李昊翔，毛逸瀟

（中國政法大學(xué)，北京102249 ）

黨的二十大報告提出要“強化數(shù)據(jù)安全保障體系建設(shè)”。邁入數(shù)字社會后，數(shù)據(jù)不再純粹是技術(shù)代名詞，而是成為人們?nèi)粘Ｉ畈豢苫蛉钡慕M成部分，更是被確認為數(shù)字經(jīng)濟時代最關(guān)鍵的新型生產(chǎn)要素。然而，承載多元利益的數(shù)據(jù)正面臨嚴重的法益侵害問題，日益嚴峻的數(shù)據(jù)犯罪態(tài)勢給數(shù)據(jù)法律秩序和數(shù)字社會治理帶來重大挑戰(zhàn)。維系數(shù)字社會的健康可持續(xù)發(fā)展離不開對數(shù)據(jù)犯罪的有效治理，以平臺企業(yè)為代表的數(shù)據(jù)處理者自覺建立數(shù)據(jù)安全合規(guī)體系是完善內(nèi)部治理結(jié)構(gòu)、預(yù)防數(shù)據(jù)犯罪、防范和化解自身刑事風(fēng)險的重要舉措。2022 年6月22 日，中央全面深化改革委員會第二十六次會議審議通過的《中共中央、國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》提出，“要建立合規(guī)高效的數(shù)據(jù)要素流通和交易制度，完善數(shù)據(jù)全流程合規(guī)和監(jiān)管規(guī)則體系”。企業(yè)合規(guī)作為一種公司治理方式，本身并不會自動發(fā)揮作用，唯有建立外部激勵機制，這種公司治理方式才會得到激活①參見郭傳凱：《互聯(lián)網(wǎng)平臺企業(yè)反壟斷合規(guī)制度的建構(gòu)》，載《法學(xué)論壇》2023 年第3 期，第1 頁。。確立激勵機制是推動數(shù)據(jù)安全合規(guī)體系建設(shè)的關(guān)鍵環(huán)節(jié)，只有引入數(shù)據(jù)安全合規(guī)激勵機制才能為平臺企業(yè)建設(shè)數(shù)據(jù)安全合規(guī)體系提供內(nèi)在動力和方向指引，才能有利于激發(fā)平臺企業(yè)投入成本加強數(shù)據(jù)安全保障的積極性，最終實現(xiàn)保障個人數(shù)據(jù)合理使用的目的。2022 年8 月10 日，最高人民檢察院發(fā)布首例數(shù)據(jù)合規(guī)不起訴的典型案例，標志著數(shù)據(jù)安全合規(guī)激勵機制在司法領(lǐng)域也進入試點探索階段，亟需夯實理論依據(jù)、凝練實踐經(jīng)驗，推進數(shù)據(jù)安全合規(guī)改革向縱深發(fā)展②參見張昊：《能動履職提升企業(yè)合規(guī)改革工作質(zhì)效》，載《法治日報》2022 年8 月11 日，第3 版。。

如何構(gòu)建規(guī)范化的企業(yè)合規(guī)機制，如何充分發(fā)揮其保障企業(yè)合理使用個人數(shù)據(jù)的作用成了構(gòu)建我國數(shù)據(jù)安全保障體系的時代問題。本文將“個人數(shù)據(jù)安全”與“企業(yè)合規(guī)”這兩個重點前沿問題有機結(jié)合、深度貫通起來，在個人數(shù)據(jù)的保護措施中引入了企業(yè)合規(guī)的新模式，既是完善數(shù)據(jù)安全保障體系、推動數(shù)據(jù)治理現(xiàn)代化的新思路，也是數(shù)字時代企業(yè)專項合規(guī)建設(shè)的重要組成部分。

一、數(shù)字經(jīng)濟時代個人數(shù)據(jù)合理使用現(xiàn)狀的類型化考察

通過實證檢索北大法寶和中國裁判文書網(wǎng)等已公開的司法案例，并實地調(diào)研部分企業(yè)的《隱私條款》和合規(guī)建設(shè)情況，按照企業(yè)建立合規(guī)機制保障個人數(shù)據(jù)安全的不同運行方式，可以將我國當(dāng)前數(shù)據(jù)合規(guī)管理模式分為三種，分別為大型網(wǎng)絡(luò)平臺個人數(shù)據(jù)合理使用的合規(guī)管理模式、國有企業(yè)數(shù)字化轉(zhuǎn)型過程中個人數(shù)據(jù)合理使用的合規(guī)管理模式和中小微企業(yè)個人數(shù)據(jù)合理使用的合規(guī)管理模式。

（一）大型企業(yè)的數(shù)據(jù)安全合規(guī)機制

大型企業(yè)管理的大型網(wǎng)絡(luò)平臺承載較大的用戶體量，平臺收集、使用和流轉(zhuǎn)等處理個人數(shù)據(jù)的行為較為頻繁，個人數(shù)據(jù)被不合理使用的案發(fā)率較高，但由于大型網(wǎng)絡(luò)平臺擁有較為卓越的法律顧問單位，合規(guī)處理個人數(shù)據(jù)的意識較高，企業(yè)內(nèi)部綜合治理能力、治理水平較為完善。例如，騰訊集團早在2013 年就已經(jīng)建立了專門的數(shù)據(jù)隱私合規(guī)團隊，是國內(nèi)最早進行個人數(shù)據(jù)保護和數(shù)據(jù)合規(guī)探索的互聯(lián)網(wǎng)企業(yè)之一。

騰訊集團的數(shù)據(jù)安全合規(guī)機制有以下特點：第一，集團高層高度重視。早在合規(guī)理念還未在我國推廣之時，集團高層已經(jīng)開始謀劃內(nèi)部合規(guī)建設(shè)，設(shè)立專門負責(zé)合規(guī)建設(shè)的部門。第二，內(nèi)部管理較為完善。公司內(nèi)部開展多輪合規(guī)培訓(xùn)，覆蓋公司的管理層、普通員工和新員工，提升全體員工的合規(guī)意識。第三，數(shù)據(jù)安全保障技術(shù)高。騰訊建立了自行研制的“靈犀隱私平臺”，對數(shù)據(jù)進行分類分級，在共享、存儲、出境等多方面建設(shè)配套的系統(tǒng)。第四，積極公布數(shù)據(jù)合規(guī)建設(shè)成果。2018 年騰訊集團發(fā)布了首個互聯(lián)網(wǎng)企業(yè)的隱私保護白皮書——《騰訊隱私保護白皮書》，向用戶集中展示微信、QQ 的隱私保護功能。

大型企業(yè)的用戶數(shù)據(jù)龐大，公司體量大而形成的與用戶不對等狀態(tài)較為嚴重，易造成個人數(shù)據(jù)泄露等重大數(shù)據(jù)安全事件③參見《cookie 技術(shù)引發(fā)數(shù)據(jù)隱私問題，Meta 將支付9000 萬美元和解訴訟》，載新浪科技，https：//baijiahao.baidu.com/s?id=1725074664935127702＆wfr=spider＆for=pc，2023 年7 月6 日訪問。，故大型企業(yè)構(gòu)建數(shù)據(jù)安全合規(guī)體系迫在眉睫，但由于大型企業(yè)擁有前瞻性眼光，企業(yè)內(nèi)部高度重視合規(guī)建設(shè)，內(nèi)部組織體系較為完善，擁有專業(yè)化人才，較易建立有效的數(shù)據(jù)安全合規(guī)機制。

（二）國有企業(yè)的數(shù)據(jù)合規(guī)建設(shè)成果

2021 年，廣州市國資委印發(fā)的《監(jiān)管企業(yè)數(shù)據(jù)安全合規(guī)管理指南》（以下簡稱《指南》），為廣州市國有控股企業(yè)、國有實際控制企業(yè)的數(shù)據(jù)安全合規(guī)工作提供了具體指導(dǎo)。以廣州市國有企業(yè)數(shù)據(jù)合規(guī)建設(shè)成果為例，國有企業(yè)的數(shù)據(jù)合規(guī)呈現(xiàn)出以下特點。

第一，組織建設(shè)水平較高。國有企業(yè)內(nèi)部均設(shè)立黨委，貫徹落實上級領(lǐng)導(dǎo)機構(gòu)提出的合規(guī)建設(shè)要求，推動形成規(guī)范有序的數(shù)據(jù)管理體制機制，保障數(shù)據(jù)安全、國家安全。

第二，數(shù)據(jù)管理層次明確。以廣州市為例，廣州市國資委領(lǐng)導(dǎo)下的國有企業(yè)建立了數(shù)據(jù)安全保障的“三道防線”，以職能部門為首的機構(gòu)負責(zé)解決數(shù)據(jù)合規(guī)的技術(shù)性問題；以合規(guī)管理部門為首的機構(gòu)負責(zé)解決合規(guī)建設(shè)中遇到的法律性問題；以數(shù)據(jù)合規(guī)辦公室為首的機構(gòu)負責(zé)解決合規(guī)建設(shè)的內(nèi)部審計和風(fēng)險管控等風(fēng)險性問題，詳細分工見圖1。

圖1 廣州市國有企業(yè)數(shù)據(jù)保障分工圖

第三，懲戒機制完善。對于建立了合規(guī)機制和無效合規(guī)機制的國有企業(yè)，《指南》中明確規(guī)定了國資委可以采用約談、問責(zé)的懲戒機制，確保合規(guī)機制的有效推廣。

國有企業(yè)組織體系完善，懲戒機制全面，易于建立有效的、有約束力的合規(guī)機制，但是其動力不足，往往相較于市場呈現(xiàn)出機制建立的滯后性。

（三）中小微企業(yè)的數(shù)據(jù)合規(guī)模式

中小微企業(yè)體量小，用戶較少，因此參與處理的個人數(shù)據(jù)也較少。由于其安全意識弱、內(nèi)部監(jiān)管機制缺失、風(fēng)險防控力較差等問題，中小微企業(yè)遇到的數(shù)據(jù)合規(guī)問題也不容忽視。以上海市普陀區(qū)Z 公司非法“爬取”數(shù)據(jù)案建立的合規(guī)機制為例④參見《涉案企業(yè)合規(guī)典型案例（第三批）》，載最高人民檢察院網(wǎng)上發(fā)布廳， https：//www.spp.gov.cn/xwfbh/wsfbt/202208/t20220810_570413.shtml#2，2023 年7 月6 日訪問。，中小微企業(yè)建立的合規(guī)機制有以下特點。

第一，合規(guī)意識較差。檢察機關(guān)調(diào)查時發(fā)現(xiàn)，Z 公司管理層及員工存在重技術(shù)開發(fā)、輕數(shù)據(jù)合規(guī)等問題，存在管理盲區(qū)、制度空白、技術(shù)濫用等合規(guī)風(fēng)險，未建立有效的合規(guī)機制，也缺乏數(shù)據(jù)安全意識。

第二，風(fēng)險來源廣泛。小微企業(yè)內(nèi)部用戶較少，故需以外部合作、共享的方式獲取數(shù)據(jù)。如Z 公司與E 公司達成合規(guī)數(shù)據(jù)交互約定，徹底銷毀相關(guān)爬蟲程序及源代碼，對非法獲取的涉案數(shù)據(jù)進行無害化處理，并與E 平臺API 數(shù)據(jù)接口直連，實現(xiàn)數(shù)據(jù)來源合法化，這種外面獲取數(shù)據(jù)的行為帶來的額外風(fēng)險會增加。

第三，合規(guī)整改較快。由于小微企業(yè)的內(nèi)部體量較小，其合規(guī)問題較為突出、集中。最高檢、司法部、財政部等九部委聯(lián)合制定《關(guān)于建立涉案企業(yè)合規(guī)第三方監(jiān)督評估機制的指導(dǎo)意見（試行）》后，中小微企業(yè)的整改工作較快得到落實。

中小微企業(yè)整改意愿強、建立體系快，由于其注重效益而容易出現(xiàn)忽視安全制度建設(shè)，造成違背市場競爭規(guī)范、侵犯個人數(shù)據(jù)合理使用的問題，且由于其體量較小，難以建立完備的、全面的合規(guī)機制，專業(yè)化程度也受到限制。

二、個人數(shù)據(jù)合理使用的合規(guī)管理體系有效性缺失表征

數(shù)據(jù)作為新興的生產(chǎn)要素，統(tǒng)籌兼顧多元利益，其安全重要性不言而喻。針對違規(guī)處理個人數(shù)據(jù)行為的法律規(guī)制體系已逐漸完善，如何針對個人數(shù)據(jù)安全風(fēng)險有效構(gòu)建合規(guī)數(shù)已經(jīng)成為當(dāng)前學(xué)界關(guān)注的焦點，而企業(yè)合規(guī)的運行效果作為合規(guī)計劃有效性的實質(zhì)評判標準，主要體現(xiàn)為內(nèi)部專項合規(guī)政策的制定、專項合規(guī)組織機構(gòu)和專項合規(guī)預(yù)防體系三個方面⑤參見劉艷紅：《涉案企業(yè)合規(guī)建設(shè)的有效性標準研究》，載《東方法學(xué)》2022 年第4 期，第118 頁。。但在合規(guī)試點改革過程中，前述三類企業(yè)的數(shù)據(jù)安全合規(guī)體系建設(shè)均存在類似問題，反映出個人數(shù)據(jù)合理使用的合規(guī)管理體系未能有效運行。

（一）個人數(shù)據(jù)合理使用合規(guī)建設(shè)的高層重視與投入有限

盡管所有數(shù)據(jù)安全問題中個人數(shù)據(jù)泄露占比最高，且互聯(lián)網(wǎng)領(lǐng)域存在數(shù)據(jù)流轉(zhuǎn)迅速、違法成本低的特點，企業(yè)高層往往為了節(jié)約成本而刻意忽視個人數(shù)據(jù)合理使用體系建設(shè)，導(dǎo)致互聯(lián)網(wǎng)成為個人數(shù)據(jù)泄漏的重災(zāi)區(qū)。為了解決這一問題，2020 年，我國信息安全標準化技術(shù)委員會發(fā)布了數(shù)十項網(wǎng)絡(luò)安全國家標準，且個人數(shù)據(jù)立法保護配套的司法解釋和具體實施細則正在籌備，相關(guān)執(zhí)法實踐逐步走向正規(guī)化，糾紛解決方式逐漸多樣。針對企業(yè)個人數(shù)據(jù)使用違法違規(guī)方面的法律體系也不斷完善，除《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等專門性立法外，《中華人民共和國網(wǎng)絡(luò)安全法》第六章也規(guī)定了企業(yè)違規(guī)處理個人數(shù)據(jù)的法律責(zé)任及處罰措施。以罰款為例，我國開始向國際靠攏，要求建立和完善懲罰性賠償和巨額罰款制度，讓嚴重違法者付出高昂成本，這在很大程度上給企業(yè)造成了隱性壓力，迫使企業(yè)不得不注重數(shù)據(jù)合規(guī)體系的構(gòu)建⑥馬美瑤：《企業(yè)數(shù)據(jù)合規(guī)的現(xiàn)實困境與實踐路徑》，載《信息安全與通信保密》2022 年第7 期，第115 頁。。

但初步調(diào)查研究表明，以罰款為主的經(jīng)濟制裁倒逼企業(yè)進行個人數(shù)據(jù)合規(guī)體系建設(shè)顯然是不夠的，守法成本和違法成本具有相對性，僅僅增加違法的經(jīng)濟成本不能激發(fā)企業(yè)建設(shè)個人數(shù)據(jù)合規(guī)體系的積極性，反而滋生企業(yè)高層的僥幸心理。另外，法律制裁具有滯后性，在個人數(shù)據(jù)違規(guī)使用出現(xiàn)問題后再進行處罰，可能已經(jīng)導(dǎo)致個人數(shù)據(jù)泄露、用戶權(quán)益受損的后果，侵害用戶的個人權(quán)益并不利于社會經(jīng)濟的穩(wěn)定發(fā)展。因此，目前單一經(jīng)濟制裁項下的企業(yè)個人數(shù)據(jù)合理使用合規(guī)建設(shè)仍存在缺陷，企業(yè)高層對個人數(shù)據(jù)合理使用合規(guī)建設(shè)的重視不足、合規(guī)建設(shè)資源投入有限的現(xiàn)象普遍存在⑦參見于沖：《數(shù)據(jù)安全犯罪的迭代異化與刑法規(guī)制路徑——以刑事合規(guī)計劃的引入為視角》，載《西北大學(xué)學(xué)報》2020 年第5 期，第95 頁。。

（二）個人數(shù)據(jù)合理使用專項合規(guī)體系的專業(yè)化程度不足

相較于其他領(lǐng)域的專項合規(guī)體系，企業(yè)構(gòu)建個人數(shù)據(jù)合理使用專項合規(guī)體系需要更強的專業(yè)性。首先，企業(yè)需甄別一項數(shù)據(jù)是否屬于個人數(shù)據(jù)。個人數(shù)據(jù)甄別具有較強的專業(yè)性，相關(guān)信息是否可以識別特定自然人和地域，與技術(shù)水平、投入時間、信息數(shù)量等因素有關(guān)。在實踐運行中，很多新型、邊緣性數(shù)據(jù)是否屬于個人數(shù)據(jù)往往存在較大爭議⑧參見田建立：《非法使用公民個人信息亦應(yīng)入罪》，載《檢察日報》2023 年2 月11 日，第3 版。。其次，企業(yè)應(yīng)加強對個人數(shù)據(jù)使用的風(fēng)險監(jiān)測，如構(gòu)建風(fēng)險預(yù)警模型、制定風(fēng)險評估議案、制定應(yīng)急預(yù)案等。且對個人數(shù)據(jù)使用的風(fēng)險監(jiān)測需在識別個人數(shù)據(jù)的基礎(chǔ)上利用大數(shù)據(jù)、AI 等先進技術(shù)，聚焦個人數(shù)據(jù)關(guān)鍵節(jié)點，根據(jù)企業(yè)特點構(gòu)建風(fēng)險預(yù)警模型，實時監(jiān)測相關(guān)信息，實現(xiàn)風(fēng)險事前預(yù)警、事中跟蹤、事后問責(zé)的閉環(huán)處理機制。最后，企業(yè)需采取保障個人數(shù)據(jù)使用安全的技術(shù)措施，如數(shù)據(jù)加密、去標識化、數(shù)據(jù)備份等技術(shù)措施或其他個人數(shù)據(jù)使用的必要措施。而個人數(shù)據(jù)中涉及大量的專業(yè)化信息，包括人臉識別等生物信息、電話號碼等隱私信息，這類信息和用戶主體的人身權(quán)益和財產(chǎn)權(quán)益密切相關(guān)，涉及各行各業(yè)，所采取的技術(shù)安全措施也更具專業(yè)化。

實證研究表明，涉及個人數(shù)據(jù)合理使用的企業(yè)大部分為科技公司、網(wǎng)絡(luò)公司、技術(shù)研發(fā)公司等從事專業(yè)化、技術(shù)化行業(yè)的企業(yè)，其因個人數(shù)據(jù)使用產(chǎn)生糾紛的原因基本可以分為內(nèi)部風(fēng)險和外部風(fēng)險兩類。內(nèi)部個人數(shù)據(jù)安全風(fēng)險即由于企業(yè)內(nèi)部使用個人數(shù)據(jù)不當(dāng)，如企業(yè)風(fēng)險監(jiān)測系統(tǒng)不完善、企業(yè)合規(guī)管理組織欠缺、企業(yè)個人數(shù)據(jù)處理指南不規(guī)范、企業(yè)技術(shù)防范措施落后等，導(dǎo)致企業(yè)個人數(shù)據(jù)使用出現(xiàn)問題。外部個人數(shù)據(jù)安全風(fēng)險是由于企業(yè)受到黑客等第三人的惡意攻擊，其利用企業(yè)系統(tǒng)缺陷、訪問控制和權(quán)限管理不善等特定的漏洞來非法入侵企業(yè)系統(tǒng)、竊取企業(yè)的個人數(shù)據(jù)、干擾企業(yè)的個人數(shù)據(jù)正常使用。如Facebook 在2018 年遭遇信息泄露事件，該類風(fēng)險常難以預(yù)料、無法及時應(yīng)對。內(nèi)、外部各種個人數(shù)據(jù)安全風(fēng)險挑戰(zhàn)使企業(yè)難以有效應(yīng)對，個人數(shù)據(jù)安全風(fēng)險呈現(xiàn)出泛在化的特征⑨參見劉雙陽：《風(fēng)險泛在語境下間接危險犯的擴張邏輯與教義限縮——以信息散布型網(wǎng)絡(luò)犯罪為視角》，載《河南財經(jīng)政法大學(xué)學(xué)報》2020 年第6 期，第88 頁。。盡管企業(yè)已經(jīng)采用了部分風(fēng)險防范手段，但并未有效規(guī)避相關(guān)風(fēng)險，企業(yè)在個人數(shù)據(jù)甄別、個人數(shù)據(jù)使用風(fēng)險監(jiān)測、個人數(shù)據(jù)安全技術(shù)措施方面仍存在不足。這在一定程度上也說明了企業(yè)在個人數(shù)據(jù)使用專項合規(guī)體系中的專業(yè)化程度不高，才持續(xù)面臨企業(yè)內(nèi)部風(fēng)險及外部風(fēng)險的個人數(shù)據(jù)使用危機。

（三）個人數(shù)據(jù)合理使用合規(guī)管理體系的紙面化現(xiàn)象嚴重

為建立企業(yè)合規(guī)體系，相關(guān)機關(guān)先后發(fā)布了《關(guān)于建立涉案企業(yè)合規(guī)第三方評估機制的指導(dǎo)意見（試行）》《涉案企業(yè)合規(guī)建設(shè)、評估和審查辦法（試行）》《中小企業(yè)合規(guī)管理體系有效性評價團體標準》《中央企業(yè)合規(guī)管理指引（試行）》等規(guī)范性文件，最高人民檢察院也適時公布合規(guī)典型案例，推動涉案企業(yè)合規(guī)改革向縱深發(fā)展。但無論是規(guī)范性文件還是指導(dǎo)案例，都只是對企業(yè)合規(guī)體系建設(shè)及管理提出了原則性要求及建議，并沒有明確提出具體的操作標準和實踐過程中的具體步驟。如《中小企業(yè)合規(guī)管理體系有效性評價團體標準》雖然嘗試對各項合規(guī)工作提出了評價方法、評價指標、評價流程，卻僅止步于描述，這就導(dǎo)致了個人數(shù)據(jù)合理使用合規(guī)管理體系的紙面化現(xiàn)象嚴重。究其原因，在于統(tǒng)一性規(guī)范需要尊重各行業(yè)的差異性，只能對各行業(yè)的共同特征進行規(guī)定，需要下級部門甚至企業(yè)自身來細化個人數(shù)據(jù)合理使用合規(guī)管理體系的具體標準及操作步驟。

然而，初步實證研究表明，多數(shù)企業(yè)還不能根據(jù)現(xiàn)有規(guī)范性文件或指導(dǎo)案例制定兼具合理性、合法性、實操性的個人數(shù)據(jù)合理使用合規(guī)管理體系。以個人數(shù)據(jù)收集需要獲得個人同意為例，《信息安全技術(shù) 個人信息安全規(guī)范》（GB/T 35273-2020）將收集行為定義為“獲得個人信息的控制權(quán)的行為”，其基礎(chǔ)在于必須由個人數(shù)據(jù)主體即用戶通過“明示肯定性動作授權(quán)”的方式進行，包括主動點擊“同意”“注冊”等后進行獲取，用戶的授權(quán)成了個人數(shù)據(jù)使用合法合規(guī)的構(gòu)成要件。但是，有學(xué)者基于“平臺企業(yè)與個人用戶處理個人數(shù)據(jù)能力的不對等”，主張“可能造成個人數(shù)據(jù)獲取模式與用戶的主觀意愿之間，存在著明顯的分離”⑩參見王懷勇、常宇豪：《個人信息保護的理念嬗變與制度變革》，載《法制與社會發(fā)展》2020 年第6 期，第143 頁。。因為數(shù)據(jù)獲取并非用戶看到的簡單“同意”“注冊”，而是一個具有技術(shù)門檻的數(shù)據(jù)處理行為，用戶無法獲取相關(guān)數(shù)據(jù)，會造成信息認知與獲取之間的不對等?參見苗澤一：《數(shù)據(jù)交易市場構(gòu)建背景下的個人信息保護研究》，載《政法論壇》2022 年第6 期，第59 頁。。在日常生活過程中，多數(shù)用戶并不會認真閱讀相關(guān)隱私協(xié)議，而是跳過閱讀、直接同意，這種建立在不完全知情基礎(chǔ)上的“知情—同意”模式不僅會損害相關(guān)主體的用戶權(quán)益，還借助于隱私協(xié)議使企業(yè)找到規(guī)避收集數(shù)據(jù)行為法律風(fēng)險的避風(fēng)港。另外，《個人信息保護法》第6 條規(guī)定，企業(yè)收集個人信息應(yīng)當(dāng)具有明確、合理的目的，但對于哪些個人數(shù)據(jù)是符合“明確、合理”目的要求而企業(yè)有權(quán)獲取授權(quán)的，這本身就是一個不明確、無法闡明的概念，甚至對于“明確、合理”都缺乏準確的界定。因此，多數(shù)企業(yè)根據(jù)現(xiàn)有規(guī)范性文件或指導(dǎo)案例制定的個人數(shù)據(jù)合理使用合規(guī)管理體系的紙面化現(xiàn)象仍然嚴重，體系設(shè)計存在缺陷，體系執(zhí)行流于形式，效果無法凸顯，不能有效規(guī)避各類風(fēng)險?參見李勇：《涉罪企業(yè)合規(guī)有效性標準研究——以A 公司串通投標案為例》，載《政法論壇》2022 年第1 期，第140 頁。。

三、企業(yè)合理使用個人數(shù)據(jù)的合規(guī)治理模式應(yīng)然轉(zhuǎn)向

從騰訊集團等大型企業(yè)初步建立內(nèi)部數(shù)據(jù)安全合規(guī)體系到大型企業(yè)、國有企業(yè)、中小微企業(yè)參與企業(yè)合規(guī)改革試點，各企業(yè)均逐步探索行之有效的合規(guī)治理模式，合規(guī)制度和合規(guī)文化在我國范圍內(nèi)得到全面推行?參見陳瑞華：《企業(yè)合規(guī)視野下的暫緩起訴協(xié)議制度 》，載《比較法研究》2020 年第1 期，第5 頁。，企業(yè)合理使用個人數(shù)據(jù)的治理邏輯發(fā)生轉(zhuǎn)變。

（一）引入公私合作的協(xié)同治理模式

隨著我國社會主義市場經(jīng)濟體制的逐步建立和完善，為了發(fā)揮市場在資源配置中的決定性作用，主要職能為服務(wù)與監(jiān)管的行政機關(guān)轉(zhuǎn)而服務(wù)于企業(yè)發(fā)展。公私合作即被稱為publicprivate-partnerships （PPP）的治理模式，該模式主張發(fā)揮雙方各自的優(yōu)勢來提供公共服務(wù)。單純依靠行政機關(guān)維護市場的穩(wěn)定和社會秩序容易出現(xiàn)滯后性。由于市場的復(fù)雜性，行政機關(guān)無法做到事無巨細，并且行政機關(guān)行使處罰權(quán)時需要其執(zhí)法對象有明確的違法事實。因此，等到行政機關(guān)行使處罰權(quán)時往往是問題已經(jīng)產(chǎn)生，呈現(xiàn)出了滯后性，而對于個人數(shù)據(jù)的問題而言，政府采取措施時，企業(yè)已經(jīng)出現(xiàn)了個人數(shù)據(jù)的不合理使用的問題，嚴重侵犯了個人的隱私，危害了個人數(shù)據(jù)安全，對用戶本身產(chǎn)生了嚴重的后果。

公私合作的模式主張同時發(fā)揮企業(yè)（數(shù)據(jù)處理者）的自我管理作用和行政、司法機關(guān)的監(jiān)督管理作用。它們通過完善外部激勵機制促進企業(yè)建立內(nèi)部自我管理的規(guī)章制度，發(fā)揮企業(yè)自身的積極性，更好地起到預(yù)防個人數(shù)據(jù)不合理使用的問題，減輕了行政機關(guān)的壓力，也盡可能規(guī)避個人數(shù)據(jù)不合理使用問題的發(fā)生。因此，以公私合作的治理模式保障個人數(shù)據(jù)的合理使用，既降低了成本，也強化了效果，具有無可比擬的優(yōu)越性。

（二）采取柔性治理的合規(guī)激勵措施

樹立回應(yīng)型監(jiān)管理念，以柔性治理措施為首選，以勸服替代壓制。“回應(yīng)性監(jiān)管”的概念來源于西方發(fā)達國家，是基于對“命令控制性監(jiān)管”的批判而提出的。“回應(yīng)性監(jiān)管理念的基本觀點是為了能夠有效監(jiān)管，監(jiān)管者和監(jiān)管手段應(yīng)該適應(yīng)被監(jiān)管機構(gòu)或者個體的行動”，“行政機關(guān)可以在傳統(tǒng)的命令與控制手段之外，將一些新的監(jiān)管手段作為必要的補充”，有效規(guī)制企業(yè)的違規(guī)行為?參見曹煒：《環(huán)境監(jiān)管中的“規(guī)范執(zhí)行偏離效應(yīng)”研究 》，載《中國法學(xué)》2018 年第6 期，第276 頁。，如“行政約談”便是在我國較為普遍的一種柔性治理措施。

柔性治理措施主張行政、司法機關(guān)對企業(yè)進行“勸服”，鼓勵、引導(dǎo)企業(yè)自我調(diào)整、自我管理，自發(fā)地建立保障個人數(shù)據(jù)合理使用的機制，盡量減少對企業(yè)的打壓、處罰，保障企業(yè)的活力，更好地促進企業(yè)的發(fā)展，也促進個人數(shù)據(jù)合理使用合規(guī)的不斷完善。如有學(xué)者指出，“合規(guī)整改的嚴厲性和實效性，使其發(fā)揮超越刑罰的實質(zhì)制裁和犯罪治理效果”?參見劉艷紅：《企業(yè)合規(guī)不起訴改革的刑法教義學(xué)根基》，載《中國刑事法雜志》2022 年第1 期，第108 頁。，即將合規(guī)整改作為一種新型的柔性治理措施，企業(yè)需要針對現(xiàn)實化的合規(guī)風(fēng)險進行相應(yīng)的補救完善，打造個人數(shù)據(jù)合規(guī)等專項合規(guī)計劃，由于合規(guī)計劃的建設(shè)、運行具有較強的制裁性，這一過程超越法律制裁，更有助于企業(yè)后續(xù)合理使用個人數(shù)據(jù)。

（三）完善個人數(shù)據(jù)合理使用的規(guī)定

企業(yè)合規(guī)作為近年來興起的企業(yè)治理模式，正逐步在我國推廣開來。我國企業(yè)建立合規(guī)管理體系的積極性越來越高，國家行政監(jiān)管部門也開始在多個領(lǐng)域引入合規(guī)激勵機制，以“合規(guī)寬大處理”的方式激勵更多企業(yè)開展合規(guī)整改。2021 年11 月15 日，市場監(jiān)管總局發(fā)布《企業(yè)境外反壟斷合規(guī)指引》；2022 年7月5 日，浙江省市場監(jiān)督管理局發(fā)布了省級地方標準《互聯(lián)網(wǎng)平臺企業(yè)競爭合規(guī)管理規(guī)范》（DB33/T 2511-2022）。在行政機關(guān)的鼓勵引導(dǎo)下，企業(yè)內(nèi)部建立符合時代化的機制，保障個人數(shù)據(jù)的安全問題。

個人數(shù)據(jù)安全合規(guī)機制兼顧自由與秩序，保障個人數(shù)據(jù)有序流通與合理使用；數(shù)據(jù)的收集、流通和使用已成為主流，大數(shù)據(jù)時代是社會發(fā)展的必然趨勢，也為人們的生活帶來了極大便利。因此，一味限制個人數(shù)據(jù)使其無法流通顯然是不合理也無法做到的，促進大數(shù)據(jù)的有序流通對于建立國內(nèi)外雙循環(huán)、大市場有著重要的推動作用，而為了彌補市場的弊端、保障數(shù)據(jù)流通的規(guī)范和合法，建立規(guī)范的數(shù)據(jù)流通法律法規(guī)也是不可阻擋的必然要求。建立個人數(shù)據(jù)合理使用的合規(guī)模式，就是為了保障個人數(shù)據(jù)的有序流通，同時也保障了其合理合法使用，既促進了數(shù)字市場的發(fā)展，也維護了社會的秩序。

四、個人數(shù)據(jù)合理使用的民行刑一體化合規(guī)體系構(gòu)建

隨著三大數(shù)據(jù)立法特別是2021 年我國首部針對個人數(shù)據(jù)保護專門立法的《個人信息保護法》的正式實施，圍繞個人數(shù)據(jù)合理使用與在大數(shù)據(jù)時代下個人數(shù)據(jù)保護等問題的研究全面展開。

（一）個人數(shù)據(jù)合理使用有效合規(guī)建設(shè)的民行刑一體化需求

數(shù)字經(jīng)濟時代，個人數(shù)據(jù)多層次、多維度的價值屬性意味著個人數(shù)據(jù)應(yīng)受到多重法律保護，也意味著個人數(shù)據(jù)處理者面臨多元的數(shù)據(jù)安全風(fēng)險，個人數(shù)據(jù)處理者應(yīng)建立民行刑一體化的數(shù)據(jù)安全風(fēng)險防控機制。

一方面，個人數(shù)據(jù)處理者違規(guī)處理數(shù)據(jù)行為面臨著民行刑風(fēng)險，且形成一體化的個人數(shù)據(jù)安全風(fēng)險。我國當(dāng)前針對個人數(shù)據(jù)處理者的違規(guī)行為，已經(jīng)形成民行刑完善的嚴密追責(zé)體系，違規(guī)處理個人數(shù)據(jù)的行為既可能構(gòu)成民事侵權(quán)行為、行政違法行為，又可能因情節(jié)嚴重構(gòu)成侵犯公民個人信息罪等個人數(shù)據(jù)犯罪，且個人數(shù)據(jù)犯罪多為法定犯，以違反前置法規(guī)定為前提。具體而言，個人數(shù)據(jù)處理犯罪行為以違反個人數(shù)據(jù)處理規(guī)則和個人數(shù)據(jù)合規(guī)管理義務(wù)為前提?參見毛逸瀟：《數(shù)據(jù)保護合規(guī)體系研究》，載《國家檢察官學(xué)院學(xué)報》2022 年第2 期，第85-86 頁。，而個人數(shù)據(jù)處理規(guī)則和個人數(shù)據(jù)合規(guī)管理義務(wù)由《中華人民共和國民法典》《中華人民共和國個人信息保護法》等民商事法律規(guī)定，個人數(shù)據(jù)處理者怠于履行義務(wù)的行為和違規(guī)處理個人數(shù)據(jù)的行為會面臨民事侵權(quán)責(zé)任和行政處罰責(zé)任，故個人數(shù)據(jù)處理者一旦需承擔(dān)刑事責(zé)任，一般情況下也需承擔(dān)民事侵權(quán)責(zé)任和行政違法責(zé)任，企業(yè)面臨著階梯化的民事、行政、刑事合規(guī)風(fēng)險，民行刑違法一體化造就了個人數(shù)據(jù)安全風(fēng)險的一體化。

另一方面，面對一體化的個人數(shù)據(jù)安全風(fēng)險，企業(yè)應(yīng)構(gòu)建一體化的風(fēng)險防范機制，全面化解個人數(shù)據(jù)違規(guī)處理行為的違法風(fēng)險和犯罪風(fēng)險。個人數(shù)據(jù)安全風(fēng)險的民行刑一體化風(fēng)險類型，意味著刑事安全風(fēng)險由前置違法風(fēng)險積累、遞進而形成。但并不否認刑事安全風(fēng)險和前置違法風(fēng)險的獨立性，企業(yè)構(gòu)建僅足以防范刑事安全風(fēng)險的個人數(shù)據(jù)，刑事合規(guī)體系尚不能有效防范前置違法風(fēng)險，且刑事合規(guī)體系雖獲得減免刑事責(zé)任的刑事激勵，但未消除再次構(gòu)成違法行為的可能性，仍需面臨行政處罰等非刑罰處罰措施。若企業(yè)僅構(gòu)建足以防范前置違法風(fēng)險的個人數(shù)據(jù)安全合規(guī)體系，則無法應(yīng)對刑事安全風(fēng)險，還存在個人數(shù)據(jù)犯罪的再犯可能性，缺失獲得量刑激勵措施的有力依據(jù)。故應(yīng)以民行刑規(guī)范為指引，通過行業(yè)協(xié)會與檢察機關(guān)協(xié)同治理的模式，推動企業(yè)構(gòu)成民行刑一體化的風(fēng)險防范機制，有效防范企業(yè)個人數(shù)據(jù)處理過程中的所有法律風(fēng)險?參見毛逸瀟：《“行檢協(xié)同式”個人信息合規(guī)行刑銜接激勵新模式研究》，載《法學(xué)論壇》2022 年第6 期，第65-67 頁。。

（二）“過程導(dǎo)向、體系完整”的個人數(shù)據(jù)通用合規(guī)要素

為了有效防范風(fēng)險，企業(yè)形成包含內(nèi)部合規(guī)政策、組織管理流程和合規(guī)操作指南等通用因素的合規(guī)體系，并通過事前設(shè)計（Plan）、有效執(zhí)行（Do）、定期評估（Check）、動態(tài)完善（Check）的PDCA 四環(huán)節(jié)，構(gòu)建從合規(guī)體系設(shè)計到合規(guī)運行效果的全過程長效性合規(guī)機制?參見劉艷紅、丁鵬：《TQM 視域下“雙一流”高校碩士學(xué)位論文全流程質(zhì)量監(jiān)管體系探索——以G 省2019 年碩士學(xué)位論文抽檢評議結(jié)果為樣本》，載《甘肅政法大學(xué)學(xué)報》2021 年第4 期，第2-5 頁。。

1.事前設(shè)計環(huán)節(jié)。企業(yè)需制定包含內(nèi)部合規(guī)政策、組織管理體系、個人數(shù)據(jù)處理指南等全面規(guī)范個人數(shù)據(jù)處理行為的內(nèi)部合規(guī)文件，類型化梳理常見的個人數(shù)據(jù)安全風(fēng)險并引入可以動態(tài)識別、即時預(yù)警的風(fēng)險監(jiān)測機制，制定應(yīng)急處置個人數(shù)據(jù)安全事件的風(fēng)險響應(yīng)范本，形成融“預(yù)防—監(jiān)測—應(yīng)對”為一體的合規(guī)體系。

2.有效執(zhí)行環(huán)節(jié)。為了避免合規(guī)體系的虛置，企業(yè)應(yīng)在全業(yè)務(wù)流程和全管理流程貫徹落實事前設(shè)計的合規(guī)體系，在新服務(wù)對象、新業(yè)務(wù)功能、新員工上崗等新風(fēng)險源接洽、投入使用前，通過事前風(fēng)險識別、員工崗前教育培訓(xùn)、第三方盡職調(diào)查等多種途徑，提前預(yù)防個人數(shù)據(jù)安全風(fēng)險。在企業(yè)日常經(jīng)營、處理個人數(shù)據(jù)過程中，通過定期舉辦員工教育培訓(xùn)、開展合規(guī)審計、形成合規(guī)報告的方式，并輔以內(nèi)部員工舉報通道，全面監(jiān)測業(yè)務(wù)流程和管理過程中的個人數(shù)據(jù)安全風(fēng)險。在發(fā)生個人數(shù)據(jù)安全事件后，通過配合執(zhí)法機關(guān)調(diào)查、立即開展內(nèi)部調(diào)查、針對風(fēng)險源處理其責(zé)任人、采取補救止損措施，并向有關(guān)部門報告，完善合規(guī)體系，有效應(yīng)對個人數(shù)據(jù)安全風(fēng)險。

3.定期評估環(huán)節(jié)。有效合規(guī)體系可以改善企業(yè)經(jīng)營狀態(tài)并形成員工兼具道德感與責(zé)任感的企業(yè)合規(guī)文化?參見陳瑞華：《論企業(yè)合規(guī)的性質(zhì)》，載《浙江工商大學(xué)學(xué)報》2021 年第1 期，第47 頁。，且規(guī)避民行刑法律風(fēng)險，故應(yīng)確保企業(yè)的合規(guī)體系保持常態(tài)化的良好運行效果。企業(yè)應(yīng)定期開展合規(guī)運行效果評估活動，測評合規(guī)機制的實際運行效果，通過數(shù)據(jù)反饋發(fā)現(xiàn)合規(guī)體系的不足。

4.動態(tài)完善環(huán)節(jié)。數(shù)字技術(shù)的更新迭代會催生新型個人數(shù)據(jù)安全風(fēng)險，在企業(yè)定期評估和全面監(jiān)測過程中，若發(fā)現(xiàn)企業(yè)未規(guī)避的風(fēng)險類型，需針對性加強風(fēng)險防范機制，實現(xiàn)合規(guī)體系的持續(xù)改進和長治久新。

（三）“風(fēng)險導(dǎo)向、針對強化”的個人數(shù)據(jù)專業(yè)合規(guī)要素

企業(yè)在處理個人數(shù)據(jù)的全生命周期都面臨特有的安全風(fēng)險，故個人數(shù)據(jù)合規(guī)體系還應(yīng)以特有的合規(guī)風(fēng)險為導(dǎo)向，針對性強化專業(yè)合規(guī)政策、專業(yè)合規(guī)組織、專業(yè)合規(guī)評估等個人數(shù)據(jù)專業(yè)合規(guī)要素。

第一，企業(yè)需制定專業(yè)的合規(guī)政策并形成專業(yè)合規(guī)管理組織。面對個人數(shù)據(jù)處理過程中泛在且專業(yè)的安全風(fēng)險，企業(yè)需制定專業(yè)的合規(guī)政策和管理指引，明確防范對象和措施，提醒內(nèi)部員工規(guī)避相關(guān)風(fēng)險。面臨技術(shù)性較強的專門合規(guī)風(fēng)險，企業(yè)需引進專業(yè)型技術(shù)人才并設(shè)立專業(yè)的個人信息保護合規(guī)部門，通過技術(shù)手段、職業(yè)敏感性，事前預(yù)防、全面監(jiān)測、識別應(yīng)對相關(guān)風(fēng)險。

第二，企業(yè)需開展專業(yè)的個人數(shù)據(jù)安全影響評估活動，識別、規(guī)避隱蔽的專門合規(guī)風(fēng)險。根據(jù)國家市場監(jiān)督管理總局公布的《信息安全技術(shù) 個人信息安全影響評估指南》（GB/T 39335-2020），專業(yè)的個人數(shù)據(jù)保護影響評估活動除卻針對內(nèi)部員工和合作第三方的事前評估活動，還應(yīng)針對網(wǎng)絡(luò)環(huán)境和技術(shù)措施、個人數(shù)據(jù)處理全流程、業(yè)務(wù)安全態(tài)勢等特有的風(fēng)險源開展個人數(shù)據(jù)安全影響評估活動，及時發(fā)現(xiàn)并避免專門的合規(guī)風(fēng)險現(xiàn)實化。

第三，企業(yè)應(yīng)定期組織專業(yè)的個人信息保護合規(guī)審計活動。2023 年8 月3 日，國家互聯(lián)網(wǎng)信息辦公室公布《個人信息保護合規(guī)審計管理辦法（征求意見稿）》，要求個人數(shù)據(jù)處理者每兩年至少開展一次個人信息保護合規(guī)審計，評估個人數(shù)據(jù)安全合規(guī)體系的實際運行效果，且應(yīng)重點審查個人數(shù)據(jù)專門合規(guī)風(fēng)險的防范情況，確保合規(guī)體系的有效性。

結(jié)語

隨著時代發(fā)展和技術(shù)進步，數(shù)據(jù)安全保護責(zé)任逐漸由個人責(zé)任轉(zhuǎn)向平臺責(zé)任?參見劉艷紅：《人工智能時代網(wǎng)絡(luò)游戲外掛的刑法規(guī)制》，載《華東政法大學(xué)學(xué)報》2022 年第1 期，第65 頁。，而平臺在履行數(shù)據(jù)安全保護責(zé)任中存在內(nèi)部審查機制不完善、積極保護數(shù)據(jù)信息安全的企業(yè)文化相對欠缺、數(shù)據(jù)保護系統(tǒng)存在技術(shù)性漏洞等問題，引入企業(yè)合規(guī)機制對于有效解決包括但不限于上述問題具有可行性且更具有優(yōu)越性。但當(dāng)前我國在企業(yè)數(shù)據(jù)合規(guī)和個人數(shù)據(jù)合理使用問題的研究中呈現(xiàn)出相互割裂的狀態(tài)，缺乏從企業(yè)合規(guī)視角研究個人數(shù)據(jù)合理使用問題的學(xué)術(shù)和實證研究成果，即當(dāng)前我國雖然構(gòu)建起了一套復(fù)雜的數(shù)據(jù)合規(guī)與個人數(shù)據(jù)合理使用的規(guī)范體系，但存在平衡性不足，過于行業(yè)化瑣碎化等問題，亟待從企業(yè)合規(guī)角度出發(fā)，出臺針對個人數(shù)據(jù)合理處理的規(guī)范性文件。

在個人數(shù)據(jù)合理使用的企業(yè)合規(guī)建設(shè)方面，需要立法上的專門支持，檢察院等國家機關(guān)在執(zhí)法司法過程中激勵企業(yè)合理使用個人數(shù)據(jù)，企業(yè)自身要充分考慮自身的特殊性，強化責(zé)任意識，積極建立行之有效且效益長遠的個人數(shù)據(jù)合規(guī)機制，從源頭上保障數(shù)據(jù)安全和數(shù)據(jù)的合規(guī)處理。行業(yè)協(xié)會和檢察機關(guān)通力合作，發(fā)揮各自優(yōu)勢，破除現(xiàn)有弊端，構(gòu)建民行刑一體化的合規(guī)機制，實現(xiàn)長遠發(fā)展。以企業(yè)合規(guī)推進個人數(shù)據(jù)的合理使用是構(gòu)建我國數(shù)據(jù)安全保障體系的時代問題，在當(dāng)今大數(shù)據(jù)時代下，研究以企業(yè)合規(guī)建設(shè)保障個人數(shù)據(jù)合理使用具有重要的時代意義。同時，保障個人數(shù)據(jù)安全的同時還可以更好地促進數(shù)據(jù)流通，維護市場秩序，鼓勵企業(yè)內(nèi)部治理，降低企業(yè)風(fēng)險，提升企業(yè)的國際競爭力，維護我國企業(yè)良好的市場形象。而此問題在我國尚屬起步階段，無論是在理論研究還是具體實踐方面均沒有充足的經(jīng)驗，因此，如何更好將企業(yè)合規(guī)同個人數(shù)據(jù)合理使用相結(jié)合，仍有待進一步研究。