企業(yè)數(shù)據(jù)合規(guī)的法律治理研究

黃信瑜，周飛宇

(安徽財(cái)經(jīng)大學(xué) 法學(xué)院，安徽 蚌埠 233030)

個(gè)人信息保護(hù)法的出臺(tái)不僅有力保障了信息安全，也為企業(yè)數(shù)據(jù)合規(guī)提供了規(guī)范指引。根據(jù)中華人民共和國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室(以下簡(jiǎn)稱“國(guó)家網(wǎng)信辦”)公布的《第47次中國(guó)互聯(lián)網(wǎng)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，我國(guó)國(guó)內(nèi)市場(chǎng)上監(jiān)測(cè)到的APP(Application 移動(dòng)互聯(lián)網(wǎng)應(yīng)用)數(shù)量為345萬(wàn)款，這一數(shù)字的背后也意味著互聯(lián)網(wǎng)企業(yè)的龐大規(guī)模。企業(yè)是個(gè)人信息領(lǐng)域的直接處理者，促進(jìn)企業(yè)處理個(gè)人信息的規(guī)范化，是事前預(yù)防信息安全風(fēng)險(xiǎn)的關(guān)鍵環(huán)節(jié)，而這有賴于企業(yè)合規(guī)的建設(shè)。對(duì)企業(yè)來(lái)說(shuō)，其對(duì)內(nèi)要保護(hù)勞動(dòng)者的個(gè)人信息，對(duì)外要保護(hù)廣大用戶的個(gè)人信息。而當(dāng)企業(yè)掌握大數(shù)據(jù)庫(kù)時(shí)，更需要重視合規(guī)經(jīng)營(yíng)，履行好自身承擔(dān)的法律義務(wù),建設(shè)有效的企業(yè)合規(guī)機(jī)制，提升企業(yè)現(xiàn)代化治理水平。

一、企業(yè)數(shù)據(jù)合規(guī)的法律價(jià)值

企業(yè)合規(guī)是指企業(yè)為保障自身活動(dòng)符合法律規(guī)則要求而建立的風(fēng)險(xiǎn)防控機(jī)制。從公司治理的角度來(lái)看，企業(yè)合規(guī)是企業(yè)為防范、識(shí)別和應(yīng)對(duì)潛在合規(guī)風(fēng)險(xiǎn)所建立的治理體系。[1]在現(xiàn)實(shí)中，企業(yè)經(jīng)營(yíng)面臨著許多風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)分為可控風(fēng)險(xiǎn)和不可控風(fēng)險(xiǎn)。違規(guī)風(fēng)險(xiǎn)屬于可控風(fēng)險(xiǎn)，完全可以通過(guò)企業(yè)的自我防范和管理來(lái)規(guī)避，避免承受因違規(guī)而帶來(lái)的損失。在這里，違規(guī)風(fēng)險(xiǎn)并不等同于法律風(fēng)險(xiǎn)，因?yàn)榉娠L(fēng)險(xiǎn)的范圍更加寬泛，例如合同違約風(fēng)險(xiǎn)、侵權(quán)糾紛風(fēng)險(xiǎn)、知識(shí)產(chǎn)權(quán)保護(hù)風(fēng)險(xiǎn)都可看作是法律風(fēng)險(xiǎn)的范疇?！昂弦?guī)”中的“規(guī)”對(duì)企業(yè)來(lái)說(shuō)，指的是法律法規(guī)對(duì)企業(yè)的要求，還包括監(jiān)管機(jī)構(gòu)發(fā)布的標(biāo)準(zhǔn)或者條例，是對(duì)企業(yè)經(jīng)營(yíng)行為的規(guī)制。2017年，原國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局和國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)制定和發(fā)布了GB/T35770-2017《合規(guī)管理體系指南》。其中提到合規(guī)要求的來(lái)源包括：法律和法規(guī)；許可、執(zhí)照或其他形式的授權(quán)；監(jiān)管機(jī)構(gòu)發(fā)布的命令、條例或指南；法院判決或行政決定；條約、慣例和協(xié)議。所以說(shuō)，合規(guī)意味著組織遵守了應(yīng)當(dāng)適用的法律法規(guī)及監(jiān)管規(guī)定，也遵守了相關(guān)標(biāo)準(zhǔn)、有效治理原則或道德準(zhǔn)則。當(dāng)然，企業(yè)也可以在法律法規(guī)的基礎(chǔ)上制定更加嚴(yán)格和詳細(xì)的內(nèi)部規(guī)范。在現(xiàn)實(shí)生活中，企業(yè)的合規(guī)工作主要集中在反商業(yè)賄賂、反壟斷和信息保護(hù)等領(lǐng)域?！秱€(gè)人信息保護(hù)法》及相關(guān)規(guī)定就是企業(yè)在處理個(gè)人信息時(shí)要遵循的“規(guī)”。

企業(yè)是市場(chǎng)經(jīng)營(yíng)的主體，企業(yè)合規(guī)是實(shí)現(xiàn)企業(yè)長(zhǎng)遠(yuǎn)發(fā)展的內(nèi)在要求，企業(yè)合規(guī)與否早已成為企業(yè)競(jìng)爭(zhēng)力的一個(gè)重要方面。一旦受到法律制裁，企業(yè)在經(jīng)濟(jì)和聲譽(yù)上會(huì)受到損失，市場(chǎng)業(yè)務(wù)的開展也會(huì)受到限制，甚至面臨被吊銷營(yíng)業(yè)執(zhí)照的風(fēng)險(xiǎn)。2021年4月，杭州阿里巴巴集團(tuán)因?qū)嵤艛嘈袨楸粐?guó)家市場(chǎng)監(jiān)督管理總局處罰182.28億元，引起了社會(huì)的廣泛關(guān)注。除了承受巨額罰款之外，阿里巴巴集團(tuán)還收到了《行政指導(dǎo)書》，被要求加強(qiáng)公司合規(guī)管理，并連續(xù)三年向監(jiān)管部門提交自查合規(guī)報(bào)告。[2]近年來(lái)，各個(gè)監(jiān)管領(lǐng)域相繼發(fā)生類似的處罰案件，國(guó)家監(jiān)管部門對(duì)違規(guī)企業(yè)的處罰力度越來(lái)越大，企業(yè)合規(guī)的重要性也由此凸顯。在信息處理監(jiān)管領(lǐng)域，國(guó)家網(wǎng)信辦多次通報(bào)有關(guān)互聯(lián)網(wǎng)企業(yè)違規(guī)處理個(gè)人信息的情況，有的企業(yè)還構(gòu)成侵犯?jìng)€(gè)人信息犯罪而遭受刑事處罰。既然這樣，企業(yè)完全可以進(jìn)行自我防范，識(shí)別可能存在的違規(guī)風(fēng)險(xiǎn)并有效解決，以避免受到監(jiān)管部門的處罰。同時(shí)，企業(yè)數(shù)據(jù)合規(guī)是事前預(yù)防機(jī)制發(fā)揮作用的體現(xiàn)，如果企業(yè)從事違規(guī)行為，勢(shì)必會(huì)侵害到普通公民的權(quán)益，擾亂正常的社會(huì)秩序，此時(shí)對(duì)違規(guī)企業(yè)進(jìn)行懲罰只能起到彌補(bǔ)損失和教育警示的作用。只有企業(yè)做到合規(guī)經(jīng)營(yíng)，才能從源頭上有效減少違法犯罪案件的發(fā)生，推動(dòng)市場(chǎng)環(huán)境的健康發(fā)展。

司法實(shí)踐中，企業(yè)數(shù)據(jù)合規(guī)的法律價(jià)值還體現(xiàn)在，數(shù)據(jù)合規(guī)可以成為企業(yè)主張減輕或者免除法律責(zé)任的理由，較為典型的是“雀巢公司無(wú)罪抗辯案”。蘭州市城關(guān)區(qū)人民法院(2016)甘102刑初605號(hào)刑事判決書認(rèn)定的基本案情是：2011年至2013年9月，雀巢(中國(guó))有限公司西北區(qū)嬰兒營(yíng)養(yǎng)部事務(wù)經(jīng)理鄭某、蘭州分公司嬰兒營(yíng)養(yǎng)部區(qū)域經(jīng)理?xiàng)钅碁橥其N雀巢奶粉，授意部門員工通過(guò)支付紅包、拉關(guān)系等手段，多次從蘭州當(dāng)?shù)囟嗉裔t(yī)院醫(yī)務(wù)人員手中非法獲取公民個(gè)人信息。2016年，雀巢公司六名員工因涉嫌侵犯公民個(gè)人信息被提起公訴，面對(duì)檢察機(jī)關(guān)的指控，被告人紛紛辯稱，實(shí)施侵犯?jìng)€(gè)人信息的行為是為完成公司的任務(wù)或是為提升公司的收益，并且非法獲取到的信息都提供給了公司，因而這是一種公司行為。對(duì)此，雀巢公司提供了一系列證據(jù)，包括情況說(shuō)明、銷售政策、在線測(cè)試記錄和有被告人簽名的員工培訓(xùn)手冊(cè)，以證明公司內(nèi)部已經(jīng)建立了完善的數(shù)據(jù)合規(guī)管理體系，在防范員工行為方面已經(jīng)盡到了注意義務(wù)。經(jīng)過(guò)審理，蘭州市城關(guān)區(qū)人民法院判定被告人構(gòu)成侵犯公民個(gè)人信息罪，雀巢公司不構(gòu)成單位犯罪，各被告人不服判決并以上述理由提起上訴。最終，蘭州市中級(jí)人民法院裁定駁回上訴、維持原判。具有啟發(fā)意義的是，蘭州市中級(jí)人民法院[2017]甘01刑終89號(hào)刑事裁定書肯定了雀巢公司在合規(guī)管理上的努力，指出：“各上訴人違反公司管理規(guī)定，為提升個(gè)人業(yè)績(jī)而實(shí)施的犯罪為個(gè)人行為”。法院的裁判思路表明，企業(yè)合規(guī)可以作為企業(yè)責(zé)任同員工責(zé)任的區(qū)分標(biāo)準(zhǔn)，在公司履行管理、培訓(xùn)和監(jiān)督責(zé)任的情況下，員工依然實(shí)施犯罪行為，這相當(dāng)于違背了公司的主觀意志，公司自然也就不需要承擔(dān)法律責(zé)任。[3]這對(duì)于擁有上千名乃至上萬(wàn)名員工的大企業(yè)來(lái)說(shuō)至關(guān)重要，因?yàn)槠髽I(yè)難以了解每個(gè)員工的行為，企業(yè)所能做的是建立起有效的合規(guī)機(jī)制，從而證明自身在管理上不存在“疏忽大意”或者“過(guò)于自信”的主觀過(guò)錯(cuò)。

二、企業(yè)數(shù)據(jù)合規(guī)面臨的現(xiàn)實(shí)問題

信息時(shí)代的到來(lái)對(duì)企業(yè)來(lái)說(shuō)是一次機(jī)遇，豐富的信息量有助于企業(yè)分析市場(chǎng)和精準(zhǔn)決策，對(duì)信息資源的占有和利用能力將會(huì)影響到企業(yè)的發(fā)展前景。但是，機(jī)遇的背后伴隨著許多風(fēng)險(xiǎn)，如果企業(yè)不能進(jìn)行有效的自我規(guī)范，就可能逾越法律的界限，繼而面臨法律懲罰和社會(huì)譴責(zé)。在信息處理領(lǐng)域，規(guī)范數(shù)據(jù)活動(dòng)的法律體系基本形成，行政監(jiān)管的力度也在不斷加強(qiáng)。[4]所以，推動(dòng)企業(yè)數(shù)據(jù)合規(guī)建設(shè)尤為迫切。

(一)未能有效防控違規(guī)風(fēng)險(xiǎn)

企業(yè)在經(jīng)營(yíng)活動(dòng)中如果涉及到對(duì)個(gè)人信息的利用，就成為法律意義上的信息處理者，也就要負(fù)擔(dān)保護(hù)個(gè)人信息的義務(wù)。當(dāng)企業(yè)不能履行好信息處理者的義務(wù)時(shí)，內(nèi)部合規(guī)管理體系就會(huì)出現(xiàn)漏洞，風(fēng)險(xiǎn)的外溢最終導(dǎo)致企業(yè)承受違規(guī)后果。在信息處理領(lǐng)域，企業(yè)違規(guī)行為具有相似之處，主要原因是違背了信息處理的基本原則。從現(xiàn)實(shí)案例來(lái)看，信息處理的過(guò)程涵蓋多個(gè)環(huán)節(jié)，違規(guī)情形多發(fā)生在信息收集、使用和傳輸環(huán)節(jié)。此前，國(guó)家網(wǎng)信辦發(fā)布了33款A(yù)pp違法違規(guī)收集使用個(gè)人信息情況的通報(bào)，違法行為主要是涉事App違反必要原則，收集與其提供服務(wù)無(wú)關(guān)的個(gè)人信息。在國(guó)家網(wǎng)信辦專項(xiàng)治理活動(dòng)中，超出必要原則過(guò)度收集個(gè)人信息也排在了問題舉報(bào)量的第一位。企業(yè)為保障能正常提供產(chǎn)品和服務(wù)，確實(shí)需要向用戶收集必要的信息，但需要的信息范圍是特定的。如果企業(yè)超范圍索要信息，或者通過(guò)欺騙、誘導(dǎo)的方式收集信息，就顯然違反了法律要求。在使用環(huán)節(jié)中，常見的違規(guī)情形表現(xiàn)在企業(yè)向用戶定向推送廣告、利用大數(shù)據(jù)“殺熟”、轉(zhuǎn)售個(gè)人信息等，還存在具有合作關(guān)系的企業(yè)共用信息資源的情況。在這些情形下，企業(yè)對(duì)信息的使用已經(jīng)超出了合理范圍，影響到了公眾的生活安寧，而這樣做無(wú)非是想借助掌握的信息資源來(lái)追求更大的經(jīng)濟(jì)利益。

在信息時(shí)代，根據(jù)自然人的個(gè)人信息可以識(shí)別其個(gè)人身份，而自然人對(duì)信息的自我控制和支配反映了其所享有的人格尊嚴(yán)。[5]企業(yè)違規(guī)處理個(gè)人信息不僅會(huì)造成個(gè)人信息被濫用，而且會(huì)侵害到自然人的人格權(quán)。所以，國(guó)家陸續(xù)制定一系列法律法規(guī)，對(duì)信息處理的過(guò)程進(jìn)行全面規(guī)制，開展專項(xiàng)的網(wǎng)絡(luò)治理活動(dòng)，讓企業(yè)清醒地認(rèn)識(shí)到，有效防控違規(guī)風(fēng)險(xiǎn)才能實(shí)現(xiàn)企業(yè)的可持續(xù)發(fā)展。

(二)缺乏明確的合規(guī)指引標(biāo)準(zhǔn)

促進(jìn)企業(yè)合規(guī)，首先需要有明確的合規(guī)指引，使企業(yè)能夠據(jù)此制定合規(guī)計(jì)劃，建立合規(guī)管理體系。此次《個(gè)人信息保護(hù)法》的出臺(tái)，確立了個(gè)人信息處理的基本原則，對(duì)信息處理者的義務(wù)做出專門的規(guī)定，其中第62條提到，國(guó)家網(wǎng)信部門要針對(duì)不同類型的信息處理者，制定專門的個(gè)人信息保護(hù)規(guī)則和標(biāo)準(zhǔn)。其實(shí)這同合規(guī)指引標(biāo)準(zhǔn)具有相通之處，制定專門的規(guī)則就是讓企業(yè)明白如何做才符合法律要求，而這項(xiàng)工作還在推進(jìn)中。現(xiàn)實(shí)中，一般經(jīng)營(yíng)者和平臺(tái)運(yùn)營(yíng)商在信息處理方式上必然存在差異，比方說(shuō)酒店、家裝公司、快遞公司也會(huì)收集和使用消費(fèi)者的個(gè)人信息，他們對(duì)信息的收集多是在面對(duì)面的場(chǎng)景，后續(xù)處理信息時(shí)難以及時(shí)告知消費(fèi)者，消費(fèi)者不能像在網(wǎng)上一樣可以刪除信息和注銷賬號(hào)。那么就需要根據(jù)不同類型企業(yè)處理信息的特征制定專門標(biāo)準(zhǔn)，以指導(dǎo)企業(yè)正確開展信息處理活動(dòng)。同樣，大企業(yè)和中小企業(yè)在企業(yè)治理方面也存在差異，大企業(yè)可以調(diào)動(dòng)更多的人力物力來(lái)從事合規(guī)管理工作，而中小企業(yè)往往會(huì)簡(jiǎn)化合規(guī)管理流程，合規(guī)指引對(duì)此應(yīng)當(dāng)有合理的區(qū)分。關(guān)于合規(guī)指引，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)曾在2017年制定《合規(guī)管理體系指南》，但這是對(duì)所有企業(yè)提出的一般性要求，沒有涉及到具體領(lǐng)域。如果缺乏專業(yè)的合規(guī)指南，企業(yè)不知道如何操作，其做法或是照搬法律規(guī)定，或是將這項(xiàng)工作委托給律師事務(wù)所，就會(huì)影響企業(yè)合規(guī)的實(shí)效。這一點(diǎn)可以參考我國(guó)證券監(jiān)管領(lǐng)域合規(guī)治理的經(jīng)驗(yàn)，監(jiān)管部門制定了《商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理指引》和《保險(xiǎn)公司合規(guī)管理辦法》，這為商業(yè)銀行、保險(xiǎn)公司等金融機(jī)構(gòu)提供了較為明確的合規(guī)指引，取得了很好的治理效果。

(三)企業(yè)合規(guī)內(nèi)在動(dòng)力不足

企業(yè)合規(guī)在我國(guó)剛剛興起，很多企業(yè)管理者對(duì)合規(guī)的基本內(nèi)涵認(rèn)識(shí)尚未成熟，將其看作是簡(jiǎn)單的法律事務(wù)，認(rèn)識(shí)的局限影響合規(guī)建設(shè)的能力。受一些陳舊思想觀念的影響，企業(yè)管理者的規(guī)則意識(shí)較為淡薄，重視權(quán)力、關(guān)系而輕視規(guī)則，甚至形成了一些市場(chǎng)“潛規(guī)則”，導(dǎo)致我國(guó)企業(yè)合規(guī)起步較晚、基礎(chǔ)較弱。[6]在信息處理領(lǐng)域，法律規(guī)則的制定相對(duì)滯后于信息技術(shù)的快速發(fā)展，很長(zhǎng)一段時(shí)間里，企業(yè)經(jīng)營(yíng)行為的合規(guī)與否多取決于其自律能力?，F(xiàn)實(shí)生活中，企業(yè)一般居于優(yōu)勢(shì)地位，企業(yè)管理者認(rèn)為向網(wǎng)絡(luò)用戶提供服務(wù)而收集使用信息是一種交易行為，只要不達(dá)到犯罪標(biāo)準(zhǔn)就可以自由處理用戶信息。慣性的商業(yè)思維影響企業(yè)對(duì)數(shù)據(jù)合規(guī)建設(shè)的重視，采取的措施主要是應(yīng)付執(zhí)法檢查，實(shí)際做法與規(guī)則要求不一，沒有建立起真正科學(xué)有效的合規(guī)管理體系。一般來(lái)說(shuō)，企業(yè)的合規(guī)管理主要包括對(duì)違規(guī)風(fēng)險(xiǎn)的預(yù)防監(jiān)測(cè)和積極應(yīng)對(duì)，而現(xiàn)實(shí)中一些數(shù)據(jù)企業(yè)只有在被調(diào)查后才會(huì)整改違規(guī)行為，應(yīng)對(duì)措施較為被動(dòng)，具有重復(fù)違規(guī)的可能性。

造成企業(yè)合規(guī)內(nèi)在動(dòng)力不足的另外一個(gè)主要原因是正向激勵(lì)力度還不夠大。目前，我國(guó)監(jiān)管部門主要通過(guò)強(qiáng)力方式督促企業(yè)進(jìn)行合規(guī)建設(shè)，是一種直接干預(yù)的外部壓力機(jī)制。在強(qiáng)力合規(guī)模式之下，監(jiān)管部門多采用命令式手段規(guī)范企業(yè)活動(dòng)，導(dǎo)致企業(yè)處于消極被動(dòng)地位，制約了合規(guī)建設(shè)的積極性。[7]在監(jiān)管范圍難以保證全面覆蓋的情況下，即便處罰結(jié)果非常嚴(yán)格，企業(yè)管理者也會(huì)產(chǎn)生僥幸心理，并且這種模式會(huì)產(chǎn)生監(jiān)管疲軟和監(jiān)管滯后的問題。同時(shí)，對(duì)企業(yè)進(jìn)行調(diào)查處罰時(shí)沒有區(qū)分合規(guī)建設(shè)情況，企業(yè)事前建立合規(guī)管理體系并不能作為從寬處罰的判斷依據(jù)，企業(yè)也不能以積極的合規(guī)整改來(lái)與監(jiān)管部門達(dá)成執(zhí)法和解協(xié)議?？梢钥闯觯弦?guī)監(jiān)管激勵(lì)機(jī)制的構(gòu)建仍處在探索階段，培養(yǎng)企業(yè)合規(guī)的法治環(huán)境還沒有完全形成。沒有完善的合規(guī)激勵(lì)機(jī)制，企業(yè)在合規(guī)建設(shè)方面就會(huì)缺乏主動(dòng)性，難以發(fā)揮出正向引導(dǎo)的作用。

三、促進(jìn)企業(yè)數(shù)據(jù)合規(guī)的治理對(duì)策

對(duì)企業(yè)來(lái)說(shuō)，通過(guò)合規(guī)的確定性來(lái)應(yīng)對(duì)外部環(huán)境的不確定性，是防范違規(guī)風(fēng)險(xiǎn)以實(shí)現(xiàn)長(zhǎng)遠(yuǎn)發(fā)展的明智之舉。通過(guò)引導(dǎo)企業(yè)合規(guī)來(lái)規(guī)范數(shù)據(jù)活動(dòng)，同樣是創(chuàng)新企業(yè)治理方式的嘗試，對(duì)推動(dòng)數(shù)字經(jīng)濟(jì)的健康發(fā)展具有重要意義。所以，促進(jìn)企業(yè)數(shù)據(jù)合規(guī)是一項(xiàng)系統(tǒng)性工程，既需要企業(yè)發(fā)揮自主能動(dòng)性，依規(guī)正確從事信息處理活動(dòng)，也需要加強(qiáng)數(shù)據(jù)合規(guī)公共服務(wù)供給，從法律層面給予更加有力的保障。

(一)引導(dǎo)企業(yè)建立數(shù)據(jù)合規(guī)管理體系

構(gòu)建科學(xué)有效的合規(guī)管理體系意味著企業(yè)應(yīng)當(dāng)依照法律規(guī)范制定一套合規(guī)計(jì)劃，及時(shí)識(shí)別和評(píng)估運(yùn)營(yíng)過(guò)程中可能產(chǎn)生的違規(guī)風(fēng)險(xiǎn)，對(duì)員工進(jìn)行合規(guī)培訓(xùn)并暢通問題反映渠道。當(dāng)然，這一體系并不過(guò)于復(fù)雜，它有著明確的操作準(zhǔn)則，準(zhǔn)確把握信息處理基本原則是構(gòu)建數(shù)據(jù)合規(guī)管理體系的關(guān)鍵所在。個(gè)人信息處理的基本原則具有指導(dǎo)和評(píng)價(jià)作用，是日常監(jiān)管中判斷行為是否違規(guī)的基本標(biāo)準(zhǔn)。《個(gè)人信息保護(hù)法》進(jìn)一步明確了合法、正當(dāng)、必要和誠(chéng)信原則是個(gè)人信息處理的基本原則。這些原則分別評(píng)價(jià)了處理個(gè)人信息的形式合法性、目的正當(dāng)性和手段必要性，要求處理者必須基于明確合理的目的從事數(shù)據(jù)活動(dòng)，采取必要措施最大限度保障個(gè)人信息安全。[8]除基本原則之外，還有一些具體的處理規(guī)則。個(gè)人信息可以分為必要信息和非必要信息，也可以分為可識(shí)別信息和不可識(shí)別信息，不同信息對(duì)應(yīng)的處理規(guī)則同樣存在差別，這就要求企業(yè)對(duì)個(gè)人信息進(jìn)行分類管理，遵守具體的規(guī)范要求。例如《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》按照功能服務(wù)對(duì)應(yīng)用程序進(jìn)行了分類，并劃定了不同類型的必要信息范圍，從事相關(guān)業(yè)務(wù)的企業(yè)應(yīng)當(dāng)按照這一具體規(guī)范來(lái)確定信息收集范圍。

在數(shù)據(jù)合規(guī)治理的過(guò)程中，調(diào)動(dòng)企業(yè)自主性以形成相互協(xié)作的模式至關(guān)重要。只有將數(shù)據(jù)合規(guī)管理體系構(gòu)建轉(zhuǎn)化為企業(yè)的自覺行動(dòng)，才能真正發(fā)揮出企業(yè)合規(guī)的法律作用。因此，網(wǎng)信部門等監(jiān)管機(jī)構(gòu)需要指導(dǎo)企業(yè)進(jìn)行合規(guī)建設(shè)，引導(dǎo)企業(yè)根據(jù)自身情況制定數(shù)據(jù)合規(guī)計(jì)劃。在相互協(xié)作的過(guò)程中，企業(yè)也應(yīng)準(zhǔn)確把握法律規(guī)定的基本原則，遵守告知同意規(guī)則，公開信息處理流程，增強(qiáng)信息處理的透明度，當(dāng)好個(gè)人信息處理者的角色。

(二)加強(qiáng)數(shù)據(jù)合規(guī)公共服務(wù)供給

企業(yè)合規(guī)在我國(guó)正處于剛剛起步階段，不僅理論研究相對(duì)較少，而且合規(guī)供給資源也相對(duì)不足，由此需要加強(qiáng)合規(guī)公共服務(wù)供給。根據(jù)法律要求，推進(jìn)個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè)是網(wǎng)信部門的職責(zé)，這其中就包括數(shù)據(jù)合規(guī)社會(huì)化服務(wù)體系建設(shè)。從現(xiàn)實(shí)情況來(lái)看，我國(guó)尚未設(shè)立專門負(fù)責(zé)數(shù)據(jù)監(jiān)管的機(jī)構(gòu)，多由不同的監(jiān)管部門各自執(zhí)法或者聯(lián)合執(zhí)法，網(wǎng)信部門的工作本身就具有協(xié)調(diào)屬性。這就需要強(qiáng)化國(guó)家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)職能，由其負(fù)責(zé)協(xié)調(diào)不同監(jiān)管部門的工作，主導(dǎo)推進(jìn)企業(yè)數(shù)據(jù)合規(guī)的建設(shè)。在協(xié)調(diào)機(jī)制下，網(wǎng)信部門應(yīng)當(dāng)結(jié)合當(dāng)前“六穩(wěn)”、“六?！闭叩囊螅瑢⒓訌?qiáng)數(shù)據(jù)合規(guī)公共服務(wù)供給作為推動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展的有力舉措。

第一，發(fā)布數(shù)據(jù)合規(guī)指引標(biāo)準(zhǔn)，針對(duì)業(yè)務(wù)不同、規(guī)模不同的企業(yè)，提供針對(duì)性、差異化的指導(dǎo)。在現(xiàn)實(shí)中，由于經(jīng)濟(jì)實(shí)力、組織機(jī)構(gòu)的不同，大型互聯(lián)網(wǎng)企業(yè)和中小型企業(yè)的合規(guī)建設(shè)必然是存在差別的，大型企業(yè)應(yīng)當(dāng)全面建設(shè)合規(guī)管理體系。[9]通過(guò)制定公布專業(yè)的信息處理規(guī)范，為企業(yè)建立數(shù)據(jù)合規(guī)計(jì)劃指明具體方向。第二，構(gòu)建合規(guī)計(jì)劃有效性識(shí)別機(jī)制，制定科學(xué)統(tǒng)一的數(shù)據(jù)合規(guī)監(jiān)督評(píng)估標(biāo)準(zhǔn)，對(duì)合規(guī)建設(shè)情況進(jìn)行優(yōu)質(zhì)、良好、達(dá)標(biāo)等不同等級(jí)的評(píng)定。根據(jù)法律要求，需要對(duì)企業(yè)是否建立合規(guī)管理制度以及實(shí)施情況做出客觀公正的評(píng)價(jià)。因此，應(yīng)當(dāng)由網(wǎng)信部門統(tǒng)籌建立數(shù)據(jù)合規(guī)評(píng)估體系，使數(shù)據(jù)監(jiān)管要求與企業(yè)合規(guī)建設(shè)能夠有效銜接。第三，加大合規(guī)人才培養(yǎng)力度，為推動(dòng)企業(yè)數(shù)據(jù)合規(guī)提供人才支撐。為滿足合規(guī)建設(shè)的發(fā)展需求，“企業(yè)合規(guī)師”在2021年正式被納入《中華人民共和國(guó)職業(yè)分類大典》而成為一種新的職業(yè)門類。合規(guī)工作不是傳統(tǒng)的法律事務(wù)，它的重點(diǎn)在于防范因違反法律法規(guī)而受到行政處罰和刑事追究的風(fēng)險(xiǎn)。所以，企業(yè)合規(guī)師的職責(zé)在于幫助企業(yè)建立合規(guī)管理體系，具體包括審計(jì)合規(guī)情況、處置違規(guī)事項(xiàng)等，如果企業(yè)進(jìn)入合規(guī)整改程序，也需要企業(yè)合規(guī)師負(fù)責(zé)制定整改方案。對(duì)此，應(yīng)當(dāng)盡快制定企業(yè)合規(guī)師的職業(yè)考核標(biāo)準(zhǔn)，鼓勵(lì)高等院校開設(shè)專門的合規(guī)專業(yè)，培養(yǎng)適應(yīng)現(xiàn)實(shí)發(fā)展需求的人才隊(duì)伍。

(三)增強(qiáng)企業(yè)合規(guī)激勵(lì)力度

數(shù)據(jù)合規(guī)治理的關(guān)鍵在于促使企業(yè)遵守特定的法律規(guī)范，既要通過(guò)制約手段施加合規(guī)壓力，又要通過(guò)激勵(lì)機(jī)制提供合規(guī)動(dòng)力。通過(guò)激勵(lì)機(jī)制促使企業(yè)從事符合法律要求的行為，有助于轉(zhuǎn)變依賴事后懲戒方式治理數(shù)據(jù)違規(guī)的觀念，進(jìn)一步節(jié)省監(jiān)管成本和提高監(jiān)管效率。2021年全國(guó)“兩會(huì)”期間，有多位全國(guó)人大代表提議圍繞企業(yè)合規(guī)進(jìn)一步加強(qiáng)頂層設(shè)計(jì)，對(duì)合規(guī)企業(yè)進(jìn)行正面評(píng)價(jià)和政策激勵(lì)，推動(dòng)企業(yè)合規(guī)工作長(zhǎng)遠(yuǎn)發(fā)展。在實(shí)踐中，已經(jīng)有地區(qū)進(jìn)行構(gòu)建合規(guī)激勵(lì)機(jī)制的探索。例如，深圳市創(chuàng)立了政府與企業(yè)合規(guī)建設(shè)交流平臺(tái)，將“建立起有效的合規(guī)管理體系”設(shè)定為稅費(fèi)減免、資質(zhì)評(píng)定等相關(guān)扶持政策的申請(qǐng)條件。[10]

促進(jìn)數(shù)據(jù)合規(guī)也應(yīng)當(dāng)順應(yīng)合規(guī)建設(shè)基本規(guī)律，從制度層面構(gòu)建激勵(lì)機(jī)制以減少企業(yè)合規(guī)的經(jīng)營(yíng)成本。首先，需要將企業(yè)合規(guī)納入執(zhí)法監(jiān)管的制度體系，將企業(yè)合規(guī)作為行政處罰寬大處理的考量因素。合規(guī)監(jiān)管激勵(lì)的基本思路是，如果經(jīng)合規(guī)評(píng)估認(rèn)證達(dá)標(biāo)的企業(yè)出現(xiàn)初次違規(guī)事項(xiàng)，在該企業(yè)配合調(diào)查并做出合規(guī)承諾之后，可以對(duì)其從輕或者減輕處罰，并以此來(lái)區(qū)分企業(yè)責(zé)任和員工責(zé)任，讓實(shí)施違規(guī)行為的員工承擔(dān)具體責(zé)任。另外，有必要在其他領(lǐng)域推廣正在證券監(jiān)管領(lǐng)域試點(diǎn)的行政和解制度，允許涉案企業(yè)提出申請(qǐng)，在能夠重建合規(guī)計(jì)劃和消除違法后果的條件下，可以終止執(zhí)法調(diào)查程序。其次，尊重企業(yè)合法收集使用數(shù)據(jù)的權(quán)利，保障數(shù)據(jù)要素的正常流通。數(shù)據(jù)企業(yè)可以在商業(yè)活動(dòng)中正常使用經(jīng)合法程序收集的個(gè)人信息，在征得網(wǎng)絡(luò)用戶同意后可以分析利用個(gè)人數(shù)據(jù)，享有受到法律保護(hù)的權(quán)利。[11]如果企業(yè)的數(shù)據(jù)權(quán)利受到侵害，應(yīng)當(dāng)保障企業(yè)能夠得到及時(shí)的救濟(jì)。最后，加強(qiáng)合規(guī)文化宣傳，營(yíng)造數(shù)據(jù)合規(guī)的生態(tài)氛圍。建立企業(yè)數(shù)據(jù)合規(guī)評(píng)定信息庫(kù)，對(duì)合規(guī)建設(shè)達(dá)標(biāo)并連續(xù)沒有出現(xiàn)違規(guī)事項(xiàng)的企業(yè)給予政策優(yōu)惠，讓真正合規(guī)者得到切實(shí)的利益，給其他企業(yè)產(chǎn)生良好的示范作用。同時(shí)，要懲治在合規(guī)建設(shè)中違背誠(chéng)實(shí)信用原則的行為，即從嚴(yán)處理重復(fù)違規(guī)行為和虛假合規(guī)行為，在信息庫(kù)公布違規(guī)事項(xiàng)以方便公眾查詢，樹立合規(guī)經(jīng)營(yíng)的文化導(dǎo)向。

網(wǎng)絡(luò)技術(shù)的快速發(fā)展不斷增強(qiáng)數(shù)據(jù)的重要程度，使各類數(shù)據(jù)成為重要的生產(chǎn)要素，而數(shù)據(jù)活動(dòng)的頻繁也產(chǎn)生了非法收集、非法泄露、非法使用等違規(guī)問題?！秱€(gè)人信息保護(hù)法》的出臺(tái)實(shí)施會(huì)為解決這些問題提供有益方案，并且會(huì)提升人們對(duì)個(gè)人信息的重視程度。在此背景下，開展數(shù)據(jù)合規(guī)建設(shè)已經(jīng)成為一種必然選擇。數(shù)據(jù)合規(guī)能夠幫助企業(yè)防范法律風(fēng)險(xiǎn)，實(shí)現(xiàn)健康持續(xù)的發(fā)展，也有助于改進(jìn)監(jiān)管方式，從源頭規(guī)避違規(guī)現(xiàn)象的發(fā)生。企業(yè)應(yīng)提高數(shù)據(jù)合規(guī)意識(shí)，遵守個(gè)人信息處理的基本原則，根據(jù)自身情況構(gòu)建合規(guī)管理體系。數(shù)據(jù)合規(guī)法律治理則重在引導(dǎo)企業(yè)，以網(wǎng)信部門為代表的監(jiān)管主體理應(yīng)貫徹“寬嚴(yán)相濟(jì)”的基本方針，積極探索構(gòu)建數(shù)據(jù)合規(guī)激勵(lì)機(jī)制，協(xié)調(diào)個(gè)人信息保護(hù)與促進(jìn)信息流動(dòng)這兩個(gè)法律價(jià)值，更好地適應(yīng)治理能力現(xiàn)代化的要求。