合規視角下個人數據合理使用的實證研究

李昊翔，毛逸瀟

（中國政法大學，北京102249 ）

黨的二十大報告提出要“強化數據安全保障體系建設”。邁入數字社會后，數據不再純粹是技術代名詞，而是成為人們日常生活不可或缺的組成部分，更是被確認為數字經濟時代最關鍵的新型生產要素。然而，承載多元利益的數據正面臨嚴重的法益侵害問題，日益嚴峻的數據犯罪態勢給數據法律秩序和數字社會治理帶來重大挑戰。維系數字社會的健康可持續發展離不開對數據犯罪的有效治理，以平臺企業為代表的數據處理者自覺建立數據安全合規體系是完善內部治理結構、預防數據犯罪、防范和化解自身刑事風險的重要舉措。2022 年6月22 日，中央全面深化改革委員會第二十六次會議審議通過的《中共中央、國務院關于構建數據基礎制度更好發揮數據要素作用的意見》提出，“要建立合規高效的數據要素流通和交易制度，完善數據全流程合規和監管規則體系”。企業合規作為一種公司治理方式，本身并不會自動發揮作用，唯有建立外部激勵機制，這種公司治理方式才會得到激活①參見郭傳凱：《互聯網平臺企業反壟斷合規制度的建構》，載《法學論壇》2023 年第3 期，第1 頁。。確立激勵機制是推動數據安全合規體系建設的關鍵環節，只有引入數據安全合規激勵機制才能為平臺企業建設數據安全合規體系提供內在動力和方向指引，才能有利于激發平臺企業投入成本加強數據安全保障的積極性，最終實現保障個人數據合理使用的目的。2022 年8 月10 日，最高人民檢察院發布首例數據合規不起訴的典型案例，標志著數據安全合規激勵機制在司法領域也進入試點探索階段，亟需夯實理論依據、凝練實踐經驗，推進數據安全合規改革向縱深發展②參見張昊：《能動履職提升企業合規改革工作質效》，載《法治日報》2022 年8 月11 日，第3 版。。

如何構建規范化的企業合規機制，如何充分發揮其保障企業合理使用個人數據的作用成了構建我國數據安全保障體系的時代問題。本文將“個人數據安全”與“企業合規”這兩個重點前沿問題有機結合、深度貫通起來，在個人數據的保護措施中引入了企業合規的新模式，既是完善數據安全保障體系、推動數據治理現代化的新思路，也是數字時代企業專項合規建設的重要組成部分。

一、數字經濟時代個人數據合理使用現狀的類型化考察

通過實證檢索北大法寶和中國裁判文書網等已公開的司法案例，并實地調研部分企業的《隱私條款》和合規建設情況，按照企業建立合規機制保障個人數據安全的不同運行方式，可以將我國當前數據合規管理模式分為三種，分別為大型網絡平臺個人數據合理使用的合規管理模式、國有企業數字化轉型過程中個人數據合理使用的合規管理模式和中小微企業個人數據合理使用的合規管理模式。

（一）大型企業的數據安全合規機制

大型企業管理的大型網絡平臺承載較大的用戶體量，平臺收集、使用和流轉等處理個人數據的行為較為頻繁，個人數據被不合理使用的案發率較高，但由于大型網絡平臺擁有較為卓越的法律顧問單位，合規處理個人數據的意識較高，企業內部綜合治理能力、治理水平較為完善。例如，騰訊集團早在2013 年就已經建立了專門的數據隱私合規團隊，是國內最早進行個人數據保護和數據合規探索的互聯網企業之一。

騰訊集團的數據安全合規機制有以下特點：第一，集團高層高度重視。早在合規理念還未在我國推廣之時，集團高層已經開始謀劃內部合規建設，設立專門負責合規建設的部門。第二，內部管理較為完善。公司內部開展多輪合規培訓，覆蓋公司的管理層、普通員工和新員工，提升全體員工的合規意識。第三，數據安全保障技術高。騰訊建立了自行研制的“靈犀隱私平臺”，對數據進行分類分級，在共享、存儲、出境等多方面建設配套的系統。第四，積極公布數據合規建設成果。2018 年騰訊集團發布了首個互聯網企業的隱私保護白皮書——《騰訊隱私保護白皮書》，向用戶集中展示微信、QQ 的隱私保護功能。

大型企業的用戶數據龐大，公司體量大而形成的與用戶不對等狀態較為嚴重，易造成個人數據泄露等重大數據安全事件③參見《cookie 技術引發數據隱私問題，Meta 將支付9000 萬美元和解訴訟》，載新浪科技，https：//baijiahao.baidu.com/s?id=1725074664935127702＆wfr=spider＆for=pc，2023 年7 月6 日訪問。，故大型企業構建數據安全合規體系迫在眉睫，但由于大型企業擁有前瞻性眼光，企業內部高度重視合規建設，內部組織體系較為完善，擁有專業化人才，較易建立有效的數據安全合規機制。

（二）國有企業的數據合規建設成果

2021 年，廣州市國資委印發的《監管企業數據安全合規管理指南》（以下簡稱《指南》），為廣州市國有控股企業、國有實際控制企業的數據安全合規工作提供了具體指導。以廣州市國有企業數據合規建設成果為例，國有企業的數據合規呈現出以下特點。

第一，組織建設水平較高。國有企業內部均設立黨委，貫徹落實上級領導機構提出的合規建設要求，推動形成規范有序的數據管理體制機制，保障數據安全、國家安全。

第二，數據管理層次明確。以廣州市為例，廣州市國資委領導下的國有企業建立了數據安全保障的“三道防線”，以職能部門為首的機構負責解決數據合規的技術性問題；以合規管理部門為首的機構負責解決合規建設中遇到的法律性問題；以數據合規辦公室為首的機構負責解決合規建設的內部審計和風險管控等風險性問題，詳細分工見圖1。

圖1 廣州市國有企業數據保障分工圖

第三，懲戒機制完善。對于建立了合規機制和無效合規機制的國有企業，《指南》中明確規定了國資委可以采用約談、問責的懲戒機制，確保合規機制的有效推廣。

國有企業組織體系完善，懲戒機制全面，易于建立有效的、有約束力的合規機制，但是其動力不足，往往相較于市場呈現出機制建立的滯后性。

（三）中小微企業的數據合規模式

中小微企業體量小，用戶較少，因此參與處理的個人數據也較少。由于其安全意識弱、內部監管機制缺失、風險防控力較差等問題，中小微企業遇到的數據合規問題也不容忽視。以上海市普陀區Z 公司非法“爬取”數據案建立的合規機制為例④參見《涉案企業合規典型案例（第三批）》，載最高人民檢察院網上發布廳， https：//www.spp.gov.cn/xwfbh/wsfbt/202208/t20220810_570413.shtml#2，2023 年7 月6 日訪問。，中小微企業建立的合規機制有以下特點。

第一，合規意識較差。檢察機關調查時發現，Z 公司管理層及員工存在重技術開發、輕數據合規等問題，存在管理盲區、制度空白、技術濫用等合規風險，未建立有效的合規機制，也缺乏數據安全意識。

第二，風險來源廣泛。小微企業內部用戶較少，故需以外部合作、共享的方式獲取數據。如Z 公司與E 公司達成合規數據交互約定，徹底銷毀相關爬蟲程序及源代碼，對非法獲取的涉案數據進行無害化處理，并與E 平臺API 數據接口直連，實現數據來源合法化，這種外面獲取數據的行為帶來的額外風險會增加。

第三，合規整改較快。由于小微企業的內部體量較小，其合規問題較為突出、集中。最高檢、司法部、財政部等九部委聯合制定《關于建立涉案企業合規第三方監督評估機制的指導意見（試行）》后，中小微企業的整改工作較快得到落實。

中小微企業整改意愿強、建立體系快，由于其注重效益而容易出現忽視安全制度建設，造成違背市場競爭規范、侵犯個人數據合理使用的問題，且由于其體量較小，難以建立完備的、全面的合規機制，專業化程度也受到限制。

二、個人數據合理使用的合規管理體系有效性缺失表征

數據作為新興的生產要素，統籌兼顧多元利益，其安全重要性不言而喻。針對違規處理個人數據行為的法律規制體系已逐漸完善，如何針對個人數據安全風險有效構建合規數已經成為當前學界關注的焦點，而企業合規的運行效果作為合規計劃有效性的實質評判標準，主要體現為內部專項合規政策的制定、專項合規組織機構和專項合規預防體系三個方面⑤參見劉艷紅：《涉案企業合規建設的有效性標準研究》，載《東方法學》2022 年第4 期，第118 頁。。但在合規試點改革過程中，前述三類企業的數據安全合規體系建設均存在類似問題，反映出個人數據合理使用的合規管理體系未能有效運行。

（一）個人數據合理使用合規建設的高層重視與投入有限

盡管所有數據安全問題中個人數據泄露占比最高，且互聯網領域存在數據流轉迅速、違法成本低的特點，企業高層往往為了節約成本而刻意忽視個人數據合理使用體系建設，導致互聯網成為個人數據泄漏的重災區。為了解決這一問題，2020 年，我國信息安全標準化技術委員會發布了數十項網絡安全國家標準，且個人數據立法保護配套的司法解釋和具體實施細則正在籌備，相關執法實踐逐步走向正規化，糾紛解決方式逐漸多樣。針對企業個人數據使用違法違規方面的法律體系也不斷完善，除《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等專門性立法外，《中華人民共和國網絡安全法》第六章也規定了企業違規處理個人數據的法律責任及處罰措施。以罰款為例，我國開始向國際靠攏，要求建立和完善懲罰性賠償和巨額罰款制度，讓嚴重違法者付出高昂成本，這在很大程度上給企業造成了隱性壓力，迫使企業不得不注重數據合規體系的構建⑥馬美瑤：《企業數據合規的現實困境與實踐路徑》，載《信息安全與通信保密》2022 年第7 期，第115 頁。。

但初步調查研究表明，以罰款為主的經濟制裁倒逼企業進行個人數據合規體系建設顯然是不夠的，守法成本和違法成本具有相對性，僅僅增加違法的經濟成本不能激發企業建設個人數據合規體系的積極性，反而滋生企業高層的僥幸心理。另外，法律制裁具有滯后性，在個人數據違規使用出現問題后再進行處罰，可能已經導致個人數據泄露、用戶權益受損的后果，侵害用戶的個人權益并不利于社會經濟的穩定發展。因此，目前單一經濟制裁項下的企業個人數據合理使用合規建設仍存在缺陷，企業高層對個人數據合理使用合規建設的重視不足、合規建設資源投入有限的現象普遍存在⑦參見于沖：《數據安全犯罪的迭代異化與刑法規制路徑——以刑事合規計劃的引入為視角》，載《西北大學學報》2020 年第5 期，第95 頁。。

（二）個人數據合理使用專項合規體系的專業化程度不足

相較于其他領域的專項合規體系，企業構建個人數據合理使用專項合規體系需要更強的專業性。首先，企業需甄別一項數據是否屬于個人數據。個人數據甄別具有較強的專業性，相關信息是否可以識別特定自然人和地域，與技術水平、投入時間、信息數量等因素有關。在實踐運行中，很多新型、邊緣性數據是否屬于個人數據往往存在較大爭議⑧參見田建立：《非法使用公民個人信息亦應入罪》，載《檢察日報》2023 年2 月11 日，第3 版。。其次，企業應加強對個人數據使用的風險監測，如構建風險預警模型、制定風險評估議案、制定應急預案等。且對個人數據使用的風險監測需在識別個人數據的基礎上利用大數據、AI 等先進技術，聚焦個人數據關鍵節點，根據企業特點構建風險預警模型，實時監測相關信息，實現風險事前預警、事中跟蹤、事后問責的閉環處理機制。最后，企業需采取保障個人數據使用安全的技術措施，如數據加密、去標識化、數據備份等技術措施或其他個人數據使用的必要措施。而個人數據中涉及大量的專業化信息，包括人臉識別等生物信息、電話號碼等隱私信息，這類信息和用戶主體的人身權益和財產權益密切相關，涉及各行各業，所采取的技術安全措施也更具專業化。

實證研究表明，涉及個人數據合理使用的企業大部分為科技公司、網絡公司、技術研發公司等從事專業化、技術化行業的企業，其因個人數據使用產生糾紛的原因基本可以分為內部風險和外部風險兩類。內部個人數據安全風險即由于企業內部使用個人數據不當，如企業風險監測系統不完善、企業合規管理組織欠缺、企業個人數據處理指南不規范、企業技術防范措施落后等，導致企業個人數據使用出現問題。外部個人數據安全風險是由于企業受到黑客等第三人的惡意攻擊，其利用企業系統缺陷、訪問控制和權限管理不善等特定的漏洞來非法入侵企業系統、竊取企業的個人數據、干擾企業的個人數據正常使用。如Facebook 在2018 年遭遇信息泄露事件，該類風險常難以預料、無法及時應對。內、外部各種個人數據安全風險挑戰使企業難以有效應對，個人數據安全風險呈現出泛在化的特征⑨參見劉雙陽：《風險泛在語境下間接危險犯的擴張邏輯與教義限縮——以信息散布型網絡犯罪為視角》，載《河南財經政法大學學報》2020 年第6 期，第88 頁。。盡管企業已經采用了部分風險防范手段，但并未有效規避相關風險，企業在個人數據甄別、個人數據使用風險監測、個人數據安全技術措施方面仍存在不足。這在一定程度上也說明了企業在個人數據使用專項合規體系中的專業化程度不高，才持續面臨企業內部風險及外部風險的個人數據使用危機。

（三）個人數據合理使用合規管理體系的紙面化現象嚴重

為建立企業合規體系，相關機關先后發布了《關于建立涉案企業合規第三方評估機制的指導意見（試行）》《涉案企業合規建設、評估和審查辦法（試行）》《中小企業合規管理體系有效性評價團體標準》《中央企業合規管理指引（試行）》等規范性文件，最高人民檢察院也適時公布合規典型案例，推動涉案企業合規改革向縱深發展。但無論是規范性文件還是指導案例，都只是對企業合規體系建設及管理提出了原則性要求及建議，并沒有明確提出具體的操作標準和實踐過程中的具體步驟。如《中小企業合規管理體系有效性評價團體標準》雖然嘗試對各項合規工作提出了評價方法、評價指標、評價流程，卻僅止步于描述，這就導致了個人數據合理使用合規管理體系的紙面化現象嚴重。究其原因，在于統一性規范需要尊重各行業的差異性，只能對各行業的共同特征進行規定，需要下級部門甚至企業自身來細化個人數據合理使用合規管理體系的具體標準及操作步驟。

然而，初步實證研究表明，多數企業還不能根據現有規范性文件或指導案例制定兼具合理性、合法性、實操性的個人數據合理使用合規管理體系。以個人數據收集需要獲得個人同意為例，《信息安全技術 個人信息安全規范》（GB/T 35273-2020）將收集行為定義為“獲得個人信息的控制權的行為”，其基礎在于必須由個人數據主體即用戶通過“明示肯定性動作授權”的方式進行，包括主動點擊“同意”“注冊”等后進行獲取，用戶的授權成了個人數據使用合法合規的構成要件。但是，有學者基于“平臺企業與個人用戶處理個人數據能力的不對等”，主張“可能造成個人數據獲取模式與用戶的主觀意愿之間，存在著明顯的分離”⑩參見王懷勇、常宇豪：《個人信息保護的理念嬗變與制度變革》，載《法制與社會發展》2020 年第6 期，第143 頁。。因為數據獲取并非用戶看到的簡單“同意”“注冊”，而是一個具有技術門檻的數據處理行為，用戶無法獲取相關數據，會造成信息認知與獲取之間的不對等?參見苗澤一：《數據交易市場構建背景下的個人信息保護研究》，載《政法論壇》2022 年第6 期，第59 頁。。在日常生活過程中，多數用戶并不會認真閱讀相關隱私協議，而是跳過閱讀、直接同意，這種建立在不完全知情基礎上的“知情—同意”模式不僅會損害相關主體的用戶權益，還借助于隱私協議使企業找到規避收集數據行為法律風險的避風港。另外，《個人信息保護法》第6 條規定，企業收集個人信息應當具有明確、合理的目的，但對于哪些個人數據是符合“明確、合理”目的要求而企業有權獲取授權的，這本身就是一個不明確、無法闡明的概念，甚至對于“明確、合理”都缺乏準確的界定。因此，多數企業根據現有規范性文件或指導案例制定的個人數據合理使用合規管理體系的紙面化現象仍然嚴重，體系設計存在缺陷，體系執行流于形式，效果無法凸顯，不能有效規避各類風險?參見李勇：《涉罪企業合規有效性標準研究——以A 公司串通投標案為例》，載《政法論壇》2022 年第1 期，第140 頁。。

三、企業合理使用個人數據的合規治理模式應然轉向

從騰訊集團等大型企業初步建立內部數據安全合規體系到大型企業、國有企業、中小微企業參與企業合規改革試點，各企業均逐步探索行之有效的合規治理模式，合規制度和合規文化在我國范圍內得到全面推行?參見陳瑞華：《企業合規視野下的暫緩起訴協議制度 》，載《比較法研究》2020 年第1 期，第5 頁。，企業合理使用個人數據的治理邏輯發生轉變。

（一）引入公私合作的協同治理模式

隨著我國社會主義市場經濟體制的逐步建立和完善，為了發揮市場在資源配置中的決定性作用，主要職能為服務與監管的行政機關轉而服務于企業發展。公私合作即被稱為publicprivate-partnerships （PPP）的治理模式，該模式主張發揮雙方各自的優勢來提供公共服務。單純依靠行政機關維護市場的穩定和社會秩序容易出現滯后性。由于市場的復雜性，行政機關無法做到事無巨細，并且行政機關行使處罰權時需要其執法對象有明確的違法事實。因此，等到行政機關行使處罰權時往往是問題已經產生，呈現出了滯后性，而對于個人數據的問題而言，政府采取措施時，企業已經出現了個人數據的不合理使用的問題，嚴重侵犯了個人的隱私，危害了個人數據安全，對用戶本身產生了嚴重的后果。

公私合作的模式主張同時發揮企業（數據處理者）的自我管理作用和行政、司法機關的監督管理作用。它們通過完善外部激勵機制促進企業建立內部自我管理的規章制度，發揮企業自身的積極性，更好地起到預防個人數據不合理使用的問題，減輕了行政機關的壓力，也盡可能規避個人數據不合理使用問題的發生。因此，以公私合作的治理模式保障個人數據的合理使用，既降低了成本，也強化了效果，具有無可比擬的優越性。

（二）采取柔性治理的合規激勵措施

樹立回應型監管理念，以柔性治理措施為首選，以勸服替代壓制?！盎貞员O管”的概念來源于西方發達國家，是基于對“命令控制性監管”的批判而提出的?！盎貞员O管理念的基本觀點是為了能夠有效監管，監管者和監管手段應該適應被監管機構或者個體的行動”，“行政機關可以在傳統的命令與控制手段之外，將一些新的監管手段作為必要的補充”，有效規制企業的違規行為?參見曹煒：《環境監管中的“規范執行偏離效應”研究 》，載《中國法學》2018 年第6 期，第276 頁。，如“行政約談”便是在我國較為普遍的一種柔性治理措施。

柔性治理措施主張行政、司法機關對企業進行“勸服”，鼓勵、引導企業自我調整、自我管理，自發地建立保障個人數據合理使用的機制，盡量減少對企業的打壓、處罰，保障企業的活力，更好地促進企業的發展，也促進個人數據合理使用合規的不斷完善。如有學者指出，“合規整改的嚴厲性和實效性，使其發揮超越刑罰的實質制裁和犯罪治理效果”?參見劉艷紅：《企業合規不起訴改革的刑法教義學根基》，載《中國刑事法雜志》2022 年第1 期，第108 頁。，即將合規整改作為一種新型的柔性治理措施，企業需要針對現實化的合規風險進行相應的補救完善，打造個人數據合規等專項合規計劃，由于合規計劃的建設、運行具有較強的制裁性，這一過程超越法律制裁，更有助于企業后續合理使用個人數據。

（三）完善個人數據合理使用的規定

企業合規作為近年來興起的企業治理模式，正逐步在我國推廣開來。我國企業建立合規管理體系的積極性越來越高，國家行政監管部門也開始在多個領域引入合規激勵機制，以“合規寬大處理”的方式激勵更多企業開展合規整改。2021 年11 月15 日，市場監管總局發布《企業境外反壟斷合規指引》；2022 年7月5 日，浙江省市場監督管理局發布了省級地方標準《互聯網平臺企業競爭合規管理規范》（DB33/T 2511-2022）。在行政機關的鼓勵引導下，企業內部建立符合時代化的機制，保障個人數據的安全問題。

個人數據安全合規機制兼顧自由與秩序，保障個人數據有序流通與合理使用；數據的收集、流通和使用已成為主流，大數據時代是社會發展的必然趨勢，也為人們的生活帶來了極大便利。因此，一味限制個人數據使其無法流通顯然是不合理也無法做到的，促進大數據的有序流通對于建立國內外雙循環、大市場有著重要的推動作用，而為了彌補市場的弊端、保障數據流通的規范和合法，建立規范的數據流通法律法規也是不可阻擋的必然要求。建立個人數據合理使用的合規模式，就是為了保障個人數據的有序流通，同時也保障了其合理合法使用，既促進了數字市場的發展，也維護了社會的秩序。

四、個人數據合理使用的民行刑一體化合規體系構建

隨著三大數據立法特別是2021 年我國首部針對個人數據保護專門立法的《個人信息保護法》的正式實施，圍繞個人數據合理使用與在大數據時代下個人數據保護等問題的研究全面展開。

（一）個人數據合理使用有效合規建設的民行刑一體化需求

數字經濟時代，個人數據多層次、多維度的價值屬性意味著個人數據應受到多重法律保護，也意味著個人數據處理者面臨多元的數據安全風險，個人數據處理者應建立民行刑一體化的數據安全風險防控機制。

一方面，個人數據處理者違規處理數據行為面臨著民行刑風險，且形成一體化的個人數據安全風險。我國當前針對個人數據處理者的違規行為，已經形成民行刑完善的嚴密追責體系，違規處理個人數據的行為既可能構成民事侵權行為、行政違法行為，又可能因情節嚴重構成侵犯公民個人信息罪等個人數據犯罪，且個人數據犯罪多為法定犯，以違反前置法規定為前提。具體而言，個人數據處理犯罪行為以違反個人數據處理規則和個人數據合規管理義務為前提?參見毛逸瀟：《數據保護合規體系研究》，載《國家檢察官學院學報》2022 年第2 期，第85-86 頁。，而個人數據處理規則和個人數據合規管理義務由《中華人民共和國民法典》《中華人民共和國個人信息保護法》等民商事法律規定，個人數據處理者怠于履行義務的行為和違規處理個人數據的行為會面臨民事侵權責任和行政處罰責任，故個人數據處理者一旦需承擔刑事責任，一般情況下也需承擔民事侵權責任和行政違法責任，企業面臨著階梯化的民事、行政、刑事合規風險，民行刑違法一體化造就了個人數據安全風險的一體化。

另一方面，面對一體化的個人數據安全風險，企業應構建一體化的風險防范機制，全面化解個人數據違規處理行為的違法風險和犯罪風險。個人數據安全風險的民行刑一體化風險類型，意味著刑事安全風險由前置違法風險積累、遞進而形成。但并不否認刑事安全風險和前置違法風險的獨立性，企業構建僅足以防范刑事安全風險的個人數據，刑事合規體系尚不能有效防范前置違法風險，且刑事合規體系雖獲得減免刑事責任的刑事激勵，但未消除再次構成違法行為的可能性，仍需面臨行政處罰等非刑罰處罰措施。若企業僅構建足以防范前置違法風險的個人數據安全合規體系，則無法應對刑事安全風險，還存在個人數據犯罪的再犯可能性，缺失獲得量刑激勵措施的有力依據。故應以民行刑規范為指引，通過行業協會與檢察機關協同治理的模式，推動企業構成民行刑一體化的風險防范機制，有效防范企業個人數據處理過程中的所有法律風險?參見毛逸瀟：《“行檢協同式”個人信息合規行刑銜接激勵新模式研究》，載《法學論壇》2022 年第6 期，第65-67 頁。。

（二）“過程導向、體系完整”的個人數據通用合規要素

為了有效防范風險，企業形成包含內部合規政策、組織管理流程和合規操作指南等通用因素的合規體系，并通過事前設計（Plan）、有效執行（Do）、定期評估（Check）、動態完善（Check）的PDCA 四環節，構建從合規體系設計到合規運行效果的全過程長效性合規機制?參見劉艷紅、丁鵬：《TQM 視域下“雙一流”高校碩士學位論文全流程質量監管體系探索——以G 省2019 年碩士學位論文抽檢評議結果為樣本》，載《甘肅政法大學學報》2021 年第4 期，第2-5 頁。。

1.事前設計環節。企業需制定包含內部合規政策、組織管理體系、個人數據處理指南等全面規范個人數據處理行為的內部合規文件，類型化梳理常見的個人數據安全風險并引入可以動態識別、即時預警的風險監測機制，制定應急處置個人數據安全事件的風險響應范本，形成融“預防—監測—應對”為一體的合規體系。

2.有效執行環節。為了避免合規體系的虛置，企業應在全業務流程和全管理流程貫徹落實事前設計的合規體系，在新服務對象、新業務功能、新員工上崗等新風險源接洽、投入使用前，通過事前風險識別、員工崗前教育培訓、第三方盡職調查等多種途徑，提前預防個人數據安全風險。在企業日常經營、處理個人數據過程中，通過定期舉辦員工教育培訓、開展合規審計、形成合規報告的方式，并輔以內部員工舉報通道，全面監測業務流程和管理過程中的個人數據安全風險。在發生個人數據安全事件后，通過配合執法機關調查、立即開展內部調查、針對風險源處理其責任人、采取補救止損措施，并向有關部門報告，完善合規體系，有效應對個人數據安全風險。

3.定期評估環節。有效合規體系可以改善企業經營狀態并形成員工兼具道德感與責任感的企業合規文化?參見陳瑞華：《論企業合規的性質》，載《浙江工商大學學報》2021 年第1 期，第47 頁。，且規避民行刑法律風險，故應確保企業的合規體系保持常態化的良好運行效果。企業應定期開展合規運行效果評估活動，測評合規機制的實際運行效果，通過數據反饋發現合規體系的不足。

4.動態完善環節。數字技術的更新迭代會催生新型個人數據安全風險，在企業定期評估和全面監測過程中，若發現企業未規避的風險類型，需針對性加強風險防范機制，實現合規體系的持續改進和長治久新。

（三）“風險導向、針對強化”的個人數據專業合規要素

企業在處理個人數據的全生命周期都面臨特有的安全風險，故個人數據合規體系還應以特有的合規風險為導向，針對性強化專業合規政策、專業合規組織、專業合規評估等個人數據專業合規要素。

第一，企業需制定專業的合規政策并形成專業合規管理組織。面對個人數據處理過程中泛在且專業的安全風險，企業需制定專業的合規政策和管理指引，明確防范對象和措施，提醒內部員工規避相關風險。面臨技術性較強的專門合規風險，企業需引進專業型技術人才并設立專業的個人信息保護合規部門，通過技術手段、職業敏感性，事前預防、全面監測、識別應對相關風險。

第二，企業需開展專業的個人數據安全影響評估活動，識別、規避隱蔽的專門合規風險。根據國家市場監督管理總局公布的《信息安全技術 個人信息安全影響評估指南》（GB/T 39335-2020），專業的個人數據保護影響評估活動除卻針對內部員工和合作第三方的事前評估活動，還應針對網絡環境和技術措施、個人數據處理全流程、業務安全態勢等特有的風險源開展個人數據安全影響評估活動，及時發現并避免專門的合規風險現實化。

第三，企業應定期組織專業的個人信息保護合規審計活動。2023 年8 月3 日，國家互聯網信息辦公室公布《個人信息保護合規審計管理辦法（征求意見稿）》，要求個人數據處理者每兩年至少開展一次個人信息保護合規審計，評估個人數據安全合規體系的實際運行效果，且應重點審查個人數據專門合規風險的防范情況，確保合規體系的有效性。

結語

隨著時代發展和技術進步，數據安全保護責任逐漸由個人責任轉向平臺責任?參見劉艷紅：《人工智能時代網絡游戲外掛的刑法規制》，載《華東政法大學學報》2022 年第1 期，第65 頁。，而平臺在履行數據安全保護責任中存在內部審查機制不完善、積極保護數據信息安全的企業文化相對欠缺、數據保護系統存在技術性漏洞等問題，引入企業合規機制對于有效解決包括但不限于上述問題具有可行性且更具有優越性。但當前我國在企業數據合規和個人數據合理使用問題的研究中呈現出相互割裂的狀態，缺乏從企業合規視角研究個人數據合理使用問題的學術和實證研究成果，即當前我國雖然構建起了一套復雜的數據合規與個人數據合理使用的規范體系，但存在平衡性不足，過于行業化瑣碎化等問題，亟待從企業合規角度出發，出臺針對個人數據合理處理的規范性文件。

在個人數據合理使用的企業合規建設方面，需要立法上的專門支持，檢察院等國家機關在執法司法過程中激勵企業合理使用個人數據，企業自身要充分考慮自身的特殊性，強化責任意識，積極建立行之有效且效益長遠的個人數據合規機制，從源頭上保障數據安全和數據的合規處理。行業協會和檢察機關通力合作，發揮各自優勢，破除現有弊端，構建民行刑一體化的合規機制，實現長遠發展。以企業合規推進個人數據的合理使用是構建我國數據安全保障體系的時代問題，在當今大數據時代下，研究以企業合規建設保障個人數據合理使用具有重要的時代意義。同時，保障個人數據安全的同時還可以更好地促進數據流通，維護市場秩序，鼓勵企業內部治理，降低企業風險，提升企業的國際競爭力，維護我國企業良好的市場形象。而此問題在我國尚屬起步階段，無論是在理論研究還是具體實踐方面均沒有充足的經驗，因此，如何更好將企業合規同個人數據合理使用相結合，仍有待進一步研究。