企业合规师资讯：检察履职引领企业数据合规建设

      数字经济是一种新型经济形态，促进数字经济在规范中高质量发展是未来一个时期我国推动经济社会发展的一个重要方向。杨浦区检察院制定发布《企业数据合规指引》，配合第三方机制管委会组织数据犯罪合规考察，引导数字企业建立数据合规管理体系，帮助数字经济企业合法合规成长，为数字经济高质量发展提供了更加优质的法治保障。其中制定专项数据合规指引与标准、推动数字创业园区行业合规、提升区域数字经济合规管理水平等经验具有较高的推广价值，各地检察机关可以借鉴这些经验并结合区域特点探索企业合规改革的新路径。

      企业合规是企业为实现依法依规经营、防控合规风险所建立的一种治理机制，这种机制在国际贸易与国内改革的推动下进入本土以后，形成了检察机关主导的鲜明特色。2021年3月，杨浦区检察院主动申请成为上海市企业合规改革试点单位后，为了应对数字化犯罪治理背景下不断强化的企业数据和数字技术等方面的合规义务，积极探索符合杨浦数字经济特点的改革方向，联合上海市 杨浦区工商业联合会、上海市信息服务业行业协会、上海数据合规与安全产业发展专家工作组制定发布了全市首创的《企业数据合规指引》，并组织举办了数字企业合规文化促进行动，制定企业数据安全类犯罪合规标准，成立企业数据合规服务工作站，倡导各类企业建立数据合规管理体系，为区域数字经济高质量发展提供了更加优质的法治保障。

      一、数据合规建设的背景与价值

      企业合规改革的概况

      2020年3月起，最高人民检察院在上海浦东、金山，江苏张家港，山东郯城，广东深圳南山、宝安等6家基层检察院开展企业合规改革第一期试点工作。2021年3月，最高人民检察院决定扩大试点范围，决定在上海等全国十个省份推进第二期试点工作，其中上海试点单位包括杨浦在内共有16家检察机关。根据最高检关于企业改革的工作方案，可以将企业合规改革的内涵总结为：检察机关对于符合适用条件的企业犯罪案件，设立一定的考察期限，督促企业积极履行合规承诺，建立健全合规管理体系，由监督考察主体作出考察评价后，经过公开听证程序，结合认罪认罚从宽制度，对涉嫌犯罪企业、犯罪嫌疑人依法作出不批准逮捕、不起诉决定或者根据认罪认罚从宽制度提出轻缓量刑建议等决定，促进企业合规守法经营，减少和预防企业犯罪。2021年底，最高检在企业合规改革会议上提出，各地要加强专项合规探索，推动个案合规向行业合规发展。可以看出，检察机关期待发挥企业合规的示范效应，努力实现刑法的个别预防价值与一般预防价值的结合。

      开展数据合规建设的重要价值

      数据合归属于企业专项合规的一个重要类型。数据合规对于企业经营、个人信息保护和数字经济的规范发展具有重要意义。一是帮助企业防范法律风险，或者在发生法律风险时减轻、免除企业责任，从而实现企业的可持续发展。在大数据时代，数据本身就蕴涵着巨大的价值，企业只有加强自身数据合规体系建设，堵塞制度漏洞，坚守数据合规底线，强化数据合规意识，才能帮助企业防范数据法律风险，增强数据资源核心竞争力，树立企业的品牌声誉，筑牢企业健康可持续发展的基石。二是保护个人信息和其他合法权益。数据泄漏和滥用严重威胁个人权益、财产安全甚至生命健康。加强企业数据合规治理，保护个人数据安全，避免企业滥用用户信息，促进企业依法合理使用个人数据，对于保护个人隐私和保障消费者权益具有重要意义。三是规范数字经济发展轨道，推动数字经济蓬勃发展。随着数字经济向数据经济、算法经济等人工智能场景的高阶形态发展，数据安全与发展的动态平衡已成为数字经济领域各类新业态、新产业、新模式创新发展的关键。强化企业数据安全责任，维护好用户 数据权益及隐私权，有助于提高数据共享意愿，最终推动数字经济走向繁荣。

      企业数据合规指引的起草背景

      2021年可以称之为数据合规的元年。在立法层面，数据安全法、个人信息保护法陆续颁布实施，与网络安全法共同构成了我国数据法规的基本体系。在执法层面，一些涉及知名企业的案例引起了社会公众的广泛关注，以个人信息滥用为主要诟病的数据风险事件屡禁不止也引发了舆论对于数据合规的热烈讨论。数据合规对于企业经营管理越来越重要，数据产业也必须围绕合规的框架发展完善。在此背景下，杨浦区检察院以数据法规为依据，以企业合规基本理论和iso37301合规管理体系要求及使用指南为指导，结合城市数字化转型的背景起草了《企业数据合规指引》的初稿，然后联合上海市杨浦区工商业联合会、上海市信息服务业行业协会、上海数据合规与安全产业发展专家工作组先后召开了企业代表座谈会和专家学者座谈会，听取企业代表和专家学者的意见， 对指引进行了针对性地修改，使其更加符合数据合规逻辑和经验的要求。

      二、企业数据合规指引的框架与机制

      企业数据合规管理体系的组织架构

      企业数据合规指引认为，企业的最高管理者是数据合规的第一责任人。一般由董事会直接设立企业合规部门，下设数据合规管理部门等各类专业合规部门。企业应当向数据合规管理部门负责人提供足够的授权、人力、财力来支持数据合规管理体系的运行。从静态的角度来看，为了保障合规计划有效运行，董事会至少应在六个方面提供资源保障：一是授权合规负责人及其下属足够的权力，确保他们不受阻碍地执行合规计划；二是根据公司规模及业务复杂程度配备足够的人力资源；三是为合规计划的运行提供足够的经费保障和职工工资福利；四是为合规人员、管理层、普通职工提供定期培训，使其了解相关法律规范、企业合规计划、各自的角色与责任等，培育合规文化；五是制定适当的激 励措施使合规计划得到一致遵守和执行；六是对从事犯罪行为和未能完全执行合规计划的职工采取适当的纪律措施。从动态的角度看，应建立报告、发现和调整机制：报告机制是合规计划的关键，管理层及员工的行为在他人观测之下倾向于符合规范的要求，应当允许员工实名、匿名举报企业内部的违规、犯罪 行为，采取一定的保护措施使其不用担心打击和报复，并制定实名、匿名举报下的具体处理方式；发现机制是合规计划最直接的功能，即通过日常监测和定期评估发现企业运行中存在的违规、犯罪行为及不符合合规要求的人员，并按照纪律规定处以内部处罚或者移送司法机关处理；调整机制是合规计划的命脉，未来的不确定性导致企业面临市场、产品、经营、政策、公关、自然灾害、外交等风险，合规计划必须根据内部环境和外部环境的变化不断调整，以帮助企业应对各种风险的挑战。

      企业数据合规管理体系的运行机制

      企业建立数据合规管理架构以后，可以按照指引提出的咨询、发现、举报、激励和纪律、培训与承诺以及合规文化的培育等内容来运行数据合规管理体系。一是建立合规咨询机制。管理层和各部门员工在工作中可以向数据合规管理部门咨询数据合规问题。数据合规管理部门应当不断学习、提升合规管理水平，也可以同外部机构开展数据合规咨询合作。二是建立发现机制。发现机制是数据合规管理部门通过日常监测和定期评估发现数据不合规行为的机制，可以通过设置日常的流程监控、内部审核、重点核查以及定期评等方式发现企业及员工的违规行为，并及时按照合规计划采取相应的处置措施。三是建立举报机制。举报机制是员工根据合规计划举报企业内部违规行为的机制，应当允许员工实名或者匿名通过内部举报系统举报数据违规行为，并严格保护实名举报者和匿名举报者不受打击和报复，尤其是保护匿名举报者的个人信息安全。四是建立激励和纪律机制。企业应当建立数据合规考核机制，数据合规考核结果作为企业绩效考核的重要依据，与员工的评优评先、职务任免、职务晋升以及薪酬待遇等挂钩，对于不严格执行甚至违反合规计划的管理层和员工，采取适当的纪律措施进行惩戒，并根据违规程度采取不同的风险处置措施。五是建立培训与承诺机制。数据合规管理部门应当建立培训机制，定期为管理层、员工培训数据合规，使其充分了解数据法规、数据合规计划、岗位角色与职责等。鼓励企业管理层和其他员工作出并履行明确、公开的数据合规承诺，内容主要是知悉、愿意遵守数据合规计划，愿意承担违反数据合规承诺的后果。六是建立数据合规文化培育机制。鼓励企业将数据合规文化作为企业文化建设的重要内容，践行合规经营的价值观，不断增强员工的数据合规意识。鼓励行业协会在本行业内积极倡导数据合规文化，强化行业的数据合规意识。

      企业数据风险的识别与评估处置

      1.准确识别数据风险

      企业合规指引指出，企业在制定合规计划的时候应当全面识别所面临的数据风险，根据这些风险来制定和完善合规计划。指引列举了一些常见的数据风险。例如：数据处理者开展影响或者可能影响国家安全的数据处理活动，应当按照国家有关规定，申报网络安全审查；数据处理者在采用网络爬虫等自动化工具访问、收集数据时，应当评估对网络服务的性能、功能带来的影响，不得干扰网络服务的正常功能；数据处理者处理个人信息，应当依据个人信息保护法的规定遵守八项规则，并在特定情况下删除个人信息或者进行匿名化处理；数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得强制个人同意收集人脸、步态、指纹、虹膜、声纹等生物特征信息；数据处理者向第三方提供个人信息，或者共享、交易、委托处理重要数据的，应当遵守三项规则，以及跨境提供数据应当遵守特定条件。此外，指引还特别对数据刑事风险进行了提示。数据处理者在数据处理活动中可能因为存在某些行为被追究刑事责任：包括侵犯公民个人信息罪、破坏计算机信息系统罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪、拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪、侵犯商业秘密罪。

      2.充分评估与合理处置数据风险

      企业在识别数据风险内容的基础上，可根据自身经营规模、组织体系、业务内容以及市场环境，分析和评估数据风险的来源、发生的可能性、后果的严重性等，并对数据风险进行分级。数据合规部门负责人应当根据风险评估结果对不同职级、不同工作范围的管理层与员工进行风险提示，降低管理层和员工的违法犯罪风险。企业还应建立健全风险处置机制，对识别和评估的各类数据风险设置恰当的控制和应对措施来降低风险，必要时停止相关风险行为。当企业受到数据监管部门调查时，应通知管理层、法务负责人、数据合规负责人和相关业务工作负责人等，按照企业内部受调查操作流程妥善应对，进行内部初步调查，分析相关法律法规并评估数据违法行为成立的可能性与法律后果。企业应积极配合数据监管机构调查。不得拒绝提供有关材料、信息，或者提供虚假材料、信息，或者隐匿、销毁、转移证据，或者有其他拒绝、阻碍调查的行为。

      三、数据合规标准与涉案企业合规考察

      企业数据安全类犯罪合规标准的依据及框架

      企业数据合规指引发布后，被人民网、检察日报、解放日报、上海电视台、广东电视台等多家媒体宣传报道，取得了良好的法治效果和社会效果。与此同时，数字企业也呼吁检察机关出台更加明确的合规考察标准，使第三方专家在调查、评估、监督和考察涉案企业合规整改情况时能够参照专业考察标准，对涉案企业作出客观、公正的评价。有观点认为，确立有效刑事合规基本标准需要考虑企业规模、企业领域、发展阶段等多种因素，应当包括预防机制、识别机制和应对机制。杨浦区检察院吸收了这一观点，并根据网络安全法、数据安全法、个人信息保护法、刑法和九部委《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》《涉案企业合规管理体系有效性评估和审查标准》（检察理论研究所研究意见稿）的相关规定，结合数据安全类犯罪办案实践，制定了《数据安全类犯罪专项合规计划的有效性评估和审查标准》，从合规管理体系设计的有效性、执行的有效性、效果的有效性三个方面设置了一整套评分体系。其中设计的有效性占比为40%，包括责任人和管理架构、规范和制度、风险识别评估与处置、培训和沟通机制、举报和调查机制、第三方关系管理六个评价维度；执行的有效性占比为30%，包括合规承诺、授权和资源、激励和纪律三个评价维度；效果的有效性占比为30%，包括合规文化、持续改进、违规事件三个评价维度。这三个层次、十二个评价维度既为涉案企业提供了整改方向，也给第三方专家提供了科学评价依据。

      企业合规管理体系设计的有效性

      1.责任人和管理架构

      （1）企业的最高管理者是数据合规的第一责任人，应当分配足够和适当的资源来建立、发展、实施、评估、维护和改进数据合规管理体系；（2）一般由董事会直接设立企业合规部门，下设数据合规管理部门等各类专业合规部门。企业也可以将数据合规管理职能融入现有的合规管理体系。尚不具备条件设立专门合规管理部门的企业,可由相关部门(如法务部、风控部等)履行合规管理职责,同时明确具体负责人；（3）企业可以在与数据处理有关的内设部门设立相应的专职或兼职的管理岗位，定期收集、整理与反馈相关信息至合规部门。

      2.规范和制度

      （1）企业应当根据我国法律法规，参考国际国内技术标准，结合企业自身的经营范围、行业特征、监管政策、风险识别等因素制定并不断完善数据合规计划。同时，企业可以制定员工准则、操作规范、业务守则等具体规范，明确员工应当遵守的数据合规义务；（2）企业应采取一定的措施确保数据合规计划等规范具备设计的科学性、更新的及时性，以及实施的全面性、深入性。

      3.风险识别、评估和处置

      （1）企业应当全面、系统、持续地收集内部和外部相关信息，综合考虑行业属性和企业自身特点，准确识别企业经营活动及其业务流程中的数据风险。常见的数据风险包括收集、传输、存储、加工、使用、提供、公开、删除等数据全生命周期各阶段中可能存在的未授权访问、数据滥用、数据泄漏等风险，以及侵犯个人信息、非法获取计算机信息系统数据、传播违法信息、侵犯知识产权、非法跨境提供数据 等刑事犯罪风险；（2）企业在识别数据风险内容的基础上，可根据自身经营规模、组织体系、业务内容以及市场环境，分析和评估数据风险的来源、发生的可能性、后果的严重性等，并对数据风险进行分 级。然后根据风险评估结果对不同职级、不同工作范围的管理层与员工进行风险提示，降低管理层和员工的违法犯罪风险；（3）企业应当定期测试数据风险识别与评估的有效性，重点关注企业特定业务范围内最有可能发生的数据安全事件，并根据识别与评估结果及时修订数据合规计划；（4）企业应建立数据安全事件应急预案与风险处置机制，对识别和评估的各类数据风险设置恰当的控制和应对措施来降低风险，必要时停止相关风险行为；（5）发生个人信息等数据泄露、篡改、丢失等事件的，企业应当立即采取补救措施，并通知所在地区的数据监管部门。安全事件涉嫌犯罪的，应当及时向公安机关报案。

      4.培训和沟通机制

      （1）企业应当建立培训机制，定期为管理层、员工培训数据合规，使其充分了解数据法规、数据合规计划、岗位角色与职责等，确保员工理解、遵循数据合规目标和要求；（2）企业应建立数据安全管理沟通制度，确保处理数据的员工与企业网络安全部门、数据合规管理部门等中高管理层的定期沟通和反馈，并和数据监管机构保持良好沟通。发现问题应及时报告并采取应对措施。

      5.举报和调查机制

      （1）应当允许员工、客户和第三方实名或者匿名通过邮箱、电话等途径举报数据违规行为，并严格保护实名举报者和匿名举报者不受打击和报复，尤其是保护匿名举报者的个人信息安全；（2）员工、合作伙伴或第三方被举报或者监测到可能存在违规、违法或犯罪时，企业应及时针对举报信息、违规线索展开彻底的内部调查，由合规管理部门或其他受理举报的监督部门制定调查方案，明确组织调查的人员和范围，调查响应方式等，并规定不同调查结果下的处置方式。

      6.第三方关系管理

      （1）企业应当关注关联企业、供应商、经销商、代理商、合作企业等第三方的合规建设情况，尤其是与第三方发生关系时可能产生的数据风险；（2）企业向第三方提供个人信息，或者共享、交易、委托处理重要数据的，应当要求数据接收方履行约定的义务，不得超出约定的目的、范围、处理方式处理个人 信息和重要数据，且不得从事数据法规禁止的行为。

      企业合规管理体系执行的有效性

      1.合规承诺

      （1）企业管理层和其他员工应作出明确、公开的数据合规承诺，内容主要是知悉、愿意遵守数据合规计划，愿意承担违反数据合规承诺的后果；（2）企业各级管理层应当带头履行合规承诺，在日常经营管理中阐明、引导、鼓励员工遵守数据合规要求和具体准则，并进行合理监督。

      2.授权和资源

      （1）企业应当向数据合规管理部门提供足够的授权、人力、财力来支持数据合规管理体系的运行；（2）企业可以通过数据合规管理信息化建设和大数据分析等工具，加强对经营管理行为中的数据合规的实时监控和风险分析。

      3.激励和纪律

      （1）企业应当建立数据合规考核机制，数据合规考核结果作为企业绩效考核的重要依据，与员工的评优评先、职务任免、职务晋升以及薪酬待遇等挂钩；（2）对于不严格执行甚至违反合规计划的管理层和员工，企业应采取适当的纪律措施进行惩戒，并根据违规程度采取不同的风险处置措施。

      企业合规管理体系效果的有效性

      1.合规文化

      （1）企业形成数据合规价值观，能够按照合法、正当、必要和诚信原则开展数据处理活动；（2）企业能够对潜在的和客观存在的数据风险进行系统全面的识别和分类，分析风险产生的原因和过程，分析风险的源头，制定应对策略；（3）企业管理层和员工能够学习并了解有关法律法规和数据安全管理标准，熟悉并遵守数据处理的基本流程和注意事项。

      2.持续改进

      （1）企业能够根据法律、政策的调整及时修订数据合规计划等具体规范，不断完善数据风险识别、评估与处置体系；（2）企业能够通过不定期的主动检测等方式，发现合规体系的不足并加以改进，同时根据企业自身发展情况和数据处理的规范要求，进行差异化分析，确定部分特定风险领域是否得到充分重视；（3）企业至少每年开展一次数据合规计划有效性的全面评估，根据评估效果持续改进数据合规计划。

      3.违规事件

      （1）发生违规事件并不意味着企业合规管理体系是无效的。只要企业合规管理体系能够在合理时间内发现违规行为，并按照计划及时补救和报告，就可以认为该企业合规管理体系是有效的；（2）企业能够对违规事件开展独立客观的调查，分析违规原因，采取补救措施和追究责任，例如对违规事件予以内部通报，做好警示教育，从而降低相同或类似问题再次发生的风险；（3）违规事件若涉及违法犯罪，企业应及时移交行政监管部门或司法机关处理，保持与有关国家机关的有效沟通，并提供必要的工作支持。

      四、提升数据合规治理水平的进一步探索

      联合举办数字企业合规文化促进行动

      大数据、人工智能的发展为企业发展带来了新的机遇，但是某些企业利用数据从事毫无约束的逐利行为也引发了一系列数据风险问题。一方面，个人信息泄露与滥用问题日益严峻，诱发了不少侵犯公民个人信息甚至利用个人信息实施诈骗等犯罪事件。另一方面，经济全球化促使数据全球化流通趋向常态化，企业在利用便捷的信息技术跨境传输数据创造利润的同时，也为数据保护和国家安全问题带来新的难题与挑战。对此，需要通过建立以最高管理者为第一责任人的数据合规管理体系，切实将数据合规贯穿于业务活动的各个环节，并且将数据合规作为企业文化建设的重要内容，不断增强各级管理者和一线员工的数据合规意识，培育企业数据合规文化。

      联名签署企业数据合规倡议书

      在杨浦区检察院的倡议下，部分头部企业纷纷响应号召，代表参会企业在各方领导见证下联名签署“企业数据合规倡议书”。倡议书鼓励企业从以下几个方面建立合规，比如：建立以最高管理者为第一责任人的数据合规管理体系；设置数据合规专员或数据合规管理部门，负责执行企业数据合规管理工作；数据合规专员或数据合规管理部门应结合企业自身的经营范围、行业特征、监管政策、风险识别等因素制定并不断完善数据合规计划；数据合规计划至少要包括数据合规管理架构、数据风险识别、评估与处置，以及咨询、培训、举报、激励、纪律等内容；若发生数据泄露、篡改、丢失等事件的，企业应当立即采取补救措施，并通知所在地区的数据监管部门，涉嫌犯罪的，应当及时向公安机关报案。并呼吁平台企业加强数据安全保障，确保海量的用户数据不受泄露和滥用。

      揭牌成立数据合规服务工作站

      为引导企业提升数据合规意识，加强数据合规管理，提高企业的抗风险能力，杨浦区成立了“企业数据合规服务工作站”，并且聘请了十余名数据合规专家，专门向企业提供数据合规咨询服务，受到了数字企业的广泛欢迎。相关专家认为，在经营活动中，企业不能仅关注自身利益，无视在利用数据追求利润的过程中对外部产生的不良影响，否则将无法实现提升市场竞争力与可持续发展的目标，甚至有可能给企业和管理者带来巨大损失。还有专家指出，企业只有主动承担起保护数据安全的法定义务和社会责任，并建立起有效的数据合规管理体系，才能获得广大用户的支持和欢迎，才能在激烈的市场竞争中脱颖而出。

      探索建立企业数据合规自评估体系

      杨浦区检察院与上海数据合规与安全产业发展专家工作组合作，探索建立企业数据合规自评估体系。该体系的功能在于协助企业检验自身数据合规建设是否有效，并帮助企业提升数据合规管理的质量和效果。目前，企业合规自评估体系已经囊括个人信息保护类评价模板、跨境信息提供类模板、互联网信息安全类模板。企业可以对照自评估体系的合规模板，在识别数据全生命周期风险的基础上，对隐私政策、数据安全和风险管理措施等数据治理体系进行盘点，根据完成度对每一项要求评估得分，然后根据评分结果有针对性地修改完善数据合规制度，解决隐藏的数据合规风险，提升数据合规管理水平。一切伟大成就都是接续奋斗的结果，在企业数据合规深入发展的道路上，可以通过持续派遣检察官深入企业园区培训数据合规，引导企业加强数据合规管理，提高企业的抗风险能力，并与本区数字行业监管部门开展对接合作，明确数字经济的行业规范、发展规划、违法责任等具体制度规则，兼顾企业数据权利益与用户数据保障，更好地促进和保障数字经济“在发展中规范、在规范中发展”。

      （来源：上海市法学会）