收稿日期：2023-08-18

基金項(xiàng)目：

國家社會(huì)科學(xué)基金規(guī)劃重大項(xiàng)目“弘揚(yáng)社會(huì)主義法治精神研究”（22ZDA072）。

作者簡介：

孫佑海，男，山東榮成人，天津大學(xué)法學(xué)院院長、教授、博士生導(dǎo)師。

摘? 要：

近年來，我國企業(yè)數(shù)據(jù)行為違法違規(guī)的情形屢屢發(fā)生，損害了相關(guān)主體的合法權(quán)益。推進(jìn)企業(yè)數(shù)據(jù)合規(guī)建設(shè)，不僅有助于企業(yè)自身發(fā)展，而且對(duì)促進(jìn)企業(yè)守法，全面建設(shè)法治社會(huì)具有重大意義。我國企業(yè)數(shù)據(jù)合規(guī)應(yīng)當(dāng)遵循數(shù)據(jù)安全、權(quán)利與義務(wù)、機(jī)制激勵(lì)、整體治理的原則；通過調(diào)查我國數(shù)據(jù)密集型企業(yè)合規(guī)狀況，發(fā)現(xiàn)其存在數(shù)據(jù)違規(guī)采集、利用、存儲(chǔ)和數(shù)據(jù)違規(guī)出境等問題。對(duì)此，需要建立健全我國企業(yè)內(nèi)部數(shù)據(jù)合規(guī)管理體系、合規(guī)風(fēng)險(xiǎn)識(shí)別預(yù)警機(jī)制、數(shù)據(jù)違規(guī)審查和處罰制度、培育企業(yè)合規(guī)文化，以此保障企業(yè)數(shù)據(jù)合規(guī)經(jīng)營，減少法律風(fēng)險(xiǎn)。同時(shí)，強(qiáng)化企業(yè)外部的行政監(jiān)管和司法監(jiān)督，推進(jìn)數(shù)據(jù)合規(guī)領(lǐng)域的行政執(zhí)法和解，建議制定“行政執(zhí)法和解法”；在總結(jié)企業(yè)數(shù)據(jù)合規(guī)成功經(jīng)驗(yàn)的基礎(chǔ)上修改《刑事訴訟法》《刑法》，并制定配套的司法解釋。

關(guān)鍵詞：

數(shù)據(jù)理論；數(shù)據(jù)行為；數(shù)據(jù)密集型企業(yè)；企業(yè)數(shù)據(jù)合規(guī)

中圖分類號(hào)：D924.3

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1000-5099（2023）06-0078-10

一、問題的提出

習(xí)近平總書記高度重視企業(yè)合規(guī)工作。2023年4月28日，習(xí)近平總書記主持召開“分析研究當(dāng)前經(jīng)濟(jì)形勢和經(jīng)濟(jì)工作”會(huì)議時(shí)指出，“各類企業(yè)都要依法合規(guī)經(jīng)營。要下決心從根本上解決企業(yè)賬款拖欠問題。要推動(dòng)平臺(tái)企業(yè)規(guī)范健康發(fā)展，鼓勵(lì)頭部平臺(tái)企業(yè)探索創(chuàng)新?！盵1]習(xí)近平總書記強(qiáng)調(diào)，守法經(jīng)營是任何企業(yè)都必須遵守的一個(gè)大原則，企業(yè)只有依法合規(guī)經(jīng)營才能行穩(wěn)致遠(yuǎn)。在當(dāng)前國際競爭越來越體現(xiàn)為規(guī)則之爭、法律之爭的大背景下，我國企業(yè)面臨的國內(nèi)外環(huán)境和風(fēng)險(xiǎn)挑戰(zhàn)日趨復(fù)雜嚴(yán)峻，必須加快提升依法合規(guī)經(jīng)營管理水平，確保改革發(fā)展各項(xiàng)任務(wù)在法治軌道上穩(wěn)步推進(jìn)。因此，依法合規(guī)經(jīng)營對(duì)于提高企業(yè)在市場中的競爭力，增強(qiáng)企業(yè)規(guī)避風(fēng)險(xiǎn)的能力具有重要意義。

從1986年開始，我國先后制定了八個(gè)“全民普法”計(jì)劃，但由于各種原因，企業(yè)不守法的情形至今屢見不鮮。然而，企業(yè)對(duì)社會(huì)經(jīng)濟(jì)發(fā)展發(fā)揮著十分重要的作用，如果企業(yè)不守法合規(guī)，就會(huì)影響社會(huì)主義市場經(jīng)濟(jì)發(fā)展。如何讓企業(yè)守法合規(guī)經(jīng)營，也是全面依法治國題中應(yīng)有之義。經(jīng)過數(shù)十年的摸索，我國探索解決企業(yè)守法問題的“鑰匙”，即企業(yè)合規(guī)應(yīng)運(yùn)而生。合規(guī)的實(shí)質(zhì)，就是通過建立科學(xué)有效的管理體系，制定和實(shí)施本行業(yè)或本單位內(nèi)部的規(guī)范性文件，確保法律規(guī)定的各項(xiàng)義務(wù)得以履行，引導(dǎo)企業(yè)“遵紀(jì)守法搞經(jīng)營，在合法合規(guī)中提高企業(yè)競爭能力?！盵2]

個(gè)人數(shù)據(jù)安全與國家安全、國家利益息息相關(guān)。數(shù)據(jù)本身蘊(yùn)涵著可以被解讀和分析的國家政治、經(jīng)濟(jì)、軍事等方面重要信息，因而更加需要特殊保護(hù)[3]。個(gè)人數(shù)據(jù)除了具有人格利益之外，還具有巨大的商業(yè)利益和經(jīng)濟(jì)價(jià)值，特別是在電信、金融、醫(yī)療、教育等信息密集型行業(yè)，出現(xiàn)販賣大量個(gè)人信息與非法使用數(shù)據(jù)產(chǎn)品的情形，情節(jié)嚴(yán)重者還構(gòu)成了侵犯公民個(gè)人信息罪。國家負(fù)有對(duì)公民人格尊嚴(yán)進(jìn)行保護(hù)的義務(wù)，在信息時(shí)代，該義務(wù)擴(kuò)展到對(duì)公民個(gè)人信息相關(guān)權(quán)益的保護(hù)[4]。為此，我國出臺(tái)了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等信息數(shù)據(jù)立法。國家從法律層面加強(qiáng)個(gè)人數(shù)據(jù)的安全保護(hù)，對(duì)維護(hù)網(wǎng)絡(luò)空間主權(quán)以及國家安全，具有十分重要的現(xiàn)實(shí)價(jià)值。

然而，在社會(huì)生活當(dāng)中，企業(yè)對(duì)個(gè)人數(shù)據(jù)的不當(dāng)采集、儲(chǔ)存和處理，侵害了公民的精神利益，還可能危害其人身安全和財(cái)產(chǎn)安全。從近年我國企業(yè)經(jīng)營管理來看，存在多起數(shù)據(jù)密集型公司試圖在境外上市，可能泄露國家重要信息和敏感信息的情況，從而有可能危害國家安全。對(duì)此，強(qiáng)化數(shù)據(jù)合規(guī)最為重大的意義，在于由過去的“別人要我守法”，變成“我要守法”，改變了被動(dòng)地、恐懼式守法模式[5]，這使得長期困擾國家主管部門的企業(yè)不守法問題得以解決。因此，強(qiáng)調(diào)企業(yè)數(shù)據(jù)合規(guī)必將促進(jìn)企業(yè)守法，有助于推動(dòng)法治社會(huì)建設(shè)。企業(yè)要實(shí)現(xiàn)高質(zhì)量發(fā)展就要破除一系列不規(guī)范、不合規(guī)問題，在企業(yè)內(nèi)部加強(qiáng)合規(guī)控制，建立合規(guī)管理制度體系，提高企業(yè)管理水平和經(jīng)營水平[6]。這表明推動(dòng)數(shù)據(jù)合規(guī)工作，不僅能預(yù)防和降低企業(yè)的經(jīng)營管理風(fēng)險(xiǎn)，還能提高經(jīng)營管理效率，增加企業(yè)效益與利潤，有效提升企業(yè)在國際國內(nèi)的核心競爭力。由此可見，加強(qiáng)數(shù)據(jù)合規(guī)管理對(duì)信息密集型企業(yè)具有特殊重要的意義。

綜上所述，鑒于數(shù)據(jù)的極端重要性和數(shù)據(jù)領(lǐng)域違規(guī)行為的嚴(yán)重性，數(shù)據(jù)合規(guī)不僅引起國家相關(guān)部門高度的重視，而且也成為法學(xué)界研究的熱點(diǎn)。如何將企業(yè)數(shù)據(jù)合規(guī)理論與實(shí)踐相結(jié)合，成為當(dāng)下法學(xué)界亟待思考的問題。對(duì)此，本文以企業(yè)數(shù)據(jù)合規(guī)理論為基礎(chǔ)，檢視我國企業(yè)數(shù)據(jù)合規(guī)的現(xiàn)狀、問題并分析其成因，在剖析問題的基礎(chǔ)上提出科學(xué)的治理方案，這是筆者探討該論題的意義所在。

二、邏輯展開：我國數(shù)據(jù)合規(guī)的理論基礎(chǔ)

（一）數(shù)據(jù)安全：邏輯主線之奠立

習(xí)近平總書記以寬廣的戰(zhàn)略思維深刻把握數(shù)據(jù)安全問題，將數(shù)據(jù)安全置于國家安全的重要地位，標(biāo)志著黨對(duì)國家安全工作的認(rèn)識(shí)達(dá)到新高度，同時(shí)也是我國數(shù)據(jù)安全治理的根本指導(dǎo)思想。2016年，習(xí)近平總書記指出，“要依法加強(qiáng)對(duì)大數(shù)據(jù)的管理。一些涉及國家利益、國家安全的數(shù)據(jù)，很多掌握在互聯(lián)網(wǎng)企業(yè)手里，企業(yè)要保證這些數(shù)據(jù)的安全?！盵7]2018年，習(xí)近平總書記指出，要規(guī)范企業(yè)投資經(jīng)營行為，合法合規(guī)經(jīng)營，履行社會(huì)責(zé)任[8]。習(xí)近平總書記關(guān)于數(shù)據(jù)安全的理論，堅(jiān)持國家利益至上，以人民安全為宗旨，以政治安全為根本，以經(jīng)濟(jì)安全為基礎(chǔ)，統(tǒng)籌外部安全和內(nèi)部安全，堅(jiān)決維護(hù)國家主權(quán)、安全和發(fā)展，奠立了國家關(guān)于數(shù)據(jù)安全和數(shù)據(jù)治理的理論基礎(chǔ)。數(shù)據(jù)安全的重要性隨著數(shù)據(jù)事業(yè)的發(fā)展而日益凸顯。我們要以習(xí)近平關(guān)于數(shù)據(jù)安全的重要理論為指導(dǎo)，統(tǒng)籌經(jīng)濟(jì)發(fā)展與數(shù)據(jù)安全兩個(gè)大局：一方面要善于運(yùn)用數(shù)據(jù)事業(yè)發(fā)展成果來提高國家安全的治理能力；另一方面又要善于塑造有利于數(shù)據(jù)事業(yè)發(fā)展的安全環(huán)境，在確保國家數(shù)據(jù)安全的基礎(chǔ)上，促進(jìn)以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)持續(xù)健康發(fā)展，造福于廣大人民群眾。

（二）權(quán)義一致：主體意識(shí)之塑造

權(quán)利和義務(wù)相一致，是保障數(shù)據(jù)合規(guī)的重要理論基礎(chǔ)。一是法律要保障公民的數(shù)據(jù)權(quán)利?！睹穹ǖ洹芬?guī)定，自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息。由此可見，個(gè)人信息是一項(xiàng)重要的民事權(quán)利。不僅如此，法律對(duì)個(gè)人數(shù)據(jù)予以保護(hù)，本質(zhì)上也是保護(hù)公民的尊嚴(yán)和自由。保護(hù)個(gè)人數(shù)據(jù)的目的，是對(duì)憲法意義上的公民基本權(quán)利的保障，它最終根源于對(duì)人的尊嚴(yán)的保護(hù)[9]。因此，保護(hù)個(gè)人數(shù)據(jù)是人格權(quán)保護(hù)的重要組成部分。二是企業(yè)要全面履行自己的義務(wù)。根據(jù)權(quán)利與義務(wù)相對(duì)應(yīng)理論，公民在享有自身權(quán)利的同時(shí)，其相對(duì)的一方，即企業(yè)必須履行自己的義務(wù)。只有企業(yè)全面履行自己的法定義務(wù)，公民的數(shù)據(jù)權(quán)利才能得到實(shí)現(xiàn)。對(duì)于企業(yè)的經(jīng)營活動(dòng)而言，應(yīng)以履行義務(wù)為先。只有公民履行自己的法定義務(wù)，其數(shù)據(jù)權(quán)利才能得到可靠保障。三是數(shù)據(jù)權(quán)利和數(shù)據(jù)義務(wù)相輔相成。在一定意義上，企業(yè)認(rèn)真履行好自己的法定數(shù)據(jù)義務(wù)，就能最大程度地保障公民的數(shù)據(jù)權(quán)利。公民依法主張自己的數(shù)據(jù)權(quán)利，客觀上有助于企業(yè)更好地履行自己的法定數(shù)據(jù)義務(wù)。

（三）整體治理：治理機(jī)制之架構(gòu)

整體性治理就是以公眾需求為導(dǎo)向，以信息技術(shù)為手段，以協(xié)調(diào)、整合和義務(wù)為機(jī)制，跨越組織功能邊界，在政策、法規(guī)、服務(wù)、監(jiān)督等方面，對(duì)治理層級(jí)、功能、公私部門關(guān)系及信息系統(tǒng)等碎片化問題進(jìn)行有機(jī)協(xié)調(diào)與整合，不斷從分散走向集中，從部分走向整體，從破碎走向整合，為公眾提供整體性服務(wù)，充分體現(xiàn)國家治理的包容性、整合性整體性治理理論是對(duì)19世紀(jì)末20世紀(jì)初傳統(tǒng)官僚制政府以功能為導(dǎo)向而導(dǎo)致政府職能重復(fù)分散的批判，是對(duì)20世紀(jì)80年代新公共管理理論以客戶需求為導(dǎo)向而導(dǎo)致公共服務(wù)碎片化的回應(yīng)。整體性治理理論由英國學(xué)者佩里·?？怂故壮?。1997年，佩里·?？怂乖谄洹墩w政府》一書中第一次提出整體性治理理念。1997年，托尼·布萊爾執(zhí)政的英國工黨政府以整體性治理理論作為其政府改革綱領(lǐng)，并提出協(xié)同政府概念。1999年，英國政府出版《現(xiàn)代化政府》白皮書，在對(duì)前兩年工作進(jìn)行總結(jié)基礎(chǔ)上推行整體政府改革十年規(guī)劃。這一模式也迅速推廣諸多國家，為這些國家的治理服務(wù)。。整體性治理理論，與系統(tǒng)論有諸多共性。系統(tǒng)論偏重于自然科學(xué)，整體性治理理論偏重于社會(huì)科學(xué)。整體性治理理論對(duì)于我國推進(jìn)數(shù)據(jù)合規(guī)的治理，有一定的啟發(fā)意義。

整體性治理理論對(duì)數(shù)據(jù)合規(guī)治理的啟發(fā)意義：一是應(yīng)當(dāng)以公眾需求為導(dǎo)向，滿足他們對(duì)數(shù)據(jù)安全的強(qiáng)烈期盼；二是以協(xié)調(diào)、整合和義務(wù)為機(jī)制，跨越部門管理邊界開展合作，可以有效解決僅僅依靠行政主管部門單打獨(dú)斗的局面，將行政力量和司法力量等加以協(xié)調(diào)整合，共同為數(shù)據(jù)合規(guī)服務(wù)。三是在治理手段方面，充分利用信息技術(shù)和政策、法律、服務(wù)、監(jiān)督手段，在實(shí)施中對(duì)這些手段進(jìn)行整合，為公眾提供整體性服務(wù)；四是在整體性治理中，充分發(fā)揮政府和企業(yè)的積極性，尤其要明確，政府有關(guān)部門的監(jiān)管僅僅是外部條件，企業(yè)的自覺才是內(nèi)在動(dòng)因。只有將企業(yè)合規(guī)的內(nèi)在積極性充分調(diào)動(dòng)起來，企業(yè)的合規(guī)治理才能走向自覺，從而實(shí)現(xiàn)可持續(xù)性。以上四個(gè)方面的有機(jī)融合，有助于實(shí)現(xiàn)國家治理的包容性和整合性，有助于履行經(jīng)濟(jì)發(fā)展和數(shù)據(jù)安全的雙重使命。

（四）機(jī)制激勵(lì)：實(shí)現(xiàn)數(shù)據(jù)合規(guī)的必由之路

激勵(lì)是激發(fā)一定主體從事某一行為的動(dòng)機(jī)，促使其為實(shí)現(xiàn)群體或組織的目標(biāo)增強(qiáng)行為積極性的過程[10]。激勵(lì)理論，即研究如何調(diào)動(dòng)人的積極性的理論激勵(lì)理論，即研究如何調(diào)動(dòng)人的積極性的理論。它認(rèn)為，工作效率和勞動(dòng)效率與職工的工作態(tài)度有直接關(guān)系，而工作態(tài)度則取決于需要的滿足程度和激勵(lì)因素。如美國心理學(xué)家馬斯洛把人的各種需求分為生理需求、安全需求、社會(huì)需求、尊重需求、自我實(shí)現(xiàn)需求五個(gè)層次，認(rèn)為人們按照需求層次追求滿足。因而管理者根據(jù)需求設(shè)置目標(biāo)即可起到激勵(lì)作用。另外，雙因素論者赫茨伯格把影響工作態(tài)度的因素分為保健因素和激勵(lì)因素兩類，保健因素包括組織政策、管理技術(shù)、同事關(guān)系、工資待遇、工作環(huán)境等，這些因素的改善可消除職工的不滿情緒，激勵(lì)因素是適合個(gè)人心理成長，能調(diào)動(dòng)積極性的因素，但只維持原有的工作效率。自從二十世紀(jì)二三十年代以來，國外許多管理學(xué)家、心理學(xué)家和社會(huì)學(xué)家結(jié)合現(xiàn)代管理的實(shí)踐，提出了許多激勵(lì)理論。這些理論按照形成時(shí)間及其所研究的側(cè)面不同，可分為行為主義激勵(lì)理論、認(rèn)知派激勵(lì)理論和綜合型激勵(lì)理論三大類。。在激勵(lì)理論指引下，企業(yè)數(shù)據(jù)合規(guī)不僅是企業(yè)為督促員工遵守?cái)?shù)據(jù)相關(guān)法律法規(guī)等規(guī)范而確立的數(shù)據(jù)密集型企業(yè)治理方式，更是政府部門監(jiān)督和促進(jìn)數(shù)據(jù)密集型企業(yè)依法依規(guī)運(yùn)用數(shù)據(jù)的一種外部激勵(lì)制度。美國自20世紀(jì)90年代建立企業(yè)合規(guī)機(jī)制以來，將合規(guī)計(jì)劃作為激勵(lì)機(jī)制加以使用，通過對(duì)違法企業(yè)在一定條件下給予寬大刑事、行政處理等方式，激勵(lì)企業(yè)建立并實(shí)施有效的合規(guī)計(jì)劃，促進(jìn)企業(yè)在法治的軌道上開展經(jīng)營活動(dòng)。

在我國企業(yè)數(shù)據(jù)合規(guī)建設(shè)中，應(yīng)當(dāng)以激勵(lì)理論為指引，確立三個(gè)方面的激勵(lì)機(jī)制：一是行政寬大處理的激勵(lì)機(jī)制，將數(shù)據(jù)合規(guī)作為行政和解適用的條件和減輕行政處罰的依據(jù)；二是刑事寬大處理的機(jī)制，將數(shù)據(jù)合規(guī)作為不起訴的依據(jù)或無罪抗辯、減免刑罰的理由，以及將數(shù)據(jù)合規(guī)作為簽署暫緩起訴協(xié)議和撤銷起訴的依據(jù)；三是國際組織（如世界銀行）的制裁消除機(jī)制，即將企業(yè)數(shù)據(jù)合規(guī)作為附條件或無條件減免國際組織（如世界銀行）制裁的依據(jù)[11]。

三、現(xiàn)實(shí)檢視：我國數(shù)據(jù)合規(guī)的現(xiàn)狀、問題及其原因

（一）我國企業(yè)數(shù)據(jù)合規(guī)的現(xiàn)狀

我國金融科技、智能汽車、在線教育、互聯(lián)網(wǎng)和電信行業(yè)數(shù)據(jù)最為密集，也是數(shù)據(jù)合規(guī)的重點(diǎn)。近年來，我國數(shù)據(jù)密集型行業(yè)的合規(guī)工作取得顯著成就。

一是金融科技行業(yè)。金融科技行業(yè)通過利用海量數(shù)據(jù)向用戶提供金融服務(wù)，如支付、征信、信貸等方式，其需要通過接受監(jiān)管、主動(dòng)合規(guī)以激活沉默數(shù)據(jù)、盤活數(shù)據(jù)資產(chǎn)、防范和化解機(jī)構(gòu)的金融風(fēng)險(xiǎn)。如招商銀行、平安銀行等多家銀行對(duì)自有App產(chǎn)品予以優(yōu)化，通過向用戶明示“隱私政策更新”，推動(dòng)行業(yè)數(shù)據(jù)使用行為的合規(guī)[12]。二是智能汽車行業(yè)。智能汽車行業(yè)伴隨著汽車智能化、網(wǎng)聯(lián)化發(fā)展，越來越多涉及用戶數(shù)據(jù)和車輛數(shù)據(jù)的采集、利用問題。智能汽車行業(yè)積極推進(jìn)數(shù)據(jù)合規(guī)，以汽車工業(yè)協(xié)會(huì)基于《數(shù)據(jù)安全法》為指引，建立了汽車大數(shù)據(jù)委員會(huì)，探索在行業(yè)內(nèi)部建立數(shù)據(jù)合規(guī)自律規(guī)范。例如，長城汽車公司通過全流程數(shù)據(jù)加密，實(shí)現(xiàn)數(shù)據(jù)合規(guī)管理[13]。三是在線教育行業(yè)。在線教育行業(yè)依托互聯(lián)網(wǎng)和大數(shù)據(jù)，利用多種媒體學(xué)習(xí)資源和資源共享渠道進(jìn)行線上教學(xué)，在線教育行業(yè)對(duì)用戶影響較大。截至2020年12月，我國在線教育用戶規(guī)模達(dá)3.42億，占網(wǎng)民整體的34.6%；手機(jī)在線教育用戶規(guī)模用戶達(dá)3.41億，占手機(jī)網(wǎng)民的34.6%[14]。海量的數(shù)據(jù)使用量及規(guī)模巨大的市場引起行政主管部門的高度重視，要求行業(yè)規(guī)范其自身數(shù)據(jù)收集、使用行為，承擔(dān)社會(huì)責(zé)任。尤其是在未成年人個(gè)人數(shù)據(jù)保護(hù)方面，諸多在線教育企業(yè)進(jìn)行了有益的探索。例如“作業(yè)幫”等在線教育企業(yè)聯(lián)合發(fā)布《促進(jìn)在線教育行業(yè)健康發(fā)展倡議書》，明確要求落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)、網(wǎng)絡(luò)安全預(yù)警通報(bào)和用戶信息保護(hù)制度，保障用戶數(shù)據(jù)安全和隱私[15]，以此保護(hù)未成年人健康成長。四是互聯(lián)網(wǎng)和電信行業(yè)?；ヂ?lián)網(wǎng)和電信行業(yè)作為全球數(shù)字化進(jìn)程的先驅(qū)，隨著數(shù)字化進(jìn)程的加快，數(shù)字技術(shù)已向行業(yè)全方位加速滲透、融合。一方面，在數(shù)據(jù)價(jià)值提升的背景下，數(shù)據(jù)市場驅(qū)動(dòng)互聯(lián)網(wǎng)和電信行業(yè)加強(qiáng)數(shù)據(jù)合規(guī)以獲得數(shù)據(jù)利益；另一方面，數(shù)據(jù)安全風(fēng)險(xiǎn)暴露面、攻擊面較廣，使得互聯(lián)網(wǎng)和電信行業(yè)不得不加強(qiáng)數(shù)據(jù)合規(guī)以避免利益損失。例如“釘釘”公司從安全合規(guī)等八個(gè)維度建立數(shù)據(jù)安全防護(hù)機(jī)制，推動(dòng)數(shù)據(jù)行為全面合規(guī)[16]。

總體來講，上述四個(gè)重點(diǎn)數(shù)據(jù)密集型行業(yè)在數(shù)據(jù)合規(guī)領(lǐng)域的有益探索，對(duì)整個(gè)數(shù)據(jù)行業(yè)的合法合規(guī)經(jīng)營奠定了良好的基礎(chǔ)。

（二）現(xiàn)實(shí)問題的檢視

在肯定我國數(shù)據(jù)合規(guī)取得成就的同時(shí)，也要正視其存在的問題。我們以數(shù)據(jù)密集型企業(yè)為例，當(dāng)前在數(shù)據(jù)合規(guī)領(lǐng)域存在以下問題：

其一，是數(shù)據(jù)違規(guī)采集。近年來，我國移動(dòng)應(yīng)用軟件在一定程度上存在違規(guī)私自采集、過度采集、超范圍采集用戶數(shù)據(jù)信息、強(qiáng)制授權(quán)、不合理索取用戶權(quán)限、頻繁騷擾等侵害用戶權(quán)益的情形，如未經(jīng)用戶同意自動(dòng)開啟采集地理位置、身份證號(hào)碼、人臉、指紋，讀取通訊錄、使用攝像頭、啟用錄音等功能以及與服務(wù)無關(guān)的功能?！癦AO”軟件因違規(guī)收集個(gè)人信息被工信部約談就是一個(gè)鮮活的案例2019年9月，因“ZAO”App用戶隱私協(xié)議不規(guī)范，存在數(shù)據(jù)泄露風(fēng)險(xiǎn)等網(wǎng)絡(luò)數(shù)據(jù)安全問題，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局對(duì)北京陌陌科技有限公司相關(guān)負(fù)責(zé)人進(jìn)行了問詢約談。。

其二，數(shù)據(jù)違規(guī)儲(chǔ)存。企業(yè)進(jìn)行數(shù)據(jù)違規(guī)儲(chǔ)存時(shí)，可能會(huì)產(chǎn)生用戶數(shù)據(jù)泄露事件。例如，實(shí)踐中發(fā)生的東航泄露乘客個(gè)人隱私事件參見北京市中級(jí)人民法院（2017）京01民終509號(hào)民事判決書。，以及號(hào)稱史上最大的數(shù)據(jù)泄露案——瑞智華勝公司非法盜取30億條個(gè)人網(wǎng)絡(luò)信息被罰款1 000萬，同時(shí)該公司主管人員和直接責(zé)任人構(gòu)成刑事犯罪參見浙江省紹興市越城區(qū)人民法院（2019）浙0602刑初1143號(hào)刑事判決書。。

其三，數(shù)據(jù)違規(guī)利用。有的數(shù)據(jù)密集型企業(yè)違規(guī)利用用戶數(shù)據(jù)，嚴(yán)重侵害用戶合法權(quán)益。例如，移動(dòng)應(yīng)用軟件未經(jīng)用戶同意，私自將設(shè)備識(shí)別信息、商品瀏覽記錄、搜索使用習(xí)慣、常用軟件應(yīng)用列表等個(gè)人信息共享或出售給第三方；又如，強(qiáng)制用戶使用定向推送功能，即APP未向用戶告知，或未以顯著方式標(biāo)示，將收集的用戶搜索、瀏覽記錄、使用習(xí)慣等個(gè)人信息，用于定向推送或精準(zhǔn)營銷；再如，有些精準(zhǔn)廣告是在消費(fèi)者搜索某個(gè)產(chǎn)品或是瀏覽某個(gè)廣告時(shí)被非法記錄下來并被違規(guī)利用的，嚴(yán)重?fù)p害了消費(fèi)者的合法權(quán)益。

其四，數(shù)據(jù)違規(guī)出境。數(shù)據(jù)安全與國家安全息息相關(guān)，其出境應(yīng)當(dāng)按照國家規(guī)定的要求進(jìn)行。而數(shù)據(jù)違規(guī)出境，是指數(shù)據(jù)的出境沒有按照國家的相關(guān)要求輸出境外。例如，依規(guī)應(yīng)當(dāng)向網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估卻沒有申報(bào)評(píng)估的行為。由于數(shù)據(jù)蘊(yùn)含利益的多樣性和交織性，涉及國家、社會(huì)和個(gè)人的具體利益，數(shù)據(jù)違規(guī)出境必然給我國的數(shù)據(jù)安全帶來嚴(yán)重威脅。

（三）深層原因剖析

我國一些數(shù)據(jù)密集型企業(yè)合規(guī)領(lǐng)域問題叢生，這些問題產(chǎn)生的原因，既有企業(yè)數(shù)據(jù)合規(guī)意識(shí)不強(qiáng)，又有政府監(jiān)管乏力，還有監(jiān)管政策不配套等原因。

1.企業(yè)自身的原因

一是企業(yè)尚未形成科學(xué)的合規(guī)管理體系。企業(yè)發(fā)展和新型監(jiān)管方式對(duì)數(shù)據(jù)安全管理提出了嚴(yán)格要求。例如，高科技公司，對(duì)數(shù)據(jù)安全要求極高，數(shù)據(jù)泄露影響更大。但是，筆者對(duì)一些高科技公司進(jìn)行合規(guī)問題的調(diào)研表明，諸多公司依然沿用傳統(tǒng)的管理方式，有的公司竟然不知道什么是“企業(yè)合規(guī)”。顯然，如果公司的管理體系沒有適應(yīng)時(shí)代變化相應(yīng)“升級(jí)”，必然導(dǎo)致因用戶不斷提出索賠等原因致使公司管理成本的急劇上升。二是企業(yè)的合規(guī)能力不足。數(shù)據(jù)技術(shù)的飛速發(fā)展要求數(shù)據(jù)管理能力不斷提高。例如，利用大數(shù)據(jù)技術(shù)獲取企業(yè)不同類型的安全數(shù)據(jù)，識(shí)別潛在的數(shù)據(jù)安全風(fēng)險(xiǎn)和威脅，非結(jié)構(gòu)化數(shù)據(jù)的安全保護(hù)策略和技術(shù)實(shí)現(xiàn)方案等均對(duì)企業(yè)的合規(guī)管理能力提出了新要求。因此，數(shù)據(jù)安全管理能力的提升至關(guān)重要。但是，當(dāng)前諸多互聯(lián)網(wǎng)企業(yè)在能力建設(shè)上的投入依然不足，系統(tǒng)也不夠先進(jìn)，技術(shù)研發(fā)人員與實(shí)際需要匹配度過低，無法滿足強(qiáng)化數(shù)據(jù)合規(guī)治理的能力需要。三是企業(yè)尚未形成合規(guī)文化。在整個(gè)合規(guī)體系中，合規(guī)文化的作用至關(guān)重要。

實(shí)踐證明，企業(yè)要實(shí)現(xiàn)重大的發(fā)展進(jìn)步，總是先有理念和境界，然后才有實(shí)際行動(dòng)。通過考察數(shù)據(jù)密集型企業(yè)合規(guī)治理的實(shí)際情況，作者發(fā)現(xiàn)有很多企業(yè)，包括一些數(shù)據(jù)領(lǐng)域的頭部公司，數(shù)據(jù)合規(guī)意識(shí)十分淡薄。我國數(shù)據(jù)密集型企業(yè)與跨國企業(yè)相比，在合規(guī)領(lǐng)域明顯落后，很多中小公司乃至部分大公司甚至不知曉合規(guī)的概念和功能。有的企業(yè)的商業(yè)模式運(yùn)轉(zhuǎn)多年，至今依然采用傳統(tǒng)的、粗放式的甚至違規(guī)的數(shù)據(jù)運(yùn)營模式做支撐。根本原因在于企業(yè)缺乏合規(guī)意識(shí)。更為深層的原因，在于企業(yè)整體缺乏良好的合規(guī)文化[17]。

2.政府方面的原因

政府主管部門沒有對(duì)數(shù)據(jù)密集型企業(yè)進(jìn)行正確的監(jiān)管和引導(dǎo)，也是數(shù)據(jù)不合規(guī)問題產(chǎn)生的重要原因。

一是行政監(jiān)管“不作為”。政府有關(guān)部門的“不作為”，導(dǎo)致“誰守法誰吃虧”的情形時(shí)有發(fā)生。守法成本高，違法成本低，已經(jīng)成為我國數(shù)據(jù)行業(yè)比較普遍的現(xiàn)象。因此，難以形成數(shù)據(jù)密集型企業(yè)合規(guī)的內(nèi)生動(dòng)力。二是行政監(jiān)管“亂作為”。政府有關(guān)主管部門的“亂作為”，在法治軌道之外進(jìn)行“瞎指揮”，對(duì)企業(yè)傷害極大。這些行為都造成對(duì)數(shù)據(jù)密集型企業(yè)營商環(huán)境的破壞。三是政府自身數(shù)據(jù)治理能力不足。在《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等新法律頒布施行的形勢下，部分地方政府沒有認(rèn)真學(xué)法，沒有及時(shí)調(diào)整治理方式，無法滿足數(shù)據(jù)密集型企業(yè)的合理需求。例如，有的企業(yè)有數(shù)據(jù)跨境需求，當(dāng)他們向政府咨詢或者請(qǐng)政府相關(guān)部門予以指導(dǎo)時(shí)，相關(guān)部門以種種理由互相推諉，限制了企業(yè)的數(shù)據(jù)合規(guī)。

3.政策方面的原因

一是沒有形成與行政監(jiān)管相配套的行政和解機(jī)制。如前文所述，有的行政監(jiān)管領(lǐng)域，政府主管部門為了支持企業(yè)的發(fā)展，采取了行政執(zhí)法和解等措施，這在很大程度上支持了企業(yè)的發(fā)展。但也要清醒認(rèn)識(shí)到，這些行政執(zhí)法和解試點(diǎn)，僅僅是開始。從全國來看，一方面，國內(nèi)企業(yè)數(shù)據(jù)合規(guī)還沒有形成法律規(guī)范，因此，這項(xiàng)重要的活動(dòng)缺乏法律依據(jù)，從而影響了行政執(zhí)法和解工作的開展。另一方面，行政監(jiān)管部門開展的行政執(zhí)法和解試點(diǎn)“斷斷續(xù)續(xù)”，影響了行政和解制度的依法構(gòu)建。因此，涉案企業(yè)在繳納行政和解金之后，既不建立合規(guī)管理體系，也不針對(duì)企業(yè)的合規(guī)風(fēng)險(xiǎn)采取預(yù)防、監(jiān)控和應(yīng)對(duì)措施，故很難實(shí)現(xiàn)“糾正違法行為”和“積極整改”的目標(biāo)。二是沒有形成與司法監(jiān)督相配套的刑事合規(guī)機(jī)制。所謂刑事合規(guī)，是指對(duì)于涉嫌犯罪或已經(jīng)構(gòu)成犯罪的企業(yè)，司法機(jī)關(guān)以企業(yè)制定合規(guī)計(jì)劃為依據(jù)，對(duì)其作出寬大刑事處理的制度。刑事合規(guī)的目的是使企業(yè)的經(jīng)營活動(dòng)符合法律規(guī)定，避免新的刑事風(fēng)險(xiǎn)發(fā)生或最大程度減少企業(yè)因發(fā)生刑事風(fēng)險(xiǎn)而影響其正常的經(jīng)營活動(dòng)。開展刑事合規(guī)工作需要有法可依。但是，我國《刑事訴訟法》和《刑法》迄今沒有將企業(yè)合規(guī)作為法定從輕或者免除刑罰的條件。這是當(dāng)前司法機(jī)關(guān)雖然高度重視刑事合規(guī)工作，但推進(jìn)卻困難重重的原因之一。三是沒有形成行政監(jiān)管和刑事司法相協(xié)調(diào)的銜接機(jī)制。企業(yè)合規(guī)的核心雖然是以企業(yè)為主建立合規(guī)管理體系，但離不開國家機(jī)關(guān)的指導(dǎo)和監(jiān)督。

從目前的實(shí)踐看，筆者發(fā)現(xiàn)行政主管部門與司法機(jī)關(guān)各自為政，“鐵路警察各管一段”，因而效果較為不佳。調(diào)研結(jié)果表明，企業(yè)合規(guī)強(qiáng)烈要求行政主管部門和司法機(jī)關(guān)的監(jiān)管工作有機(jī)銜接。

四、路徑選擇：我國數(shù)據(jù)合規(guī)的整體謀劃與方案設(shè)計(jì)

（一）核心環(huán)節(jié)：企業(yè)數(shù)據(jù)合規(guī)的自主建設(shè)

企業(yè)作為數(shù)據(jù)的保有者，是履行數(shù)據(jù)合規(guī)義務(wù)的主體。為此，應(yīng)當(dāng)從以下六個(gè)方面建立企業(yè)數(shù)據(jù)合規(guī)的科學(xué)模式。

1.建立健全企業(yè)數(shù)據(jù)合規(guī)的管理體系

數(shù)據(jù)合規(guī)的實(shí)踐經(jīng)驗(yàn)證明，合規(guī)管理的成敗除與企業(yè)核心層的重視程度相關(guān)外，關(guān)鍵還在于是否建立了高效的內(nèi)部合規(guī)管理體系。為此，企業(yè)應(yīng)當(dāng)基于內(nèi)部管理結(jié)構(gòu)，建構(gòu)管理層重視、全員參與的數(shù)據(jù)合規(guī)管理體系：應(yīng)當(dāng)推動(dòng)設(shè)置相對(duì)獨(dú)立的專門合規(guī)管理機(jī)構(gòu)，并合理配置該機(jī)構(gòu)的職能與職責(zé)；應(yīng)當(dāng)加強(qiáng)合規(guī)管理機(jī)構(gòu)與企業(yè)內(nèi)部的審計(jì)部門、監(jiān)察部門、內(nèi)控部門等相關(guān)部門之間的協(xié)作配合；應(yīng)當(dāng)加強(qiáng)合規(guī)管理機(jī)構(gòu)與執(zhí)法機(jī)關(guān)、商業(yè)合作伙伴、律師事務(wù)所等外部機(jī)構(gòu)的溝通協(xié)調(diào)。

根據(jù)數(shù)據(jù)合規(guī)的特點(diǎn)，數(shù)據(jù)密集型企業(yè)應(yīng)當(dāng)建立健全數(shù)據(jù)分類分級(jí)保護(hù)機(jī)制，這是實(shí)現(xiàn)企業(yè)數(shù)據(jù)合規(guī)的關(guān)鍵?！稊?shù)據(jù)安全法》設(shè)計(jì)了數(shù)據(jù)分類分級(jí)保護(hù)制度，并要求各地以及各部門按照數(shù)據(jù)分類分級(jí)保護(hù)制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄。為此，數(shù)據(jù)密集型企業(yè)應(yīng)當(dāng)按照法律法規(guī)的要求，精準(zhǔn)識(shí)別企業(yè)數(shù)據(jù)的類型，針對(duì)不同類型的數(shù)據(jù)，進(jìn)行精準(zhǔn)化的合規(guī)管理。

2.建立健全數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)的識(shí)別預(yù)警機(jī)制

風(fēng)險(xiǎn)預(yù)防是做好數(shù)據(jù)合規(guī)的關(guān)鍵環(huán)節(jié)[18]。為此，企業(yè)應(yīng)當(dāng)充分了解數(shù)據(jù)合規(guī)發(fā)展所處環(huán)境，進(jìn)而有效識(shí)別重要風(fēng)險(xiǎn)：從宏觀上充分了解企業(yè)所在國家或地區(qū)有關(guān)數(shù)據(jù)管理的法律要求及發(fā)展趨勢；從中觀上深度剖析企業(yè)所在行業(yè)的數(shù)據(jù)合規(guī)的規(guī)范；從微觀上全方位審視自身的數(shù)據(jù)使用偏好、業(yè)務(wù)模式、發(fā)展戰(zhàn)略。與此同時(shí)，要合理確定需要加強(qiáng)數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)管理的關(guān)鍵業(yè)務(wù)或崗位范圍，有效研判企業(yè)數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)發(fā)展態(tài)勢，圍繞企業(yè)數(shù)據(jù)合規(guī)目標(biāo)，加快形成數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)識(shí)別的工作方案。

3.定期開展數(shù)據(jù)合規(guī)管理評(píng)估

對(duì)企業(yè)數(shù)據(jù)合規(guī)情況開展定期評(píng)估有助于企業(yè)持續(xù)防范數(shù)據(jù)違規(guī)風(fēng)險(xiǎn)。據(jù)此，應(yīng)當(dāng)加強(qiáng)對(duì)數(shù)據(jù)合規(guī)管理制度的定期評(píng)估，對(duì)其是否符合當(dāng)前法律法規(guī)和政策開展評(píng)價(jià)；加強(qiáng)對(duì)數(shù)據(jù)合規(guī)實(shí)施機(jī)制的定期評(píng)估，有效識(shí)別合規(guī)管理、審計(jì)、監(jiān)察等部門之間的協(xié)調(diào)性，實(shí)現(xiàn)數(shù)據(jù)合規(guī)管理體系與企業(yè)管理體系協(xié)同性的持續(xù)監(jiān)測；加強(qiáng)對(duì)數(shù)據(jù)合規(guī)管理人員工作績效的定期評(píng)估，實(shí)現(xiàn)數(shù)據(jù)合規(guī)管理人員業(yè)務(wù)能力的持續(xù)提升。

4.建立健全數(shù)據(jù)違規(guī)審查和處罰制度

企業(yè)違規(guī)審查與違規(guī)行為處罰是對(duì)數(shù)據(jù)密集型企業(yè)進(jìn)行全過程管理的重要手段。一方面，從建立健全數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)審查機(jī)制審視：健全具有可操作性的數(shù)據(jù)合規(guī)審查程序，將數(shù)據(jù)合規(guī)審查機(jī)制納入企業(yè)日常運(yùn)行中；建立健全通暢的溝通機(jī)制，推動(dòng)合規(guī)信息和風(fēng)險(xiǎn)的逐級(jí)傳導(dǎo)；建立健全績效考核機(jī)制，提升合規(guī)審查制度的執(zhí)行力。另一方面，從完善違規(guī)行為處罰制度審視：暢通舉報(bào)途徑，建立系統(tǒng)的舉報(bào)網(wǎng)絡(luò)并創(chuàng)造安全的舉報(bào)環(huán)境；嚴(yán)格落實(shí)紀(jì)律處分規(guī)定，必要時(shí)可向相關(guān)執(zhí)法部門報(bào)告企業(yè)數(shù)據(jù)違法以及向違規(guī)者提起訴訟；完善違規(guī)行為處罰后的反饋機(jī)制，即通過采取針對(duì)性的合規(guī)整改措施，進(jìn)一步改進(jìn)企業(yè)數(shù)據(jù)合規(guī)管理制度[19]。

5.強(qiáng)化數(shù)據(jù)合規(guī)的能力建設(shè)

建立健全數(shù)據(jù)合規(guī)體系應(yīng)當(dāng)以能力建設(shè)為支撐[20]。數(shù)據(jù)密集型企業(yè)在強(qiáng)化數(shù)據(jù)合規(guī)的能力建設(shè)時(shí)，應(yīng)當(dāng)重點(diǎn)從數(shù)據(jù)風(fēng)險(xiǎn)核查能力、數(shù)據(jù)梳理能力、數(shù)據(jù)保護(hù)能力以及數(shù)據(jù)威脅監(jiān)控預(yù)警能力等方面展開：應(yīng)當(dāng)不斷完善數(shù)據(jù)梳理技術(shù)，實(shí)現(xiàn)對(duì)企業(yè)重要數(shù)據(jù)、敏感數(shù)據(jù)的全面排查梳理，并對(duì)不同角色進(jìn)行數(shù)據(jù)處理的權(quán)限進(jìn)行梳理；應(yīng)當(dāng)不斷完善入侵防御技術(shù)，通過建立、強(qiáng)化數(shù)據(jù)庫防火墻，實(shí)現(xiàn)對(duì)外部攻擊及內(nèi)部數(shù)據(jù)庫漏洞的有效防護(hù)，防止產(chǎn)生用戶數(shù)據(jù)泄露等問題；應(yīng)當(dāng)不斷完善權(quán)限管控技術(shù)，針對(duì)不同訪問需求，規(guī)范數(shù)據(jù)訪問權(quán)限，并嚴(yán)格記錄訪問情況，實(shí)現(xiàn)內(nèi)部數(shù)據(jù)操作行為的有效控制與監(jiān)管；應(yīng)當(dāng)不斷完善監(jiān)管稽核技術(shù)，實(shí)現(xiàn)從數(shù)據(jù)產(chǎn)生到場景化使用的流向監(jiān)控、精準(zhǔn)分析；應(yīng)當(dāng)不斷完善應(yīng)急處置技術(shù)，健全應(yīng)急預(yù)案和緊急情況下的應(yīng)對(duì)處理機(jī)制。

6.培育企業(yè)數(shù)據(jù)合規(guī)文化

促進(jìn)數(shù)據(jù)密集型企業(yè)合規(guī)經(jīng)營有多種因素，但最為根本的是企業(yè)的合規(guī)文化。優(yōu)秀的企業(yè)文化能夠營造良好的企業(yè)發(fā)展環(huán)境，提高員工的文化素養(yǎng)和道德水準(zhǔn)，形成企業(yè)的凝聚力、向心力和拘束力，產(chǎn)生企業(yè)不可或缺的精神力量。因此，在企業(yè)合規(guī)經(jīng)營的各項(xiàng)要素中，合規(guī)文化具有根本性?；诤弦?guī)文化，所有的數(shù)據(jù)密集型企業(yè)在數(shù)據(jù)的日常采集和處理中，都應(yīng)當(dāng)全面履行合規(guī)義務(wù)；企業(yè)的決策層要帶頭守法遵規(guī)，規(guī)范自身行為；要嚴(yán)格全面履行數(shù)據(jù)合規(guī)要求，絕不能允許員工為了追逐利益而從事違法違規(guī)的行為；企業(yè)應(yīng)當(dāng)從培養(yǎng)員工的數(shù)據(jù)合規(guī)意識(shí)做起，增強(qiáng)員工合規(guī)使用數(shù)據(jù)的自覺性，形成良好的數(shù)據(jù)合規(guī)習(xí)慣，使之成為員工的基本理念。

（二）外部保障：國家支持企業(yè)數(shù)據(jù)合規(guī)體系建設(shè)

1.政府加強(qiáng)數(shù)據(jù)合規(guī)行政監(jiān)管

為了促進(jìn)數(shù)據(jù)密集型企業(yè)實(shí)現(xiàn)合規(guī)經(jīng)營，強(qiáng)化行政監(jiān)管是十分必要的，也是基本的、前提性的措施?！皣?yán)管就是厚愛”的邏輯也適合對(duì)數(shù)據(jù)密集型企業(yè)的監(jiān)督管理。當(dāng)前，有關(guān)行政監(jiān)管部門在對(duì)數(shù)據(jù)密集型企業(yè)的活動(dòng)實(shí)施監(jiān)管時(shí)，應(yīng)當(dāng)加大對(duì)大數(shù)據(jù)相關(guān)技術(shù)、設(shè)備和服務(wù)提供商的風(fēng)險(xiǎn)評(píng)估和安全管理；應(yīng)當(dāng)組織建立健全大數(shù)據(jù)標(biāo)準(zhǔn)體系，研究制定有關(guān)大數(shù)據(jù)的基礎(chǔ)標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)、應(yīng)用標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn)等；應(yīng)當(dāng)加快建立政府信息采集、存儲(chǔ)、公開、共享、使用、質(zhì)量保障和安全管理的技術(shù)標(biāo)準(zhǔn)；應(yīng)當(dāng)通過嚴(yán)格的行政執(zhí)法，依法追究違法者的相關(guān)法律責(zé)任，倒逼數(shù)據(jù)密集型企業(yè)嚴(yán)格實(shí)施數(shù)據(jù)合規(guī)。

2.支持檢察機(jī)關(guān)開展數(shù)據(jù)侵權(quán)公益訴訟

檢察機(jī)關(guān)提起數(shù)據(jù)侵權(quán)公益訴訟，是對(duì)數(shù)據(jù)領(lǐng)域行政監(jiān)管的不可或缺的有益補(bǔ)充。實(shí)踐中，網(wǎng)絡(luò)貸款、網(wǎng)絡(luò)購物等App違規(guī)收集個(gè)人信息的情況屢屢發(fā)生，損害了社會(huì)公共利益，也暴露出僅依靠行政監(jiān)管部門單打獨(dú)斗不可能實(shí)現(xiàn)對(duì)數(shù)據(jù)密集型企業(yè)的管理和約束。檢察機(jī)關(guān)提起公益訴訟可以與行政機(jī)關(guān)的行政處罰相互配合形成監(jiān)管合力，突破屬地管轄障礙，從而更加有效地保護(hù)個(gè)人信息安全?！稊?shù)據(jù)安全法》的頒布實(shí)施，對(duì)強(qiáng)化企業(yè)數(shù)據(jù)行為的監(jiān)管提出了新要求，檢察機(jī)關(guān)在運(yùn)用公益訴訟手段保障數(shù)據(jù)安全方面大有可為?！秱€(gè)人信息保護(hù)法》明確把個(gè)人信息保護(hù)納入公益訴訟范疇，最高人民檢察院專門頒發(fā)依法推進(jìn)個(gè)人信息保護(hù)公益訴訟檢察的司法文件，明確提出要延伸拓展公益訴訟檢察職能，這是檢察機(jī)關(guān)開展數(shù)據(jù)侵權(quán)公益訴訟的新機(jī)遇。應(yīng)當(dāng)明確，防范數(shù)據(jù)壟斷、算法濫用均屬于保護(hù)公共利益，在反數(shù)據(jù)壟斷、反算法濫用方面，檢察機(jī)關(guān)都可以提起公益訴訟，并以此為契機(jī)，促進(jìn)數(shù)據(jù)密集型企業(yè)積極開展數(shù)據(jù)合規(guī)建設(shè)。建議國家司法機(jī)關(guān)制定相關(guān)司法解釋，準(zhǔn)確界定數(shù)據(jù)合規(guī)、數(shù)據(jù)壟斷、算法濫用的司法適用的內(nèi)涵，并明確檢察機(jī)關(guān)提起數(shù)據(jù)侵權(quán)公益訴訟的條件和辦案流程。

（三）合規(guī)升華：完善企業(yè)數(shù)據(jù)合規(guī)激勵(lì)機(jī)制

1.構(gòu)建數(shù)據(jù)治理行政執(zhí)法和解制度

全球企業(yè)合規(guī)治理的經(jīng)驗(yàn)和我國企業(yè)合規(guī)治理的探索與實(shí)踐表明，在行政監(jiān)管領(lǐng)域建立健全數(shù)據(jù)合規(guī)激勵(lì)機(jī)制，是推動(dòng)數(shù)據(jù)密集型企業(yè)合規(guī)管理體系建設(shè)的必然趨勢，也是實(shí)現(xiàn)數(shù)據(jù)密集型企業(yè)守法合規(guī)的必然要求。為此，建議有關(guān)行政主管部門基于我國行政執(zhí)法和解試點(diǎn)的經(jīng)驗(yàn)，在數(shù)據(jù)合規(guī)領(lǐng)域建構(gòu)行政執(zhí)法和解制度。通過與行政違法的數(shù)據(jù)密集型企業(yè)達(dá)成和解協(xié)議、督促其繳納和解金、向企業(yè)內(nèi)部派駐合規(guī)監(jiān)督專門人員等形式推動(dòng)數(shù)據(jù)密集型企業(yè)建立健全合規(guī)管理體系，完善和落實(shí)合規(guī)計(jì)劃，進(jìn)而實(shí)現(xiàn)對(duì)數(shù)據(jù)密集型企業(yè)的行政監(jiān)管由硬約束到軟激勵(lì)的轉(zhuǎn)變；由“嚴(yán)厲處罰企業(yè)”到“嚴(yán)厲懲處直接責(zé)任人”的轉(zhuǎn)變；由企業(yè)被動(dòng)守法到主動(dòng)合規(guī)的轉(zhuǎn)變，有效激發(fā)數(shù)據(jù)密集型企業(yè)建立合規(guī)機(jī)制的內(nèi)在動(dòng)力。同時(shí)，建議國家積極開展行政執(zhí)法和解的立法工作，將上述行政執(zhí)法和解的有益經(jīng)驗(yàn)轉(zhuǎn)化為具體的法律制度設(shè)計(jì)，在法律層面為行政執(zhí)法和解制度的推進(jìn)提供有效保障。在相關(guān)立法路徑的具體選擇上，建議全國人大常委會(huì)根據(jù)我國開展企業(yè)合規(guī)的實(shí)際，尤其是推進(jìn)行政執(zhí)法和解的需要，專門制定“行政執(zhí)法和解法”。如果制定專門的法律還不成熟，建議對(duì)現(xiàn)行的《行政處罰法》作出修改，將行政執(zhí)法和解制度的基本內(nèi)容納入其中。在這個(gè)基礎(chǔ)上，有關(guān)行政主管部門應(yīng)當(dāng)結(jié)合數(shù)據(jù)密集型企業(yè)合規(guī)的實(shí)際需要，制定專門的實(shí)施細(xì)則，督促并幫助數(shù)據(jù)密集型企業(yè)進(jìn)行合規(guī)整改工作。

2.推進(jìn)數(shù)據(jù)刑事合規(guī)立法

在數(shù)字時(shí)代，為突破數(shù)據(jù)安全治理難題，需要在法治的軌道上激勵(lì)企業(yè)積極開展數(shù)據(jù)刑事合規(guī)建設(shè)。數(shù)據(jù)產(chǎn)業(yè)的發(fā)展情況表明，數(shù)據(jù)犯罪主要由網(wǎng)絡(luò)平臺(tái)等實(shí)體驅(qū)動(dòng)，因此，有必要將管控?cái)?shù)據(jù)犯罪風(fēng)險(xiǎn)的合規(guī)義務(wù)附加于網(wǎng)絡(luò)平臺(tái)。根據(jù)當(dāng)前數(shù)據(jù)產(chǎn)業(yè)發(fā)展的實(shí)際狀況，應(yīng)當(dāng)加強(qiáng)高科技、智能汽車、在線教育、互聯(lián)網(wǎng)等重點(diǎn)領(lǐng)域企業(yè)的刑事合規(guī)建設(shè)。企業(yè)刑事合規(guī)建設(shè)主要涉及事前監(jiān)督與事后監(jiān)督兩個(gè)階段。在事前監(jiān)督方面，建議檢察機(jī)關(guān)在履職中及時(shí)向相關(guān)企業(yè)提出改善治理結(jié)構(gòu)、封堵系統(tǒng)漏洞、防范刑事安全風(fēng)險(xiǎn)的檢察建議，督促企業(yè)制定并實(shí)施刑事合規(guī)計(jì)劃，同時(shí)協(xié)助相關(guān)企業(yè)積極進(jìn)行刑事合規(guī)建設(shè)，構(gòu)建全流程嵌入的綜合防范體系，積極預(yù)防和控制與數(shù)據(jù)有關(guān)的犯罪。在事后監(jiān)督方面，如果企業(yè)被以單位犯罪追究刑事責(zé)任，建議檢察機(jī)關(guān)以檢察監(jiān)督方式督促企業(yè)積極進(jìn)行刑事合規(guī)整改建設(shè)，以避免該單位再次實(shí)施犯罪。鑒于企業(yè)刑事合規(guī)的核心是將企業(yè)犯罪責(zé)任模式由過去的事后處置轉(zhuǎn)型為事先預(yù)防，涉及通過合規(guī)計(jì)劃而達(dá)到對(duì)涉嫌犯罪的企業(yè)不起訴或者從寬處理的目的，還涉及第三方的評(píng)估問題，以及刑事法律和行政法律的銜接問題。這些問題的解決，都需要有明確的法律依據(jù)。在立法路徑的具體選擇上，建議全國人大常委會(huì)根據(jù)我國企業(yè)刑事合規(guī)工作的實(shí)際，對(duì)《刑事訴訟法》《刑法》進(jìn)行必要的修改，為開展企業(yè)刑事合規(guī)工作提供明確的法律依據(jù)。在這個(gè)基礎(chǔ)上，建議最高人民法院和最高人民檢察院根據(jù)相關(guān)法律的規(guī)定，制定專門的司法解釋，以滿足數(shù)據(jù)合規(guī)領(lǐng)域檢察工作和審判工作的實(shí)際需要。鑒于刑事合規(guī)涉及行政法律與刑事法律的交叉，故建議在條件成熟時(shí)，考慮制定相關(guān)刑事法律與行政法律相銜接的規(guī)定，以保障數(shù)據(jù)密集型企業(yè)合規(guī)工作在和諧、有序、平穩(wěn)、法治的軌道上運(yùn)行。

3.推進(jìn)數(shù)據(jù)合規(guī)協(xié)同共治

大數(shù)據(jù)時(shí)代需要協(xié)同共治的方法實(shí)現(xiàn)數(shù)據(jù)密集型企業(yè)合規(guī)。我國目前對(duì)于數(shù)據(jù)利用以組織內(nèi)部管理為主，而跨部門、跨地區(qū)、跨行業(yè)的數(shù)據(jù)開放、共享和協(xié)作應(yīng)用程度較低。這都需要通過數(shù)據(jù)開放、共享和協(xié)同，讓數(shù)據(jù)更好地服務(wù)社會(huì)、造福人民，避免出現(xiàn)數(shù)據(jù)的獨(dú)占。企業(yè)數(shù)據(jù)治理應(yīng)當(dāng)按照黨中央關(guān)于“共建、共治、共享”的要求，精心打造開放性的生態(tài)系統(tǒng)，推動(dòng)信息公開與公眾參與，防止個(gè)別企業(yè)形成數(shù)據(jù)壟斷，危害國家和人民的利益。我國政府部門擁有大量與經(jīng)濟(jì)社會(huì)發(fā)展密切相關(guān)的各類數(shù)據(jù)，應(yīng)當(dāng)按照數(shù)據(jù)分級(jí)分類保護(hù)的要求，需要公開的應(yīng)當(dāng)及時(shí)公開，向人民群眾提供盡可能多的數(shù)據(jù)；需要保密的，應(yīng)當(dāng)按照《保守國家秘密法》的要求，采取必要的保密措施，以維護(hù)國家的數(shù)據(jù)安全和數(shù)據(jù)利益。

與此同時(shí)，應(yīng)當(dāng)充分發(fā)揮第三方評(píng)估的作用，有效開展數(shù)據(jù)安全的合規(guī)性評(píng)價(jià)。為了督促相關(guān)企業(yè)高質(zhì)量開展數(shù)據(jù)合規(guī)，應(yīng)當(dāng)鼓勵(lì)第三方機(jī)構(gòu)為企業(yè)數(shù)據(jù)安全提供合規(guī)科技、風(fēng)險(xiǎn)評(píng)估與安全認(rèn)證[21]，引入數(shù)據(jù)“合規(guī)官”制度提升企業(yè)數(shù)據(jù)合規(guī)管理水平[22]?！稊?shù)據(jù)安全法》明確支持?jǐn)?shù)據(jù)安全檢測評(píng)估和認(rèn)證，以促進(jìn)數(shù)據(jù)密集型企業(yè)實(shí)現(xiàn)數(shù)據(jù)合規(guī)的目標(biāo)。在當(dāng)前相關(guān)評(píng)估標(biāo)準(zhǔn)和制度尚未健全的情況下，相關(guān)企業(yè)可以參考等級(jí)保護(hù)、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和相關(guān)行業(yè)監(jiān)管制度，積極穩(wěn)妥地推進(jìn)數(shù)據(jù)合規(guī)各項(xiàng)工作的開展。

五、結(jié)語

長期以來，黨和國家在推進(jìn)企業(yè)守法方面做了大量工作。但由于企業(yè)守法的內(nèi)生動(dòng)力不足，致使企業(yè)違法經(jīng)營的現(xiàn)象屢禁不止。尤其是在網(wǎng)絡(luò)信息時(shí)代，互聯(lián)網(wǎng)、大數(shù)據(jù)和人工智能在給人們帶來巨大便利的同時(shí)，數(shù)據(jù)領(lǐng)域違法犯罪的問題也日益突出，廣大人民群眾深受其害，國家安全受到威脅，企業(yè)自身發(fā)展也受到不利影響。為此，應(yīng)當(dāng)促進(jìn)數(shù)據(jù)密集型企業(yè)由“政府要我守法”，到“我要主動(dòng)守法”的歷史性轉(zhuǎn)變。強(qiáng)化數(shù)據(jù)密集型企業(yè)合規(guī)是實(shí)現(xiàn)上述轉(zhuǎn)變的必由之路。通過建立健全企業(yè)合規(guī)管理體系，建立風(fēng)險(xiǎn)識(shí)別機(jī)制和促進(jìn)企業(yè)合規(guī)的各項(xiàng)制度，弘揚(yáng)合規(guī)文化，輔之以行政監(jiān)管、司法監(jiān)督和社會(huì)監(jiān)督的適度介入，必將有助于形成我國數(shù)據(jù)密集型企業(yè)全面守法的新態(tài)勢。在確保數(shù)據(jù)資源為國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)發(fā)展和人民生活提供高質(zhì)量服務(wù)的同時(shí)，還將為我國全面建成法治社會(huì)提供有益經(jīng)驗(yàn)。建議國家有關(guān)部門認(rèn)真總結(jié)數(shù)據(jù)密集型企業(yè)合規(guī)治理的經(jīng)驗(yàn)，加強(qiáng)相關(guān)立法和政策指引，通過企業(yè)數(shù)據(jù)合規(guī)治理的有序推進(jìn)，為促進(jìn)全民守法，全面建設(shè)社會(huì)主義現(xiàn)代化國家做出新貢獻(xiàn)。

參考文獻(xiàn)：

[1]中共中央政治局.分析研究當(dāng)前經(jīng)濟(jì)形勢和經(jīng)濟(jì)工作[N].人民日?qǐng)?bào)，2023-04-29（001）.

[2]習(xí)近平.習(xí)近平談治國理政：第三卷[M].北京：外文出版社，2020：268.

[3]楊蓉.從信息安全、數(shù)據(jù)安全到算法安全——總體國家安全觀視角下的網(wǎng)絡(luò)法律治理[J].法學(xué)評(píng)論，2021（1）：131-136.

[4]王錫鋅.個(gè)人信息國家保護(hù)義務(wù)及展開[J].中國法學(xué)，2021（1）：145-166.

[5]楊春福.全民守法的法理闡釋[J].法制與社會(huì)發(fā)展，2015（5）：66-68.

[6]朱軍.在合法合規(guī)中提升民企競爭力[J].人民論壇，2019（19）：84-85.

[7]習(xí)近平.在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話[N].人民日?qǐng)?bào)，2016-04-26（002）.

[8]趙超，安蓓.堅(jiān)持對(duì)話協(xié)商共建共享合作共贏交流互鑒 推動(dòng)共建“一帶一路”走深走實(shí)造福人民[N].人民日?qǐng)?bào)，2018-08-28（001）.

[9]張新寶.從隱私到個(gè)人信息：利益再衡量的理論與制度安排[J].中國法學(xué)，2015（3）：38-59.

[10]章凱.激勵(lì)理論新解[J].科學(xué)管理研究，2003（2）：89.

[11]陳瑞華.企業(yè)合規(guī)基本理論[M].北京：法律出版社，2021：40-60.

[12]魏倩.守住隱私！銀行數(shù)據(jù)安全治理升級(jí)在行動(dòng)[N].上海證券報(bào)，2021-11-11（003）.

[13]中國汽車論壇組委會(huì).圓桌對(duì)話：智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全治理與合規(guī)應(yīng)對(duì)[EB/OL].（2021-06-22）[2023-06-18].http：//www.caam.org.cn/search/con_5234048.html.

[14]中國互聯(lián)網(wǎng)絡(luò)信息中心.CNNIC發(fā)布第47次<中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告>[EB/OL].（2021-02-03）[2023-08-12]http：//www.cac.gov.cn/gzzt/ztzl/zt/cnic/A0920010802index_1.html.

[15]人民網(wǎng).在線教育專業(yè)委員會(huì)成立 作業(yè)幫作為在線教育行業(yè)代表宣讀倡議書[EB/OL].（2021-11-28）[2023-08-12]http：//finance.people.com.cn/n1/2021/0322/c1004-32057447.html.

[16]人民網(wǎng).釘釘發(fā)布安全白皮書3.0為用戶構(gòu)筑全鏈路安全防護(hù)體系[EB/OL].（2021-11-28）[2023-08-12]http：//finance.people.com.cn/n1/2021/1128/c1004-32293796.html.

[17]JACKSON.J.，BRADFORD.B.，HOUGH.M.Why Do People Comply with the Law：Legitimacy and the Influence of Legal Institutions[J].British Journal of Criminology，2012（6）：1 051-1 071.

[18]WITHERS.P.Data Compliance：Achieving It All[J].International Journal for the Data Protection Officer，Privacy Officer and Privacy Counsel，2019 （7）：17-19.

[19]陳瑞華.有效合規(guī)管理的兩種模式[J].法制與社會(huì)發(fā)展，2022（1）：5-24.

[20]HORDERN.V.Data Protection Compliance in the Age of Digital Health[J].European Journal of Health Law，2016（3）：248-264.

[21]丁曉東.數(shù)據(jù)交易如何破局——數(shù)據(jù)要素市場中的阿羅信息悖論與法律應(yīng)對(duì)[J].東方法學(xué)，2022（2）：144-158.

[22]GOSHADE.K.The Data Protection Officer （DPO） Ensuring Greater Data Protection Compliance[J].Law and World，2020（14）：41-47.

（責(zé)任編輯：蒲應(yīng)秋）楊? 洋? 楊? 波，張? 婭，王勤美，蒲應(yīng)秋

The Theoretical Basis， Reality Check and Path Choice of Corporate Data Compliance in China

SUN Youhai

（Law School， Tianjin University， Tianjin， China， 300072）

Abstract：

In recent years， violations of corporate data have occurred repeatedly in China， damaging the legitimate rights and interests of relevant subjects. Promoting the construction of corporate data compliance is not only favorable to the development of corporates themselves， but also of great significance in promoting law-abiding corporates and comprehensively building a society based on the rule of law. Corporate data compliance should be based on the theoretical foundation of data security， rights and obligations， mechanism incentives， and overall governance; through the review of China’s data-intensive corporates， it is found that there are data violations in terms of data collection， utilization， storage， data exit and other issues. In response， corporates can adopt solutions through the establishment of a sound internal data compliance management system， a compliance risk identification and warning mechanism， a data violation review and penalty system， and the cultivation of corporate compliance culture. Thus， the corporate data compliance operation is guaranteed and legal risks can be reduced. It is necessary to strengthen the external administrative supervision and judicial supervision， to promote the administrative law enforcement and reconciliation in the field of data compliance with the proposal to formulate the “Law on Administrative Law Enforcement and Reconciliation”. It is also recommended to revise the Criminal Procedure Law and the Criminal Law on the basis of summarizing the successful experience of corporate data compliance， and formulate the supporting judicial interpretation.

Key words：

data theory;data behavior; corporate data compliance; data compliance