黄信瑜，周飞宇

(安徽财经大学 法学院，安徽 蚌埠 233030)

个人信息保护法的出台不仅有力保障了信息安全，也为企业数据合规提供了规范指引。根据中华人民共和国国家互联网信息办公室(以下简称“国家网信办”)公布的《第47次中国互联网发展状况统计报告》，我国国内市场上监测到的APP(Application 移动互联网应用)数量为345万款，这一数字的背后也意味着互联网企业的庞大规模。企业是个人信息领域的直接处理者，促进企业处理个人信息的规范化，是事前预防信息安全风险的关键环节，而这有赖于企业合规的建设。对企业来说，其对内要保护劳动者的个人信息，对外要保护广大用户的个人信息。而当企业掌握大数据库时，更需要重视合规经营，履行好自身承担的法律义务,建设有效的企业合规机制，提升企业现代化治理水平。

一、企业数据合规的法律价值

企业合规是指企业为保障自身活动符合法律规则要求而建立的风险防控机制。从公司治理的角度来看，企业合规是企业为防范、识别和应对潜在合规风险所建立的治理体系。[1]在现实中，企业经营面临着许多风险，这些风险分为可控风险和不可控风险。违规风险属于可控风险，完全可以通过企业的自我防范和管理来规避，避免承受因违规而带来的损失。在这里，违规风险并不等同于法律风险，因为法律风险的范围更加宽泛，例如合同违约风险、侵权纠纷风险、知识产权保护风险都可看作是法律风险的范畴。“合规”中的“规”对企业来说，指的是法律法规对企业的要求，还包括监管机构发布的标准或者条例，是对企业经营行为的规制。2017年，原国家质量监督检验检疫总局和国家标准化管理委员会制定和发布了GB/T35770-2017《合规管理体系指南》。其中提到合规要求的来源包括：法律和法规；许可、执照或其他形式的授权；监管机构发布的命令、条例或指南；法院判决或行政决定；条约、惯例和协议。所以说，合规意味着组织遵守了应当适用的法律法规及监管规定，也遵守了相关标准、有效治理原则或道德准则。当然，企业也可以在法律法规的基础上制定更加严格和详细的内部规范。在现实生活中，企业的合规工作主要集中在反商业贿赂、反垄断和信息保护等领域。《个人信息保护法》及相关规定就是企业在处理个人信息时要遵循的“规”。

企业是市场经营的主体，企业合规是实现企业长远发展的内在要求，企业合规与否早已成为企业竞争力的一个重要方面。一旦受到法律制裁，企业在经济和声誉上会受到损失，市场业务的开展也会受到限制，甚至面临被吊销营业执照的风险。2021年4月，杭州阿里巴巴集团因实施垄断行为被国家市场监督管理总局处罚182.28亿元，引起了社会的广泛关注。除了承受巨额罚款之外，阿里巴巴集团还收到了《行政指导书》，被要求加强公司合规管理，并连续三年向监管部门提交自查合规报告。[2]近年来，各个监管领域相继发生类似的处罚案件，国家监管部门对违规企业的处罚力度越来越大，企业合规的重要性也由此凸显。在信息处理监管领域，国家网信办多次通报有关互联网企业违规处理个人信息的情况，有的企业还构成侵犯个人信息犯罪而遭受刑事处罚。既然这样，企业完全可以进行自我防范，识别可能存在的违规风险并有效解决，以避免受到监管部门的处罚。同时，企业数据合规是事前预防机制发挥作用的体现，如果企业从事违规行为，势必会侵害到普通公民的权益，扰乱正常的社会秩序，此时对违规企业进行惩罚只能起到弥补损失和教育警示的作用。只有企业做到合规经营，才能从源头上有效减少违法犯罪案件的发生，推动市场环境的健康发展。

司法实践中，企业数据合规的法律价值还体现在，数据合规可以成为企业主张减轻或者免除法律责任的理由，较为典型的是“雀巢公司无罪抗辩案”。兰州市城关区人民法院(2016)甘102刑初605号刑事判决书认定的基本案情是：2011年至2013年9月，雀巢(中国)有限公司西北区婴儿营养部事务经理郑某、兰州分公司婴儿营养部区域经理杨某为推销雀巢奶粉，授意部门员工通过支付红包、拉关系等手段，多次从兰州当地多家医院医务人员手中非法获取公民个人信息。2016年，雀巢公司六名员工因涉嫌侵犯公民个人信息被提起公诉，面对检察机关的指控，被告人纷纷辩称，实施侵犯个人信息的行为是为完成公司的任务或是为提升公司的收益，并且非法获取到的信息都提供给了公司，因而这是一种公司行为。对此，雀巢公司提供了一系列证据，包括情况说明、销售政策、在线测试记录和有被告人签名的员工培训手册，以证明公司内部已经建立了完善的数据合规管理体系，在防范员工行为方面已经尽到了注意义务。经过审理，兰州市城关区人民法院判定被告人构成侵犯公民个人信息罪，雀巢公司不构成单位犯罪，各被告人不服判决并以上述理由提起上诉。最终，兰州市中级人民法院裁定驳回上诉、维持原判。具有启发意义的是，兰州市中级人民法院[2017]甘01刑终89号刑事裁定书肯定了雀巢公司在合规管理上的努力，指出：“各上诉人违反公司管理规定，为提升个人业绩而实施的犯罪为个人行为”。法院的裁判思路表明，企业合规可以作为企业责任同员工责任的区分标准，在公司履行管理、培训和监督责任的情况下，员工依然实施犯罪行为，这相当于违背了公司的主观意志，公司自然也就不需要承担法律责任。[3]这对于拥有上千名乃至上万名员工的大企业来说至关重要，因为企业难以了解每个员工的行为，企业所能做的是建立起有效的合规机制，从而证明自身在管理上不存在“疏忽大意”或者“过于自信”的主观过错。

二、企业数据合规面临的现实问题

信息时代的到来对企业来说是一次机遇，丰富的信息量有助于企业分析市场和精准决策，对信息资源的占有和利用能力将会影响到企业的发展前景。但是，机遇的背后伴随着许多风险，如果企业不能进行有效的自我规范，就可能逾越法律的界限，继而面临法律惩罚和社会谴责。在信息处理领域，规范数据活动的法律体系基本形成，行政监管的力度也在不断加强。[4]所以，推动企业数据合规建设尤为迫切。

(一)未能有效防控违规风险

企业在经营活动中如果涉及到对个人信息的利用，就成为法律意义上的信息处理者，也就要负担保护个人信息的义务。当企业不能履行好信息处理者的义务时，内部合规管理体系就会出现漏洞，风险的外溢最终导致企业承受违规后果。在信息处理领域，企业违规行为具有相似之处，主要原因是违背了信息处理的基本原则。从现实案例来看，信息处理的过程涵盖多个环节，违规情形多发生在信息收集、使用和传输环节。此前，国家网信办发布了33款App违法违规收集使用个人信息情况的通报，违法行为主要是涉事App违反必要原则，收集与其提供服务无关的个人信息。在国家网信办专项治理活动中，超出必要原则过度收集个人信息也排在了问题举报量的第一位。企业为保障能正常提供产品和服务，确实需要向用户收集必要的信息，但需要的信息范围是特定的。如果企业超范围索要信息，或者通过欺骗、诱导的方式收集信息，就显然违反了法律要求。在使用环节中，常见的违规情形表现在企业向用户定向推送广告、利用大数据“杀熟”、转售个人信息等，还存在具有合作关系的企业共用信息资源的情况。在这些情形下，企业对信息的使用已经超出了合理范围，影响到了公众的生活安宁，而这样做无非是想借助掌握的信息资源来追求更大的经济利益。

在信息时代，根据自然人的个人信息可以识别其个人身份，而自然人对信息的自我控制和支配反映了其所享有的人格尊严。[5]企业违规处理个人信息不仅会造成个人信息被滥用，而且会侵害到自然人的人格权。所以，国家陆续制定一系列法律法规，对信息处理的过程进行全面规制，开展专项的网络治理活动，让企业清醒地认识到，有效防控违规风险才能实现企业的可持续发展。

(二)缺乏明确的合规指引标准

促进企业合规，首先需要有明确的合规指引，使企业能够据此制定合规计划，建立合规管理体系。此次《个人信息保护法》的出台，确立了个人信息处理的基本原则，对信息处理者的义务做出专门的规定，其中第62条提到，国家网信部门要针对不同类型的信息处理者，制定专门的个人信息保护规则和标准。其实这同合规指引标准具有相通之处，制定专门的规则就是让企业明白如何做才符合法律要求，而这项工作还在推进中。现实中，一般经营者和平台运营商在信息处理方式上必然存在差异，比方说酒店、家装公司、快递公司也会收集和使用消费者的个人信息，他们对信息的收集多是在面对面的场景，后续处理信息时难以及时告知消费者，消费者不能像在网上一样可以删除信息和注销账号。那么就需要根据不同类型企业处理信息的特征制定专门标准，以指导企业正确开展信息处理活动。同样，大企业和中小企业在企业治理方面也存在差异，大企业可以调动更多的人力物力来从事合规管理工作，而中小企业往往会简化合规管理流程，合规指引对此应当有合理的区分。关于合规指引，国家标准化管理委员会曾在2017年制定《合规管理体系指南》，但这是对所有企业提出的一般性要求，没有涉及到具体领域。如果缺乏专业的合规指南，企业不知道如何操作，其做法或是照搬法律规定，或是将这项工作委托给律师事务所，就会影响企业合规的实效。这一点可以参考我国证券监管领域合规治理的经验，监管部门制定了《商业银行合规风险管理指引》和《保险公司合规管理办法》，这为商业银行、保险公司等金融机构提供了较为明确的合规指引，取得了很好的治理效果。

(三)企业合规内在动力不足

企业合规在我国刚刚兴起，很多企业管理者对合规的基本内涵认识尚未成熟，将其看作是简单的法律事务，认识的局限影响合规建设的能力。受一些陈旧思想观念的影响，企业管理者的规则意识较为淡薄，重视权力、关系而轻视规则，甚至形成了一些市场“潜规则”，导致我国企业合规起步较晚、基础较弱。[6]在信息处理领域，法律规则的制定相对滞后于信息技术的快速发展，很长一段时间里，企业经营行为的合规与否多取决于其自律能力。现实生活中，企业一般居于优势地位，企业管理者认为向网络用户提供服务而收集使用信息是一种交易行为，只要不达到犯罪标准就可以自由处理用户信息。惯性的商业思维影响企业对数据合规建设的重视，采取的措施主要是应付执法检查，实际做法与规则要求不一，没有建立起真正科学有效的合规管理体系。一般来说，企业的合规管理主要包括对违规风险的预防监测和积极应对，而现实中一些数据企业只有在被调查后才会整改违规行为，应对措施较为被动，具有重复违规的可能性。

造成企业合规内在动力不足的另外一个主要原因是正向激励力度还不够大。目前，我国监管部门主要通过强力方式督促企业进行合规建设，是一种直接干预的外部压力机制。在强力合规模式之下，监管部门多采用命令式手段规范企业活动，导致企业处于消极被动地位，制约了合规建设的积极性。[7]在监管范围难以保证全面覆盖的情况下，即便处罚结果非常严格，企业管理者也会产生侥幸心理，并且这种模式会产生监管疲软和监管滞后的问题。同时，对企业进行调查处罚时没有区分合规建设情况，企业事前建立合规管理体系并不能作为从宽处罚的判断依据，企业也不能以积极的合规整改来与监管部门达成执法和解协议。可以看出，合规监管激励机制的构建仍处在探索阶段，培养企业合规的法治环境还没有完全形成。没有完善的合规激励机制，企业在合规建设方面就会缺乏主动性，难以发挥出正向引导的作用。

三、促进企业数据合规的治理对策

对企业来说，通过合规的确定性来应对外部环境的不确定性，是防范违规风险以实现长远发展的明智之举。通过引导企业合规来规范数据活动，同样是创新企业治理方式的尝试，对推动数字经济的健康发展具有重要意义。所以，促进企业数据合规是一项系统性工程，既需要企业发挥自主能动性，依规正确从事信息处理活动，也需要加强数据合规公共服务供给，从法律层面给予更加有力的保障。

(一)引导企业建立数据合规管理体系

构建科学有效的合规管理体系意味着企业应当依照法律规范制定一套合规计划，及时识别和评估运营过程中可能产生的违规风险，对员工进行合规培训并畅通问题反映渠道。当然，这一体系并不过于复杂，它有着明确的操作准则，准确把握信息处理基本原则是构建数据合规管理体系的关键所在。个人信息处理的基本原则具有指导和评价作用，是日常监管中判断行为是否违规的基本标准。《个人信息保护法》进一步明确了合法、正当、必要和诚信原则是个人信息处理的基本原则。这些原则分别评价了处理个人信息的形式合法性、目的正当性和手段必要性，要求处理者必须基于明确合理的目的从事数据活动，采取必要措施最大限度保障个人信息安全。[8]除基本原则之外，还有一些具体的处理规则。个人信息可以分为必要信息和非必要信息，也可以分为可识别信息和不可识别信息，不同信息对应的处理规则同样存在差别，这就要求企业对个人信息进行分类管理，遵守具体的规范要求。例如《常见类型移动互联网应用程序必要个人信息范围规定》按照功能服务对应用程序进行了分类，并划定了不同类型的必要信息范围，从事相关业务的企业应当按照这一具体规范来确定信息收集范围。

在数据合规治理的过程中，调动企业自主性以形成相互协作的模式至关重要。只有将数据合规管理体系构建转化为企业的自觉行动，才能真正发挥出企业合规的法律作用。因此，网信部门等监管机构需要指导企业进行合规建设，引导企业根据自身情况制定数据合规计划。在相互协作的过程中，企业也应准确把握法律规定的基本原则，遵守告知同意规则，公开信息处理流程，增强信息处理的透明度，当好个人信息处理者的角色。

(二)加强数据合规公共服务供给

企业合规在我国正处于刚刚起步阶段，不仅理论研究相对较少，而且合规供给资源也相对不足，由此需要加强合规公共服务供给。根据法律要求，推进个人信息保护社会化服务体系建设是网信部门的职责，这其中就包括数据合规社会化服务体系建设。从现实情况来看，我国尚未设立专门负责数据监管的机构，多由不同的监管部门各自执法或者联合执法，网信部门的工作本身就具有协调属性。这就需要强化国家网信部门的统筹协调职能，由其负责协调不同监管部门的工作，主导推进企业数据合规的建设。在协调机制下，网信部门应当结合当前“六稳”、“六保”政策的要求，将加强数据合规公共服务供给作为推动数字经济发展的有力举措。

第一，发布数据合规指引标准，针对业务不同、规模不同的企业，提供针对性、差异化的指导。在现实中，由于经济实力、组织机构的不同，大型互联网企业和中小型企业的合规建设必然是存在差别的，大型企业应当全面建设合规管理体系。[9]通过制定公布专业的信息处理规范，为企业建立数据合规计划指明具体方向。第二，构建合规计划有效性识别机制，制定科学统一的数据合规监督评估标准，对合规建设情况进行优质、良好、达标等不同等级的评定。根据法律要求，需要对企业是否建立合规管理制度以及实施情况做出客观公正的评价。因此，应当由网信部门统筹建立数据合规评估体系，使数据监管要求与企业合规建设能够有效衔接。第三，加大合规人才培养力度，为推动企业数据合规提供人才支撑。为满足合规建设的发展需求，“企业合规师”在2021年正式被纳入《中华人民共和国职业分类大典》而成为一种新的职业门类。合规工作不是传统的法律事务，它的重点在于防范因违反法律法规而受到行政处罚和刑事追究的风险。所以，企业合规师的职责在于帮助企业建立合规管理体系，具体包括审计合规情况、处置违规事项等，如果企业进入合规整改程序，也需要企业合规师负责制定整改方案。对此，应当尽快制定企业合规师的职业考核标准，鼓励高等院校开设专门的合规专业，培养适应现实发展需求的人才队伍。

(三)增强企业合规激励力度

数据合规治理的关键在于促使企业遵守特定的法律规范，既要通过制约手段施加合规压力，又要通过激励机制提供合规动力。通过激励机制促使企业从事符合法律要求的行为，有助于转变依赖事后惩戒方式治理数据违规的观念，进一步节省监管成本和提高监管效率。2021年全国“两会”期间，有多位全国人大代表提议围绕企业合规进一步加强顶层设计，对合规企业进行正面评价和政策激励，推动企业合规工作长远发展。在实践中，已经有地区进行构建合规激励机制的探索。例如，深圳市创立了政府与企业合规建设交流平台，将“建立起有效的合规管理体系”设定为税费减免、资质评定等相关扶持政策的申请条件。[10]

促进数据合规也应当顺应合规建设基本规律，从制度层面构建激励机制以减少企业合规的经营成本。首先，需要将企业合规纳入执法监管的制度体系，将企业合规作为行政处罚宽大处理的考量因素。合规监管激励的基本思路是，如果经合规评估认证达标的企业出现初次违规事项，在该企业配合调查并做出合规承诺之后，可以对其从轻或者减轻处罚，并以此来区分企业责任和员工责任，让实施违规行为的员工承担具体责任。另外，有必要在其他领域推广正在证券监管领域试点的行政和解制度，允许涉案企业提出申请，在能够重建合规计划和消除违法后果的条件下，可以终止执法调查程序。其次，尊重企业合法收集使用数据的权利，保障数据要素的正常流通。数据企业可以在商业活动中正常使用经合法程序收集的个人信息，在征得网络用户同意后可以分析利用个人数据，享有受到法律保护的权利。[11]如果企业的数据权利受到侵害，应当保障企业能够得到及时的救济。最后，加强合规文化宣传，营造数据合规的生态氛围。建立企业数据合规评定信息库，对合规建设达标并连续没有出现违规事项的企业给予政策优惠，让真正合规者得到切实的利益，给其他企业产生良好的示范作用。同时，要惩治在合规建设中违背诚实信用原则的行为，即从严处理重复违规行为和虚假合规行为，在信息库公布违规事项以方便公众查询，树立合规经营的文化导向。

网络技术的快速发展不断增强数据的重要程度，使各类数据成为重要的生产要素，而数据活动的频繁也产生了非法收集、非法泄露、非法使用等违规问题。《个人信息保护法》的出台实施会为解决这些问题提供有益方案，并且会提升人们对个人信息的重视程度。在此背景下，开展数据合规建设已经成为一种必然选择。数据合规能够帮助企业防范法律风险，实现健康持续的发展，也有助于改进监管方式，从源头规避违规现象的发生。企业应提高数据合规意识，遵守个人信息处理的基本原则，根据自身情况构建合规管理体系。数据合规法律治理则重在引导企业，以网信部门为代表的监管主体理应贯彻“宽严相济”的基本方针，积极探索构建数据合规激励机制，协调个人信息保护与促进信息流动这两个法律价值，更好地适应治理能力现代化的要求。