浅谈数字化背景下中小企业合规建设

为更好研究数字化背景下中小企业的数据合规问题，本文采用文献分析法、比较研究法与交叉研究法等研究方法较为系统地阐述了数字化背景下中小企业的合规概念目的和方法。首先，本文对企业数据合规进行概念分析，对其中涉及的重要概念进行了界定，同时阐述了相关的理论基础，并基于中小企业合规发展趋势和现实意义完成了中小企业数据合规开展势在必行之证成；其次，对企业数据合规的现状进行了剖析，较为清晰地阐释了企业数据合规的立法趋势、监管现状与风险隐患；再次，从内外原因、以及体系的缺失来介绍当前企业数据合规面临的发展困境；最后，针对现有困境，从外部法律法规制度配套、内在企业动力激活以及企业数据合规体系的构建入手，探索出困境的破解之法。

一、企业数据合规一般概念及理论分析

随着移动互联网、大数据、云计算、人工智能等科技迅猛发展，“数据”这一概念近几年成为社会关注的重要事项，也由此带来数据的产生和处理呈现爆发式增长，同时基于大数据的一系列应用则深刻地影响着我们每个人的生活。“合规”有狭义与广义之区分：狭义的“合规”主要指强化合规经营反对商业腐败；广义的“合规”泛指组织机构及个人在行为上要遵守：第一遵守国家法规：遵守公司总部所在国和经营所在国的法律法规及监管规定；第二遵守行业规制：遵守企业内部规章包括企业价值观、商业行为准则及行业性规定、职业操守等；第三遵守社会规范：遵守社会公序良俗、道德规范等。数据合规通常是指确保数据（尤其是敏感数据）免受丢失、被盗、损坏和滥用的正式标准和实践。 各行各业的企业都应遵守数据合规标准，以确保客户个人身份信息和财务信息的安全，尤其需要防止敏感数据被窃取或滥用。当前，不同国家或地区的数据合规法律法规差异较大，但通常都会关注以下三个方面：其一，需要保护的是什么类型的数据；其二，需要实施哪些流程来保护数据；其三，组织不遵守相关要求和程序，将面临何种处罚。实践中，企业进行数据合规可以遵循以下几个步骤：一是识别已有数据；二是进行数据资产登记；三是绘制数据流，即如何收集、创建、存储以及分享数据；四是确定处理数据流的合法依据；五是识别不合规的数据活动；六是建立高级别数据责任和报告机构。数据合规对于企业、个人、社会均具有重要意义：第一帮助企业防范法律风险，或者在发生法律风险时减轻、免除企业责任，从而实现企业的可持续发展；第二避免个人信息等遭受不合理甚至违法泄露、滥用。避免企业滥用用户信息，促进企业依法合理使用个人数据，对于保护个人隐私和保障消费者权益均具有重要意义；第三规范数字经济发展轨道，推动数字经济蓬勃发展。强化企业数据安全责任，维护好用户数据权益及隐私权，有助于提高数据共享意愿，最终推动数字经济持续性、稳定性、有序性发展。

二、企业数据合规监管现状分析

目前我国数据合规领域呈现监管主体多元化，且监管覆盖面广的特点。（一）法律监管根据《网络安全法》、《数据安全法》和《个人信息保护法》，中央国家安全领导机构负责国家的数据安全工作；国家网信部门负责统筹协调网络安全、数据安全、个人信息保护工作和相关监督管理工作。国务院相关部门在各自职责范围内负责对应工作。根据《数据安全法》，各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。根据《个人信息保护法》，县级以上地方人民政府有关部门按照国家有关规定确定个人信息保护和监督管理职责。

（二）行政监管，政府需要充分发挥有序引导和规范发展的主体功能效用，守住安全底线，明确监管红线，打造安全可信、包容创新、公平开放、监管有效的数据要素市场环境；同时强化分行业监管和跨行业协同监管，建立数据联管联治机制，建立健全鼓励创新、包容创新的容错纠错机制。需要注意的是，建立数据要素生产流通需要使用全过程的合规公证、安全审查、算法审查、监测预警等制度，指导各方履行数据要素流通安全责任和义务；建立健全数据流通监管制度，制定数据流通和交易负面清单，明确不能交易或严格限制交易的数据项。因此，政府需要探索构建多渠道、便利化的数据跨境流动监管机制，健全多部门协调配合的数据跨境流动监管体系；引导多种类型的数据交易场所共同发展，突出国家级数据交易场所合规监管和基础服务功能；加强企业数据合规体系建设和监管，严厉打击黑市交易，取缔数据流通非法产业。从合规角度，企业必须服从政府监管，主动理解政府监管要求与对应政策，通过一系列制度、指引、守则，将外部监管要求内化为企业要求，丰富企业合规文化内核，完善企业合规制度体系。以合规作为企业数据治理的内生动力，设置红线禁区，提出清晰、明确及可实现的合规要求，并将合规要求嵌入数据挖掘与赋能各个环节，护航数据治理全流程。

三、企业数据合规管理困境

（一）数据安全立法上存在原则性条款为主、可操作性不强的问题。目前我国数据安全保护主要依据的《中华人民共和国国家安全法》、《中华人民共和国网络安全法》和《中华人民共和国数据安全法》普遍存在原则性、宣誓性条文为主的问题，即使在附则中其很多条文仍以“原则、要求及所希望达到的效果”为表述内容，没有明确具体的操作标准和不同主体所负的责任。企业合规在我国刚刚兴起，很多企业管理者对合规的基本内涵认识尚未成熟，将其看作是简单的法律事务，认识的局限影响合规建设的能力。

（二）企业管理者的规则意识较为淡薄，受一些陈旧思想观念的影响，重视权力、关系而轻视规则，甚至形成了一些市场“潜规则”，导致我国企业合规起步较晚、基础较弱。造成企业合规内在动力不足的另外一个主要原因是正向激励力度还不够大。目前，我国监管部门主要通过强力方式督促企业进行合规建设，是一种直接干预的外部压力机制。在强力合规模式之下，监管部门多采用命令式手段规范企业活动，导致企业处于消极被动地位，制约了合规建设的积极性。在监管范围难以保证全面覆盖的情况下，即便处罚结果非常严格，企业管理者也会产生侥幸心理，并且这种模式会产生监管疲软和监管滞后的问题。同时，对企业进行调查处罚时没有区分合规建设情况，企业事前建立合规管理体系并不能作为从宽处罚的判断依据，企业也不能以积极的合规整改来与监管部门达成执法和解协议。可以看出，合规监管激励机制的构建仍处在探索阶段，培养企业合规的法治环境还没有完全形成。没有完善的合规激励机制，企业在合规建设方面就会缺乏主动性，难以发挥出正向引导的作用。

（三）数据的有流动性大。流动的范围越广，活动的场景越大，它所带来的价值就越大。数据不仅在国内范围中流动还有从国内与国外的流动，扩大了流动的范围的同时也加大了监管的难度。我国出现数据违规不安全的问题一大部分现实原因是数据大范围、大规模地被数据平台私下泄露、收集和使用，有些企业的经营活动没有道德底线，数据泄露事件频出。

四、企业数据合规管理困境的破解

当前，数据合规相关立法和标准稳步出台，但在具体适用时难免存在冲突。其中，《数据安全法》应成为我国企业数据合规立法层面的顶层指引，尤其在涉及数据安全和重要数据等相关规制时，需在该法的规制下开展。企业在数据合规治理时应采取数据加密、访问控制等措施，建立健全全流程数据安全管理制度。企业合规在我国正处于刚刚起步阶段，不仅理论研究相对较少，而且合规供给资源也相对不足，由此需要加强合规公共服务供给。根据法律要求，推进个人信息保护社会化服务体系建设是网信部门的职责，这其中就包括数据合规社会化服务体系建设。从现实情况来看，我国尚未设立专门负责数据监管的机构，多由不同的监管部门各自执法或者联合执法，网信部门的工作本身就具有协调属性。

最后随着全球数字经济不断向纵深发展，数据为商业组织提供了诸多用途，不断创新着企业的商业模式。追求利润的不断增长往往是商业组织的主要目标甚至最终目的。为避免因数据违法处理行为引发的违法行为，保护个人信息、维护国家安全，企业应当承担其相应的社会责任，积极主动建立、完善并落实企业数据合规体系。国家也应针对企业建立、落实数据合规体系的困境，进一步完善数据保护法律体系，积极探索数据合规激励机制，促进企业将合规要求内化，推动企业建立并落实数据合规，防范法律风险，实现健康持续发展。

作者：于海浪 指导：孟志能  

【转载提示】转载内审网原创文章，请在页面顶部注明：本文转载自公众号:内审网（ID:neishenwang），并标识作者信息。审计报告 |案例 |方法-投稿：neishenwang@163.com

文章版权归作者所有，观点不代表内审网立场。部分图文源于网络，已标注作者信息，部分无法查明联系作者及首发来源，旨在促进行业交流共进,仅作学习研究之用，如涉版权或不便分享，后台联系删除。