自2017年以来，我国在网络安全和数据保护方面不断加快立法步伐，《网络安全法》《数据安全法》《个人信息保护法》等法律法规以及大量相关行业标准相继出台生效，使得数据合规成为企业大合规的重要组成部分，纳入企业治理的范畴。传统行业与互联网结合后产生的互联网+企业往往对与网络安全和数据保护相关的法律法规并不熟悉，然而相关监管措施已经“不期而至”地成为所有企业需要面对的问题。在我国数据强监管趋势下，本文将为互联网、互联网+企业介绍的数据合规在企业治理中的重点问题。

一、数据安全、信息保护执法频次日益增高，数据强监管时代已到来。

据统计，全国网信系统全年累计依法约谈网站平台8608家，警告6767家，罚款处罚512家，暂停功能或更新621家，下架移动应用程序420款，会同电信主管部门取消违法网站许可或备案、关闭违法网站25233家，移送相关案件线索11229件。

工信部门则在2022年发布了6批《关于侵害用户权益APP的通报》，对数百款APP侵害个人信息等行为进行通报并责令整改，对于未在规定时间内完成整改的APP，责令其于各大应用市场中下架；对运营APP的企业或个人，工信部门则对其科以罚金，情节特别严重的，移送公安检察机关侦办处理。

在检察院执法方面，2021年全国检察机关共立案个人信息保护相关公益诉讼案件2276件，而2022年前三个季度猛增至5000余件。其中民事公益诉讼案件中被告不乏中小企业，甚至是个人。他们除了需要支付损害赔偿外，还需要向社会公众刊发赔礼道歉声明，严重影响企业的商誉，让消费者对相关产品或服务失去信心。

立法机关、监管机关在积极行动，网络及数据安全强监管已然成为新常态，无论是行业巨头还是中小企业身上都不存在“免死金牌”，企业通过良好公司治理实现数据合规是大势所趋。

二、企业落实数据合规的窗口期业已过去，数据安全的法律风险需要依靠良好的合规体系来规避。

一般来说，“企业治理”是指通过一套相对完整的内部政策和程序，对企业进行决策、管理和控制的过程，该过程往往与一家企业的风险管理与合规紧密相关。“风险管理”侧重于查明、分析并降低企业面临的风险，而“合规”则侧重于企业通过自我监管和纠偏从而确保企业运营合法合规。

随着海量网络安全与数据保护相关立法的出台，企业管理层必须在企业内部搭建相关内部控制与合规制度，以便应对法律法规的合规要求。在此过程中，有两个问题逐渐凸显。首先，企业管理层投入学习法律法规及行业标准的时间和精力相当有限，几乎不存在“速成”的可能；其次，相关立法和行业标准为了跟上新业态、新技术的步伐，其出台速度远超过往，让企业管理层应接不暇。故此，不少企业并未真正将数据合规体系有机整合到公司治理当中，而是以“见招拆招”和“个案个办”的态度面对数据合规监管和风险事件。

《网络安全法》已生效数年，《数据安全法》和《个人信息保护法》也已生效一年有余，配套法律法规留下的宽限期多数也已期满，尽管应对监管及合规的方法态度各不相同，但各家企业落实数据合规的窗口期业已过去，数据合规之路别无选择。

我们以《个人信息保护法》第七章的法律责任为例。该法第66条第二款规定，违反《个人信息保护法》情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

上述法律责任，可为企业带来相当严重的处罚后果。2022年7月21日，国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对某出行服务行业的头部企业处以人民币80.26亿元罚款，对其董事长兼CEO、总裁各处人民币100万元罚款。该巨额罚单对行业巨头的经营活动虽然不会造成明显影响，但对其他各行业企业来说必定属于无法忽视的警示和教训。

大型科技企业用户数量巨大，业务场景类型繁多，受到的关注自然不低，而作为我国经济和国计民生重要支柱的国有企业，面对的监管压力也不小。

2021年12月20日，广州市人民政府国有资产监督管理委员会发布了《广州市国资委监管企业数据安全合规管理指南（试行2021年版）》（简称“《指南》”），作为全国首个数据安全合规指南的地方标准，《指南》的出台是广州市对2021年9月实施的《数据安全法》和11月实施的《个人信息保护法》等上位法在国有企业合规领域的实操指导性文件。《指南》结合企业合规管理建设实践，将数据安全合规管理的要求纳入现有合规管理组织体系，围绕数据安全合规管理的三道防线、数据分类分级管控标准和管控要求等内容规范企业数据处理活动，保障数据安全，保护个人、组织的合法权益，为企业数据安全合规提供指引。虽说《指南》只是指引性文件，但在监管机关调查数据安全事件时，指引文件中的条文往往会成为作出责任判定的重要依据，辖区范围内国有企业必须认真对待，切忌因为“指南”二字而对数据合规管理掉以轻心。

对于背负数据安全和个人信息保护监管压力的企业来说，唯有以最为重视的态度，尽快在现有企业合规体系内增加、完善数据合规相关内容，才能在强监管环境中规避数据安全方面的法律风险。

三、数据合规应当如何实现？

概括来说有三步。首先，企业需要在内部建立数据合规配套的制度；然后，企业应由上而下地推行该制度，将数据合规落到实处；最后，通过审计确保数据合规制度的切实有效和长期有效性。

企业应首先建立数据安全管理规范，包括基本原则（数据管理和使用原则），数据生命周期安全管理（数据生成和采集、存储、传输、使用、委托处理、共享和披露、备份与恢复、删除与销毁等），个人信息安全管理（个人信息的收集、存储、传输、使用、委托处理、共享、转让、披露、清理与删除等），系统和软件生命周期与数据安全（立项/需求阶段、设计阶段、开发阶段、测试阶段、系统上线、系统运维等），违规罚则与监管责任等。

相关制度的建立是数据合规工作的重要基础，数据合规制度层面的缺失在监管部门来看是企业对遵守数据安全相关法律的漠视，甚至会得出“相关业务在设计之初就是为了规避或钻法律的空子”的结论，最终企业及其负责人可能失去与监管部门达成合规不起诉安排的可能性，面临严厉的行政甚至刑事处罚。结合目前实践来看，多数面临刑事风险（例如：侵犯公民个人信息罪）合规不起诉案件的整改期限在3个月到半年之内，如果企业在案发时连数据安全管理制度都没有，需要从零开始整改，可能在期限内很难完成整改，检察机关不得不起诉。但是，如企业在案发时已经建立相关制度，只是制度在落地方面存在执行与监管的缺位，可以给监管部门信心，相信企业还可以通过合规不起程序及时查漏补缺抢救回来，给相关企业和负责人留一条安全通道。

四、结语

在市场竞争和数据安全监管皆日益增强的大环境下，企业既可以通过将数据合规及数据保护的政策内容纳入其产品或运营平台中作为卖点增强竞争力，也可以通过建立数据合规制度证明其无意侵犯个人信息，更为从容地面对监管。此外，一旦企业被卷入数据安全案件，相关合规制 度及其实施的记录对企业申请检察机关合规不起诉也极有帮助。可见，数据合规与数据安全管理制度的建立是“互联网+”时代企业治理不可或缺的重要环节。

律师介绍

程珂昵
管委会副主任、数据合规中心主任

風璟法律服务团队创始人
广州市人大常委会监察与司法委员会咨询专家
《中小企业合规认证标准》起草人
中国中小企业协会认证“企业合规师”

具有“数据合规评估”“资信评估合规审查”“征信信息合规审查”等多维度数据应用评估经验。風璟法律服务团队在数据处理、使用、交易领域提供一站式法律服务，涵盖多个场景下的数据应用合规，包括：建立企业数据合规风控体系、数据合规评估咨询、数据出境路径设计、办理数据出境安全评估、数据安全事故处理、行政检查应对、争议解决、数据合规培训等。

陈希
数据合规中心秘书长

英国卡迪夫大学国际商法硕士，现为华进律师事务所数据合规中心秘书长，持续深耕企业合规、数据安全及个人信息保护合规等新兴领域，目前担任中共广州市委网络安全和信息化委员会办公室、广州市网络舆情信息中心、广州市网络安全指挥中心常年法律顾问。

免责声明

“华进律师”发布的原创文章仅代表作者本人观点，不得视为正式法律意见或建议。如需转载或引用该等文章的任何内容，请注明出处。未经同意不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。

原文链接

https://mp.weixin.qq.com/s/yN1uoDFFkcKUTkQczMa5Qw