第四章  网络安全与数据合规管理



              行为的关键，必须通过立法尽快予以消解。基于此，建议立法机关从以下几个方
              面予以补足和完善：
                  首先，应当针对不同行业、不同规模的企业进行“量体裁衣”式立法。一方
              面，根据不同行业的经营模式、业务场景、治理重点为其指定专门的数据合规管

              理办法，使企业能够明晰本行业的合规重点，并据此梳理出自身的合规义务清单；
              另一方面，对不同规模的企业应设置差异化的合规要求。鉴于中小企业合规能力
              的有限性，当这些企业设立少而精的合规专员，并使合规专员对高风险的数据业
              务活动享有一票否决权时，法律就应认定其践履了合规义务。

                  其次，对银行、证券、保险、医疗等行业须进行重点管理，要求其承担强制
              性合规义务。当这些企业未能合法合规地利用数据时，应承受比其他行业更为严
              重的违规后果。
                  再次，构建合规计划有效性识别机制，制定科学统一的数据合规监督评估标

              准，对合规建设情况进行优质、良好、达标等不同等级的评定。对此，由国家网
              信部门统筹构建数据合规监督评估标准，明确合规计划有效运行的判定标准，再
              辅之经典范例加以解读，使得数据监管要求与企业合规建设能够有效衔接。
                  最后，法律的实施离不开监督机制，必须解决数据监管机构虚置的问题。根

              据《个人信息保护法》第 60 条可以看出，立法部门企图构筑以国家网信部门为主、
              多部门协同治理为辅的模式来进行数据治理。就如上文所说，这种监管模式极易
              造成部分领域管理重叠、部分领域管理敷衍的现象，并不利于对个人信息的保护
              与监管。基于信息保护与监管对中国数字经济发展、数字产业结构优化升级的重

              要意义，可以借鉴欧盟的做法，成立专门的数据监管机构，即在中国国务院或者
              县级以上政府设置专门的“个人信息保护机构”，由其负责推进本辖区范围内的
              数据合规建设。
                  （二）加大企业合规激励力度

                  扭转监管疲软与滞后的关键在于提高企业主动合规的意愿，既要加大企业的
              违法成本，也要加大主动合规的奖励，从而激发企业趋利避害的本能，将外部的
              合规压力转化为内部合规的动力。然而，《网络安全法》第 64 条、《个人信息
              保护法》第 66 条对于侵害个人信息权利、非法处理个人信息、未履行个人信息

              保护义务的惩处力度比较轻。应当加大对数据违法违规行为的处罚力度，让违法
              违规成本高于企业的合规成本，使企业迫于违法成本过高进而积极推进内部的数


                                                                                     121