我國企業數據合規的理論基礎、現實檢視與路徑選擇

收稿日期：2023-08-18

基金項目：

國家社會科學基金規劃重大項目“弘揚社會主義法治精神研究”（22ZDA072）。

作者簡介：

孫佑海，男，山東榮成人，天津大學法學院院長、教授、博士生導師。

摘? 要：

近年來，我國企業數據行為違法違規的情形屢屢發生，損害了相關主體的合法權益。推進企業數據合規建設，不僅有助于企業自身發展，而且對促進企業守法，全面建設法治社會具有重大意義。我國企業數據合規應當遵循數據安全、權利與義務、機制激勵、整體治理的原則；通過調查我國數據密集型企業合規狀況，發現其存在數據違規采集、利用、存儲和數據違規出境等問題。對此，需要建立健全我國企業內部數據合規管理體系、合規風險識別預警機制、數據違規審查和處罰制度、培育企業合規文化，以此保障企業數據合規經營，減少法律風險。同時，強化企業外部的行政監管和司法監督，推進數據合規領域的行政執法和解，建議制定“行政執法和解法”；在總結企業數據合規成功經驗的基礎上修改《刑事訴訟法》《刑法》，并制定配套的司法解釋。

關鍵詞：

數據理論；數據行為；數據密集型企業；企業數據合規

中圖分類號：D924.3

文獻標識碼：A

文章編號：1000-5099（2023）06-0078-10

一、問題的提出

習近平總書記高度重視企業合規工作。2023年4月28日，習近平總書記主持召開“分析研究當前經濟形勢和經濟工作”會議時指出，“各類企業都要依法合規經營。要下決心從根本上解決企業賬款拖欠問題。要推動平臺企業規范健康發展，鼓勵頭部平臺企業探索創新?！盵1]習近平總書記強調，守法經營是任何企業都必須遵守的一個大原則，企業只有依法合規經營才能行穩致遠。在當前國際競爭越來越體現為規則之爭、法律之爭的大背景下，我國企業面臨的國內外環境和風險挑戰日趨復雜嚴峻，必須加快提升依法合規經營管理水平，確保改革發展各項任務在法治軌道上穩步推進。因此，依法合規經營對于提高企業在市場中的競爭力，增強企業規避風險的能力具有重要意義。

從1986年開始，我國先后制定了八個“全民普法”計劃，但由于各種原因，企業不守法的情形至今屢見不鮮。然而，企業對社會經濟發展發揮著十分重要的作用，如果企業不守法合規，就會影響社會主義市場經濟發展。如何讓企業守法合規經營，也是全面依法治國題中應有之義。經過數十年的摸索，我國探索解決企業守法問題的“鑰匙”，即企業合規應運而生。合規的實質，就是通過建立科學有效的管理體系，制定和實施本行業或本單位內部的規范性文件，確保法律規定的各項義務得以履行，引導企業“遵紀守法搞經營，在合法合規中提高企業競爭能力?！盵2]

個人數據安全與國家安全、國家利益息息相關。數據本身蘊涵著可以被解讀和分析的國家政治、經濟、軍事等方面重要信息，因而更加需要特殊保護[3]。個人數據除了具有人格利益之外，還具有巨大的商業利益和經濟價值，特別是在電信、金融、醫療、教育等信息密集型行業，出現販賣大量個人信息與非法使用數據產品的情形，情節嚴重者還構成了侵犯公民個人信息罪。國家負有對公民人格尊嚴進行保護的義務，在信息時代，該義務擴展到對公民個人信息相關權益的保護[4]。為此，我國出臺了《網絡安全法》《數據安全法》《個人信息保護法》等信息數據立法。國家從法律層面加強個人數據的安全保護，對維護網絡空間主權以及國家安全，具有十分重要的現實價值。

然而，在社會生活當中，企業對個人數據的不當采集、儲存和處理，侵害了公民的精神利益，還可能危害其人身安全和財產安全。從近年我國企業經營管理來看，存在多起數據密集型公司試圖在境外上市，可能泄露國家重要信息和敏感信息的情況，從而有可能危害國家安全。對此，強化數據合規最為重大的意義，在于由過去的“別人要我守法”，變成“我要守法”，改變了被動地、恐懼式守法模式[5]，這使得長期困擾國家主管部門的企業不守法問題得以解決。因此，強調企業數據合規必將促進企業守法，有助于推動法治社會建設。企業要實現高質量發展就要破除一系列不規范、不合規問題，在企業內部加強合規控制，建立合規管理制度體系，提高企業管理水平和經營水平[6]。這表明推動數據合規工作，不僅能預防和降低企業的經營管理風險，還能提高經營管理效率，增加企業效益與利潤，有效提升企業在國際國內的核心競爭力。由此可見，加強數據合規管理對信息密集型企業具有特殊重要的意義。

綜上所述，鑒于數據的極端重要性和數據領域違規行為的嚴重性，數據合規不僅引起國家相關部門高度的重視，而且也成為法學界研究的熱點。如何將企業數據合規理論與實踐相結合，成為當下法學界亟待思考的問題。對此，本文以企業數據合規理論為基礎，檢視我國企業數據合規的現狀、問題并分析其成因，在剖析問題的基礎上提出科學的治理方案，這是筆者探討該論題的意義所在。

二、邏輯展開：我國數據合規的理論基礎

（一）數據安全：邏輯主線之奠立

習近平總書記以寬廣的戰略思維深刻把握數據安全問題，將數據安全置于國家安全的重要地位，標志著黨對國家安全工作的認識達到新高度，同時也是我國數據安全治理的根本指導思想。2016年，習近平總書記指出，“要依法加強對大數據的管理。一些涉及國家利益、國家安全的數據，很多掌握在互聯網企業手里，企業要保證這些數據的安全?！盵7]2018年，習近平總書記指出，要規范企業投資經營行為，合法合規經營，履行社會責任[8]。習近平總書記關于數據安全的理論，堅持國家利益至上，以人民安全為宗旨，以政治安全為根本，以經濟安全為基礎，統籌外部安全和內部安全，堅決維護國家主權、安全和發展，奠立了國家關于數據安全和數據治理的理論基礎。數據安全的重要性隨著數據事業的發展而日益凸顯。我們要以習近平關于數據安全的重要理論為指導，統籌經濟發展與數據安全兩個大局：一方面要善于運用數據事業發展成果來提高國家安全的治理能力；另一方面又要善于塑造有利于數據事業發展的安全環境，在確保國家數據安全的基礎上，促進以數據為關鍵要素的數字經濟持續健康發展，造福于廣大人民群眾。

（二）權義一致：主體意識之塑造

權利和義務相一致，是保障數據合規的重要理論基礎。一是法律要保障公民的數據權利?！睹穹ǖ洹芬幎?，自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。由此可見，個人信息是一項重要的民事權利。不僅如此，法律對個人數據予以保護，本質上也是保護公民的尊嚴和自由。保護個人數據的目的，是對憲法意義上的公民基本權利的保障，它最終根源于對人的尊嚴的保護[9]。因此，保護個人數據是人格權保護的重要組成部分。二是企業要全面履行自己的義務。根據權利與義務相對應理論，公民在享有自身權利的同時，其相對的一方，即企業必須履行自己的義務。只有企業全面履行自己的法定義務，公民的數據權利才能得到實現。對于企業的經營活動而言，應以履行義務為先。只有公民履行自己的法定義務，其數據權利才能得到可靠保障。三是數據權利和數據義務相輔相成。在一定意義上，企業認真履行好自己的法定數據義務，就能最大程度地保障公民的數據權利。公民依法主張自己的數據權利，客觀上有助于企業更好地履行自己的法定數據義務。

（三）整體治理：治理機制之架構

整體性治理就是以公眾需求為導向，以信息技術為手段，以協調、整合和義務為機制，跨越組織功能邊界，在政策、法規、服務、監督等方面，對治理層級、功能、公私部門關系及信息系統等碎片化問題進行有機協調與整合，不斷從分散走向集中，從部分走向整體，從破碎走向整合，為公眾提供整體性服務，充分體現國家治理的包容性、整合性整體性治理理論是對19世紀末20世紀初傳統官僚制政府以功能為導向而導致政府職能重復分散的批判，是對20世紀80年代新公共管理理論以客戶需求為導向而導致公共服務碎片化的回應。整體性治理理論由英國學者佩里·?？怂故壮?。1997年，佩里·?？怂乖谄洹墩w政府》一書中第一次提出整體性治理理念。1997年，托尼·布萊爾執政的英國工黨政府以整體性治理理論作為其政府改革綱領，并提出協同政府概念。1999年，英國政府出版《現代化政府》白皮書，在對前兩年工作進行總結基礎上推行整體政府改革十年規劃。這一模式也迅速推廣諸多國家，為這些國家的治理服務。。整體性治理理論，與系統論有諸多共性。系統論偏重于自然科學，整體性治理理論偏重于社會科學。整體性治理理論對于我國推進數據合規的治理，有一定的啟發意義。

整體性治理理論對數據合規治理的啟發意義：一是應當以公眾需求為導向，滿足他們對數據安全的強烈期盼；二是以協調、整合和義務為機制，跨越部門管理邊界開展合作，可以有效解決僅僅依靠行政主管部門單打獨斗的局面，將行政力量和司法力量等加以協調整合，共同為數據合規服務。三是在治理手段方面，充分利用信息技術和政策、法律、服務、監督手段，在實施中對這些手段進行整合，為公眾提供整體性服務；四是在整體性治理中，充分發揮政府和企業的積極性，尤其要明確，政府有關部門的監管僅僅是外部條件，企業的自覺才是內在動因。只有將企業合規的內在積極性充分調動起來，企業的合規治理才能走向自覺，從而實現可持續性。以上四個方面的有機融合，有助于實現國家治理的包容性和整合性，有助于履行經濟發展和數據安全的雙重使命。

（四）機制激勵：實現數據合規的必由之路

激勵是激發一定主體從事某一行為的動機，促使其為實現群體或組織的目標增強行為積極性的過程[10]。激勵理論，即研究如何調動人的積極性的理論激勵理論，即研究如何調動人的積極性的理論。它認為，工作效率和勞動效率與職工的工作態度有直接關系，而工作態度則取決于需要的滿足程度和激勵因素。如美國心理學家馬斯洛把人的各種需求分為生理需求、安全需求、社會需求、尊重需求、自我實現需求五個層次，認為人們按照需求層次追求滿足。因而管理者根據需求設置目標即可起到激勵作用。另外，雙因素論者赫茨伯格把影響工作態度的因素分為保健因素和激勵因素兩類，保健因素包括組織政策、管理技術、同事關系、工資待遇、工作環境等，這些因素的改善可消除職工的不滿情緒，激勵因素是適合個人心理成長，能調動積極性的因素，但只維持原有的工作效率。自從二十世紀二三十年代以來，國外許多管理學家、心理學家和社會學家結合現代管理的實踐，提出了許多激勵理論。這些理論按照形成時間及其所研究的側面不同，可分為行為主義激勵理論、認知派激勵理論和綜合型激勵理論三大類。。在激勵理論指引下，企業數據合規不僅是企業為督促員工遵守數據相關法律法規等規范而確立的數據密集型企業治理方式，更是政府部門監督和促進數據密集型企業依法依規運用數據的一種外部激勵制度。美國自20世紀90年代建立企業合規機制以來，將合規計劃作為激勵機制加以使用，通過對違法企業在一定條件下給予寬大刑事、行政處理等方式，激勵企業建立并實施有效的合規計劃，促進企業在法治的軌道上開展經營活動。

在我國企業數據合規建設中，應當以激勵理論為指引，確立三個方面的激勵機制：一是行政寬大處理的激勵機制，將數據合規作為行政和解適用的條件和減輕行政處罰的依據；二是刑事寬大處理的機制，將數據合規作為不起訴的依據或無罪抗辯、減免刑罰的理由，以及將數據合規作為簽署暫緩起訴協議和撤銷起訴的依據；三是國際組織（如世界銀行）的制裁消除機制，即將企業數據合規作為附條件或無條件減免國際組織（如世界銀行）制裁的依據[11]。

三、現實檢視：我國數據合規的現狀、問題及其原因

（一）我國企業數據合規的現狀

我國金融科技、智能汽車、在線教育、互聯網和電信行業數據最為密集，也是數據合規的重點。近年來，我國數據密集型行業的合規工作取得顯著成就。

一是金融科技行業。金融科技行業通過利用海量數據向用戶提供金融服務，如支付、征信、信貸等方式，其需要通過接受監管、主動合規以激活沉默數據、盤活數據資產、防范和化解機構的金融風險。如招商銀行、平安銀行等多家銀行對自有App產品予以優化，通過向用戶明示“隱私政策更新”，推動行業數據使用行為的合規[12]。二是智能汽車行業。智能汽車行業伴隨著汽車智能化、網聯化發展，越來越多涉及用戶數據和車輛數據的采集、利用問題。智能汽車行業積極推進數據合規，以汽車工業協會基于《數據安全法》為指引，建立了汽車大數據委員會，探索在行業內部建立數據合規自律規范。例如，長城汽車公司通過全流程數據加密，實現數據合規管理[13]。三是在線教育行業。在線教育行業依托互聯網和大數據，利用多種媒體學習資源和資源共享渠道進行線上教學，在線教育行業對用戶影響較大。截至2020年12月，我國在線教育用戶規模達3.42億，占網民整體的34.6%；手機在線教育用戶規模用戶達3.41億，占手機網民的34.6%[14]。海量的數據使用量及規模巨大的市場引起行政主管部門的高度重視，要求行業規范其自身數據收集、使用行為，承擔社會責任。尤其是在未成年人個人數據保護方面，諸多在線教育企業進行了有益的探索。例如“作業幫”等在線教育企業聯合發布《促進在線教育行業健康發展倡議書》，明確要求落實網絡安全等級保護、網絡安全預警通報和用戶信息保護制度，保障用戶數據安全和隱私[15]，以此保護未成年人健康成長。四是互聯網和電信行業?；ヂ摼W和電信行業作為全球數字化進程的先驅，隨著數字化進程的加快，數字技術已向行業全方位加速滲透、融合。一方面，在數據價值提升的背景下，數據市場驅動互聯網和電信行業加強數據合規以獲得數據利益；另一方面，數據安全風險暴露面、攻擊面較廣，使得互聯網和電信行業不得不加強數據合規以避免利益損失。例如“釘釘”公司從安全合規等八個維度建立數據安全防護機制，推動數據行為全面合規[16]。

總體來講，上述四個重點數據密集型行業在數據合規領域的有益探索，對整個數據行業的合法合規經營奠定了良好的基礎。

（二）現實問題的檢視

在肯定我國數據合規取得成就的同時，也要正視其存在的問題。我們以數據密集型企業為例，當前在數據合規領域存在以下問題：

其一，是數據違規采集。近年來，我國移動應用軟件在一定程度上存在違規私自采集、過度采集、超范圍采集用戶數據信息、強制授權、不合理索取用戶權限、頻繁騷擾等侵害用戶權益的情形，如未經用戶同意自動開啟采集地理位置、身份證號碼、人臉、指紋，讀取通訊錄、使用攝像頭、啟用錄音等功能以及與服務無關的功能?！癦AO”軟件因違規收集個人信息被工信部約談就是一個鮮活的案例2019年9月，因“ZAO”App用戶隱私協議不規范，存在數據泄露風險等網絡數據安全問題，工業和信息化部網絡安全管理局對北京陌陌科技有限公司相關負責人進行了問詢約談。。

其二，數據違規儲存。企業進行數據違規儲存時，可能會產生用戶數據泄露事件。例如，實踐中發生的東航泄露乘客個人隱私事件參見北京市中級人民法院（2017）京01民終509號民事判決書。，以及號稱史上最大的數據泄露案——瑞智華勝公司非法盜取30億條個人網絡信息被罰款1 000萬，同時該公司主管人員和直接責任人構成刑事犯罪參見浙江省紹興市越城區人民法院（2019）浙0602刑初1143號刑事判決書。。

其三，數據違規利用。有的數據密集型企業違規利用用戶數據，嚴重侵害用戶合法權益。例如，移動應用軟件未經用戶同意，私自將設備識別信息、商品瀏覽記錄、搜索使用習慣、常用軟件應用列表等個人信息共享或出售給第三方；又如，強制用戶使用定向推送功能，即APP未向用戶告知，或未以顯著方式標示，將收集的用戶搜索、瀏覽記錄、使用習慣等個人信息，用于定向推送或精準營銷；再如，有些精準廣告是在消費者搜索某個產品或是瀏覽某個廣告時被非法記錄下來并被違規利用的，嚴重損害了消費者的合法權益。

其四，數據違規出境。數據安全與國家安全息息相關，其出境應當按照國家規定的要求進行。而數據違規出境，是指數據的出境沒有按照國家的相關要求輸出境外。例如，依規應當向網信部門申報數據出境安全評估卻沒有申報評估的行為。由于數據蘊含利益的多樣性和交織性，涉及國家、社會和個人的具體利益，數據違規出境必然給我國的數據安全帶來嚴重威脅。

（三）深層原因剖析

我國一些數據密集型企業合規領域問題叢生，這些問題產生的原因，既有企業數據合規意識不強，又有政府監管乏力，還有監管政策不配套等原因。

1.企業自身的原因

一是企業尚未形成科學的合規管理體系。企業發展和新型監管方式對數據安全管理提出了嚴格要求。例如，高科技公司，對數據安全要求極高，數據泄露影響更大。但是，筆者對一些高科技公司進行合規問題的調研表明，諸多公司依然沿用傳統的管理方式，有的公司竟然不知道什么是“企業合規”。顯然，如果公司的管理體系沒有適應時代變化相應“升級”，必然導致因用戶不斷提出索賠等原因致使公司管理成本的急劇上升。二是企業的合規能力不足。數據技術的飛速發展要求數據管理能力不斷提高。例如，利用大數據技術獲取企業不同類型的安全數據，識別潛在的數據安全風險和威脅，非結構化數據的安全保護策略和技術實現方案等均對企業的合規管理能力提出了新要求。因此，數據安全管理能力的提升至關重要。但是，當前諸多互聯網企業在能力建設上的投入依然不足，系統也不夠先進，技術研發人員與實際需要匹配度過低，無法滿足強化數據合規治理的能力需要。三是企業尚未形成合規文化。在整個合規體系中，合規文化的作用至關重要。

實踐證明，企業要實現重大的發展進步，總是先有理念和境界，然后才有實際行動。通過考察數據密集型企業合規治理的實際情況，作者發現有很多企業，包括一些數據領域的頭部公司，數據合規意識十分淡薄。我國數據密集型企業與跨國企業相比，在合規領域明顯落后，很多中小公司乃至部分大公司甚至不知曉合規的概念和功能。有的企業的商業模式運轉多年，至今依然采用傳統的、粗放式的甚至違規的數據運營模式做支撐。根本原因在于企業缺乏合規意識。更為深層的原因，在于企業整體缺乏良好的合規文化[17]。

2.政府方面的原因

政府主管部門沒有對數據密集型企業進行正確的監管和引導，也是數據不合規問題產生的重要原因。

一是行政監管“不作為”。政府有關部門的“不作為”，導致“誰守法誰吃虧”的情形時有發生。守法成本高，違法成本低，已經成為我國數據行業比較普遍的現象。因此，難以形成數據密集型企業合規的內生動力。二是行政監管“亂作為”。政府有關主管部門的“亂作為”，在法治軌道之外進行“瞎指揮”，對企業傷害極大。這些行為都造成對數據密集型企業營商環境的破壞。三是政府自身數據治理能力不足。在《數據安全法》《個人信息保護法》等新法律頒布施行的形勢下，部分地方政府沒有認真學法，沒有及時調整治理方式，無法滿足數據密集型企業的合理需求。例如，有的企業有數據跨境需求，當他們向政府咨詢或者請政府相關部門予以指導時，相關部門以種種理由互相推諉，限制了企業的數據合規。

3.政策方面的原因

一是沒有形成與行政監管相配套的行政和解機制。如前文所述，有的行政監管領域，政府主管部門為了支持企業的發展，采取了行政執法和解等措施，這在很大程度上支持了企業的發展。但也要清醒認識到，這些行政執法和解試點，僅僅是開始。從全國來看，一方面，國內企業數據合規還沒有形成法律規范，因此，這項重要的活動缺乏法律依據，從而影響了行政執法和解工作的開展。另一方面，行政監管部門開展的行政執法和解試點“斷斷續續”，影響了行政和解制度的依法構建。因此，涉案企業在繳納行政和解金之后，既不建立合規管理體系，也不針對企業的合規風險采取預防、監控和應對措施，故很難實現“糾正違法行為”和“積極整改”的目標。二是沒有形成與司法監督相配套的刑事合規機制。所謂刑事合規，是指對于涉嫌犯罪或已經構成犯罪的企業，司法機關以企業制定合規計劃為依據，對其作出寬大刑事處理的制度。刑事合規的目的是使企業的經營活動符合法律規定，避免新的刑事風險發生或最大程度減少企業因發生刑事風險而影響其正常的經營活動。開展刑事合規工作需要有法可依。但是，我國《刑事訴訟法》和《刑法》迄今沒有將企業合規作為法定從輕或者免除刑罰的條件。這是當前司法機關雖然高度重視刑事合規工作，但推進卻困難重重的原因之一。三是沒有形成行政監管和刑事司法相協調的銜接機制。企業合規的核心雖然是以企業為主建立合規管理體系，但離不開國家機關的指導和監督。

從目前的實踐看，筆者發現行政主管部門與司法機關各自為政，“鐵路警察各管一段”，因而效果較為不佳。調研結果表明，企業合規強烈要求行政主管部門和司法機關的監管工作有機銜接。

四、路徑選擇：我國數據合規的整體謀劃與方案設計

（一）核心環節：企業數據合規的自主建設

企業作為數據的保有者，是履行數據合規義務的主體。為此，應當從以下六個方面建立企業數據合規的科學模式。

1.建立健全企業數據合規的管理體系

數據合規的實踐經驗證明，合規管理的成敗除與企業核心層的重視程度相關外，關鍵還在于是否建立了高效的內部合規管理體系。為此，企業應當基于內部管理結構，建構管理層重視、全員參與的數據合規管理體系：應當推動設置相對獨立的專門合規管理機構，并合理配置該機構的職能與職責；應當加強合規管理機構與企業內部的審計部門、監察部門、內控部門等相關部門之間的協作配合；應當加強合規管理機構與執法機關、商業合作伙伴、律師事務所等外部機構的溝通協調。

根據數據合規的特點，數據密集型企業應當建立健全數據分類分級保護機制，這是實現企業數據合規的關鍵?！稊祿踩ā吩O計了數據分類分級保護制度，并要求各地以及各部門按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄。為此，數據密集型企業應當按照法律法規的要求，精準識別企業數據的類型，針對不同類型的數據，進行精準化的合規管理。

2.建立健全數據合規風險的識別預警機制

風險預防是做好數據合規的關鍵環節[18]。為此，企業應當充分了解數據合規發展所處環境，進而有效識別重要風險：從宏觀上充分了解企業所在國家或地區有關數據管理的法律要求及發展趨勢；從中觀上深度剖析企業所在行業的數據合規的規范；從微觀上全方位審視自身的數據使用偏好、業務模式、發展戰略。與此同時，要合理確定需要加強數據合規風險管理的關鍵業務或崗位范圍，有效研判企業數據合規風險發展態勢，圍繞企業數據合規目標，加快形成數據合規風險識別的工作方案。

3.定期開展數據合規管理評估

對企業數據合規情況開展定期評估有助于企業持續防范數據違規風險。據此，應當加強對數據合規管理制度的定期評估，對其是否符合當前法律法規和政策開展評價；加強對數據合規實施機制的定期評估，有效識別合規管理、審計、監察等部門之間的協調性，實現數據合規管理體系與企業管理體系協同性的持續監測；加強對數據合規管理人員工作績效的定期評估，實現數據合規管理人員業務能力的持續提升。

4.建立健全數據違規審查和處罰制度

企業違規審查與違規行為處罰是對數據密集型企業進行全過程管理的重要手段。一方面，從建立健全數據合規風險審查機制審視：健全具有可操作性的數據合規審查程序，將數據合規審查機制納入企業日常運行中；建立健全通暢的溝通機制，推動合規信息和風險的逐級傳導；建立健全績效考核機制，提升合規審查制度的執行力。另一方面，從完善違規行為處罰制度審視：暢通舉報途徑，建立系統的舉報網絡并創造安全的舉報環境；嚴格落實紀律處分規定，必要時可向相關執法部門報告企業數據違法以及向違規者提起訴訟；完善違規行為處罰后的反饋機制，即通過采取針對性的合規整改措施，進一步改進企業數據合規管理制度[19]。

5.強化數據合規的能力建設

建立健全數據合規體系應當以能力建設為支撐[20]。數據密集型企業在強化數據合規的能力建設時，應當重點從數據風險核查能力、數據梳理能力、數據保護能力以及數據威脅監控預警能力等方面展開：應當不斷完善數據梳理技術，實現對企業重要數據、敏感數據的全面排查梳理，并對不同角色進行數據處理的權限進行梳理；應當不斷完善入侵防御技術，通過建立、強化數據庫防火墻，實現對外部攻擊及內部數據庫漏洞的有效防護，防止產生用戶數據泄露等問題；應當不斷完善權限管控技術，針對不同訪問需求，規范數據訪問權限，并嚴格記錄訪問情況，實現內部數據操作行為的有效控制與監管；應當不斷完善監管稽核技術，實現從數據產生到場景化使用的流向監控、精準分析；應當不斷完善應急處置技術，健全應急預案和緊急情況下的應對處理機制。

6.培育企業數據合規文化

促進數據密集型企業合規經營有多種因素，但最為根本的是企業的合規文化。優秀的企業文化能夠營造良好的企業發展環境，提高員工的文化素養和道德水準，形成企業的凝聚力、向心力和拘束力，產生企業不可或缺的精神力量。因此，在企業合規經營的各項要素中，合規文化具有根本性?；诤弦幬幕?，所有的數據密集型企業在數據的日常采集和處理中，都應當全面履行合規義務；企業的決策層要帶頭守法遵規，規范自身行為；要嚴格全面履行數據合規要求，絕不能允許員工為了追逐利益而從事違法違規的行為；企業應當從培養員工的數據合規意識做起，增強員工合規使用數據的自覺性，形成良好的數據合規習慣，使之成為員工的基本理念。

（二）外部保障：國家支持企業數據合規體系建設

1.政府加強數據合規行政監管

為了促進數據密集型企業實現合規經營，強化行政監管是十分必要的，也是基本的、前提性的措施?！皣拦芫褪呛駩邸钡倪壿嬕策m合對數據密集型企業的監督管理。當前，有關行政監管部門在對數據密集型企業的活動實施監管時，應當加大對大數據相關技術、設備和服務提供商的風險評估和安全管理；應當組織建立健全大數據標準體系，研究制定有關大數據的基礎標準、技術標準、應用標準和管理標準等；應當加快建立政府信息采集、存儲、公開、共享、使用、質量保障和安全管理的技術標準；應當通過嚴格的行政執法，依法追究違法者的相關法律責任，倒逼數據密集型企業嚴格實施數據合規。

2.支持檢察機關開展數據侵權公益訴訟

檢察機關提起數據侵權公益訴訟，是對數據領域行政監管的不可或缺的有益補充。實踐中，網絡貸款、網絡購物等App違規收集個人信息的情況屢屢發生，損害了社會公共利益，也暴露出僅依靠行政監管部門單打獨斗不可能實現對數據密集型企業的管理和約束。檢察機關提起公益訴訟可以與行政機關的行政處罰相互配合形成監管合力，突破屬地管轄障礙，從而更加有效地保護個人信息安全?！稊祿踩ā返念C布實施，對強化企業數據行為的監管提出了新要求，檢察機關在運用公益訴訟手段保障數據安全方面大有可為?！秱€人信息保護法》明確把個人信息保護納入公益訴訟范疇，最高人民檢察院專門頒發依法推進個人信息保護公益訴訟檢察的司法文件，明確提出要延伸拓展公益訴訟檢察職能，這是檢察機關開展數據侵權公益訴訟的新機遇。應當明確，防范數據壟斷、算法濫用均屬于保護公共利益，在反數據壟斷、反算法濫用方面，檢察機關都可以提起公益訴訟，并以此為契機，促進數據密集型企業積極開展數據合規建設。建議國家司法機關制定相關司法解釋，準確界定數據合規、數據壟斷、算法濫用的司法適用的內涵，并明確檢察機關提起數據侵權公益訴訟的條件和辦案流程。

（三）合規升華：完善企業數據合規激勵機制

1.構建數據治理行政執法和解制度

全球企業合規治理的經驗和我國企業合規治理的探索與實踐表明，在行政監管領域建立健全數據合規激勵機制，是推動數據密集型企業合規管理體系建設的必然趨勢，也是實現數據密集型企業守法合規的必然要求。為此，建議有關行政主管部門基于我國行政執法和解試點的經驗，在數據合規領域建構行政執法和解制度。通過與行政違法的數據密集型企業達成和解協議、督促其繳納和解金、向企業內部派駐合規監督專門人員等形式推動數據密集型企業建立健全合規管理體系，完善和落實合規計劃，進而實現對數據密集型企業的行政監管由硬約束到軟激勵的轉變；由“嚴厲處罰企業”到“嚴厲懲處直接責任人”的轉變；由企業被動守法到主動合規的轉變，有效激發數據密集型企業建立合規機制的內在動力。同時，建議國家積極開展行政執法和解的立法工作，將上述行政執法和解的有益經驗轉化為具體的法律制度設計，在法律層面為行政執法和解制度的推進提供有效保障。在相關立法路徑的具體選擇上，建議全國人大常委會根據我國開展企業合規的實際，尤其是推進行政執法和解的需要，專門制定“行政執法和解法”。如果制定專門的法律還不成熟，建議對現行的《行政處罰法》作出修改，將行政執法和解制度的基本內容納入其中。在這個基礎上，有關行政主管部門應當結合數據密集型企業合規的實際需要，制定專門的實施細則，督促并幫助數據密集型企業進行合規整改工作。

2.推進數據刑事合規立法

在數字時代，為突破數據安全治理難題，需要在法治的軌道上激勵企業積極開展數據刑事合規建設。數據產業的發展情況表明，數據犯罪主要由網絡平臺等實體驅動，因此，有必要將管控數據犯罪風險的合規義務附加于網絡平臺。根據當前數據產業發展的實際狀況，應當加強高科技、智能汽車、在線教育、互聯網等重點領域企業的刑事合規建設。企業刑事合規建設主要涉及事前監督與事后監督兩個階段。在事前監督方面，建議檢察機關在履職中及時向相關企業提出改善治理結構、封堵系統漏洞、防范刑事安全風險的檢察建議，督促企業制定并實施刑事合規計劃，同時協助相關企業積極進行刑事合規建設，構建全流程嵌入的綜合防范體系，積極預防和控制與數據有關的犯罪。在事后監督方面，如果企業被以單位犯罪追究刑事責任，建議檢察機關以檢察監督方式督促企業積極進行刑事合規整改建設，以避免該單位再次實施犯罪。鑒于企業刑事合規的核心是將企業犯罪責任模式由過去的事后處置轉型為事先預防，涉及通過合規計劃而達到對涉嫌犯罪的企業不起訴或者從寬處理的目的，還涉及第三方的評估問題，以及刑事法律和行政法律的銜接問題。這些問題的解決，都需要有明確的法律依據。在立法路徑的具體選擇上，建議全國人大常委會根據我國企業刑事合規工作的實際，對《刑事訴訟法》《刑法》進行必要的修改，為開展企業刑事合規工作提供明確的法律依據。在這個基礎上，建議最高人民法院和最高人民檢察院根據相關法律的規定，制定專門的司法解釋，以滿足數據合規領域檢察工作和審判工作的實際需要。鑒于刑事合規涉及行政法律與刑事法律的交叉，故建議在條件成熟時，考慮制定相關刑事法律與行政法律相銜接的規定，以保障數據密集型企業合規工作在和諧、有序、平穩、法治的軌道上運行。

3.推進數據合規協同共治

大數據時代需要協同共治的方法實現數據密集型企業合規。我國目前對于數據利用以組織內部管理為主，而跨部門、跨地區、跨行業的數據開放、共享和協作應用程度較低。這都需要通過數據開放、共享和協同，讓數據更好地服務社會、造福人民，避免出現數據的獨占。企業數據治理應當按照黨中央關于“共建、共治、共享”的要求，精心打造開放性的生態系統，推動信息公開與公眾參與，防止個別企業形成數據壟斷，危害國家和人民的利益。我國政府部門擁有大量與經濟社會發展密切相關的各類數據，應當按照數據分級分類保護的要求，需要公開的應當及時公開，向人民群眾提供盡可能多的數據；需要保密的，應當按照《保守國家秘密法》的要求，采取必要的保密措施，以維護國家的數據安全和數據利益。

與此同時，應當充分發揮第三方評估的作用，有效開展數據安全的合規性評價。為了督促相關企業高質量開展數據合規，應當鼓勵第三方機構為企業數據安全提供合規科技、風險評估與安全認證[21]，引入數據“合規官”制度提升企業數據合規管理水平[22]?！稊祿踩ā访鞔_支持數據安全檢測評估和認證，以促進數據密集型企業實現數據合規的目標。在當前相關評估標準和制度尚未健全的情況下，相關企業可以參考等級保護、關鍵基礎設施保護和相關行業監管制度，積極穩妥地推進數據合規各項工作的開展。

五、結語

長期以來，黨和國家在推進企業守法方面做了大量工作。但由于企業守法的內生動力不足，致使企業違法經營的現象屢禁不止。尤其是在網絡信息時代，互聯網、大數據和人工智能在給人們帶來巨大便利的同時，數據領域違法犯罪的問題也日益突出，廣大人民群眾深受其害，國家安全受到威脅，企業自身發展也受到不利影響。為此，應當促進數據密集型企業由“政府要我守法”，到“我要主動守法”的歷史性轉變。強化數據密集型企業合規是實現上述轉變的必由之路。通過建立健全企業合規管理體系，建立風險識別機制和促進企業合規的各項制度，弘揚合規文化，輔之以行政監管、司法監督和社會監督的適度介入，必將有助于形成我國數據密集型企業全面守法的新態勢。在確保數據資源為國家安全、經濟建設、社會發展和人民生活提供高質量服務的同時，還將為我國全面建成法治社會提供有益經驗。建議國家有關部門認真總結數據密集型企業合規治理的經驗，加強相關立法和政策指引，通過企業數據合規治理的有序推進，為促進全民守法，全面建設社會主義現代化國家做出新貢獻。

參考文獻：

[1]中共中央政治局.分析研究當前經濟形勢和經濟工作[N].人民日報，2023-04-29（001）.

[2]習近平.習近平談治國理政：第三卷[M].北京：外文出版社，2020：268.

[3]楊蓉.從信息安全、數據安全到算法安全——總體國家安全觀視角下的網絡法律治理[J].法學評論，2021（1）：131-136.

[4]王錫鋅.個人信息國家保護義務及展開[J].中國法學，2021（1）：145-166.

[5]楊春福.全民守法的法理闡釋[J].法制與社會發展，2015（5）：66-68.

[6]朱軍.在合法合規中提升民企競爭力[J].人民論壇，2019（19）：84-85.

[7]習近平.在網絡安全和信息化工作座談會上的講話[N].人民日報，2016-04-26（002）.

[8]趙超，安蓓.堅持對話協商共建共享合作共贏交流互鑒 推動共建“一帶一路”走深走實造福人民[N].人民日報，2018-08-28（001）.

[9]張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學，2015（3）：38-59.

[10]章凱.激勵理論新解[J].科學管理研究，2003（2）：89.

[11]陳瑞華.企業合規基本理論[M].北京：法律出版社，2021：40-60.

[12]魏倩.守住隱私！銀行數據安全治理升級在行動[N].上海證券報，2021-11-11（003）.

[13]中國汽車論壇組委會.圓桌對話：智能網聯汽車數據安全治理與合規應對[EB/OL].（2021-06-22）[2023-06-18].http：//www.caam.org.cn/search/con_5234048.html.

[14]中國互聯網絡信息中心.CNNIC發布第47次<中國互聯網絡發展狀況統計報告>[EB/OL].（2021-02-03）[2023-08-12]http：//www.cac.gov.cn/gzzt/ztzl/zt/cnic/A0920010802index_1.html.

[15]人民網.在線教育專業委員會成立 作業幫作為在線教育行業代表宣讀倡議書[EB/OL].（2021-11-28）[2023-08-12]http：//finance.people.com.cn/n1/2021/0322/c1004-32057447.html.

[16]人民網.釘釘發布安全白皮書3.0為用戶構筑全鏈路安全防護體系[EB/OL].（2021-11-28）[2023-08-12]http：//finance.people.com.cn/n1/2021/1128/c1004-32293796.html.

[17]JACKSON.J.，BRADFORD.B.，HOUGH.M.Why Do People Comply with the Law：Legitimacy and the Influence of Legal Institutions[J].British Journal of Criminology，2012（6）：1 051-1 071.

[18]WITHERS.P.Data Compliance：Achieving It All[J].International Journal for the Data Protection Officer，Privacy Officer and Privacy Counsel，2019 （7）：17-19.

[19]陳瑞華.有效合規管理的兩種模式[J].法制與社會發展，2022（1）：5-24.

[20]HORDERN.V.Data Protection Compliance in the Age of Digital Health[J].European Journal of Health Law，2016（3）：248-264.

[21]丁曉東.數據交易如何破局——數據要素市場中的阿羅信息悖論與法律應對[J].東方法學，2022（2）：144-158.

[22]GOSHADE.K.The Data Protection Officer （DPO） Ensuring Greater Data Protection Compliance[J].Law and World，2020（14）：41-47.

（責任編輯：蒲應秋）楊? 洋? 楊? 波，張? 婭，王勤美，蒲應秋

The Theoretical Basis， Reality Check and Path Choice of Corporate Data Compliance in China

SUN Youhai

（Law School， Tianjin University， Tianjin， China， 300072）

Abstract：

In recent years， violations of corporate data have occurred repeatedly in China， damaging the legitimate rights and interests of relevant subjects. Promoting the construction of corporate data compliance is not only favorable to the development of corporates themselves， but also of great significance in promoting law-abiding corporates and comprehensively building a society based on the rule of law. Corporate data compliance should be based on the theoretical foundation of data security， rights and obligations， mechanism incentives， and overall governance; through the review of China’s data-intensive corporates， it is found that there are data violations in terms of data collection， utilization， storage， data exit and other issues. In response， corporates can adopt solutions through the establishment of a sound internal data compliance management system， a compliance risk identification and warning mechanism， a data violation review and penalty system， and the cultivation of corporate compliance culture. Thus， the corporate data compliance operation is guaranteed and legal risks can be reduced. It is necessary to strengthen the external administrative supervision and judicial supervision， to promote the administrative law enforcement and reconciliation in the field of data compliance with the proposal to formulate the “Law on Administrative Law Enforcement and Reconciliation”. It is also recommended to revise the Criminal Procedure Law and the Criminal Law on the basis of summarizing the successful experience of corporate data compliance， and formulate the supporting judicial interpretation.

Key words：

data theory;data behavior; corporate data compliance; data compliance