數(shù)字經(jīng)濟(jì)時(shí)代企業(yè)數(shù)據(jù)合規(guī)及其構(gòu)建

孫 躍

近年來(lái)，持續(xù)高速發(fā)展的數(shù)字經(jīng)濟(jì)已經(jīng)成為我國(guó)經(jīng)濟(jì)增長(zhǎng)和社會(huì)進(jìn)步的重要驅(qū)動(dòng)力之一。數(shù)據(jù)是數(shù)字經(jīng)濟(jì)的基本生產(chǎn)要素和載體，企業(yè)則是市場(chǎng)經(jīng)濟(jì)的主體及主要組織形式。因此，企業(yè)數(shù)據(jù)在數(shù)字經(jīng)濟(jì)中具有十分重要的地位。在域外，自2018年歐盟實(shí)施《通用數(shù)據(jù)保護(hù)條例》（簡(jiǎn)稱(chēng)GDPR）以來(lái)，西方發(fā)達(dá)國(guó)家圍繞企業(yè)數(shù)據(jù)治理展開(kāi)的執(zhí)法活動(dòng)日益頻繁。在國(guó)內(nèi)，隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》以及配套法律規(guī)范的相繼實(shí)施，依法依規(guī)治理企業(yè)數(shù)據(jù)處理活動(dòng)已成為政府和企業(yè)必須面對(duì)的現(xiàn)實(shí)課題。

隨著合規(guī)制度被引入我國(guó)企業(yè)治理體系，通過(guò)合規(guī)建設(shè)來(lái)降低數(shù)據(jù)處理違規(guī)風(fēng)險(xiǎn)對(duì)企業(yè)經(jīng)營(yíng)造成的損失，具有較強(qiáng)的理論研究與實(shí)踐應(yīng)用價(jià)值。雖然當(dāng)前有不少學(xué)者對(duì)企業(yè)合規(guī)問(wèn)題進(jìn)行了研究，但普遍存在兩方面不足：其一，現(xiàn)有研究大多側(cè)重于從整體角度研究企業(yè)合規(guī)問(wèn)題，針對(duì)企業(yè)數(shù)據(jù)合規(guī)的專(zhuān)門(mén)性研究成果還不夠豐富；其二，圍繞企業(yè)數(shù)據(jù)治理展開(kāi)的研究更多側(cè)重于行政監(jiān)管與執(zhí)法視角，對(duì)數(shù)據(jù)合規(guī)這一以企業(yè)自治為主的創(chuàng)新機(jī)制關(guān)注度有限?；谏鲜鲅芯勘尘芭c問(wèn)題意識(shí)，本文將在明確企業(yè)數(shù)據(jù)合規(guī)基本定位的基礎(chǔ)之上，從應(yīng)對(duì)多維法律風(fēng)險(xiǎn)的角度闡述企業(yè)數(shù)據(jù)合規(guī)的主要功能，并重點(diǎn)探討企業(yè)數(shù)據(jù)合規(guī)體系的構(gòu)建路徑，為企業(yè)數(shù)據(jù)合規(guī)建設(shè)及數(shù)據(jù)治理政務(wù)活動(dòng)提供參考和指引。

一、企業(yè)數(shù)據(jù)合規(guī)的基本定位及作用

企業(yè)數(shù)據(jù)合規(guī)建設(shè)雖然以企業(yè)為中心和主體，但其重要意義并不局限于企業(yè)自身的經(jīng)營(yíng)管理，還涉及個(gè)人權(quán)益與公共利益。從企業(yè)的角度來(lái)看，數(shù)據(jù)合規(guī)是一種具有創(chuàng)新性的企業(yè)數(shù)據(jù)治理模式。從個(gè)人權(quán)益角度來(lái)看，企業(yè)數(shù)據(jù)合規(guī)是一種加強(qiáng)個(gè)人信息保護(hù)的有效手段。從公共利益角度來(lái)看，企業(yè)數(shù)據(jù)合規(guī)建設(shè)有助于規(guī)范數(shù)字經(jīng)濟(jì)的發(fā)展。

（一）作為企業(yè)數(shù)據(jù)治理創(chuàng)新模式的數(shù)據(jù)合規(guī)

從企業(yè)經(jīng)營(yíng)管理的角度來(lái)看，數(shù)據(jù)合規(guī)本質(zhì)上是一種針對(duì)企業(yè)數(shù)據(jù)處理活動(dòng)的自我治理機(jī)制。首先，企業(yè)數(shù)據(jù)合規(guī)是一種數(shù)據(jù)處理法律風(fēng)險(xiǎn)控制機(jī)制。根據(jù)法律風(fēng)險(xiǎn)來(lái)源，數(shù)據(jù)違規(guī)風(fēng)險(xiǎn)可以被分為兩類(lèi)。第一類(lèi)為數(shù)據(jù)違規(guī)的原生性風(fēng)險(xiǎn)，主要是指因數(shù)據(jù)違規(guī)直接引發(fā)的風(fēng)險(xiǎn)，如企業(yè)在收集與處理數(shù)據(jù)過(guò)程中對(duì)個(gè)人信息權(quán)益或相關(guān)公共利益的侵害引發(fā)的不利法律后果等。第二類(lèi)為數(shù)據(jù)違規(guī)的派生性或次生性風(fēng)險(xiǎn)，主要是指因數(shù)據(jù)違規(guī)間接引發(fā)的擴(kuò)散性風(fēng)險(xiǎn)。在數(shù)字化的大趨勢(shì)下，企業(yè)數(shù)據(jù)與財(cái)務(wù)、人力資源、法律事務(wù)、營(yíng)銷(xiāo)、技術(shù)研發(fā)等各個(gè)業(yè)務(wù)部門(mén)之間均可能發(fā)生交叉關(guān)系，由此加劇了數(shù)據(jù)違規(guī)風(fēng)險(xiǎn)的流動(dòng)性與擴(kuò)散性。通過(guò)建立數(shù)據(jù)合規(guī)機(jī)制，有助于降低數(shù)據(jù)違規(guī)的派生性風(fēng)險(xiǎn)在企業(yè)各個(gè)業(yè)務(wù)部門(mén)之間的流動(dòng)與擴(kuò)散，從而使企業(yè)治理與合規(guī)體系更加完整。

其次，數(shù)據(jù)合規(guī)也是一種數(shù)據(jù)違規(guī)事后處理的創(chuàng)新機(jī)制，旨在降低數(shù)據(jù)違規(guī)活動(dòng)造成的損失成本。數(shù)據(jù)違規(guī)可能會(huì)帶來(lái)大規(guī)模侵權(quán)、不正當(dāng)競(jìng)爭(zhēng)或?yàn)E用市場(chǎng)支配地位、刑事犯罪等法律風(fēng)險(xiǎn)，使包括企業(yè)在內(nèi)的多方主體遭受巨大損失。盡管建立數(shù)據(jù)合規(guī)體系并不能絕對(duì)避免數(shù)據(jù)違規(guī)事故的發(fā)生，但通過(guò)與執(zhí)法或司法活動(dòng)的積極配合，可借助合規(guī)整改等方式減免相應(yīng)的法律責(zé)任。

最后，企業(yè)數(shù)據(jù)合規(guī)亦是一種可用于改善企業(yè)數(shù)據(jù)治理形象的創(chuàng)新機(jī)制。企業(yè)數(shù)據(jù)合規(guī)主要依靠企業(yè)的自我治理與約束，本質(zhì)上是一種“自律機(jī)制”。企業(yè)數(shù)據(jù)合規(guī)不僅可以提升企業(yè)處理數(shù)據(jù)的合法性，而且還可以增強(qiáng)企業(yè)的商業(yè)道德與科技倫理意識(shí)，有助于激勵(lì)企業(yè)承擔(dān)與之相匹配的社會(huì)責(zé)任，引導(dǎo)企業(yè)塑造良好的商業(yè)信譽(yù)與公共形象。

（二）作為加強(qiáng)個(gè)人信息保護(hù)手段的數(shù)據(jù)合規(guī)

隨著互聯(lián)網(wǎng)時(shí)代的來(lái)臨與數(shù)字科技的發(fā)展，數(shù)據(jù)已逐漸成為個(gè)人信息的主要載體。《民法典》雖然并未直接采用“個(gè)人信息權(quán)（利）”的表述方式，但在第111條明確了“自然人的個(gè)人信息受法律保護(hù)”，相當(dāng)于確立了個(gè)人信息作為一種新興權(quán)益的法律地位。根據(jù)《個(gè)人信息保護(hù)法》第54條的規(guī)定，個(gè)人信息處理者應(yīng)當(dāng)定期對(duì)其處理個(gè)人信息遵守法律、行政法規(guī)的情況進(jìn)行合規(guī)審計(jì)?？梢?jiàn)，通過(guò)建立合規(guī)機(jī)制保護(hù)個(gè)人信息及數(shù)據(jù)權(quán)益已成為企業(yè)必須履行的法定義務(wù)。

從企業(yè)與個(gè)人的相互關(guān)系來(lái)看，相對(duì)于個(gè)人，企業(yè)經(jīng)營(yíng)管理活動(dòng)會(huì)有更大概率引發(fā)個(gè)人信息侵權(quán)行為。作為市場(chǎng)經(jīng)濟(jì)主導(dǎo)者的企業(yè)天然就擁有更多機(jī)會(huì)獲取其他主體的個(gè)人信息，包括用戶(hù)、員工以及來(lái)自第三方企業(yè)甚至政府機(jī)關(guān)的個(gè)人信息。例如，互聯(lián)網(wǎng)平臺(tái)企業(yè)擁有強(qiáng)大的科技和資本實(shí)力，能夠更加快捷高效地收集與處理海量個(gè)人信息，一旦違規(guī)處理數(shù)據(jù)，將對(duì)個(gè)人信息保護(hù)產(chǎn)生巨大威脅。又如，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者（CIIO）掌握的個(gè)人信息和數(shù)據(jù)關(guān)系到國(guó)計(jì)民生的重要領(lǐng)域，其對(duì)數(shù)據(jù)處理的合規(guī)性與國(guó)民數(shù)據(jù)安全之間具有密切聯(lián)系。因此，企業(yè)需要建立數(shù)據(jù)合規(guī)機(jī)制來(lái)履行保護(hù)個(gè)人信息和數(shù)據(jù)安全的法定義務(wù)。

從國(guó)家與個(gè)人的相互關(guān)系來(lái)看，個(gè)人信息權(quán)利束是國(guó)家履行積極保護(hù)義務(wù)和通過(guò)制度性保障對(duì)個(gè)人進(jìn)行賦權(quán)的結(jié)果，是個(gè)人制衡信息處理者的工具和國(guó)家對(duì)數(shù)據(jù)處理者的規(guī)制策略。個(gè)人信息在概念上雖凸顯“個(gè)人”，但其并非純粹的私法權(quán)利，個(gè)人對(duì)其信息并不享有絕對(duì)支配權(quán)。質(zhì)言之，個(gè)人信息只有在公共領(lǐng)域才能發(fā)揮其身份識(shí)別功能以及基于此產(chǎn)生的財(cái)產(chǎn)性利益。不僅如此，在經(jīng)濟(jì)全球化與經(jīng)濟(jì)數(shù)字化的疊加效應(yīng)下，跨境數(shù)據(jù)流動(dòng)不僅關(guān)乎國(guó)際貿(mào)易，而且也與國(guó)家數(shù)據(jù)安全甚至數(shù)據(jù)主權(quán)息息相關(guān)。數(shù)據(jù)合規(guī)建設(shè)的水平不僅關(guān)乎我國(guó)企業(yè)參與國(guó)際數(shù)字經(jīng)濟(jì)貿(mào)易活動(dòng)，而且還會(huì)影響我國(guó)數(shù)字經(jīng)濟(jì)在全球范圍內(nèi)的戰(zhàn)略布局。

（三）作為數(shù)字經(jīng)濟(jì)發(fā)展規(guī)范方式的數(shù)據(jù)合規(guī)

數(shù)字經(jīng)濟(jì)的發(fā)展是一個(gè)“去中心化”與“再中心化”相互交織的過(guò)程：在“去中心化”過(guò)程中，需要增強(qiáng)社會(huì)的信任，以互動(dòng)性、參與性的制度構(gòu)建回應(yīng)這一趨勢(shì)；在“再中心化”過(guò)程中，則需要防范平臺(tái)的無(wú)序擴(kuò)張、野蠻生長(zhǎng)所帶來(lái)的壟斷、不正當(dāng)競(jìng)爭(zhēng)、隱私泄露等一系列風(fēng)險(xiǎn)?！毒W(wǎng)絡(luò)安全法》第17條規(guī)定，鼓勵(lì)有關(guān)企業(yè)、機(jī)構(gòu)開(kāi)展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)和風(fēng)險(xiǎn)評(píng)估等安全服務(wù)是國(guó)家推進(jìn)網(wǎng)絡(luò)安全社會(huì)化服務(wù)體系建設(shè)的重要路徑之一?！稊?shù)據(jù)安全法》第18條規(guī)定，國(guó)家支持有關(guān)部門(mén)、行業(yè)組織、企業(yè)、教育和科研機(jī)構(gòu)、有關(guān)專(zhuān)業(yè)機(jī)構(gòu)等在數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、防范、處置等方面開(kāi)展協(xié)作。鑒于此，數(shù)字經(jīng)濟(jì)發(fā)展的規(guī)范化需要引入“多元共治”理念，依靠由政府、企業(yè)、個(gè)人等“社會(huì)治理共同體”間的“共建共治共享”實(shí)現(xiàn)。

在企業(yè)層面，數(shù)據(jù)合規(guī)建設(shè)旨在引導(dǎo)企業(yè)從數(shù)字經(jīng)濟(jì)治理的對(duì)象轉(zhuǎn)向數(shù)字經(jīng)濟(jì)治理的主體之一，進(jìn)而提升企業(yè)參與數(shù)字經(jīng)濟(jì)治理的主動(dòng)性與積極性，增強(qiáng)其在數(shù)據(jù)治理活動(dòng)中的參與感與獲得感。對(duì)于政府而言，企業(yè)數(shù)據(jù)合規(guī)建設(shè)可以降低行政監(jiān)管與執(zhí)法的成本，提高數(shù)據(jù)治理政務(wù)活動(dòng)的效率與效果。就“企業(yè)—政府”的雙向互動(dòng)關(guān)系而言，企業(yè)數(shù)據(jù)合規(guī)建設(shè)可以促進(jìn)形成“內(nèi)外聯(lián)動(dòng)”與“自治+他治”的“數(shù)據(jù)多元共治”新格局，進(jìn)一步凝聚企業(yè)與政府在規(guī)范數(shù)字經(jīng)濟(jì)發(fā)展方面的合力，最終形成更加持久穩(wěn)固的數(shù)字經(jīng)濟(jì)秩序。

二、企業(yè)數(shù)據(jù)合規(guī)法律風(fēng)險(xiǎn)應(yīng)對(duì)功能的多維展開(kāi)

企業(yè)數(shù)據(jù)合規(guī)具有創(chuàng)新企業(yè)治理、加強(qiáng)個(gè)人信息保護(hù)、規(guī)范數(shù)字經(jīng)濟(jì)發(fā)展等諸多作用，而這些均建立在企業(yè)數(shù)據(jù)合規(guī)具有的數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)應(yīng)對(duì)功能之上。結(jié)合企業(yè)經(jīng)營(yíng)與管理的實(shí)際情況，企業(yè)數(shù)據(jù)合規(guī)的功能可從不同法律部門(mén)與領(lǐng)域的視角展開(kāi)。

（一）基于民商經(jīng)濟(jì)法維度的分析

《民法典》在第四篇第六章中明確了個(gè)人信息及隱私保護(hù)的規(guī)則，奠定了個(gè)人信息保護(hù)的私法基礎(chǔ)。根據(jù)《個(gè)人信息保護(hù)法》第69條和最高人民法院《關(guān)于人臉識(shí)別技術(shù)處理個(gè)人信息的司法解釋》第6條的要旨，若企業(yè)平時(shí)不能采取有效措施存儲(chǔ)證據(jù)以證明其在數(shù)據(jù)處理過(guò)程中不存在過(guò)錯(cuò)或不當(dāng)行為，在日后糾紛中將可能承擔(dān)敗訴風(fēng)險(xiǎn)。由于數(shù)據(jù)往往以具體產(chǎn)品或服務(wù)為載體，互聯(lián)網(wǎng)平臺(tái)企業(yè)需要在提供服務(wù)時(shí)與用戶(hù)訂立合同。數(shù)據(jù)糾紛類(lèi)案件不僅可能涉及民事法律關(guān)系，還可能與經(jīng)濟(jì)法中的濫用市場(chǎng)支配地位、不正當(dāng)競(jìng)爭(zhēng)以及消費(fèi)者權(quán)益保護(hù)等問(wèn)題相關(guān)聯(lián)，數(shù)據(jù)處理違規(guī)引發(fā)的風(fēng)險(xiǎn)還會(huì)從傳統(tǒng)侵權(quán)法領(lǐng)域擴(kuò)展到合同法、經(jīng)濟(jì)法等領(lǐng)域。例如，在全國(guó)首例涉直播數(shù)據(jù)權(quán)益不正當(dāng)競(jìng)爭(zhēng)案中，法院就判定數(shù)據(jù)獲取違規(guī)行為同時(shí)侵害了主播個(gè)人信息權(quán)利、消費(fèi)者權(quán)益以及基于正當(dāng)競(jìng)爭(zhēng)市場(chǎng)經(jīng)濟(jì)秩序的公共利益。法院認(rèn)定企業(yè)通過(guò)App與用戶(hù)簽訂了《服務(wù)協(xié)議》《隱私政策》，通過(guò)收集用戶(hù)數(shù)據(jù)實(shí)施基于特定算法的價(jià)格歧視（即“大數(shù)據(jù)殺熟”）行為存在虛假宣傳、價(jià)格欺詐和欺騙行為，判令企業(yè)應(yīng)當(dāng)承擔(dān)《消費(fèi)者權(quán)益保護(hù)法》第55條規(guī)定的“退一賠三”懲罰性賠償責(zé)任。

由于企業(yè)數(shù)據(jù)處理違規(guī)引發(fā)的個(gè)人信息侵權(quán)風(fēng)險(xiǎn)可能會(huì)從個(gè)人利益層面擴(kuò)張到公共利益層面，根據(jù)《個(gè)人信息保護(hù)法》第70條以及《民事訴訟法》第55條的規(guī)定，企業(yè)數(shù)據(jù)的違規(guī)處理還會(huì)產(chǎn)生被提起公益訴訟的風(fēng)險(xiǎn)。在最高人民檢察院2021 年4月發(fā)布的“檢察機(jī)關(guān)個(gè)人信息保護(hù)公益訴訟典型案例”中，有一起案例涉及某網(wǎng)絡(luò)科技企業(yè)侵害公民個(gè)人信息，最終該企業(yè)被當(dāng)?shù)貦z察機(jī)關(guān)提起民事公益訴訟并責(zé)令限期整改。

綜上，基于民商經(jīng)濟(jì)法的維度，加強(qiáng)企業(yè)數(shù)據(jù)合規(guī)建設(shè)主要具有以下功能：（1）降低因侵害個(gè)人信息及數(shù)據(jù)權(quán)益引發(fā)的民事訴訟概率；（2）防止因侵害個(gè)人信息及數(shù)據(jù)權(quán)益引發(fā)的個(gè)體訴訟向群體訴訟甚至公益訴訟轉(zhuǎn)化；（3）通過(guò)替代性的糾紛解決方案控制因侵害個(gè)人信息及數(shù)據(jù)權(quán)益引發(fā)的訴訟烈度，降低數(shù)據(jù)處理活動(dòng)引發(fā)的民事?tīng)?zhēng)議解決成本；（4）對(duì)于難以避免的民事訴訟風(fēng)險(xiǎn)，企業(yè)可通過(guò)數(shù)據(jù)合規(guī)建設(shè)來(lái)強(qiáng)化日常管理與證據(jù)固定，在一定程度上避免其在訴訟中處于明顯不利地位。

（二）基于行政法維度的分析

自2017年《網(wǎng)絡(luò)安全法》實(shí)施以來(lái)，各級(jí)執(zhí)法機(jī)關(guān)越發(fā)重視對(duì)企業(yè)數(shù)據(jù)合規(guī)的行政監(jiān)管，企業(yè)因未落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度及網(wǎng)絡(luò)安全保護(hù)義務(wù)、未履行個(gè)人信息保護(hù)義務(wù)、未落實(shí)真實(shí)身份信息認(rèn)證、未履行網(wǎng)絡(luò)信息內(nèi)容審核義務(wù)、網(wǎng)絡(luò)產(chǎn)品和服務(wù)不符合法定要求等方面的事由遭受行政處罰的案例日益增多。實(shí)踐中，銀行、證券、保險(xiǎn)等金融行業(yè)是企業(yè)數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)的高發(fā)領(lǐng)域。自2018 年中國(guó)銀保監(jiān)會(huì)發(fā)布《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》后，不少企業(yè)因監(jiān)管標(biāo)準(zhǔn)化數(shù)據(jù)（EAST）系統(tǒng)數(shù)據(jù)質(zhì)量及報(bào)送存在違法違規(guī)行為而受罰。根據(jù)《個(gè)人信息保護(hù)法》第66條的規(guī)定，個(gè)人信息違法行為的行政處罰責(zé)任被進(jìn)一步加重，主要體現(xiàn)在“罰金幅度提高”和“行業(yè)禁入”兩個(gè)方面。不僅如此，數(shù)據(jù)違規(guī)行為還會(huì)影響企業(yè)上市與投融資業(yè)務(wù)的開(kāi)展。隨著網(wǎng)信、工信、市場(chǎng)監(jiān)管、公安等部門(mén)以及地方政府陸續(xù)制定關(guān)于數(shù)據(jù)合規(guī)的各種規(guī)范與標(biāo)準(zhǔn)，數(shù)據(jù)行政監(jiān)管規(guī)范體系將日益健全，行政監(jiān)管和處罰力度將呈現(xiàn)加大趨勢(shì)。在此背景下，企業(yè)建立數(shù)據(jù)合規(guī)可主動(dòng)配合數(shù)據(jù)行政監(jiān)管，通過(guò)“內(nèi)外結(jié)合”的方式滿(mǎn)足合規(guī)經(jīng)營(yíng)需求。

除配合日常行政監(jiān)管外，企業(yè)數(shù)據(jù)合規(guī)還具有促進(jìn)行政執(zhí)法和解的激勵(lì)功能。所謂行政執(zhí)法和解，即行政機(jī)關(guān)在執(zhí)法活動(dòng)中與行政相對(duì)人進(jìn)行協(xié)商并達(dá)成和解協(xié)議的方式，在行政相對(duì)人滿(mǎn)足限定條件的前提下減免行政處罰。行政執(zhí)法和解具有較強(qiáng)的協(xié)商性與民主性，有助于將行政監(jiān)管理念從處罰轉(zhuǎn)變?yōu)轭A(yù)防，通過(guò)督促企業(yè)整改等方式降低行政執(zhí)法成本、提高行政執(zhí)法效率、激勵(lì)企業(yè)合規(guī)經(jīng)營(yíng)。盡管我國(guó)尚未建立一般性行政執(zhí)法和解制度，但中國(guó)證監(jiān)會(huì)早在2015 年就發(fā)布了《行政和解試點(diǎn)實(shí)施辦法》，嘗試在金融監(jiān)管與執(zhí)法領(lǐng)域探索構(gòu)建行政和解制度。可以預(yù)見(jiàn)的是，隨著行政執(zhí)法和解制度的日益成熟，其遲早會(huì)進(jìn)入數(shù)據(jù)治理系統(tǒng)并與數(shù)據(jù)合規(guī)機(jī)制建立耦合關(guān)系?？梢?jiàn)，企業(yè)通過(guò)建立數(shù)據(jù)合規(guī)并將其作為一種行政執(zhí)法和解的激勵(lì)工具，具有降低因行政處罰等制裁措施造成的經(jīng)營(yíng)損失以及預(yù)防數(shù)據(jù)監(jiān)管與處罰風(fēng)險(xiǎn)的重要功能。

（三）基于刑事法維度的分析

《刑法》中與企業(yè)數(shù)據(jù)合規(guī)相關(guān)的罪名可以被分為兩類(lèi)。一類(lèi)是與個(gè)人信息保護(hù)直接相關(guān)的罪名，主要包括《刑法》第253條之一規(guī)定的“侵犯公民個(gè)人信息罪”以及第286條之一規(guī)定的“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”。另一類(lèi)則是與個(gè)人信息保護(hù)存在間接關(guān)聯(lián)的罪名。以侵犯公民個(gè)人信息罪為例，該罪名增設(shè)于2009 年實(shí)施的《刑法修正案（七）》。2015年實(shí)施的《刑法修正案（九）》將該罪的主體范圍進(jìn)行了擴(kuò)張，并提高了最高法定刑幅度，折射出立法機(jī)關(guān)對(duì)個(gè)人信息保護(hù)重視程度不斷提高的總體趨勢(shì)。在司法領(lǐng)域，最高人民法院、最高人民檢察院近年來(lái)也陸續(xù)在涉及數(shù)據(jù)及個(gè)人信息保護(hù)等領(lǐng)域發(fā)布了刑事司法解釋及指導(dǎo)性案例，體現(xiàn)出司法機(jī)關(guān)對(duì)打擊治理相關(guān)領(lǐng)域犯罪活動(dòng)的重視。

《刑法》中關(guān)于個(gè)人信息保護(hù)的罪名有相當(dāng)一部分屬于單位犯罪。從程序法與實(shí)體法互動(dòng)角度來(lái)看，即便企業(yè)最后被追究的罪名不成立，刑事訴訟程序的嚴(yán)苛性與復(fù)雜性也會(huì)嚴(yán)重影響企業(yè)的經(jīng)營(yíng)及公眾形象。根據(jù)實(shí)踐經(jīng)驗(yàn)，企業(yè)合規(guī)可以在爭(zhēng)取不起訴或暫緩起訴、尋求無(wú)罪抗辯、減輕刑事處罰等方面產(chǎn)生積極作用。綜上，將數(shù)據(jù)合規(guī)作為專(zhuān)項(xiàng)計(jì)劃融入企業(yè)刑事合規(guī)體系之中，不僅具有預(yù)防數(shù)據(jù)犯罪活動(dòng)的重要功能，同時(shí)還具有減免此類(lèi)犯罪刑事法律責(zé)任的刑事訴訟激勵(lì)功能。

（四）基于國(guó)際法維度的分析

企業(yè)數(shù)據(jù)合規(guī)具有引導(dǎo)企業(yè)數(shù)據(jù)處理活動(dòng)符合域外及國(guó)際數(shù)據(jù)規(guī)范的功能。在經(jīng)濟(jì)全球化與經(jīng)濟(jì)數(shù)字化兩大趨勢(shì)的疊加背景下，各國(guó)對(duì)個(gè)人信息保護(hù)及跨境數(shù)據(jù)合規(guī)的重視程度越來(lái)越高。這意味著企業(yè)在參與國(guó)際數(shù)字經(jīng)濟(jì)貿(mào)易活動(dòng)中，因違反國(guó)際組織或外國(guó)相關(guān)法律法規(guī)而引發(fā)的數(shù)據(jù)處理風(fēng)險(xiǎn)不斷上升。歐盟GDPR 第六章規(guī)定，各國(guó)應(yīng)當(dāng)設(shè)立獨(dú)立的政府監(jiān)管機(jī)構(gòu)來(lái)監(jiān)督數(shù)據(jù)合規(guī)問(wèn)題。2021年，歐盟依據(jù)GDPR進(jìn)行的罰款總額為11億歐元，約為2020 年罰款總額的7 倍。近年來(lái)，我國(guó)已有多家企業(yè)因數(shù)據(jù)合規(guī)問(wèn)題遭到不同方式與程度的制裁；亦有部分國(guó)家通過(guò)提高數(shù)據(jù)合規(guī)準(zhǔn)入門(mén)檻，在實(shí)質(zhì)上設(shè)立了“數(shù)據(jù)貿(mào)易壁壘”?？鐕?guó)企業(yè)的合規(guī)建設(shè)已無(wú)法回避?chē)?guó)際法律維度下的數(shù)據(jù)跨境合規(guī)問(wèn)題。

不同國(guó)家或國(guó)際組織對(duì)數(shù)據(jù)合規(guī)設(shè)置的具體標(biāo)準(zhǔn)碎片化現(xiàn)象比較嚴(yán)重，容易引發(fā)規(guī)范間的沖突，具體體現(xiàn)在“價(jià)值”與“規(guī)則”兩方面。一方面，不同國(guó)家、地區(qū)對(duì)數(shù)據(jù)合規(guī)價(jià)值取向的側(cè)重有所不同。例如，相對(duì)于歐盟GDPR，美國(guó)2018 年頒布的《加利福尼亞消費(fèi)者隱私法》（簡(jiǎn)稱(chēng)CCPA）更加重視產(chǎn)業(yè)利益，強(qiáng)調(diào)通過(guò)合理地削弱個(gè)人對(duì)數(shù)據(jù)信息的絕對(duì)控制權(quán)來(lái)為數(shù)據(jù)所有者與控制者留有探索創(chuàng)新性數(shù)據(jù)交易商業(yè)模式的空間。另一方面，不同國(guó)家、地區(qū)關(guān)于同一數(shù)據(jù)合規(guī)事項(xiàng)的規(guī)定不盡相同。例如，我國(guó)2022 年制定的《數(shù)據(jù)出境安全評(píng)估辦法》就面臨與GDPR、美國(guó)與歐盟的《隱私盾協(xié)議》（U.S.-EU Privacy Shield）、OECD 規(guī)則體系的銜接問(wèn)題。為了應(yīng)對(duì)上述挑戰(zhàn)，數(shù)據(jù)合規(guī)的功能需要從銜接本國(guó)數(shù)據(jù)規(guī)范與國(guó)際多元數(shù)據(jù)規(guī)范的維度展開(kāi)。

三、企業(yè)數(shù)據(jù)合規(guī)體系的構(gòu)建路徑

企業(yè)數(shù)據(jù)合規(guī)體系主要包括基本原則、流程及其內(nèi)容、專(zhuān)門(mén)機(jī)構(gòu)與運(yùn)行機(jī)制三部分。數(shù)據(jù)合規(guī)基本原則為企業(yè)數(shù)據(jù)合規(guī)奠定價(jià)值取向與總體目標(biāo)，是數(shù)據(jù)合規(guī)體系的“靈魂”；數(shù)據(jù)合規(guī)流程及內(nèi)容確定了企業(yè)數(shù)據(jù)合規(guī)體系建設(shè)的框架和具體事項(xiàng)，是數(shù)據(jù)合規(guī)的“骨骼”與“血肉”；數(shù)據(jù)合規(guī)專(zhuān)門(mén)機(jī)構(gòu)與運(yùn)行機(jī)制涉及企業(yè)數(shù)據(jù)合規(guī)的具體實(shí)施主體及作業(yè)模式，是數(shù)據(jù)合規(guī)體系的“神經(jīng)系統(tǒng)”。

（一）樹(shù)立企業(yè)數(shù)據(jù)合規(guī)的基本原則

通過(guò)綜合分析我國(guó)數(shù)據(jù)領(lǐng)域的主要立法以及域外代表性法律規(guī)范（特別是歐盟GDPR）中的一般性條款與法律原則規(guī)定，可以提煉出數(shù)據(jù)合規(guī)應(yīng)遵循的四項(xiàng)基本原則：合法合規(guī)、告知同意、正當(dāng)目的、最小必要。合法合規(guī)原則是數(shù)據(jù)合規(guī)建設(shè)的首要原則與最低限度；告知同意原則是數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)控制的主要準(zhǔn)則；正當(dāng)目的原則是在實(shí)質(zhì)層面對(duì)合法合規(guī)原則的補(bǔ)充與調(diào)整；最小必要原則是在企業(yè)數(shù)據(jù)權(quán)益與個(gè)人信息權(quán)益之間進(jìn)行權(quán)衡所應(yīng)遵循的原則。

1.合法合規(guī)原則

關(guān)于個(gè)人信息保護(hù)與數(shù)據(jù)處理的立法，無(wú)論是我國(guó)還是歐盟GDPR，都將合法性（合法合規(guī)）原則確立為企業(yè)數(shù)據(jù)合規(guī)應(yīng)當(dāng)滿(mǎn)足的首要原則與最低標(biāo)準(zhǔn)。合法合規(guī)原則可以從狹義和廣義兩個(gè)角度理解。狹義上的合法合規(guī)原則要求企業(yè)處理數(shù)據(jù)活動(dòng)必須遵守法律、行政法規(guī)的基本規(guī)定，特別是與個(gè)人信息保護(hù)及數(shù)據(jù)處理直接相關(guān)的法律規(guī)定。廣義上的合法合規(guī)原則要求企業(yè)數(shù)據(jù)合規(guī)除符合相關(guān)法律、行政法規(guī)外，還必須符合與這些法律、行政法規(guī)相關(guān)的輔助性或解釋性規(guī)范。由于法律、行政法規(guī)的內(nèi)容相對(duì)抽象和概括，在適用與執(zhí)行過(guò)程中還需要進(jìn)一步的細(xì)化與解釋。實(shí)踐中，行政機(jī)關(guān)或司法機(jī)關(guān)往往會(huì)制定一系列規(guī)范以作為監(jiān)管執(zhí)法活動(dòng)或司法裁判活動(dòng)的依據(jù)，這些規(guī)范雖然并非我國(guó)2015 年《立法法》中規(guī)定的法律或行政法規(guī)，但在內(nèi)容上具有更強(qiáng)的可操作性，因而也應(yīng)當(dāng)被作為企業(yè)合規(guī)建設(shè)遵守的規(guī)范依據(jù)。

行政執(zhí)法機(jī)關(guān)制定的數(shù)據(jù)規(guī)范主要包括：（1）國(guó)務(wù)院各部門(mén)制定的規(guī)章，如工信部制定的《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》、國(guó)家互聯(lián)網(wǎng)信息辦公室制定的《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》、國(guó)家互聯(lián)網(wǎng)信息辦公室和工業(yè)和信息化部等部門(mén)聯(lián)合制定《App 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》等；（2）地方性法規(guī)，如《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》《上海市數(shù)據(jù)條例》等；（3）地方規(guī)范性文件，如廣州市國(guó)資委制定的《廣州市國(guó)資委監(jiān)管企業(yè)數(shù)據(jù)安全合規(guī)管理指南（試行2021年版）》等；（4）國(guó)家標(biāo)準(zhǔn)或團(tuán)體規(guī)定，如全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)制定的《信息安全技術(shù)—個(gè)人信息去標(biāo)識(shí)化指南》（GB/T 37964—2019）、《個(gè)人信息安全影響評(píng)估指南》（GB/T 39335—2020）等。

司法機(jī)關(guān)制定或通過(guò)個(gè)案裁判形成的數(shù)據(jù)規(guī)范主要包括：（1）司法解釋?zhuān)缱罡呷嗣穹ㄔ褐贫ǖ摹蛾P(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》《關(guān)于審理侵害信息網(wǎng)絡(luò)傳播權(quán)民事糾紛案件適用法律若干問(wèn)題的規(guī)定》《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問(wèn)題的規(guī)定》等；（2）判例，特別是最高人民法院或最高人民檢察院發(fā)布的指導(dǎo)性案例、典型案例等。例如，最高人民法院指導(dǎo)案例145 至147 號(hào)、最高人民檢察院發(fā)布的檢察機(jī)關(guān)個(gè)人信息保護(hù)公益訴訟典型案例等權(quán)威性司法案例，均涉及個(gè)人信息保護(hù)與數(shù)據(jù)合規(guī)問(wèn)題。

2.告知同意原則

我國(guó)《民法典》第1035 條第一款第（一）項(xiàng)、《數(shù)據(jù)安全法》第18條和第19條、《個(gè)人信息保護(hù)法》第13 條第一款第（一）項(xiàng)、《網(wǎng)絡(luò)安全法》第22 條第三款共同確立了個(gè)人信息數(shù)據(jù)處理的“告知同意原則”；歐盟GDPR 在第7條和第8條對(duì)數(shù)據(jù)處理的同意原則進(jìn)行了專(zhuān)門(mén)規(guī)定。告知同意本質(zhì)上是一種建立在企業(yè)與個(gè)人之間的數(shù)據(jù)處理合意（契約）行為，其內(nèi)涵可以從程序前置性、告知方式、特殊情形下的單獨(dú)同意以及例外情形等四個(gè)方面展開(kāi)。

首先，通過(guò)特定的方式告知并取得個(gè)人同意應(yīng)當(dāng)作為所有個(gè)人信息數(shù)據(jù)處理活動(dòng)的前置程序。為了避免沒(méi)有履行告知與同意義務(wù)的風(fēng)險(xiǎn)，應(yīng)根據(jù)我國(guó)《個(gè)人信息保護(hù)法》第17條規(guī)定，采取“處理前告知同意”而非“事后追認(rèn)”的方式。其次，告知應(yīng)當(dāng)采用明確易理解的方式。根據(jù)《個(gè)人信息保護(hù)法》第14條的規(guī)定，基于個(gè)人同意處理個(gè)人信息的，該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿且明確地作出。以網(wǎng)站或App中的“隱私政策”為例，不能期待用戶(hù)以全文閱讀的方式了解所有的隱私條款，因而企業(yè)在設(shè)定用戶(hù)的義務(wù)或者擴(kuò)大經(jīng)營(yíng)者被授權(quán)的范圍時(shí)，應(yīng)當(dāng)采取更加顯著的方式進(jìn)行重點(diǎn)提示和解釋說(shuō)明。再次，要對(duì)法定應(yīng)當(dāng)采取單獨(dú)同意方式處理個(gè)人信息數(shù)據(jù)進(jìn)行專(zhuān)門(mén)的合規(guī)審查。根據(jù)《個(gè)人信息保護(hù)法》，當(dāng)存在“向第三方提供其處理的個(gè)人信息”“公開(kāi)其處理的個(gè)人信息”“對(duì)外提供個(gè)人圖像、個(gè)人身份特征信息”“處理敏感個(gè)人信息”“向境外提供個(gè)人信息”等情形時(shí)，需要以單獨(dú)方式征求個(gè)人同意。最后，需要明確告知同意原則的例外情形。實(shí)踐中常見(jiàn)的除外情形有兩類(lèi)：其一為“法律、行政法規(guī)另有規(guī)定的事項(xiàng)”，通常是緊急情況下出于維護(hù)重大公共利益的需求。此種情形下需要遵循比例原則，衡量并判斷個(gè)人信息權(quán)益與公共利益孰輕孰重，同時(shí)應(yīng)根據(jù)《個(gè)人信息保護(hù)法》第18條第二款的規(guī)定，在緊急情況消失后及時(shí)告知個(gè)人。其二為“特殊群體的告知同意規(guī)則”。例如，根據(jù)《個(gè)人信息保護(hù)法》第31 條，個(gè)人信息處理者處理不滿(mǎn)14 周歲未成年人的個(gè)人信息應(yīng)當(dāng)取得其父母或者其他監(jiān)護(hù)人的同意。

3.正當(dāng)目的原則

我國(guó)《民法典》第1035 條第一款、《個(gè)人信息保護(hù)法》第5 條、《數(shù)據(jù)安全法》第17 條第一款、《網(wǎng)絡(luò)安全法》第41條第一款共同確立了個(gè)人信息數(shù)據(jù)處理的正當(dāng)性（正當(dāng)目的）原則；歐盟GDPR 第5 條和第6條中均有關(guān)于數(shù)據(jù)處理目的限制的規(guī)定。如果說(shuō)合法合規(guī)原則是對(duì)數(shù)據(jù)合規(guī)進(jìn)行判斷的形式標(biāo)準(zhǔn)，那么正當(dāng)目的則是對(duì)數(shù)據(jù)合規(guī)進(jìn)行實(shí)質(zhì)性判斷的重要標(biāo)準(zhǔn)之一。

首先，基于正當(dāng)性原則的合規(guī)性審查，要重點(diǎn)考察企業(yè)對(duì)個(gè)人信息數(shù)據(jù)進(jìn)行處理時(shí)是否具有明確的正當(dāng)性依據(jù)。根據(jù)《民法典》第1036條以及《個(gè)人信息保護(hù)法》第13條的規(guī)定，個(gè)人信息處理的正當(dāng)性依據(jù)主要包括：（1）為了履行約定義務(wù)；（2）為了履行法定義務(wù)；（3）為了應(yīng)對(duì)突發(fā)公共衛(wèi)生事件或者緊急情況下保護(hù)自然人的生命健康和財(cái)產(chǎn)安全；（4）為了公共利益并合理處理；（5）在合理的范圍內(nèi)處理個(gè)人自行公開(kāi)或者其他已經(jīng)合法公開(kāi)的個(gè)人信息。因此，在個(gè)人信息數(shù)據(jù)處理缺乏以上法定事由作為正當(dāng)性基礎(chǔ)時(shí)，就應(yīng)當(dāng)認(rèn)定處理行為違規(guī)。其次，根據(jù)《個(gè)人信息保護(hù)法》第21條的規(guī)定，在個(gè)人信息處理者委托處理個(gè)人信息的情況下，還需要審查受托人是否在約定的目的范圍內(nèi)處理個(gè)人信息數(shù)據(jù)。最后，根據(jù)《個(gè)人信息保護(hù)法》第26條的規(guī)定，企業(yè)收集的個(gè)人圖像、身份識(shí)別信息只能用于維護(hù)公共安全的目的，不得用于其他（如商業(yè)營(yíng)利）目的。

4.最小必要原則

我國(guó)《民法典》第1035 條第一款、《個(gè)人信息保護(hù)法》第5 條、《數(shù)據(jù)安全法》第17 條第一款、《網(wǎng)絡(luò)安全法》第41條第一款共同確立了數(shù)據(jù)處理活動(dòng)的最小必要原則；歐盟GDPR 則在第5 條1（c）中規(guī)定了最小必要原則。

首先，企業(yè)在處理個(gè)人信息數(shù)據(jù)時(shí)，需要將數(shù)據(jù)處理限定在實(shí)現(xiàn)其服務(wù)功能的最小信息范圍內(nèi)。為了滿(mǎn)足這一要求，應(yīng)當(dāng)從“定性”和“定量”兩個(gè)維度對(duì)企業(yè)數(shù)據(jù)合規(guī)進(jìn)行審查。定性審查的重點(diǎn)在于考察企業(yè)處理個(gè)人信息是否與其提供的服務(wù)密切相關(guān)，在非必要的情況下不得收集個(gè)人信息。定量審查需要考察企業(yè)處理數(shù)據(jù)的規(guī)模體量與其提供服務(wù)基本需求之間的比例是否得當(dāng)，不應(yīng)以提供必要服務(wù)為由進(jìn)行個(gè)人信息數(shù)據(jù)的超量處理。其次，企業(yè)在對(duì)最小必要原則進(jìn)行抗辯時(shí)，要遵循《個(gè)人信息保護(hù)法》第16條的規(guī)定。除非處理個(gè)人信息屬于企業(yè)提供產(chǎn)品或者服務(wù)所必需，否則企業(yè)不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)。最后，要對(duì)最小必要原則進(jìn)行動(dòng)態(tài)合規(guī)性審查。根據(jù)《個(gè)人信息保護(hù)法》第19條的規(guī)定，個(gè)人信息數(shù)據(jù)存儲(chǔ)期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間。此外，還要根據(jù)《個(gè)人信息保護(hù)法》第47條的規(guī)定，審查個(gè)人信息數(shù)據(jù)存儲(chǔ)的必要性基礎(chǔ)是否喪失，當(dāng)存在以下兩種情形時(shí)，應(yīng)當(dāng)主動(dòng)刪除或配合個(gè)人行使刪除權(quán)（被遺忘權(quán)）：（1）處理目的已實(shí)現(xiàn)、無(wú)法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要；（2）企業(yè)停止提供產(chǎn)品或者服務(wù)或存儲(chǔ)期限已屆滿(mǎn)。

（二）明確企業(yè)數(shù)據(jù)合規(guī)的流程及其內(nèi)容

數(shù)據(jù)處理是由多個(gè)環(huán)節(jié)組成的活動(dòng)。根據(jù)數(shù)據(jù)處理活動(dòng)的不同環(huán)節(jié)，企業(yè)數(shù)據(jù)處理活動(dòng)主要包括數(shù)據(jù)收集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用、數(shù)據(jù)流轉(zhuǎn)等流程。明確這些流程中的合規(guī)事項(xiàng)及其審查標(biāo)準(zhǔn)，是企業(yè)數(shù)據(jù)合規(guī)體系構(gòu)建的主要內(nèi)容。

1.數(shù)據(jù)收集合規(guī)

根據(jù)來(lái)源的不同，數(shù)據(jù)收集可以被分為直接收集和間接收集。直接收集即企業(yè)采用一定的技術(shù)手段直接獲取個(gè)人信息數(shù)據(jù)。根據(jù)《信息安全技術(shù)個(gè)人信息安全規(guī)范》《App違法違規(guī)認(rèn)定方法》《App違法違規(guī)收集使用個(gè)人信息自評(píng)估指南》的相關(guān)規(guī)定，企業(yè)在收集用戶(hù)個(gè)人信息時(shí)要堅(jiān)持合法與誠(chéng)信原則，不得使用欺詐、誘騙、誤導(dǎo)或以合法形式掩蓋非法目的等方式；也不得隱瞞產(chǎn)品或服務(wù)的個(gè)人信息收集功能。因此，數(shù)據(jù)收集合規(guī)審查應(yīng)當(dāng)圍繞企業(yè)是否將收集活動(dòng)的目的、方式、可能的后果等如實(shí)告知用戶(hù)進(jìn)行。間接收集即企業(yè)從第三方（通常是數(shù)據(jù)交易相對(duì)人）處獲取個(gè)人信息等數(shù)據(jù)。針對(duì)第三方提供的個(gè)人信息，企業(yè)有必要將數(shù)據(jù)合規(guī)審查嵌入與目標(biāo)企業(yè)交易的盡職調(diào)查流程中，防止數(shù)據(jù)收集違規(guī)引發(fā)的法律風(fēng)險(xiǎn)在具有交易關(guān)系的企業(yè)之間傳遞。

同時(shí)，企業(yè)還要對(duì)個(gè)人信息數(shù)據(jù)收集的技術(shù)手段進(jìn)行合規(guī)審查，例如實(shí)踐中被廣泛使用“網(wǎng)絡(luò)爬蟲(chóng)”。網(wǎng)絡(luò)爬蟲(chóng)是一種由機(jī)器模仿人的行為抓取數(shù)據(jù)的工具，爬蟲(chóng)的活動(dòng)一般表面顯現(xiàn)為正常用戶(hù)的操作。當(dāng)企業(yè)運(yùn)營(yíng)爬蟲(chóng)工具收集數(shù)據(jù)時(shí)，如果沒(méi)有履行對(duì)個(gè)人的告知同意義務(wù)或違反被爬取網(wǎng)站的Robots協(xié)議（反爬蟲(chóng)協(xié)議），則有可能會(huì)面臨承擔(dān)民事侵權(quán)責(zé)任甚至刑事責(zé)任的后果。因此，企業(yè)需要對(duì)爬蟲(chóng)技術(shù)的運(yùn)用進(jìn)行合規(guī)監(jiān)控，在直接爬取個(gè)人信息數(shù)據(jù)時(shí)要履行告知同意義務(wù)；在爬取其他網(wǎng)站數(shù)據(jù)時(shí)，要遵循網(wǎng)站的Robots 協(xié)議，不得運(yùn)用技術(shù)手段繞開(kāi)或破壞被爬取網(wǎng)站的反爬取系統(tǒng)。

2.數(shù)據(jù)存儲(chǔ)合規(guī)

企業(yè)數(shù)據(jù)存儲(chǔ)的合規(guī)事項(xiàng)包括三個(gè)主要內(nèi)容。首先，企業(yè)要加強(qiáng)個(gè)人信息數(shù)據(jù)存儲(chǔ)的安全保障機(jī)制?！皩?duì)外”層面，非因法定或約定事由，企業(yè)不得隨意公開(kāi)個(gè)人信息數(shù)據(jù)，并應(yīng)當(dāng)采取必要技術(shù)手段對(duì)個(gè)人信息數(shù)據(jù)進(jìn)行加密保護(hù)?！皩?duì)內(nèi)”層面，企業(yè)需要建立完整的數(shù)據(jù)訪問(wèn)權(quán)限與監(jiān)管機(jī)制，防止數(shù)據(jù)被無(wú)權(quán)或越權(quán)訪問(wèn)，并能夠通過(guò)數(shù)據(jù)訪問(wèn)記錄追蹤數(shù)據(jù)訪問(wèn)情況，確定數(shù)據(jù)安全的責(zé)任主體。

其次，企業(yè)要對(duì)存儲(chǔ)的個(gè)人信息數(shù)據(jù)進(jìn)行分類(lèi)與分級(jí)管理。企業(yè)應(yīng)當(dāng)運(yùn)用類(lèi)型化思維，綜合現(xiàn)行法律法規(guī)、國(guó)家標(biāo)準(zhǔn)（如《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》）以及地方政府?dāng)?shù)據(jù)分類(lèi)分級(jí)指南的規(guī)定，對(duì)各類(lèi)數(shù)據(jù)分類(lèi)分級(jí)管理，以確保數(shù)據(jù)存儲(chǔ)的安全性。在此基礎(chǔ)上，企業(yè)還應(yīng)當(dāng)著重加強(qiáng)對(duì)生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶(hù)、行蹤軌跡、未成年人等個(gè)人敏感信息的保護(hù)，防止個(gè)人敏感信息被泄露、非法提供或?yàn)E用。

最后，根據(jù)《個(gè)人信息保護(hù)法》第51 條規(guī)定，企業(yè)還需要對(duì)個(gè)人信息進(jìn)行去標(biāo)識(shí)處理。企業(yè)需要建立“確定目標(biāo)—識(shí)別標(biāo)識(shí)—處理標(biāo)識(shí)—驗(yàn)證審批”的個(gè)人信息去標(biāo)識(shí)化流程機(jī)制，運(yùn)用統(tǒng)計(jì)技術(shù)、密碼技術(shù)、抑制技術(shù)、假名化技術(shù)、泛化技術(shù)、隨機(jī)化技術(shù)以及數(shù)據(jù)合成技術(shù)等手段進(jìn)行個(gè)人信息數(shù)據(jù)的去標(biāo)識(shí)化。

3.數(shù)據(jù)使用合規(guī)

狹義上的數(shù)據(jù)使用合規(guī)主要面向企業(yè)自身使用數(shù)據(jù)的行為。企業(yè)在使用數(shù)據(jù)時(shí)往往需要借助特定的算法實(shí)現(xiàn)，因而除應(yīng)當(dāng)貫徹企業(yè)數(shù)據(jù)合規(guī)的基本原則外，企業(yè)還需要重視對(duì)算法合規(guī)的審查。根據(jù)《個(gè)人信息保護(hù)法》第24 條以及網(wǎng)信辦、工信部、公安部、市場(chǎng)監(jiān)管總局制定的《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》，對(duì)算法合規(guī)的審查主要從“算法透明”“算法公正”“算法弱勢(shì)群體保護(hù)”等角度展開(kāi)。算法透明要求企業(yè)應(yīng)當(dāng)以顯著方式告知用戶(hù)其提供算法推薦服務(wù)的情況，并以適當(dāng)方式公示算法推薦服務(wù)的基本原理、目的意圖和主要運(yùn)行機(jī)制等，避免“算法黑箱”損害個(gè)人信息權(quán)益。算法公正要求企業(yè)應(yīng)當(dāng)向用戶(hù)提供不針對(duì)其個(gè)人特征的選項(xiàng)或者向用戶(hù)提供便捷的關(guān)閉算法推薦服務(wù)的選項(xiàng)，不得運(yùn)用算法技術(shù)手段進(jìn)行“算法歧視”（如“大數(shù)據(jù)殺熟”）。算法弱勢(shì)群體保護(hù)要求企業(yè)應(yīng)對(duì)未成年人、老年人、勞動(dòng)者、消費(fèi)者等特定情境下的算法弱勢(shì)群體給予合理的差別待遇，以保護(hù)這些群體的數(shù)據(jù)權(quán)益。

廣義上的數(shù)據(jù)使用合規(guī)除包括企業(yè)自身使用數(shù)據(jù)的行為合規(guī)外，還應(yīng)當(dāng)包括對(duì)企業(yè)配合用戶(hù)行使個(gè)人信息權(quán)能的情況進(jìn)行審查與規(guī)范。在我國(guó)現(xiàn)行立法框架下，個(gè)人信息權(quán)利束主要包括查詢(xún)權(quán)、更正權(quán)、刪除權(quán)（被遺忘權(quán)）、復(fù)制權(quán)、轉(zhuǎn)移權(quán)（可攜權(quán)）等。由于個(gè)人信息及其數(shù)據(jù)產(chǎn)生與流通均具有公共性，因而相關(guān)權(quán)利束的行使無(wú)法建立在個(gè)人對(duì)其信息的絕對(duì)控制之上，而是需要包括企業(yè)在內(nèi)的多方主體的配合?；谏鲜鲈恚髽I(yè)不僅負(fù)有消極不作為方式避免侵害個(gè)人信息數(shù)據(jù)權(quán)益的義務(wù)，而且負(fù)有以積極作為方式配合用戶(hù)在合法合理的限度內(nèi)行使其個(gè)人信息權(quán)利以滿(mǎn)足用戶(hù)數(shù)據(jù)權(quán)益的義務(wù)。

4.數(shù)據(jù)流轉(zhuǎn)合規(guī)

數(shù)據(jù)流轉(zhuǎn)合規(guī)主要針對(duì)企業(yè)向第三方轉(zhuǎn)讓個(gè)人信息數(shù)據(jù)的行為。根據(jù)《個(gè)人信息保護(hù)法》第23條的規(guī)定，企業(yè)向其他個(gè)人信息處理者提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱(chēng)或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類(lèi)，并取得個(gè)人的單獨(dú)同意。同時(shí)，接收企業(yè)應(yīng)當(dāng)在上述處理目的、處理方式和個(gè)人信息的種類(lèi)等范圍內(nèi)處理個(gè)人信息，變更原先的處理目的、處理方式應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意?？紤]到SDK（軟件開(kāi)發(fā)包）可能產(chǎn)生的數(shù)據(jù)合規(guī)隱患，企業(yè)在涉及運(yùn)用SDK 進(jìn)行第三方接入管理的數(shù)據(jù)處理行為時(shí)，還應(yīng)當(dāng)建立專(zhuān)門(mén)的第三方接入管理機(jī)制，明確企業(yè)與第三方的權(quán)責(zé)劃分。企業(yè)還需要對(duì)第三方接入進(jìn)行實(shí)時(shí)監(jiān)管與審計(jì)，在出現(xiàn)安全隱患時(shí)應(yīng)當(dāng)及時(shí)停止第三方接入。

由于數(shù)據(jù)跨境流動(dòng)涉及國(guó)家數(shù)據(jù)安全甚至數(shù)據(jù)主權(quán)問(wèn)題，企業(yè)應(yīng)嚴(yán)格依照《個(gè)人信息保護(hù)法》《數(shù)據(jù)出境安全評(píng)估辦法》中關(guān)于個(gè)人信息及數(shù)據(jù)跨境提供的規(guī)則進(jìn)行評(píng)估，并結(jié)合數(shù)據(jù)接收方所在國(guó)家或地區(qū)的規(guī)定以及雙方訂立的合同進(jìn)行合規(guī)審查。對(duì)于金融、生物醫(yī)療等領(lǐng)域的個(gè)人信息出境規(guī)則，應(yīng)當(dāng)依據(jù)國(guó)務(wù)院《人類(lèi)遺傳資源管理?xiàng)l例》、中國(guó)人民銀行《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JR/T 0171—2020）以及國(guó)家衛(wèi)健委《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）》規(guī)定的標(biāo)準(zhǔn)，審查數(shù)據(jù)能否跨境流轉(zhuǎn)以及流轉(zhuǎn)的具體程序。

（三）健全企業(yè)數(shù)據(jù)合規(guī)專(zhuān)門(mén)機(jī)構(gòu)與運(yùn)行機(jī)制

企業(yè)數(shù)據(jù)合規(guī)部門(mén)是企業(yè)數(shù)據(jù)合規(guī)建設(shè)與運(yùn)行的主導(dǎo)者。就工作模式而言，企業(yè)數(shù)據(jù)合規(guī)可以分為數(shù)據(jù)合規(guī)的日常管理機(jī)制與違規(guī)風(fēng)險(xiǎn)應(yīng)對(duì)機(jī)制，前者致力于預(yù)防數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)，后者則以應(yīng)對(duì)已經(jīng)發(fā)生的數(shù)據(jù)違規(guī)風(fēng)險(xiǎn)為目標(biāo)。基于數(shù)據(jù)合規(guī)部門(mén)及相關(guān)工作機(jī)制的運(yùn)行，企業(yè)數(shù)據(jù)合規(guī)體系得以實(shí)現(xiàn)從靜態(tài)到動(dòng)態(tài)運(yùn)轉(zhuǎn)，形成一個(gè)鮮活的數(shù)據(jù)治理有機(jī)體。

1.設(shè)立數(shù)據(jù)合規(guī)專(zhuān)門(mén)機(jī)構(gòu)

企業(yè)數(shù)據(jù)合規(guī)管理部門(mén)是數(shù)據(jù)合規(guī)體系運(yùn)行的主導(dǎo)者。從企業(yè)數(shù)據(jù)合規(guī)部門(mén)與其他企業(yè)部門(mén)的關(guān)系來(lái)看，數(shù)據(jù)合規(guī)管理部門(mén)的設(shè)立模式主要有三種。第一種模式是將數(shù)據(jù)合規(guī)內(nèi)置于企業(yè)的法律事務(wù)部門(mén)（即“法務(wù)部”）。在這一模式下，數(shù)據(jù)合規(guī)部門(mén)作為綜合性合規(guī)部門(mén)的組成部分之一內(nèi)置于法務(wù)部。第二種模式是合規(guī)部門(mén)獨(dú)立于法務(wù)部，但數(shù)據(jù)合規(guī)部門(mén)并不獨(dú)立于綜合性的合規(guī)部門(mén)。第三種模式則是將數(shù)據(jù)合規(guī)部門(mén)獨(dú)立于法務(wù)部和綜合性合規(guī)部門(mén)。

第一種模式的優(yōu)點(diǎn)在于可以精簡(jiǎn)企業(yè)的管理部門(mén)，降低管理成本，且有助于促進(jìn)合規(guī)事務(wù)與法律事務(wù)的一體化處理，這一模式適合傳統(tǒng)中小企業(yè)。對(duì)于以數(shù)字經(jīng)濟(jì)為主要業(yè)務(wù)領(lǐng)域的企業(yè)（如互聯(lián)網(wǎng)企業(yè)、高新制造業(yè)或服務(wù)業(yè)企業(yè)等），其數(shù)據(jù)合規(guī)事項(xiàng)較為龐雜，專(zhuān)業(yè)性較強(qiáng)，因而不宜采用此種模式。同時(shí)，從治理邏輯層面看，數(shù)據(jù)合規(guī)并不完全屬于法律事務(wù)的下位概念。由于數(shù)據(jù)合規(guī)不僅局限于企業(yè)交易過(guò)程，還包括事前評(píng)估與事后督導(dǎo)，超出了傳統(tǒng)法務(wù)的工作范圍。因此，對(duì)于數(shù)據(jù)合規(guī)事務(wù)需求量較大且具備一定人財(cái)物條件的企業(yè)，應(yīng)當(dāng)優(yōu)先采用第二或第三種模式，將企業(yè)數(shù)據(jù)合規(guī)部門(mén)與傳統(tǒng)意義上的法務(wù)部門(mén)進(jìn)行分離。至于數(shù)據(jù)合規(guī)專(zhuān)門(mén)機(jī)構(gòu)的負(fù)責(zé)人，則可以借鑒德國(guó)1977 年《聯(lián)邦數(shù)據(jù)保護(hù)法》的規(guī)定，任命至少一名“數(shù)據(jù)保護(hù)官（DPO）”，賦予其獨(dú)立履行企業(yè)數(shù)據(jù)合規(guī)監(jiān)管職權(quán)的地位。

2.數(shù)據(jù)合規(guī)日常管理機(jī)制

數(shù)據(jù)合規(guī)日常管理機(jī)制的主要功能在于通過(guò)系統(tǒng)性管理工程降低數(shù)據(jù)違規(guī)風(fēng)險(xiǎn)，持續(xù)性改進(jìn)企業(yè)數(shù)據(jù)合規(guī)治理體系。數(shù)據(jù)合規(guī)日常管理工作包括以下方面：其一，確定企業(yè)數(shù)據(jù)合規(guī)管理團(tuán)隊(duì)?？紤]到企業(yè)數(shù)據(jù)合規(guī)管理具有很強(qiáng)的綜合性，因而應(yīng)當(dāng)為此組建具有法律、科技、財(cái)務(wù)等多元知識(shí)結(jié)構(gòu)背景的人才隊(duì)伍，以確保數(shù)據(jù)合規(guī)日常管理的專(zhuān)業(yè)性。其二，參與制定或修改企業(yè)數(shù)據(jù)合規(guī)文件（如數(shù)據(jù)合規(guī)管理規(guī)定、數(shù)據(jù)合規(guī)員工手冊(cè)、數(shù)據(jù)合規(guī)指引等），為數(shù)據(jù)合規(guī)公司治理制度提供明確而完備的規(guī)范依據(jù)，監(jiān)督這些規(guī)范文件的執(zhí)行情況。其三，對(duì)數(shù)據(jù)合規(guī)事務(wù)進(jìn)行全方位督導(dǎo)，及時(shí)發(fā)現(xiàn)、記錄、審查、評(píng)估、通報(bào)數(shù)據(jù)違規(guī)的潛在風(fēng)險(xiǎn)并提出具體建議與方案；對(duì)其他部門(mén)執(zhí)行數(shù)據(jù)合規(guī)事項(xiàng)的情況進(jìn)行考核與評(píng)價(jià)。其四，組織數(shù)據(jù)合規(guī)培訓(xùn)，增強(qiáng)企業(yè)數(shù)據(jù)合規(guī)意識(shí)與治理能力。其五，與企業(yè)其他職能部門(mén)、政府機(jī)關(guān)、第三方機(jī)構(gòu)進(jìn)行對(duì)接，通過(guò)協(xié)作共同推動(dòng)企業(yè)數(shù)據(jù)合規(guī)體系的建設(shè)與完善，形成企業(yè)數(shù)據(jù)合規(guī)的“多元共治”格局。

3.數(shù)據(jù)違規(guī)風(fēng)險(xiǎn)的應(yīng)對(duì)機(jī)制

健全的數(shù)據(jù)合規(guī)日常管理機(jī)制雖然可以有效防控?cái)?shù)據(jù)違規(guī)風(fēng)險(xiǎn)，但并不能完全消除企業(yè)違規(guī)數(shù)據(jù)風(fēng)險(xiǎn)。因此，對(duì)于已經(jīng)發(fā)生的數(shù)據(jù)違規(guī)風(fēng)險(xiǎn)，還需要建立特定的應(yīng)對(duì)機(jī)制。根據(jù)法律關(guān)系與法律責(zé)任的性質(zhì)，企業(yè)數(shù)據(jù)違規(guī)風(fēng)險(xiǎn)主要包括民事法律風(fēng)險(xiǎn)、行政法律風(fēng)險(xiǎn)以及刑事法律風(fēng)險(xiǎn)。

數(shù)據(jù)違規(guī)的民事法律風(fēng)險(xiǎn)主要體現(xiàn)為數(shù)據(jù)違規(guī)引發(fā)的侵權(quán)責(zé)任和違約責(zé)任?？紤]到民商事糾紛解決機(jī)制相對(duì)多元化，企業(yè)應(yīng)當(dāng)及時(shí)采取停止侵害、繼續(xù)履約或積極賠償?shù)确绞交饷?，防止?shù)據(jù)違規(guī)產(chǎn)生高昂的訴訟成本或?qū)ζ髽I(yè)聲譽(yù)造成嚴(yán)重負(fù)面影響。數(shù)據(jù)違規(guī)的行政法律風(fēng)險(xiǎn)主要體現(xiàn)為企業(yè)因違規(guī)處理個(gè)人信息數(shù)據(jù)遭受行政處罰。為了應(yīng)對(duì)此類(lèi)風(fēng)險(xiǎn)，企業(yè)數(shù)據(jù)合規(guī)部門(mén)應(yīng)當(dāng)在第一時(shí)間告知企業(yè)管理層及其他部門(mén)配合行政監(jiān)管執(zhí)法部門(mén)的調(diào)查并及時(shí)進(jìn)行合規(guī)整改，確保在最短時(shí)間內(nèi)消除企業(yè)數(shù)據(jù)違規(guī)事由。數(shù)據(jù)違規(guī)的刑事法律風(fēng)險(xiǎn)主要指企業(yè)因違反刑法而涉嫌犯罪。鑒于刑罰的嚴(yán)厲性，企業(yè)在面臨此類(lèi)風(fēng)險(xiǎn)時(shí)應(yīng)當(dāng)格外審慎，需要及時(shí)采用認(rèn)罪認(rèn)罰、補(bǔ)救挽損、查出責(zé)任人、評(píng)估整改等手段，爭(zhēng)取程序?qū)用娴暮弦?guī)不起訴或?qū)嶓w層面的刑事責(zé)任減免。

結(jié)語(yǔ)

盡管近年來(lái)數(shù)字經(jīng)濟(jì)的發(fā)展為我國(guó)帶來(lái)了“數(shù)字紅利”，但企業(yè)處理數(shù)據(jù)的行為在促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展與提高人民生活水平福利的同時(shí)，也對(duì)個(gè)人信息保護(hù)與數(shù)字經(jīng)濟(jì)治理提出了諸多新挑戰(zhàn)。正是在這一時(shí)代背景下，作為一種數(shù)據(jù)治理創(chuàng)新模式的企業(yè)數(shù)據(jù)合規(guī)應(yīng)運(yùn)而生。企業(yè)數(shù)據(jù)合規(guī)機(jī)制本質(zhì)上是一種基于多元共治理念的數(shù)據(jù)治理模式。在規(guī)范依據(jù)方面，其涉及民商經(jīng)濟(jì)法、行政法、刑事法、國(guó)際法等多元法律規(guī)范體系；在治理主體方面，其涉及立法機(jī)關(guān)、行政（監(jiān)管與執(zhí)法）機(jī)關(guān)、司法機(jī)關(guān)、企業(yè)自身以及第三方機(jī)構(gòu)等多元主體；在治理機(jī)制方面，企業(yè)數(shù)據(jù)合規(guī)同時(shí)涉及數(shù)據(jù)的日常治理與涉案風(fēng)險(xiǎn)應(yīng)對(duì)（整改）。正因如此，對(duì)企業(yè)數(shù)據(jù)合規(guī)的研究以及實(shí)踐應(yīng)用轉(zhuǎn)化，需要整合多重維度的智識(shí)。

沿著上述思路，本文從基本定位、多維功能以及構(gòu)建路徑的角度，對(duì)數(shù)字經(jīng)濟(jì)時(shí)代背景下的企業(yè)數(shù)據(jù)合規(guī)基本問(wèn)題進(jìn)行了探討?？梢灶A(yù)見(jiàn)，隨著國(guó)家、企業(yè)以及個(gè)人對(duì)數(shù)據(jù)合規(guī)建設(shè)的日益重視，企業(yè)數(shù)據(jù)合規(guī)體系也會(huì)越發(fā)完備。在企業(yè)數(shù)據(jù)合規(guī)體系的保駕護(hù)航下，數(shù)字經(jīng)濟(jì)發(fā)展產(chǎn)生的“數(shù)字紅利”也將進(jìn)一步惠及更多市場(chǎng)主體，這對(duì)于數(shù)字科技時(shí)代個(gè)人信息權(quán)益的保護(hù)、數(shù)字經(jīng)濟(jì)的健康持續(xù)發(fā)展以及通過(guò)科技賦能促進(jìn)共同富裕的實(shí)現(xiàn)，都將產(chǎn)生更加顯著而深遠(yuǎn)的積極效用。