第四章  网络安全与数据合规管理



              领域之后，一些基本理论需要针对专项合规的实际需求重新阐释，以消除企业合
              规与专项领域学术研究和法律规范的分歧。
                  （一）数据保护合规体系的两大要素
                  数据保护合规是企业为防控数据合规风险所建立的一套公司治理体系，包括

              数据合规政策和数据合规管理流程两大要素。
                  首先，在数据保护领域中，企业合规的基本性质并未发生根本改变。根据企
              业合规基本理论，合规是企业为实现依法依规经营、防控合规风险所建立的治理
              机制，其并不是笼统地要求企业“依法依规经营”，而是要求企业针对可能出现

              的违法违规情况，建立一套旨在预防、识别和应对合规风险的自我监管机制。数
              据保护合规仍然是这样一套公司治理体系，只不过为了防范数据领域的特定合规
              风险，企业合规政策需要针对数据处理和管理行为进行制定，合规组织体系应由
              数据保护合规官、数据保护合规部等专门组织构成，预防、监控、应对等流程体

              系也要围绕数据保护合规管理进行针对性建构。
                  其次，在有效合规计划的诸多要素中，合规政策处于核心地位，扮演了“实
              体法”的角色，为保障合规政策得到贯彻和执行，企业建立起“程序法”性质的
              合规管理流程体系。合规政策规定了专项合规的规范、标准和守则，一般表现为

              合规政策性文件和员工手册的形式，其实质是将专项领域行政监管和刑事法律的
              禁止性和义务性条款转化为企业内部规章制度，为企业及其高管、员工、第三方
              合作伙伴确立行为规范和边界。合规管理流程则是围绕合规政策建立的一系列管
              理措施，包括建立首席合规官、合规部、合规专员等专项合规组织体系以及风险

              评估、尽职调查、培训沟通、违规事件举报、审计监测、奖励惩戒、持续更新等
              管理机制。
                  最后，数据保护合规的范围同时囊括了数据处理规则的遵守和数据管理义务
              的履行。企业合规的基本结构是以合规政策为中心，以合规组织和各项管理流程

              为保障机制的治理体系，企业的合规义务既包括建立合规组织和管理机制的流程
              性义务，也包括制定专项合规政策的政策性义务。数据保护合规也是如此，数据
              专项合规政策源于专门法律体系所确立的禁止性和义务性规则，这成为合规管理
              流程体系的搭建基础和服务对象。

                  （二）法律确立的数据保护合规条款
                  中国数据保护法律围绕合规政策和合规管理流程这两大要素，确立了数据保


                                                                                     131