毛逸瀟

數字經濟時代的數據合規(guī)治理是社會治理的重要組成部分，數據保護合規(guī)迅速發(fā)展成為專項合規(guī)管理體系的重中之重。一方面，以歐盟《通用數據保護條例》和美國《加州消費者隱私法案》為代表，世界各國持續(xù)推進綜合性數據保護立法進程，不僅為企業(yè)創(chuàng)設了嚴格的合規(guī)義務及罰則，而且通過數據訪問地、業(yè)務關聯者等長臂管轄規(guī)則拓寬本國法案的域外效力，爭搶國際大數據話語權。另一方面，各國的數據保護執(zhí)法機構動作頻繁，對違反數據處理規(guī)則和合規(guī)管理失職的違法行為作出嚴厲處罰，不斷刷新執(zhí)法金額最高紀錄，并在多起案件中通過達成和解協議要求涉案企業(yè)進行合規(guī)整改、加強數據保護合規(guī)體系建設。面對日趨嚴峻的立法和執(zhí)法態(tài)勢，數據保護合規(guī)成為企業(yè)合規(guī)治理的剛性需求，為企業(yè)應對數據合規(guī)風險提供了最佳實踐。

隨著“數字中國”國家大數據戰(zhàn)略的穩(wěn)步推進，國內數據保護立法取得飛躍式發(fā)展。2017 年《網絡安全法》與2021 年通過的《數據安全法》《個人信息保護法》共同構成我國數據保護領域的行政監(jiān)管法律體系，其中不僅規(guī)定了覆蓋數據全生命周期的數據處理基本規(guī)則，而且設置專章規(guī)定企業(yè)數據合規(guī)管理義務，這種預防性監(jiān)管方式標志著數據領域全行業(yè)強制合規(guī)制度的確立。與此同時，國家網信辦、市場監(jiān)管總局等數據保護監(jiān)管部門的執(zhí)法力度大大增加，大量違法違規(guī)收集使用個人信息的應用程序被責令下架并立即開展合規(guī)整改；刑事執(zhí)法部門更是偵辦了數萬起侵犯公民個人信息犯罪案件，(1)參見張?zhí)炫啵骸毒S護社會安定 保障人民安寧》，《人民日報》2021 年9 月18 日。幫助信息網絡犯罪活動罪也呈現井噴式增長。(2)參見最高人民檢察院：《2021 年1 至9 月全國檢察機關主要辦案數據》，《檢察日報》2021 年10 月19 日。除了關于數據處理規(guī)則和合規(guī)管理義務的強制性法律規(guī)定及其嚴厲的執(zhí)法機制，我國還建立了以合規(guī)出罪為特征的數據合規(guī)激勵機制。一方面，數據保護合規(guī)體系的建立可以作為無罪抗辯事由，切割企業(yè)與高管、員工和第三方的責任；(3)參見陳瑞華：《合規(guī)視野下的企業(yè)刑事責任問題》，《環(huán)球法律評論》2020 年第1 期。另一方面，以檢察機關推動的改革為依托，數據保護合規(guī)整改可以換取檢察機關的不起訴決定或者寬緩量刑建議，南京市首例合規(guī)不起訴案件即為某企業(yè)涉嫌侵犯公民個人信息案，雨花臺區(qū)檢察院經過對涉案企業(yè)積極落實合規(guī)整改情況的驗收和聽證，最終作出不起訴決定。(4)參見顧燁：《公開聽證督促涉案企業(yè)合規(guī)管理》，《檢察日報》2021 年7 月19 日。

國內外數據保護法律制度和執(zhí)法實踐的迅猛發(fā)展也為學術研究提出一系列理論問題。第一是數據保護合規(guī)體系的性質與范圍問題。數據保護合規(guī)是否等同于企業(yè)遵守數據保護法律條款的規(guī)定，涉及到企業(yè)合規(guī)的基本性質；而數據保護法律中的合規(guī)條款是否僅指合規(guī)管理義務條款，則是數據保護合規(guī)體系的范圍問題。第二是數據保護領域合規(guī)風險的識別問題。數據保護合規(guī)的直接目的在于防控合規(guī)風險，準確識別企業(yè)面臨的數據合規(guī)風險是保障合規(guī)體系有效性的基本前提。第三是數據保護合規(guī)體系的搭建問題。在企業(yè)的日常性數據合規(guī)管理，以及違法行為發(fā)生后的數據保護合規(guī)整改程序中，如何確立合規(guī)體系建設的基本思路和有效性標準，成為亟待解決的理論難題。

我國學者關于數據保護合規(guī)體系的研究存在兩種相互獨立的路徑，一是研究數據處理規(guī)則的遵守，二是研究數據管理義務的履行。數據處理規(guī)則的研究一般從數據的收集、利用、跨境流動等維度分析企業(yè)合法合規(guī)處理數據的規(guī)范，強調遵守合法、正當、必要的處理原則。(5)參見李玉華、馮泳琦：《數據合規(guī)的基本問題》，《青少年犯罪問題》2021 年第3 期。數據管理義務的研究則討論企業(yè)為保證數據安全所采取的管理措施和技術措施，強調從事前、事中、事后等三個方面展開合規(guī)管理。(6)參見張新寶：《互聯網生態(tài)“守門人”個人信息保護特別義務設置研究》，《比較法研究》2021 年第3 期；張凌寒：《個人信息跨境流動制度的三重維度》，《中國法律評論》2021 年第5 期。總體來看，當前的研究仍然存在一些局限。首先是數據保護合規(guī)的范圍界定過窄，將其局限于數據處理的合法性，在一定程度上把企業(yè)合規(guī)與遵紀守法相等同；而將其限定為企業(yè)的管理和技術措施，則混淆了合規(guī)義務與管理義務。其次是缺乏對現階段數據保護合規(guī)重大理論問題的系統回應，《數據安全法》和《個人信息保護法》的頒布使數據保護合規(guī)的法律內涵成為理論焦點；行政監(jiān)管執(zhí)法和企業(yè)合規(guī)改革的推行，則對數據保護合規(guī)體系搭建方法提出迫切的理論需求。有鑒于此，本文擬對數據保護合規(guī)體系的基本理論問題作出初步研究。本文首先討論數據保護合規(guī)的性質與范圍問題，再對企業(yè)在數據保護領域的合規(guī)風險作出類型化分析，隨后，將重點研究數據保護合規(guī)體系的基本原則和搭建方法。

一、數據保護合規(guī)的性質與范圍

學界關于數據保護合規(guī)的兩種研究思路引發(fā)數據保護合規(guī)性質與范圍的理論問題，無論是將數據保護合規(guī)視為對數據處理規(guī)則的遵守，還是視為對數據管理義務的履行，都無法表達其完整內涵。該問題產生的根源在于企業(yè)合規(guī)進入專項領域之后，一些基本理論需要針對專項合規(guī)的實際需求重新闡釋，以消除企業(yè)合規(guī)與專項領域學術研究和法律規(guī)范的分歧。

（一）數據保護合規(guī)體系的兩大要素

數據保護合規(guī)是企業(yè)為防控數據合規(guī)風險所建立的一套公司治理體系，包括數據合規(guī)政策和數據合規(guī)管理流程兩大要素。

首先，在數據保護領域中，企業(yè)合規(guī)的基本性質并未發(fā)生根本改變。根據企業(yè)合規(guī)基本理論，合規(guī)是企業(yè)為實現依法依規(guī)經營、防控合規(guī)風險所建立的治理機制，其并不是籠統地要求企業(yè)“依法依規(guī)經營”，而是要求企業(yè)針對可能出現的違法違規(guī)情況，建立一套旨在預防、識別和應對合規(guī)風險的自我監(jiān)管機制。(7)參見陳瑞華：《論企業(yè)合規(guī)的性質》，《浙江工商大學學報》2021 年第1 期。數據保護合規(guī)仍然是這樣一套公司治理體系，只不過為了防范數據領域的特定合規(guī)風險，企業(yè)合規(guī)政策需要針對數據處理和管理行為進行制定，合規(guī)組織體系應由數據保護合規(guī)官、數據保護合規(guī)部等專門組織構成，預防、監(jiān)控、應對等流程體系也要圍繞數據保護合規(guī)管理進行針對性建構。

其次，在有效合規(guī)計劃的諸多要素中，合規(guī)政策處于核心地位，扮演了“實體法”的角色，為保障合規(guī)政策得到貫徹和執(zhí)行，企業(yè)建立起“程序法”性質的合規(guī)管理流程體系。合規(guī)政策規(guī)定了專項合規(guī)的規(guī)范、標準和守則，一般表現為合規(guī)政策性文件和員工手冊的形式，其實質是將專項領域行政監(jiān)管和刑事法律的禁止性和義務性條款轉化為企業(yè)內部規(guī)章制度，為企業(yè)及其高管、員工、第三方合作伙伴確立行為規(guī)范和邊界。合規(guī)管理流程則是圍繞合規(guī)政策建立的一系列管理措施，包括建立首席合規(guī)官、合規(guī)部、合規(guī)專員等專項合規(guī)組織體系，以及風險評估、盡職調查、培訓溝通、違規(guī)事件舉報、審計監(jiān)測、獎勵懲戒、持續(xù)更新等管理機制。

最后，數據保護合規(guī)的范圍同時囊括了數據處理規(guī)則的遵守和數據管理義務的履行。企業(yè)合規(guī)的基本結構是以合規(guī)政策為中心，以合規(guī)組織和各項管理流程為保障機制的治理體系，企業(yè)的合規(guī)義務既包括建立合規(guī)組織和管理機制的流程性義務，也包括制定專項合規(guī)政策的政策性義務。數據保護合規(guī)也是如此，數據專項合規(guī)政策來源于專門法律體系所確立的禁止性和義務性規(guī)則，這成為合規(guī)管理流程體系的搭建基礎和服務對象。

（二）法律確立的數據保護合規(guī)條款

我國數據保護法律圍繞合規(guī)政策和合規(guī)管理流程這兩大要素，確立了數據保護合規(guī)體系的法律框架。這些合規(guī)條款既包括以數據處理規(guī)則及其罰則為內容的數據合規(guī)政策性條款，也包括以數據管理和技術措施為內容的數據合規(guī)流程性條款。下文以《個人信息保護法》為例展開分析，該法的體例包括個人信息處理規(guī)則、個人信息跨境提供規(guī)則、個人信息處理者的義務、履行個人信息保護職責的部門和法律責任等七大章，按照法律條款的性質，可以分為個人信息處理規(guī)則條款、合規(guī)管理義務條款、行政監(jiān)管職責條款、法律責任條款等類型。這種立法體例在一定程度上導致人們對數據保護合規(guī)范圍的認識偏差，認為數據保護合規(guī)僅指特定管理流程，而數據合規(guī)條款也就是合規(guī)管理義務條款。事實上，個人信息處理規(guī)則條款和相應的法律責任條款也是合規(guī)條款的范圍，與合規(guī)流程性條款不同，而屬于一種合規(guī)政策性條款，代表了專項合規(guī)政策的制定內容。

1.數據合規(guī)政策性條款

合規(guī)政策性條款由業(yè)務行為規(guī)范及其罰則組成，凡是法律對業(yè)務行為方式作出禁止性或義務性規(guī)定，并且創(chuàng)設違法的行政和刑事法律后果的條款，都屬于合規(guī)政策性條款。

《個人信息保護法》對個人信息處理的原則和方式作出了規(guī)范，涵蓋個人信息收集、存儲、使用等全生命周期的處理要求。一是確立了個人信息處理的基本原則，強調處理個人信息要采取合法、正當的方式，遵循誠信原則；具有明確、合理的目的，并應當限于實現處理目的的最小范圍；遵循公開、透明的原則，明示個人信息處理規(guī)則；所處理的個人信息應當準確，并采取必要措施保障所處理個人信息的安全，將上述原則貫穿于個人信息處理的全過程和各個環(huán)節(jié)。二是確立以“告知-同意”為核心的個人信息處理規(guī)則，并且根據個人信息處理不同環(huán)節(jié)和不同信息種類，對個人信息的共同處理、委托處理、向第三方提供、公開、用于自動化決策、處理已公開個人信息等提出專門要求。此外，該法對處理敏感個人信息設立了更為嚴格的限制，只有在具有特定目的和充分必要性的情況下，才可以處理敏感信息，并且要取得個人的單獨同意和書面同意。

《個人信息保護法》的法律責任條款對違反數據處理規(guī)則條款的行為確立了罰則。首先，違法情節(jié)輕微的，由行政部門責令改正，沒收違法所得，給予警告，對應用程序責令暫?；蛘呓K止提供服務；仍然拒不改正的，可對企業(yè)處以一百萬元以下的罰款；其次，違法情節(jié)嚴重的，可以責令改正，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下的高額罰款，還可以作出責令暫停相關業(yè)務、停業(yè)整頓、通報有關主管部門吊銷相關業(yè)務許可或者吊銷營業(yè)執(zhí)照等資格剝奪類的行政處罰；再次，違法處理數據的行為將被記入企業(yè)的信用檔案并予以公示；最后，構成侵犯公民個人信息罪等犯罪的，依法追究刑事責任。

2.數據合規(guī)流程性條款

數據合規(guī)流程性條款規(guī)定了合規(guī)組織體系、合規(guī)培訓、合規(guī)風險評估、合規(guī)審計等管理流程，從事前預防體系、事中監(jiān)控體系、事后應對體系的角度創(chuàng)設企業(yè)的數據合規(guī)管理義務?！秱€人信息保護法》中的合規(guī)管理義務條款作為流程性條款，規(guī)定了個人信息處理者的法定數據管理流程，包括對于個人信息處理活動采取制定內部管理制度和操作規(guī)程、對個人信息實行分級分類管理、采取加密和去標識化等安全技術、合理確定個人信息處理操作權限、定期組織合規(guī)培訓、制定應急預案等技術和管理措施，防止未經授權的訪問以及個人信息泄露、篡改、丟失；指定個人信息保護負責人，對信息處理活動和保護措施進行監(jiān)督；境外信息處理者應報送數據保護專門機構或數據合規(guī)官給信息保護部門；定期對個人信息處理活動進行專業(yè)審計；對個人信息處理活動進行個人信息保護影響評估；對信息泄露事件采取補救措施，并向信息保護部門報告，等等。

數據合規(guī)流程性條款不僅將合規(guī)組織和管理流程引入法律，而且在法律責任條款中確立了與合規(guī)政策性條款相同的罰則，企業(yè)違反法定數據處理規(guī)則和未履行法定管理義務，都將受到相應的行政或刑事處罰，這成為數據保護合規(guī)管理體系建設強大的反向激勵機制，也使數據保護合規(guī)成為我國迄今為止最為先進的全行業(yè)強制性專項合規(guī)體系。

（三）對兩種觀點的回應

《個人信息保護法》頒布之后，數據保護領域的法律體系趨于成熟，但是理論界關于數據保護合規(guī)性質與范圍的不同認識仍然存在。一方面，以數據處理規(guī)則的遵守為對象的研究，將企業(yè)合規(guī)理解為“遵守法律規(guī)定”的字面意思，因而數據保護合規(guī)也就是遵守相關法律的數據處理規(guī)則，在收集、存儲、使用等各個環(huán)節(jié)遵紀守法，避免因違法違規(guī)處理數據遭受處罰。另一方面，以數據管理義務的履行作為數據保護合規(guī)主要范圍的思路，將企業(yè)合規(guī)限制于合規(guī)風險評估、合規(guī)培訓、合規(guī)審計等特定管理措施和技術措施，合規(guī)義務被等同于管理義務，而法律為規(guī)范數據處理所規(guī)定的一系列禁止性和義務性條款，則被排除在數據保護合規(guī)的范圍之外。

從數據保護合規(guī)的性質來看，其是企業(yè)為防控數據合規(guī)風險所建立的一套公司治理體系，不同于“合乎數據處理規(guī)范”“遵守數據處理規(guī)則”的概念，具有公司治理的豐富內涵，尤其是數據合規(guī)流程性條款所規(guī)定的一系列管理和技術措施，當然屬于數據保護合規(guī)的重要組成部分，以數據處理規(guī)則的遵守為對象的研究顯然是片面的。

從數據保護合規(guī)的范圍來看，數據保護合規(guī)由數據合規(guī)政策和數據合規(guī)管理流程兩大要素組成，數據保護合規(guī)條款也由合規(guī)政策性條款和合規(guī)流程性條款構成。而且，數據合規(guī)政策、標準、守則應當成為數據保護合規(guī)體系的中心，合規(guī)管理流程則處于合規(guī)政策保障性措施的地位。以合規(guī)管理義務的履行為對象的研究專注于合規(guī)流程性條款，忽略了合規(guī)政策及其法律條款的中心地位，使得數據合規(guī)體系因缺乏合規(guī)政策要素而不完整，也使合規(guī)管理流程的搭建猶如無源之水，無法發(fā)揮識別、監(jiān)測、應對違法違規(guī)行為的風險防范效果。

唯有厘清數據保護合規(guī)的性質與范圍，才能正確框定數據保護合規(guī)體系的研究對象。我們需要將現有的兩種研究思路加以整合，數據保護合規(guī)體系研究應兼顧數據合規(guī)政策和數據管理流程，將法律規(guī)定的合規(guī)政策性條款作為制定數據合規(guī)政策、標準、程序的主要依據，同時，將合規(guī)流程性條款融入合規(guī)組織和管理流程的打造中，保障合規(guī)政策的有效貫徹。

二、數據保護領域的合規(guī)風險

企業(yè)建立合規(guī)計劃的目的在于避免合規(guī)風險的發(fā)生。區(qū)別于企業(yè)的決策風險、經營風險、財務風險，合規(guī)風險專指企業(yè)因違法違規(guī)行為遭受行政處罰和刑事追究的風險，合規(guī)體系的政策和流程都要圍繞特定合規(guī)風險進行針對性構建。(8)參見毛逸瀟：《合規(guī)在中國的引入與理論調適——企業(yè)合規(guī)研究述評》，《浙江工商大學學報》2021 年第2 期。通過分析我國企業(yè)在數據保護領域面臨的行政風險和刑事風險，可以將數據保護合規(guī)風險分為兩大類，一是違反合規(guī)政策性條款，違反數據處理規(guī)則的數據濫用類風險，二是違反合規(guī)流程性條款，怠于履行數據合規(guī)管理義務的管理失職類風險。無論是濫用類風險，還是失職類風險，都有賴于搭建數據保護合規(guī)計劃予以一體化防范。

（一）數據濫用類風險

我國數據保護法律制定了以“告知-同意”為核心的數據處理規(guī)則，并且設置了違反數據處理規(guī)則的罰則，此類數據合規(guī)風險被稱為數據濫用類風險。從風險發(fā)生的場景維度，數據濫用類風險可以分為數據采集風險、數據使用風險、第三方關聯風險。

1.數據采集風險

在數據采集階段，常見場景分別是向用戶直接采集、向第三方采集、通過爬蟲獲得數據，核心風險是未貫徹“告知-同意”規(guī)則，未滿足充分告知、自愿同意、明確授權、變更再次告知并征得同意、允許撤回同意等完整的規(guī)范要求。具體而言，個人信息采集應保證遵守合法性、正當性、合目的性、透明性、最小必要性等原則，(9)參見程嘯：《論我國個人信息保護法的基本原則》，《國家檢察官學院學報》2021 年第5 期。告知個人采集信息的目的、用途、期限和個人行使查閱、復制、更正、補充、刪除、限制處理、撤回同意、免受自動化決策、數據可攜帶等權利的方式，取得個人的授權同意，嚴格控制采集個人信息的數量和頻率。尤其是對于特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息，只有在具有特定目的和充分必要性時方可采集，并且要取得個人的單獨同意，向個人告知處理的必要性以及對個人權益的影響。在向第三方采集和網絡爬蟲場景中，更加需要關注多重授權機制的落實，確保取得個人向第三方、被爬蟲網站、本企業(yè)等多個采集方分別作出的同意。

數據采集階段的刑事合規(guī)風險主要包括：通過非法購買、收受、交換等方式獲取公民個人信息，或者在履行職責、提供服務過程中非法收集公民個人信息的，可構成侵犯公民個人信息罪；通過爬蟲等技術手段非法獲取數據信息，可能構成非法獲取計算機信息系統數據罪或者非法侵入計算機信息系統罪，獲取數據過程中導致計算機信息系統不能正常運行的，可構成破壞計算機信息系統罪；明知是非法獲取計算機信息系統數據犯罪所獲取的數據而予以轉移、收購、代為銷售的，構成掩飾、隱瞞犯罪所得罪；建立網站、通訊群組非法獲取公民個人信息的，還可構成非法利用信息網絡罪。

2.數據使用風險

在數據使用階段，常見場景包括數據提供、數據共享、用于自動化決策、跨境流動，核心風險除了違反“告知-同意”規(guī)則以外，還包括將數據用于違法犯罪活動。第一，“告知-同意”規(guī)則同樣適用于數據使用環(huán)節(jié)，企業(yè)不得超出事前告知的處理目的和處理方式使用個人信息，尤其是向他人提供個人信息的，應當向個人告知接受方的名稱、聯系方式、處理目的、處理方式和個人信息種類，并取得個人的單獨同意。第二，在數據共享場景下，未經被收集者同意，不得向他人提供個人信息，即便是對原始數據進行清洗、匿名化處理后產生的衍生數據，也仍然不能免除信息保護義務，只有經過“去身份化”處理的信息確已不能識別到特定自然人，才能在無需再次征得個人同意的情況下流轉和交易。(10)參見包曉麗：《數據共享的風險與應對——以網絡借貸平臺為例》，《上海政法學院學報》2021 年第5 期。第三，在利用個人信息進行自動化決策時，應當保證決策的透明度和結果公平公正，并提供行使免受自動化決策權的便捷方式。第四，企業(yè)在進行數據跨境提供時仍應遵守“告知-同意”規(guī)則，取得個人的單獨同意，關鍵信息基礎設施運營者和達到規(guī)定數量的個人信息處理者還負有數據本地化存儲義務，非經網信部門安全評估不得跨境提供。第五，企業(yè)還應防止客戶、第三方將數據用于違法犯罪活動，不得設立用于實施違法犯罪行為的網站、通訊群組，確保所提供的網絡產品和服務未設置惡意程序，不含有法律禁止發(fā)布的信息。

數據使用階段的刑事合規(guī)風險主要包括：非法出售、提供公民個人信息可構成侵犯公民個人信息罪，即便是合法收集的個人信息，只要未經被收集者同意向他人提供，并且未采取匿名化技術措施的，也構成本罪；建立網站、通訊群組非法出售、提供公民個人信息的，構成非法利用信息網絡罪；將獲取的個人信息出售或提供給他人從事犯罪活動的，可構成幫助信息網絡犯罪活動罪或者非法經營、詐騙、傳銷、侵犯知識產權等相關犯罪的共犯。

3.第三方關聯風險

企業(yè)所面臨的數據合規(guī)風險常常并非來源于自身。企業(yè)作為一種具有法律人格的商業(yè)組織，經過集體決策或者經由企業(yè)負責人作出決定所實施的危害社會行為，被稱為“系統性單位犯罪”，這意味著企業(yè)本身就是一個犯罪集團。這種情況雖然在現實中確實存在，但是大部分企業(yè)設立的目的不是為了犯罪，且不以犯罪為業(yè)，最終會構成犯罪是因為偶發(fā)性和不謹慎的因素。數據領域的第三方包括上游數據提供方、中游的數據代理商、下游的數據接受方等等，企業(yè)經常受到牽連而承擔第三方違法犯罪的連帶責任。一旦第三方實施了違法行為，由于企業(yè)采取了接受、縱容態(tài)度，沒有制止或糾正數據濫用行為，沒有及時填補管理漏洞、消除制度隱患，最終被推定為構成“非系統性單位犯罪”。(11)參見陳瑞華：《企業(yè)合規(guī)出罪的三種模式》，《比較法研究》2021 年第3 期。

企業(yè)一方面可能構成侵犯公民個人信息罪或者幫助信息網絡犯罪活動罪等新型犯罪，另一方面，如果對第三方利用數據實施的傳統犯罪知情，還可能構成相關犯罪的共犯。例如，第三方利用網絡平臺進行賭博活動或者開設賭場，企業(yè)作為平臺提供方可構成開設賭場罪；而第三方利用網絡平臺傳播淫穢視頻和圖片的，網絡平臺可構成傳播淫穢物品牟利罪。在快播案中，快播公司雖然沒有直接實施傳播淫穢物品的行為，但是利用P2P 技術提供了用戶下載和上傳淫穢視頻的平臺，并且提供緩存服務，由于放任淫穢視頻在本平臺上大量傳播，構成傳播淫穢物品牟利罪。(12)參見劉艷紅：《無罪的快播與有罪的思維——“快播案”有罪論之反思與批判》，《政治與法律》2016 年第12 期。

（二）管理失職類風險

數據合規(guī)管理失職類風險來源于法律通過合規(guī)流程性條款為企業(yè)創(chuàng)設的合規(guī)管理義務，企業(yè)怠于履行義務，就有可能受到監(jiān)管部門的行政處罰，一旦造成用戶重大敏感信息泄露的嚴重后果，經監(jiān)管部門責令采取改正措施而拒不改正的，還可構成拒不履行信息網絡安全管理義務罪。為貫徹等級保護和分級分類管理的要求，我國數據保護法律為關鍵信息基礎設施運營者、敏感信息處理者、提供重要互聯網平臺服務的數據處理者確立了更加嚴格的數據保護合規(guī)管理義務。管理失職類風險可以分為安全管理措施風險、安全技術措施風險、事件補救措施風險三大類。

1.安全管理措施風險

安全管理措施是企業(yè)為履行數據安全保護義務而采取的管理措施。企業(yè)未采取法定安全管理措施，即被認定為未履行安全管理義務，可能遭受行政或刑事處罰。這些安全管理措施主要包括：第一，設立數據安全負責人和管理機構，公開負責人的聯系方式并報送職能部門；第二，合理確定內部從業(yè)人員的數據處理操作權限，并定期進行安全教育和培訓；第三，定期對數據處理情況進行合規(guī)審計，加強風險監(jiān)測；第四，成立主要由外部成員組成的獨立機構對數據保護合規(guī)情況進行監(jiān)督；第五，在處理敏感個人信息、利用個人信息進行自動化決策、向他人或境外提供個人信息、委托處理個人信息等場景下，應當事前進行個人信息保護影響評估，并報送評估報告；第六，建立安全投訴、舉報制度，公布舉報方式等信息，及時受理投訴和舉報；第七，嚴格資質管理，如數據服務經營者依法取得經營業(yè)務許可或者備案等等。

2.安全技術措施風險

安全技術措施是指企業(yè)為保護數據安全所采取的必要技術措施，主要包括：第一，防范計算機病毒和網絡攻擊、網絡侵入的網絡運行安全技術措施；第二，檢測、記錄網絡運行狀態(tài)、網絡安全事件的技術措施，留存網絡日志不少于6 個月；第三，防止未經授權訪問以及個人信息泄露、篡改、毀損、丟失的安全技術措施，如加密、備份、去標識化等等。一般而言，數據泄露和丟失的常見風險場景有數據存儲的物理介質或邏輯映像失竊、內部管理員舞弊泄露數據、應用端的數據泄露等等，企業(yè)應當采取必要的技術措施保障數據安全，為保護數據不泄露，需要采取數據加密措施；為保護數據不丟失，需要采取分類存儲措施。

3.事件補救措施風險

我國數據保護法律的合規(guī)流程性條款高度重視違法事件發(fā)生后的補救措施，企業(yè)在下列補救措施方面懈怠失職的，不僅構成合規(guī)管理失職行為，還會導致加重處罰。第一，發(fā)生或者可能發(fā)生個人信息泄露、篡改、丟失的，企業(yè)應當立即采取補救措施，并將信息種類、事件原因、可能造成的危害、補救措施、企業(yè)的聯系方式等事項通知職能部門和個人。第二，網絡經營企業(yè)發(fā)現網絡產品和服務存在安全缺陷、漏洞等風險的，應立即采取補救措施，并按規(guī)定及時告知用戶，保存有關記錄，向主管部門報告。第三，網絡經營企業(yè)對于違反法律、行政法規(guī)的信息，一經發(fā)現，應立即停止傳輸該信息，采取消除等處置措施，防止信息擴散。第四，制定數據安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險，發(fā)生危害數據安全事件時，應立即啟動應急預案，采取相應的補救措施，并按規(guī)定向主管部門報告。

三、數據保護合規(guī)體系的基本原則

以合規(guī)政策為中心、以合規(guī)管理流程為保障的數據保護合規(guī)體系建設需要遵循一系列基本原則，包括處于核心地位的有效數據合規(guī)原則，以及為數據保護合規(guī)體系建設提供方法指導的行政合規(guī)與刑事合規(guī)一體化建設、對外合規(guī)與對內合規(guī)相分離、全流程數據合規(guī)、數據合規(guī)技術等原則。這些基本原則既體現了有效合規(guī)管理的理念和方式，也與數據保護這一專項領域相契合，貫徹了數據保護基本原則的要求，體現了數據保護合規(guī)體系的專業(yè)性。

（一）有效數據合規(guī)原則

合規(guī)計劃的生命在于有效，從價值維度分析，企業(yè)合規(guī)有助于企業(yè)減少損失，切割責任，獲得行政和刑事執(zhí)法上的寬大處理，實現長久的可持續(xù)發(fā)展。(13)參見陳瑞華：《論企業(yè)合規(guī)的基本價值》，《法學論壇》2021 年第6 期。企業(yè)合規(guī)之所以具有法律評價和經濟效益上的優(yōu)待價值，關鍵在于其發(fā)揮了有效防控合規(guī)風險的功能。根據企業(yè)合規(guī)基本理論，有效合規(guī)計劃在預防機制、識別機制、應對機制等三大標準體系中包括合規(guī)制度、合規(guī)管理機構、合規(guī)培訓、合規(guī)文化、合規(guī)風險識別、合規(guī)風險評估、合規(guī)風險處置、合規(guī)審計、合規(guī)舉報、內部調查、合規(guī)問責與懲戒、持續(xù)改進等十二項要素。(14)參見李玉華：《有效刑事合規(guī)的基本標準》，《中國刑事法雜志》2021 年第1 期。

數據保護合規(guī)計劃同樣以有效數據合規(guī)作為統領性原則，該原則的作用范圍貫穿數據保護合規(guī)體系的設計、執(zhí)行、效果三大環(huán)節(jié)。在設計環(huán)節(jié)，有效數據合規(guī)原則要求數據保護合規(guī)體系具有要素完備性、可行性、專業(yè)性，合規(guī)政策應窮盡相關法律對數據處理規(guī)則的禁止性和義務性規(guī)定，并針對內部員工和外部第三方涉及的業(yè)務場景進行細化制定；合規(guī)管理流程應囊括事前防范、事中監(jiān)測、事后應對程序，建立數據保護管理和技術措施。在執(zhí)行環(huán)節(jié)，有效數據合規(guī)原則要求企業(yè)的數據合規(guī)建設得到領導層的高度重視，具有專業(yè)的數據合規(guī)人才儲備和成熟的現代企業(yè)管理結構，投入充足的人力、物力資源，具備執(zhí)行合規(guī)管理體系的條件和能力。在效果環(huán)節(jié)，有效數據合規(guī)原則要求合規(guī)政策得到員工的切實遵守，合規(guī)管理流程高效運轉而不至流于形式。例如，通過員工考試檢驗合規(guī)培訓行之有效，通過受理舉報、開展內部調查、處理責任人的實際案例確保合規(guī)舉報和獎懲機制富有成效，通過停止存在數據安全隱患的產品和服務證明數據保護影響評估制度有效運行。

（二）行政合規(guī)與刑事合規(guī)一體化建設原則

行政合規(guī)與刑事合規(guī)的一體化建設在日常性合規(guī)管理體系中分歧不大，畢竟，企業(yè)建立合規(guī)體系是為了避免遭受行政和刑事處罰，自然應當注重行政風險和刑事風險的一體化防控。但是在違法行為發(fā)生后的合規(guī)整改中，考慮到整改期限較短，根據針對犯罪原因而采取補救措施、預防企業(yè)再次實施犯罪的刑事合規(guī)特性，(15)參見王焰明、張飛飛：《企業(yè)刑事合規(guī)計劃的制定要把握四個特性》，《檢察日報》2021 年7 月13 日。行政合規(guī)和刑事合規(guī)相分離的理念得到一定認可。論者主張企業(yè)在合規(guī)整改中應建設以制度糾錯為主要方式的刑事合規(guī)，檢察機關當重點審查合規(guī)計劃的實施是否能夠消除犯罪條件，(16)參見石磊、陳振偉：《刑事合規(guī)的中國檢察面相》，《山東社會科學》2020 年第5 期。同時建設行政合規(guī)則是既不必要、也不現實的。

這種觀點或許在其他專項合規(guī)領域具有一定合理性，但是對于數據保護合規(guī)體系而言，無論在日常性合規(guī)體系建設，還是在違法行為發(fā)生后的合規(guī)整改中，都應當遵循行政合規(guī)與刑事合規(guī)一體化建設原則。首先，行政違法和刑事犯罪之間的界限十分模糊。數據保護領域的犯罪均為法定犯，“違反國家規(guī)定”作為空白罪狀意味著行政法律體系關于數據處理規(guī)則和管理義務的規(guī)定本身就是犯罪構成要件之一，在此基礎上，只要符合數量、情節(jié)等特定構成要件就足以轉化為犯罪。其次，數據犯罪特定構成要件的門檻極低。以侵犯公民個人信息罪為例，侵犯行蹤軌跡、財產信息等敏感個人信息50 條以上即可構成犯罪，對于從事海量化數據處理的現代企業(yè)而言，一旦忽視行政合規(guī)風險防控，任由侵犯50 條以下公民個人信息的違法行為發(fā)生，再次構成犯罪幾乎成為必然結果。最后，有效的數據合規(guī)管理體系足以實現行政合規(guī)風險和刑事合規(guī)風險的一體化防控。在合規(guī)體系建設方面，行政合規(guī)和刑事合規(guī)的區(qū)別僅在于合規(guī)政策的涵蓋范圍，而合規(guī)管理組織和流程則是通用和兼容的，只要合規(guī)政策將行政法律和刑事法律的規(guī)范均轉化為內部守則，合規(guī)管理流程即可實現行政合規(guī)和刑事合規(guī)風險的一體化預防、識別與應對。

（三）對外合規(guī)與對內合規(guī)相分離原則

數據跨境流動中的合規(guī)問題始終是理論界和實務界關注的焦點。在維護數據主權和保障國家安全維度，數據本地化存儲至關重要；而在參與國際貿易和發(fā)展數字經濟維度，數據跨境流動無法避免。學界提出“雙向合規(guī)”的理論構想，意指企業(yè)應實現對外合規(guī)與對內合規(guī)的兼顧與統合。(17)參見張凌寒：《個人信息跨境流動制度的三重維度》，《中國法律評論》2021 年第5 期。但是，從數據保護合規(guī)體系建構理念和方法來看，仍應樹立對外合規(guī)和對內合規(guī)相分離的基本原則。

首先，我國數據保護法律為對外合規(guī)設置了特殊的合規(guī)政策和管理流程。企業(yè)跨境提供數據應當滿足網信部門安全評估、專業(yè)機構個人信息保護認證、與境外接收方訂立合同三大條件之一，并且履行詳盡告知義務。網信辦更是作出細化規(guī)定，要求企業(yè)應事先開展數據出境風險自評估，憑借自評估報告和與境外接收方擬定立的合同方能向網信部門申報出境安全評估。其次，國內外數據保護法律規(guī)定的合規(guī)政策性和流程性條款存在差異。目前全球已有130 余個司法轄區(qū)頒布了綜合性數據保護法律，各國法律確立的合規(guī)條款不盡相同，如歐盟《通用數據保護條例》在個人信息處理合法性事由等政策性條款和數據保護影響評估等流程性條款方面，與國內法有著顯著區(qū)別。企業(yè)只有在國外設立營業(yè)機構或者提供產品服務時，才需要根據當地法律進行針對性的國別差異化管控。最后，對外合規(guī)與對內合規(guī)相分離原則有助于舒緩企業(yè)的合規(guī)壓力。將雙向合規(guī)視為提升國家在國際貿易和全球數據治理中的競爭力和話語權的思路給企業(yè)帶來過重的合規(guī)負擔，而企業(yè)合規(guī)不僅是企業(yè)的義務，福利型政府也應通過公共法律服務予以保障。在當前國內數據保護合規(guī)建設的起步階段，對外合規(guī)和對內合規(guī)相分離原則的堅守也是基于政府有限監(jiān)管資源和企業(yè)有限合規(guī)資源的現實選擇。

（四）全流程數據合規(guī)原則

全流程數據合規(guī)原則要求企業(yè)的數據保護合規(guī)體系既要涵蓋收集、存儲、使用、加工、傳輸、提供、公開、刪除等數據全生命周期，也要貫徹研發(fā)、設計、生產、銷售、服務等業(yè)務全流程。企業(yè)打造專項合規(guī)計劃時面臨的巨大挑戰(zhàn)，是如何將有效合規(guī)計劃標準和要素嵌入企業(yè)生產經營活動的每一道流程，使合規(guī)計劃由紙面文本順利落地，在商業(yè)實踐的各個業(yè)務環(huán)節(jié)發(fā)揮全方位風險防范和監(jiān)測的作用。

全流程數據合規(guī)原則最為典型的立法例是歐盟《通用數據保護條例》規(guī)定的設計和默認數據保護制度（Data protection by design and by default），即在產品和服務的設計之初以及業(yè)務開展全流程貫徹數據保護要求，遵守數據全生命周期處理規(guī)則和管理流程。(18)See General Data Protection Regulation （EU GDPR），Article 25.一方面，在設計之初直至所有業(yè)務環(huán)節(jié)確保數據信息采集、存儲、使用等處理活動符合合法、正當、必要、誠信、目的限制、公開透明、數據質量等基本原則和政策性規(guī)則，例如，在開展數據處理前明確數據的范圍和處理方式，履行告知義務，用數據最小化原則來盡量減少個人信息的處理，并且僅處理實現目的所必須的數據；另一方面，在業(yè)務全流程中建立數據保護合規(guī)管理流程，設置數據合規(guī)官、對個人信息采取分級分類管理、開展數據保護影響評估和第三方盡職調查、采取去標識化處理等技術安全措施，等等。

（五）數據合規(guī)技術原則

數據保護合規(guī)體系具有顯著的技術依賴性，數據合規(guī)技術原則要求數據保護合規(guī)深入技術、利用技術、創(chuàng)新技術。首先，數據保護合規(guī)體系需要深入技術。數據與技術相伴而生，數據作為生產要素，需要通過技術手段打造成為產品和服務，方能投入市場經營。因此，數據保護合規(guī)政策的制定和管理流程的落實都必須深入技術內部，對業(yè)務活動開展所依托的網絡爬蟲、人工智能、區(qū)塊鏈等技術環(huán)節(jié)實施合規(guī)管控。其次，數據保護合規(guī)體系需要利用技術。我國數據保護法律在合規(guī)流程性條款中將技術措施與管理措施并列，成為數據保護合規(guī)管理流程的重要組成部分。這些技術措施主要包括：（1）對數據進行匿名化或去標識化處理；（2）對數據進行分級分類，進行物理或邏輯隔離存儲；（3）采用身份認證、進程監(jiān)控、日志分析和安全審計等技術手段，對數據存取情況進行監(jiān)測記錄等等。最后，數據保護合規(guī)體系需要創(chuàng)新技術。在對海量業(yè)務數據進行合規(guī)監(jiān)測和管理的過程中，傳統的數據清單等方式無法記錄數據的全生命周期，尤其是無法涵蓋大量的非結構化數據，更無法有效識別數據類型并合理配置管理資源。實踐中一種稱為數據流映射或者數據流測繪（Data flow maps）的技術應運而生，該技術可以通過系統或程序描繪數據的流動過程，清晰記錄數據的使用情況；可以計算處理的特定數據元素，包括對不同類型的敏感信息進行標記；可以識別數據在生命周期中不同階段的風險，在業(yè)務流程的每個環(huán)節(jié)中進行數據保護合規(guī)管控的特別提示。(19)See Jeremy Berkowitz，Michael Mangold & Stephen Sharon，Data Flow Maps—Increasing Data Processing Transparency and Privacy Compliance in the Enterprise， Washington and Lee Law Review Online Vol. 73，p.802（2016-2017）.數據合規(guī)技術原則深入技術、利用技術、創(chuàng)新技術的基本內涵，既是保障數據保護合規(guī)體系針對性和有效性的必然要求，也是持續(xù)改進合規(guī)流程體系、提高合規(guī)風險防控效果的關鍵措施。

四、數據保護合規(guī)體系的搭建

企業(yè)為有效防控數據合規(guī)風險，避免遭受定罪量刑、天價罰款、取消上市資格、吊銷營業(yè)執(zhí)照等嚴厲的行政或刑事處罰，產生建立數據保護合規(guī)體系的強烈意愿。根據企業(yè)合規(guī)基本理論，有效合規(guī)管理存在兩種模式，一是日常性合規(guī)管理模式，是指企業(yè)根據常態(tài)化的合規(guī)風險評估結果，為防范企業(yè)潛在的合規(guī)風險，開展合規(guī)管理體系建設的一種方式；二是合規(guī)整改模式，是指企業(yè)在面臨執(zhí)法調查的情況下，針對其經營模式、管理方式、決策機制等方面所存在的漏洞和隱患，進行有針對性的制度修復和糾正錯誤的一種治理方式。(20)參見陳瑞華：《有效合規(guī)管理的兩種模式》，《法制與社會發(fā)展》2022 年第1 期。兩種模式的制度構造和建設方式雖然存在一定差異，但都需要打造一套有效的數據保護合規(guī)體系，以實現整體的和長效化的數據治理。

（一）目前合規(guī)體系搭建的主要問題

目前多數企業(yè)的數據保護合規(guī)實踐尤有諸多不足。由于《個人信息保護法》等法律只是數據保護領域的基本法律，在制度建設方面還有很多需要細化的地方，(21)參見張新寶：《聚焦個人信息保護實踐 推動個人信息保護法順利實施》，學習強國網站https://www.xuexi.cn/lgpage/detail/index.html?id=10433843177635395240&item_id=10433843177635395240，最后訪問日期：2021 年11 月1 日。企業(yè)在建設數據保護合規(guī)體系方面又缺乏豐富的經驗，因此有必要提出系統性的構建方案。

1.合規(guī)政策的針對性問題。數據保護合規(guī)政策在合規(guī)體系中處于中心地位，但是各個企業(yè)在制定合規(guī)政策和員工手冊時常常出現同質化和形式化問題，缺乏針對性成為目前合規(guī)政策制定環(huán)節(jié)面臨的首要問題。首先是合規(guī)政策沒有針對國內法律制定，企業(yè)經常直接翻譯國外數據保護法條作為合規(guī)政策，而不進行任何修改和本地化調整，從而違反對外合規(guī)和對內合規(guī)相分離原則。其次是合規(guī)政策沒有針對本企業(yè)實際情況制定，而是直接復制頭部企業(yè)的數據保護政策條款，既沒有作出契合本企業(yè)經營情況的修改，也沒有依據本企業(yè)的行業(yè)特征進行優(yōu)化，使許多合規(guī)政策形同具文。最后是合規(guī)政策沒有針對特定業(yè)務場景進行細化，只是對法律合規(guī)條款的簡單重復，而沒有深入設計、生產、經營等流程詳細展開。

2.合規(guī)流程的體系性問題。企業(yè)在實際打造合規(guī)流程時，常常只關注數據保護法律在合規(guī)流程性條款中列明的管理措施，而缺乏基本的體系性。我國數據保護法律只提及合規(guī)負責人、合規(guī)培訓、合規(guī)風險評估等內容，而且這些條款大都是較為簡略的原則性規(guī)定，不能為流程體系搭建提供足夠的規(guī)范支撐。至于合規(guī)內部調查、合規(guī)盡職調查、合規(guī)報告、合規(guī)問責與懲戒等管理流程，則沒有出現在法律中。因此，企業(yè)如果僅以流程性條款為指導，一方面，特定管理流程的建設將不成體系，無法實現制度閉環(huán)。例如，企業(yè)的合規(guī)培訓流程往往忽略組織員工簽署合規(guī)承諾書，以及對培訓效果進行測試等環(huán)節(jié)；響應主體權利流程經常不能形成接受權利主體請求、處理請求、反饋信息的內部工作流，導致請求淹沒在數據保護、信息技術、業(yè)務職能等不同部門的流轉之中。另一方面，由于缺失了有效合規(guī)計劃的部分要素，各個合規(guī)管理流程之間可能無法形成貫穿事前防范、事中監(jiān)測、事后應對的防控系統，使管理流程因體系化不足而存在疏漏。例如，在缺乏合規(guī)內部調查機制的情況下，風險評估和違規(guī)事件應對機制根本無從運轉；合規(guī)盡職調查機制的缺失，則使得企業(yè)的第三方合規(guī)管理處于失控狀態(tài)，仍然暴露在巨大的第三方關聯合規(guī)風險當中。

3.合規(guī)組織的專業(yè)性問題。數據保護合規(guī)組織體系搭建的常見問題主要集中于完備性和專業(yè)性兩個方面。不過，中小微企業(yè)由于客觀條件的限制，無法構建完整的專項組織體系，此時只要符合最低限度的組織要求即可。最具爭議的理論問題在于合規(guī)組織成員的專業(yè)性。關于合規(guī)組織組成人員的專業(yè)背景，實踐中有兩種模式，一種是以中興通訊公司為代表的法律專業(yè)模式，合規(guī)團隊主要由法律專業(yè)背景的人員組成；另一種是以華為公司為代表的技術專業(yè)模式，合規(guī)團隊主要由通信、計算機等技術專業(yè)背景的人員組成。本文認為，企業(yè)合規(guī)是一種專業(yè)的法律風險管理活動，根據有效數據合規(guī)原則，數據保護合規(guī)組織的主體應由法律專業(yè)人員組成，確保合規(guī)政策和管理流程具有風險導向性，圍繞防控行政和刑事違法事件展開。而根據數據合規(guī)技術原則，數據保護合規(guī)離不開技術措施的投入，為實現全流程數據合規(guī)管控，提升數據合規(guī)智能化和自動化水平，團隊中也需要配備若干數據處理技術專業(yè)人員，專門從事數據合規(guī)技術措施的研發(fā)和運行監(jiān)測。

4.合規(guī)體系的紙面化問題。合規(guī)體系的紙面化問題是數據保護合規(guī)體系執(zhí)行和效果環(huán)節(jié)暴露出的重大問題。即便合規(guī)政策和管理流程設計再良好，一旦無法得到有效執(zhí)行落地，合規(guī)體系就必然是流于形式而無效的，爆發(fā)合規(guī)風險將只是時間問題。合規(guī)體系的有效執(zhí)行可以通過最高層合規(guī)承諾、擁有自主權及必要資源的合規(guī)組織、有效的獎懲措施等方式來保障，效果環(huán)節(jié)的有效性則主要通過合規(guī)審計進行檢查，并依據合規(guī)審計報告不斷完善合規(guī)體系。(22)中興通訊全球法律政策研究：《公司合規(guī)監(jiān)察官機制研究（第三期）：合規(guī)監(jiān)察官應對建議》，微信公眾號“合規(guī)小叨客”，2020 年12 月2 日。當然，要使我國企業(yè)的數據保護合規(guī)體系進一步煥發(fā)生機，還要從改善合規(guī)制度的基礎性條件和強化合規(guī)治理的激勵性措施兩個角度著力。一方面，有效合規(guī)計劃需要現代公司治理結構作為基礎性條件，我國公司治理中的兩權分立不足、組織化水平低下、權力集中于股東會，依據公開透明的信息進行交往并不占據主導方式，導致合規(guī)的公司制度條件不足。(23)參見鄧峰：《公司合規(guī)的源流及中國的制度局限》，《比較法研究》2020 年第1 期。另一方面，數據合規(guī)的行政和刑事正向激勵機制有待強化，相對而言，刑事司法領域合規(guī)不起訴制度改革試點的穩(wěn)步推進，使得數據保護合規(guī)獲得刑事出罪的激勵效果，未來應通過立法加以鞏固；但是數據保護行政執(zhí)法中尚未建立起合規(guī)免罰機制，仍然采取嚴刑峻罰的執(zhí)法思路，如果能引入行政和解制度，引導企業(yè)通過數據保護合規(guī)整改換取行政免罰，(24)參見陳瑞華：《論企業(yè)合規(guī)在行政和解中的適用問題》，《國家檢察官學院學報》2022 年第1 期。將極大激勵企業(yè)建立“去紙面化”的數據保護有效合規(guī)體系。

（二）數據保護合規(guī)體系的完善

面對實踐中數據保護合規(guī)的紙面化和針對性、體系性、專業(yè)性不足等問題，企業(yè)需要從數據保護合規(guī)政策和合規(guī)管理流程兩個層面完善數據保護合規(guī)體系。當然，在違法行為發(fā)生后的合規(guī)整改程序中，企業(yè)應當首先采取違法違規(guī)事件的處置和補救措施；其次是開展內部調查，查找違法違規(guī)原因；再次是針對管理漏洞、隱患和缺陷，進行有針對性的制度糾錯和管理修復；最后才是搭建有效的數據保護合規(guī)體系。(25)參見陳瑞華：《企業(yè)有效合規(guī)整改的基本思路》，《政法論壇》2022 年第1 期。

1.數據保護合規(guī)政策的完善

合規(guī)政策是面向客戶、第三方、被并購企業(yè)的外向型規(guī)則，員工手冊則是針對企業(yè)高管、員工、分支機構的內部守則。制定數據保護合規(guī)政策和員工手冊要窮盡數據保護法律的禁止性和義務性條款，并與數據合規(guī)風險和特定業(yè)務場景相結合，實現“風險導向”和“場景細化”。例如，中興公司建立了包括政策、手冊、原則性規(guī)范、場景化指引的四級數據保護合規(guī)規(guī)則架構。首先，員工手冊分為總冊和業(yè)務領域分冊，尤其強調引入運營商業(yè)務、政企業(yè)務、消費者業(yè)務等具體業(yè)務場景后對總冊進行細化。其次，在原則性規(guī)范方面，中興公司分別制定《數據保護合規(guī)管理規(guī)范》等管理體系類政策、《隱私通知及設置規(guī)范》等通用要求類政策、《個人數據泄露響應規(guī)范》等專項治理類政策、《供應商數據保護合規(guī)管理規(guī)范》等相關方管理類政策。最后，場景化指引是原則性規(guī)范結合業(yè)務實際場景而形成的具體指導書，明確單個業(yè)務活動中整個數據生命周期的流轉和具體的風險及管控點，使得一線員工能夠清晰了解合規(guī)要求和具體的合規(guī)動作，在遇到具體的合規(guī)問題時有據可依，實現規(guī)則的透明化、可視化，保障規(guī)則的及時性和可落地性。(26)參見《中興通訊隱私保護白皮書（2020）》，中興通訊公司網站https://www.zte.com.cn/china/about/trustcenter/Legal-and-Compliance/201901230922/202004031553，最后訪問日期：2021 年11 月22 日。

2.數據保護合規(guī)管理流程的完善

其一，數據保護合規(guī)組織體系一般包括數據合規(guī)管理委員會、首席數據合規(guī)官、數據保護合規(guī)部、每個業(yè)務單元中的數據保護合規(guī)專員等四級架構。在數據合規(guī)管理實踐中，中興通訊公司成立了由總裁直接領導的合規(guī)管理委員會，作為負責合規(guī)管理體系運作的最高指導機構，聽取數據保護合規(guī)重大事項匯報并進行指導。在其領導下，各業(yè)務單位、合規(guī)專業(yè)部門與合規(guī)稽查部各司其職，協調配合，構成中興公司合規(guī)風險管理的三道防線。其中，由數據保護合規(guī)官領導的數據保護合規(guī)部是進行數據保護工作的專業(yè)部門，負責數據保護合規(guī)策略和合規(guī)規(guī)則的規(guī)劃、制定、執(zhí)行與監(jiān)督，對具體業(yè)務流程的合規(guī)風險進行評估和審查；業(yè)務單元的數據保護合規(guī)專員關注合規(guī)政策的可落地性以及管理成本的最優(yōu)化，推動合規(guī)政策落地，并評估合規(guī)政策的合理性；合規(guī)稽查部門關注規(guī)則盲點以及風控與管理的平衡問題，考察合規(guī)風險是否得到有效治理，驗證合規(guī)體系的有效性。(27)同前注［26］。

其二，數據保護合規(guī)防范體系由合規(guī)風險評估、合規(guī)盡職調查、合規(guī)培訓三大板塊構成。

數據保護合規(guī)風險評估制度又稱數據保護/個人信息保護影響評估，企業(yè)對數據處理活動存在的風險點進行定期評估，并保存評估報告和處理情況的記錄，以便發(fā)現處理敏感個人信息、利用個人信息進行自動化決策、委托處理個人信息、向第三方提供個人信息、向境外提供個人信息等過程中的合規(guī)風險點。數據保護影響評估包括三項內容，首先是個人信息的處理目的、處理方式等是否合法、正當、必要，其次是信息處理活動對個人的影響及風險程度，最后是所采取的安全保護措施是否合法、有效并與風險程度相適應。

合規(guī)盡職調查針對客戶、第三方商業(yè)伙伴、被并購方，其具有三大目的：發(fā)現合規(guī)風險、診斷商業(yè)模式和經營模式、讓被調查企業(yè)接受合規(guī)管理并建立退出機制。(28)參見陳瑞華：《律師如何開展合規(guī)業(yè)務（二）——合規(guī)盡職調查》，《中國律師》2020 年第9 期。首先，企業(yè)運用公開信息檢索、調查問卷、背景調查、文件審閱、管理層訪談、現場調查等方式展開合規(guī)風險評估。其次，如果風險在承受范圍之內，則需要建立分級管理機制，針對輕微風險等級的第三方只需進行日常合規(guī)培訓，針對高風險等級的第三方則需要責令限期整改、提交整改方案和報告。最后，建立退出機制。一旦客戶不按照要求進行合規(guī)整改，就可以責令退出、解除合同；第三方交易伙伴存在違法違規(guī)歷史和隱患，未建立數據保護合規(guī)體系，拒絕進行合規(guī)整改，則立即結束合作。企業(yè)在合同中應設立合規(guī)條款或者單獨簽署合規(guī)協議書，實踐中常見的方式是與第三方單獨簽署一份融入合規(guī)條款的數據處理協議，在協議中記載授權范圍等事項的同時，注明本公司的合規(guī)政策、合規(guī)管控措施和退出機制。

數據安全和個人信息保護教育培訓的內容主要是數據保護合規(guī)政策和員工手冊，企業(yè)要進行全程電子或書面留痕，采取錄像、照片、簽到本等方式，以證明公司開展合規(guī)培訓的事實，并要求參加培訓的員工簽署合規(guī)承諾書，承諾嚴格依照法律法規(guī)和授權范圍處理數據，員工仍然實施違規(guī)行為時責任自負，公司企業(yè)無需承擔責任。

其三，數據保護合規(guī)監(jiān)控體系是對違法違規(guī)行為進行實時監(jiān)測和識別的管理體系，包含全流程合規(guī)監(jiān)控、合規(guī)審計、違規(guī)行為舉報、合規(guī)報告四項具體流程。

全流程合規(guī)監(jiān)控要求企業(yè)在產品制造、銷售、服務等生產經營全流程，針對數據全生命周期，采取必要的技術安全和管理安全措施，保障數據的有效保護和合法利用，對存在違規(guī)行為的環(huán)節(jié)實行合規(guī)一票否決制。首先，設計和默認數據保護制度要求在產品和服務的設計之初以及全流程貫徹數據保護要求，確保僅在目的范圍內收集和處理個人數據、保證各項數據的質量和準確性、采取相關措施以實現數據最小化的要求、數據處理活動后會及時刪除數據或進行去標識化處理。其次，數據主體權利響應制度要求企業(yè)針對相應數據主體的權利請求建立便捷的申請受理和處理機制，在產品服務端口和企業(yè)內部構建受理請求、處理請求、反饋結果的完整機制。最后，企業(yè)必須采取必要的技術和管理安全措施以保障數據信息安全，包括防范計算機病毒和網絡攻擊、檢測記錄網絡運行狀態(tài)和網絡安全事件、數據分類、重要數據備份和加密、去標識化等技術安全措施，以及體系化的合規(guī)管理流程措施。

數據安全投訴、舉報制度要求企業(yè)實行24 小時舉報機制，搭建專門的舉報平臺，開放并公布電話舉報、網絡舉報等途徑，并對舉報人進行嚴格保護和高額獎勵。

合規(guī)審計要求對數據信息處理活動進行專項審計和定期審計，發(fā)揮合規(guī)監(jiān)控作用。企業(yè)應定期對其遵守法律法規(guī)的情況進行合規(guī)審計，監(jiān)管部門有權要求企業(yè)委托專業(yè)機構進行審計。合規(guī)審計的對象主要是數據保護政策以及安全措施的有效性，審計過程中發(fā)現的個人信息違法收集、違規(guī)使用、怠于管理等情況應及時進行處理。對審計過程和結果應形成完整記錄并妥善留存，確保能對安全事件的處置、應急響應和事后調查提供支撐。

合規(guī)報告要求企業(yè)進行定期和專項報告，通過合規(guī)組織體系自下而上地將合規(guī)計劃運行情況、合規(guī)風險、發(fā)生的違規(guī)行為報告給最高管理層。重要數據處理企業(yè)應將定期風險評估報告報送有關主管部門，重要互聯網平臺企業(yè)還應定期發(fā)布個人信息保護社會責任報告，接受社會監(jiān)督。

其四，數據保護合規(guī)應對體系是指違規(guī)行為發(fā)生后的反應機制。當違規(guī)行為發(fā)生或者被發(fā)現后，企業(yè)就要受到外部監(jiān)管和執(zhí)法機構的調查，此時需要建立內部的專業(yè)反應機制，如果盲目應對，或者采取毀滅、偽造證據等錯誤方式，就會面臨更加嚴厲的調查和處罰。針對違規(guī)行為的應對體系包含四項要求：首先是及時進行合規(guī)內部調查；其次是盡快處理違規(guī)員工和第三方；再次是盡快發(fā)現合規(guī)體系漏洞并進行整改；最后是要積極配合調查，主動進行報告披露。

我國數據保護法律尤其注重數據安全事件應急預案的制定和實施，以及違規(guī)事件發(fā)生后的補救措施和通報機制。圍繞應對體系的四項要求，企業(yè)應針對個人信息泄露、毀損、丟失，以及系統漏洞、計算機病毒、網絡攻擊、網絡侵入等引發(fā)的網絡安全事件，制定內部調查細則、違規(guī)責任人處理辦法、合規(guī)體系和技術漏洞修復措施、停止服務和消除影響補救方案等應急預案，在違規(guī)事件發(fā)生后立即實施預案，啟動調查、處置和補救措施，并向主管部門報告，積極配合事件調查。

結語

數據保護合規(guī)體系建構的根本目的在于防范數據保護領域的合規(guī)風險，為實現這一目的，數據保護合規(guī)應當包括數據處理規(guī)則的遵守和數據管理義務的履行。在數據保護法律中，前者對應合規(guī)政策性條款，后者則對應合規(guī)流程性條款；在數據保護合規(guī)體系中，前者是處于核心地位的專項合規(guī)政策，后者則是保障前者得到貫徹落實的合規(guī)組織和管理流程體系，只有將兩者相結合，數據保護合規(guī)體系才能得到完整建構，發(fā)揮有效防控風險的理想效果。相應的，企業(yè)違反數據處理規(guī)則，或者怠于履行法定的數據管理義務，都可能面臨相應的行政或刑事處罰，因此數據保護合規(guī)風險可以分為數據濫用類風險和管理失職類風險。

進入數據保護合規(guī)體系的搭建環(huán)節(jié)，首先要明確企業(yè)應當遵循的一系列基本原則，包括有效數據合規(guī)原則、行政合規(guī)與刑事合規(guī)一體化建設原則、對外合規(guī)與對內合規(guī)相分離原則、全流程數據合規(guī)原則、數據合規(guī)技術原則。注意到目前實踐中的數據保護合規(guī)建設存在合規(guī)政策針對性、合規(guī)管理流程體系性、合規(guī)組織體系專業(yè)性不足，以及合規(guī)計劃紙面化等問題，企業(yè)唯有從數據保護合規(guī)政策與員工手冊、組織體系、防范體系、監(jiān)控體系、應對體系等方面完善數據保護合規(guī)體系，才能對企業(yè)數據處理和安全管理全流程進行有效監(jiān)測與防控，從而建立一種具有針對性的數據合規(guī)風險防范長效機制。