)業(yè)務(wù)類型、數(shù)據(jù)來(lái)源以及數(shù)據(jù)用途等對(duì)數(shù)據(jù)進(jìn)行分類和標(biāo)識(shí)，并在此基礎(chǔ)上對(duì)甄別不同類型的數(shù)據(jù)遭到篡改、破壞或泄露等對(duì)個(gè)人、企業(yè)甚至公共利益造成的危害程度，為企業(yè)數(shù)據(jù)合規(guī)建立風(fēng)險(xiǎn)等級(jí)分類。

依據(jù)《國(guó)家數(shù)據(jù)標(biāo)準(zhǔn)建設(shè)體系指南》的數(shù)據(jù)標(biāo)準(zhǔn)體系框架，數(shù)據(jù)資源可按照數(shù)據(jù)主體劃分為公共數(shù)據(jù)、企業(yè)數(shù)據(jù)和個(gè)人數(shù)據(jù)。企業(yè)數(shù)據(jù)不能單純地理解為企業(yè)收集的用戶信息，其更多的是收集加工后的數(shù)據(jù)，本質(zhì)上是數(shù)據(jù)本身的衍生產(chǎn)品。筆者認(rèn)為，依據(jù)數(shù)據(jù)屬性可以進(jìn)一步將數(shù)據(jù)劃分為原始數(shù)據(jù)與衍生數(shù)據(jù)。原始數(shù)據(jù)為企業(yè)在從事經(jīng)營(yíng)活動(dòng)中直接收集到的包括數(shù)據(jù)主體在內(nèi)的未經(jīng)分析或簡(jiǎn)化的數(shù)據(jù)，關(guān)于該部分?jǐn)?shù)據(jù)，由于其可能包含大量自然人人身屬性的信息，應(yīng)當(dāng)更加強(qiáng)調(diào)數(shù)據(jù)所包含的人格利益。衍生數(shù)據(jù)為企業(yè)針對(duì)原始數(shù)據(jù)處理、分析后再生成的數(shù)據(jù)，如電商平臺(tái)針對(duì)用戶生成的購(gòu)物偏好數(shù)據(jù)等，該部分?jǐn)?shù)據(jù)對(duì)于企業(yè)而言具有更大的經(jīng)濟(jì)價(jià)值，可能涉及企業(yè)的商業(yè)秘密。筆者認(rèn)為，針對(duì)企業(yè)數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)的量化標(biāo)準(zhǔn)，可以以數(shù)據(jù)對(duì)國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益或個(gè)人、組織合法權(quán)益的影響和重要程度等進(jìn)行分級(jí)，針對(duì)不同類別、級(jí)別的數(shù)據(jù)采取不同的合規(guī)措施。

考慮到目前針對(duì)企業(yè)數(shù)據(jù)合規(guī)的體系構(gòu)建并未有立法上的統(tǒng)一，應(yīng)鼓勵(lì)探索企業(yè)數(shù)據(jù)合規(guī)的分類分級(jí)合規(guī)體系，確立基本的數(shù)據(jù)分類規(guī)則，有助于企業(yè)主體在合規(guī)過(guò)程中針對(duì)不同的數(shù)據(jù)制定相應(yīng)的合規(guī)策略和安全措施，特別對(duì)于規(guī)模小、合規(guī)能力弱的中小企業(yè)，相對(duì)統(tǒng)一的數(shù)據(jù)合規(guī)分類分級(jí)標(biāo)準(zhǔn)可以為其提供更加明確的合規(guī)路徑，提供更加明確的合規(guī)指引，在現(xiàn)有法律框架下更好地履行數(shù)據(jù)安全保護(hù)義務(wù)。企業(yè)數(shù)據(jù)合規(guī)的統(tǒng)一分類分級(jí)風(fēng)險(xiǎn)防控指引，應(yīng)當(dāng)對(duì)數(shù)據(jù)合規(guī)過(guò)程中所面臨的合規(guī)風(fēng)險(xiǎn)事項(xiàng)進(jìn)行更加明確的風(fēng)險(xiǎn)描述，同時(shí)對(duì)企業(yè)數(shù)據(jù)合規(guī)的行為準(zhǔn)則作出相應(yīng)列舉，主要以禁止性行為為主并輔以必要的兜底條款及例外條款，為不斷發(fā)展的數(shù)字經(jīng)濟(jì)留下空間。

（三） 增強(qiáng)企業(yè)數(shù)據(jù)合規(guī)激勵(lì)

合規(guī)激勵(lì)不足是企業(yè)數(shù)據(jù)合規(guī)制度難以發(fā)揮效用的主要原因之一。“合規(guī)激勵(lì)機(jī)制的存在，是企業(yè)合規(guī)制度得到企業(yè)高度重視并迅速向全世界推行的關(guān)鍵原因之一”[24]，企業(yè)數(shù)據(jù)合規(guī)的有效推行有賴于建立完整有效的合規(guī)激勵(lì)機(jī)制。筆者認(rèn)為，未來(lái)可以基于以下兩個(gè)途徑構(gòu)建數(shù)據(jù)合規(guī)的激勵(lì)機(jī)制：首先，引入安全港制度以促進(jìn)事前合規(guī)；其次，通過(guò)立法明確授予數(shù)據(jù)監(jiān)管機(jī)構(gòu)行政和解權(quán)限。目前數(shù)字經(jīng)濟(jì)仍處于發(fā)展、轉(zhuǎn)型中，企業(yè)作為數(shù)據(jù)持有方合規(guī)可預(yù)期性不足、合規(guī)自證難度大。適當(dāng)?shù)募?lì)和一定程度的豁免可以推動(dòng)企業(yè)由被動(dòng)合規(guī)轉(zhuǎn)向主動(dòng)合規(guī)。通過(guò)引入安全港制度，能夠?yàn)槠髽I(yè)提供更加清晰的指引，使企業(yè)在數(shù)據(jù)合規(guī)組織體系建立過(guò)程中了解哪些行為是被允許的，從而降低企業(yè)的數(shù)據(jù)合規(guī)成本。

安全港制度（Safe Habor）類似于適用除外制度，二者本質(zhì)上都屬于豁免規(guī)則，即相關(guān)主體在符合預(yù)設(shè)條件時(shí)，則可免受法律追究?！稊?shù)據(jù)安全法》第29條、第30條要求數(shù)據(jù)的處理者加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，定期開(kāi)展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)部門(mén)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告，第21條明確了國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度。同時(shí)《國(guó)家數(shù)據(jù)標(biāo)準(zhǔn)體系建設(shè)指南》也表示未來(lái)將構(gòu)建分級(jí)分類數(shù)據(jù)合規(guī)標(biāo)準(zhǔn)?；诖耍P者認(rèn)為，未來(lái)可基于《數(shù)據(jù)安全法》針對(duì)企業(yè)關(guān)于風(fēng)險(xiǎn)監(jiān)測(cè)、風(fēng)險(xiǎn)匯報(bào)、風(fēng)險(xiǎn)評(píng)估等的規(guī)定，結(jié)合《行政處罰法》第33條的規(guī)定，當(dāng)企業(yè)已采取相關(guān)數(shù)據(jù)合規(guī)制度建設(shè)，包括自覺(jué)依法加強(qiáng)數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測(cè)、及時(shí)采取補(bǔ)救措施、定期開(kāi)展風(fēng)險(xiǎn)評(píng)估并向有關(guān)部門(mén)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告等，可將其作為《行政處罰法》第33條第2款規(guī)定的主觀無(wú)過(guò)錯(cuò)情形從而免于處罰。此處可借鑒GDPR中關(guān)于行為準(zhǔn)則和認(rèn)證制度輔助作為安全港制度的規(guī)則，以及判斷企業(yè)數(shù)據(jù)合規(guī)是否符合無(wú)過(guò)錯(cuò)責(zé)任情形，并基于我國(guó)數(shù)字經(jīng)濟(jì)的發(fā)展現(xiàn)狀，形成基于整體合規(guī)管理組織架構(gòu)的評(píng)價(jià)機(jī)制，關(guān)注企業(yè)數(shù)據(jù)合規(guī)的整體可靠性，從而不因偶然事件而全盤(pán)否定企業(yè)的合規(guī)努力。將內(nèi)部有效合規(guī)計(jì)劃及實(shí)際合規(guī)整改措施作為判斷“主觀過(guò)錯(cuò)”的核心標(biāo)準(zhǔn)，完善有效合規(guī)計(jì)劃認(rèn)定體系，在企業(yè)發(fā)展并實(shí)施了內(nèi)部管理計(jì)劃但仍發(fā)生損害后果時(shí)，將企業(yè)內(nèi)部有效合規(guī)計(jì)劃作為免除責(zé)任或者減輕責(zé)任的抗辯事由。同時(shí)，培育第三方獨(dú)立數(shù)據(jù)合規(guī)監(jiān)管、認(rèn)證機(jī)構(gòu)。數(shù)據(jù)合規(guī)的高度技術(shù)復(fù)雜性決定單純由行政機(jī)關(guān)實(shí)施數(shù)據(jù)合規(guī)監(jiān)管可能存在一定的執(zhí)法監(jiān)管困境，因此，有必要培育第三方獨(dú)立數(shù)據(jù)合規(guī)監(jiān)管和認(rèn)證機(jī)構(gòu)。

將行政和解引入企業(yè)數(shù)據(jù)合規(guī)，能夠?qū)崿F(xiàn)行政處罰法從寬制度與企業(yè)數(shù)據(jù)合規(guī)激勵(lì)的有效銜接。從實(shí)踐的角度看，數(shù)據(jù)風(fēng)險(xiǎn)具有波及范圍廣、恢復(fù)難度大，不容易逆轉(zhuǎn)等特征，容易對(duì)經(jīng)濟(jì)和社會(huì)公共利益造成危害，而數(shù)據(jù)風(fēng)險(xiǎn)又具有隱蔽性，數(shù)據(jù)風(fēng)險(xiǎn)一旦被發(fā)現(xiàn)，可能就是在數(shù)據(jù)已經(jīng)泄露，造成巨大損失的環(huán)境下。在此種情況下，具有早期干預(yù)功能的行政和解以相對(duì)柔性的方式介入企業(yè)數(shù)據(jù)合規(guī)，傳達(dá)執(zhí)法關(guān)切和治理意圖，做到及時(shí)止損，消除數(shù)據(jù)泄露風(fēng)險(xiǎn)隱患，防止危害行為的擴(kuò)大化或危害后果的嚴(yán)重化。鑒于目前數(shù)據(jù)合規(guī)監(jiān)管機(jī)構(gòu)針對(duì)企業(yè)數(shù)據(jù)合規(guī)進(jìn)行約談無(wú)法可依的窘境，在針對(duì)完善數(shù)據(jù)合規(guī)的指引中引入行政約談時(shí)，首先應(yīng)對(duì)行政監(jiān)管機(jī)關(guān)進(jìn)行明確授權(quán)，明確其權(quán)責(zé)范圍。我國(guó)目前出臺(tái)的相關(guān)數(shù)據(jù)法律及各項(xiàng)數(shù)據(jù)合規(guī)政策中涉及到多個(gè)機(jī)關(guān)，合規(guī)指引針對(duì)行政約談的規(guī)定應(yīng)當(dāng)充分考慮各個(gè)機(jī)關(guān)的職能權(quán)限。其次，確立行政約談的約束力，賦予行政約談一定的剛性威懾。一定的壓力逼迫機(jī)制下，被約談的企業(yè)需要提出明確可行的數(shù)據(jù)合規(guī)改進(jìn)措施，從而避免行政約談淪為泛泛的“紙上談兵”。再者，鑒于數(shù)據(jù)合規(guī)的高度復(fù)雜性，企業(yè)主體的規(guī)模、經(jīng)營(yíng)范圍的多樣性及合規(guī)能力的差異性，應(yīng)制定分類分級(jí)制度，對(duì)企業(yè)數(shù)據(jù)合規(guī)的整改情況采取不同程度的責(zé)任減免[25]。

（四） 企業(yè)數(shù)據(jù)合規(guī)中的監(jiān)管完善

合規(guī)最終面向的是監(jiān)管，針對(duì)當(dāng)前我國(guó)數(shù)據(jù)合規(guī)面臨多頭監(jiān)管的困境，協(xié)調(diào)數(shù)據(jù)合規(guī)執(zhí)法機(jī)構(gòu)職責(zé)沖突成為當(dāng)務(wù)之急。執(zhí)法部門(mén)針對(duì)企業(yè)數(shù)據(jù)合規(guī)的職權(quán)交叉、邊界不清，是目前企業(yè)數(shù)據(jù)合規(guī)面臨的困境之一。在數(shù)據(jù)合規(guī)監(jiān)管職責(zé)劃分上，應(yīng)不斷明確和強(qiáng)調(diào)各監(jiān)管機(jī)構(gòu)的主要監(jiān)管目標(biāo)和任務(wù)，加強(qiáng)對(duì)企業(yè)數(shù)據(jù)合規(guī)的監(jiān)管，定期對(duì)企業(yè)數(shù)據(jù)合規(guī)遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)。此外，應(yīng)著力培育第三方專業(yè)服務(wù)機(jī)構(gòu)，針對(duì)企業(yè)數(shù)據(jù)合規(guī)過(guò)程中的數(shù)據(jù)集成、數(shù)據(jù)經(jīng)濟(jì)、數(shù)據(jù)審計(jì)、數(shù)據(jù)公證以及數(shù)據(jù)資產(chǎn)評(píng)估作出專業(yè)的合規(guī)評(píng)估，并推進(jìn)數(shù)據(jù)登記機(jī)構(gòu)的設(shè)立。數(shù)據(jù)登記機(jī)構(gòu)的設(shè)立一方面可以對(duì)企業(yè)數(shù)據(jù)主體的數(shù)據(jù)權(quán)利進(jìn)行合法性確認(rèn)，另一方面，盡管數(shù)據(jù)權(quán)利的性質(zhì)仍有爭(zhēng)議，應(yīng)重視目前學(xué)界已普遍認(rèn)可數(shù)據(jù)是新型的財(cái)產(chǎn)權(quán)利的共識(shí)，數(shù)據(jù)交易的頻繁及其本身技術(shù)所帶來(lái)的特殊性，需要數(shù)據(jù)登記機(jī)構(gòu)對(duì)其進(jìn)行權(quán)利變動(dòng)的公示公信，以維護(hù)數(shù)據(jù)交易安全。

結(jié) 語(yǔ)

隨著數(shù)字經(jīng)濟(jì)的快速發(fā)展，數(shù)據(jù)已經(jīng)成為重要的優(yōu)質(zhì)生產(chǎn)要素，數(shù)字經(jīng)濟(jì)的發(fā)展?fàn)顩r已經(jīng)與國(guó)家整體的經(jīng)濟(jì)發(fā)展息息相關(guān)。企業(yè)作為主要的數(shù)據(jù)利用主體，應(yīng)當(dāng)主動(dòng)承擔(dān)數(shù)據(jù)合規(guī)的義務(wù)。但目前企業(yè)數(shù)據(jù)合規(guī)仍面臨規(guī)制標(biāo)準(zhǔn)不清晰、數(shù)據(jù)權(quán)屬不明確、合規(guī)激勵(lì)不足等問(wèn)題。單純依靠企業(yè)自我主動(dòng)實(shí)施有效數(shù)據(jù)合規(guī)是不現(xiàn)實(shí)的，推動(dòng)企業(yè)數(shù)據(jù)合規(guī)的前期需要明確的法律法規(guī)指引和適當(dāng)?shù)募?lì)，只有厘清我國(guó)數(shù)據(jù)合規(guī)法律體系構(gòu)建過(guò)程中所面臨的障礙，并給出相關(guān)解決路徑，才能為我國(guó)企業(yè)數(shù)據(jù)合規(guī)法律體系構(gòu)建提供堅(jiān)實(shí)的法律基石。

企業(yè)數(shù)據(jù)合規(guī)的法律構(gòu)建應(yīng)當(dāng)加強(qiáng)價(jià)值引領(lǐng)，推進(jìn)數(shù)據(jù)合規(guī)立法的體系化，同時(shí)由于數(shù)字經(jīng)濟(jì)仍處于不斷發(fā)展過(guò)程中，數(shù)字經(jīng)濟(jì)轉(zhuǎn)型過(guò)程中所面臨的情況多變，面對(duì)企業(yè)數(shù)據(jù)合規(guī)的立法與執(zhí)法應(yīng)當(dāng)保持審慎包容的原則，做到推進(jìn)政府、企業(yè)等多元主體協(xié)同共治，促進(jìn)企業(yè)數(shù)據(jù)合規(guī)制度的有序構(gòu)建，在法治軌道上促進(jìn)數(shù)字經(jīng)濟(jì)的健康發(fā)展。從數(shù)字經(jīng)濟(jì)快速發(fā)展以及經(jīng)濟(jì)轉(zhuǎn)型期市場(chǎng)主體需求變化大的角度看，以政策指引，通過(guò)行政主導(dǎo)的方式推進(jìn)企業(yè)數(shù)據(jù)合規(guī)是有其必要性的，但僅有政策指引是不夠的，還應(yīng)進(jìn)一步以法律手段確立企業(yè)數(shù)據(jù)合規(guī)制度，在必要的時(shí)候?qū)⑿兄行У恼呱仙秊榉?，并以此協(xié)同推進(jìn)企業(yè)數(shù)據(jù)合規(guī)的執(zhí)法和司法，從而構(gòu)建完善的企業(yè)數(shù)據(jù)合規(guī)法律體系。構(gòu)建企業(yè)數(shù)據(jù)合規(guī)法律體系能夠促進(jìn)數(shù)據(jù)的高效流通使用，進(jìn)一步提高數(shù)據(jù)資源的開(kāi)發(fā)利用水平，破除目前數(shù)據(jù)流通利用的體制性障礙、機(jī)制性梗阻，激發(fā)不同企業(yè)主體的發(fā)展動(dòng)力，優(yōu)化數(shù)據(jù)資源配置，釋放市場(chǎng)活力，充分發(fā)揮數(shù)據(jù)作為新的優(yōu)質(zhì)生產(chǎn)要素的放大、疊加、倍增效應(yīng)，從而推動(dòng)經(jīng)濟(jì)的數(shù)字化轉(zhuǎn)型，為構(gòu)建國(guó)家競(jìng)爭(zhēng)新優(yōu)勢(shì)提供堅(jiān)實(shí)的基礎(chǔ)。

注釋：

① 目前上海市、重慶市、四川省、蘇州市、成都市、廈門(mén)經(jīng)濟(jì)特區(qū)、深圳經(jīng)濟(jì)特區(qū)、浙江省、福建省、陜西省、吉林省、江西省、遼寧省、安徽省、貴州省、貴陽(yáng)市、山西省、黑龍江省、海南省、山東省、天津市、廣西壯族自治區(qū)等均發(fā)布了數(shù)據(jù)條例，浙江省、深圳經(jīng)濟(jì)特區(qū)、汕頭經(jīng)濟(jì)特區(qū)、廣州市、山西省、石家莊市、內(nèi)蒙古自治區(qū)、廣東省、江蘇省、沈陽(yáng)市、河北省、湖南省、河南省、北京市、南昌市等均發(fā)布了數(shù)字經(jīng)濟(jì)促進(jìn)條例。

② 2020年4月，中共中央、國(guó)務(wù)院發(fā)布《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》，將數(shù)據(jù)定位為與土地、勞動(dòng)力、資本、技術(shù)并列的生產(chǎn)要素。

③ 參見(jiàn)最高人民檢察院發(fā)布個(gè)人信息保護(hù)檢察公益訴訟典型案例之七，https：//www.spp.gov.cn/xwfbh/wsfbt/202303/t20230330_609756.shtml#2，最后訪問(wèn)時(shí)間2024年11月24日。

④ 2022年國(guó)務(wù)院發(fā)布《中央企業(yè)合規(guī)管理辦法》，2022年上海市國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)發(fā)布《上海市國(guó)資委監(jiān)管企業(yè)合規(guī)管理辦法》，2024年寧夏國(guó)資委印發(fā)《自治區(qū)屬國(guó)有企業(yè)合規(guī)管理有效性評(píng)價(jià)指標(biāo)體系》保障國(guó)有企業(yè)持續(xù)健康發(fā)展，2021年湖北省國(guó)資委發(fā)布《湖北省國(guó)有經(jīng)濟(jì)布局優(yōu)化和結(jié)構(gòu)調(diào)整 “十四五”規(guī)劃》明確提出推進(jìn)數(shù)字化轉(zhuǎn)型，2024武漢市國(guó)資委2024年7月印發(fā)《市出資企業(yè)合規(guī)管理辦法》。

⑤ 參見(jiàn)http：//www.sasac.gov.cn/n4470048/n16518962/n20648677/n20648712/c22369105/content.html，最后訪問(wèn)時(shí)間2024年11月24日。

⑥ 參見(jiàn)http：//www.sasac.gov.cn/n2588025/n2588124/c25483972/content.html，最后訪問(wèn)時(shí)間2024年11月24日。

⑦ 《個(gè)人信息保護(hù)法》第23條，個(gè)人信息處理和向其他個(gè)人信息處理者提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意。接收方應(yīng)當(dāng)在上述處理目的、處理方式和個(gè)人信息的種類等范圍內(nèi)處理個(gè)人信息接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意。

⑧ 參見(jiàn)《上海市數(shù)據(jù)條例》。

⑨ 參見(jiàn)廣州互聯(lián)網(wǎng)法院（2020）粵0192民初20405號(hào)民事判決書(shū)。

⑩ 參見(jiàn)中央企業(yè)合規(guī)管理辦法第五條“按照‘管業(yè)務(wù)必須管合規(guī)’要求，明確業(yè)務(wù)及職能部門(mén)、合規(guī)管理部門(mén)和監(jiān)督部門(mén)職責(zé)，嚴(yán)格落實(shí)員工合規(guī)責(zé)任，對(duì)違規(guī)行為嚴(yán)肅問(wèn)責(zé)?！?/p>

［參考文獻(xiàn)］

[1] 鄢浩宇.企業(yè)數(shù)據(jù)合規(guī)的困境紓解與體系構(gòu)建[J].華中科技大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2024，38（04）：36-45，71.

[2] 毛逸瀟.數(shù)據(jù)保護(hù)合規(guī)體系研究[J].國(guó)家檢察官學(xué)院學(xué)報(bào)，2022（2）：84-100.

[3] 陳瑞華.企業(yè)合規(guī)基本理論：第2版[M].北京：法律出版社，2021.

[4] 賴早興，孫沁怡.論企業(yè)數(shù)據(jù)安全合規(guī)中的行刑銜接[J].湖南大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2024，38（05）：138-145.

[5] 中國(guó)信息通信研究院.《中國(guó)數(shù)字經(jīng)濟(jì)發(fā)展研究報(bào)告》（2024）[EB/OL].（2024-08-27）[2024-09-06].安全內(nèi)參，https：//www.secrss.com/articles/69547.

[6] MCGEVERAN W.The duty of data security[J].Minnesota Law Review，2019，103（3）：1198.

[7] 謝堯雯.個(gè)人信息保護(hù)企業(yè)合規(guī)規(guī)制的建構(gòu)[J].法商研究，2024，41（02）：57-71.

[8] 丁鳳玲.個(gè)人數(shù)據(jù)治理模式的選擇：個(gè)人、國(guó)家還是集體[J].華中科技大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2021（1）：64-76.

[9] 王誠(chéng)，魏雅雪.企業(yè)合規(guī)治理：平臺(tái)經(jīng)濟(jì)反壟斷行政執(zhí)法新視角[J].東岳論叢，2022（4）：184.

[10]萬(wàn)美秀.企業(yè)數(shù)據(jù)民事司法保護(hù)的現(xiàn)狀分析、適用困境與優(yōu)化路徑：基于342份裁判文書(shū)的實(shí)證分析[J].法治文化集刊，2024（1）：192-199.

[11]程嘯.論大數(shù)據(jù)時(shí)代的個(gè)人數(shù)據(jù)權(quán)利[J].中國(guó)社會(huì)科學(xué)，2018（03）：102-122，207-208.

[12]張新寶.論作為新型財(cái)產(chǎn)權(quán)的數(shù)據(jù)財(cái)產(chǎn)權(quán)[J].中國(guó)社會(huì)科學(xué)，2023（04）：144-163，207.

[13]周漢華.數(shù)據(jù)確權(quán)的誤區(qū)[J].法學(xué)研究，2023，45（02）：3-20.

[14]張守文.構(gòu)建數(shù)字經(jīng)濟(jì)治理的法治路徑[J].東方法學(xué)，2024（05）：145-156.

[15]申衛(wèi)星.論數(shù)據(jù)用益權(quán)[J].中國(guó)社會(huì)科學(xué)，2020（11）：110-131，207.

[16]申衛(wèi)星.論數(shù)據(jù)產(chǎn)權(quán)制度的層級(jí)性：“三三制”數(shù)據(jù)確權(quán)法[J].中國(guó)法學(xué)，2023（04）：26-48.

[17]王利明.論數(shù)據(jù)權(quán)益：以“權(quán)利束”為視角[J].政治與法律，2022（07）：99-113.

[18]梅夏英.在分享和控制之間數(shù)據(jù)保護(hù)的私法局限和公共秩序構(gòu)建[J].中外法學(xué)，2019，31（04）：845-870.

[19]丁曉東.數(shù)據(jù)到底屬于誰(shuí)：從網(wǎng)絡(luò)爬蟲(chóng)看平臺(tái)數(shù)據(jù)權(quán)屬與數(shù)據(jù)保護(hù)[J].華東政法大學(xué)學(xué)報(bào)，2019，22（05）：69-83.

[20]王融.關(guān)于大數(shù)據(jù)交易核心法律問(wèn)題：數(shù)據(jù)所有權(quán)的探討[J].大數(shù)據(jù)，2015，1（02）：49-55.

[21]崔瑜.論企業(yè)合規(guī)管理的政府監(jiān)管[J].行政法學(xué)研究，2021（04）：32-40.

[22]馮洋，王姿惠.企業(yè)數(shù)據(jù)要素市場(chǎng)化配置：邏輯理路、發(fā)展困境與制度構(gòu)建[J].西南金融，2024（05）：73-84.

[23]馮曉青.數(shù)據(jù)產(chǎn)權(quán)法律構(gòu)造論[J].政法論叢，2024（01）：120-136.

[24]陳瑞華.論企業(yè)合規(guī)的中國(guó)化問(wèn)題[J].法律科學(xué)（西北政法大學(xué)學(xué)報(bào)），2020，38（3）：34-48.

[25]李牧.論企業(yè)數(shù)據(jù)的行政合規(guī)[J].法學(xué)評(píng)論，2025（1）：67-76.

（責(zé)任編輯 文 格）

The Legal Construction of Enterprise Data Compliance

LI Hua， WU Qing-jie

（Law School，Hubei University of Economics，Wuhan 430205，Hubei，China）

Abstract：The burgeoning digital economy not only enables enterprises to cut costs and enhance efficiency but also engenders data-related risks.Currently，China predominantly adopts an administrative-driven approach to tackle the diverse issues emerging during the transition of the digital economy.The construction of enterprise data compliance confronts challenges such as the absence of higher-level laws，the ambiguity of data rights boundaries，and inadequate incentives for compliance.In the future，while ensuring data security，it is essential to strengthen value-based guidance，further clarify the substantive standards for data compliance，specify the incentive mechanisms for data compliance both substantively and procedurally，establish a classified data-compliance system，and steadily and inclusively continue the legal construction of collaborative incentives for data compliance.This will facilitate data utilization，safeguard data security，and foster the sustainable development of enterprises.By doing so，the pluralistic governance of China’s digital society can be achieved，and China’s independent data-governance legal system can be enriched and improved.

Key words：corporate compliance; data compliance; compliance incentives

收稿日期：2024-11-18

作者簡(jiǎn)介：黎 樺（1968-），男，湖北荊州人，湖北經(jīng)濟(jì)學(xué)院法學(xué)院教授，碩士生導(dǎo)師，主要從事金融商事法律研究；

吳慶潔（2000-），女，山東日照人，湖北經(jīng)濟(jì)學(xué)院法學(xué)院碩士生，主要從事數(shù)字治理與合規(guī)研究。

*基金項(xiàng)目：湖北省社科基金（前期）資助項(xiàng)目“法治湖北建設(shè)與養(yǎng)老服務(wù)地方立法體系化研究”（23ZD111）；四川省哲學(xué)社會(huì)科學(xué)重點(diǎn)研究基地“四川醫(yī)事衛(wèi)生法治研究中心-中國(guó)衛(wèi)生法學(xué)會(huì)2024年度聯(lián)合項(xiàng)目”重點(diǎn)項(xiàng)目“顛覆性技術(shù)融入養(yǎng)老服務(wù)的風(fēng)險(xiǎn)及法治應(yīng)對(duì)研究”（YF24-Z05）