引言?
黨的十九屆四中全會在《中共中央關于堅持和完善中國特色社會主義制度 推進國家治理體系和治理能力現代化若干重大問題的決定》中，首次明確數據作為生產要素參與社會分配，與土地、勞動力、資本、技術并列成為生產要素。“數據”成為數字經濟時代的“新石油”，掌握數據的企業對來源廣泛的信息進行收集、整理、分析，希望盡可能地挖掘數據的價值，對重要數據掌控能力的競爭成為各國數字經濟競爭的焦點。隨著大數據技術的廣泛應用，個人隱私和公共安全問題也日益凸顯，世界各國紛紛加強數據保護立法和監管執法。中國近幾年數據保護立法節奏加快，《網絡安全法》及其配套的條例、指引、指南和標準，《數據安全法》《個人信息保護法（草案）》等法律相繼出臺。同時，地方性數據立法也緊隨其后，今年7月初，作為我國數據領域首部基礎性、綜合性的法規《深圳經濟特區數據條例》公布，進一步落實和細化已出臺的數據保護法律，規范國內數據市場競爭亂象。

在全球重視數據保護的治理環境下，我們有必要思考，作為整合大量數據資源的企業，如何通過搭建數據合規體系，把握好數據合規和數據開發之間的平衡點，實現在合規基礎上最大程度釋放數據價值？

一企業面臨數據合規的挑戰
（一）域外數據保護監管嚴格
1. 全球多個國家加強數據保護立法
隨著越來越多的產品和服務線上化，數據保護以及網絡安全的重要性日益凸顯，現今全球已經有130多個國家制定了數據保護相關法律。例如，美國的《國家安全與個人數據保護法》（National Security and Personal Data Protection Act of 2019）《加州消費者保護法》（California Consumer Protection Act 2020），歐洲的《通用數據保護條例》（The EU General Data Protection Regulation，GDPR），俄羅斯的《個人數據法》（Personal Data Act 2015），加拿大的《數字憲章》（Digital Charter 2019），印度的《個人數據保護法》（Personal Data Protection Bill 2019），澳大利亞的《消費者數據權利法案》（Consumer Data Right 2019）等。

縱觀域外多國的數據保護立法發現，在個人數據及隱私保護領域，對于個人信息的保護重點是“隱私保護”。以美國為例，美國的數據隱私保護主要通過政府監管和隱私訴訟的方式來實現，在聯邦層面和州層面均有相關的立法。例如，在聯邦政府監管層面，有針對消費者保護的《聯邦貿易委員會法》（The Federal Trade Commission Act, FTCA），針對醫療記錄的《健康保險隱私及責任法案》（Health Insurance Portability and Accountability Act, HIPAA），針對兒童的《兒童線上隱私保護法》（Children's Online Privacy Protection Act, COPPA）等法案，在州層面，有保護消費者個人信息的《加州消費者保護法》（California Consumer Protection Act, CCPA），伊利諾亞州的《生物識別信息隱私法案》（Biometric Information Privacy Act, BIPA）等法律。美國聯邦政府通過隱私權保護的方式保護個人數據，主要規制政府機關涉及利用個人數據的領域，在數據的獲取、發布和隱私等與數據相關的政策制定了一整套復雜且不斷變化的法律、法規和備忘錄。[2]這對企業來說，遵循自身的隱私政策是其合規的重要內容。

同時，歐盟的《通用數據保護條例》（以下簡稱GDPR）于2018年5月25日生效，對于個人數據的保護標準非常之高，突出表現在凡是處理歐盟居民個人數據的企業，無論其本身是否設于歐盟境內，一律必須遵守這項規范；并且，違規罰金也相當嚴苛。面對GDPR，企業通常有三種選擇，一是承擔罰款，二是退出歐洲市場，三是做到合規。對于第一種選擇，企業會被處以高達4%的全球營業額或2000萬歐元罰款，且以其中金額較高者為準，違法成本非常高，因此幾乎不存在愿意承擔如此巨額罰款的企業。第二種路徑似乎也不可行，歐洲有5億多用戶，市場規模巨大，放棄歐洲對于大型跨國企業來說，顯然不是一個明智的選擇。這樣一來，僅剩下第三種選擇即努力做到合規，這會是絕大部分企業的選擇。[3]

不難看出，眾多嚴格的數據保護法律法規為企業的經營帶來了一定的挑戰，企業需要在很多方面做出改進，運營成本可能會增加，甚至會影響其收益。但是，數據保護立法也是企業加強數據保護的一個良好契機，它倒逼企業審視自己的隱私保護政策和數據處理方式，使企業的價值得到提升，創造競爭優勢，同時也使企業的經營能夠行穩致遠。

2.全球數據保護監管執法活躍
自2018年5月GDPR出臺以來，美國、加拿大、歐盟（西班牙、法國、意大利等國）等國數據執法活動最為活躍。以歐盟監管為例，歐洲數據保護當局已開出了與GDPR有關的300多張罰單，罰款總額近3億歐元[4]，罰款案例中不乏像谷歌、英國航空、萬豪等世界知名企業。除罰款外，業務強制關停、相關責任人被監禁等處罰手段對企業而言也是重大打擊。

分析眾多數據保護監管的執法案例發現，數據保護監管的罰款原因主要集中于以下兩點：第一，未采取充分的技術和管理措施確保信息安全，如數據泄露。例如，英國航空公司因數據泄露而被英國數據保護機構罰款2000萬英鎊。英國航空公司因未能檢測到公司的網絡安全系統受攻擊，導致公司掌握的429, 612名客戶和員工的個人數據遭泄露，泄露的信息包括客戶的姓名、地址、支付卡號和安全碼，以及員工和管理員賬戶的用戶名和密碼等信息。[5]第二，違反一般的數據處理原則。非法存儲或使用個人身份信息和不遵守數據主體訪問請求，是導致企業被數據監管機構罰款的另一個主要原因。例如，H&M公司因非法監控員工的行為，違反了一般的數據處理原則，被數據保護監管機構罰款3500萬歐元。德國數據保護監管機構通過調查發現，H&M公司存在大范圍收集和存儲員工家庭情況、宗教信仰、假期、醫療情況和疾病診斷記錄等個人信息的行為，并將這些信息用于評估工作績效和作為雇傭決定的參考。[6]

3.全球用戶數據保護意識提高
《2020安永全球消費者隱私保護調查報告》結果顯示，與組織共享個人數據時，63%的消費者最看重的因素是收集和存儲的安全性。如果組織無法提供以上這些保證，消費者將選擇其他組織進行數據共享。大多數消費者表示，他們將繼續依靠已經有過接觸的組織，以安全透明的方式收集、處理和管理其個人數據。另外，54%的消費者認為，組織未經其本人明確同意就與第三方共享消費者的數據的行為，會降低消費者對組織收集、存儲和使用其數據的信任程度。[7]

在信息社會，科技與數據的結合，在便利和豐富了個人的日常生活的同時，也帶來各種數據隱私安全問題。我們使用的社交網絡、購物平臺、酒店入住、出行訂票等平臺，一般都能獲取到涉及包括姓名、電話號碼、住址、瀏覽習慣、消費傾向等基本的個人信息，還有“人臉識別”“指紋驗證”等生物識別技術也在金融、醫療、交通、支付等場景大范圍使用，這些數據一旦泄露或被惡意出售，則相關個人可能會因此收到針對性的電話騷擾或詐騙行為。例如，曾經引起社會高度關注的“徐玉玉案”[8]便是一起典型的因個人信息被犯罪分子非法理利用而發生的電信詐騙案件。另外，企業掌握大量員工和客戶的數據，一旦泄露，企業可能因此導致資產損失、損害商業形象等難以挽回的后果。例如，2020年10月份，電商購物平臺唯品會因用戶數據泄露問題，致使其用戶被騙數萬元。這種事件的發生很大程度上影響了唯品會的企業形象，也減損了消費者對該企業的信任度。正是由于現代信息社會出現越來越多的數據安全問題，且這些問題都涉及到企業與個人的切身利益，因此，個人信息安全逐漸引起全球用戶的重視。

（二）我國數據保護力度加強
1.新法規、指引、標準密集出臺
自GDPR生效以來，海外相繼出臺或修訂數據合規相關立法，數據合規立法已成為全球合規監管的主流趨勢。[9]我國也不例外，自2017年實施《網絡安全法》以來，數據保護的立法節奏不斷加快。一方面，《民法典》人格權編有一個專章對隱私權和個人信息保護進行了規定，《數據安全法》《個人信息保護法（草案）》《數據安全管理辦法（征求意見稿）》《深圳經濟特區數據條例》等數據安全及隱私保護專門立法相繼緊密出臺；另一方面，《網絡安全法》管理體系逐漸形成，《網絡關鍵設備和網絡安全專用產品目錄（第一批）》《網絡安全審查辦法》《網絡安全漏洞管理規定（征求意見稿）》《網絡關鍵設備安全檢測實施辦法（征求意見稿）》《個人信息出境安全評估辦法（征求意見稿）》《關鍵信息基礎設施安全保護條例（征求意見稿）》，等級保護2.0等各類相關國家標準均相繼制定發布，不斷完善我國網絡安全的法律監管體系。

2.執法和檢查日益頻繁
網信辦、工信部、公安部、市場監管總局關于開展APP違法違規收集使用個人信息專項治理；市場監管部門開展打擊侵害消費者個人信息違法行為專項執法行動。在數據保護的執法行動中，監管部門重點打擊以下三類違規行為：一是未經消費者同意，收集、使用消費者個人信息違法行為；二是泄露、出售或者非法向他人提供所收集的消費者個人信息違法行為；三是未經消費者同意或者請求，或者消費者明確表示拒絕的，向其發送商業信息違法行為。在數據安全監管的日常執法活動中，眾多APP因違法收集或使用個人信息而被行政部門處罰。例如，2021年1月，廣東省通信管理局通報215款存在侵害用戶權益和安全隱患問題的APP；2021年5月，48款網絡借貸類APP因違法違規收集使用個人信息情況被通報。

企業數據合規工作不到位，將對企業的發展乃至生存產生重大的安全隱患。一方面，企業數據不合規將直接影響企業的發展。例如，2019年墨跡天氣因數據不合規問題致使其自身IPO被否。另一方面，企業數據不合規也可能會面臨行政乃至刑事處罰。例如，今年7月初，正值“滴滴出行”在美國上市之際，國家網信辦依據《國家安全法》《網絡安全法》對“滴滴出行”實施網絡安全審查。審查結果認為，滴滴出行APP存在嚴重違法違規收集使用個人信息的問題，并通知應用商店下架滴滴出行APP。遭遇嚴厲審查的滴滴企業不僅因此股價大跌，同時核心業務也在短期內無法正常開展，企業經營受到了重大影響。而在之后的7月16日，國家網信辦會同公安部、國家安全部、自然資源部、交通運輸部、稅務總局、市場監督總局等部門聯合進駐滴滴出行，開展網絡安全審查。這是自2020年4月《網絡安全審查辦法》實施以來的首次公開審查，同時也標志著該《辦法》正式進入實操階段。該事項進一步敲響了企業數據安全合規的警鐘。[10]

二我國數據合規法律體系概況
（一）數據保護法律框架日趨完善
《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》提出，建立數據資源產權、交易流通、跨境傳輸和安全保護等基礎制度和標準規范，推動數據資源開發利用。保障國家數據安全，加強個人信息保護。2020年底召開的中央經濟工作會議也強調，要依法規范發展，健全數字規則。

縱覽我國數據保護法律框架，我國在數據保護方面秉持著個人信息保護和重要數據保護兩手抓的立法思路。我國數據保護法律框架呈“兩主線、多維度”的立法特點，以“個人信息保護”和“重要數據保護”為兩大主線，針對這兩主線的法律規范設計不僅覆蓋基礎性法律規范如《網絡安全法》《數據安全法》《個人信息保護法》《刑法》和《民法典》，還涵蓋中央和地方性法規及規章、司法解釋和規范性文件。另外，需注意的是，各法律規范之間的設計和適用并非完全割裂，而是可以相互借鑒和相互聯系的。例如，對個人信息的立法保護，不僅規定于《個人信息保護法（草案）》，還規定在《刑法》《民法典》《網絡安全法》《未成年人保護法》等法律當中；對重要數據的保護，不僅在《網絡安全法》《數據安全法》中對重要數據發布、共享、交易、跨境傳輸等作出直接規定，同時，在《密碼法》《檔案法》等法律法規中也涉及到特定產品或服務的安全管理、數據出境等問題。由此可見，我國的數據保護法律框架在多個維度上不斷完善對個人信息和重要數據的法律保障。

目前，我國的數據治理仍處于起步階段，數據市場治理法治化程度有較大的提高空間，對數據要素權益、數據交易的分級分類制度、數據市場治理等方面仍需設計相應的數據治理機制。

（二）多頭監管的數據保護執法特點
1.多頭監管。我國當前的數據市場監管呈現多頭監管的特色，一個領域的數據市場治理問題往往涉及多個數據市場監管部門。例如，在金融數據監管領域，網信辦、工信部、公安部、國家安全部、市場監督管理局、行業監管機關（例如，中國人民銀行、中國銀行保險監督管理委員會）等均有權對金融領域的數據市場進行監管執法。多頭監管在執法效果上可以形成較大的威懾力，對相關涉案企業進行數據合規整改產生強有力的督促。但另一方面，多頭監管也反映出當前數據市場監管存在協調不足的問題，數據市場監管職能分散，各部門監管邊界不清，多頭監管和監管空白并存，容易產生重復監管，難以形成數據市場監管合力。[2]

2.專項行動。當前我國數據市場監管執法主要以專項行動為主，多個監管部門在短期內聯合執法，對某一領域的數據不合規問題進行集中治理。例如，2019年1月至12月，網信辦、工信部、公安部、市場監管總局在全國范圍內組織開展APP違法違規收集使用個人信息專項治理；市場監管部門等八部門聯合開展2019網絡市場監管專項行動（網劍行動），嚴查未經同意收集個人信息行為；公安部組織部署全國公安機關開展“凈網2019”專項行動、“凈網2020”專項行動等。專項行動為主的“運動式”執法方式在短期內能解決數據市場監管面臨的急迫問題，但具有被動性和功利性弱點。[3]由于我國目前數據保護法律體系尚未形成體系性的法律與制度框架，數據市場監管體系有較大的完善空間，這使得當前各監管部門的職責邊界模糊，數據市場監管執法較難劃分出清晰合理的分工，聯合專項治理的監管執法方式是在此短期形勢下的優選方案。

2021年7月16日，國家七部門進駐滴滴出行，開展網絡安全審查，表明我國數據市場監管領域的多頭監管模式依然強勢，也是目前整治數據市場亂象的有力手段。接下來，隨著我國數據保護監管執法體系的完善，各部門監管制度規則的細化，相信數據市場監管職權分工將會更加合理明晰，監管方式也將會朝著自主化、常態化的方向發展。

三企業數據合規監管要點
（一）數據來源的合法性
在信息時代，數據是新的石油，它可以為新時代創造很多前所未有的機會，但這一“新石油”卻不能隨意開采，它的獲取來源和途徑需要受到法律的監管。數據來源的合法性是企業通過數據創造價值的前提與基礎。當前眾多企業的數據利用越來越需要來自多渠道的大數據支撐，數據來源合法是企業能夠合規使用所獲取到的數據的前提，也是監管機構關注的重點。在實踐中，監管部門對各企業在業務中所使用的數據來源合法性的監管力度也不斷加大。

考察企業收集數據來源的合法性可以從以下兩個角度把握：

1.企業自主收集的數據。企業在收集個人信息時，應遵守合法、正當及必要性原則，并獲取信息主體的同意，具體要求包括：①僅收集與業務直接相關的個人信息，避免收集與業務無關的信息。一些移動互聯網應用程序（APP）通過“一攬子協議”將收集個人數據與其功能或服務進行捆綁，用戶不同意全面授權，就無法使用該APP。這嚴重損害了用戶作為個人數據主體的決定權。[4]針對此現象，《深圳經濟特區數據條例》確立了以“告知—同意”為前提的個人數據處理規則[5]，規范企業收集個人信息的行為。②如果企業收集的個人信息為敏感個人信息，例如金融機構往往需要收集個人生物特征、金融賬戶等信息，則該企業還需要獲取客戶對于敏感個人信息收集與使用的明示同意；③在收集個人信息前，需制定《隱私政策》，并在《隱私政策》中具體說明個人信息的使用場景，采取技術措施（例如彈窗等）引導個人信息主體查閱隱私政策，獲得個人信息主體明示同意后開展有關個人信息的收集活動。例如，在受到政府審查之前，滴滴出行在《個人信息保護及隱私政策》中強調，滴滴出行“保留對個人信息的收集、保存、使用、共享的權利”，其中所指的“個人信息”是“身份證號碼、面部識別特征、錄音錄像、銀行卡號、IP地址”。這些信息的收集超出正常使用滴滴出行平臺核心功能之所必需，違反了《信息安全技術個人信息安全規范》規定的個人信息控制者收集個人信息時需要遵循的“最小必要原則”。[6]

2.來源于第三方的數據。《深圳經濟特區數據條例》明確規定，市場主體不得使用非法手段獲取其他市場主體數據，不得非法收集其他市場主體數據提供替代性產品或者服務，不得通過數據分析無正當理由對交易條件相同的交易相對人實施差別待遇。[7]因此，當企業收集的數據來自于第三方時，需在從第三方接收此類數據前，核實數據來源的合法性，包括：①此類數據在收集時，第三方是否獲得了客戶有關其個人信息收集與處理的同意，該同意應覆蓋個人信息主體到企業的全部傳輸鏈接。個人信息主體同意的內容覆蓋企業利用該數據的各場景；②建議第三方提供相應的證明文件，確保企業收集到的個人信息來源的可追溯性；③如果需要從合作伙伴處獲取個人信息，應通過盡職調查等適當方式確認合作伙伴的數據來源合法合規、真實有效，對外提供數據不違反法律法規要求，并已獲得信息主體本人的明確授權。

（二）內部數據安全管理
企業內部數據治理水平應與企業對數據賦能的推進相適應，若內部的數據安全制度無法完善，則數據安全無法保障，數據無法在制度的保障下發揮價值。因此，在確定了數據來源的合法性后，企業還需要對企業內部的數據安全進行管理，制定覆蓋數據生命全周期的數據安全管理制度。

企業進行內部數據安全管理應關注以下要點：一，具備定位其擁有的數據的能力。要想處理并管理這些數據，企業需要了解數據的存儲位置、訪問者以及已經存儲了多長時間。二，具備安全高效檢索數據的能力。《個人信息保護法（草案）》規定，個人有權申請查詢自己的個人信息，并要求更正、補充，甚至刪除數據。[8]因此要求企業具備安全高效的數據檢索的能力，確保及時響應這些要求。三，最小化數據存儲。由于《個人信息保護法（草案）》規定個人信息的保存期限應當為實現處理目的所必要的最短時間[9]。因此，企業需要根據《個人信息保護法（草案）》的要求，建立數據存儲最小化系統，防范數據泄露風險。四，最大程度保護數據的安全?！秱€人信息保護法（草案）》要求保護個人信息免遭泄露、竊取、篡改或刪除。審查訪問控制、加密、化名與技術安全措施，以保護由企業控制的個人信息。建立透明的數據保護和安全流程，確保符合審計和合規要求。[10]五，改變企業處理、存儲和保護用戶個人信息的方式。建立一套隱私影響評估流程，對數據保護及個人隱私權影響作出正式分析，并將其引入任何新的業務流程或系統。[11]

（三）數據的使用與處理
數據的使用與處理包括數據的收集、存儲、使用、加工、傳輸、提供、公開等活動。數據的使用與處理應采取合法、正當的方式，遵循誠信原則進行。以企業進行數據共享為例，近期受審查的滴滴出行APP，其《個人信息保護及隱私政策》的“個人信息的共享、轉讓、公開披露”一節顯示，滴滴出行將會在特定情況下共享用戶信息，共享對象主要包括廣告分析服務商、供應商和其他合作方等。而《個人信息保護及隱私政策》的規定要求，企業對用戶數據進行共享時應當告知用戶可能產生的后果并且征求用戶同意；進一步，若共享敏感信息，還應當告知信息接收主體的身份和數據安全能力，并且征求個人信息主體的明示同意。可見，滴滴出行這種籠統式要求用戶同意的方法顯然難以契合法規政策的要求。[12]

在不同的業務領域，有著相應的法律法規或監管政策對企業的數據使用與處理進行規定，對于企業而言，其合規要點也相應地因行業監管要求的不同而有相應的特殊性。例如，在金融領域，《個人金融信息保護技術規范》對金融數據按敏感程度進行分類，將個人金融信息分成C3、C2、C1管理。被歸屬于C3的金融信息是最高級別保護的信息，用于用戶鑒別的個人生物識別信息則屬于此類信息。對此，金融機構在數據的使用與處理方面，則應注意不得將C3以及C2類別信息中的用戶鑒別輔助信息對外共享或委托給第三方機構處理、委托第三方處理個人金融信息時，不得超出銀行客戶授權同意的范圍、在外包活動中建立嚴格的客戶信息保密制度等合規要點。

企業應建立系統性的數據安全保障機制，同時在企業內部應對具體保障措施的內容、針對的數據對象、負責的人員等予以明確，并全面記載安全措施的實施情況，以確保企業數據的使用與處理合法合規。若監管機構提出檢查，企業需要能夠拿出相應的記錄來進行說明，或者在發生安全事故時，用于證實已盡到必要的安全保障義務。[13]

四企業數據合規體系建設
（一）建立有效數據合規體系的原因與價值
企業建立有效數據合規體系的原因與價值主要有以下六點：第一，是法律規定的合規義務。我國《網絡安全法》《數據安全法》和《個人信息保護法（草案）》，以及GDPR等眾多境外數據保護法規均明確要求企業建立數據合規制度。第二，提高企業合規效率。有效的數據合規體系可以提高企業內部的合規效率，降低合規成本。第三，降低風險和損失。數據不合規可能會為企業帶來重大的經濟和聲譽損失，包括政府罰金、訴訟賠償、用戶流失等。第四，保護企業聲譽。數據不合規引發的媒體負面報道將會影響公司商譽。第五，應對監管執法和訴訟。企業的數據合規體系可以助力企業有效應對監管執法和訴訟抗辯，以證明企業已充分盡到數據保護的義務。第六，提升用戶信任度和市場競爭力。用戶越來越重視隱私和個人信息的保護，企業的數據合規程度將成為企業重要競爭力的體現。

（二）合規體系搭建的考量因素
企業數據合規的關鍵在于合規體系之搭建。而一個行之有效的合規體系搭建，離不開合理的制度和程序、高層參與、風險評估、盡職調查、培訓和溝通、監督和審核等因素。以埃森哲為例，埃森哲全球擁有53.7萬名員工，6000家客戶（分布在120個國家/地區），185家合作伙伴，在200座城市開設有辦事處和業務（分布在50個國家/地區）。[1]作為全球最大的上市咨詢公司，埃森哲的客戶涵蓋世界500強跨國企業、政府機構和軍隊。值得注意的是，作為一家服務全球的跨國企業，埃森哲在中國也具有相當的規模。埃森哲在大中華區有1.8萬名員工，分布于北京、上海、廣州、深圳、大連、成都、杭州、香港和臺北等地，服務的客戶包括世界500強企業、國企和政府等。因此，埃森哲的數據是全球流通的，它每時每刻都在處理大量的敏感數據和重要數據，并且存儲和處理的數據需要同時符合中國、歐盟、美國的規定。面對龐大的數據體量和流量，埃森哲通過搭建起一套強大的數據合規體系，為企業的數據安全保駕護航。

在我擔任埃森哲亞太區區域法律服務董事總經理兼大中華區法律部總經理期間，我作為公司網絡安全工作小組組長，負責網絡安全以及歐盟GDPR的法律風險分析和合規評估，評估包括中國、美國、歐盟的法律，支持業務團隊提供網絡安全服務給眾多財富500強跨國企業。

結合埃森哲的成功經驗，建議企業搭建數據合規體系考慮以下四點：

第一，企業應制定合理的制度和程序，其作為企業合規體系的核心，是企業所有員工履行職責的基本要求。主要分為以下三點：

（1）企業行為準則，這是企業經營管理和文化建設的綱領性文件，包括企業愿景、使命、核心價值觀、合規方針、社會責任等方面。埃森哲在全球層面制定了企業的商業道德規范，這個規范是“埃森哲之道”，它建立在埃森哲的核心價值觀（創造客戶價值、全球化公司、尊重個人、最優人才、恪守誠信和傳承卓越）基礎上，規定了更詳細的預期行為，并推動企業的合規文化、合乎道德的行為和責任制度。[2]埃森哲非常重視員工和客戶的數據隱私，其將數據隱私保護列入到公司的最高綱領性文件中，為公司收集和處理數據的行為提供道德規范指引。

（2）企業數據合規管理制度，這是企業合規部門進行數據合規管理的程序性規章制度，包括數據合規組織制度、數據合規風險管理流程、合規審查流程、違規舉報、調查與處置流程、合規報告程序等方面。[3]埃森哲的企業數據合規管理制度由域界專家（Subject-matter expert）組建的專業團隊制定，并結合強大的信息安全管理系統，包括一系列數據合規工具，來監督和執行企業數據管理，最大程度實現企業數據自動化合規管理。具體而言，埃森哲將數據管理分為客戶數據、職能部門的數據、第三方管理的數據、涉及個人的數據權利、應急事件的機制（例如，對網絡攻擊，數據竊取，丟失的員工電腦中存儲的數據等情況的處理）五大模塊，通過先進的數據合規工具，在數據隱私支持、風險評估、盡職調查等方面輔助企業數據合規。例如，數據合規工具“ONE TRUST”能夠在一個綜合的平臺上，自動進行數據隱私影響評估，標記潛在風險和幫助降低風險；“HIPEROS”能夠進行第三方供應商風險管理，包括供應商風險評估和盡職調查。

（3）職能部門管理規章與業務合規流程。一方面，在數據合規領域，企業應重點關注技術、管理、內控等部門合規規范的執行與遵守。另一方面，企業數據合規涉及個人信息保護和重要數據保護等合規規范，企業合規部門需要與業務部門結合企業使用和處理數據的實際情況，合作制定和修改相關的業務合規流程，實現法律監管與業務發展之間的平衡。

第二，企業合規運作應有高層的參與，形成較為成熟的合規組織體系。[4]高層參與能夠使企業形成上下連貫的合規組織結構。以埃森哲經驗為例，（1）董事會負責設定道德與合規計劃的范圍和標準，委托審計委員會負責項目監督工作，進行年度合規審查；（2）首席合規官有義務向首席執行官報告，首席執行官是埃森哲最高層領導組成的全球管理委員會的成員；（3）首席合規官在必要時，可直接向董事會和審計委員會報告合規事宜。這樣的高層參與方式能夠確保企業管理層及時識別合規風險并采取應對措施。

第三，企業應建立合規的防范體系，包括風險評估、盡職調查以及培訓與溝通。[5]防范體系針對可能存在的數據合規風險采取預防性措施，具體而言：（1）風險評估，即定期或不定期地對企業活動中存在的合規風險進行識別與評估。例如，埃森哲實施三年一周期的持續風險評估模式，包括第一年開展全球風險評估，第二年對整體風險評估計劃進行中期強化，第三年聘請專業的外部律師團隊進行風險評估審查。（2）盡職調查，即合規部門針對已存在的數據安全風險或數據隱私風險進行由內到外的調查和研究，內部針對職能部門，外部針對客戶和產品，形成合規風險報告，并研究制定和實施降低風險的措施。（3）培訓與溝通，企業需要定期組織培訓和溝通，一方面能夠確保員工了解最新的數據保護法律法規、監管規定、企業內部規章制度等方面內容；另一方面也能夠保證企業高層管理者與其它層級員工維持一種穩定的溝通，使企業高層管理者的數據合規理念與態度能夠順暢傳達至企業各層級員工，形成合規文化。

第四，企業應建立數據合規監控體系，包括監督與審核。[6]監督是指企業的高層管理者或員工在進行業務活動時，都應在其職責范圍內進行可持續的管理與監督，檢查每一項業務活動是否存在違規行為。審核是指企業的合規部門與審計部門相互獨立地對企業活動中的違規行為進行審查，確保企業的合規體系在全球各地得到了良好的貫徹執行。

（三）搭建合適的合規組織架構
合理規范的合規組織架構是企業合規體系建設的重點內容，是保證企業合規體系良好運轉的重要保障，也是企業合規體系順利落地的必要前提。合理規范的合規組織架構能夠協調企業各層級的職權分工，優化資源配置，強化各管理部門和職能部門的合規職責，保證企業合規體系功能的實現。

目前，國資委的《中央企業合規管理指引（試行）》、發改委的《企業境外經營合規管理指引》，以及國家質檢總局和標準委聯合發布的《合規管理體系指南（GB/T 35770-2017）》（翻譯于ISO 19600:2014 ）均分別對企業的合規組織架構設計提供了指引。結合上述指引和合規實操經驗，一個合理規范的合規組織架構需要由以下四個層級構成：決策層（董事會下設的風險管理委員會）、管理層（經理層、合規負責人）、執行層（風險管理部，包括風控、合規、審計）和各業務部門。在組織架構的運作上，各層級之間形成縱向逐級匯報的工作鏈，即從各業務部門的合規專員→風險管理部→高級管理層→董事會下設的風險管理委員會逐級匯報日常合規工作。反之，董事會下設的風險管理委員會對高級管理層進行監管，高級管理層監督與協助風險管理部，風險管理部與各業務部門相互協作，為各業務部門保駕護航。需注意的是，對于合規事項，風險管理部有義務直接向董事會下設的風險管理委員會進行匯報，該風險管理委員會有權對合規事項進行直接的監控管理。當然，整個企業的合規組織架構都要收受到外部監察部門的監管，積極配合協作紀檢監察的監督工作。

（四）數據保護合規制度搭建步驟
企業數據保護合規制度的搭建大致可以分為以下三個階段：
第一階段，數據核查。從信息安全角度進行的數據核查，其常規做法是使用軟件來“感知”一個系統內的數據種類，并給予這些數據的敏感程度對該系統提出整體的安全方案。例如，埃森哲通過SERVICE NOW、ONE TRUST、HIPEROS等數據合規工具，在跨境數據傳輸、合同審查、產品服務、隱私監管審查、盡職調查等方面輔助數據核查。數據核查不僅能夠了解企業個人信息收集和處理的現狀，同時也是企業了解現狀、識別風險和建立數據合規體系的重要基礎。

第二階段，進行風險識別和制定合規方案。在識別現狀的基礎上，結合適用法律法規規定的合規義務進行差距分析和風險識別。就企業的IT系統、用戶界面、用戶注冊流程以及在個人信息收集、使用以及保護的透明度等方面，進行整體合規方案規劃。

第三階段，數據合規規則建立和落地。結合企業實際情況建立數據合規規則，完善相關的制度和流程。開展員工意識培訓，使員工認識、了解數據合規要求以及如何在業務流程中落實制度要求。在數據保護合規制度搭建起來后，企業需要持續追蹤數據保護合規制度實施情況，改善企業數據合規機制，確保企業的數據合規制度持續為企業保駕護航。

（五）數據合規體系落地

搭建起來的企業數據合規體系如何落實到具體的業務流程中？在此，我們以單項產品上線流程為例，簡要描述一個數據合規體系的落地過程。首先，在產品醞釀階段，企業可以邀請隱私保護專家列席產品開發的研討，專家提供個人信息保護的合規建議，提示合規風險與解決方案，此過程應通過會議記錄或郵件的形式留痕。其次，在初步產品設計階段，產品設計團隊針對使用的數據種類建立控制以及架構來處理第一稿的產品設計，第一稿的產品設計需體現上一階段提出的隱私及個人信息保護風險的解決方案。再次，產品設計團隊將完成后的產品設計進行個人信息安全影響評估（Data Protection Impact Assessment, DPIA）。滴滴出行受審查一事，也強有力地證明了企業對于與數據相關的產品進行個人信息安全評估的必要性和重要性。埃森哲所有與數據相關的新產品和新服務，從研發到上線，都需要數據安全和個人隱私專家提前介入，從法律、商業、技術三個維度對個人信息安全進行綜合評估，并形成個人信息安全影響評估報告，防范數據安全風險，防止企業日后因數據安全不合規而遭受重大損失，影響企業發展。最后，最終產品能夠對先前查出的隱私和個人信息保護風險進行處理，以及明確相應的技術手段和控制，通過最終產品展示會議（包含法務、風控、合規、安全等部門）以及論證加以證明。

五結語
在大數據時代背景下，數據資源已成為國力較量、企業競爭優勢的重要衡量標準。中國境內外對數據保護的立法和執法力度不斷加強，企業數據合規的重要性也在嚴格的國際監管環境下日益凸顯，企業有效開發數據資源、獲取數據價值的前提就是數據合規。對企業而言，前期的數據合規體系建設投入，是企業平衡合規經營與數據資源開發的重要前提。滴滴出行受政府審查的事件給國內眾多互聯網企業敲了一次警鐘，前期數據合規工作的缺失終將導致企業后期付出巨大的代價彌補，同時企業也將面臨諸多不確定性因素。因此，完善的企業數據合規體系能夠降低企業運營中的合規風險，幫助企業有效處理和及時應對可能對企業造成重大損失的風險事件，助力企業業務的穩步增長和企業經營的行穩致遠。在數據科技發達的今天，無論是傳統業務的企業還是新興的高新技術企業，都應關注企業的數據保護，搭建一個與自身業務性質和經營管理相適應的合規體系，為企業的發展保駕護航。