第四章  网络安全与数据合规管理



              全合规作为企业合规的新兴领域，还未能引起部分数据处理者的充分重视，所以
              有必要从行政和刑事激励的角度出发促使数据处理者主动进行数据合规审查。在
              行政激励方面，可以设定数据处理者从内部总体控制和具体业务流程两个方面进

              行主动合规审查，之后如果出现违法行为时，可以依法从轻、减轻或者从宽处理。
              在刑事激励方面，可以设定“主动认罪认罚、合规不起诉”的办案机制，从量刑
              情节、免责事由等方面激励企业。



                       第二节  企业数据合规的现实困境及突破思路


                  一、企业数据合规管理的现实困境及成因分析


                  （一）相关法律不完善
                  中国关于数据治理的法律法规并不充分，主要包含以下几点立法缺陷：
                  其一，目前中国关于企业数据治理的法律及规定一般都是倡议性以及原则性

              规定，鼓励支持相关企业积极进行数据合规建设，但是关于企业应该履行何种数
              据合规义务、怎么履行数据合规义务、有效数据合规计划的标准是什么并没有作
              出明文规定，即使有，该规范的效力等级也较低，很难真正地发挥其具体的功效。
                  其二，不同规模的企业合规能力也有所不同，但现有法律并未对不同规模的

              企业设置差异化的合规要求，在高额的合规成本面前中小企业通常会退避三舍，
              甚至认为“得不偿失”，从而忽视自身数据合规体系的构建。
                  其三，从《个人信息保护法》第 60 条、62 条可以看出，国家网信部门在个

              人信息保护方面仅起到统筹的作用，并不是真正意义上的监管主体，而监管主体
              不明确势必导致多头监管或者监管真空的现象。
                  其四，虽然部分地区纷纷出台数据条例，但从其名称和内容上看参差不齐，
              要求强制合规的企业类型也不尽相同。不同地区间关于数据治理的监管规定不同，

              不利于在全国范围内建立并推行统一的数据治理规范体系。
                  （二）合规激励机制缺失
                  中国一直以来都奉行严刑峻法的执法理念，采取强制命令的执法手段，企图

              利用这种方式来遏制企业犯罪，但这种想法过于理想化。在强制合规模式之下，
              监管部门多采用命令式手段规范企业活动，导致企业处于消极被动地位，制约了


                                                                                     119