數字經濟時代企業數據合規及其構建

孫 躍

近年來，持續高速發展的數字經濟已經成為我國經濟增長和社會進步的重要驅動力之一。數據是數字經濟的基本生產要素和載體，企業則是市場經濟的主體及主要組織形式。因此，企業數據在數字經濟中具有十分重要的地位。在域外，自2018年歐盟實施《通用數據保護條例》（簡稱GDPR）以來，西方發達國家圍繞企業數據治理展開的執法活動日益頻繁。在國內，隨著《網絡安全法》《數據安全法》《個人信息保護法》以及配套法律規范的相繼實施，依法依規治理企業數據處理活動已成為政府和企業必須面對的現實課題。

隨著合規制度被引入我國企業治理體系，通過合規建設來降低數據處理違規風險對企業經營造成的損失，具有較強的理論研究與實踐應用價值。雖然當前有不少學者對企業合規問題進行了研究，但普遍存在兩方面不足：其一，現有研究大多側重于從整體角度研究企業合規問題，針對企業數據合規的專門性研究成果還不夠豐富；其二，圍繞企業數據治理展開的研究更多側重于行政監管與執法視角，對數據合規這一以企業自治為主的創新機制關注度有限。基于上述研究背景與問題意識，本文將在明確企業數據合規基本定位的基礎之上，從應對多維法律風險的角度闡述企業數據合規的主要功能，并重點探討企業數據合規體系的構建路徑，為企業數據合規建設及數據治理政務活動提供參考和指引。

一、企業數據合規的基本定位及作用

企業數據合規建設雖然以企業為中心和主體，但其重要意義并不局限于企業自身的經營管理，還涉及個人權益與公共利益。從企業的角度來看，數據合規是一種具有創新性的企業數據治理模式。從個人權益角度來看，企業數據合規是一種加強個人信息保護的有效手段。從公共利益角度來看，企業數據合規建設有助于規范數字經濟的發展。

（一）作為企業數據治理創新模式的數據合規

從企業經營管理的角度來看，數據合規本質上是一種針對企業數據處理活動的自我治理機制。首先，企業數據合規是一種數據處理法律風險控制機制。根據法律風險來源，數據違規風險可以被分為兩類。第一類為數據違規的原生性風險，主要是指因數據違規直接引發的風險，如企業在收集與處理數據過程中對個人信息權益或相關公共利益的侵害引發的不利法律后果等。第二類為數據違規的派生性或次生性風險，主要是指因數據違規間接引發的擴散性風險。在數字化的大趨勢下，企業數據與財務、人力資源、法律事務、營銷、技術研發等各個業務部門之間均可能發生交叉關系，由此加劇了數據違規風險的流動性與擴散性。通過建立數據合規機制，有助于降低數據違規的派生性風險在企業各個業務部門之間的流動與擴散，從而使企業治理與合規體系更加完整。

其次，數據合規也是一種數據違規事后處理的創新機制，旨在降低數據違規活動造成的損失成本。數據違規可能會帶來大規模侵權、不正當競爭或濫用市場支配地位、刑事犯罪等法律風險，使包括企業在內的多方主體遭受巨大損失。盡管建立數據合規體系并不能絕對避免數據違規事故的發生，但通過與執法或司法活動的積極配合，可借助合規整改等方式減免相應的法律責任。

最后，企業數據合規亦是一種可用于改善企業數據治理形象的創新機制。企業數據合規主要依靠企業的自我治理與約束，本質上是一種“自律機制”。企業數據合規不僅可以提升企業處理數據的合法性，而且還可以增強企業的商業道德與科技倫理意識，有助于激勵企業承擔與之相匹配的社會責任，引導企業塑造良好的商業信譽與公共形象。

（二）作為加強個人信息保護手段的數據合規

隨著互聯網時代的來臨與數字科技的發展，數據已逐漸成為個人信息的主要載體。《民法典》雖然并未直接采用“個人信息權（利）”的表述方式，但在第111條明確了“自然人的個人信息受法律保護”，相當于確立了個人信息作為一種新興權益的法律地位。根據《個人信息保護法》第54條的規定，個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。可見，通過建立合規機制保護個人信息及數據權益已成為企業必須履行的法定義務。

從企業與個人的相互關系來看，相對于個人，企業經營管理活動會有更大概率引發個人信息侵權行為。作為市場經濟主導者的企業天然就擁有更多機會獲取其他主體的個人信息，包括用戶、員工以及來自第三方企業甚至政府機關的個人信息。例如，互聯網平臺企業擁有強大的科技和資本實力，能夠更加快捷高效地收集與處理海量個人信息，一旦違規處理數據，將對個人信息保護產生巨大威脅。又如，關鍵信息基礎設施運營者（CIIO）掌握的個人信息和數據關系到國計民生的重要領域，其對數據處理的合規性與國民數據安全之間具有密切聯系。因此，企業需要建立數據合規機制來履行保護個人信息和數據安全的法定義務。

從國家與個人的相互關系來看，個人信息權利束是國家履行積極保護義務和通過制度性保障對個人進行賦權的結果，是個人制衡信息處理者的工具和國家對數據處理者的規制策略。個人信息在概念上雖凸顯“個人”，但其并非純粹的私法權利，個人對其信息并不享有絕對支配權。質言之，個人信息只有在公共領域才能發揮其身份識別功能以及基于此產生的財產性利益。不僅如此，在經濟全球化與經濟數字化的疊加效應下，跨境數據流動不僅關乎國際貿易，而且也與國家數據安全甚至數據主權息息相關。數據合規建設的水平不僅關乎我國企業參與國際數字經濟貿易活動，而且還會影響我國數字經濟在全球范圍內的戰略布局。

（三）作為數字經濟發展規范方式的數據合規

數字經濟的發展是一個“去中心化”與“再中心化”相互交織的過程：在“去中心化”過程中，需要增強社會的信任，以互動性、參與性的制度構建回應這一趨勢；在“再中心化”過程中，則需要防范平臺的無序擴張、野蠻生長所帶來的壟斷、不正當競爭、隱私泄露等一系列風險。《網絡安全法》第17條規定，鼓勵有關企業、機構開展網絡安全認證、檢測和風險評估等安全服務是國家推進網絡安全社會化服務體系建設的重要路徑之一。《數據安全法》第18條規定，國家支持有關部門、行業組織、企業、教育和科研機構、有關專業機構等在數據安全風險評估、防范、處置等方面開展協作。鑒于此，數字經濟發展的規范化需要引入“多元共治”理念，依靠由政府、企業、個人等“社會治理共同體”間的“共建共治共享”實現。

在企業層面，數據合規建設旨在引導企業從數字經濟治理的對象轉向數字經濟治理的主體之一，進而提升企業參與數字經濟治理的主動性與積極性，增強其在數據治理活動中的參與感與獲得感。對于政府而言，企業數據合規建設可以降低行政監管與執法的成本，提高數據治理政務活動的效率與效果。就“企業—政府”的雙向互動關系而言，企業數據合規建設可以促進形成“內外聯動”與“自治+他治”的“數據多元共治”新格局，進一步凝聚企業與政府在規范數字經濟發展方面的合力，最終形成更加持久穩固的數字經濟秩序。

二、企業數據合規法律風險應對功能的多維展開

企業數據合規具有創新企業治理、加強個人信息保護、規范數字經濟發展等諸多作用，而這些均建立在企業數據合規具有的數據處理活動風險應對功能之上。結合企業經營與管理的實際情況，企業數據合規的功能可從不同法律部門與領域的視角展開。

（一）基于民商經濟法維度的分析

《民法典》在第四篇第六章中明確了個人信息及隱私保護的規則，奠定了個人信息保護的私法基礎。根據《個人信息保護法》第69條和最高人民法院《關于人臉識別技術處理個人信息的司法解釋》第6條的要旨，若企業平時不能采取有效措施存儲證據以證明其在數據處理過程中不存在過錯或不當行為，在日后糾紛中將可能承擔敗訴風險。由于數據往往以具體產品或服務為載體，互聯網平臺企業需要在提供服務時與用戶訂立合同。數據糾紛類案件不僅可能涉及民事法律關系，還可能與經濟法中的濫用市場支配地位、不正當競爭以及消費者權益保護等問題相關聯，數據處理違規引發的風險還會從傳統侵權法領域擴展到合同法、經濟法等領域。例如，在全國首例涉直播數據權益不正當競爭案中，法院就判定數據獲取違規行為同時侵害了主播個人信息權利、消費者權益以及基于正當競爭市場經濟秩序的公共利益。法院認定企業通過App與用戶簽訂了《服務協議》《隱私政策》，通過收集用戶數據實施基于特定算法的價格歧視（即“大數據殺熟”）行為存在虛假宣傳、價格欺詐和欺騙行為，判令企業應當承擔《消費者權益保護法》第55條規定的“退一賠三”懲罰性賠償責任。

由于企業數據處理違規引發的個人信息侵權風險可能會從個人利益層面擴張到公共利益層面，根據《個人信息保護法》第70條以及《民事訴訟法》第55條的規定，企業數據的違規處理還會產生被提起公益訴訟的風險。在最高人民檢察院2021 年4月發布的“檢察機關個人信息保護公益訴訟典型案例”中，有一起案例涉及某網絡科技企業侵害公民個人信息，最終該企業被當地檢察機關提起民事公益訴訟并責令限期整改。

綜上，基于民商經濟法的維度，加強企業數據合規建設主要具有以下功能：（1）降低因侵害個人信息及數據權益引發的民事訴訟概率；（2）防止因侵害個人信息及數據權益引發的個體訴訟向群體訴訟甚至公益訴訟轉化；（3）通過替代性的糾紛解決方案控制因侵害個人信息及數據權益引發的訴訟烈度，降低數據處理活動引發的民事爭議解決成本；（4）對于難以避免的民事訴訟風險，企業可通過數據合規建設來強化日常管理與證據固定，在一定程度上避免其在訴訟中處于明顯不利地位。

（二）基于行政法維度的分析

自2017年《網絡安全法》實施以來，各級執法機關越發重視對企業數據合規的行政監管，企業因未落實網絡安全等級保護制度及網絡安全保護義務、未履行個人信息保護義務、未落實真實身份信息認證、未履行網絡信息內容審核義務、網絡產品和服務不符合法定要求等方面的事由遭受行政處罰的案例日益增多。實踐中，銀行、證券、保險等金融行業是企業數據合規風險的高發領域。自2018 年中國銀保監會發布《銀行業金融機構數據治理指引》后，不少企業因監管標準化數據（EAST）系統數據質量及報送存在違法違規行為而受罰。根據《個人信息保護法》第66條的規定，個人信息違法行為的行政處罰責任被進一步加重，主要體現在“罰金幅度提高”和“行業禁入”兩個方面。不僅如此，數據違規行為還會影響企業上市與投融資業務的開展。隨著網信、工信、市場監管、公安等部門以及地方政府陸續制定關于數據合規的各種規范與標準，數據行政監管規范體系將日益健全，行政監管和處罰力度將呈現加大趨勢。在此背景下，企業建立數據合規可主動配合數據行政監管，通過“內外結合”的方式滿足合規經營需求。

除配合日常行政監管外，企業數據合規還具有促進行政執法和解的激勵功能。所謂行政執法和解，即行政機關在執法活動中與行政相對人進行協商并達成和解協議的方式，在行政相對人滿足限定條件的前提下減免行政處罰。行政執法和解具有較強的協商性與民主性，有助于將行政監管理念從處罰轉變為預防，通過督促企業整改等方式降低行政執法成本、提高行政執法效率、激勵企業合規經營。盡管我國尚未建立一般性行政執法和解制度，但中國證監會早在2015 年就發布了《行政和解試點實施辦法》，嘗試在金融監管與執法領域探索構建行政和解制度。可以預見的是，隨著行政執法和解制度的日益成熟，其遲早會進入數據治理系統并與數據合規機制建立耦合關系。可見，企業通過建立數據合規并將其作為一種行政執法和解的激勵工具，具有降低因行政處罰等制裁措施造成的經營損失以及預防數據監管與處罰風險的重要功能。

（三）基于刑事法維度的分析

《刑法》中與企業數據合規相關的罪名可以被分為兩類。一類是與個人信息保護直接相關的罪名，主要包括《刑法》第253條之一規定的“侵犯公民個人信息罪”以及第286條之一規定的“拒不履行信息網絡安全管理義務罪”。另一類則是與個人信息保護存在間接關聯的罪名。以侵犯公民個人信息罪為例，該罪名增設于2009 年實施的《刑法修正案（七）》。2015年實施的《刑法修正案（九）》將該罪的主體范圍進行了擴張，并提高了最高法定刑幅度，折射出立法機關對個人信息保護重視程度不斷提高的總體趨勢。在司法領域，最高人民法院、最高人民檢察院近年來也陸續在涉及數據及個人信息保護等領域發布了刑事司法解釋及指導性案例，體現出司法機關對打擊治理相關領域犯罪活動的重視。

《刑法》中關于個人信息保護的罪名有相當一部分屬于單位犯罪。從程序法與實體法互動角度來看，即便企業最后被追究的罪名不成立，刑事訴訟程序的嚴苛性與復雜性也會嚴重影響企業的經營及公眾形象。根據實踐經驗，企業合規可以在爭取不起訴或暫緩起訴、尋求無罪抗辯、減輕刑事處罰等方面產生積極作用。綜上，將數據合規作為專項計劃融入企業刑事合規體系之中，不僅具有預防數據犯罪活動的重要功能，同時還具有減免此類犯罪刑事法律責任的刑事訴訟激勵功能。

（四）基于國際法維度的分析

企業數據合規具有引導企業數據處理活動符合域外及國際數據規范的功能。在經濟全球化與經濟數字化兩大趨勢的疊加背景下，各國對個人信息保護及跨境數據合規的重視程度越來越高。這意味著企業在參與國際數字經濟貿易活動中，因違反國際組織或外國相關法律法規而引發的數據處理風險不斷上升。歐盟GDPR 第六章規定，各國應當設立獨立的政府監管機構來監督數據合規問題。2021年，歐盟依據GDPR進行的罰款總額為11億歐元，約為2020 年罰款總額的7 倍。近年來，我國已有多家企業因數據合規問題遭到不同方式與程度的制裁；亦有部分國家通過提高數據合規準入門檻，在實質上設立了“數據貿易壁壘”。跨國企業的合規建設已無法回避國際法律維度下的數據跨境合規問題。

不同國家或國際組織對數據合規設置的具體標準碎片化現象比較嚴重，容易引發規范間的沖突，具體體現在“價值”與“規則”兩方面。一方面，不同國家、地區對數據合規價值取向的側重有所不同。例如，相對于歐盟GDPR，美國2018 年頒布的《加利福尼亞消費者隱私法》（簡稱CCPA）更加重視產業利益，強調通過合理地削弱個人對數據信息的絕對控制權來為數據所有者與控制者留有探索創新性數據交易商業模式的空間。另一方面，不同國家、地區關于同一數據合規事項的規定不盡相同。例如，我國2022 年制定的《數據出境安全評估辦法》就面臨與GDPR、美國與歐盟的《隱私盾協議》（U.S.-EU Privacy Shield）、OECD 規則體系的銜接問題。為了應對上述挑戰，數據合規的功能需要從銜接本國數據規范與國際多元數據規范的維度展開。

三、企業數據合規體系的構建路徑

企業數據合規體系主要包括基本原則、流程及其內容、專門機構與運行機制三部分。數據合規基本原則為企業數據合規奠定價值取向與總體目標，是數據合規體系的“靈魂”；數據合規流程及內容確定了企業數據合規體系建設的框架和具體事項，是數據合規的“骨骼”與“血肉”；數據合規專門機構與運行機制涉及企業數據合規的具體實施主體及作業模式，是數據合規體系的“神經系統”。

（一）樹立企業數據合規的基本原則

通過綜合分析我國數據領域的主要立法以及域外代表性法律規范（特別是歐盟GDPR）中的一般性條款與法律原則規定，可以提煉出數據合規應遵循的四項基本原則：合法合規、告知同意、正當目的、最小必要。合法合規原則是數據合規建設的首要原則與最低限度；告知同意原則是數據合規風險控制的主要準則；正當目的原則是在實質層面對合法合規原則的補充與調整；最小必要原則是在企業數據權益與個人信息權益之間進行權衡所應遵循的原則。

1.合法合規原則

關于個人信息保護與數據處理的立法，無論是我國還是歐盟GDPR，都將合法性（合法合規）原則確立為企業數據合規應當滿足的首要原則與最低標準。合法合規原則可以從狹義和廣義兩個角度理解。狹義上的合法合規原則要求企業處理數據活動必須遵守法律、行政法規的基本規定，特別是與個人信息保護及數據處理直接相關的法律規定。廣義上的合法合規原則要求企業數據合規除符合相關法律、行政法規外，還必須符合與這些法律、行政法規相關的輔助性或解釋性規范。由于法律、行政法規的內容相對抽象和概括，在適用與執行過程中還需要進一步的細化與解釋。實踐中，行政機關或司法機關往往會制定一系列規范以作為監管執法活動或司法裁判活動的依據，這些規范雖然并非我國2015 年《立法法》中規定的法律或行政法規，但在內容上具有更強的可操作性，因而也應當被作為企業合規建設遵守的規范依據。

行政執法機關制定的數據規范主要包括：（1）國務院各部門制定的規章，如工信部制定的《電信和互聯網用戶個人信息保護規定》、國家互聯網信息辦公室制定的《兒童個人信息網絡保護規定》、國家互聯網信息辦公室和工業和信息化部等部門聯合制定《App 違法違規收集使用個人信息行為認定方法》等；（2）地方性法規，如《深圳經濟特區數據條例》《上海市數據條例》等；（3）地方規范性文件，如廣州市國資委制定的《廣州市國資委監管企業數據安全合規管理指南（試行2021年版）》等；（4）國家標準或團體規定，如全國信息安全標準化技術委員會制定的《信息安全技術—個人信息去標識化指南》（GB/T 37964—2019）、《個人信息安全影響評估指南》（GB/T 39335—2020）等。

司法機關制定或通過個案裁判形成的數據規范主要包括：（1）司法解釋，如最高人民法院制定的《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》《關于審理侵害信息網絡傳播權民事糾紛案件適用法律若干問題的規定》《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》等；（2）判例，特別是最高人民法院或最高人民檢察院發布的指導性案例、典型案例等。例如，最高人民法院指導案例145 至147 號、最高人民檢察院發布的檢察機關個人信息保護公益訴訟典型案例等權威性司法案例，均涉及個人信息保護與數據合規問題。

2.告知同意原則

我國《民法典》第1035 條第一款第（一）項、《數據安全法》第18條和第19條、《個人信息保護法》第13 條第一款第（一）項、《網絡安全法》第22 條第三款共同確立了個人信息數據處理的“告知同意原則”；歐盟GDPR 在第7條和第8條對數據處理的同意原則進行了專門規定。告知同意本質上是一種建立在企業與個人之間的數據處理合意（契約）行為，其內涵可以從程序前置性、告知方式、特殊情形下的單獨同意以及例外情形等四個方面展開。

首先，通過特定的方式告知并取得個人同意應當作為所有個人信息數據處理活動的前置程序。為了避免沒有履行告知與同意義務的風險，應根據我國《個人信息保護法》第17條規定，采取“處理前告知同意”而非“事后追認”的方式。其次，告知應當采用明確易理解的方式。根據《個人信息保護法》第14條的規定，基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿且明確地作出。以網站或App中的“隱私政策”為例，不能期待用戶以全文閱讀的方式了解所有的隱私條款，因而企業在設定用戶的義務或者擴大經營者被授權的范圍時，應當采取更加顯著的方式進行重點提示和解釋說明。再次，要對法定應當采取單獨同意方式處理個人信息數據進行專門的合規審查。根據《個人信息保護法》，當存在“向第三方提供其處理的個人信息”“公開其處理的個人信息”“對外提供個人圖像、個人身份特征信息”“處理敏感個人信息”“向境外提供個人信息”等情形時，需要以單獨方式征求個人同意。最后，需要明確告知同意原則的例外情形。實踐中常見的除外情形有兩類：其一為“法律、行政法規另有規定的事項”，通常是緊急情況下出于維護重大公共利益的需求。此種情形下需要遵循比例原則，衡量并判斷個人信息權益與公共利益孰輕孰重，同時應根據《個人信息保護法》第18條第二款的規定，在緊急情況消失后及時告知個人。其二為“特殊群體的告知同意規則”。例如，根據《個人信息保護法》第31 條，個人信息處理者處理不滿14 周歲未成年人的個人信息應當取得其父母或者其他監護人的同意。

3.正當目的原則

我國《民法典》第1035 條第一款、《個人信息保護法》第5 條、《數據安全法》第17 條第一款、《網絡安全法》第41條第一款共同確立了個人信息數據處理的正當性（正當目的）原則；歐盟GDPR 第5 條和第6條中均有關于數據處理目的限制的規定。如果說合法合規原則是對數據合規進行判斷的形式標準，那么正當目的則是對數據合規進行實質性判斷的重要標準之一。

首先，基于正當性原則的合規性審查，要重點考察企業對個人信息數據進行處理時是否具有明確的正當性依據。根據《民法典》第1036條以及《個人信息保護法》第13條的規定，個人信息處理的正當性依據主要包括：（1）為了履行約定義務；（2）為了履行法定義務；（3）為了應對突發公共衛生事件或者緊急情況下保護自然人的生命健康和財產安全；（4）為了公共利益并合理處理；（5）在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息。因此，在個人信息數據處理缺乏以上法定事由作為正當性基礎時，就應當認定處理行為違規。其次，根據《個人信息保護法》第21條的規定，在個人信息處理者委托處理個人信息的情況下，還需要審查受托人是否在約定的目的范圍內處理個人信息數據。最后，根據《個人信息保護法》第26條的規定，企業收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他（如商業營利）目的。

4.最小必要原則

我國《民法典》第1035 條第一款、《個人信息保護法》第5 條、《數據安全法》第17 條第一款、《網絡安全法》第41條第一款共同確立了數據處理活動的最小必要原則；歐盟GDPR 則在第5 條1（c）中規定了最小必要原則。

首先，企業在處理個人信息數據時，需要將數據處理限定在實現其服務功能的最小信息范圍內。為了滿足這一要求，應當從“定性”和“定量”兩個維度對企業數據合規進行審查。定性審查的重點在于考察企業處理個人信息是否與其提供的服務密切相關，在非必要的情況下不得收集個人信息。定量審查需要考察企業處理數據的規模體量與其提供服務基本需求之間的比例是否得當，不應以提供必要服務為由進行個人信息數據的超量處理。其次，企業在對最小必要原則進行抗辯時，要遵循《個人信息保護法》第16條的規定。除非處理個人信息屬于企業提供產品或者服務所必需，否則企業不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產品或者服務。最后，要對最小必要原則進行動態合規性審查。根據《個人信息保護法》第19條的規定，個人信息數據存儲期限應當為實現處理目的所必要的最短時間。此外，還要根據《個人信息保護法》第47條的規定，審查個人信息數據存儲的必要性基礎是否喪失，當存在以下兩種情形時，應當主動刪除或配合個人行使刪除權（被遺忘權）：（1）處理目的已實現、無法實現或者為實現處理目的不再必要；（2）企業停止提供產品或者服務或存儲期限已屆滿。

（二）明確企業數據合規的流程及其內容

數據處理是由多個環節組成的活動。根據數據處理活動的不同環節，企業數據處理活動主要包括數據收集、數據存儲、數據使用、數據流轉等流程。明確這些流程中的合規事項及其審查標準，是企業數據合規體系構建的主要內容。

1.數據收集合規

根據來源的不同，數據收集可以被分為直接收集和間接收集。直接收集即企業采用一定的技術手段直接獲取個人信息數據。根據《信息安全技術個人信息安全規范》《App違法違規認定方法》《App違法違規收集使用個人信息自評估指南》的相關規定，企業在收集用戶個人信息時要堅持合法與誠信原則，不得使用欺詐、誘騙、誤導或以合法形式掩蓋非法目的等方式；也不得隱瞞產品或服務的個人信息收集功能。因此，數據收集合規審查應當圍繞企業是否將收集活動的目的、方式、可能的后果等如實告知用戶進行。間接收集即企業從第三方（通常是數據交易相對人）處獲取個人信息等數據。針對第三方提供的個人信息，企業有必要將數據合規審查嵌入與目標企業交易的盡職調查流程中，防止數據收集違規引發的法律風險在具有交易關系的企業之間傳遞。

同時，企業還要對個人信息數據收集的技術手段進行合規審查，例如實踐中被廣泛使用“網絡爬蟲”。網絡爬蟲是一種由機器模仿人的行為抓取數據的工具，爬蟲的活動一般表面顯現為正常用戶的操作。當企業運營爬蟲工具收集數據時，如果沒有履行對個人的告知同意義務或違反被爬取網站的Robots協議（反爬蟲協議），則有可能會面臨承擔民事侵權責任甚至刑事責任的后果。因此，企業需要對爬蟲技術的運用進行合規監控，在直接爬取個人信息數據時要履行告知同意義務；在爬取其他網站數據時，要遵循網站的Robots 協議，不得運用技術手段繞開或破壞被爬取網站的反爬取系統。

2.數據存儲合規

企業數據存儲的合規事項包括三個主要內容。首先，企業要加強個人信息數據存儲的安全保障機制。“對外”層面，非因法定或約定事由，企業不得隨意公開個人信息數據，并應當采取必要技術手段對個人信息數據進行加密保護。“對內”層面，企業需要建立完整的數據訪問權限與監管機制，防止數據被無權或越權訪問，并能夠通過數據訪問記錄追蹤數據訪問情況，確定數據安全的責任主體。

其次，企業要對存儲的個人信息數據進行分類與分級管理。企業應當運用類型化思維，綜合現行法律法規、國家標準（如《信息系統安全等級保護定級指南》）以及地方政府數據分類分級指南的規定，對各類數據分類分級管理，以確保數據存儲的安全性。在此基礎上，企業還應當著重加強對生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡、未成年人等個人敏感信息的保護，防止個人敏感信息被泄露、非法提供或濫用。

最后，根據《個人信息保護法》第51 條規定，企業還需要對個人信息進行去標識處理。企業需要建立“確定目標—識別標識—處理標識—驗證審批”的個人信息去標識化流程機制，運用統計技術、密碼技術、抑制技術、假名化技術、泛化技術、隨機化技術以及數據合成技術等手段進行個人信息數據的去標識化。

3.數據使用合規

狹義上的數據使用合規主要面向企業自身使用數據的行為。企業在使用數據時往往需要借助特定的算法實現，因而除應當貫徹企業數據合規的基本原則外，企業還需要重視對算法合規的審查。根據《個人信息保護法》第24 條以及網信辦、工信部、公安部、市場監管總局制定的《互聯網信息服務算法推薦管理規定》，對算法合規的審查主要從“算法透明”“算法公正”“算法弱勢群體保護”等角度展開。算法透明要求企業應當以顯著方式告知用戶其提供算法推薦服務的情況，并以適當方式公示算法推薦服務的基本原理、目的意圖和主要運行機制等，避免“算法黑箱”損害個人信息權益。算法公正要求企業應當向用戶提供不針對其個人特征的選項或者向用戶提供便捷的關閉算法推薦服務的選項，不得運用算法技術手段進行“算法歧視”（如“大數據殺熟”）。算法弱勢群體保護要求企業應對未成年人、老年人、勞動者、消費者等特定情境下的算法弱勢群體給予合理的差別待遇，以保護這些群體的數據權益。

廣義上的數據使用合規除包括企業自身使用數據的行為合規外，還應當包括對企業配合用戶行使個人信息權能的情況進行審查與規范。在我國現行立法框架下，個人信息權利束主要包括查詢權、更正權、刪除權（被遺忘權）、復制權、轉移權（可攜權）等。由于個人信息及其數據產生與流通均具有公共性，因而相關權利束的行使無法建立在個人對其信息的絕對控制之上，而是需要包括企業在內的多方主體的配合。基于上述原理，企業不僅負有消極不作為方式避免侵害個人信息數據權益的義務，而且負有以積極作為方式配合用戶在合法合理的限度內行使其個人信息權利以滿足用戶數據權益的義務。

4.數據流轉合規

數據流轉合規主要針對企業向第三方轉讓個人信息數據的行為。根據《個人信息保護法》第23條的規定，企業向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。同時，接收企業應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息，變更原先的處理目的、處理方式應當依照本法規定重新取得個人同意。考慮到SDK（軟件開發包）可能產生的數據合規隱患，企業在涉及運用SDK 進行第三方接入管理的數據處理行為時，還應當建立專門的第三方接入管理機制，明確企業與第三方的權責劃分。企業還需要對第三方接入進行實時監管與審計，在出現安全隱患時應當及時停止第三方接入。

由于數據跨境流動涉及國家數據安全甚至數據主權問題，企業應嚴格依照《個人信息保護法》《數據出境安全評估辦法》中關于個人信息及數據跨境提供的規則進行評估，并結合數據接收方所在國家或地區的規定以及雙方訂立的合同進行合規審查。對于金融、生物醫療等領域的個人信息出境規則，應當依據國務院《人類遺傳資源管理條例》、中國人民銀行《個人金融信息保護技術規范》（JR/T 0171—2020）以及國家衛健委《國家健康醫療大數據標準、安全和服務管理辦法（試行）》規定的標準，審查數據能否跨境流轉以及流轉的具體程序。

（三）健全企業數據合規專門機構與運行機制

企業數據合規部門是企業數據合規建設與運行的主導者。就工作模式而言，企業數據合規可以分為數據合規的日常管理機制與違規風險應對機制，前者致力于預防數據合規風險，后者則以應對已經發生的數據違規風險為目標。基于數據合規部門及相關工作機制的運行，企業數據合規體系得以實現從靜態到動態運轉，形成一個鮮活的數據治理有機體。

1.設立數據合規專門機構

企業數據合規管理部門是數據合規體系運行的主導者。從企業數據合規部門與其他企業部門的關系來看，數據合規管理部門的設立模式主要有三種。第一種模式是將數據合規內置于企業的法律事務部門（即“法務部”）。在這一模式下，數據合規部門作為綜合性合規部門的組成部分之一內置于法務部。第二種模式是合規部門獨立于法務部，但數據合規部門并不獨立于綜合性的合規部門。第三種模式則是將數據合規部門獨立于法務部和綜合性合規部門。

第一種模式的優點在于可以精簡企業的管理部門，降低管理成本，且有助于促進合規事務與法律事務的一體化處理，這一模式適合傳統中小企業。對于以數字經濟為主要業務領域的企業（如互聯網企業、高新制造業或服務業企業等），其數據合規事項較為龐雜，專業性較強，因而不宜采用此種模式。同時，從治理邏輯層面看，數據合規并不完全屬于法律事務的下位概念。由于數據合規不僅局限于企業交易過程，還包括事前評估與事后督導，超出了傳統法務的工作范圍。因此，對于數據合規事務需求量較大且具備一定人財物條件的企業，應當優先采用第二或第三種模式，將企業數據合規部門與傳統意義上的法務部門進行分離。至于數據合規專門機構的負責人，則可以借鑒德國1977 年《聯邦數據保護法》的規定，任命至少一名“數據保護官（DPO）”，賦予其獨立履行企業數據合規監管職權的地位。

2.數據合規日常管理機制

數據合規日常管理機制的主要功能在于通過系統性管理工程降低數據違規風險，持續性改進企業數據合規治理體系。數據合規日常管理工作包括以下方面：其一，確定企業數據合規管理團隊。考慮到企業數據合規管理具有很強的綜合性，因而應當為此組建具有法律、科技、財務等多元知識結構背景的人才隊伍，以確保數據合規日常管理的專業性。其二，參與制定或修改企業數據合規文件（如數據合規管理規定、數據合規員工手冊、數據合規指引等），為數據合規公司治理制度提供明確而完備的規范依據，監督這些規范文件的執行情況。其三，對數據合規事務進行全方位督導，及時發現、記錄、審查、評估、通報數據違規的潛在風險并提出具體建議與方案；對其他部門執行數據合規事項的情況進行考核與評價。其四，組織數據合規培訓，增強企業數據合規意識與治理能力。其五，與企業其他職能部門、政府機關、第三方機構進行對接，通過協作共同推動企業數據合規體系的建設與完善，形成企業數據合規的“多元共治”格局。

3.數據違規風險的應對機制

健全的數據合規日常管理機制雖然可以有效防控數據違規風險，但并不能完全消除企業違規數據風險。因此，對于已經發生的數據違規風險，還需要建立特定的應對機制。根據法律關系與法律責任的性質，企業數據違規風險主要包括民事法律風險、行政法律風險以及刑事法律風險。

數據違規的民事法律風險主要體現為數據違規引發的侵權責任和違約責任。考慮到民商事糾紛解決機制相對多元化，企業應當及時采取停止侵害、繼續履約或積極賠償等方式化解矛盾，防止數據違規產生高昂的訴訟成本或對企業聲譽造成嚴重負面影響。數據違規的行政法律風險主要體現為企業因違規處理個人信息數據遭受行政處罰。為了應對此類風險，企業數據合規部門應當在第一時間告知企業管理層及其他部門配合行政監管執法部門的調查并及時進行合規整改，確保在最短時間內消除企業數據違規事由。數據違規的刑事法律風險主要指企業因違反刑法而涉嫌犯罪。鑒于刑罰的嚴厲性，企業在面臨此類風險時應當格外審慎，需要及時采用認罪認罰、補救挽損、查出責任人、評估整改等手段，爭取程序層面的合規不起訴或實體層面的刑事責任減免。

結語

盡管近年來數字經濟的發展為我國帶來了“數字紅利”，但企業處理數據的行為在促進數字經濟發展與提高人民生活水平福利的同時，也對個人信息保護與數字經濟治理提出了諸多新挑戰。正是在這一時代背景下，作為一種數據治理創新模式的企業數據合規應運而生。企業數據合規機制本質上是一種基于多元共治理念的數據治理模式。在規范依據方面，其涉及民商經濟法、行政法、刑事法、國際法等多元法律規范體系；在治理主體方面，其涉及立法機關、行政（監管與執法）機關、司法機關、企業自身以及第三方機構等多元主體；在治理機制方面，企業數據合規同時涉及數據的日常治理與涉案風險應對（整改）。正因如此，對企業數據合規的研究以及實踐應用轉化，需要整合多重維度的智識。

沿著上述思路，本文從基本定位、多維功能以及構建路徑的角度，對數字經濟時代背景下的企業數據合規基本問題進行了探討。可以預見，隨著國家、企業以及個人對數據合規建設的日益重視，企業數據合規體系也會越發完備。在企業數據合規體系的保駕護航下，數字經濟發展產生的“數字紅利”也將進一步惠及更多市場主體，這對于數字科技時代個人信息權益的保護、數字經濟的健康持續發展以及通過科技賦能促進共同富裕的實現，都將產生更加顯著而深遠的積極效用。