孫 躍

近年來，持續(xù)高速發(fā)展的數(shù)字經(jīng)濟已經(jīng)成為我國經(jīng)濟增長和社會進步的重要驅(qū)動力之一。數(shù)據(jù)是數(shù)字經(jīng)濟的基本生產(chǎn)要素和載體，企業(yè)則是市場經(jīng)濟的主體及主要組織形式。因此，企業(yè)數(shù)據(jù)在數(shù)字經(jīng)濟中具有十分重要的地位。在域外，自2018年歐盟實施《通用數(shù)據(jù)保護條例》（簡稱GDPR）以來，西方發(fā)達國家圍繞企業(yè)數(shù)據(jù)治理展開的執(zhí)法活動日益頻繁。在國內(nèi)，隨著《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》以及配套法律規(guī)范的相繼實施，依法依規(guī)治理企業(yè)數(shù)據(jù)處理活動已成為政府和企業(yè)必須面對的現(xiàn)實課題。

隨著合規(guī)制度被引入我國企業(yè)治理體系，通過合規(guī)建設來降低數(shù)據(jù)處理違規(guī)風險對企業(yè)經(jīng)營造成的損失，具有較強的理論研究與實踐應用價值。雖然當前有不少學者對企業(yè)合規(guī)問題進行了研究，但普遍存在兩方面不足：其一，現(xiàn)有研究大多側(cè)重于從整體角度研究企業(yè)合規(guī)問題，針對企業(yè)數(shù)據(jù)合規(guī)的專門性研究成果還不夠豐富；其二，圍繞企業(yè)數(shù)據(jù)治理展開的研究更多側(cè)重于行政監(jiān)管與執(zhí)法視角，對數(shù)據(jù)合規(guī)這一以企業(yè)自治為主的創(chuàng)新機制關注度有限?；谏鲜鲅芯勘尘芭c問題意識，本文將在明確企業(yè)數(shù)據(jù)合規(guī)基本定位的基礎之上，從應對多維法律風險的角度闡述企業(yè)數(shù)據(jù)合規(guī)的主要功能，并重點探討企業(yè)數(shù)據(jù)合規(guī)體系的構(gòu)建路徑，為企業(yè)數(shù)據(jù)合規(guī)建設及數(shù)據(jù)治理政務活動提供參考和指引。

一、企業(yè)數(shù)據(jù)合規(guī)的基本定位及作用

企業(yè)數(shù)據(jù)合規(guī)建設雖然以企業(yè)為中心和主體，但其重要意義并不局限于企業(yè)自身的經(jīng)營管理，還涉及個人權益與公共利益。從企業(yè)的角度來看，數(shù)據(jù)合規(guī)是一種具有創(chuàng)新性的企業(yè)數(shù)據(jù)治理模式。從個人權益角度來看，企業(yè)數(shù)據(jù)合規(guī)是一種加強個人信息保護的有效手段。從公共利益角度來看，企業(yè)數(shù)據(jù)合規(guī)建設有助于規(guī)范數(shù)字經(jīng)濟的發(fā)展。

（一）作為企業(yè)數(shù)據(jù)治理創(chuàng)新模式的數(shù)據(jù)合規(guī)

從企業(yè)經(jīng)營管理的角度來看，數(shù)據(jù)合規(guī)本質(zhì)上是一種針對企業(yè)數(shù)據(jù)處理活動的自我治理機制。首先，企業(yè)數(shù)據(jù)合規(guī)是一種數(shù)據(jù)處理法律風險控制機制。根據(jù)法律風險來源，數(shù)據(jù)違規(guī)風險可以被分為兩類。第一類為數(shù)據(jù)違規(guī)的原生性風險，主要是指因數(shù)據(jù)違規(guī)直接引發(fā)的風險，如企業(yè)在收集與處理數(shù)據(jù)過程中對個人信息權益或相關公共利益的侵害引發(fā)的不利法律后果等。第二類為數(shù)據(jù)違規(guī)的派生性或次生性風險，主要是指因數(shù)據(jù)違規(guī)間接引發(fā)的擴散性風險。在數(shù)字化的大趨勢下，企業(yè)數(shù)據(jù)與財務、人力資源、法律事務、營銷、技術研發(fā)等各個業(yè)務部門之間均可能發(fā)生交叉關系，由此加劇了數(shù)據(jù)違規(guī)風險的流動性與擴散性。通過建立數(shù)據(jù)合規(guī)機制，有助于降低數(shù)據(jù)違規(guī)的派生性風險在企業(yè)各個業(yè)務部門之間的流動與擴散，從而使企業(yè)治理與合規(guī)體系更加完整。

其次，數(shù)據(jù)合規(guī)也是一種數(shù)據(jù)違規(guī)事后處理的創(chuàng)新機制，旨在降低數(shù)據(jù)違規(guī)活動造成的損失成本。數(shù)據(jù)違規(guī)可能會帶來大規(guī)模侵權、不正當競爭或濫用市場支配地位、刑事犯罪等法律風險，使包括企業(yè)在內(nèi)的多方主體遭受巨大損失。盡管建立數(shù)據(jù)合規(guī)體系并不能絕對避免數(shù)據(jù)違規(guī)事故的發(fā)生，但通過與執(zhí)法或司法活動的積極配合，可借助合規(guī)整改等方式減免相應的法律責任。

最后，企業(yè)數(shù)據(jù)合規(guī)亦是一種可用于改善企業(yè)數(shù)據(jù)治理形象的創(chuàng)新機制。企業(yè)數(shù)據(jù)合規(guī)主要依靠企業(yè)的自我治理與約束，本質(zhì)上是一種“自律機制”。企業(yè)數(shù)據(jù)合規(guī)不僅可以提升企業(yè)處理數(shù)據(jù)的合法性，而且還可以增強企業(yè)的商業(yè)道德與科技倫理意識，有助于激勵企業(yè)承擔與之相匹配的社會責任，引導企業(yè)塑造良好的商業(yè)信譽與公共形象。

（二）作為加強個人信息保護手段的數(shù)據(jù)合規(guī)

隨著互聯(lián)網(wǎng)時代的來臨與數(shù)字科技的發(fā)展，數(shù)據(jù)已逐漸成為個人信息的主要載體?！睹穹ǖ洹冯m然并未直接采用“個人信息權（利）”的表述方式，但在第111條明確了“自然人的個人信息受法律保護”，相當于確立了個人信息作為一種新興權益的法律地位。根據(jù)《個人信息保護法》第54條的規(guī)定，個人信息處理者應當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計。可見，通過建立合規(guī)機制保護個人信息及數(shù)據(jù)權益已成為企業(yè)必須履行的法定義務。

從企業(yè)與個人的相互關系來看，相對于個人，企業(yè)經(jīng)營管理活動會有更大概率引發(fā)個人信息侵權行為。作為市場經(jīng)濟主導者的企業(yè)天然就擁有更多機會獲取其他主體的個人信息，包括用戶、員工以及來自第三方企業(yè)甚至政府機關的個人信息。例如，互聯(lián)網(wǎng)平臺企業(yè)擁有強大的科技和資本實力，能夠更加快捷高效地收集與處理海量個人信息，一旦違規(guī)處理數(shù)據(jù)，將對個人信息保護產(chǎn)生巨大威脅。又如，關鍵信息基礎設施運營者（CIIO）掌握的個人信息和數(shù)據(jù)關系到國計民生的重要領域，其對數(shù)據(jù)處理的合規(guī)性與國民數(shù)據(jù)安全之間具有密切聯(lián)系。因此，企業(yè)需要建立數(shù)據(jù)合規(guī)機制來履行保護個人信息和數(shù)據(jù)安全的法定義務。

從國家與個人的相互關系來看，個人信息權利束是國家履行積極保護義務和通過制度性保障對個人進行賦權的結(jié)果，是個人制衡信息處理者的工具和國家對數(shù)據(jù)處理者的規(guī)制策略。個人信息在概念上雖凸顯“個人”，但其并非純粹的私法權利，個人對其信息并不享有絕對支配權。質(zhì)言之，個人信息只有在公共領域才能發(fā)揮其身份識別功能以及基于此產(chǎn)生的財產(chǎn)性利益。不僅如此，在經(jīng)濟全球化與經(jīng)濟數(shù)字化的疊加效應下，跨境數(shù)據(jù)流動不僅關乎國際貿(mào)易，而且也與國家數(shù)據(jù)安全甚至數(shù)據(jù)主權息息相關。數(shù)據(jù)合規(guī)建設的水平不僅關乎我國企業(yè)參與國際數(shù)字經(jīng)濟貿(mào)易活動，而且還會影響我國數(shù)字經(jīng)濟在全球范圍內(nèi)的戰(zhàn)略布局。

（三）作為數(shù)字經(jīng)濟發(fā)展規(guī)范方式的數(shù)據(jù)合規(guī)

數(shù)字經(jīng)濟的發(fā)展是一個“去中心化”與“再中心化”相互交織的過程：在“去中心化”過程中，需要增強社會的信任，以互動性、參與性的制度構(gòu)建回應這一趨勢；在“再中心化”過程中，則需要防范平臺的無序擴張、野蠻生長所帶來的壟斷、不正當競爭、隱私泄露等一系列風險?！毒W(wǎng)絡安全法》第17條規(guī)定，鼓勵有關企業(yè)、機構(gòu)開展網(wǎng)絡安全認證、檢測和風險評估等安全服務是國家推進網(wǎng)絡安全社會化服務體系建設的重要路徑之一。《數(shù)據(jù)安全法》第18條規(guī)定，國家支持有關部門、行業(yè)組織、企業(yè)、教育和科研機構(gòu)、有關專業(yè)機構(gòu)等在數(shù)據(jù)安全風險評估、防范、處置等方面開展協(xié)作。鑒于此，數(shù)字經(jīng)濟發(fā)展的規(guī)范化需要引入“多元共治”理念，依靠由政府、企業(yè)、個人等“社會治理共同體”間的“共建共治共享”實現(xiàn)。

在企業(yè)層面，數(shù)據(jù)合規(guī)建設旨在引導企業(yè)從數(shù)字經(jīng)濟治理的對象轉(zhuǎn)向數(shù)字經(jīng)濟治理的主體之一，進而提升企業(yè)參與數(shù)字經(jīng)濟治理的主動性與積極性，增強其在數(shù)據(jù)治理活動中的參與感與獲得感。對于政府而言，企業(yè)數(shù)據(jù)合規(guī)建設可以降低行政監(jiān)管與執(zhí)法的成本，提高數(shù)據(jù)治理政務活動的效率與效果。就“企業(yè)—政府”的雙向互動關系而言，企業(yè)數(shù)據(jù)合規(guī)建設可以促進形成“內(nèi)外聯(lián)動”與“自治+他治”的“數(shù)據(jù)多元共治”新格局，進一步凝聚企業(yè)與政府在規(guī)范數(shù)字經(jīng)濟發(fā)展方面的合力，最終形成更加持久穩(wěn)固的數(shù)字經(jīng)濟秩序。

二、企業(yè)數(shù)據(jù)合規(guī)法律風險應對功能的多維展開

企業(yè)數(shù)據(jù)合規(guī)具有創(chuàng)新企業(yè)治理、加強個人信息保護、規(guī)范數(shù)字經(jīng)濟發(fā)展等諸多作用，而這些均建立在企業(yè)數(shù)據(jù)合規(guī)具有的數(shù)據(jù)處理活動風險應對功能之上。結(jié)合企業(yè)經(jīng)營與管理的實際情況，企業(yè)數(shù)據(jù)合規(guī)的功能可從不同法律部門與領域的視角展開。

（一）基于民商經(jīng)濟法維度的分析

《民法典》在第四篇第六章中明確了個人信息及隱私保護的規(guī)則，奠定了個人信息保護的私法基礎。根據(jù)《個人信息保護法》第69條和最高人民法院《關于人臉識別技術處理個人信息的司法解釋》第6條的要旨，若企業(yè)平時不能采取有效措施存儲證據(jù)以證明其在數(shù)據(jù)處理過程中不存在過錯或不當行為，在日后糾紛中將可能承擔敗訴風險。由于數(shù)據(jù)往往以具體產(chǎn)品或服務為載體，互聯(lián)網(wǎng)平臺企業(yè)需要在提供服務時與用戶訂立合同。數(shù)據(jù)糾紛類案件不僅可能涉及民事法律關系，還可能與經(jīng)濟法中的濫用市場支配地位、不正當競爭以及消費者權益保護等問題相關聯(lián)，數(shù)據(jù)處理違規(guī)引發(fā)的風險還會從傳統(tǒng)侵權法領域擴展到合同法、經(jīng)濟法等領域。例如，在全國首例涉直播數(shù)據(jù)權益不正當競爭案中，法院就判定數(shù)據(jù)獲取違規(guī)行為同時侵害了主播個人信息權利、消費者權益以及基于正當競爭市場經(jīng)濟秩序的公共利益。法院認定企業(yè)通過App與用戶簽訂了《服務協(xié)議》《隱私政策》，通過收集用戶數(shù)據(jù)實施基于特定算法的價格歧視（即“大數(shù)據(jù)殺熟”）行為存在虛假宣傳、價格欺詐和欺騙行為，判令企業(yè)應當承擔《消費者權益保護法》第55條規(guī)定的“退一賠三”懲罰性賠償責任。

由于企業(yè)數(shù)據(jù)處理違規(guī)引發(fā)的個人信息侵權風險可能會從個人利益層面擴張到公共利益層面，根據(jù)《個人信息保護法》第70條以及《民事訴訟法》第55條的規(guī)定，企業(yè)數(shù)據(jù)的違規(guī)處理還會產(chǎn)生被提起公益訴訟的風險。在最高人民檢察院2021 年4月發(fā)布的“檢察機關個人信息保護公益訴訟典型案例”中，有一起案例涉及某網(wǎng)絡科技企業(yè)侵害公民個人信息，最終該企業(yè)被當?shù)貦z察機關提起民事公益訴訟并責令限期整改。

綜上，基于民商經(jīng)濟法的維度，加強企業(yè)數(shù)據(jù)合規(guī)建設主要具有以下功能：（1）降低因侵害個人信息及數(shù)據(jù)權益引發(fā)的民事訴訟概率；（2）防止因侵害個人信息及數(shù)據(jù)權益引發(fā)的個體訴訟向群體訴訟甚至公益訴訟轉(zhuǎn)化；（3）通過替代性的糾紛解決方案控制因侵害個人信息及數(shù)據(jù)權益引發(fā)的訴訟烈度，降低數(shù)據(jù)處理活動引發(fā)的民事爭議解決成本；（4）對于難以避免的民事訴訟風險，企業(yè)可通過數(shù)據(jù)合規(guī)建設來強化日常管理與證據(jù)固定，在一定程度上避免其在訴訟中處于明顯不利地位。

（二）基于行政法維度的分析

自2017年《網(wǎng)絡安全法》實施以來，各級執(zhí)法機關越發(fā)重視對企業(yè)數(shù)據(jù)合規(guī)的行政監(jiān)管，企業(yè)因未落實網(wǎng)絡安全等級保護制度及網(wǎng)絡安全保護義務、未履行個人信息保護義務、未落實真實身份信息認證、未履行網(wǎng)絡信息內(nèi)容審核義務、網(wǎng)絡產(chǎn)品和服務不符合法定要求等方面的事由遭受行政處罰的案例日益增多。實踐中，銀行、證券、保險等金融行業(yè)是企業(yè)數(shù)據(jù)合規(guī)風險的高發(fā)領域。自2018 年中國銀保監(jiān)會發(fā)布《銀行業(yè)金融機構(gòu)數(shù)據(jù)治理指引》后，不少企業(yè)因監(jiān)管標準化數(shù)據(jù)（EAST）系統(tǒng)數(shù)據(jù)質(zhì)量及報送存在違法違規(guī)行為而受罰。根據(jù)《個人信息保護法》第66條的規(guī)定，個人信息違法行為的行政處罰責任被進一步加重，主要體現(xiàn)在“罰金幅度提高”和“行業(yè)禁入”兩個方面。不僅如此，數(shù)據(jù)違規(guī)行為還會影響企業(yè)上市與投融資業(yè)務的開展。隨著網(wǎng)信、工信、市場監(jiān)管、公安等部門以及地方政府陸續(xù)制定關于數(shù)據(jù)合規(guī)的各種規(guī)范與標準，數(shù)據(jù)行政監(jiān)管規(guī)范體系將日益健全，行政監(jiān)管和處罰力度將呈現(xiàn)加大趨勢。在此背景下，企業(yè)建立數(shù)據(jù)合規(guī)可主動配合數(shù)據(jù)行政監(jiān)管，通過“內(nèi)外結(jié)合”的方式滿足合規(guī)經(jīng)營需求。

除配合日常行政監(jiān)管外，企業(yè)數(shù)據(jù)合規(guī)還具有促進行政執(zhí)法和解的激勵功能。所謂行政執(zhí)法和解，即行政機關在執(zhí)法活動中與行政相對人進行協(xié)商并達成和解協(xié)議的方式，在行政相對人滿足限定條件的前提下減免行政處罰。行政執(zhí)法和解具有較強的協(xié)商性與民主性，有助于將行政監(jiān)管理念從處罰轉(zhuǎn)變?yōu)轭A防，通過督促企業(yè)整改等方式降低行政執(zhí)法成本、提高行政執(zhí)法效率、激勵企業(yè)合規(guī)經(jīng)營。盡管我國尚未建立一般性行政執(zhí)法和解制度，但中國證監(jiān)會早在2015 年就發(fā)布了《行政和解試點實施辦法》，嘗試在金融監(jiān)管與執(zhí)法領域探索構(gòu)建行政和解制度?？梢灶A見的是，隨著行政執(zhí)法和解制度的日益成熟，其遲早會進入數(shù)據(jù)治理系統(tǒng)并與數(shù)據(jù)合規(guī)機制建立耦合關系?？梢?，企業(yè)通過建立數(shù)據(jù)合規(guī)并將其作為一種行政執(zhí)法和解的激勵工具，具有降低因行政處罰等制裁措施造成的經(jīng)營損失以及預防數(shù)據(jù)監(jiān)管與處罰風險的重要功能。

（三）基于刑事法維度的分析

《刑法》中與企業(yè)數(shù)據(jù)合規(guī)相關的罪名可以被分為兩類。一類是與個人信息保護直接相關的罪名，主要包括《刑法》第253條之一規(guī)定的“侵犯公民個人信息罪”以及第286條之一規(guī)定的“拒不履行信息網(wǎng)絡安全管理義務罪”。另一類則是與個人信息保護存在間接關聯(lián)的罪名。以侵犯公民個人信息罪為例，該罪名增設于2009 年實施的《刑法修正案（七）》。2015年實施的《刑法修正案（九）》將該罪的主體范圍進行了擴張，并提高了最高法定刑幅度，折射出立法機關對個人信息保護重視程度不斷提高的總體趨勢。在司法領域，最高人民法院、最高人民檢察院近年來也陸續(xù)在涉及數(shù)據(jù)及個人信息保護等領域發(fā)布了刑事司法解釋及指導性案例，體現(xiàn)出司法機關對打擊治理相關領域犯罪活動的重視。

《刑法》中關于個人信息保護的罪名有相當一部分屬于單位犯罪。從程序法與實體法互動角度來看，即便企業(yè)最后被追究的罪名不成立，刑事訴訟程序的嚴苛性與復雜性也會嚴重影響企業(yè)的經(jīng)營及公眾形象。根據(jù)實踐經(jīng)驗，企業(yè)合規(guī)可以在爭取不起訴或暫緩起訴、尋求無罪抗辯、減輕刑事處罰等方面產(chǎn)生積極作用。綜上，將數(shù)據(jù)合規(guī)作為專項計劃融入企業(yè)刑事合規(guī)體系之中，不僅具有預防數(shù)據(jù)犯罪活動的重要功能，同時還具有減免此類犯罪刑事法律責任的刑事訴訟激勵功能。

（四）基于國際法維度的分析

企業(yè)數(shù)據(jù)合規(guī)具有引導企業(yè)數(shù)據(jù)處理活動符合域外及國際數(shù)據(jù)規(guī)范的功能。在經(jīng)濟全球化與經(jīng)濟數(shù)字化兩大趨勢的疊加背景下，各國對個人信息保護及跨境數(shù)據(jù)合規(guī)的重視程度越來越高。這意味著企業(yè)在參與國際數(shù)字經(jīng)濟貿(mào)易活動中，因違反國際組織或外國相關法律法規(guī)而引發(fā)的數(shù)據(jù)處理風險不斷上升。歐盟GDPR 第六章規(guī)定，各國應當設立獨立的政府監(jiān)管機構(gòu)來監(jiān)督數(shù)據(jù)合規(guī)問題。2021年，歐盟依據(jù)GDPR進行的罰款總額為11億歐元，約為2020 年罰款總額的7 倍。近年來，我國已有多家企業(yè)因數(shù)據(jù)合規(guī)問題遭到不同方式與程度的制裁；亦有部分國家通過提高數(shù)據(jù)合規(guī)準入門檻，在實質(zhì)上設立了“數(shù)據(jù)貿(mào)易壁壘”?？鐕髽I(yè)的合規(guī)建設已無法回避國際法律維度下的數(shù)據(jù)跨境合規(guī)問題。

不同國家或國際組織對數(shù)據(jù)合規(guī)設置的具體標準碎片化現(xiàn)象比較嚴重，容易引發(fā)規(guī)范間的沖突，具體體現(xiàn)在“價值”與“規(guī)則”兩方面。一方面，不同國家、地區(qū)對數(shù)據(jù)合規(guī)價值取向的側(cè)重有所不同。例如，相對于歐盟GDPR，美國2018 年頒布的《加利福尼亞消費者隱私法》（簡稱CCPA）更加重視產(chǎn)業(yè)利益，強調(diào)通過合理地削弱個人對數(shù)據(jù)信息的絕對控制權來為數(shù)據(jù)所有者與控制者留有探索創(chuàng)新性數(shù)據(jù)交易商業(yè)模式的空間。另一方面，不同國家、地區(qū)關于同一數(shù)據(jù)合規(guī)事項的規(guī)定不盡相同。例如，我國2022 年制定的《數(shù)據(jù)出境安全評估辦法》就面臨與GDPR、美國與歐盟的《隱私盾協(xié)議》（U.S.-EU Privacy Shield）、OECD 規(guī)則體系的銜接問題。為了應對上述挑戰(zhàn)，數(shù)據(jù)合規(guī)的功能需要從銜接本國數(shù)據(jù)規(guī)范與國際多元數(shù)據(jù)規(guī)范的維度展開。

三、企業(yè)數(shù)據(jù)合規(guī)體系的構(gòu)建路徑

企業(yè)數(shù)據(jù)合規(guī)體系主要包括基本原則、流程及其內(nèi)容、專門機構(gòu)與運行機制三部分。數(shù)據(jù)合規(guī)基本原則為企業(yè)數(shù)據(jù)合規(guī)奠定價值取向與總體目標，是數(shù)據(jù)合規(guī)體系的“靈魂”；數(shù)據(jù)合規(guī)流程及內(nèi)容確定了企業(yè)數(shù)據(jù)合規(guī)體系建設的框架和具體事項，是數(shù)據(jù)合規(guī)的“骨骼”與“血肉”；數(shù)據(jù)合規(guī)專門機構(gòu)與運行機制涉及企業(yè)數(shù)據(jù)合規(guī)的具體實施主體及作業(yè)模式，是數(shù)據(jù)合規(guī)體系的“神經(jīng)系統(tǒng)”。

（一）樹立企業(yè)數(shù)據(jù)合規(guī)的基本原則

通過綜合分析我國數(shù)據(jù)領域的主要立法以及域外代表性法律規(guī)范（特別是歐盟GDPR）中的一般性條款與法律原則規(guī)定，可以提煉出數(shù)據(jù)合規(guī)應遵循的四項基本原則：合法合規(guī)、告知同意、正當目的、最小必要。合法合規(guī)原則是數(shù)據(jù)合規(guī)建設的首要原則與最低限度；告知同意原則是數(shù)據(jù)合規(guī)風險控制的主要準則；正當目的原則是在實質(zhì)層面對合法合規(guī)原則的補充與調(diào)整；最小必要原則是在企業(yè)數(shù)據(jù)權益與個人信息權益之間進行權衡所應遵循的原則。

1.合法合規(guī)原則

關于個人信息保護與數(shù)據(jù)處理的立法，無論是我國還是歐盟GDPR，都將合法性（合法合規(guī)）原則確立為企業(yè)數(shù)據(jù)合規(guī)應當滿足的首要原則與最低標準。合法合規(guī)原則可以從狹義和廣義兩個角度理解。狹義上的合法合規(guī)原則要求企業(yè)處理數(shù)據(jù)活動必須遵守法律、行政法規(guī)的基本規(guī)定，特別是與個人信息保護及數(shù)據(jù)處理直接相關的法律規(guī)定。廣義上的合法合規(guī)原則要求企業(yè)數(shù)據(jù)合規(guī)除符合相關法律、行政法規(guī)外，還必須符合與這些法律、行政法規(guī)相關的輔助性或解釋性規(guī)范。由于法律、行政法規(guī)的內(nèi)容相對抽象和概括，在適用與執(zhí)行過程中還需要進一步的細化與解釋。實踐中，行政機關或司法機關往往會制定一系列規(guī)范以作為監(jiān)管執(zhí)法活動或司法裁判活動的依據(jù)，這些規(guī)范雖然并非我國2015 年《立法法》中規(guī)定的法律或行政法規(guī)，但在內(nèi)容上具有更強的可操作性，因而也應當被作為企業(yè)合規(guī)建設遵守的規(guī)范依據(jù)。

行政執(zhí)法機關制定的數(shù)據(jù)規(guī)范主要包括：（1）國務院各部門制定的規(guī)章，如工信部制定的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》、國家互聯(lián)網(wǎng)信息辦公室制定的《兒童個人信息網(wǎng)絡保護規(guī)定》、國家互聯(lián)網(wǎng)信息辦公室和工業(yè)和信息化部等部門聯(lián)合制定《App 違法違規(guī)收集使用個人信息行為認定方法》等；（2）地方性法規(guī)，如《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》《上海市數(shù)據(jù)條例》等；（3）地方規(guī)范性文件，如廣州市國資委制定的《廣州市國資委監(jiān)管企業(yè)數(shù)據(jù)安全合規(guī)管理指南（試行2021年版）》等；（4）國家標準或團體規(guī)定，如全國信息安全標準化技術委員會制定的《信息安全技術—個人信息去標識化指南》（GB/T 37964—2019）、《個人信息安全影響評估指南》（GB/T 39335—2020）等。

司法機關制定或通過個案裁判形成的數(shù)據(jù)規(guī)范主要包括：（1）司法解釋，如最高人民法院制定的《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》《關于審理侵害信息網(wǎng)絡傳播權民事糾紛案件適用法律若干問題的規(guī)定》《關于審理利用信息網(wǎng)絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》等；（2）判例，特別是最高人民法院或最高人民檢察院發(fā)布的指導性案例、典型案例等。例如，最高人民法院指導案例145 至147 號、最高人民檢察院發(fā)布的檢察機關個人信息保護公益訴訟典型案例等權威性司法案例，均涉及個人信息保護與數(shù)據(jù)合規(guī)問題。

2.告知同意原則

我國《民法典》第1035 條第一款第（一）項、《數(shù)據(jù)安全法》第18條和第19條、《個人信息保護法》第13 條第一款第（一）項、《網(wǎng)絡安全法》第22 條第三款共同確立了個人信息數(shù)據(jù)處理的“告知同意原則”；歐盟GDPR 在第7條和第8條對數(shù)據(jù)處理的同意原則進行了專門規(guī)定。告知同意本質(zhì)上是一種建立在企業(yè)與個人之間的數(shù)據(jù)處理合意（契約）行為，其內(nèi)涵可以從程序前置性、告知方式、特殊情形下的單獨同意以及例外情形等四個方面展開。

首先，通過特定的方式告知并取得個人同意應當作為所有個人信息數(shù)據(jù)處理活動的前置程序。為了避免沒有履行告知與同意義務的風險，應根據(jù)我國《個人信息保護法》第17條規(guī)定，采取“處理前告知同意”而非“事后追認”的方式。其次，告知應當采用明確易理解的方式。根據(jù)《個人信息保護法》第14條的規(guī)定，基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿且明確地作出。以網(wǎng)站或App中的“隱私政策”為例，不能期待用戶以全文閱讀的方式了解所有的隱私條款，因而企業(yè)在設定用戶的義務或者擴大經(jīng)營者被授權的范圍時，應當采取更加顯著的方式進行重點提示和解釋說明。再次，要對法定應當采取單獨同意方式處理個人信息數(shù)據(jù)進行專門的合規(guī)審查。根據(jù)《個人信息保護法》，當存在“向第三方提供其處理的個人信息”“公開其處理的個人信息”“對外提供個人圖像、個人身份特征信息”“處理敏感個人信息”“向境外提供個人信息”等情形時，需要以單獨方式征求個人同意。最后，需要明確告知同意原則的例外情形。實踐中常見的除外情形有兩類：其一為“法律、行政法規(guī)另有規(guī)定的事項”，通常是緊急情況下出于維護重大公共利益的需求。此種情形下需要遵循比例原則，衡量并判斷個人信息權益與公共利益孰輕孰重，同時應根據(jù)《個人信息保護法》第18條第二款的規(guī)定，在緊急情況消失后及時告知個人。其二為“特殊群體的告知同意規(guī)則”。例如，根據(jù)《個人信息保護法》第31 條，個人信息處理者處理不滿14 周歲未成年人的個人信息應當取得其父母或者其他監(jiān)護人的同意。

3.正當目的原則

我國《民法典》第1035 條第一款、《個人信息保護法》第5 條、《數(shù)據(jù)安全法》第17 條第一款、《網(wǎng)絡安全法》第41條第一款共同確立了個人信息數(shù)據(jù)處理的正當性（正當目的）原則；歐盟GDPR 第5 條和第6條中均有關于數(shù)據(jù)處理目的限制的規(guī)定。如果說合法合規(guī)原則是對數(shù)據(jù)合規(guī)進行判斷的形式標準，那么正當目的則是對數(shù)據(jù)合規(guī)進行實質(zhì)性判斷的重要標準之一。

首先，基于正當性原則的合規(guī)性審查，要重點考察企業(yè)對個人信息數(shù)據(jù)進行處理時是否具有明確的正當性依據(jù)。根據(jù)《民法典》第1036條以及《個人信息保護法》第13條的規(guī)定，個人信息處理的正當性依據(jù)主要包括：（1）為了履行約定義務；（2）為了履行法定義務；（3）為了應對突發(fā)公共衛(wèi)生事件或者緊急情況下保護自然人的生命健康和財產(chǎn)安全；（4）為了公共利益并合理處理；（5）在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息。因此，在個人信息數(shù)據(jù)處理缺乏以上法定事由作為正當性基礎時，就應當認定處理行為違規(guī)。其次，根據(jù)《個人信息保護法》第21條的規(guī)定，在個人信息處理者委托處理個人信息的情況下，還需要審查受托人是否在約定的目的范圍內(nèi)處理個人信息數(shù)據(jù)。最后，根據(jù)《個人信息保護法》第26條的規(guī)定，企業(yè)收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他（如商業(yè)營利）目的。

4.最小必要原則

我國《民法典》第1035 條第一款、《個人信息保護法》第5 條、《數(shù)據(jù)安全法》第17 條第一款、《網(wǎng)絡安全法》第41條第一款共同確立了數(shù)據(jù)處理活動的最小必要原則；歐盟GDPR 則在第5 條1（c）中規(guī)定了最小必要原則。

首先，企業(yè)在處理個人信息數(shù)據(jù)時，需要將數(shù)據(jù)處理限定在實現(xiàn)其服務功能的最小信息范圍內(nèi)。為了滿足這一要求，應當從“定性”和“定量”兩個維度對企業(yè)數(shù)據(jù)合規(guī)進行審查。定性審查的重點在于考察企業(yè)處理個人信息是否與其提供的服務密切相關，在非必要的情況下不得收集個人信息。定量審查需要考察企業(yè)處理數(shù)據(jù)的規(guī)模體量與其提供服務基本需求之間的比例是否得當，不應以提供必要服務為由進行個人信息數(shù)據(jù)的超量處理。其次，企業(yè)在對最小必要原則進行抗辯時，要遵循《個人信息保護法》第16條的規(guī)定。除非處理個人信息屬于企業(yè)提供產(chǎn)品或者服務所必需，否則企業(yè)不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務。最后，要對最小必要原則進行動態(tài)合規(guī)性審查。根據(jù)《個人信息保護法》第19條的規(guī)定，個人信息數(shù)據(jù)存儲期限應當為實現(xiàn)處理目的所必要的最短時間。此外，還要根據(jù)《個人信息保護法》第47條的規(guī)定，審查個人信息數(shù)據(jù)存儲的必要性基礎是否喪失，當存在以下兩種情形時，應當主動刪除或配合個人行使刪除權（被遺忘權）：（1）處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；（2）企業(yè)停止提供產(chǎn)品或者服務或存儲期限已屆滿。

（二）明確企業(yè)數(shù)據(jù)合規(guī)的流程及其內(nèi)容

數(shù)據(jù)處理是由多個環(huán)節(jié)組成的活動。根據(jù)數(shù)據(jù)處理活動的不同環(huán)節(jié)，企業(yè)數(shù)據(jù)處理活動主要包括數(shù)據(jù)收集、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)流轉(zhuǎn)等流程。明確這些流程中的合規(guī)事項及其審查標準，是企業(yè)數(shù)據(jù)合規(guī)體系構(gòu)建的主要內(nèi)容。

1.數(shù)據(jù)收集合規(guī)

根據(jù)來源的不同，數(shù)據(jù)收集可以被分為直接收集和間接收集。直接收集即企業(yè)采用一定的技術手段直接獲取個人信息數(shù)據(jù)。根據(jù)《信息安全技術個人信息安全規(guī)范》《App違法違規(guī)認定方法》《App違法違規(guī)收集使用個人信息自評估指南》的相關規(guī)定，企業(yè)在收集用戶個人信息時要堅持合法與誠信原則，不得使用欺詐、誘騙、誤導或以合法形式掩蓋非法目的等方式；也不得隱瞞產(chǎn)品或服務的個人信息收集功能。因此，數(shù)據(jù)收集合規(guī)審查應當圍繞企業(yè)是否將收集活動的目的、方式、可能的后果等如實告知用戶進行。間接收集即企業(yè)從第三方（通常是數(shù)據(jù)交易相對人）處獲取個人信息等數(shù)據(jù)。針對第三方提供的個人信息，企業(yè)有必要將數(shù)據(jù)合規(guī)審查嵌入與目標企業(yè)交易的盡職調(diào)查流程中，防止數(shù)據(jù)收集違規(guī)引發(fā)的法律風險在具有交易關系的企業(yè)之間傳遞。

同時，企業(yè)還要對個人信息數(shù)據(jù)收集的技術手段進行合規(guī)審查，例如實踐中被廣泛使用“網(wǎng)絡爬蟲”。網(wǎng)絡爬蟲是一種由機器模仿人的行為抓取數(shù)據(jù)的工具，爬蟲的活動一般表面顯現(xiàn)為正常用戶的操作。當企業(yè)運營爬蟲工具收集數(shù)據(jù)時，如果沒有履行對個人的告知同意義務或違反被爬取網(wǎng)站的Robots協(xié)議（反爬蟲協(xié)議），則有可能會面臨承擔民事侵權責任甚至刑事責任的后果。因此，企業(yè)需要對爬蟲技術的運用進行合規(guī)監(jiān)控，在直接爬取個人信息數(shù)據(jù)時要履行告知同意義務；在爬取其他網(wǎng)站數(shù)據(jù)時，要遵循網(wǎng)站的Robots 協(xié)議，不得運用技術手段繞開或破壞被爬取網(wǎng)站的反爬取系統(tǒng)。

2.數(shù)據(jù)存儲合規(guī)

企業(yè)數(shù)據(jù)存儲的合規(guī)事項包括三個主要內(nèi)容。首先，企業(yè)要加強個人信息數(shù)據(jù)存儲的安全保障機制?！皩ν狻睂用?，非因法定或約定事由，企業(yè)不得隨意公開個人信息數(shù)據(jù)，并應當采取必要技術手段對個人信息數(shù)據(jù)進行加密保護?！皩?nèi)”層面，企業(yè)需要建立完整的數(shù)據(jù)訪問權限與監(jiān)管機制，防止數(shù)據(jù)被無權或越權訪問，并能夠通過數(shù)據(jù)訪問記錄追蹤數(shù)據(jù)訪問情況，確定數(shù)據(jù)安全的責任主體。

其次，企業(yè)要對存儲的個人信息數(shù)據(jù)進行分類與分級管理。企業(yè)應當運用類型化思維，綜合現(xiàn)行法律法規(guī)、國家標準（如《信息系統(tǒng)安全等級保護定級指南》）以及地方政府數(shù)據(jù)分類分級指南的規(guī)定，對各類數(shù)據(jù)分類分級管理，以確保數(shù)據(jù)存儲的安全性。在此基礎上，企業(yè)還應當著重加強對生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡、未成年人等個人敏感信息的保護，防止個人敏感信息被泄露、非法提供或濫用。

最后，根據(jù)《個人信息保護法》第51 條規(guī)定，企業(yè)還需要對個人信息進行去標識處理。企業(yè)需要建立“確定目標—識別標識—處理標識—驗證審批”的個人信息去標識化流程機制，運用統(tǒng)計技術、密碼技術、抑制技術、假名化技術、泛化技術、隨機化技術以及數(shù)據(jù)合成技術等手段進行個人信息數(shù)據(jù)的去標識化。

3.數(shù)據(jù)使用合規(guī)

狹義上的數(shù)據(jù)使用合規(guī)主要面向企業(yè)自身使用數(shù)據(jù)的行為。企業(yè)在使用數(shù)據(jù)時往往需要借助特定的算法實現(xiàn)，因而除應當貫徹企業(yè)數(shù)據(jù)合規(guī)的基本原則外，企業(yè)還需要重視對算法合規(guī)的審查。根據(jù)《個人信息保護法》第24 條以及網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局制定的《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定》，對算法合規(guī)的審查主要從“算法透明”“算法公正”“算法弱勢群體保護”等角度展開。算法透明要求企業(yè)應當以顯著方式告知用戶其提供算法推薦服務的情況，并以適當方式公示算法推薦服務的基本原理、目的意圖和主要運行機制等，避免“算法黑箱”損害個人信息權益。算法公正要求企業(yè)應當向用戶提供不針對其個人特征的選項或者向用戶提供便捷的關閉算法推薦服務的選項，不得運用算法技術手段進行“算法歧視”（如“大數(shù)據(jù)殺熟”）。算法弱勢群體保護要求企業(yè)應對未成年人、老年人、勞動者、消費者等特定情境下的算法弱勢群體給予合理的差別待遇，以保護這些群體的數(shù)據(jù)權益。

廣義上的數(shù)據(jù)使用合規(guī)除包括企業(yè)自身使用數(shù)據(jù)的行為合規(guī)外，還應當包括對企業(yè)配合用戶行使個人信息權能的情況進行審查與規(guī)范。在我國現(xiàn)行立法框架下，個人信息權利束主要包括查詢權、更正權、刪除權（被遺忘權）、復制權、轉(zhuǎn)移權（可攜權）等。由于個人信息及其數(shù)據(jù)產(chǎn)生與流通均具有公共性，因而相關權利束的行使無法建立在個人對其信息的絕對控制之上，而是需要包括企業(yè)在內(nèi)的多方主體的配合?；谏鲜鲈?，企業(yè)不僅負有消極不作為方式避免侵害個人信息數(shù)據(jù)權益的義務，而且負有以積極作為方式配合用戶在合法合理的限度內(nèi)行使其個人信息權利以滿足用戶數(shù)據(jù)權益的義務。

4.數(shù)據(jù)流轉(zhuǎn)合規(guī)

數(shù)據(jù)流轉(zhuǎn)合規(guī)主要針對企業(yè)向第三方轉(zhuǎn)讓個人信息數(shù)據(jù)的行為。根據(jù)《個人信息保護法》第23條的規(guī)定，企業(yè)向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。同時，接收企業(yè)應當在上述處理目的、處理方式和個人信息的種類等范圍內(nèi)處理個人信息，變更原先的處理目的、處理方式應當依照本法規(guī)定重新取得個人同意。考慮到SDK（軟件開發(fā)包）可能產(chǎn)生的數(shù)據(jù)合規(guī)隱患，企業(yè)在涉及運用SDK 進行第三方接入管理的數(shù)據(jù)處理行為時，還應當建立專門的第三方接入管理機制，明確企業(yè)與第三方的權責劃分。企業(yè)還需要對第三方接入進行實時監(jiān)管與審計，在出現(xiàn)安全隱患時應當及時停止第三方接入。

由于數(shù)據(jù)跨境流動涉及國家數(shù)據(jù)安全甚至數(shù)據(jù)主權問題，企業(yè)應嚴格依照《個人信息保護法》《數(shù)據(jù)出境安全評估辦法》中關于個人信息及數(shù)據(jù)跨境提供的規(guī)則進行評估，并結(jié)合數(shù)據(jù)接收方所在國家或地區(qū)的規(guī)定以及雙方訂立的合同進行合規(guī)審查。對于金融、生物醫(yī)療等領域的個人信息出境規(guī)則，應當依據(jù)國務院《人類遺傳資源管理條例》、中國人民銀行《個人金融信息保護技術規(guī)范》（JR/T 0171—2020）以及國家衛(wèi)健委《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務管理辦法（試行）》規(guī)定的標準，審查數(shù)據(jù)能否跨境流轉(zhuǎn)以及流轉(zhuǎn)的具體程序。

（三）健全企業(yè)數(shù)據(jù)合規(guī)專門機構(gòu)與運行機制

企業(yè)數(shù)據(jù)合規(guī)部門是企業(yè)數(shù)據(jù)合規(guī)建設與運行的主導者。就工作模式而言，企業(yè)數(shù)據(jù)合規(guī)可以分為數(shù)據(jù)合規(guī)的日常管理機制與違規(guī)風險應對機制，前者致力于預防數(shù)據(jù)合規(guī)風險，后者則以應對已經(jīng)發(fā)生的數(shù)據(jù)違規(guī)風險為目標?；跀?shù)據(jù)合規(guī)部門及相關工作機制的運行，企業(yè)數(shù)據(jù)合規(guī)體系得以實現(xiàn)從靜態(tài)到動態(tài)運轉(zhuǎn)，形成一個鮮活的數(shù)據(jù)治理有機體。

1.設立數(shù)據(jù)合規(guī)專門機構(gòu)

企業(yè)數(shù)據(jù)合規(guī)管理部門是數(shù)據(jù)合規(guī)體系運行的主導者。從企業(yè)數(shù)據(jù)合規(guī)部門與其他企業(yè)部門的關系來看，數(shù)據(jù)合規(guī)管理部門的設立模式主要有三種。第一種模式是將數(shù)據(jù)合規(guī)內(nèi)置于企業(yè)的法律事務部門（即“法務部”）。在這一模式下，數(shù)據(jù)合規(guī)部門作為綜合性合規(guī)部門的組成部分之一內(nèi)置于法務部。第二種模式是合規(guī)部門獨立于法務部，但數(shù)據(jù)合規(guī)部門并不獨立于綜合性的合規(guī)部門。第三種模式則是將數(shù)據(jù)合規(guī)部門獨立于法務部和綜合性合規(guī)部門。

第一種模式的優(yōu)點在于可以精簡企業(yè)的管理部門，降低管理成本，且有助于促進合規(guī)事務與法律事務的一體化處理，這一模式適合傳統(tǒng)中小企業(yè)。對于以數(shù)字經(jīng)濟為主要業(yè)務領域的企業(yè)（如互聯(lián)網(wǎng)企業(yè)、高新制造業(yè)或服務業(yè)企業(yè)等），其數(shù)據(jù)合規(guī)事項較為龐雜，專業(yè)性較強，因而不宜采用此種模式。同時，從治理邏輯層面看，數(shù)據(jù)合規(guī)并不完全屬于法律事務的下位概念。由于數(shù)據(jù)合規(guī)不僅局限于企業(yè)交易過程，還包括事前評估與事后督導，超出了傳統(tǒng)法務的工作范圍。因此，對于數(shù)據(jù)合規(guī)事務需求量較大且具備一定人財物條件的企業(yè)，應當優(yōu)先采用第二或第三種模式，將企業(yè)數(shù)據(jù)合規(guī)部門與傳統(tǒng)意義上的法務部門進行分離。至于數(shù)據(jù)合規(guī)專門機構(gòu)的負責人，則可以借鑒德國1977 年《聯(lián)邦數(shù)據(jù)保護法》的規(guī)定，任命至少一名“數(shù)據(jù)保護官（DPO）”，賦予其獨立履行企業(yè)數(shù)據(jù)合規(guī)監(jiān)管職權的地位。

2.數(shù)據(jù)合規(guī)日常管理機制

數(shù)據(jù)合規(guī)日常管理機制的主要功能在于通過系統(tǒng)性管理工程降低數(shù)據(jù)違規(guī)風險，持續(xù)性改進企業(yè)數(shù)據(jù)合規(guī)治理體系。數(shù)據(jù)合規(guī)日常管理工作包括以下方面：其一，確定企業(yè)數(shù)據(jù)合規(guī)管理團隊?？紤]到企業(yè)數(shù)據(jù)合規(guī)管理具有很強的綜合性，因而應當為此組建具有法律、科技、財務等多元知識結(jié)構(gòu)背景的人才隊伍，以確保數(shù)據(jù)合規(guī)日常管理的專業(yè)性。其二，參與制定或修改企業(yè)數(shù)據(jù)合規(guī)文件（如數(shù)據(jù)合規(guī)管理規(guī)定、數(shù)據(jù)合規(guī)員工手冊、數(shù)據(jù)合規(guī)指引等），為數(shù)據(jù)合規(guī)公司治理制度提供明確而完備的規(guī)范依據(jù)，監(jiān)督這些規(guī)范文件的執(zhí)行情況。其三，對數(shù)據(jù)合規(guī)事務進行全方位督導，及時發(fā)現(xiàn)、記錄、審查、評估、通報數(shù)據(jù)違規(guī)的潛在風險并提出具體建議與方案；對其他部門執(zhí)行數(shù)據(jù)合規(guī)事項的情況進行考核與評價。其四，組織數(shù)據(jù)合規(guī)培訓，增強企業(yè)數(shù)據(jù)合規(guī)意識與治理能力。其五，與企業(yè)其他職能部門、政府機關、第三方機構(gòu)進行對接，通過協(xié)作共同推動企業(yè)數(shù)據(jù)合規(guī)體系的建設與完善，形成企業(yè)數(shù)據(jù)合規(guī)的“多元共治”格局。

3.數(shù)據(jù)違規(guī)風險的應對機制

健全的數(shù)據(jù)合規(guī)日常管理機制雖然可以有效防控數(shù)據(jù)違規(guī)風險，但并不能完全消除企業(yè)違規(guī)數(shù)據(jù)風險。因此，對于已經(jīng)發(fā)生的數(shù)據(jù)違規(guī)風險，還需要建立特定的應對機制。根據(jù)法律關系與法律責任的性質(zhì)，企業(yè)數(shù)據(jù)違規(guī)風險主要包括民事法律風險、行政法律風險以及刑事法律風險。

數(shù)據(jù)違規(guī)的民事法律風險主要體現(xiàn)為數(shù)據(jù)違規(guī)引發(fā)的侵權責任和違約責任?？紤]到民商事糾紛解決機制相對多元化，企業(yè)應當及時采取停止侵害、繼續(xù)履約或積極賠償?shù)确绞交饷埽乐箶?shù)據(jù)違規(guī)產(chǎn)生高昂的訴訟成本或?qū)ζ髽I(yè)聲譽造成嚴重負面影響。數(shù)據(jù)違規(guī)的行政法律風險主要體現(xiàn)為企業(yè)因違規(guī)處理個人信息數(shù)據(jù)遭受行政處罰。為了應對此類風險，企業(yè)數(shù)據(jù)合規(guī)部門應當在第一時間告知企業(yè)管理層及其他部門配合行政監(jiān)管執(zhí)法部門的調(diào)查并及時進行合規(guī)整改，確保在最短時間內(nèi)消除企業(yè)數(shù)據(jù)違規(guī)事由。數(shù)據(jù)違規(guī)的刑事法律風險主要指企業(yè)因違反刑法而涉嫌犯罪。鑒于刑罰的嚴厲性，企業(yè)在面臨此類風險時應當格外審慎，需要及時采用認罪認罰、補救挽損、查出責任人、評估整改等手段，爭取程序?qū)用娴暮弦?guī)不起訴或?qū)嶓w層面的刑事責任減免。

結(jié)語

盡管近年來數(shù)字經(jīng)濟的發(fā)展為我國帶來了“數(shù)字紅利”，但企業(yè)處理數(shù)據(jù)的行為在促進數(shù)字經(jīng)濟發(fā)展與提高人民生活水平福利的同時，也對個人信息保護與數(shù)字經(jīng)濟治理提出了諸多新挑戰(zhàn)。正是在這一時代背景下，作為一種數(shù)據(jù)治理創(chuàng)新模式的企業(yè)數(shù)據(jù)合規(guī)應運而生。企業(yè)數(shù)據(jù)合規(guī)機制本質(zhì)上是一種基于多元共治理念的數(shù)據(jù)治理模式。在規(guī)范依據(jù)方面，其涉及民商經(jīng)濟法、行政法、刑事法、國際法等多元法律規(guī)范體系；在治理主體方面，其涉及立法機關、行政（監(jiān)管與執(zhí)法）機關、司法機關、企業(yè)自身以及第三方機構(gòu)等多元主體；在治理機制方面，企業(yè)數(shù)據(jù)合規(guī)同時涉及數(shù)據(jù)的日常治理與涉案風險應對（整改）。正因如此，對企業(yè)數(shù)據(jù)合規(guī)的研究以及實踐應用轉(zhuǎn)化，需要整合多重維度的智識。

沿著上述思路，本文從基本定位、多維功能以及構(gòu)建路徑的角度，對數(shù)字經(jīng)濟時代背景下的企業(yè)數(shù)據(jù)合規(guī)基本問題進行了探討。可以預見，隨著國家、企業(yè)以及個人對數(shù)據(jù)合規(guī)建設的日益重視，企業(yè)數(shù)據(jù)合規(guī)體系也會越發(fā)完備。在企業(yè)數(shù)據(jù)合規(guī)體系的保駕護航下，數(shù)字經(jīng)濟發(fā)展產(chǎn)生的“數(shù)字紅利”也將進一步惠及更多市場主體，這對于數(shù)字科技時代個人信息權益的保護、數(shù)字經(jīng)濟的健康持續(xù)發(fā)展以及通過科技賦能促進共同富裕的實現(xiàn)，都將產(chǎn)生更加顯著而深遠的積極效用。