数据合规的基本问题

李玉华 冯泳琦

一、问题的提出

在大数据时代，如通讯录、人脸、指纹等个人数据面临着被过度收集和不法利用等风险，在使用智能软件时，人们常被要求提供与软件功能无关的信息，允许智能软件获取通讯录、地理位置等信息几乎是前提条件，个人隐私等合法权益很可能在不知不觉中受到侵犯。根据工业和信息化部的调查整治行动结果，截至2021年4月7日，共发现有819款应用软件存在违规收集、使用个人信息等侵犯用户权益行为。2021年“央视3·15晚会”提到了多个企业存在通过人脸识别技术自动抓取用户信息行为，某科技公司推出具有人脸识别功能的摄像头，在多个店铺门店安装后，未经用户许可抓取人脸数据，对用户的性别、年龄甚至心情等进行分析。(1)岳品瑜、廖蒙：《央视315晚会曝光监控自动抓取人脸数据，万店掌等机构被点名》，https://finance.ifeng.com/c/84djKpDrrjo?ivk_sa=1023197a，2021年3月31日访问。除此之外，个人数据被泄露的事件层出不穷。例如，2020年8月，我国某快递公司的员工通过出租员工系统账号导出客户个人数据并卖到全国及东南亚等电信诈骗高发区，超过40万条个人信息被泄露，涉案金额120余万元。(2)李大伟：《圆通多位“内鬼”有偿租借员工账号，40万条公民个人信息被泄露》，https:/www.bjnews.com.cn/detail/160552366415807.html，2021年2月7日访问。知名的国际酒店万豪酒店集团因泄露超过3亿名宾客的个人数据而被英国数据保护监管机构处以9900万英镑的罚款。(3)See Wang Wei，Marriott Faces MYM123 Million GDPR Fine Over Starwood Data Breach，https://thehackernews.com/2019/07/marriott-data-breach-gdpr.html。面对日益严峻的个人数据保护问题，个人数据保护的呼声日益高涨，迫切需要企业开展数据合规建设，通过企业的合规经营改善目前存在的数据保护方面的问题。

根据中国信息通信研究院的最新统计，2019年，我国的数字经济增加值规模达到了5.2亿美元，增速位于全球第一，高达15.6%，(4)中国信息通信研究院:《全球数字经济新图景(2020年)》，http://www.caict.ac.cn/kxyj/qwfb/bps/202010/P020201014373499777701.pdf，2021年3月20日访问。数字经济成为推动经济高质量发展的重要驱动力。在经济贸易全球化和互联网等信息技术实现全球互联的国际背景下，数据跨境流动是大势所趋，支撑着商品、服务等全球化贸易活动的进行，据调查预估，2025年数据跨境流动对全球经济增长的价值贡献有望突破11万美元。数据跨境流动成为许多企业开展业务必不可少的环节，企业借助便捷迅速的数据跨境流动降低了国际贸易成本，构建了跨国界的业务中心。但是，“棱镜门”事件凸显了数据流动无界性等特点对数据安全、国家安全问题的冲击，引发了许多国家的担忧与重视。由于数据跨境流动涉及个人信息等数据保护问题，企业在进行数据跨境流动时会面临他国合规调查的风险，例如小米公司将数据回传至北京服务器，遭到了新加坡的合规调查。(5)参见王融：《大数据时代，数据保护与流动规则》，人民邮电出版社 2017年版，第278页。此外，国家跨境执法取证也是全球化的体现，而社会不断信息化和网络化导致许多证据以数据形式存在，数据跨境流动不仅与企业的经营活动息息相关，也是与国家跨境执法取证有关的重要问题，确保跨境执法取证合规是国家面临的新时代挑战。

在数据驱动型经济背景下，为了数据保护与安全而过度限制甚至禁止数据的利用或流动是不可行的，实践中存在的上述有关个人数据保护与数据跨境流动等问题迫切需要解决，推动企业开展数据合规建设具有现实的紧迫性与必要性。企业规范数据的收集、使用和流动等行为，形成数据合规文化和经营理念，有助于实现数据保护与利用之间的平衡。目前虽然已经开展了有关数据合规的业务实践，但是还缺乏数据合规理论上的系统研究。本文提出了推进数据合规的理论依据，重点研究了数据合规中个人数据保护合规和数据跨境流动合规这两个重要方面，并探讨了数据合规的行政和刑事激励机制。

二、数据合规的理论依据

企业开展数据合规建设不仅具有迫切的需求，还有相应的理论依据。企业的社会属性要求其承担一定的社会责任，而企业社会责任理论不断发展，企业的社会责任内涵也不断更新，当今数据合规成为企业社会责任的新内容。同时，治理方式多元化是多元社会治理的要求。监管机构创新监管模式，构建合规激励机制是丰富治理方式、提升治理能力的有效途径。

(一)企业社会责任理论

1.企业社会责任理论的源起。企业社会责任理论的概念与内涵是复杂多变的，至今未形成统一的定义。根据传统的经济学理论与公司法的理念，由于企业具有营利的特征，企业的社会责任只要求企业高效利用资源并生产产品和提供服务，为股东追求最大化利益。(6)参见朱慈蕴：《公司的社会责任：游走于法律责任与道德准则之间》，载《中外法学》2008年第1期。直至经过二次世界大战后，工业革命使企业经济不断发展，但其引发了水质污染等环境问题，社会矛盾日益严重，传统企业社会责任理论的内涵与社会现状不相适应，人们开始思考企业为股东争取利益的同时是否应当承担部分社会责任，企业社会责任理论的新理念顺势而生。(7)参见杨玲丽：《企业社会责任理论述评》，载《兰州学刊》2007年第2期。企业在开展经营活动追求利润的过程可能会对外界产生不良影响，新的企业社会责任要求企业在追求利润实现发展的同时要兼顾社会效益。企业承担如环境保护、消费者保护等部分社会责任能有效缓解社会矛盾和市场失灵的问题。

2.企业的社会属性与责任。以系统分析和跨学科的研究方法来分析，企业本身是一种复合性的社会经济组织，兼具经济属性和社会属性。(8)参见果洪迟：《论企业的社会属性与社会价值》，载《北京商学院学报》1991年第1期。同时，企业行为具有外部化作用，即会对市场环境和社会环境产生影响。随着市场经济的发展，企业对社会的影响力不断增强，其社会属性也日益彰显。合法合规的经营会给社会带来良好的效益，但是企业的违法犯罪行为同样会给社会环境与市场秩序带来严重影响，引发或者激化社会矛盾。企业对社会的影响力越大，企业内部逐利行为的外部化作用越明显，则企业的社会属性越强，企业应承担相应的社会责任越大。

党的十八大以来，社会治理成为热点话题，社会多元主体在社会治理中协同发挥作用。党的十九届四中全会指出要“完善党委领导、政府负责、民主协商、社会协同、公众参与、法治保障、科技支撑的社会治理体系，建设人人有责、人人尽责、人人享有的社会治理共同体”。企业所具有的社会属性决定了其必然属于“社会治理共同体”中的一员，企业内部管理与经营效果在一定程度上会对社会治理的效果产生影响。企业在追求经济效益的过程中消耗了社会资源，作为参与社会治理的一员，企业应改变经营理念，承担一部分的改善社会环境、缓解社会矛盾的责任，积极发挥企业的经济功能与社会功能。

3.数据合规成为企业社会责任的新内涵。当前数据贸易活动日益繁荣，数据为企业发展带来新的机遇，但是企业利用数据的逐利行为引发了一些数据保护与安全问题。一方面，个人数据的商业价值不断激增，企业追求最大化的利润，却忽视个人数据的保护与安全存储问题，诱发了不少以不法手段收集个人数据的事件，个人数据被泄露与滥用的现象日益严峻。同时，个人在互联网留下的信息痕迹在不同程度上反映了个人的偏好与思想，具有一定的人格属性。企业为了实现精准营销，整合大量个人数据刻画用户画像，有可能会侵犯个人的隐私等人格权益。另一方面，在数字驱动型经济时代，全球化的经济贸易活动促使数据全球化流动更加趋向常态化。企业利用便捷的信息技术跨境传输数据创造利润，但也为数据保护和国家安全问题带来新的难题与挑战。

目前个人数据保护与数据跨境流动的规范问题是许多国家重点关注的问题，大数据企业不能仅关注自身利益，无视在利用数据追求利润的过程中对外部产生的损害，否则将有损营商环境，不利于企业提升市场竞争力与实现持续发展的目标。还会激化数据保护与安全的社会问题。实现数据保护与数据安全需要企业的力量，企业在获取数据红利的同时应当将数据合规作为承担社会责任的重要内容，提升数据合规意识，切实将数据合规贯穿于业务活动的各个环节。将企业数据合规作为企业社会责任的新内涵，是当今新形势下的应有之义，可以同步实现企业良好发展与有关数据保护方面的社会问题。

(二)多元社会治理理论

新时代推进国家治理体系和治理能力现代化是我国全面深化改革的总目标。党的十九大报告中提到了我国目前仍然存在社会治理水平欠缺的问题，创新社会治理方式是多元社会治理的重要内容，也是提高社会治理能力的有效途径。实现治理能力现代化和社会治理方式多元化，要求政府不断丰富执法与监管的模式，多元化的监管方式才能更有效地缓解社会矛盾，促进治理能力现代化。“十四五”时期是数字经济发展的重要时期，数据治理和保护成为社会治理的重要任务。治理能力现代化的其中一层含义在于要求政府具有一种政策引导和社会协同的能力，能够全面激发不同社会主体协同参与社会治理的积极性和创造性，并与市场之间形成良好的互动关系，为国家良性发展提供保障。(9)陶希东：《治理能力现代化的五大衡量标准》，http://theory.rmlt.com.cn/2014/1208/355366.shtml，2021年3月22日访问。企业开展数据合规是其承担社会责任、参与社会治理的重要表现，推进企业数据合规不仅需要企业的落实，也需要监管主体的切实参与和积极引导。

监管主体重视推进企业数据合规，创新监管方式，探索数据合规激励机制，有助于实现公司治理与社会治理的同步现代化。具言之，数据合规激励机制要求企业落实合规计划、积极配合监管主体的工作从而获得从宽处理的结果。一方面，激励机制能推动企业主动合法合规地开展经营活动，帮助企业实现良性的持续发展。另一方面，还能降低企业违法犯罪的可能性并达到事前预防的效果，同时，企业对执法工作的积极配合节约了执法资源，对社会治理现代化有积极推动作用。当前我国社会治理主体呈现出多元化的特点，使社会治理形成了一个网络，各类主体在参与社会治理过程会产生联结、互动、互助、协商的关系，从而实现共赢的结果。(10)参见贺新宇：《政府体制创新与公共管理职能重塑》，载《中国行政管理》2003年第6期。治理能力现代化要求政府创新治理方式，而数据合规激励机制正是监管主体与企业参与社会治理的新型互动方式，是符合社会治理需要的新型监管模式。监管主体应积极探索数据合规激励机制，回应治理能力现代化与多元社会治理的要求。

三、数据合规的两个维度

借助先进的现代化信息技术，数据的获取与传输变得更加便捷，同时，数据的繁杂与网络环境的复杂使数据的保护与安全问题将面临更大的挑战。当前世界数据保护相关立法与执法日趋严格，推进数据合规不仅可以让企业充分防控合规风险，实现商业的可持续发展，还可以营造行业的数据合规文化并形成行业自律。数据合规涉及许多方面的内容，其中个人数据保护合规与数据跨境流动合规是目前最迫切需要解决的问题。

(一)个人数据保护合规

根据中国互联网络信息中心发布的第47次《中国互联网发展状况统计报告》，截至2020年12月，我国网民数量规模达到9.89亿，互联网普及率达到70.4%。(11)参见《中国互联网发展状况统计报告》，载http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/202102/P020210203334633480104.pdf，2021年2月18日访问。网络用户是数据来源的基础，而过度收集和利用个人数据侵犯个人隐私等权益的事件频发甚至无法控制，网民规模之普遍突出了推进个人数据保护合规的必要性。实现数据利用与个人数据保护之间的平衡，有赖于推动企业开展个人数据保护合规，确保个人数据收集、利用的合法性与正当性。

1.个人数据保护合规的法律依据。开展数据合规工作的前提是明确个人数据保护合规所应当遵守的法律规范。我国立法机关和一些行政部门对个人数据的保护制定了相关法律文件。现行有效的主要有《刑法》及相关司法解释和《民法典》《网络安全法》《电子商务法》《消费者保权益护法》《征信业管理条例》《电信和互联网用户个人信息保护规定》《全国人民代表大会常务委员会关于加强网络信息的决定》《网络安全审查办法》等；还有其他规范性文件和国家标准，例如《App违法违规收集使用个人信息自评估指南》《网络安全等级保护基本要求》《大数据安全管理指南》等。针对性较强的《个人信息保护法》与《数据安全法》也被列入2020年立法规划，并发布了草案。总体而言，个人数据保护的法律制度内容比较完备，确定了个人数据保护的基本原则、数据收集和处理的要求等内容；相关的国家标准也为数据合规提供了具体的指引。

欧盟作为个人数据保护的代表组织之一，较早开始关注个人数据保护，并于1995年制定了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》，后续对该指令进行了一定修改也制定了其他相关的法律，其中2018年5月生效的《通用数据保护条例》(12)欧盟GDPR赋予了数据主体同意权、删除权、更改权等广泛的数据权利，新增了被遗忘权、可携带权，同时强调不得因保护数据而禁止数据的自由流通。(以下简称“欧盟GDPR”)影响力最大，体现了欧盟对个人数据保护日趋严格的要求。除此之外，有关欧盟最新的立法动态，欧盟委员会于2020年11月15日发布了《数据治理法案》，(13)See Commission proposes measures to boost data sharing and support European data spaces，https://ec.europa.eu/commission/presscorner/detail/en/ip_20_2102.《数据治理法案》向社会开放公共部门的数据访问权限，并创立数据中介机构，允许其开展非营利性质的数据交换。于2020年12月15日发布了《数字服务条例》和《数字市场法》的提案，(14)See The Digital Services Act package，https://ec.europa.eu/digital-single-market/en/node/94375。这两个提案强化了对在线平台数字服务的规制，完善了消费者在网络平台的权利保护机制。完善了个人数据保护的法律体系。不同于欧盟的统一立法，美国联邦层面关于数据保护的法律比较零散，散落在各个领域的专门立法中。根据美国国会研究局2019年颁布的《数据保护法：概述》的统计，共有12部联邦个人信息保护法，例如《电子通信隐私法》(ECPA)、《金融消费者保护法》(CFPA)。(15)此外，还包括：《格雷姆—里奇—比利雷法》(GLBA，即《金融现代法》)、《健康保险流通和责任法》(HIPAA)、《公平信用报告法》(FCRA)、《通信法》(CA)、《视频隐私保护法》 (VPPA)、《家庭教育权和隐私权法》(FERPA)、《联邦证券法》(FSL)、《儿童在线隐私保护法》(COPPA)、《计算机欺诈和滥用法》(CFAA)、《联邦贸易委员会法》(FTC Act)等法案。在各州立法中，加利福尼亚州出台了较为系统的《加州消费者隐私法》(CCPA)，(16)《加州消费者隐私法》的适用范围十分广泛，适用于任何收集加州消费者个人信息的企业；赋予消费者知情权、删除权、选择权、公平交易权等权利，并规定了明确的救济措施。并于2020年11月3日通过了《加州隐私权利法案》(CPRA)，该法的大部分条款将于2023年1月1日生效。(17)See LARA O'REILLY，Prop 24 — the California Privacy Rights and Enforcement Act — passed by voters. Here’s what publishers need know，https://digiday.com/media/prop-24-the-california-privacy-rights-and-enforcement-act-passed-by-voters-heres-what-publishers-need-know/.该法案引入了加州隐私保护机构作为新的执法机构；同时新增了“敏感个人信息”的概念，规定了身份证号码、宗教信仰、健康信息等为敏感个人信息。除了欧盟和美国这两个代表之外，许多国家也出台了个人数据保护法规，个人数据保护成为国际上重要的法律价值理念，企业开展数据合规工作应当及时了解国内外的立法变化，做足充分准备应对合规风险。

2.个人数据收集的合规。数据分析与开发等处理应用行为始于数据收集，个人数据的来源合法与否关系到后续的数据流动与利用等环节的合法性认定。由于个人数据被挖掘出的商业价值巨大，个人数据的非法交易、app违法违规收集个人数据等问题乱象丛生，数据收集是数据监管部门重点关注的问题之一。例如，墨迹科技公司首次公开募股被否决的其中一个原因就在于该公司无法证明其获取用户数据的手段及方式是合法合规的。(18)参见中国证券监督管理委员会《第十八届发审委2019年第142次会议审核结果公告》。确保数据收集行为合法合规是实现数据收集最终目的的前提，收集数据应该要满足合法使用数据收集技术、告知用户且获得同意、收集比例正当等要求。

首先，企业收集数据应当合法合规。《个人信息安全规范(GB/T 35273—2020)》第3.5条将收集数据的方式分为直接收集与间接收集。从技术分类来看，主要包括系统日志、网络爬虫、API以及系统特定端口等技术。(19)参见王亚芬：《数据收集的合规路径研究》，载微信公众号“鲸云维度”，2020年6月2日。网络爬虫技术能帮助数据收集者快速高效地获取数据，能自动地对网页数据进行抓取、解析和储存等，是最为常用的收集技术。(20)参见刘新宇：《数据保护：合规指引与规则解析》，中国法制出版社2020年版，第394页。违法违规使用技术，恶意利用爬虫程序绕过正当途径获取个人数据给网站和网络用户造成危害，会受到法律的规制，企业应当遵守目标网站设置的爬虫协议，依法依规地使用数据收集技术。同时，通过受让等间接方式获取数据的，也应当事前做好尽职调查，确保数据来源的合法性。

其次，企业应当公开收集个人数据，落实告知同意原则，不能从黑市等非法渠道获取来源不明的个人数据。我国相关法律、欧盟GDPR等法律均规定了要在个人知悉且同意的情况下收集数据，而美国则采取消极的同意原则，仅对敏感数据的收集要求个人的同意。(21)参见相丽玲、王景辉：《网络经营者收集与传输个人数据的中外法律规范比较》，载《图书情报工作》2016年第4期。各行业部门规定了相应敏感信息范围，如健康信息、儿童信息等。《民法典》规定了收集和处理个人信息之前应当公开处理信息的规则、目的、方式和范围，《个人信息安全规范(GB/T 35273—2020)》第3.6、3.7条与欧盟GDPR第4条明确了对“同意”的认定方法，核心在于确认个人数据主体作出同意行为的自主性。数据收集者与网络用户之间存在明显的信息不对称，同意告知原则是为了保护网络用户的知情权，而对数据收集与处理的相关信息一一告知网络用户不具有可行性，而且网络用户对告知信息的了解程度无法保证。把握告知数据处理相关信息的充分性与确保网络用户“同意”的有效性，是企业落实同意告知原则的重点与难点。由于同意告知原则存在上述问题，也有学者认为允许网络用户撤回同意能为其提供有效救济。(22)参见万方：《个人信息处理中的“同意”与“同意撤回”》，载《中国法学》2021年第1期。《App 违法违规收集使用个人信息行为认定方法》对不合规的隐私政策和“未经用户同意收集使用个人信息”的情形进行列举，企业可以参照规定完善优化隐私政策(告知同意书)的内容，落实同意告知原则。例如，罗列的内容应清晰明确并与实际的处理方式相符，对重点内容使用加粗字体或标红来提醒用户。除此之外，可以设置用户停留在隐私政策的页面一定时间后才能点击“同意”按钮，通过多种方式落实告知与获得同意的要求。

最后，收集数据范围应当具有必要性和适当性。在大数据时代，数据不仅是经济发展的重要推动力，也创新了社会治理的方式和企业经营模式。如果为了保护个人数据而完全禁止对个人数据的收集，不仅不利于发挥数据的价值，还会导致数据市场的失衡，有碍于社会的进步与发展。(23)参见王卫、张梦君、王晶：《数据交易与数据保护的均衡问题研究》，载《图书馆》2020年第2期。对数据收集的范围进行目的限制并要求数据最小化，能在发挥数据价值的同时保护个人数据。我国《民法典》第1035条规定了收集、处理个人信息应当遵循的合法、正当、必要原则，不得过度收集和处理。欧盟确立的数据最小化原则也是要求企业收集的数据应是与处理目的充分相关且必要的内容。具体而言，要求企业以开展业务、提供服务的必要需求作为收集数据的目的，在收集之前确定收集的范围且应限定在业务必需的范围之内，实际所收集的数据不能超过必要范围。当需要变更收集目的时，应重新告知用户并重新取得同意后才能进行收集。我国国家互联网信息办公室等四部门于2021年联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》，其中明确规定了不同类型app对应的必要个人信息范围，为企业确定收集范围与遵守必要原则提供了具有可操作性的指导依据。

3.个人数据利用的合规。对个人数据的分析利用是发挥个人数据价值的核心，其中最主要的方式是通过刻画用户画像来预测用户的喜好与行为，对特定用户提供个性化的广告信息与资讯，实现精准营销。用户画像指的是对网络用户方方面面的数据进行分析处理，总结出该用户的特征形成其个人的特征模型。《个人信息安全规范(GB/T 35273—2020)》第7.4条对用户画像的使用作出了限制性规定。一是要求用户画像对用户的特征描述不得包含污秽、恐怖、暴力以及含有对民族、宗教、疾病的歧视的内容；二是使用用户画像不得侵害其他权利主体的合法权益、不得危害国家安全和扰乱社会秩序等；三是除为实现用户同意的使用目的所必需的情况之外，避免用户画像可以精确定位到特定个人。欧盟GDPR对刻画用户画像的规定更加具体，要求刻画用户画像是提供对应功能所必要的，且要求企业告知用户享有反对权。我国《网络安全法》及相关法律中未明确规范刻画用户画像的行为，而《个人信息安全规范(GB/T 35273-2020)》的内容具有概括性且没有强制力。对于刻画用户画像涉及大量个人数据，我国应当完善相关立法，企业也应当要注意把握合理必要的限度，避免侵犯用户的隐私等合法权益。

在利用个人数据的过程中，企业要保障用户的相关数据权益。除了知情权以外，欧盟GDPR还确立了数据可携带权和被遗忘权。数据可携带权指的是数据主体应有权接收其以结构化、通用和机器可读格式提供给数据控制者的个人数据，并有权将这些数据不受阻碍地传输给其他数据控制者。对于个人用户而言，数据可携带权极大程度上增强了其对个人数据的控制能力，实现了将个人数据在不同设备的自由转移。但是对于企业而言，这一权利的确立给企业带来了很大的技术难题，也增加企业数据合规的压力。我国现行有效的规定、《个人信息保护法(草案)》和其他相关的草案尚未引入个人的数据可携带权，但是欧盟通过GDPR确立数据可携带权有助于其他国家的借鉴与引入，跨国企业应注意业务所在国是否有相关的规定，以备落实数据合规工作。

另外，被遗忘权是指数据主体有权要求数据控制者删除其个人数据，以及数据控制者在规定的情形下有义务主动删除个人数据。我国《网络安全法》第43条规定了个人信息的删除权和更正权，但是被遗忘权与删除权并不是完全相同的。欧盟GDPR规定的被遗忘权还要求数据控制者对其传播后的数据负责，即数据控制者有义务通知第三方停止利用并删除数据。被遗忘权的确立也引发了很大的争论。被遗忘权的确立一方面加大了对个人数据保护的力度，另一个方面与公众的知情权和言论自由等价值理论产生了冲突。虽然我国没有明确规定被遗忘权，但是存在如上述删除权等相关的法律基础，可以根据我国的实际情况作出本土化规定。保护个人数据的新兴权利体现了对个人数据保护的重视，企业在数据利用过程中应注意新要求，结合具体规定作出积极应对。

(二)数据跨境流动合规

频繁的数据跨境流动是数字经济时代的显著特征，推动了国际数字贸易的迅速发展。但是，如果缺少相关的法律规制和企业的数据合规建设，数据跨境流动可能会侵犯个人隐私、泄露商业秘密，甚至会泄露国家秘密和威胁国家安全。(24)许多奇：《论跨境数据流动规制企业双向合规的法治保障》，载《东方法学》2020年第2期。如何在数字贸易中寻求最大化利益并保障数据安全与国家安全，成为各国博弈的前沿焦点。

1.欧美对数据跨境流动的规制路径。目前对于数据跨境流动的规制未在国际上形成统一的规则。欧盟基于传统人权保护的观念，对数据跨境流动采取了较为严苛的限制政策，主要是通过欧盟《一般数据保护规则》(以下简称“欧盟GDPR”)和《非个人数据在欧盟境内自由流动框架条例》进行规制。根据欧盟GDPR第五章关于向欧盟成员以外或国际组织传输数据的规定，满足欧盟对该国法律的“充分性认定”是允许该国与欧盟成员国进行数据传输的情况之一。欧盟GDPR对其他国家法律的“充分性认定”制定了较高的标准，而高标准的法律要求给跨国公司的合规工作增加了多重的负担，并因此遭到了跨国公司的抱怨。(25)See Bender, David，Binding Corporate Rules for Cross-Border Data Transfer，Rutgers Journal of Law and Urban Policy, Vol. 3, Issue 2 (Spring 2006), pp.154-171.虽然欧盟的规制路径明确了数据跨境流动的标准，有利于对数据流动后续安全的保障；但复杂的认定程序与高标准在一定程度上限制了数据的自由流动。实际上，“充分性认定”的本质其实是要求其他国家和组织的立法达到欧盟GDPR的保护要求，并以此增强其在参与国际规则制定中的话语权。(26)参见方芳：《欧盟个人数据跨境流动政策的演变:市场统一与贸易规范》，载《复旦国际关系评论》2019年第1期。

与欧盟对数据跨境流动严格规制的态度不同，在信息技术领域具有领先优势的美国充分认识到数据自由流动的巨大价值，其采取的是鼓励数据自由流动的宽松政策。美国凭借其经济实力在贸易谈判中占据主导地位，并将“跨境数据自由流动”作为贸易协议的内容，以此打破其他国家的数据出境壁垒并希望构建无障碍数据流动圈。(27)参见孙方江：《跨境数据流动：数字经济下的全球博弈与中国选择》，载《西南金融》2021年第1期。美国在推崇数据自由流动的政策下全力投入到数字贸易竞争中，促进了其国内数字经济的迅速发展。美国通过出台《澄清境外数据的合法使用法案》(CLOUD法案)允许政府跨境获取数据，打破以往数据属地管辖模式，代表着跨境执法数据调取方式的变革，(28)See Kyriakides, Eleni，The CLOUD Act, E-Evidence, and Individual Rights，European Data Protection Law Review (EDPL), Vol. 5, Issue 1 (2019), pp. 99-106.实现了“长臂管辖”。此外，美国并不是对全部数据都开放自由流动通道。美国严格限制与重要技术相关的数据和涉密敏感数据的出境，以及会对外国投资的数据跨境流动进行管制，对涉及关键技术等数据进行安全审查。(29)参见张茉楠：《跨境数据流动：全球态势与中国对策》，载《开放导报》2020年第2期。

2.数据跨境流动规制的矛盾与冲突。不同国家对数据跨境流动的立场和具体规制要求不一致，数据自由流动的主张与限制数据跨境流动的政策存在冲突。相较美国对数据跨境流动采取较为开放自由的态度；其他不少国家对数据跨境流动加以限制。例如，俄罗斯对数据跨境流动的限制措施分为以下三类：禁止数据跨境流动、有条件的数据跨境流动、要求数据存储本地化。(30)参见周念利、李金东：《俄罗斯出台的与贸易相关的数据流动限制性措施研究——兼谈对中国的启示》，载《国际商参见务研究》2020年第3期。我国《网络安全法》对数据存储本地化也进行了相关规定，主张数据自由流动的美国认为我国的立法会对全球的服务贸易提供者产生不利影响，并向WTO服务贸易理事会提出正式函告，对我国参与数据跨境流动的合作施加重重阻碍。(31)彭德雷、潘永建：《数据出境的中美博弈》，http://www.llinkslaw.com/uploadfile/publication/27_1516248375.pdf，2021年2月21日访问。由于各国的发展实力、价值诉求不同，关于数据跨境流动的立场态度存在差异性是不可避免的。在“棱镜门”事发后，数据安全问题日益凸显，出于反监控与保障国家安全的目的，要求数据本地化和加强数据安全审查是现实且必要的。

不同国家和国际组织的立法差异给企业在数据跨境流动的合规工作增加了很大难度。例如，不同国家和组织对数据的分类方式不尽相同，我国将个人数据分为基本数据和敏感数据区别保护，美国则以是否可公开获取为分类依据，欧盟未进行区分保护。(32)参见娄鹤、陈国彧：《中国企业个人数据跨境传输最佳法律实践探讨》，载《信息安全与通信保密》2019年第8期。此外，对于数据跨境、敏感数据等一系列概念的界定尚未明确，企业对众多定义的辨析也是合规工作的一大难点。迫切需要构建关于数据跨境流动的国际规则，为数据跨境流动的合规工作提供明确而统一的指导和依据。

3.数据跨境流动的合规选择。近年来，我国正在不断完善数据跨境流动保护的法律，发布了《个人信息出境安全评估办法》《数据安全管理办法》等相关规定的征求意见。结合已生效的相关法律分析，我国要求企业将经营过程中收集和产生的个人数据和重要数据存储在境内，因业务需要跨境传输数据的应根据相关规定进行风险预测与安全评估。欧盟GDPR规定未列入“充分性认定”名单的国家可以通过有约束的公司规则、标准合同条款、经批准的行为准则和认证机制等替代方案实现数据的跨境流动。加拿大则要求企业以合同的形式明确数据跨境流动的保护内容，确保数据接收方能提供同等水平的保护。日本2020年修改后的《个人信息保护法》规定，当向外国的第三方传输个人数据时，企业应向个人提供接收方处理个人数据的相关信息。如俄罗斯、印度等国家对数据存储本地化作出了相关规定，(33)参见陈咏梅、张姣：《跨境数据流动国际规制新发展:困境与前路》，载《上海对外经贸大学学报》2017年第6期。以及大多数国家对于涉及个人数据的跨境流动都要求获得数据主体的同意。

目前尚未完全形成关于数据跨境流动的国际规则，而且不同国家与国际组织的相关规定和政策差异较大。为了适应国际经济贸易的新形式，促进跨国贸易活动为全球经济带来更大的利益，不同国家也纷纷制定相关的法律或者签订双边协议、多边协议等协调国家之间的立法冲突。中国、澳大利亚、美国、欧盟等76个WTO成员在2019年1月共同签署了《关于电子商务的联合声明》，(34)商务部新闻办公室：《中国与75个世贸组织成员在达沃斯发表关于电子商务的联合声明》，http://www.mofcom.gov.cn/article/ae/ai/201901/20190102830332.shtml，2021年2月21日访问。意在解决国际贸易领域出现的如数据跨境流动等新问题。虽然不同国家在数据保护方面存在立法差异，但是仍存在共同之处，国家之间统筹考虑多方面的利益因素，寻求各国规定的最大公约数以构建国际规则创造可能。在国际博弈和合作中，中国应当为数据跨境流动规制提供科学有效的中国方案，更加主动地参与国际规则的建构。这更加要求对国内的数据合规体系进行完善，顺应当下时代的发展趋势，积极寻求数据科学利用与有效保护之间的平衡点，努力为企业合规工作提供指导和制度依据，并充分发挥数据的经济价值。

对于企业而言，应当充分了解当前国际形势并考察不同国家的数据跨境流动政策，在数据跨境流动的过程中迎接合规工作的挑战。出于对数据保护与合规问题的重视，不同国家的相关立法如雨后春笋般频频出台，因此，企业除了要根据国内外生效的数据规范做好合规工作，还要留意国内外的立法动态与监管趋势，衡量合规风险以及时做好应对准备。此外，在不同的国家开展业务应当遵循该国的具体要求，企业应该准备多元化的合规方案以遵守不同国家的数据规制标准，准确识别数据种类并做好数据分类管理，在本国法与目标国法之间确定科学的数据战略实现发展与合规的平衡。数据合规虽然是一个法律问题，但是企业在遵守法律要求时需要相应的技术支持，对于需要本地化处理的数据应当做好技术准备。数据安全风险因信息技术的发展而严峻化，企业同样可以通过技术手段增强数据跨境流动的安全性，例如完善匿名化技术、改进信息防火墙技术等，将合规的需求作为促进技术创新和升级的动力，激发新的经营活力和竞争力。

四、数据合规的激励机制

实现数据保护与安全不能仅依赖数据监管部门的执法活动，面对企业自身开展数据合规动力不足的问题，需要构建数据合规激励机制为企业开展数据合规提供内在动力，其中包括行政监管激励机制与刑事激励机制。

(一)激励机制是实现数据合规与发展的有效途径

1.数据监管难度大是激励机制的客观需求。由于数据类的违法犯罪行为具有很强的隐蔽性，对此类违法行为的监管难度极大。首先，不法分子可以通过信息技术在虚拟的网络空间远程操控，不必直接接触受害者就可以完成违法行为，实施违法行为的时间、地点都不受限制。其次，信息数据和违法技术具有无形性，违法行为可能不会留下蛛丝马迹，导致违法行为和结果不容易被发现和侦破。除此之外，信息技术不断更新变化，使得违法方式层出不穷，这也加大了对信息安全的监管难度。当数据储存系统被破坏或者机密信息和涉及个人隐私等敏感数据被公开，发达的通讯技术可能使重要信息瞬时传播到不同地区甚至其他国家，这不仅可能影响到个人信息主体的生活安宁，如果泄露的是国家机密，还可能会危害国家安全。考虑到危及数据保护与安全的事件往往没有事先预兆，数据传播的无边界性导致危害结果难以遏制，即使事后尽快删除了所有相关信息数据，但是造成的危害影响是难以消除的。

2.激励机制为数据合规提供内在动力。真正实现数据合规要求企业在将合规意识和具体措施贯穿至业务的全部流程，这对企业在数据收集、储存和处理等各环节提出更高的技术要求，增加了企业的合规成本。然而，如果仅仅依靠外界的强制性规定和法律制裁，难以让潜在违法犯罪者消除违法动因，自觉进行合规工作。在法律层面构建数据合规激励机制，例如建立有效数据合规能减轻处罚力度、达成行政和解等。通过体现数据合规对企业良好可持续发展的推动作用，可以促使企业将合规的外界要求化为内在追求，让企业有足够的动力主动进行数据合规，建立并完善内部数据合规建设，在合规的基础上创造利润的最大化。有效的数据合规包括数据安全技术的升级、定期的合规培训等，既能提升对外来黑客攻击的防御能力，还可以降低内部员工擅自泄露信息的可能性，双重提高数据安全性。因有效落实数据合规而获得宽大处理结果的事例，会为其他企业产生积极正向的引导作用，推动形成稳定合规的行业自律。有效的数据合规也让企业避免因违法犯罪而被处以严厉的法律制裁，为企业的持续发展保驾护航。总之，合规激励机制是实现数据发展与安全的有效途径。

(二)数据合规的行政监管激励机制

1.行政监管激励机制的探索。我国最早探索行政监管激励机制是在证券监管领域，中国证监会发布的《证券公司和证券投资基金管理公司合规管理办法》确立了强制合规制度，并明确规定了如果证券基金经营机构存在“有效的合规，主动发现违法违规行为或合规风险隐患，积极妥善处理，落实责任追究，完善内部控制制度和业务流程并及时向中国证监会或其派出机构报告”的情形，可以“依法从轻、减轻处理”。(35)《证券公司和证券投资基金管理公司合规管理办法》第36条：“证券基金经营机构通过有效的合规管理，主动发现违法违规行为或合规风险隐患，积极妥善处理，落实责任追究，完善内部控制制度和业务流程并及时向中国证监会或其派出机构报告的，依法从轻、减轻处理；情节轻微并及时纠正违法违规行为或避免合规风险，没有造成危害后果的，不予追究责任。对于证券基金经营机构的违法违规行为，合规负责人已经按照本办法的规定尽职履行审查、监督、检查和报告职责的，不予追究责任。”与监管机构达成行政和解，避免被追究刑事法律责任也是行政监管激励的一种方式。从理论而言，相较于从宽处理，达成行政和解无疑会产生更大的激励效果。然而，相关的规定没有发挥出行政和解对推动企业合规的最大激励作用。

中国证监会于2015年发布了《行政和解试点实施办法》(以下简称《实施办法》)，展开了行政和解制度的探索。该《实施办法》正在被修订，办法名称被修改为《证券期货行政和解实施办法》。(36)关于就《证券期货行政和解实施办法(征求意见稿)公开征求意见的通知》，http://www.csrc.gov.cn/pub/zjhpublic/zjh/202008/t20200807_381313.htm，2021年2月25日访问。虽然原《实施办法》和征求意见稿都要求和解协议中应当载明当事人(行政相对人)纠正违法行为的整改具体措施安排，但是未将事前的合规机制或事后的主动报告与整改作为和解的适用条件，这样的规定对激发企业合规内在动力显然效力不足。从实践分析，行政和解试点工作从2015年开始，直至2019年才出现首个达成行政执法和解的案例。(37)《中国证监会2019年法治政府建设情况》，http://www.csrc.gov.cn/pub/newsite/zjhxwfb/xwdd/202004/t20200417_373995.html，2021年2月25日访问。在中国证监会与申请人达成行政和解协议的相关公告中，只载明了“申请人已采取必要措施加强公司的内控管理，并在完成后向中国证监会提交书面整改报告”。(38)中国证监会发布的〔2019〕11号以及〔2020〕1号公告。却未见和解协议的具体内容以及加强内控管理的具体措施。缺少行政和解工作的公开性和透明度不利于其他开展证券业务的企业从中吸取合规经验，对促进形成行业合规自律的效果产生了不良影响。

2.数据合规领域行政监管激励机制的初步构建。除了《证券公司和证券投资基金管理公司合规管理办法》外，《企业境外经营合规管理指引》《经营者反垄断合规指南》等合规指南也陆续印发，但是相关法律法规并没有规定将企业合规作为从宽处理的情形。在数据保护与安全方面，我国不断加大对数据保护的力度，惩戒数据违法行为的执法行动成为监管活动的重要内容，并呈现出常态化的趋势。例如，中央网信办、工业和信息化部、公安部、市场监管总局四部门联合开展全国范围的互联网网站安全专项整治工作,(39)庄红韬、杨曦：《四部委联合开展互联网网站安全专项整治》，http://fi nance.people.com.cn/n1/2019/0613/c1004-31134313.html，2021年2月19日访问。工业和信息化部展开的信息通信领域APP侵害用户权益专项整治行动(40)工信微报：《工业和信息化部开展APP侵犯用户权益专项整治行动》，http://www.cac.gov.cn/2019-11/04/c_1574399754695177.htm，2021年2月19日访问。等。从相关部门的执法活动可以看出，目前我国没有统一的数据监管部门，由多个监管部门各自或联动执法，除此之外，一些行业主管机构也在重视数据合规问题，例如中国证监会、中国人民银行。但是零散的执法主体容易导致出现权责不清、效率低下等问题。“一法一决定”的实施报告(41)2017年12月24日在第十二届全国人民代表大会常务委员会第三十一次会议上，全国人民代表大会常务委员会执法检查组关于检查《网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》实施情况的报告。指出网信部门的统筹协调职能履行不够顺畅，存在同一事项重复检查且标准不一等问题增加了执法对象的额外负担。从惩治措施分析，大多数执法主体通过约谈、警告、责令整改、罚款等措施查处各类数据违法行为，未将数据合规作为一种激励手段。构建数据合规方面的行政监管激励机制可以从以下几个方面考虑。

首先，鉴于目前数据监管存在“九龙治水”的现象，应当加强网信办的统筹职能或者设立一个专门的数据监管部门，有一个明确的主导部门才能有效推进合规激励机制的建立与实践。其次，可以加大行政处罚的力度并将有效的数据合规作为决定行政处罚力度的考虑因素。目前我国对于数据违法违规行为的行政处罚力度较低，过低的企业违法成本无法防范企业的数据违规行为。例如，《网络安全法》对窃取个人数据等相关违法行为的处罚规定为“没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款”。然而谷歌公司因违反欧盟GDPR关于收集信息的相关规定而被罚款5000欧元。(42)参见余天：《法国对谷歌开5千万欧元罚单，因违反数据隐私保护规定》，https://baijiahao.baidu.com/s?id=1623403410799939131&wfr=spider&for=pc，2021年3月20日访问。同时，欧盟GDPR第83条规定了决定是否处以行政罚款以及罚款数额时应当考虑的因素包括企业合规程度。我国可以借鉴欧盟GDPR，通过加重对不合规的制裁力度以及强调企业合规程度对于制裁力度的影响这两方面推动企业制定合规计划。(43)See Voss, W. Gregory，Internal Compliance Mechanisms for Firms in the EU General Data Protection Regulation，Revue Juridique Themis, Vol. 50, Issue 3 (2016), pp.783-820.再次，可以尝试在数据安全监管领域引入行政和解制度。其中要注意明确以企业具备有效的数据合规制度作为适用条件之一，和解协议内容要包括对合规的落实审查，增加行政和解工作的透明度，促进形成行业合规文化。由于数据安全类的违法行为产生的负面影响可能会涉及范围甚广、影响深远，应重视事前的合规防范，如果只是事后积极整改以及减少不良影响、承诺事后积极制定合规计划，则应限制行政和解的适用。最后，还要有齐备的配套措施，如制定相应的合规指引和数据安全标准制度，为企业开展合规工作提供明确具体的方向；以及建立后续的监督机制与审核机制，确保合规制度的落实等。

(三)数据合规的刑事激励机制

1.刑事合规激励机制的探索。合规激励机制包括行政监管激励机制以及刑事激励机制，不同于行政监管激励机制的探索思路，刑事激励机制在理论研究和实践试点上没有限定犯罪类型和罪名，分析目前刑事合规激励机制的探索情况有助于构建契合数据合规的刑事激励机制。

在刑事激励机制中，将有效的合规作为法定的量刑情节、无罪辩护的事由、适用强制措施的考虑因素等都是激励的具体方式。目前促进合规的刑事激励机制只处于探索阶段，我国还未真正形成刑事合规激励的理念与制度。随着社会发展，刑事诉讼需要适应时代变化和治理需求进行观念转变和制度变革，实现刑事诉讼从以人为中心到个人与企业兼顾的转变。(44)参见李玉华：《以合规为核心的企业认罪认罚从宽制度》，载《浙江工商大学学报》2021年第1期。探索建立刑事合规激励机制就是对关注民营企业持续发展这一要求的回应。最高人民检察院于2020年3月启动涉案违法犯罪依法不捕、不诉、不判处实刑的企业合规监管试点工作，其中合规不起诉制度是理论和实践中的研究重点，目前已有一些地区的检察机关展开改革探索，例如浙江省岱山县检察院创新运用“认罪认罚+合规承诺+不起诉”办案模式并推出《涉企案件刑事合规办理规程(试行)》。(45)参见岱山县检察院：《岱山县院依托刑事合规业务服务民营经济“乘风破浪”》 ，http://www.zjdaishan.jcy.gov.cn/djdt/202011/t20201126_3057171.shtml，2021年2月26日访问。还有深圳市宝安区检察院对企业合规不起诉机制进行试点，创立了独立监控人制度和配套的合规专员制度，但是在开展刑事合规探索工作中也发现了诸如法律依据不足、受限于办案期限与业务考核、验收机制难度大、行刑程序衔接不畅等问题。(46)参见许锦标：《我院黄美华检察官应邀在企业合规与社会治理专题研讨会发表主题演讲》，http://bajcy.baoan.gov.cn/bjzx_141860/bjxw_141864/202012/t20201228_5733068.html，2021年2月26日访问。

2.数据合规刑事激励机制的初步构建。在刑事实体法层面，由于我国未确立严格责任制度，将企业数据合规作为出罪事由对促进企业合规的激励效果可能并不明显，在短时间内无法解决这一问题，将企业数据合规作为量刑情节更具有操作性。刑罚既有惩罚的作用也有预防的作用，企业合规降低了借助刑法预防犯罪的必要性，可以以此作为减轻刑罚的事由。同时，主动的事前合规所对应的从宽程度应大于事后被动合规的从宽程度。此外，国家在为企业提供激励动力的同时，应当增加相应的压力，压力也是动力的来源。在数据犯罪规制方面，我国1997年《刑法》对侵入计算机系统类的犯罪进行规制，2009年将侵犯个人信息类犯罪纳入刑法，经过后续的修正案和司法解释，对信息数据安全法益的保护逐渐完善，但是相关罪名的设定与大数据时代下的数据特征不太契合，导致对相关法益的保护尚不全面。例如，我国关于计算机犯罪的立法是以技术限定性为中心，很大程度上忽略了对数据的保护。(47)参见于志刚、李源粒：《大数据时代数据犯罪的类型化与制裁思路》，载《政治与法律》2016年第9期。激励机制是为了促进企业合规，是为了保护企业的持续发展，而保护法益也是不可忽视的价值诉求。全面的法律规制，才能丰富完善合规的具体内容，保障对信息数据安全法益的保护。

在刑事程序法层面，可以在适用强制性措施与程序分流两个环节发挥对企业的数据合规激励作用。(48)参见李玉华：《我国企业合规的刑事诉讼激励》，载《比较法研究》2020年第1期。在强制性措施环节，可以将数据合规作为采取强制性措施的考虑因素，有效的数据合规可以避免对经营活动影响较大的强制性措施或者缩短期限，以在侦查期间也能继续正常经营激励企业开展数据合规。在程序分流环节，可以在符合其他法律条件的情况下采用简易程序或速裁程序，减少企业在诉讼活动中的时间成本和人力物力以激励企业进行数据合规工作。应当注意的是，在审查数据合规有效性以适用激励机制时，应当结合数据保护与大数据企业的经营规模与特点等多方面的因素。此外，对合规不起诉制度的探索能更大程度激励企业进行数据合规。目前检察机关探索出“检察建议模式”和“附条件不起诉模式”这两种激励模式。(49)参见陈瑞华：《刑事诉讼的合规激励模式》，载《中国法学》2020年第6期。最高人民检察院发布的2019年度全国检察机关社会治理类优秀检察建议中，就有检察机关对企业发出关于加强用户个人信息保护的检察建议书，并在后续工作中召开了关于个人数据保护合规的研讨会，督促企业根据检察建议落实整改。(50)参见《上海市人民检察院就互联网应用商店对收录软件个人信息保护未履行管理责任问题向某网络科技有限公司制发检察建议》，https://www.spp.gov.cn/spp/xwfbh/wsfbt/202008/t20200805_475448.shtml#4，2021年3月11日访问。可见实践中已有检察机关推动数据合规的事例，是数据合规方面的刑事诉讼合规激励的雏形，应当提高检察机关对数据保护的重视，积极探索与完善激励方式。

结 语

信息技术的快速发展使得数据成为重要的生产要素，在数据收集、利用与跨境流动过程中，数据过度收集、泄露等问题层出不穷。为了保护个人信息与维护国家安全，企业应当承担相应的社会责任，积极开展数据合规，监管主体积极探索数据合规激励机制是对治理能力现代化要求的回应。数据合规帮助企业防范法律风险，实现健康持续的发展，当前其内容主要包括个人数据保护合规和数据跨境流动合规两个维度。个人数据保护合规主要需要注重在收集、利用过程的规范，遵守合法、正当、必要的原则；数据跨境流动合规要求企业关注不同国家的规定而做出相应的合规方案。目前国内外对数据合规的监管越来越严，我国企业应提高数据合规意识，积极开展合规建设。同时，我国应当积极构建数据合规激励机制，促进企业将合规要求内化，推动企业建立并落实数据合规。