R   企业合规管理体系建设研究
                esearch on the Construction of Enterprise Compliance Management System



             合规建设的积极性。同时，强力合规无法保证监管的全覆盖，被立案调查的企业
             会“自认倒霉”，逃脱法律制裁的企业则心存侥幸并依旧顶风作案，这不仅不会
             净化中国数字法治环境，而且会使执法机构陷入监管疲软与监管滞后的窘境。除
             此之外，对企业进行调查处罚时没有区分合规建设情况，企业事前建立合规管理

             体系并不能作为从宽处罚的判断依据，企业也不能以积极的合规整改来与监管部
             门达成执法和解协议。由此可见，中国合规监管激励机制尚处于起步阶段，外部
             合规激励机制的缺失，难以激发企业“要我合规”到“我要合规”的内生动力。
                 （三）未能有效防范数据风险

                 即使中国已经进入了数据强监管时代，但是诸多企业仍然采用粗放的数据运
             营和信息应用模式，导致数据违规事件频发。其中，最首要的原因是相当一部分
             企业对数据合规存在认知偏差，即将数据合规视为简单的法律事务。数据合规作
             为信息时代的产物，是企业为了应对监管要求积极主动进行自我预防、自我整改、

             自我监督的过程，唯有法律、管理和技术人员形成合力才能筑牢防控围墙，否则
             极易因法律与技术的不融通招致合规风险。同时，数据风险的外溢与员工不能明
             晰自身的行为边界有着密切的关联，为员工提供具体的行为操守让其“有法可依”
             尤为迫切。此外，技术保障力度不够也是企业合规无效的重要因素。根据《个人
             信息保护法》第 51 条第 3 项、《数据安全法》第 27 条，《网络安全法》第 21

             条第 2 项和第 4 项的规定可知，采取备份、加密、去标识化等网络及数据安全管
             理技术是信息处理者的法定义务，但是基于种种原因，国内诸多企业并未切实履
             行上述义务。由此可见，安保技术的先进可靠是保证企业数据完整性与机密性的

             “守门人”，企业安保责任的落实必须确保治理工具的全面、先进及可靠。与此
             同时，政府也应通过无息借款、财政补贴及技术分享等方式，积极鼓励前景广阔
             但资金有限的中小企业及时引进、更新述安全技术，从而协调个人信息保护与促
             进信息流动这两个法律价值，更好地适应治理能力现代化的要求。


                 二、企业数据合规困境的突破理路

                 （一）完善相关法律法规
                 近年来，中国关于数据治理的顶层建设虽然在如火如荼地开展，但是囿于国

             内数据治理起步较晚、经验不足，数据合规建设中依旧存在治理规范不健全、评
             价标准不统一、监管主体不明确等问题。这些问题都是规制信息处理者和控制者


             120