李玉華 馮泳琦

一、問題的提出

在大數(shù)據(jù)時(shí)代，如通訊錄、人臉、指紋等個(gè)人數(shù)據(jù)面臨著被過度收集和不法利用等風(fēng)險(xiǎn)，在使用智能軟件時(shí)，人們常被要求提供與軟件功能無關(guān)的信息，允許智能軟件獲取通訊錄、地理位置等信息幾乎是前提條件，個(gè)人隱私等合法權(quán)益很可能在不知不覺中受到侵犯。根據(jù)工業(yè)和信息化部的調(diào)查整治行動(dòng)結(jié)果，截至2021年4月7日，共發(fā)現(xiàn)有819款應(yīng)用軟件存在違規(guī)收集、使用個(gè)人信息等侵犯用戶權(quán)益行為。2021年“央視3·15晚會(huì)”提到了多個(gè)企業(yè)存在通過人臉識(shí)別技術(shù)自動(dòng)抓取用戶信息行為，某科技公司推出具有人臉識(shí)別功能的攝像頭，在多個(gè)店鋪門店安裝后，未經(jīng)用戶許可抓取人臉數(shù)據(jù)，對(duì)用戶的性別、年齡甚至心情等進(jìn)行分析。(1)岳品瑜、廖蒙：《央視315晚會(huì)曝光監(jiān)控自動(dòng)抓取人臉數(shù)據(jù)，萬店掌等機(jī)構(gòu)被點(diǎn)名》，https://finance.ifeng.com/c/84djKpDrrjo?ivk_sa=1023197a，2021年3月31日訪問。除此之外，個(gè)人數(shù)據(jù)被泄露的事件層出不窮。例如，2020年8月，我國某快遞公司的員工通過出租員工系統(tǒng)賬號(hào)導(dǎo)出客戶個(gè)人數(shù)據(jù)并賣到全國及東南亞等電信詐騙高發(fā)區(qū)，超過40萬條個(gè)人信息被泄露，涉案金額120余萬元。(2)李大偉：《圓通多位“內(nèi)鬼”有償租借員工賬號(hào)，40萬條公民個(gè)人信息被泄露》，https:/www.bjnews.com.cn/detail/160552366415807.html，2021年2月7日訪問。知名的國際酒店萬豪酒店集團(tuán)因泄露超過3億名賓客的個(gè)人數(shù)據(jù)而被英國數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)處以9900萬英鎊的罰款。(3)See Wang Wei，Marriott Faces MYM123 Million GDPR Fine Over Starwood Data Breach，https://thehackernews.com/2019/07/marriott-data-breach-gdpr.html。面對(duì)日益嚴(yán)峻的個(gè)人數(shù)據(jù)保護(hù)問題，個(gè)人數(shù)據(jù)保護(hù)的呼聲日益高漲，迫切需要企業(yè)開展數(shù)據(jù)合規(guī)建設(shè)，通過企業(yè)的合規(guī)經(jīng)營改善目前存在的數(shù)據(jù)保護(hù)方面的問題。

根據(jù)中國信息通信研究院的最新統(tǒng)計(jì)，2019年，我國的數(shù)字經(jīng)濟(jì)增加值規(guī)模達(dá)到了5.2億美元，增速位于全球第一，高達(dá)15.6%，(4)中國信息通信研究院:《全球數(shù)字經(jīng)濟(jì)新圖景(2020年)》，http://www.caict.ac.cn/kxyj/qwfb/bps/202010/P020201014373499777701.pdf，2021年3月20日訪問。數(shù)字經(jīng)濟(jì)成為推動(dòng)經(jīng)濟(jì)高質(zhì)量發(fā)展的重要驅(qū)動(dòng)力。在經(jīng)濟(jì)貿(mào)易全球化和互聯(lián)網(wǎng)等信息技術(shù)實(shí)現(xiàn)全球互聯(lián)的國際背景下，數(shù)據(jù)跨境流動(dòng)是大勢所趨，支撐著商品、服務(wù)等全球化貿(mào)易活動(dòng)的進(jìn)行，據(jù)調(diào)查預(yù)估，2025年數(shù)據(jù)跨境流動(dòng)對(duì)全球經(jīng)濟(jì)增長的價(jià)值貢獻(xiàn)有望突破11萬美元。數(shù)據(jù)跨境流動(dòng)成為許多企業(yè)開展業(yè)務(wù)必不可少的環(huán)節(jié)，企業(yè)借助便捷迅速的數(shù)據(jù)跨境流動(dòng)降低了國際貿(mào)易成本，構(gòu)建了跨國界的業(yè)務(wù)中心。但是，“棱鏡門”事件凸顯了數(shù)據(jù)流動(dòng)無界性等特點(diǎn)對(duì)數(shù)據(jù)安全、國家安全問題的沖擊，引發(fā)了許多國家的擔(dān)憂與重視。由于數(shù)據(jù)跨境流動(dòng)涉及個(gè)人信息等數(shù)據(jù)保護(hù)問題，企業(yè)在進(jìn)行數(shù)據(jù)跨境流動(dòng)時(shí)會(huì)面臨他國合規(guī)調(diào)查的風(fēng)險(xiǎn)，例如小米公司將數(shù)據(jù)回傳至北京服務(wù)器，遭到了新加坡的合規(guī)調(diào)查。(5)參見王融：《大數(shù)據(jù)時(shí)代，數(shù)據(jù)保護(hù)與流動(dòng)規(guī)則》，人民郵電出版社 2017年版，第278頁。此外，國家跨境執(zhí)法取證也是全球化的體現(xiàn)，而社會(huì)不斷信息化和網(wǎng)絡(luò)化導(dǎo)致許多證據(jù)以數(shù)據(jù)形式存在，數(shù)據(jù)跨境流動(dòng)不僅與企業(yè)的經(jīng)營活動(dòng)息息相關(guān)，也是與國家跨境執(zhí)法取證有關(guān)的重要問題，確?？缇硤?zhí)法取證合規(guī)是國家面臨的新時(shí)代挑戰(zhàn)。

在數(shù)據(jù)驅(qū)動(dòng)型經(jīng)濟(jì)背景下，為了數(shù)據(jù)保護(hù)與安全而過度限制甚至禁止數(shù)據(jù)的利用或流動(dòng)是不可行的，實(shí)踐中存在的上述有關(guān)個(gè)人數(shù)據(jù)保護(hù)與數(shù)據(jù)跨境流動(dòng)等問題迫切需要解決，推動(dòng)企業(yè)開展數(shù)據(jù)合規(guī)建設(shè)具有現(xiàn)實(shí)的緊迫性與必要性。企業(yè)規(guī)范數(shù)據(jù)的收集、使用和流動(dòng)等行為，形成數(shù)據(jù)合規(guī)文化和經(jīng)營理念，有助于實(shí)現(xiàn)數(shù)據(jù)保護(hù)與利用之間的平衡。目前雖然已經(jīng)開展了有關(guān)數(shù)據(jù)合規(guī)的業(yè)務(wù)實(shí)踐，但是還缺乏數(shù)據(jù)合規(guī)理論上的系統(tǒng)研究。本文提出了推進(jìn)數(shù)據(jù)合規(guī)的理論依據(jù)，重點(diǎn)研究了數(shù)據(jù)合規(guī)中個(gè)人數(shù)據(jù)保護(hù)合規(guī)和數(shù)據(jù)跨境流動(dòng)合規(guī)這兩個(gè)重要方面，并探討了數(shù)據(jù)合規(guī)的行政和刑事激勵(lì)機(jī)制。

二、數(shù)據(jù)合規(guī)的理論依據(jù)

企業(yè)開展數(shù)據(jù)合規(guī)建設(shè)不僅具有迫切的需求，還有相應(yīng)的理論依據(jù)。企業(yè)的社會(huì)屬性要求其承擔(dān)一定的社會(huì)責(zé)任，而企業(yè)社會(huì)責(zé)任理論不斷發(fā)展，企業(yè)的社會(huì)責(zé)任內(nèi)涵也不斷更新，當(dāng)今數(shù)據(jù)合規(guī)成為企業(yè)社會(huì)責(zé)任的新內(nèi)容。同時(shí)，治理方式多元化是多元社會(huì)治理的要求。監(jiān)管機(jī)構(gòu)創(chuàng)新監(jiān)管模式，構(gòu)建合規(guī)激勵(lì)機(jī)制是豐富治理方式、提升治理能力的有效途徑。

(一)企業(yè)社會(huì)責(zé)任理論

1.企業(yè)社會(huì)責(zé)任理論的源起。企業(yè)社會(huì)責(zé)任理論的概念與內(nèi)涵是復(fù)雜多變的，至今未形成統(tǒng)一的定義。根據(jù)傳統(tǒng)的經(jīng)濟(jì)學(xué)理論與公司法的理念，由于企業(yè)具有營利的特征，企業(yè)的社會(huì)責(zé)任只要求企業(yè)高效利用資源并生產(chǎn)產(chǎn)品和提供服務(wù)，為股東追求最大化利益。(6)參見朱慈蘊(yùn)：《公司的社會(huì)責(zé)任：游走于法律責(zé)任與道德準(zhǔn)則之間》，載《中外法學(xué)》2008年第1期。直至經(jīng)過二次世界大戰(zhàn)后，工業(yè)革命使企業(yè)經(jīng)濟(jì)不斷發(fā)展，但其引發(fā)了水質(zhì)污染等環(huán)境問題，社會(huì)矛盾日益嚴(yán)重，傳統(tǒng)企業(yè)社會(huì)責(zé)任理論的內(nèi)涵與社會(huì)現(xiàn)狀不相適應(yīng)，人們開始思考企業(yè)為股東爭取利益的同時(shí)是否應(yīng)當(dāng)承擔(dān)部分社會(huì)責(zé)任，企業(yè)社會(huì)責(zé)任理論的新理念順勢而生。(7)參見楊玲麗：《企業(yè)社會(huì)責(zé)任理論述評(píng)》，載《蘭州學(xué)刊》2007年第2期。企業(yè)在開展經(jīng)營活動(dòng)追求利潤的過程可能會(huì)對(duì)外界產(chǎn)生不良影響，新的企業(yè)社會(huì)責(zé)任要求企業(yè)在追求利潤實(shí)現(xiàn)發(fā)展的同時(shí)要兼顧社會(huì)效益。企業(yè)承擔(dān)如環(huán)境保護(hù)、消費(fèi)者保護(hù)等部分社會(huì)責(zé)任能有效緩解社會(huì)矛盾和市場失靈的問題。

2.企業(yè)的社會(huì)屬性與責(zé)任。以系統(tǒng)分析和跨學(xué)科的研究方法來分析，企業(yè)本身是一種復(fù)合性的社會(huì)經(jīng)濟(jì)組織，兼具經(jīng)濟(jì)屬性和社會(huì)屬性。(8)參見果洪遲：《論企業(yè)的社會(huì)屬性與社會(huì)價(jià)值》，載《北京商學(xué)院學(xué)報(bào)》1991年第1期。同時(shí)，企業(yè)行為具有外部化作用，即會(huì)對(duì)市場環(huán)境和社會(huì)環(huán)境產(chǎn)生影響。隨著市場經(jīng)濟(jì)的發(fā)展，企業(yè)對(duì)社會(huì)的影響力不斷增強(qiáng)，其社會(huì)屬性也日益彰顯。合法合規(guī)的經(jīng)營會(huì)給社會(huì)帶來良好的效益，但是企業(yè)的違法犯罪行為同樣會(huì)給社會(huì)環(huán)境與市場秩序帶來嚴(yán)重影響，引發(fā)或者激化社會(huì)矛盾。企業(yè)對(duì)社會(huì)的影響力越大，企業(yè)內(nèi)部逐利行為的外部化作用越明顯，則企業(yè)的社會(huì)屬性越強(qiáng)，企業(yè)應(yīng)承擔(dān)相應(yīng)的社會(huì)責(zé)任越大。

黨的十八大以來，社會(huì)治理成為熱點(diǎn)話題，社會(huì)多元主體在社會(huì)治理中協(xié)同發(fā)揮作用。黨的十九屆四中全會(huì)指出要“完善黨委領(lǐng)導(dǎo)、政府負(fù)責(zé)、民主協(xié)商、社會(huì)協(xié)同、公眾參與、法治保障、科技支撐的社會(huì)治理體系，建設(shè)人人有責(zé)、人人盡責(zé)、人人享有的社會(huì)治理共同體”。企業(yè)所具有的社會(huì)屬性決定了其必然屬于“社會(huì)治理共同體”中的一員，企業(yè)內(nèi)部管理與經(jīng)營效果在一定程度上會(huì)對(duì)社會(huì)治理的效果產(chǎn)生影響。企業(yè)在追求經(jīng)濟(jì)效益的過程中消耗了社會(huì)資源，作為參與社會(huì)治理的一員，企業(yè)應(yīng)改變經(jīng)營理念，承擔(dān)一部分的改善社會(huì)環(huán)境、緩解社會(huì)矛盾的責(zé)任，積極發(fā)揮企業(yè)的經(jīng)濟(jì)功能與社會(huì)功能。

3.數(shù)據(jù)合規(guī)成為企業(yè)社會(huì)責(zé)任的新內(nèi)涵。當(dāng)前數(shù)據(jù)貿(mào)易活動(dòng)日益繁榮，數(shù)據(jù)為企業(yè)發(fā)展帶來新的機(jī)遇，但是企業(yè)利用數(shù)據(jù)的逐利行為引發(fā)了一些數(shù)據(jù)保護(hù)與安全問題。一方面，個(gè)人數(shù)據(jù)的商業(yè)價(jià)值不斷激增，企業(yè)追求最大化的利潤，卻忽視個(gè)人數(shù)據(jù)的保護(hù)與安全存儲(chǔ)問題，誘發(fā)了不少以不法手段收集個(gè)人數(shù)據(jù)的事件，個(gè)人數(shù)據(jù)被泄露與濫用的現(xiàn)象日益嚴(yán)峻。同時(shí)，個(gè)人在互聯(lián)網(wǎng)留下的信息痕跡在不同程度上反映了個(gè)人的偏好與思想，具有一定的人格屬性。企業(yè)為了實(shí)現(xiàn)精準(zhǔn)營銷，整合大量個(gè)人數(shù)據(jù)刻畫用戶畫像，有可能會(huì)侵犯個(gè)人的隱私等人格權(quán)益。另一方面，在數(shù)字驅(qū)動(dòng)型經(jīng)濟(jì)時(shí)代，全球化的經(jīng)濟(jì)貿(mào)易活動(dòng)促使數(shù)據(jù)全球化流動(dòng)更加趨向常態(tài)化。企業(yè)利用便捷的信息技術(shù)跨境傳輸數(shù)據(jù)創(chuàng)造利潤，但也為數(shù)據(jù)保護(hù)和國家安全問題帶來新的難題與挑戰(zhàn)。

目前個(gè)人數(shù)據(jù)保護(hù)與數(shù)據(jù)跨境流動(dòng)的規(guī)范問題是許多國家重點(diǎn)關(guān)注的問題，大數(shù)據(jù)企業(yè)不能僅關(guān)注自身利益，無視在利用數(shù)據(jù)追求利潤的過程中對(duì)外部產(chǎn)生的損害，否則將有損營商環(huán)境，不利于企業(yè)提升市場競爭力與實(shí)現(xiàn)持續(xù)發(fā)展的目標(biāo)。還會(huì)激化數(shù)據(jù)保護(hù)與安全的社會(huì)問題。實(shí)現(xiàn)數(shù)據(jù)保護(hù)與數(shù)據(jù)安全需要企業(yè)的力量，企業(yè)在獲取數(shù)據(jù)紅利的同時(shí)應(yīng)當(dāng)將數(shù)據(jù)合規(guī)作為承擔(dān)社會(huì)責(zé)任的重要內(nèi)容，提升數(shù)據(jù)合規(guī)意識(shí)，切實(shí)將數(shù)據(jù)合規(guī)貫穿于業(yè)務(wù)活動(dòng)的各個(gè)環(huán)節(jié)。將企業(yè)數(shù)據(jù)合規(guī)作為企業(yè)社會(huì)責(zé)任的新內(nèi)涵，是當(dāng)今新形勢下的應(yīng)有之義，可以同步實(shí)現(xiàn)企業(yè)良好發(fā)展與有關(guān)數(shù)據(jù)保護(hù)方面的社會(huì)問題。

(二)多元社會(huì)治理理論

新時(shí)代推進(jìn)國家治理體系和治理能力現(xiàn)代化是我國全面深化改革的總目標(biāo)。黨的十九大報(bào)告中提到了我國目前仍然存在社會(huì)治理水平欠缺的問題，創(chuàng)新社會(huì)治理方式是多元社會(huì)治理的重要內(nèi)容，也是提高社會(huì)治理能力的有效途徑。實(shí)現(xiàn)治理能力現(xiàn)代化和社會(huì)治理方式多元化，要求政府不斷豐富執(zhí)法與監(jiān)管的模式，多元化的監(jiān)管方式才能更有效地緩解社會(huì)矛盾，促進(jìn)治理能力現(xiàn)代化。“十四五”時(shí)期是數(shù)字經(jīng)濟(jì)發(fā)展的重要時(shí)期，數(shù)據(jù)治理和保護(hù)成為社會(huì)治理的重要任務(wù)。治理能力現(xiàn)代化的其中一層含義在于要求政府具有一種政策引導(dǎo)和社會(huì)協(xié)同的能力，能夠全面激發(fā)不同社會(huì)主體協(xié)同參與社會(huì)治理的積極性和創(chuàng)造性，并與市場之間形成良好的互動(dòng)關(guān)系，為國家良性發(fā)展提供保障。(9)陶希東：《治理能力現(xiàn)代化的五大衡量標(biāo)準(zhǔn)》，http://theory.rmlt.com.cn/2014/1208/355366.shtml，2021年3月22日訪問。企業(yè)開展數(shù)據(jù)合規(guī)是其承擔(dān)社會(huì)責(zé)任、參與社會(huì)治理的重要表現(xiàn)，推進(jìn)企業(yè)數(shù)據(jù)合規(guī)不僅需要企業(yè)的落實(shí)，也需要監(jiān)管主體的切實(shí)參與和積極引導(dǎo)。

監(jiān)管主體重視推進(jìn)企業(yè)數(shù)據(jù)合規(guī)，創(chuàng)新監(jiān)管方式，探索數(shù)據(jù)合規(guī)激勵(lì)機(jī)制，有助于實(shí)現(xiàn)公司治理與社會(huì)治理的同步現(xiàn)代化。具言之，數(shù)據(jù)合規(guī)激勵(lì)機(jī)制要求企業(yè)落實(shí)合規(guī)計(jì)劃、積極配合監(jiān)管主體的工作從而獲得從寬處理的結(jié)果。一方面，激勵(lì)機(jī)制能推動(dòng)企業(yè)主動(dòng)合法合規(guī)地開展經(jīng)營活動(dòng)，幫助企業(yè)實(shí)現(xiàn)良性的持續(xù)發(fā)展。另一方面，還能降低企業(yè)違法犯罪的可能性并達(dá)到事前預(yù)防的效果，同時(shí)，企業(yè)對(duì)執(zhí)法工作的積極配合節(jié)約了執(zhí)法資源，對(duì)社會(huì)治理現(xiàn)代化有積極推動(dòng)作用。當(dāng)前我國社會(huì)治理主體呈現(xiàn)出多元化的特點(diǎn)，使社會(huì)治理形成了一個(gè)網(wǎng)絡(luò)，各類主體在參與社會(huì)治理過程會(huì)產(chǎn)生聯(lián)結(jié)、互動(dòng)、互助、協(xié)商的關(guān)系，從而實(shí)現(xiàn)共贏的結(jié)果。(10)參見賀新宇：《政府體制創(chuàng)新與公共管理職能重塑》，載《中國行政管理》2003年第6期。治理能力現(xiàn)代化要求政府創(chuàng)新治理方式，而數(shù)據(jù)合規(guī)激勵(lì)機(jī)制正是監(jiān)管主體與企業(yè)參與社會(huì)治理的新型互動(dòng)方式，是符合社會(huì)治理需要的新型監(jiān)管模式。監(jiān)管主體應(yīng)積極探索數(shù)據(jù)合規(guī)激勵(lì)機(jī)制，回應(yīng)治理能力現(xiàn)代化與多元社會(huì)治理的要求。

三、數(shù)據(jù)合規(guī)的兩個(gè)維度

借助先進(jìn)的現(xiàn)代化信息技術(shù)，數(shù)據(jù)的獲取與傳輸變得更加便捷，同時(shí)，數(shù)據(jù)的繁雜與網(wǎng)絡(luò)環(huán)境的復(fù)雜使數(shù)據(jù)的保護(hù)與安全問題將面臨更大的挑戰(zhàn)。當(dāng)前世界數(shù)據(jù)保護(hù)相關(guān)立法與執(zhí)法日趨嚴(yán)格，推進(jìn)數(shù)據(jù)合規(guī)不僅可以讓企業(yè)充分防控合規(guī)風(fēng)險(xiǎn)，實(shí)現(xiàn)商業(yè)的可持續(xù)發(fā)展，還可以營造行業(yè)的數(shù)據(jù)合規(guī)文化并形成行業(yè)自律。數(shù)據(jù)合規(guī)涉及許多方面的內(nèi)容，其中個(gè)人數(shù)據(jù)保護(hù)合規(guī)與數(shù)據(jù)跨境流動(dòng)合規(guī)是目前最迫切需要解決的問題。

(一)個(gè)人數(shù)據(jù)保護(hù)合規(guī)

根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第47次《中國互聯(lián)網(wǎng)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，截至2020年12月，我國網(wǎng)民數(shù)量規(guī)模達(dá)到9.89億，互聯(lián)網(wǎng)普及率達(dá)到70.4%。(11)參見《中國互聯(lián)網(wǎng)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，載http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/202102/P020210203334633480104.pdf，2021年2月18日訪問。網(wǎng)絡(luò)用戶是數(shù)據(jù)來源的基礎(chǔ)，而過度收集和利用個(gè)人數(shù)據(jù)侵犯個(gè)人隱私等權(quán)益的事件頻發(fā)甚至無法控制，網(wǎng)民規(guī)模之普遍突出了推進(jìn)個(gè)人數(shù)據(jù)保護(hù)合規(guī)的必要性。實(shí)現(xiàn)數(shù)據(jù)利用與個(gè)人數(shù)據(jù)保護(hù)之間的平衡，有賴于推動(dòng)企業(yè)開展個(gè)人數(shù)據(jù)保護(hù)合規(guī)，確保個(gè)人數(shù)據(jù)收集、利用的合法性與正當(dāng)性。

1.個(gè)人數(shù)據(jù)保護(hù)合規(guī)的法律依據(jù)。開展數(shù)據(jù)合規(guī)工作的前提是明確個(gè)人數(shù)據(jù)保護(hù)合規(guī)所應(yīng)當(dāng)遵守的法律規(guī)范。我國立法機(jī)關(guān)和一些行政部門對(duì)個(gè)人數(shù)據(jù)的保護(hù)制定了相關(guān)法律文件?，F(xiàn)行有效的主要有《刑法》及相關(guān)司法解釋和《民法典》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《消費(fèi)者保權(quán)益護(hù)法》《征信業(yè)管理?xiàng)l例》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息的決定》《網(wǎng)絡(luò)安全審查辦法》等；還有其他規(guī)范性文件和國家標(biāo)準(zhǔn)，例如《App違法違規(guī)收集使用個(gè)人信息自評(píng)估指南》《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《大數(shù)據(jù)安全管理指南》等。針對(duì)性較強(qiáng)的《個(gè)人信息保護(hù)法》與《數(shù)據(jù)安全法》也被列入2020年立法規(guī)劃，并發(fā)布了草案?？傮w而言，個(gè)人數(shù)據(jù)保護(hù)的法律制度內(nèi)容比較完備，確定了個(gè)人數(shù)據(jù)保護(hù)的基本原則、數(shù)據(jù)收集和處理的要求等內(nèi)容；相關(guān)的國家標(biāo)準(zhǔn)也為數(shù)據(jù)合規(guī)提供了具體的指引。

歐盟作為個(gè)人數(shù)據(jù)保護(hù)的代表組織之一，較早開始關(guān)注個(gè)人數(shù)據(jù)保護(hù)，并于1995年制定了《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類數(shù)據(jù)自由流動(dòng)的指令》，后續(xù)對(duì)該指令進(jìn)行了一定修改也制定了其他相關(guān)的法律，其中2018年5月生效的《通用數(shù)據(jù)保護(hù)條例》(12)歐盟GDPR賦予了數(shù)據(jù)主體同意權(quán)、刪除權(quán)、更改權(quán)等廣泛的數(shù)據(jù)權(quán)利，新增了被遺忘權(quán)、可攜帶權(quán)，同時(shí)強(qiáng)調(diào)不得因保護(hù)數(shù)據(jù)而禁止數(shù)據(jù)的自由流通。(以下簡稱“歐盟GDPR”)影響力最大，體現(xiàn)了歐盟對(duì)個(gè)人數(shù)據(jù)保護(hù)日趨嚴(yán)格的要求。除此之外，有關(guān)歐盟最新的立法動(dòng)態(tài)，歐盟委員會(huì)于2020年11月15日發(fā)布了《數(shù)據(jù)治理法案》，(13)See Commission proposes measures to boost data sharing and support European data spaces，https://ec.europa.eu/commission/presscorner/detail/en/ip_20_2102.《數(shù)據(jù)治理法案》向社會(huì)開放公共部門的數(shù)據(jù)訪問權(quán)限，并創(chuàng)立數(shù)據(jù)中介機(jī)構(gòu)，允許其開展非營利性質(zhì)的數(shù)據(jù)交換。于2020年12月15日發(fā)布了《數(shù)字服務(wù)條例》和《數(shù)字市場法》的提案，(14)See The Digital Services Act package，https://ec.europa.eu/digital-single-market/en/node/94375。這兩個(gè)提案強(qiáng)化了對(duì)在線平臺(tái)數(shù)字服務(wù)的規(guī)制，完善了消費(fèi)者在網(wǎng)絡(luò)平臺(tái)的權(quán)利保護(hù)機(jī)制。完善了個(gè)人數(shù)據(jù)保護(hù)的法律體系。不同于歐盟的統(tǒng)一立法，美國聯(lián)邦層面關(guān)于數(shù)據(jù)保護(hù)的法律比較零散，散落在各個(gè)領(lǐng)域的專門立法中。根據(jù)美國國會(huì)研究局2019年頒布的《數(shù)據(jù)保護(hù)法：概述》的統(tǒng)計(jì)，共有12部聯(lián)邦個(gè)人信息保護(hù)法，例如《電子通信隱私法》(ECPA)、《金融消費(fèi)者保護(hù)法》(CFPA)。(15)此外，還包括：《格雷姆—里奇—比利雷法》(GLBA，即《金融現(xiàn)代法》)、《健康保險(xiǎn)流通和責(zé)任法》(HIPAA)、《公平信用報(bào)告法》(FCRA)、《通信法》(CA)、《視頻隱私保護(hù)法》 (VPPA)、《家庭教育權(quán)和隱私權(quán)法》(FERPA)、《聯(lián)邦證券法》(FSL)、《兒童在線隱私保護(hù)法》(COPPA)、《計(jì)算機(jī)欺詐和濫用法》(CFAA)、《聯(lián)邦貿(mào)易委員會(huì)法》(FTC Act)等法案。在各州立法中，加利福尼亞州出臺(tái)了較為系統(tǒng)的《加州消費(fèi)者隱私法》(CCPA)，(16)《加州消費(fèi)者隱私法》的適用范圍十分廣泛，適用于任何收集加州消費(fèi)者個(gè)人信息的企業(yè)；賦予消費(fèi)者知情權(quán)、刪除權(quán)、選擇權(quán)、公平交易權(quán)等權(quán)利，并規(guī)定了明確的救濟(jì)措施。并于2020年11月3日通過了《加州隱私權(quán)利法案》(CPRA)，該法的大部分條款將于2023年1月1日生效。(17)See LARA O'REILLY，Prop 24 — the California Privacy Rights and Enforcement Act — passed by voters. Here’s what publishers need know，https://digiday.com/media/prop-24-the-california-privacy-rights-and-enforcement-act-passed-by-voters-heres-what-publishers-need-know/.該法案引入了加州隱私保護(hù)機(jī)構(gòu)作為新的執(zhí)法機(jī)構(gòu)；同時(shí)新增了“敏感個(gè)人信息”的概念，規(guī)定了身份證號(hào)碼、宗教信仰、健康信息等為敏感個(gè)人信息。除了歐盟和美國這兩個(gè)代表之外，許多國家也出臺(tái)了個(gè)人數(shù)據(jù)保護(hù)法規(guī)，個(gè)人數(shù)據(jù)保護(hù)成為國際上重要的法律價(jià)值理念，企業(yè)開展數(shù)據(jù)合規(guī)工作應(yīng)當(dāng)及時(shí)了解國內(nèi)外的立法變化，做足充分準(zhǔn)備應(yīng)對(duì)合規(guī)風(fēng)險(xiǎn)。

2.個(gè)人數(shù)據(jù)收集的合規(guī)。數(shù)據(jù)分析與開發(fā)等處理應(yīng)用行為始于數(shù)據(jù)收集，個(gè)人數(shù)據(jù)的來源合法與否關(guān)系到后續(xù)的數(shù)據(jù)流動(dòng)與利用等環(huán)節(jié)的合法性認(rèn)定。由于個(gè)人數(shù)據(jù)被挖掘出的商業(yè)價(jià)值巨大，個(gè)人數(shù)據(jù)的非法交易、app違法違規(guī)收集個(gè)人數(shù)據(jù)等問題亂象叢生，數(shù)據(jù)收集是數(shù)據(jù)監(jiān)管部門重點(diǎn)關(guān)注的問題之一。例如，墨跡科技公司首次公開募股被否決的其中一個(gè)原因就在于該公司無法證明其獲取用戶數(shù)據(jù)的手段及方式是合法合規(guī)的。(18)參見中國證券監(jiān)督管理委員會(huì)《第十八屆發(fā)審委2019年第142次會(huì)議審核結(jié)果公告》。確保數(shù)據(jù)收集行為合法合規(guī)是實(shí)現(xiàn)數(shù)據(jù)收集最終目的的前提，收集數(shù)據(jù)應(yīng)該要滿足合法使用數(shù)據(jù)收集技術(shù)、告知用戶且獲得同意、收集比例正當(dāng)?shù)纫蟆?/p>

首先，企業(yè)收集數(shù)據(jù)應(yīng)當(dāng)合法合規(guī)?！秱€(gè)人信息安全規(guī)范(GB/T 35273—2020)》第3.5條將收集數(shù)據(jù)的方式分為直接收集與間接收集。從技術(shù)分類來看，主要包括系統(tǒng)日志、網(wǎng)絡(luò)爬蟲、API以及系統(tǒng)特定端口等技術(shù)。(19)參見王亞芬：《數(shù)據(jù)收集的合規(guī)路徑研究》，載微信公眾號(hào)“鯨云維度”，2020年6月2日。網(wǎng)絡(luò)爬蟲技術(shù)能幫助數(shù)據(jù)收集者快速高效地獲取數(shù)據(jù)，能自動(dòng)地對(duì)網(wǎng)頁數(shù)據(jù)進(jìn)行抓取、解析和儲(chǔ)存等，是最為常用的收集技術(shù)。(20)參見劉新宇：《數(shù)據(jù)保護(hù)：合規(guī)指引與規(guī)則解析》，中國法制出版社2020年版，第394頁。違法違規(guī)使用技術(shù)，惡意利用爬蟲程序繞過正當(dāng)途徑獲取個(gè)人數(shù)據(jù)給網(wǎng)站和網(wǎng)絡(luò)用戶造成危害，會(huì)受到法律的規(guī)制，企業(yè)應(yīng)當(dāng)遵守目標(biāo)網(wǎng)站設(shè)置的爬蟲協(xié)議，依法依規(guī)地使用數(shù)據(jù)收集技術(shù)。同時(shí)，通過受讓等間接方式獲取數(shù)據(jù)的，也應(yīng)當(dāng)事前做好盡職調(diào)查，確保數(shù)據(jù)來源的合法性。

其次，企業(yè)應(yīng)當(dāng)公開收集個(gè)人數(shù)據(jù)，落實(shí)告知同意原則，不能從黑市等非法渠道獲取來源不明的個(gè)人數(shù)據(jù)。我國相關(guān)法律、歐盟GDPR等法律均規(guī)定了要在個(gè)人知悉且同意的情況下收集數(shù)據(jù)，而美國則采取消極的同意原則，僅對(duì)敏感數(shù)據(jù)的收集要求個(gè)人的同意。(21)參見相麗玲、王景輝：《網(wǎng)絡(luò)經(jīng)營者收集與傳輸個(gè)人數(shù)據(jù)的中外法律規(guī)范比較》，載《圖書情報(bào)工作》2016年第4期。各行業(yè)部門規(guī)定了相應(yīng)敏感信息范圍，如健康信息、兒童信息等?！睹穹ǖ洹芬?guī)定了收集和處理個(gè)人信息之前應(yīng)當(dāng)公開處理信息的規(guī)則、目的、方式和范圍，《個(gè)人信息安全規(guī)范(GB/T 35273—2020)》第3.6、3.7條與歐盟GDPR第4條明確了對(duì)“同意”的認(rèn)定方法，核心在于確認(rèn)個(gè)人數(shù)據(jù)主體作出同意行為的自主性。數(shù)據(jù)收集者與網(wǎng)絡(luò)用戶之間存在明顯的信息不對(duì)稱，同意告知原則是為了保護(hù)網(wǎng)絡(luò)用戶的知情權(quán)，而對(duì)數(shù)據(jù)收集與處理的相關(guān)信息一一告知網(wǎng)絡(luò)用戶不具有可行性，而且網(wǎng)絡(luò)用戶對(duì)告知信息的了解程度無法保證。把握告知數(shù)據(jù)處理相關(guān)信息的充分性與確保網(wǎng)絡(luò)用戶“同意”的有效性，是企業(yè)落實(shí)同意告知原則的重點(diǎn)與難點(diǎn)。由于同意告知原則存在上述問題，也有學(xué)者認(rèn)為允許網(wǎng)絡(luò)用戶撤回同意能為其提供有效救濟(jì)。(22)參見萬方：《個(gè)人信息處理中的“同意”與“同意撤回”》，載《中國法學(xué)》2021年第1期?！禔pp 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》對(duì)不合規(guī)的隱私政策和“未經(jīng)用戶同意收集使用個(gè)人信息”的情形進(jìn)行列舉，企業(yè)可以參照規(guī)定完善優(yōu)化隱私政策(告知同意書)的內(nèi)容，落實(shí)同意告知原則。例如，羅列的內(nèi)容應(yīng)清晰明確并與實(shí)際的處理方式相符，對(duì)重點(diǎn)內(nèi)容使用加粗字體或標(biāo)紅來提醒用戶。除此之外，可以設(shè)置用戶停留在隱私政策的頁面一定時(shí)間后才能點(diǎn)擊“同意”按鈕，通過多種方式落實(shí)告知與獲得同意的要求。

最后，收集數(shù)據(jù)范圍應(yīng)當(dāng)具有必要性和適當(dāng)性。在大數(shù)據(jù)時(shí)代，數(shù)據(jù)不僅是經(jīng)濟(jì)發(fā)展的重要推動(dòng)力，也創(chuàng)新了社會(huì)治理的方式和企業(yè)經(jīng)營模式。如果為了保護(hù)個(gè)人數(shù)據(jù)而完全禁止對(duì)個(gè)人數(shù)據(jù)的收集，不僅不利于發(fā)揮數(shù)據(jù)的價(jià)值，還會(huì)導(dǎo)致數(shù)據(jù)市場的失衡，有礙于社會(huì)的進(jìn)步與發(fā)展。(23)參見王衛(wèi)、張夢君、王晶：《數(shù)據(jù)交易與數(shù)據(jù)保護(hù)的均衡問題研究》，載《圖書館》2020年第2期。對(duì)數(shù)據(jù)收集的范圍進(jìn)行目的限制并要求數(shù)據(jù)最小化，能在發(fā)揮數(shù)據(jù)價(jià)值的同時(shí)保護(hù)個(gè)人數(shù)據(jù)。我國《民法典》第1035條規(guī)定了收集、處理個(gè)人信息應(yīng)當(dāng)遵循的合法、正當(dāng)、必要原則，不得過度收集和處理。歐盟確立的數(shù)據(jù)最小化原則也是要求企業(yè)收集的數(shù)據(jù)應(yīng)是與處理目的充分相關(guān)且必要的內(nèi)容。具體而言，要求企業(yè)以開展業(yè)務(wù)、提供服務(wù)的必要需求作為收集數(shù)據(jù)的目的，在收集之前確定收集的范圍且應(yīng)限定在業(yè)務(wù)必需的范圍之內(nèi)，實(shí)際所收集的數(shù)據(jù)不能超過必要范圍。當(dāng)需要變更收集目的時(shí)，應(yīng)重新告知用戶并重新取得同意后才能進(jìn)行收集。我國國家互聯(lián)網(wǎng)信息辦公室等四部門于2021年聯(lián)合制定了《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》，其中明確規(guī)定了不同類型app對(duì)應(yīng)的必要個(gè)人信息范圍，為企業(yè)確定收集范圍與遵守必要原則提供了具有可操作性的指導(dǎo)依據(jù)。

3.個(gè)人數(shù)據(jù)利用的合規(guī)。對(duì)個(gè)人數(shù)據(jù)的分析利用是發(fā)揮個(gè)人數(shù)據(jù)價(jià)值的核心，其中最主要的方式是通過刻畫用戶畫像來預(yù)測用戶的喜好與行為，對(duì)特定用戶提供個(gè)性化的廣告信息與資訊，實(shí)現(xiàn)精準(zhǔn)營銷。用戶畫像指的是對(duì)網(wǎng)絡(luò)用戶方方面面的數(shù)據(jù)進(jìn)行分析處理，總結(jié)出該用戶的特征形成其個(gè)人的特征模型?！秱€(gè)人信息安全規(guī)范(GB/T 35273—2020)》第7.4條對(duì)用戶畫像的使用作出了限制性規(guī)定。一是要求用戶畫像對(duì)用戶的特征描述不得包含污穢、恐怖、暴力以及含有對(duì)民族、宗教、疾病的歧視的內(nèi)容；二是使用用戶畫像不得侵害其他權(quán)利主體的合法權(quán)益、不得危害國家安全和擾亂社會(huì)秩序等；三是除為實(shí)現(xiàn)用戶同意的使用目的所必需的情況之外，避免用戶畫像可以精確定位到特定個(gè)人。歐盟GDPR對(duì)刻畫用戶畫像的規(guī)定更加具體，要求刻畫用戶畫像是提供對(duì)應(yīng)功能所必要的，且要求企業(yè)告知用戶享有反對(duì)權(quán)。我國《網(wǎng)絡(luò)安全法》及相關(guān)法律中未明確規(guī)范刻畫用戶畫像的行為，而《個(gè)人信息安全規(guī)范(GB/T 35273-2020)》的內(nèi)容具有概括性且沒有強(qiáng)制力。對(duì)于刻畫用戶畫像涉及大量個(gè)人數(shù)據(jù)，我國應(yīng)當(dāng)完善相關(guān)立法，企業(yè)也應(yīng)當(dāng)要注意把握合理必要的限度，避免侵犯用戶的隱私等合法權(quán)益。

在利用個(gè)人數(shù)據(jù)的過程中，企業(yè)要保障用戶的相關(guān)數(shù)據(jù)權(quán)益。除了知情權(quán)以外，歐盟GDPR還確立了數(shù)據(jù)可攜帶權(quán)和被遺忘權(quán)。數(shù)據(jù)可攜帶權(quán)指的是數(shù)據(jù)主體應(yīng)有權(quán)接收其以結(jié)構(gòu)化、通用和機(jī)器可讀格式提供給數(shù)據(jù)控制者的個(gè)人數(shù)據(jù)，并有權(quán)將這些數(shù)據(jù)不受阻礙地傳輸給其他數(shù)據(jù)控制者。對(duì)于個(gè)人用戶而言，數(shù)據(jù)可攜帶權(quán)極大程度上增強(qiáng)了其對(duì)個(gè)人數(shù)據(jù)的控制能力，實(shí)現(xiàn)了將個(gè)人數(shù)據(jù)在不同設(shè)備的自由轉(zhuǎn)移。但是對(duì)于企業(yè)而言，這一權(quán)利的確立給企業(yè)帶來了很大的技術(shù)難題，也增加企業(yè)數(shù)據(jù)合規(guī)的壓力。我國現(xiàn)行有效的規(guī)定、《個(gè)人信息保護(hù)法(草案)》和其他相關(guān)的草案尚未引入個(gè)人的數(shù)據(jù)可攜帶權(quán)，但是歐盟通過GDPR確立數(shù)據(jù)可攜帶權(quán)有助于其他國家的借鑒與引入，跨國企業(yè)應(yīng)注意業(yè)務(wù)所在國是否有相關(guān)的規(guī)定，以備落實(shí)數(shù)據(jù)合規(guī)工作。

另外，被遺忘權(quán)是指數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者刪除其個(gè)人數(shù)據(jù)，以及數(shù)據(jù)控制者在規(guī)定的情形下有義務(wù)主動(dòng)刪除個(gè)人數(shù)據(jù)。我國《網(wǎng)絡(luò)安全法》第43條規(guī)定了個(gè)人信息的刪除權(quán)和更正權(quán)，但是被遺忘權(quán)與刪除權(quán)并不是完全相同的。歐盟GDPR規(guī)定的被遺忘權(quán)還要求數(shù)據(jù)控制者對(duì)其傳播后的數(shù)據(jù)負(fù)責(zé)，即數(shù)據(jù)控制者有義務(wù)通知第三方停止利用并刪除數(shù)據(jù)。被遺忘權(quán)的確立也引發(fā)了很大的爭論。被遺忘權(quán)的確立一方面加大了對(duì)個(gè)人數(shù)據(jù)保護(hù)的力度，另一個(gè)方面與公眾的知情權(quán)和言論自由等價(jià)值理論產(chǎn)生了沖突。雖然我國沒有明確規(guī)定被遺忘權(quán)，但是存在如上述刪除權(quán)等相關(guān)的法律基礎(chǔ)，可以根據(jù)我國的實(shí)際情況作出本土化規(guī)定。保護(hù)個(gè)人數(shù)據(jù)的新興權(quán)利體現(xiàn)了對(duì)個(gè)人數(shù)據(jù)保護(hù)的重視，企業(yè)在數(shù)據(jù)利用過程中應(yīng)注意新要求，結(jié)合具體規(guī)定作出積極應(yīng)對(duì)。

(二)數(shù)據(jù)跨境流動(dòng)合規(guī)

頻繁的數(shù)據(jù)跨境流動(dòng)是數(shù)字經(jīng)濟(jì)時(shí)代的顯著特征，推動(dòng)了國際數(shù)字貿(mào)易的迅速發(fā)展。但是，如果缺少相關(guān)的法律規(guī)制和企業(yè)的數(shù)據(jù)合規(guī)建設(shè)，數(shù)據(jù)跨境流動(dòng)可能會(huì)侵犯個(gè)人隱私、泄露商業(yè)秘密，甚至?xí)孤秶颐孛芎屯{國家安全。(24)許多奇：《論跨境數(shù)據(jù)流動(dòng)規(guī)制企業(yè)雙向合規(guī)的法治保障》，載《東方法學(xué)》2020年第2期。如何在數(shù)字貿(mào)易中尋求最大化利益并保障數(shù)據(jù)安全與國家安全，成為各國博弈的前沿焦點(diǎn)。

1.歐美對(duì)數(shù)據(jù)跨境流動(dòng)的規(guī)制路徑。目前對(duì)于數(shù)據(jù)跨境流動(dòng)的規(guī)制未在國際上形成統(tǒng)一的規(guī)則。歐盟基于傳統(tǒng)人權(quán)保護(hù)的觀念，對(duì)數(shù)據(jù)跨境流動(dòng)采取了較為嚴(yán)苛的限制政策，主要是通過歐盟《一般數(shù)據(jù)保護(hù)規(guī)則》(以下簡稱“歐盟GDPR”)和《非個(gè)人數(shù)據(jù)在歐盟境內(nèi)自由流動(dòng)框架條例》進(jìn)行規(guī)制。根據(jù)歐盟GDPR第五章關(guān)于向歐盟成員以外或國際組織傳輸數(shù)據(jù)的規(guī)定，滿足歐盟對(duì)該國法律的“充分性認(rèn)定”是允許該國與歐盟成員國進(jìn)行數(shù)據(jù)傳輸?shù)那闆r之一。歐盟GDPR對(duì)其他國家法律的“充分性認(rèn)定”制定了較高的標(biāo)準(zhǔn)，而高標(biāo)準(zhǔn)的法律要求給跨國公司的合規(guī)工作增加了多重的負(fù)擔(dān)，并因此遭到了跨國公司的抱怨。(25)See Bender, David，Binding Corporate Rules for Cross-Border Data Transfer，Rutgers Journal of Law and Urban Policy, Vol. 3, Issue 2 (Spring 2006), pp.154-171.雖然歐盟的規(guī)制路徑明確了數(shù)據(jù)跨境流動(dòng)的標(biāo)準(zhǔn)，有利于對(duì)數(shù)據(jù)流動(dòng)后續(xù)安全的保障；但復(fù)雜的認(rèn)定程序與高標(biāo)準(zhǔn)在一定程度上限制了數(shù)據(jù)的自由流動(dòng)。實(shí)際上，“充分性認(rèn)定”的本質(zhì)其實(shí)是要求其他國家和組織的立法達(dá)到歐盟GDPR的保護(hù)要求，并以此增強(qiáng)其在參與國際規(guī)則制定中的話語權(quán)。(26)參見方芳：《歐盟個(gè)人數(shù)據(jù)跨境流動(dòng)政策的演變:市場統(tǒng)一與貿(mào)易規(guī)范》，載《復(fù)旦國際關(guān)系評(píng)論》2019年第1期。

與歐盟對(duì)數(shù)據(jù)跨境流動(dòng)嚴(yán)格規(guī)制的態(tài)度不同，在信息技術(shù)領(lǐng)域具有領(lǐng)先優(yōu)勢的美國充分認(rèn)識(shí)到數(shù)據(jù)自由流動(dòng)的巨大價(jià)值，其采取的是鼓勵(lì)數(shù)據(jù)自由流動(dòng)的寬松政策。美國憑借其經(jīng)濟(jì)實(shí)力在貿(mào)易談判中占據(jù)主導(dǎo)地位，并將“跨境數(shù)據(jù)自由流動(dòng)”作為貿(mào)易協(xié)議的內(nèi)容，以此打破其他國家的數(shù)據(jù)出境壁壘并希望構(gòu)建無障礙數(shù)據(jù)流動(dòng)圈。(27)參見孫方江：《跨境數(shù)據(jù)流動(dòng)：數(shù)字經(jīng)濟(jì)下的全球博弈與中國選擇》，載《西南金融》2021年第1期。美國在推崇數(shù)據(jù)自由流動(dòng)的政策下全力投入到數(shù)字貿(mào)易競爭中，促進(jìn)了其國內(nèi)數(shù)字經(jīng)濟(jì)的迅速發(fā)展。美國通過出臺(tái)《澄清境外數(shù)據(jù)的合法使用法案》(CLOUD法案)允許政府跨境獲取數(shù)據(jù)，打破以往數(shù)據(jù)屬地管轄模式，代表著跨境執(zhí)法數(shù)據(jù)調(diào)取方式的變革，(28)See Kyriakides, Eleni，The CLOUD Act, E-Evidence, and Individual Rights，European Data Protection Law Review (EDPL), Vol. 5, Issue 1 (2019), pp. 99-106.實(shí)現(xiàn)了“長臂管轄”。此外，美國并不是對(duì)全部數(shù)據(jù)都開放自由流動(dòng)通道。美國嚴(yán)格限制與重要技術(shù)相關(guān)的數(shù)據(jù)和涉密敏感數(shù)據(jù)的出境，以及會(huì)對(duì)外國投資的數(shù)據(jù)跨境流動(dòng)進(jìn)行管制，對(duì)涉及關(guān)鍵技術(shù)等數(shù)據(jù)進(jìn)行安全審查。(29)參見張茉楠：《跨境數(shù)據(jù)流動(dòng)：全球態(tài)勢與中國對(duì)策》，載《開放導(dǎo)報(bào)》2020年第2期。

2.數(shù)據(jù)跨境流動(dòng)規(guī)制的矛盾與沖突。不同國家對(duì)數(shù)據(jù)跨境流動(dòng)的立場和具體規(guī)制要求不一致，數(shù)據(jù)自由流動(dòng)的主張與限制數(shù)據(jù)跨境流動(dòng)的政策存在沖突。相較美國對(duì)數(shù)據(jù)跨境流動(dòng)采取較為開放自由的態(tài)度；其他不少國家對(duì)數(shù)據(jù)跨境流動(dòng)加以限制。例如，俄羅斯對(duì)數(shù)據(jù)跨境流動(dòng)的限制措施分為以下三類：禁止數(shù)據(jù)跨境流動(dòng)、有條件的數(shù)據(jù)跨境流動(dòng)、要求數(shù)據(jù)存儲(chǔ)本地化。(30)參見周念利、李金東：《俄羅斯出臺(tái)的與貿(mào)易相關(guān)的數(shù)據(jù)流動(dòng)限制性措施研究——兼談對(duì)中國的啟示》，載《國際商參見務(wù)研究》2020年第3期。我國《網(wǎng)絡(luò)安全法》對(duì)數(shù)據(jù)存儲(chǔ)本地化也進(jìn)行了相關(guān)規(guī)定，主張數(shù)據(jù)自由流動(dòng)的美國認(rèn)為我國的立法會(huì)對(duì)全球的服務(wù)貿(mào)易提供者產(chǎn)生不利影響，并向WTO服務(wù)貿(mào)易理事會(huì)提出正式函告，對(duì)我國參與數(shù)據(jù)跨境流動(dòng)的合作施加重重阻礙。(31)彭德雷、潘永建：《數(shù)據(jù)出境的中美博弈》，http://www.llinkslaw.com/uploadfile/publication/27_1516248375.pdf，2021年2月21日訪問。由于各國的發(fā)展實(shí)力、價(jià)值訴求不同，關(guān)于數(shù)據(jù)跨境流動(dòng)的立場態(tài)度存在差異性是不可避免的。在“棱鏡門”事發(fā)后，數(shù)據(jù)安全問題日益凸顯，出于反監(jiān)控與保障國家安全的目的，要求數(shù)據(jù)本地化和加強(qiáng)數(shù)據(jù)安全審查是現(xiàn)實(shí)且必要的。

不同國家和國際組織的立法差異給企業(yè)在數(shù)據(jù)跨境流動(dòng)的合規(guī)工作增加了很大難度。例如，不同國家和組織對(duì)數(shù)據(jù)的分類方式不盡相同，我國將個(gè)人數(shù)據(jù)分為基本數(shù)據(jù)和敏感數(shù)據(jù)區(qū)別保護(hù)，美國則以是否可公開獲取為分類依據(jù)，歐盟未進(jìn)行區(qū)分保護(hù)。(32)參見婁鶴、陳國彧：《中國企業(yè)個(gè)人數(shù)據(jù)跨境傳輸最佳法律實(shí)踐探討》，載《信息安全與通信保密》2019年第8期。此外，對(duì)于數(shù)據(jù)跨境、敏感數(shù)據(jù)等一系列概念的界定尚未明確，企業(yè)對(duì)眾多定義的辨析也是合規(guī)工作的一大難點(diǎn)。迫切需要構(gòu)建關(guān)于數(shù)據(jù)跨境流動(dòng)的國際規(guī)則，為數(shù)據(jù)跨境流動(dòng)的合規(guī)工作提供明確而統(tǒng)一的指導(dǎo)和依據(jù)。

3.數(shù)據(jù)跨境流動(dòng)的合規(guī)選擇。近年來，我國正在不斷完善數(shù)據(jù)跨境流動(dòng)保護(hù)的法律，發(fā)布了《個(gè)人信息出境安全評(píng)估辦法》《數(shù)據(jù)安全管理辦法》等相關(guān)規(guī)定的征求意見。結(jié)合已生效的相關(guān)法律分析，我國要求企業(yè)將經(jīng)營過程中收集和產(chǎn)生的個(gè)人數(shù)據(jù)和重要數(shù)據(jù)存儲(chǔ)在境內(nèi)，因業(yè)務(wù)需要跨境傳輸數(shù)據(jù)的應(yīng)根據(jù)相關(guān)規(guī)定進(jìn)行風(fēng)險(xiǎn)預(yù)測與安全評(píng)估。歐盟GDPR規(guī)定未列入“充分性認(rèn)定”名單的國家可以通過有約束的公司規(guī)則、標(biāo)準(zhǔn)合同條款、經(jīng)批準(zhǔn)的行為準(zhǔn)則和認(rèn)證機(jī)制等替代方案實(shí)現(xiàn)數(shù)據(jù)的跨境流動(dòng)。加拿大則要求企業(yè)以合同的形式明確數(shù)據(jù)跨境流動(dòng)的保護(hù)內(nèi)容，確保數(shù)據(jù)接收方能提供同等水平的保護(hù)。日本2020年修改后的《個(gè)人信息保護(hù)法》規(guī)定，當(dāng)向外國的第三方傳輸個(gè)人數(shù)據(jù)時(shí)，企業(yè)應(yīng)向個(gè)人提供接收方處理個(gè)人數(shù)據(jù)的相關(guān)信息。如俄羅斯、印度等國家對(duì)數(shù)據(jù)存儲(chǔ)本地化作出了相關(guān)規(guī)定，(33)參見陳詠梅、張姣：《跨境數(shù)據(jù)流動(dòng)國際規(guī)制新發(fā)展:困境與前路》，載《上海對(duì)外經(jīng)貿(mào)大學(xué)學(xué)報(bào)》2017年第6期。以及大多數(shù)國家對(duì)于涉及個(gè)人數(shù)據(jù)的跨境流動(dòng)都要求獲得數(shù)據(jù)主體的同意。

目前尚未完全形成關(guān)于數(shù)據(jù)跨境流動(dòng)的國際規(guī)則，而且不同國家與國際組織的相關(guān)規(guī)定和政策差異較大。為了適應(yīng)國際經(jīng)濟(jì)貿(mào)易的新形式，促進(jìn)跨國貿(mào)易活動(dòng)為全球經(jīng)濟(jì)帶來更大的利益，不同國家也紛紛制定相關(guān)的法律或者簽訂雙邊協(xié)議、多邊協(xié)議等協(xié)調(diào)國家之間的立法沖突。中國、澳大利亞、美國、歐盟等76個(gè)WTO成員在2019年1月共同簽署了《關(guān)于電子商務(wù)的聯(lián)合聲明》，(34)商務(wù)部新聞辦公室：《中國與75個(gè)世貿(mào)組織成員在達(dá)沃斯發(fā)表關(guān)于電子商務(wù)的聯(lián)合聲明》，http://www.mofcom.gov.cn/article/ae/ai/201901/20190102830332.shtml，2021年2月21日訪問。意在解決國際貿(mào)易領(lǐng)域出現(xiàn)的如數(shù)據(jù)跨境流動(dòng)等新問題。雖然不同國家在數(shù)據(jù)保護(hù)方面存在立法差異，但是仍存在共同之處，國家之間統(tǒng)籌考慮多方面的利益因素，尋求各國規(guī)定的最大公約數(shù)以構(gòu)建國際規(guī)則創(chuàng)造可能。在國際博弈和合作中，中國應(yīng)當(dāng)為數(shù)據(jù)跨境流動(dòng)規(guī)制提供科學(xué)有效的中國方案，更加主動(dòng)地參與國際規(guī)則的建構(gòu)。這更加要求對(duì)國內(nèi)的數(shù)據(jù)合規(guī)體系進(jìn)行完善，順應(yīng)當(dāng)下時(shí)代的發(fā)展趨勢，積極尋求數(shù)據(jù)科學(xué)利用與有效保護(hù)之間的平衡點(diǎn)，努力為企業(yè)合規(guī)工作提供指導(dǎo)和制度依據(jù)，并充分發(fā)揮數(shù)據(jù)的經(jīng)濟(jì)價(jià)值。

對(duì)于企業(yè)而言，應(yīng)當(dāng)充分了解當(dāng)前國際形勢并考察不同國家的數(shù)據(jù)跨境流動(dòng)政策，在數(shù)據(jù)跨境流動(dòng)的過程中迎接合規(guī)工作的挑戰(zhàn)。出于對(duì)數(shù)據(jù)保護(hù)與合規(guī)問題的重視，不同國家的相關(guān)立法如雨后春筍般頻頻出臺(tái)，因此，企業(yè)除了要根據(jù)國內(nèi)外生效的數(shù)據(jù)規(guī)范做好合規(guī)工作，還要留意國內(nèi)外的立法動(dòng)態(tài)與監(jiān)管趨勢，衡量合規(guī)風(fēng)險(xiǎn)以及時(shí)做好應(yīng)對(duì)準(zhǔn)備。此外，在不同的國家開展業(yè)務(wù)應(yīng)當(dāng)遵循該國的具體要求，企業(yè)應(yīng)該準(zhǔn)備多元化的合規(guī)方案以遵守不同國家的數(shù)據(jù)規(guī)制標(biāo)準(zhǔn)，準(zhǔn)確識(shí)別數(shù)據(jù)種類并做好數(shù)據(jù)分類管理，在本國法與目標(biāo)國法之間確定科學(xué)的數(shù)據(jù)戰(zhàn)略實(shí)現(xiàn)發(fā)展與合規(guī)的平衡。數(shù)據(jù)合規(guī)雖然是一個(gè)法律問題，但是企業(yè)在遵守法律要求時(shí)需要相應(yīng)的技術(shù)支持，對(duì)于需要本地化處理的數(shù)據(jù)應(yīng)當(dāng)做好技術(shù)準(zhǔn)備。數(shù)據(jù)安全風(fēng)險(xiǎn)因信息技術(shù)的發(fā)展而嚴(yán)峻化，企業(yè)同樣可以通過技術(shù)手段增強(qiáng)數(shù)據(jù)跨境流動(dòng)的安全性，例如完善匿名化技術(shù)、改進(jìn)信息防火墻技術(shù)等，將合規(guī)的需求作為促進(jìn)技術(shù)創(chuàng)新和升級(jí)的動(dòng)力，激發(fā)新的經(jīng)營活力和競爭力。

四、數(shù)據(jù)合規(guī)的激勵(lì)機(jī)制

實(shí)現(xiàn)數(shù)據(jù)保護(hù)與安全不能僅依賴數(shù)據(jù)監(jiān)管部門的執(zhí)法活動(dòng)，面對(duì)企業(yè)自身開展數(shù)據(jù)合規(guī)動(dòng)力不足的問題，需要構(gòu)建數(shù)據(jù)合規(guī)激勵(lì)機(jī)制為企業(yè)開展數(shù)據(jù)合規(guī)提供內(nèi)在動(dòng)力，其中包括行政監(jiān)管激勵(lì)機(jī)制與刑事激勵(lì)機(jī)制。

(一)激勵(lì)機(jī)制是實(shí)現(xiàn)數(shù)據(jù)合規(guī)與發(fā)展的有效途徑

1.數(shù)據(jù)監(jiān)管難度大是激勵(lì)機(jī)制的客觀需求。由于數(shù)據(jù)類的違法犯罪行為具有很強(qiáng)的隱蔽性，對(duì)此類違法行為的監(jiān)管難度極大。首先，不法分子可以通過信息技術(shù)在虛擬的網(wǎng)絡(luò)空間遠(yuǎn)程操控，不必直接接觸受害者就可以完成違法行為，實(shí)施違法行為的時(shí)間、地點(diǎn)都不受限制。其次，信息數(shù)據(jù)和違法技術(shù)具有無形性，違法行為可能不會(huì)留下蛛絲馬跡，導(dǎo)致違法行為和結(jié)果不容易被發(fā)現(xiàn)和偵破。除此之外，信息技術(shù)不斷更新變化，使得違法方式層出不窮，這也加大了對(duì)信息安全的監(jiān)管難度。當(dāng)數(shù)據(jù)儲(chǔ)存系統(tǒng)被破壞或者機(jī)密信息和涉及個(gè)人隱私等敏感數(shù)據(jù)被公開，發(fā)達(dá)的通訊技術(shù)可能使重要信息瞬時(shí)傳播到不同地區(qū)甚至其他國家，這不僅可能影響到個(gè)人信息主體的生活安寧，如果泄露的是國家機(jī)密，還可能會(huì)危害國家安全?？紤]到危及數(shù)據(jù)保護(hù)與安全的事件往往沒有事先預(yù)兆，數(shù)據(jù)傳播的無邊界性導(dǎo)致危害結(jié)果難以遏制，即使事后盡快刪除了所有相關(guān)信息數(shù)據(jù)，但是造成的危害影響是難以消除的。

2.激勵(lì)機(jī)制為數(shù)據(jù)合規(guī)提供內(nèi)在動(dòng)力。真正實(shí)現(xiàn)數(shù)據(jù)合規(guī)要求企業(yè)在將合規(guī)意識(shí)和具體措施貫穿至業(yè)務(wù)的全部流程，這對(duì)企業(yè)在數(shù)據(jù)收集、儲(chǔ)存和處理等各環(huán)節(jié)提出更高的技術(shù)要求，增加了企業(yè)的合規(guī)成本。然而，如果僅僅依靠外界的強(qiáng)制性規(guī)定和法律制裁，難以讓潛在違法犯罪者消除違法動(dòng)因，自覺進(jìn)行合規(guī)工作。在法律層面構(gòu)建數(shù)據(jù)合規(guī)激勵(lì)機(jī)制，例如建立有效數(shù)據(jù)合規(guī)能減輕處罰力度、達(dá)成行政和解等。通過體現(xiàn)數(shù)據(jù)合規(guī)對(duì)企業(yè)良好可持續(xù)發(fā)展的推動(dòng)作用，可以促使企業(yè)將合規(guī)的外界要求化為內(nèi)在追求，讓企業(yè)有足夠的動(dòng)力主動(dòng)進(jìn)行數(shù)據(jù)合規(guī)，建立并完善內(nèi)部數(shù)據(jù)合規(guī)建設(shè)，在合規(guī)的基礎(chǔ)上創(chuàng)造利潤的最大化。有效的數(shù)據(jù)合規(guī)包括數(shù)據(jù)安全技術(shù)的升級(jí)、定期的合規(guī)培訓(xùn)等，既能提升對(duì)外來黑客攻擊的防御能力，還可以降低內(nèi)部員工擅自泄露信息的可能性，雙重提高數(shù)據(jù)安全性。因有效落實(shí)數(shù)據(jù)合規(guī)而獲得寬大處理結(jié)果的事例，會(huì)為其他企業(yè)產(chǎn)生積極正向的引導(dǎo)作用，推動(dòng)形成穩(wěn)定合規(guī)的行業(yè)自律。有效的數(shù)據(jù)合規(guī)也讓企業(yè)避免因違法犯罪而被處以嚴(yán)厲的法律制裁，為企業(yè)的持續(xù)發(fā)展保駕護(hù)航。總之，合規(guī)激勵(lì)機(jī)制是實(shí)現(xiàn)數(shù)據(jù)發(fā)展與安全的有效途徑。

(二)數(shù)據(jù)合規(guī)的行政監(jiān)管激勵(lì)機(jī)制

1.行政監(jiān)管激勵(lì)機(jī)制的探索。我國最早探索行政監(jiān)管激勵(lì)機(jī)制是在證券監(jiān)管領(lǐng)域，中國證監(jiān)會(huì)發(fā)布的《證券公司和證券投資基金管理公司合規(guī)管理辦法》確立了強(qiáng)制合規(guī)制度，并明確規(guī)定了如果證券基金經(jīng)營機(jī)構(gòu)存在“有效的合規(guī)，主動(dòng)發(fā)現(xiàn)違法違規(guī)行為或合規(guī)風(fēng)險(xiǎn)隱患，積極妥善處理，落實(shí)責(zé)任追究，完善內(nèi)部控制制度和業(yè)務(wù)流程并及時(shí)向中國證監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告”的情形，可以“依法從輕、減輕處理”。(35)《證券公司和證券投資基金管理公司合規(guī)管理辦法》第36條：“證券基金經(jīng)營機(jī)構(gòu)通過有效的合規(guī)管理，主動(dòng)發(fā)現(xiàn)違法違規(guī)行為或合規(guī)風(fēng)險(xiǎn)隱患，積極妥善處理，落實(shí)責(zé)任追究，完善內(nèi)部控制制度和業(yè)務(wù)流程并及時(shí)向中國證監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告的，依法從輕、減輕處理；情節(jié)輕微并及時(shí)糾正違法違規(guī)行為或避免合規(guī)風(fēng)險(xiǎn)，沒有造成危害后果的，不予追究責(zé)任。對(duì)于證券基金經(jīng)營機(jī)構(gòu)的違法違規(guī)行為，合規(guī)負(fù)責(zé)人已經(jīng)按照本辦法的規(guī)定盡職履行審查、監(jiān)督、檢查和報(bào)告職責(zé)的，不予追究責(zé)任?！迸c監(jiān)管機(jī)構(gòu)達(dá)成行政和解，避免被追究刑事法律責(zé)任也是行政監(jiān)管激勵(lì)的一種方式。從理論而言，相較于從寬處理，達(dá)成行政和解無疑會(huì)產(chǎn)生更大的激勵(lì)效果。然而，相關(guān)的規(guī)定沒有發(fā)揮出行政和解對(duì)推動(dòng)企業(yè)合規(guī)的最大激勵(lì)作用。

中國證監(jiān)會(huì)于2015年發(fā)布了《行政和解試點(diǎn)實(shí)施辦法》(以下簡稱《實(shí)施辦法》)，展開了行政和解制度的探索。該《實(shí)施辦法》正在被修訂，辦法名稱被修改為《證券期貨行政和解實(shí)施辦法》。(36)關(guān)于就《證券期貨行政和解實(shí)施辦法(征求意見稿)公開征求意見的通知》，http://www.csrc.gov.cn/pub/zjhpublic/zjh/202008/t20200807_381313.htm，2021年2月25日訪問。雖然原《實(shí)施辦法》和征求意見稿都要求和解協(xié)議中應(yīng)當(dāng)載明當(dāng)事人(行政相對(duì)人)糾正違法行為的整改具體措施安排，但是未將事前的合規(guī)機(jī)制或事后的主動(dòng)報(bào)告與整改作為和解的適用條件，這樣的規(guī)定對(duì)激發(fā)企業(yè)合規(guī)內(nèi)在動(dòng)力顯然效力不足。從實(shí)踐分析，行政和解試點(diǎn)工作從2015年開始，直至2019年才出現(xiàn)首個(gè)達(dá)成行政執(zhí)法和解的案例。(37)《中國證監(jiān)會(huì)2019年法治政府建設(shè)情況》，http://www.csrc.gov.cn/pub/newsite/zjhxwfb/xwdd/202004/t20200417_373995.html，2021年2月25日訪問。在中國證監(jiān)會(huì)與申請(qǐng)人達(dá)成行政和解協(xié)議的相關(guān)公告中，只載明了“申請(qǐng)人已采取必要措施加強(qiáng)公司的內(nèi)控管理，并在完成后向中國證監(jiān)會(huì)提交書面整改報(bào)告”。(38)中國證監(jiān)會(huì)發(fā)布的〔2019〕11號(hào)以及〔2020〕1號(hào)公告。卻未見和解協(xié)議的具體內(nèi)容以及加強(qiáng)內(nèi)控管理的具體措施。缺少行政和解工作的公開性和透明度不利于其他開展證券業(yè)務(wù)的企業(yè)從中吸取合規(guī)經(jīng)驗(yàn)，對(duì)促進(jìn)形成行業(yè)合規(guī)自律的效果產(chǎn)生了不良影響。

2.數(shù)據(jù)合規(guī)領(lǐng)域行政監(jiān)管激勵(lì)機(jī)制的初步構(gòu)建。除了《證券公司和證券投資基金管理公司合規(guī)管理辦法》外，《企業(yè)境外經(jīng)營合規(guī)管理指引》《經(jīng)營者反壟斷合規(guī)指南》等合規(guī)指南也陸續(xù)印發(fā)，但是相關(guān)法律法規(guī)并沒有規(guī)定將企業(yè)合規(guī)作為從寬處理的情形。在數(shù)據(jù)保護(hù)與安全方面，我國不斷加大對(duì)數(shù)據(jù)保護(hù)的力度，懲戒數(shù)據(jù)違法行為的執(zhí)法行動(dòng)成為監(jiān)管活動(dòng)的重要內(nèi)容，并呈現(xiàn)出常態(tài)化的趨勢。例如，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局四部門聯(lián)合開展全國范圍的互聯(lián)網(wǎng)網(wǎng)站安全專項(xiàng)整治工作,(39)莊紅韜、楊曦：《四部委聯(lián)合開展互聯(lián)網(wǎng)網(wǎng)站安全專項(xiàng)整治》，http://fi nance.people.com.cn/n1/2019/0613/c1004-31134313.html，2021年2月19日訪問。工業(yè)和信息化部展開的信息通信領(lǐng)域APP侵害用戶權(quán)益專項(xiàng)整治行動(dòng)(40)工信微報(bào)：《工業(yè)和信息化部開展APP侵犯用戶權(quán)益專項(xiàng)整治行動(dòng)》，http://www.cac.gov.cn/2019-11/04/c_1574399754695177.htm，2021年2月19日訪問。等。從相關(guān)部門的執(zhí)法活動(dòng)可以看出，目前我國沒有統(tǒng)一的數(shù)據(jù)監(jiān)管部門，由多個(gè)監(jiān)管部門各自或聯(lián)動(dòng)執(zhí)法，除此之外，一些行業(yè)主管機(jī)構(gòu)也在重視數(shù)據(jù)合規(guī)問題，例如中國證監(jiān)會(huì)、中國人民銀行。但是零散的執(zhí)法主體容易導(dǎo)致出現(xiàn)權(quán)責(zé)不清、效率低下等問題?！耙环ㄒ粵Q定”的實(shí)施報(bào)告(41)2017年12月24日在第十二屆全國人民代表大會(huì)常務(wù)委員會(huì)第三十一次會(huì)議上，全國人民代表大會(huì)常務(wù)委員會(huì)執(zhí)法檢查組關(guān)于檢查《網(wǎng)絡(luò)安全法》《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》實(shí)施情況的報(bào)告。指出網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)職能履行不夠順暢，存在同一事項(xiàng)重復(fù)檢查且標(biāo)準(zhǔn)不一等問題增加了執(zhí)法對(duì)象的額外負(fù)擔(dān)。從懲治措施分析，大多數(shù)執(zhí)法主體通過約談、警告、責(zé)令整改、罰款等措施查處各類數(shù)據(jù)違法行為，未將數(shù)據(jù)合規(guī)作為一種激勵(lì)手段。構(gòu)建數(shù)據(jù)合規(guī)方面的行政監(jiān)管激勵(lì)機(jī)制可以從以下幾個(gè)方面考慮。

首先，鑒于目前數(shù)據(jù)監(jiān)管存在“九龍治水”的現(xiàn)象，應(yīng)當(dāng)加強(qiáng)網(wǎng)信辦的統(tǒng)籌職能或者設(shè)立一個(gè)專門的數(shù)據(jù)監(jiān)管部門，有一個(gè)明確的主導(dǎo)部門才能有效推進(jìn)合規(guī)激勵(lì)機(jī)制的建立與實(shí)踐。其次，可以加大行政處罰的力度并將有效的數(shù)據(jù)合規(guī)作為決定行政處罰力度的考慮因素。目前我國對(duì)于數(shù)據(jù)違法違規(guī)行為的行政處罰力度較低，過低的企業(yè)違法成本無法防范企業(yè)的數(shù)據(jù)違規(guī)行為。例如，《網(wǎng)絡(luò)安全法》對(duì)竊取個(gè)人數(shù)據(jù)等相關(guān)違法行為的處罰規(guī)定為“沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款”。然而谷歌公司因違反歐盟GDPR關(guān)于收集信息的相關(guān)規(guī)定而被罰款5000歐元。(42)參見余天：《法國對(duì)谷歌開5千萬歐元罰單，因違反數(shù)據(jù)隱私保護(hù)規(guī)定》，https://baijiahao.baidu.com/s?id=1623403410799939131&wfr=spider&for=pc，2021年3月20日訪問。同時(shí)，歐盟GDPR第83條規(guī)定了決定是否處以行政罰款以及罰款數(shù)額時(shí)應(yīng)當(dāng)考慮的因素包括企業(yè)合規(guī)程度。我國可以借鑒歐盟GDPR，通過加重對(duì)不合規(guī)的制裁力度以及強(qiáng)調(diào)企業(yè)合規(guī)程度對(duì)于制裁力度的影響這兩方面推動(dòng)企業(yè)制定合規(guī)計(jì)劃。(43)See Voss, W. Gregory，Internal Compliance Mechanisms for Firms in the EU General Data Protection Regulation，Revue Juridique Themis, Vol. 50, Issue 3 (2016), pp.783-820.再次，可以嘗試在數(shù)據(jù)安全監(jiān)管領(lǐng)域引入行政和解制度。其中要注意明確以企業(yè)具備有效的數(shù)據(jù)合規(guī)制度作為適用條件之一，和解協(xié)議內(nèi)容要包括對(duì)合規(guī)的落實(shí)審查，增加行政和解工作的透明度，促進(jìn)形成行業(yè)合規(guī)文化。由于數(shù)據(jù)安全類的違法行為產(chǎn)生的負(fù)面影響可能會(huì)涉及范圍甚廣、影響深遠(yuǎn)，應(yīng)重視事前的合規(guī)防范，如果只是事后積極整改以及減少不良影響、承諾事后積極制定合規(guī)計(jì)劃，則應(yīng)限制行政和解的適用。最后，還要有齊備的配套措施，如制定相應(yīng)的合規(guī)指引和數(shù)據(jù)安全標(biāo)準(zhǔn)制度，為企業(yè)開展合規(guī)工作提供明確具體的方向；以及建立后續(xù)的監(jiān)督機(jī)制與審核機(jī)制，確保合規(guī)制度的落實(shí)等。

(三)數(shù)據(jù)合規(guī)的刑事激勵(lì)機(jī)制

1.刑事合規(guī)激勵(lì)機(jī)制的探索。合規(guī)激勵(lì)機(jī)制包括行政監(jiān)管激勵(lì)機(jī)制以及刑事激勵(lì)機(jī)制，不同于行政監(jiān)管激勵(lì)機(jī)制的探索思路，刑事激勵(lì)機(jī)制在理論研究和實(shí)踐試點(diǎn)上沒有限定犯罪類型和罪名，分析目前刑事合規(guī)激勵(lì)機(jī)制的探索情況有助于構(gòu)建契合數(shù)據(jù)合規(guī)的刑事激勵(lì)機(jī)制。

在刑事激勵(lì)機(jī)制中，將有效的合規(guī)作為法定的量刑情節(jié)、無罪辯護(hù)的事由、適用強(qiáng)制措施的考慮因素等都是激勵(lì)的具體方式。目前促進(jìn)合規(guī)的刑事激勵(lì)機(jī)制只處于探索階段，我國還未真正形成刑事合規(guī)激勵(lì)的理念與制度。隨著社會(huì)發(fā)展，刑事訴訟需要適應(yīng)時(shí)代變化和治理需求進(jìn)行觀念轉(zhuǎn)變和制度變革，實(shí)現(xiàn)刑事訴訟從以人為中心到個(gè)人與企業(yè)兼顧的轉(zhuǎn)變。(44)參見李玉華：《以合規(guī)為核心的企業(yè)認(rèn)罪認(rèn)罰從寬制度》，載《浙江工商大學(xué)學(xué)報(bào)》2021年第1期。探索建立刑事合規(guī)激勵(lì)機(jī)制就是對(duì)關(guān)注民營企業(yè)持續(xù)發(fā)展這一要求的回應(yīng)。最高人民檢察院于2020年3月啟動(dòng)涉案違法犯罪依法不捕、不訴、不判處實(shí)刑的企業(yè)合規(guī)監(jiān)管試點(diǎn)工作，其中合規(guī)不起訴制度是理論和實(shí)踐中的研究重點(diǎn)，目前已有一些地區(qū)的檢察機(jī)關(guān)展開改革探索，例如浙江省岱山縣檢察院創(chuàng)新運(yùn)用“認(rèn)罪認(rèn)罰+合規(guī)承諾+不起訴”辦案模式并推出《涉企案件刑事合規(guī)辦理規(guī)程(試行)》。(45)參見岱山縣檢察院：《岱山縣院依托刑事合規(guī)業(yè)務(wù)服務(wù)民營經(jīng)濟(jì)“乘風(fēng)破浪”》 ，http://www.zjdaishan.jcy.gov.cn/djdt/202011/t20201126_3057171.shtml，2021年2月26日訪問。還有深圳市寶安區(qū)檢察院對(duì)企業(yè)合規(guī)不起訴機(jī)制進(jìn)行試點(diǎn)，創(chuàng)立了獨(dú)立監(jiān)控人制度和配套的合規(guī)專員制度，但是在開展刑事合規(guī)探索工作中也發(fā)現(xiàn)了諸如法律依據(jù)不足、受限于辦案期限與業(yè)務(wù)考核、驗(yàn)收機(jī)制難度大、行刑程序銜接不暢等問題。(46)參見許錦標(biāo)：《我院黃美華檢察官應(yīng)邀在企業(yè)合規(guī)與社會(huì)治理專題研討會(huì)發(fā)表主題演講》，http://bajcy.baoan.gov.cn/bjzx_141860/bjxw_141864/202012/t20201228_5733068.html，2021年2月26日訪問。

2.數(shù)據(jù)合規(guī)刑事激勵(lì)機(jī)制的初步構(gòu)建。在刑事實(shí)體法層面，由于我國未確立嚴(yán)格責(zé)任制度，將企業(yè)數(shù)據(jù)合規(guī)作為出罪事由對(duì)促進(jìn)企業(yè)合規(guī)的激勵(lì)效果可能并不明顯，在短時(shí)間內(nèi)無法解決這一問題，將企業(yè)數(shù)據(jù)合規(guī)作為量刑情節(jié)更具有操作性。刑罰既有懲罰的作用也有預(yù)防的作用，企業(yè)合規(guī)降低了借助刑法預(yù)防犯罪的必要性，可以以此作為減輕刑罰的事由。同時(shí)，主動(dòng)的事前合規(guī)所對(duì)應(yīng)的從寬程度應(yīng)大于事后被動(dòng)合規(guī)的從寬程度。此外，國家在為企業(yè)提供激勵(lì)動(dòng)力的同時(shí)，應(yīng)當(dāng)增加相應(yīng)的壓力，壓力也是動(dòng)力的來源。在數(shù)據(jù)犯罪規(guī)制方面，我國1997年《刑法》對(duì)侵入計(jì)算機(jī)系統(tǒng)類的犯罪進(jìn)行規(guī)制，2009年將侵犯個(gè)人信息類犯罪納入刑法，經(jīng)過后續(xù)的修正案和司法解釋，對(duì)信息數(shù)據(jù)安全法益的保護(hù)逐漸完善，但是相關(guān)罪名的設(shè)定與大數(shù)據(jù)時(shí)代下的數(shù)據(jù)特征不太契合，導(dǎo)致對(duì)相關(guān)法益的保護(hù)尚不全面。例如，我國關(guān)于計(jì)算機(jī)犯罪的立法是以技術(shù)限定性為中心，很大程度上忽略了對(duì)數(shù)據(jù)的保護(hù)。(47)參見于志剛、李源粒：《大數(shù)據(jù)時(shí)代數(shù)據(jù)犯罪的類型化與制裁思路》，載《政治與法律》2016年第9期。激勵(lì)機(jī)制是為了促進(jìn)企業(yè)合規(guī)，是為了保護(hù)企業(yè)的持續(xù)發(fā)展，而保護(hù)法益也是不可忽視的價(jià)值訴求。全面的法律規(guī)制，才能豐富完善合規(guī)的具體內(nèi)容，保障對(duì)信息數(shù)據(jù)安全法益的保護(hù)。

在刑事程序法層面，可以在適用強(qiáng)制性措施與程序分流兩個(gè)環(huán)節(jié)發(fā)揮對(duì)企業(yè)的數(shù)據(jù)合規(guī)激勵(lì)作用。(48)參見李玉華：《我國企業(yè)合規(guī)的刑事訴訟激勵(lì)》，載《比較法研究》2020年第1期。在強(qiáng)制性措施環(huán)節(jié)，可以將數(shù)據(jù)合規(guī)作為采取強(qiáng)制性措施的考慮因素，有效的數(shù)據(jù)合規(guī)可以避免對(duì)經(jīng)營活動(dòng)影響較大的強(qiáng)制性措施或者縮短期限，以在偵查期間也能繼續(xù)正常經(jīng)營激勵(lì)企業(yè)開展數(shù)據(jù)合規(guī)。在程序分流環(huán)節(jié)，可以在符合其他法律條件的情況下采用簡易程序或速裁程序，減少企業(yè)在訴訟活動(dòng)中的時(shí)間成本和人力物力以激勵(lì)企業(yè)進(jìn)行數(shù)據(jù)合規(guī)工作。應(yīng)當(dāng)注意的是，在審查數(shù)據(jù)合規(guī)有效性以適用激勵(lì)機(jī)制時(shí)，應(yīng)當(dāng)結(jié)合數(shù)據(jù)保護(hù)與大數(shù)據(jù)企業(yè)的經(jīng)營規(guī)模與特點(diǎn)等多方面的因素。此外，對(duì)合規(guī)不起訴制度的探索能更大程度激勵(lì)企業(yè)進(jìn)行數(shù)據(jù)合規(guī)。目前檢察機(jī)關(guān)探索出“檢察建議模式”和“附條件不起訴模式”這兩種激勵(lì)模式。(49)參見陳瑞華：《刑事訴訟的合規(guī)激勵(lì)模式》，載《中國法學(xué)》2020年第6期。最高人民檢察院發(fā)布的2019年度全國檢察機(jī)關(guān)社會(huì)治理類優(yōu)秀檢察建議中，就有檢察機(jī)關(guān)對(duì)企業(yè)發(fā)出關(guān)于加強(qiáng)用戶個(gè)人信息保護(hù)的檢察建議書，并在后續(xù)工作中召開了關(guān)于個(gè)人數(shù)據(jù)保護(hù)合規(guī)的研討會(huì)，督促企業(yè)根據(jù)檢察建議落實(shí)整改。(50)參見《上海市人民檢察院就互聯(lián)網(wǎng)應(yīng)用商店對(duì)收錄軟件個(gè)人信息保護(hù)未履行管理責(zé)任問題向某網(wǎng)絡(luò)科技有限公司制發(fā)檢察建議》，https://www.spp.gov.cn/spp/xwfbh/wsfbt/202008/t20200805_475448.shtml#4，2021年3月11日訪問。可見實(shí)踐中已有檢察機(jī)關(guān)推動(dòng)數(shù)據(jù)合規(guī)的事例，是數(shù)據(jù)合規(guī)方面的刑事訴訟合規(guī)激勵(lì)的雛形，應(yīng)當(dāng)提高檢察機(jī)關(guān)對(duì)數(shù)據(jù)保護(hù)的重視，積極探索與完善激勵(lì)方式。

結(jié) 語

信息技術(shù)的快速發(fā)展使得數(shù)據(jù)成為重要的生產(chǎn)要素，在數(shù)據(jù)收集、利用與跨境流動(dòng)過程中，數(shù)據(jù)過度收集、泄露等問題層出不窮。為了保護(hù)個(gè)人信息與維護(hù)國家安全，企業(yè)應(yīng)當(dāng)承擔(dān)相應(yīng)的社會(huì)責(zé)任，積極開展數(shù)據(jù)合規(guī)，監(jiān)管主體積極探索數(shù)據(jù)合規(guī)激勵(lì)機(jī)制是對(duì)治理能力現(xiàn)代化要求的回應(yīng)。數(shù)據(jù)合規(guī)幫助企業(yè)防范法律風(fēng)險(xiǎn)，實(shí)現(xiàn)健康持續(xù)的發(fā)展，當(dāng)前其內(nèi)容主要包括個(gè)人數(shù)據(jù)保護(hù)合規(guī)和數(shù)據(jù)跨境流動(dòng)合規(guī)兩個(gè)維度。個(gè)人數(shù)據(jù)保護(hù)合規(guī)主要需要注重在收集、利用過程的規(guī)范，遵守合法、正當(dāng)、必要的原則；數(shù)據(jù)跨境流動(dòng)合規(guī)要求企業(yè)關(guān)注不同國家的規(guī)定而做出相應(yīng)的合規(guī)方案。目前國內(nèi)外對(duì)數(shù)據(jù)合規(guī)的監(jiān)管越來越嚴(yán)，我國企業(yè)應(yīng)提高數(shù)據(jù)合規(guī)意識(shí)，積極開展合規(guī)建設(shè)。同時(shí)，我國應(yīng)當(dāng)積極構(gòu)建數(shù)據(jù)合規(guī)激勵(lì)機(jī)制，促進(jìn)企業(yè)將合規(guī)要求內(nèi)化，推動(dòng)企業(yè)建立并落實(shí)數(shù)據(jù)合規(guī)。