企業數據合規的法律構建

摘 要： 數字經濟的飛速發展推動企業實現降本增效，也帶來了數據安全風險。我國目前主要采取行政主導方式應對數字經濟轉型期出現的各種問題。當前我國企業數據合規建設面臨上位法缺失、數據權利邊界模糊、合規激勵不足等困境。未來應在保障數據安全的前提下，加強價值引領，進一步厘清數據合規實體標準，在實體與程序方面明確數據合規激勵機制，構建數據合規分類合規制度，以審慎包容的態度持續開展數據合規協同激勵的法律構建，促進數據利用、保障數據安全，促進企業的可持續發展，以此實現我國數字社會多元治理，豐富和完善中國自主數據治理法律體系。

關鍵詞： 企業合規； 數據合規； 合規激勵

中圖分類號： D920.0； D922.8 文獻標識碼： A DOI： 10.3963/j.issn.1671-6477.2025.01.008

在數字經濟背景下，數據作為新型生產要素，已經成為國家基礎性戰略資源和關鍵生產要素，不斷形成新質生產力，數字經濟業已成為推動我國經濟發展的新的巨大引擎。數字經濟轉型過程中，各國都在積極探索數據合規的有效方案，我國的數據合規法律構建仍處于萌芽狀態，目前關于企業數據合規的研究多集中于反壟斷、反賄賂、知識產權及商業秘密等傳統合規領域[1]，部分研究關注企業數據合規的問題，并對制度的構建進行了一定的有益嘗試，但這些僅停留于形而上的制度框架搭建層面[2]，實踐中，企業在進行數據合規時面臨標準不清、權責關系不明、激勵不足等困境需要正視和解決。

一、 企業數據合規的法理基礎

企業數據合規管理是企業持續健康發展的重要前提。理論上講，狹義上的企業合規是指企業為規避經濟或其他損失而采取的通過事前制定相關規章來防范后續因自身的違法違規經營而受到行政、刑事處罰的一種公司治理方式[3]；廣義上的企業合規還包括企業因違法行為涉案后為得到從寬處理而根據行政管理部門或司法部門的要求進行的規范管理[4]。數據合規通常是指確保數據（尤其是敏感數據）免受丟失、被盜、損壞和濫用的正式標準及其實踐。

（一） 企業數據合規的法律淵源

著眼于數據質量和數據安全，我國先后頒布實施了《網絡安全法》《數據安全法》《個人信息保護法》，通過了《關于構建數據基礎制度更好發揮數據要素作用的意見》（以下簡稱“數據二十條”），初步構建起數據基礎制度體系框架。企業數據合規指引散見于上述立法及行政規章、地方性規范以及有關數據制度的政策性文件中。2020年《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》及“數據二十條”的出臺，為企業數據合規提供了明確的指引和要求。《國家數據標準體系建設指南》的發布，進一步為企業數據合規提供了建設思路，同時為接下來的國家數據標準體系的建設提供了基本框架。此外，地方性法規也紛紛推出數據相關條例①，逐步搭建的數據法律架構，為企業在數據的收集、處理、流通、安全保障等方面提供了法律依據。黨的二十屆三中全會之后，我國數據治理制度的一體化建設從宏觀到微觀加速推進，企業數據合規的法律構建由“為什么”轉向“如何構建”。

（二） 企業數據合規法律構建的正當性

我國是首個將數據列為生產要素的國家②。依據《中國數字經濟發展研究報告》（2024年）[5]，數字經濟已經成為拉動我國經濟增長的新引擎。但數字經濟的飛速發展，數據風險的頻繁出現與目前立法回應不足的矛盾制約了我國數字經濟的健康發展。構建企業數據合規的法律體系，實現數字經濟的有效治理，以保障我國數字經濟在發展的關鍵點上順利實現轉型與彎道超車，應盡快提上立法日程。

數據風險具有特殊性。技術的快速迭代使得數據安全等規則面臨重大挑戰[6]。在數據合規法律淵源不足、數據合規監管低效的環境下，數據泄露的風險比以往任何時代都更高。風險來源一方面是由于企業內部自身合規能力不足，包括客觀的合規技術不足，數據保護組織架構不健全，以及企業內部數據合規管理人員道德風險所造成的數據泄露。另一方面則可能來自企業外部，包括黑客攻擊抑或合作的第三方企業主體泄露數據等。數據風險不同以往的企業經營過程中存在的風險，其具有隱蔽性和復雜性。一方面，數據在被收集、儲存、傳輸過程中可能由于復雜的技術問題而導致數據泄露的潛在風險不易被發現；另一方面，數據一旦被泄露，則難以恢復到權益被侵害之前的狀態。隨著數字經濟的發展，數據的跨境流動也不斷發展，構建企業數據合規法律體系更關系到國家數據信息安全。

企業逐利的天然屬性與合規成本的現實沖突，需要從法律層面構建企業數據合規治理體系。企業作為數據的收集者和最終受益者，應認識到數據合規的重要性，從組織架構、制度體系和運行機制等方面依法構建數據合規體系。但企業在合規成本高昂以及利益驅動下，可能會違反相關數據法律規定而超范圍收集、強制授權、非法獲取公民個人信息，并超出被授權的原定范圍、用途或時間限制濫用數據。企業收集數據后，通過對數據進行分析整理，可精準勾勒出不同用戶群體的購物習慣、消費水平、生活軌跡圖譜等，進而進行相關廣告的精準投送，利用優勢地位實施自我優待甚至不正當競爭。此外，企業中的數據處理員工可能會出于逐利的目的，利用職務便利而違反相關數據法律，侵犯個人利益甚至公共利益。2020年廣東省深圳市寶安區人民檢察院訴付某等人侵犯公民個人信息刑事附帶民事公益訴訟案中，某快遞公司營業點主管以及倉庫管理員付某等8人，利用職務便利通過營業點主管賬戶查詢公民的一般信息和個人敏感信息，并對公民個人信息進行買賣以牟利，嚴重侵犯了公民的個人信息安全，并損害了社會公共利益③。

近年來，數據違規行為以及因企業數據合規不足而導致用戶敏感數據泄露等案例屢屢發生，數據合規不僅僅關系到企業自身的生存發展，更關系到新時代我國的數據治理和數據安全，僅靠企業自身自覺是不現實的，這其中的許多困境需要我們正視并加以紓解。

二、 現狀考察：企業數據合規法律構建的探索

應該說，我國企業數據合規的法律構建仍處于探索、初建階段。目前我國有關數據的專門立法只有《網絡安全法》《個人信息保護法》和《數據安全法》三部，其他有關數據合規的規定散見于諸多政策性文件之中。

（一） 企業數據合規法律構建的實踐

我國大部分企業尤其是國資國企依據《數據安全法》在數據處理活動中搭建了合規法律框架④，如華錄集團組織所屬企業編制了《數據安全合規指引》《數據產品個人信息保護合規指引》《“數據銀行”合規指引》等數據合規系列指引⑤。國新健康保障服務集團股份有限公司在《民法典》《網絡安全法》《數據安全法》《個人信息保護法》等法律制度框架內，建立了“1+3+N”數據合規體系⑥。《數據安全法》明確了企業在數據處理活動中的法律適用范圍，它界定了數據的概念，并對數據流通的不同環節包括收集、儲存、使用、加工傳輸等作出了規定，對數據安全的基本制度作出了規定，建立了數據分類分級保護制度，對重要數據實施特別保護措施。同時該法要求建立數據安全風險評估和預警系統，以及數據安全事件發生時的應急響應機制，確保及時發現并處理數據安全風險。但《數據安全法》在實踐中并未為企業提供明確的合規指引。首先，針對“重要數據”的范圍、劃分標準未作出規定，同時，盡管《數據安全法》構建了數據分類分級保護制度，但缺乏數據分類分級的具體標準，合規標準的不明導致各地區、各行業對數據分類分級的差異化，增加了企業的合規成本。其次，《數據安全法》針對數據安全審查制度的規定不夠明確，該法第24條針對數據安全審查制度的規定缺少對數據審查主體、審查內容和審查程序等具體要求的規定，數據安全審查制度的不統一致使有關部門難以有效規制企業的數據收集行為。總體而言，《數據安全法》為企業遵守數據合規提供了原則性指引，但缺乏具體的、明確的合規指引，致使企業合規成本增加，監管部門也難以依據該法監管、指引企業遵守數據合規。

《個人信息保護法》是我國第一部規范個人信息保護的綜合性法律，構建了以知情同意為核心的個人信息處理規則⑦，針對企業對個人信息的處理，包括保證個人信息的質量及個人信息主體的權利等作出了較為抽象的結果要求[7]，構成了企業數據要素流通的合法性基礎之一。個人信息保護法明確規定了在統一的合法性基礎下，哪些情形需要單獨同意。但實際上，以知情同意為核心的數據處理規則在實踐中仍不能起到完全保護個人信息安全的作用。企業在利益的驅動下，往往會強制或過度收集數據，數據主體處于先天弱勢的地位，面對企業收集數據時出具的知情同意書和授權免責書，數據主體僅具有形式上的選擇權，如若不同意對企業的授權和免責，則無法正常使用相關產品或服務。此外，數據主體受限于專業能力和對于授權與同意書的審查惰性，導致數據主體對于自己數據權利的處分也無法真正遵循內心的真實意思，對于數據收集后的處理及可能的風險無從知曉，亦無從判斷[8]。在此過程中，企業作為數據收集者利用先天優勢條件，以隱形的強制同意手段規避《個人信息保護法》的知情同意規則，不當地將數據風險轉移給了數據主體，而數據主體在自身數據被不當泄露后，也無法得知由誰泄露，如何泄露，因而也難以為自己維權。綜上，《個人信息保護法》構建起了數據流通合規的基本門檻，但企業數據合規過程中是否存在其他合法性基礎，如何實現個人信息的匿名化處理以及必要信息的界限在何處，都是《個人信息保護法》所沒有明確規定的，這也為企業在收集個人信息并對個人信息加工整理成為原始數據后進行利用留下了合規風險。

近年來我國一直以審慎包容的態度，通過“軟法”模式以行政主導的方式持續回應數字經濟發展過程中不斷出現的新需求，推進數據基礎制度的建立，有關數據合規的相關法律依據散見于大量的政策性文件中。2015年國務院發布《關于積極推進“互聯網＋”行動的指導意見》，強調網絡經濟與實體經濟的協同互動。2019年公安部發布的《互聯網個人信息安全保護指南》，2020年信標委發布的《網絡安全標準實踐指南——移動互聯網應用程序（APP）收集使用個人信息自評估指南》《網絡安全標準實踐指南——移動互聯網應用程序（APP）個人信息保護常見文集及處置指南》，2021年工業和信息化部發布的《“十四五”大數據產業發展規劃》，都強調激發數據要素價值潛能，推進大數據高質量發展。2022年中共中央、國務院發布《數據二十條》，強調構建數據基礎制度激活數據要素潛能，做強做優做大數字經濟，以及2024年最新發布的《國家數據標準體系建設指南》《網絡數據管理條例（未生效）》針對對個人信息、重要數據以及網絡數據的跨境流動作出了相關規定，都為實務中企業構建數據合規體系提供了參考。

地方層面陸續依上位法出臺了數據條例，但未針對企業數據合規作出明確規定。《上海市數據條例》強調依法保護自然人對其個人信息享有的人格權益，規定需以合法、正當的方式收集數據，保護在使用、加工等數據處理活動中形成的法定或者約定的財產權益。針對數據安全責任制，明確規定數據處理者是數據安全責任主體，當存在多個數據處理者時，由各數據處理者承擔相應的安全責任⑧。條例更加注重對個人權益的保護及公共數據的開發與利用。

總體而言，各地的地方性數據法規在上位法的框架內對于企業數據合規的體系構建起到了一定的指引作用。“數據二十條”為企業數據合規的構建提供了基本制度指引，《國家數據標準體系建設指南》則為數據合規未來法律制度的框架搭建提供了四梁八柱。

（二） 企業數據合規的行業實踐

隨著數據成為重要的新質生產力要素，數據對于企業進行決策制定、創新收入模式、降低經營成本等方面發揮的作用越來越大。以電商平臺為例，用戶在進入相關界面后，平臺會設置“個性化內容展示”。而“個性化內容展示”這一功能正是平臺通過收集包括用戶的客戶端瀏覽記錄、交易、售后、關注分享信息、發布信息以及用戶的IP地址、瀏覽器類型、電信運營商、使用語言、訪問日期和時間以及用戶的設備相關信息、所在位置信息等提取用戶的偏好特征，并向用戶推薦可能感興趣的商品、服務或其他信息。企業收集的信息越多，經過分析后所能勾勒出的目標用戶需求就越準確，對于相關市場的現狀就越了解，作出決策信息的過程中所消耗的負外部成本就越小。而在企業對數據的收集、分析、傳輸、存儲過程中所面臨的數據風險也不容忽視。

早期的企業合規治理的行業實踐主要是企業自我管理和自我監督的治理模式[9]。企業自身在進行數據合規過程中往往會制定內部合規指引，通常包括收集限制、目的規范、使用限制、安全保障和相關責任等內容。但實際操作中，企業時常會突破數據合規規定，為實現商業利益的最大化而突破原始收集目的，過度收集用戶信息，并在分析整理數據過程中未經原始數據所有人的同意而改變數據用途、與第三方進行共享等。此外，關于企業存儲的相關主體的數據，按約定的儲存期限屆滿后，數據如何銷毀，數據主體終止授權后是否真的能有權刪除其先前授權給企業的相關數據等，都存在一定疑問。更為重要的是，企業數據泄露違規的相關機制在企業自身的合規指引中很難得到體現和落實，企業作為市場中的逐利者，實現其商業利益最大化是第一位的，其數據違規后的責任機制也大多是為了挽回企業損失，而非基于數據主體相關信息泄露的補救和公共利益受損的恢復。

各地經濟發展水平也影響了企業數據合規的實踐，如北京、浙江等地區涉及企業數據的糾紛較多。實務中，企業數據糾紛主要集中在知識產權與不正當競爭糾紛，但由于目前我國缺乏專門的數據立法，實務中也沒有對數據的性質達成共識，實務中的數據侵權裁判路徑大多依據反不正當競爭法第12條互聯網專條或求助于反不正當競爭法第2條針對不正當競爭的兜底條款。盡管目前實務中法院通過反不正當競爭法回避企業數據權屬問題暫時解決了企業數據糾紛，但其本質上是將企業數據權利降格為一種受法律保護的純粹經濟利益[10]，只有在該權利被侵害而導致其他民事權利被侵害時，才能得到事后救濟[11]，這對企業數據的保護是遠遠不夠的。還有少部分糾紛在現有的法律框架下尋求著作權、商標權等救濟方式。多數涉案數據保護需要法院針對數據的性質及具體案情進行個案分析判斷⑨。

三、 困境分析：企業數據合規過程中規范體系不足

我國數據合規的法律框架仍處于初建過程中，現有的立法及相關合規政策未能兼顧到不同領域數據的差異，數據分類標準及產權歸屬不明確、企業合規激勵不足、監管機構權責不明等困境，制約了數據的有效利用和價值發揮。為推動企業自覺實施有效數據合規，保障數據安全，進一步推動數字化轉型、數字經濟發展，數據合規法律規范體系亟待完善。

（一） 企業數據合規的上位法淵源缺失

企業數據合規目前無立法上的明確規定。自2014年國務院國有資產監督管理委員會明確將企業合規管理置于重要位置，我國一直在加快健全網絡安全保障的數字經濟治理的法律法規體系，相繼頒布實施了《網絡安全法》《數據安全法》《個人信息保護法》，通過了大量促進數字經濟治理的政策性文件，初步構建了數據基礎制度體系的框架。但目前并未有專門針對企業數據合規的相關立法，企業數據合規的規定散見于不同的法律及大量政策性文件，大量與企業合規和數據合規相關的規則、標準和指南，數量眾多、內容繁雜，不僅缺乏整體的規范淵源體系，而且不同規范淵源之間的效力層級模糊[1]。各地政府在頂層設計的指引下，紛紛制定數據條例，大量政策的協調性、統一性在此過程中不能得到充分的體現，且法律或相關政策對數據合規大多僅作了原則上的要求，并未針對企業數據合規的標準、合規主體、合規監管主體、合規監管方式作出細化要求和明確規定，數據合規指導法律標準的缺乏使得企業在實際運營中難以建立統一有效的合規管理體系，增加了企業數據合規操作的不確定性。

（二） 企業數據權屬不明確

我國目前并未針對數據進行賦權，在數據使用各主體間發生糾紛時，各主體享有的權利內容的邊界難以被清晰界定，無法形成統一裁量標準[12]。針對目前的現狀而言，數據權屬的不明確并未對實務中企業間的數據流通造成過多不利影響。學界普遍認為，不應從所有權的角度進行數據確權，也有一些學者認為對數據難以確權或無需確權[13-14]。但隨著數字經濟的進一步發展及相應數據制度的完善，數據產權的確立是必要的，數據產權的確立是數據法律規范關系中的核心內容，數據產權不明確，將會為數據流通過程中的侵權行為留下規制漏洞，確認權利主體才能在數據合規過程中出現違規行為時正確歸責。明確數據產權，對于企業規范數據行為、協調相關數據主體的利益關系，進而促進數據生產和流通，具有重要意義。

對于數據是否需要確權以及構建何種數據產權制度，國內學界可謂觀點紛呈。支持數據確權的學者多認為，解決數據的賦權問題有助于促進數據的開發利用，促進數據流動，進而推動數字經濟發展，但支持數據確權的學者對于數據產權的制度設計仍存在較大爭議。早期有學者依據傳統物權理論路徑，主張構建數據所有權與數據用益權的二元結構[15]，還包括通過從主體、客體、內容橫向分層與縱向按照數據生成的周期分階，在尊重初始數據所有權的同時，以企業數據用益權為基礎，構建數據資源持有權、數據加工使用權、數據產品經營權三階段的確權制度[16]，以及基于“權利束”理論，認為數據權益是在保障個人信息權益的前提下多項權益的集合，對數據權益的賦權可能來自于法律的多個領域等多種觀點[17]。否定數據賦權的學者多認為數據賦權論存在歸因錯誤，數據確權可能會引發“反公地悲劇”的結果，從而阻礙數據的利用與共享[13]。有學者分析了將數據納入私法權利體系的困難[18]，也有學者認為平臺數據的權屬無法確定[19]。實務中針對企業數據的賦權還未面臨緊迫性，企業之間大多依據合同來確立數據流通中的權益分配。但筆者認為，數據權利制度作為數據基礎制度中的重要內容，應當在一定程度上得到確立。

清晰的產權歸屬是交易的前提和基礎[20]。但在實踐中，盡管數據已經融入到經濟發展、社會治理的多個方面，但在數字經濟發展過程中，數據權益分配的問題仍然存在巨大爭議。針對數據的確權和數據分類，目前并未有法律對此進行回應，民法典第127條針對數據保護作出了相應規定，盡管該條將數據規定在財產權之后，但針對數據的性質是否為財產權并不明確。《數據安全法》《個人信息保護法》等針對數據的法律性質及權利邊界也未作出明確規定。目前僅在“數據二十條”中提出了企業數據、公共數據及個人數據的分類授權，但并未針對分類標準、數據處理主體等內容作出明確規定。

（三） 企業數據合規激勵不足

合規成本高昂與合規激勵不足是目前企業數據合規所面臨的困境之一。企業數據合規管理普遍存在費用高昂、覆蓋面廣、專業化和職業化程度高的特點，企業實施數據合規需要投入大量成本，包括技術研發、合規管理體系建設、數據分類分級保護等，對于中小企業而言，高昂的合規成本可能不僅不會促進其發展，反而成為其發展的重擔從而阻礙其發展。然而，實務中企業合規卻缺乏相應的政策支持和激勵措施，使企業在實施數據合規的同時，面臨巨大的經濟壓力和運營困難。

目前，針對企業數據合規的行政合規激勵主要包括事前合規激勵、事后合規激勵和行政和解激勵三個方面。合規激勵的合法性基礎可以追溯到《行政處罰法》第33條前兩款的規定，依據《行政處罰法》第33條第2款的規定，企業在數據違規后若有證據證明沒有主觀過錯，則不予行政處罰，而在初次違規后若能建立或整改合規制度，則可能符合第33條第1款的“初次違法且危害后果輕微并及時改正的，可以不予行政處罰”的規定，從而可能免受行政處罰。針對行政和解制度，反壟斷領域已經將行政和解正式引入并實踐了行政和解制度。但在企業數據合規領域，目前并無明確的法律法規授權相關行政機關對可能存在數據違法行為的企業在事前或事中進行約談，以阻止企業實施數據違規行為。立法授權的空白及行政和解適用在數據合規領域的導向不明，使得實踐中行政機關在運用行政和解手段推動企業實施數據合規時于法無據，在這一模式下，行政和解在企業數據合規過程中所能發揮的作用有限，無法真正推動企業數據合規由事后轉向事前，企業數據合規仍以被動合規為主要形式。

（四） 企業數據合規監管不足

企業作為市場經濟中數據的主要收集和應用者，處在多重社會關系中，實施數據運用違規、造成數據泄露帶來的風險可能是公共的、社會的，甚至可能跨區域、跨國境傳播。數字經濟的全球化更是導致數據風險的外溢和傳導速度加快。企業應當自覺組織數據合規體系，降低數據合規風險。企業合規管理投入主要包括建設合規管理組織架構、推進合規管理運行、提供合規管理保障等的人員、資產成本[21]。但在目前合規淵源不清、合規激勵不足，以及企業自身合規能力參差不齊與合規動力不足的情況下，就需要行政機關等外部力量的介入，對企業數據合規行為進行再監管。

目前，我國正以政策先行的方式推動企業數據合規的體系建設，相關的企業合規建設首先體現在商業銀行、證券公司等領域，目前以上兩個領域在企業合規管理工作方面取得初步成效，但依舊存在合規負責人履職保障不足、追責力度不夠等問題。《中央企業合規管理辦法》第五條明確提出堅持權責清晰⑩ ，但相關的數據合規組織體系架構，外部監督的對應部門、監督職權、合規責任等并未作出明確規定。在行政體系之內，行政主體的具體監管職能尚不明確[22]，合規監管指引的欠缺使得企業的數據合規整改存在被動、盲目以及內部權責難以確定等困境，數據合規體系的構建難以進一步完善。

企業數據合規的不斷發展與對應監管制度缺失的矛盾凸顯，針對企業數據合規的監管散見于部分規章及政策性文件，法律依據的缺失與規范的不統一，這意味著在實踐中企業面臨多部門監管的壓力，政府對企業數據合規監管的有效性也受到限制，從而無法發揮出其應有的效能。此外，目前針對企業數據合規風險的監管大多依賴事后懲罰機制，而針對企業數據合規的事前預防性監管不足。其中固然有數據風險隱蔽性強、調查取證技術難度高等客觀因素，但政府作為監管主體，應始終具備整體性視野，對合規能力較弱、合規難度較大的企業持續關注，從系統性、預防性的角度，包括參照合規管理標準、定期實施數據合規評估檢查等方式進行常態化數據合規監管。

四、 域外借鑒：美國、歐盟企業數據合規法律的構建

隨著全球化和數字經濟的發展，數據保護已經成為全球關注的焦點，推動企業數據合規也日益成為重要的議題。不同國家和地區對數據保護進行了相關的立法探索，其中，歐盟和美國關于企業數據合規的法律規制框架可為我國構建企業數據合規法律制度提供相應的參考。

（一） 美國的企業數據合規法律依據

美國針對企業數據合規方面的法律規定較為分散，主要包括聯邦法律和州法律兩個層面。聯邦層面并沒有統一的數據保護法規，其中對于企業數據合規影響最大的為《聯邦貿易委員會法案》（Federal Trade Commission Act，以下簡稱“FTC法案”）。根據FTC法案第五章節，數據處理的情況必須在隱私政策或通知等資料中闡明，并且需要嚴格遵守這些政策。在州法律層面，各州制定了自己的數據保護法律，其中《加利福尼亞州消費者隱私法案》（CCPA）被認為是美國目前最具影響力的州級數據和隱私保護立法，該法案確定了數據合規流程以及數據權利和數據處理者的義務。此外，《美國隱私權法案》（以下簡稱APR）正在嘗試建立聯邦層面統一的數據隱私權和保護措施，強調數據最小化原則和對個人定向廣告的選擇退出權。

（二） 歐盟企業數據合規法律構建

歐盟基于《一般數據保護條例》（General Data Protection Regulation，以下簡稱“GDPR”），對企業數據合規提出了一系列嚴格的要求，構建起了以保護個人數據為中心，以合規問責和行政監管為主的全方位和全流程的數據治理制度體系，旨在嚴格保護歐盟居民的個人數據。GDPR要求企業必須有合法的理由來處理個人數據，例如數據主體的明確同意、履行合同義務、遵守法律要求、保護關鍵利益、公共利益或追求合法利益等，并賦予數據主體一系列權利以保障個人數據。此外，GDPR還規定在某些高風險的情況下，如敏感數據或大規模監控，企業必須進行數據保護影響評估。對于某些大規模處理敏感數據或大規模監控的企業，則必須任命一名數據保護官（DPO）來監督企業對GDPR的遵守情況。企業在運營過程中也必須能夠證明其遵守了GDPR的要求，相關的記錄保存可能包括維護數據處理活動的記錄，以證明其合規性。GDPR對于數據的跨境傳輸和數據的透明度以及溝通等都作出了相應規定，企業如不遵守GDPR，則將面臨重大處罰。

歐盟以及美國針對數據和隱私的保護立法，其中對于數據合規流程、用戶行使權利的流程以及數據處理者相關義務和法律責任的規定，為我國完善個人數據保障方面的數據合規法律完善以及數據合規法律體系的構建提供了很好的域外借鑒。

五、 完善之路：構建企業數據合規法律自主知識體系

企業數據合規的法律淵源廣泛導致企業數據合規義務泛化，給企業帶來沉重負擔。為實現數據合規的加速推進，應當進一步在立法層面上完善數據合規法律規范，進一步明確數據合規過程中相關數據、組織架構的明確定義，對數據權利進行確權以及授權，增加企業數據合規的激勵措施，為企業構建數據合規體系提供明確的指引。

（一） 進一步明確企業數據合規的實體標準

首先，應當制定統一的數據合規指南。目前我國已經出臺了《國家數據標準體系建設指南》，其中包含了數據標準體系結構、數據基礎設施、資源、技術、流通、融合應用、安全保障標準以及實施路徑和政策支持的相關規定，對于未來建設企業數據合規法律體系提供了大的框架。按照《國家數據標準體系建設指南》的要求，我國將于2026年底基本建成國家數據標準體系，圍繞數據流通利用基礎設施、數據管理、數據服務、訓練數據集、公共數據授權運營、數據確權、數據資源定價以及企業數據范式交易等方面，修訂30項以上數據領域基礎通用國家標準。明確的數據確權以及針對不同的數據主體、數據權利進行權益劃分是目前推動數據合規法律體系建構的前提條件。

數據作為新的生產要素在經濟發展中所起的作用越來越大，各地也紛紛頒布相關的數據條例或相關合規指引，不同合規指引在效力層面的不統一以及標準的差異性增加了企業數據合規的負擔和成本，目前急需對數據合規相關法律制度進行梳理，明確企業數據合規的標準。數據立法本身的專業性與復雜性及目前數字經濟轉型期合規情形的多變性，使得我國很難在短期內出臺專門針對企業數據合規的單行法律，因此有必要在政策方面探尋有效的規制路徑。針對目前企業數據合規的困境以政策作出有效回應，針對快速發展的數字經濟態勢及時轉變策略，并及時將行之有效的政策上升為立法，為企業數據合規提供上位法依據；企業數據合規的立法指引應當明確數據合規中的相關術語、重點關注數據的識別、不同合規主體的責任邊界、內部合規體系的構建標準，以達到對目前紛繁復雜的數據條例進行整理協調，明確數據合規統一標準。

（二） 構建企業數據合規分級分類制度

基于數據承載主體和涉及的利益關系的復雜性，在對數據予以確權、進行產權化設計時，有必要進行類型化[23]。根據適用范圍、效力層級等構建分級分類的合規管理制度體系，有助于不同的主體明確自身享有的數據權利和義務，適合目前多類型的企業依據自身情況制定相應的內部合規組織體系。我國立法針對企業數據合規并未有統一的規定，鑒于市場經濟中企業的類型、規模不同，筆者認為企業數據合規的法律要求不能一概而論，應當針對不同的行業、企業業務類型、數據來源以及數據用途等對數據進行分類和標識，并在此基礎上對甄別不同類型的數據遭到篡改、破壞或泄露等對個人、企業甚至公共利益造成的危害程度，為企業數據合規建立風險等級分類。

依據《國家數據標準建設體系指南》的數據標準體系框架，數據資源可按照數據主體劃分為公共數據、企業數據和個人數據。企業數據不能單純地理解為企業收集的用戶信息，其更多的是收集加工后的數據，本質上是數據本身的衍生產品。筆者認為，依據數據屬性可以進一步將數據劃分為原始數據與衍生數據。原始數據為企業在從事經營活動中直接收集到的包括數據主體在內的未經分析或簡化的數據，關于該部分數據，由于其可能包含大量自然人人身屬性的信息，應當更加強調數據所包含的人格利益。衍生數據為企業針對原始數據處理、分析后再生成的數據，如電商平臺針對用戶生成的購物偏好數據等，該部分數據對于企業而言具有更大的經濟價值，可能涉及企業的商業秘密。筆者認為，針對企業數據風險等級的量化標準，可以以數據對國家安全、國民經濟命脈、重要民生、重大公共利益或個人、組織合法權益的影響和重要程度等進行分級，針對不同類別、級別的數據采取不同的合規措施。

考慮到目前針對企業數據合規的體系構建并未有立法上的統一，應鼓勵探索企業數據合規的分類分級合規體系，確立基本的數據分類規則，有助于企業主體在合規過程中針對不同的數據制定相應的合規策略和安全措施，特別對于規模小、合規能力弱的中小企業，相對統一的數據合規分類分級標準可以為其提供更加明確的合規路徑，提供更加明確的合規指引，在現有法律框架下更好地履行數據安全保護義務。企業數據合規的統一分類分級風險防控指引，應當對數據合規過程中所面臨的合規風險事項進行更加明確的風險描述，同時對企業數據合規的行為準則作出相應列舉，主要以禁止性行為為主并輔以必要的兜底條款及例外條款，為不斷發展的數字經濟留下空間。

（三） 增強企業數據合規激勵

合規激勵不足是企業數據合規制度難以發揮效用的主要原因之一。“合規激勵機制的存在，是企業合規制度得到企業高度重視并迅速向全世界推行的關鍵原因之一”[24]，企業數據合規的有效推行有賴于建立完整有效的合規激勵機制。筆者認為，未來可以基于以下兩個途徑構建數據合規的激勵機制：首先，引入安全港制度以促進事前合規；其次，通過立法明確授予數據監管機構行政和解權限。目前數字經濟仍處于發展、轉型中，企業作為數據持有方合規可預期性不足、合規自證難度大。適當的激勵和一定程度的豁免可以推動企業由被動合規轉向主動合規。通過引入安全港制度，能夠為企業提供更加清晰的指引，使企業在數據合規組織體系建立過程中了解哪些行為是被允許的，從而降低企業的數據合規成本。

安全港制度（Safe Habor）類似于適用除外制度，二者本質上都屬于豁免規則，即相關主體在符合預設條件時，則可免受法律追究。《數據安全法》第29條、第30條要求數據的處理者加強風險監測，定期開展風險評估，并向有關部門報送風險評估報告，第21條明確了國家建立數據分類分級保護制度。同時《國家數據標準體系建設指南》也表示未來將構建分級分類數據合規標準。基于此，筆者認為，未來可基于《數據安全法》針對企業關于風險監測、風險匯報、風險評估等的規定，結合《行政處罰法》第33條的規定，當企業已采取相關數據合規制度建設，包括自覺依法加強數據風險監測、及時采取補救措施、定期開展風險評估并向有關部門報送風險評估報告等，可將其作為《行政處罰法》第33條第2款規定的主觀無過錯情形從而免于處罰。此處可借鑒GDPR中關于行為準則和認證制度輔助作為安全港制度的規則，以及判斷企業數據合規是否符合無過錯責任情形，并基于我國數字經濟的發展現狀，形成基于整體合規管理組織架構的評價機制，關注企業數據合規的整體可靠性，從而不因偶然事件而全盤否定企業的合規努力。將內部有效合規計劃及實際合規整改措施作為判斷“主觀過錯”的核心標準，完善有效合規計劃認定體系，在企業發展并實施了內部管理計劃但仍發生損害后果時，將企業內部有效合規計劃作為免除責任或者減輕責任的抗辯事由。同時，培育第三方獨立數據合規監管、認證機構。數據合規的高度技術復雜性決定單純由行政機關實施數據合規監管可能存在一定的執法監管困境，因此，有必要培育第三方獨立數據合規監管和認證機構。

將行政和解引入企業數據合規，能夠實現行政處罰法從寬制度與企業數據合規激勵的有效銜接。從實踐的角度看，數據風險具有波及范圍廣、恢復難度大，不容易逆轉等特征，容易對經濟和社會公共利益造成危害，而數據風險又具有隱蔽性，數據風險一旦被發現，可能就是在數據已經泄露，造成巨大損失的環境下。在此種情況下，具有早期干預功能的行政和解以相對柔性的方式介入企業數據合規，傳達執法關切和治理意圖，做到及時止損，消除數據泄露風險隱患，防止危害行為的擴大化或危害后果的嚴重化。鑒于目前數據合規監管機構針對企業數據合規進行約談無法可依的窘境，在針對完善數據合規的指引中引入行政約談時，首先應對行政監管機關進行明確授權，明確其權責范圍。我國目前出臺的相關數據法律及各項數據合規政策中涉及到多個機關，合規指引針對行政約談的規定應當充分考慮各個機關的職能權限。其次，確立行政約談的約束力，賦予行政約談一定的剛性威懾。一定的壓力逼迫機制下，被約談的企業需要提出明確可行的數據合規改進措施，從而避免行政約談淪為泛泛的“紙上談兵”。再者，鑒于數據合規的高度復雜性，企業主體的規模、經營范圍的多樣性及合規能力的差異性，應制定分類分級制度，對企業數據合規的整改情況采取不同程度的責任減免[25]。

（四） 企業數據合規中的監管完善

合規最終面向的是監管，針對當前我國數據合規面臨多頭監管的困境，協調數據合規執法機構職責沖突成為當務之急。執法部門針對企業數據合規的職權交叉、邊界不清，是目前企業數據合規面臨的困境之一。在數據合規監管職責劃分上，應不斷明確和強調各監管機構的主要監管目標和任務，加強對企業數據合規的監管，定期對企業數據合規遵守法律、行政法規的情況進行合規審計。此外，應著力培育第三方專業服務機構，針對企業數據合規過程中的數據集成、數據經濟、數據審計、數據公證以及數據資產評估作出專業的合規評估，并推進數據登記機構的設立。數據登記機構的設立一方面可以對企業數據主體的數據權利進行合法性確認，另一方面，盡管數據權利的性質仍有爭議，應重視目前學界已普遍認可數據是新型的財產權利的共識，數據交易的頻繁及其本身技術所帶來的特殊性，需要數據登記機構對其進行權利變動的公示公信，以維護數據交易安全。

結 語

隨著數字經濟的快速發展，數據已經成為重要的優質生產要素，數字經濟的發展狀況已經與國家整體的經濟發展息息相關。企業作為主要的數據利用主體，應當主動承擔數據合規的義務。但目前企業數據合規仍面臨規制標準不清晰、數據權屬不明確、合規激勵不足等問題。單純依靠企業自我主動實施有效數據合規是不現實的，推動企業數據合規的前期需要明確的法律法規指引和適當的激勵，只有厘清我國數據合規法律體系構建過程中所面臨的障礙，并給出相關解決路徑，才能為我國企業數據合規法律體系構建提供堅實的法律基石。

企業數據合規的法律構建應當加強價值引領，推進數據合規立法的體系化，同時由于數字經濟仍處于不斷發展過程中，數字經濟轉型過程中所面臨的情況多變，面對企業數據合規的立法與執法應當保持審慎包容的原則，做到推進政府、企業等多元主體協同共治，促進企業數據合規制度的有序構建，在法治軌道上促進數字經濟的健康發展。從數字經濟快速發展以及經濟轉型期市場主體需求變化大的角度看，以政策指引，通過行政主導的方式推進企業數據合規是有其必要性的，但僅有政策指引是不夠的，還應進一步以法律手段確立企業數據合規制度，在必要的時候將行之有效的政策上升為法律，并以此協同推進企業數據合規的執法和司法，從而構建完善的企業數據合規法律體系。構建企業數據合規法律體系能夠促進數據的高效流通使用，進一步提高數據資源的開發利用水平，破除目前數據流通利用的體制性障礙、機制性梗阻，激發不同企業主體的發展動力，優化數據資源配置，釋放市場活力，充分發揮數據作為新的優質生產要素的放大、疊加、倍增效應，從而推動經濟的數字化轉型，為構建國家競爭新優勢提供堅實的基礎。

注釋：

① 目前上海市、重慶市、四川省、蘇州市、成都市、廈門經濟特區、深圳經濟特區、浙江省、福建省、陜西省、吉林省、江西省、遼寧省、安徽省、貴州省、貴陽市、山西省、黑龍江省、海南省、山東省、天津市、廣西壯族自治區等均發布了數據條例，浙江省、深圳經濟特區、汕頭經濟特區、廣州市、山西省、石家莊市、內蒙古自治區、廣東省、江蘇省、沈陽市、河北省、湖南省、河南省、北京市、南昌市等均發布了數字經濟促進條例。

② 2020年4月，中共中央、國務院發布《關于構建更加完善的要素市場化配置體制機制的意見》，將數據定位為與土地、勞動力、資本、技術并列的生產要素。

③ 參見最高人民檢察院發布個人信息保護檢察公益訴訟典型案例之七，https：//www.spp.gov.cn/xwfbh/wsfbt/202303/t20230330_609756.shtml#2，最后訪問時間2024年11月24日。

④ 2022年國務院發布《中央企業合規管理辦法》，2022年上海市國有資產監督管理委員會發布《上海市國資委監管企業合規管理辦法》，2024年寧夏國資委印發《自治區屬國有企業合規管理有效性評價指標體系》保障國有企業持續健康發展，2021年湖北省國資委發布《湖北省國有經濟布局優化和結構調整 “十四五”規劃》明確提出推進數字化轉型，2024武漢市國資委2024年7月印發《市出資企業合規管理辦法》。

⑤ 參見http：//www.sasac.gov.cn/n4470048/n16518962/n20648677/n20648712/c22369105/content.html，最后訪問時間2024年11月24日。

⑥ 參見http：//www.sasac.gov.cn/n2588025/n2588124/c25483972/content.html，最后訪問時間2024年11月24日。

⑦ 《個人信息保護法》第23條，個人信息處理和向其他個人信息處理者提供其處理的個人信息的，應當向個人告知接收方的名稱或姓名、聯系方式、處理目的、處理方式和個人信息的種類，并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息接收方變更原先的處理目的、處理方式的，應當依照本法規定重新取得個人同意。

⑧ 參見《上海市數據條例》。

⑨ 參見廣州互聯網法院（2020）粵0192民初20405號民事判決書。

⑩ 參見中央企業合規管理辦法第五條“按照‘管業務必須管合規’要求，明確業務及職能部門、合規管理部門和監督部門職責，嚴格落實員工合規責任，對違規行為嚴肅問責。”

［參考文獻］

[1] 鄢浩宇.企業數據合規的困境紓解與體系構建[J].華中科技大學學報（社會科學版），2024，38（04）：36-45，71.

[2] 毛逸瀟.數據保護合規體系研究[J].國家檢察官學院學報，2022（2）：84-100.

[3] 陳瑞華.企業合規基本理論：第2版[M].北京：法律出版社，2021.

[4] 賴早興，孫沁怡.論企業數據安全合規中的行刑銜接[J].湖南大學學報（社會科學版），2024，38（05）：138-145.

[5] 中國信息通信研究院.《中國數字經濟發展研究報告》（2024）[EB/OL].（2024-08-27）[2024-09-06].安全內參，https：//www.secrss.com/articles/69547.

[6] MCGEVERAN W.The duty of data security[J].Minnesota Law Review，2019，103（3）：1198.

[7] 謝堯雯.個人信息保護企業合規規制的建構[J].法商研究，2024，41（02）：57-71.

[8] 丁鳳玲.個人數據治理模式的選擇：個人、國家還是集體[J].華中科技大學學報（社會科學版），2021（1）：64-76.

[9] 王誠，魏雅雪.企業合規治理：平臺經濟反壟斷行政執法新視角[J].東岳論叢，2022（4）：184.

[10]萬美秀.企業數據民事司法保護的現狀分析、適用困境與優化路徑：基于342份裁判文書的實證分析[J].法治文化集刊，2024（1）：192-199.

[11]程嘯.論大數據時代的個人數據權利[J].中國社會科學，2018（03）：102-122，207-208.

[12]張新寶.論作為新型財產權的數據財產權[J].中國社會科學，2023（04）：144-163，207.

[13]周漢華.數據確權的誤區[J].法學研究，2023，45（02）：3-20.

[14]張守文.構建數字經濟治理的法治路徑[J].東方法學，2024（05）：145-156.

[15]申衛星.論數據用益權[J].中國社會科學，2020（11）：110-131，207.

[16]申衛星.論數據產權制度的層級性：“三三制”數據確權法[J].中國法學，2023（04）：26-48.

[17]王利明.論數據權益：以“權利束”為視角[J].政治與法律，2022（07）：99-113.

[18]梅夏英.在分享和控制之間數據保護的私法局限和公共秩序構建[J].中外法學，2019，31（04）：845-870.

[19]丁曉東.數據到底屬于誰：從網絡爬蟲看平臺數據權屬與數據保護[J].華東政法大學學報，2019，22（05）：69-83.

[20]王融.關于大數據交易核心法律問題：數據所有權的探討[J].大數據，2015，1（02）：49-55.

[21]崔瑜.論企業合規管理的政府監管[J].行政法學研究，2021（04）：32-40.

[22]馮洋，王姿惠.企業數據要素市場化配置：邏輯理路、發展困境與制度構建[J].西南金融，2024（05）：73-84.

[23]馮曉青.數據產權法律構造論[J].政法論叢，2024（01）：120-136.

[24]陳瑞華.論企業合規的中國化問題[J].法律科學（西北政法大學學報），2020，38（3）：34-48.

[25]李牧.論企業數據的行政合規[J].法學評論，2025（1）：67-76.

（責任編輯 文 格）

The Legal Construction of Enterprise Data Compliance

LI Hua， WU Qing-jie

（Law School，Hubei University of Economics，Wuhan 430205，Hubei，China）

Abstract：The burgeoning digital economy not only enables enterprises to cut costs and enhance efficiency but also engenders data-related risks.Currently，China predominantly adopts an administrative-driven approach to tackle the diverse issues emerging during the transition of the digital economy.The construction of enterprise data compliance confronts challenges such as the absence of higher-level laws，the ambiguity of data rights boundaries，and inadequate incentives for compliance.In the future，while ensuring data security，it is essential to strengthen value-based guidance，further clarify the substantive standards for data compliance，specify the incentive mechanisms for data compliance both substantively and procedurally，establish a classified data-compliance system，and steadily and inclusively continue the legal construction of collaborative incentives for data compliance.This will facilitate data utilization，safeguard data security，and foster the sustainable development of enterprises.By doing so，the pluralistic governance of China’s digital society can be achieved，and China’s independent data-governance legal system can be enriched and improved.

Key words：corporate compliance; data compliance; compliance incentives

收稿日期：2024-11-18

作者簡介：黎 樺（1968-），男，湖北荊州人，湖北經濟學院法學院教授，碩士生導師，主要從事金融商事法律研究；

吳慶潔（2000-），女，山東日照人，湖北經濟學院法學院碩士生，主要從事數字治理與合規研究。

*基金項目：湖北省社科基金（前期）資助項目“法治湖北建設與養老服務地方立法體系化研究”（23ZD111）；四川省哲學社會科學重點研究基地“四川醫事衛生法治研究中心-中國衛生法學會2024年度聯合項目”重點項目“顛覆性技術融入養老服務的風險及法治應對研究”（YF24-Z05）