论我国企业数据合规体系的构建及其法律障碍

论我国企业数据合规体系的构建及其法律障碍

刘浩川

河北华电冀北新能源有限公司 河北省张家口市 075000

摘要：数据热潮正在席卷整个行业，数据生态系统的价值体现在收集和分析大量原始数据并将其转化为有用的信息。“数智化社会所展开的是一种超大规模、超复杂的经济社会关系全新形态。”随着用于长期存储大量交易数据且颇具成本效益的技术和解决方案的涌现，越来越多的公司都在不断延长数据保存的时间。与此同时，监管机构和社会公众日益将目光转移到企业如何处理数据。在“后斯诺登”时代，数据隐私领域受到极大关注。用户的个人和交易数据是企业获取数据的主要来源，而绝大多数用户并不知晓企业基于各种目的保留个人数据的量。实践中，企业在实现数据保护时，通常可以从两个层面开展，即现有法律制度（成文规则）和隐私共识（隐含规则）。这意味着，一方面，现有法律制度构成企业数据合规要求的基础，如个人数据收集同意要求、目的声明等。另一方面，数据处理者和数据所有者之间往往会达成隐私共识（隐含规则）。随着我国数据强监管时代的开启，企业数据合规体系的构建面临着极大的法律挑战，无论是立法、执法还是司法层面。而研究数据合规体系中的法律障碍并提出相关移除建议对我国数字经济的健康可持续发展有着重要意义。

关键词：企业数据合规；数据安全；场景治理；数据监管

引言

在数字经济背景下，数据成为社会发展的基本生产要素之一，也是互联网企业业务开展的重要依托。在数据价值显现的同时，企业在数据收集、存储、加工、流转等流程中的合规风险也逐渐凸显。数据合规制度建立不仅是企业承担起社会责任的外在要求，也是企业作为社会治理多元主体之一的内在追求，更是企业避免刑事和行政制裁风险的现实需要。

1搭建企业数据合规组织体系

1)建立完整的数据安全合规组织体系。《个人信息安全规范》明确指出，企业应设立个人信息保护工作机制，与个人信息保护负责人一起承担数据保护和合规管理工作。为确保数据安全合规管理体系落实、落地，避免重复建设，国有企业可将数据安全合规管理作为监管企业合规管理的专项重点领域，纳入现有合规管理体系进行专项管理。涉及重要数据和核心数据的应建立覆盖本单位相关部门的数据安全工作体系，设置专门的数据安全管理责任部门，企业党委或领导班子对数据安全负主体责任，明确各部门数据安全职责及人员，建立常态化沟通与协作机制。2)明确划分数据安全合规管理三道防线。网络运营商需要明确由企业承担数据管理、信息系统管理或IT技术等相关职能的部门以及各业务部门作为数据安全合规管理的第一道防线，合规管理牵头（法律事务）部门作为数据合规管理的第二道防线，纪检、审计部门作为数据合规管理的第三道防线，并通过决策程序明确职能和责任。

2我国企业数据合规体系的构建及其法律障碍

2.1建立专门的数据合规义务库与风险识别库

准确地识别合规风险，是数据合规体系真正发挥预防违法犯罪效果的关键。因此，互联网企业应当专门建立数据风险识别数据库。具体而言，首先需要限定数据合规风险的范围。这里的合规风险应当仅包括互联网企业在数据保护方面可能面临的行政处罚、刑事处罚，以及国际制裁的风险，而不应将一般的商业风险也纳入其中。其次，由于合规义务系构建有效的合规体系的逻辑起点，其与合规风险存在一体两面的关系，因此互联网企业需要先针对作为合规风险来源的合规义务构建数据合规义务库。然后，由于数据合规体系不同于一般的合规体系，因而不仅需要考虑一般企业所共有的、可能面临的合规风险，也要结合互联网企业自身的特点来识别其可能面临的特定合规风险。

2.2组建独立的数据合规部门及流程制度

企业若要形成一套行之有效的合规制度，组建独立的数据合规部门十分必要。该部门必须在公司内部管理中享有相对独立的内部合规审查权，才能让数据合规管理更高效，也更有利于企业数据安全责任的落实与追责。其次，数据合规部门组建时，设置合理的流程体系也至关重要，通过流程设计将数据按照数据流转顺序的不同，分解给不同的部门、岗位。从而通过数据流转流程实现数据溯源治理，并将管理制度中规定的权限、责任进行具体落实。

2.3加强数据来源合法合规审查

若数据来源的合法性无法保证,则后续的数据处理和使用就如同食用“毒树之果”,将带来重大的合规隐患。“数据二十条”提出的建立合规高效、场内外结合的数据要素流通和交易制度,进一步凸显了数据源合规的重要性。“数据二十条”指出,要规范引导场外交易,培育壮大场内交易,统筹构建规范高效的数据交易场所。建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系等,以及建立数据流通准入标准规则,强化市场主体数据全流程合规治理,确保数据来源合法、隐私保护到位、数据流通和交易规范。目前,我国通过数据交易机构进行的数据交易占比较低,按照“数据二十条”的指引,未来场内外数据交易的占比可能会有所改变,场内数据交易必然会向更加规范的方向发展,也会对企业提出更高的要求。我国几大主要数据交易所都已制定和发布数据交易规则文件,对合规性、安全性等进行评估,对数据交易全流程进行监管。企业只有做到严格判断数据来源合法性,才能够在数据交易市场中占得先机。但在实践中,企业往往会发现,数据来源合法性的判断十分复杂,并非单凭对方一纸承诺就可以高枕无忧。那么企业应当如何提升数据来源合法性的判断能力呢?参考《可信数据服务金融机构外部可信数据源评估要求》,企业可以从数据本身和数据提供方两个方面重点判断。首先,针对数据本身,企业应当判断数据获取来源是否真实、合规、可追溯,数据获取方式是否为合法渠道,尤其关注爬取数据的合法性;同时,数据通过授权获取的,应当判断授权是否完整,尤其针对个人信息的授权应当根据相应的法律要求判断授权是否充分知情、自愿,是否取得单独或书面同意等。其次,通过数据提供方的一些基本情况,也可以辅助判断数据来源是否存在潜在风险,如数据提供方业务资质、经营资质、经营实力、经营状况、企业信誉、过往项目经历等;此外,对数据提供方的数据供应能力的审查也至关重要,如相关业务流程、内部管理制度、技术能力、硬件设备、配套服务、合规安全保障能力等。若企业对数据本身的判断较为模棱两可,那么结合数据提供方自身情况进行综合判断,可以帮助企业更加准确地判断数据来源的合法、合规性,最大程度避免合规风险。

结语

随着全球数字经济不断向纵深发展，数据为商业组织提供了诸多用途，不断创新着企业的商业模式。追求利润和利润的不断增长往往是商业组织的主要目标甚至最终目的。但是，数据并非专属推动私营部门创新和增加收入的资源，能否有效治理数据直接关系个人隐私安全和国家信息安全。数据安全也是我们利用技术而产生的最重要问题之一。数字经济时代企业在进行知识产权治理时也重视协调数字经济发展、社会公众隐私与数据使用商业利益之间关系。在企业数据合规治理中应重视在个人信息保护、数据安全和商业效益等之间达成动态平衡。在处理各种数据隐私和保护框架所涵盖的数据时，企业必须确保遵守相关法律和监管要求。企业想要获得数据资产的持续变现必须在合规前提下开展。

参考文献

[1]陈瑞华．企业合规不起诉改革的动向和挑战[J].上海政法学院学报（法治论丛），2022（6）：29-41.

[2]毛逸潇．数据保护合规体系研究[J].国家检察官学院学报，2022（2）：84-102.