前言

2021年7月2日网络安全审查办公室发布关于对“滴滴出行”启动网络安全审查的公告，指出将对滴滴出行实施网络安全审查。2021年7月4日，国家互联网信息办公室对“滴滴出行”App通报下架，指出其存在严重违法违规收集使用个人信息问题。2021年7月16日，七部委联合进驻滴滴，开展网络安全审查。2022年7月21日，国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。从此事件可以看出，监管部门对数字经济之下暴露的数据安全风险越来越重视，也不断在加强对企业数据安全的监管执法力度。因此，企业在利用数据资产创造经济价值的同时做好数据合规工作对于企业的长期持续经营具有深远的意义。本文笔者将从数据合规团队建设、数据合规管理体制的构建、数据合规管理有效性评估与改进三个角度出发，就企业数据合规架构进行相关探讨，不足之处欢迎指正。

一、设立专门的合规管理部门，组建数据合规团队

在企业合规的大背景下，有部分企业开始逐步组建合规管理部门，但是也有部分企业在合规实践中将企业的合规职能嵌入法务部门，即由法务部的人员在开展法务工作的同时进行企业合规治理，企业的总法同时兼任合规负责人。在企业合规人才匮乏及成本计划支出有限的情况下，由法务部人员开展合规工作可以暂时搭建企业合规管理体系，缓解企业合规压力。但是，笔者认为，这并非长久之计，从表面上看，法务人员一般都经过了法学专业教育或者培训，熟悉法律制度体系，掌握一定的法律专业技能，能够敏感识别企业日常经营中存在的法律风险，但就企业合规和法务工作的本质来看，二者区别很大。

首先，职能定位不同，法务的工作往往是被动的，如在涉及到订立合同时相关业务部门会将材料转交到法务部门，由法务人员进行审核并提出专业法律意见、建议；然而，企业合规的工作主要侧重于主动的审查、评估、预防企业经营活动中涉及的合规风险。

其次，针对的风险范围不同，法务工作主要涉及的是企业经营活动中的法律风险，如企业在履行合同中产生的违约责任或因为违反劳动法律法规的规定引发的劳动争议纠纷等；企业合规中除涉及到法律风险以外，还包括违反诚实信用或者道德准则而引发的社会责任风险，例如企业的信誉损失、形象损失等。

最后，工作依据不同，如前所述，法务工作解决的主要是法律风险，因此，其工作的依据主要是法律法规的规定；而企业合规不仅涉及到法律风险，还会涉及到社会责任风险，因此，其工作的依据还包括企业的规章制度、行业准则、道德规范要求、执业操守等。

综上所述，企业要构建完善的合规管理体系，应当建立专门的合规管理部门，另外，特定企业为达到数据合规的管理要求，还应当下设专业的数据合规团队，团队不仅需要专业的法律人员，还应包括专业的合规人员。此外，因为电子数据收集、存储、使用等通常专业性强，例如，上海市普陀区检察院公开的全国首例数据领域刑事合规不起诉案件中就涉及到违法使用网络爬虫的情况，故此，专业的数据合规团队同时还应当配有专业的计算机人员辅助日常工作。

二、审视现有数据资产、识别风险，构建长期运行有效的数据合规管理体制

企业在建立专业的数据合规团队之后，可以通过以下几步构建本企业的数据合规管理体制：

第一步，应当就企业现有的数据资产进行全方位、深层次的审视，对于数据资产进行合理分类，譬如将数据分类为一般数据、重要数据、核心数据、个人信息、商业秘密等；

第二步，从该数据的使用的整个生命周期出发，包括数据的收集、存储和跨境传输、使用和加工、提供和公开、删除环节，评估数据安全风险等级，如发现问题应当及时整改，对于违法收集的数据应当及时履行删除义务，避免合规风险。结合此次“滴滴事件”来看，其违法事实主要是以下几个方面：一是违法收集用户手机相册中的截图信息1196.39万条；二是过度收集用户剪切板信息、应用列表信息83.23亿条；三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息1.67亿条；五是过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条；七是在乘客使用顺风车服务时频繁索取无关的“电话权限”；八是未准确、清晰说明用户设备信息等19项个人信息处理目的。前述八项主要落脚在两个方面，一是过度收集个人信息，二是违规使用个人信息。因此，笔者建议，企业在收集和使用个人信息时应当遵循“合法、正当、必要和诚信原则”、“目的比例原则”、“公开透明原则”，在收集个人信息时履行告知义务，在处理使用个人信息时须经过个人信息提供者的同意。

第三步，针对按照前述分类的专项数据制定相应的合规管理措施，确定不同的等级管理制度，形成分类治理体制。例如，对于重要数据采取备份和加密等措施，对于涉及国家安全的数据应当注意严格限制跨境传输，对于需要向境外提供的个人信息，应该严格履行法定程序，通过国家网信部门组织的安全评估，经专业机构进行保护认证等。

第四步，企业可以对照前述的工作流程，从数据分类、数据使用生命周期、数据等级管理三个维度出发，结合到具体的业务部门、业务方向，布局合理的数据管理架构，并对内部人员（包括企业高层）及外部合作第三方进行数据合规培训，逐步形成长期运行有效的数据合规管理体制。

三、定期开展数据合规管理工作有效性评估，并持续改进

企业在建立了数据合规管理体制后，应当定期对数据合规管理的有效性开展评估，主要包括以下三种形式：

1、数据合规监控，所谓的监控是一个持续性的数据合规风险监测、识别、审查和分析的过程，主要通过企业内部有效的举报机制和各职能部门之间的联动配合实现，例如业务人员在业务活动中发现了数据合规问题，主动向合规管理部门反映，部门接受举报后交由数据合规团队分析处理。从而保障企业在日常经营活动中收集、存储、使用、处理数据等活动符合我国相关法律法规规定的数据合规要求。

2、数据合规审计，此项审计工作可由企业内部独立的审计部门完成或者委托外部第三方审计机构、专业的律师事务所，通过运用专业系统的方法，对企业的各项业务活动中涉及的数据合规管理工作进行审查和评价打分，并出具相关专业意见，对审计中发现的问题逐项进行说明，将问题进行风险等级分类，如高级、中级、低级风险，并针对存在的数据合规风险提出落地到位的整改意见和措施，以此促进企业不断完善数据合规治理体系，增加企业价值，实现战略目标。

3、管理层评审，此项工作主要由企业的高层管理者牵头展开，参与人员可以包括：企业合规负责人，总法律顾问，首席运营官，内部审计主管，各业务部门负责人。评审工作应当以风险为导向，结合企业的业务性质、所受监管水平、数据合规现状等实际情况确定，就数据合规管理体制的适应性、充分性、有效性以及数据合规方针和目标的贯彻落实情况进行综合评价。甚至可以将本企业的数据合规管理工作细分为各项指标，对标行业内其他企业，从而进行评价打分，并可评分为“领先”、“同步”、“滞后”，以此来寻找差距，借鉴其他先进企业的数据合规的专业经验，达到本企业数据合规持续改进的目的。

结语

随着信息网络技术的飞速发展，各行业都在推行互联网＋的运营模式，数据逐渐成为企业的一项重要的生产要素，为企业的发展带来了新机遇，但是企业利用数据资产进行经营活动的同时也会引发些数据保护与安全问题。当前形势下，我国对数据合规的监管越来越严，企业应提高数据合规管理的意识，积极开展数据合规管理体制建设，注重数据合规管理工作，这不仅可以为企业防范数据合规风险，甚至在特定条件下可以适用合规不起诉制度来减轻企业的相关责任，从而实现企业的持续经营，不断创造商业价值。

参考文献：

【1】何忠江等：《大数据安全特征与运营实践》，载《电信科学》2021年第5期；

【2】李玉华 冯泳琦：《数据合规的基本问题》，载《青少年犯罪问题》核心期刊2021年第3期；

【3】最高人民检察院《贯彻执行个人信息保护法推进个人信息保护公益诉讼检查工作》（2021年8月21日）

【4】《企业合规事务管理》（高级），企业合规专业委员会组编

【5】网信中国微信公众号：《国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定答记者问》

律师介绍

李国信律师，中共党员，硕士研究生学历，现为北京市律师协会会员，北京市京师律师事务所专职律师，高级企业合规师，专业领域：诉讼、仲裁法律服务；企业合规风险管理；公司法律服务；婚姻家庭继承；房地产与建筑工程法律事务；房屋拆迁与土地征收。