R   企业合规管理体系建设研究
                esearch on the Construction of Enterprise Compliance Management System



             据合规建设。在此基础上，监管机构也应以放弃部分处罚权为代价，通过建立健
             全合规激励机制，换取企业自我监管、自我整改、自我治理。一方面，应当将数
             据合规纳入行政监管体系，将数据合规作为企业减轻或免除处罚的依据；另一方
             面，在数据监管领域引入行政和解制度，这是外部全面激活企业数据合规的关键。

             目前，中国已经在证券监管领域积极推进行政和解制度，但是成效有限，这与未
             将建立合规机制作为适用行政和解程序的前提条件、未在行政和解协议中引入完
             整的企业合规条款、不设置合规考验期及持续监督机制有着莫大的关系，这些都
             是在数据监管领域引入行政和解制度应当予以修正的地方。除此之外，还可以通

             过政策激励的方式促使数据合规，如将“建立起有效的合规管理体系”设定为税
             费减免、资质评定等相关扶持政策的申请条件，或者通过负面评价的方式间接激
             励企业，从而在全社会树立起合规经营的文化导向，营造出数据合规的生态氛围。
                 （三）企业自身体系构建

                 1. 成立数据合规部门
                 鉴于数据合规管理的重要性与专业性，企业应当成立专门的数据合规部门，
             让其主导数据合规管理体系的建设与完善。对于合规资源匮乏的中小企业而言，
             将数据合规部门内置于法律事务部门之中恰到好处，不仅可以节约合规成本、实

             现部门精简管理，还能促进合规事务与法律事务的一体化管理。但是，这种数据
             管理模式并不适合以数据处理为核心业务领域的信息密集型企业，因为这类企业
             较其他类型的企业而言数据风险更加广泛，若是没有专业的数据管理团队很难做
             到系统化、规范化管理。所以，信息密集型企业应当将数据合规提升至公司战略

             的层面，在法律部门之外成立专门的数据合规管理部门或者将数据合规管理职能
             融入企业现有的合规管理体系之中。至于数据合规专门机构的负责人，则可以借
             鉴德国 1977 年《联邦数据保护法》的规定，任命至少一名“数据保护官（DPO）”，
             赋予其独立履行企业数据合规监管的职权，由其承担“数据外交”的职能。

                 2. 制定数据合规制度
                 数据合规制度对规范企业内部全体成员的数据处理行为举足轻重。企业可以
             根据上文提及的相关法律法规和行业规范，厘清本公司数据合规义务，制定自己
             的数据合规制度。企业的数据合规制度可以包括数据合规管理的一般性规定，即

             数据合规管理办法、数据合规实施细则等，也可以包括为推动数据合规运行的专
             项规定，如数据合规风险评估办法、数据合规审查办法等，还可以包括落实数据


             122