R   企业合规管理体系建设研究
                esearch on the Construction of Enterprise Compliance Management System



             护合规体系的法律框架。这些合规条款既包括以数据处理规则及其罚则为内容的
             数据合规政策性条款，也包括以数据管理和技术措施为内容的数据合规流程性条
             款。下文以《个人信息保护法》为例展开分析，该法的体例包括个人信息处理规
             则、个人信息跨境提供规则、个人信息处理者的义务、履行个人信息保护职责的

             部门和法律责任等七大章，按照法律条款的性质，可以分为个人信息处理规则条
             款、合规管理义务条款、行政监管职责条款、法律责任条款等类型。这种立法体
             例在一定程度上导致人们对数据保护合规范围的认识偏差，认为数据保护合规仅
             指特定管理流程，而数据合规条款也就是合规管理义务条款。事实上，个人信息

             处理规则条款和相应的法律责任条款也是合规条款的范围，与合规流程性条款不
             同，而属于一种合规政策性条款，代表了专项合规政策的制定内容。
                 1. 数据合规政策性条款
                 合规政策性条款由业务行为规范及其罚则组成，凡是法律对业务行为方式作

             出禁止性或义务性规定，并且创设违法的行政和刑事法律后果的条款，都属于合
             规政策性条款。
                 《个人信息保护法》对个人信息处理的原则和方式作出了规范，涵盖个人信
             息收集、存储、使用等全生命周期的处理要求。一是确立了个人信息处理的基本

             原则，强调处理个人信息要采取合法、正当的方式，遵循诚信原则；具有明确、
             合理的目的，并应当限于实现处理目的的最小范围；遵循公开、透明的原则，明
             示个人信息处理规则；所处理的个人信息应当准确，并采取必要措施保障所处理
             个人信息的安全，将上述原则贯穿于个人信息处理的全过程和各个环节。二是确

             立以“告知—同意”为核心的个人信息处理规则，并且根据个人信息处理不同环
             节和不同信息种类，对个人信息的共同处理、委托处理、向第三方提供、公开、
             用于自动化决策、处理已公开个人信息等提出专门要求。此外，该法对处理敏感
             个人信息设立了更为严格的限制，只有在具有特定目的和充分必要性的情况下，

             才可以处理敏感信息，并且要取得个人的单独同意和书面同意。
                 《个人信息保护法》的法律责任条款对违反数据处理规则条款的行为确立了
             罚则。首先，违法情节轻微的，由行政部门责令改正，没收违法所得，给予警告，
             对应用程序责令暂停或者终止提供服务；仍然拒不改正的，可对企业处以一百万

             元以下的罚款；其次，违法情节严重的，可以责令改正，没收违法所得，并处
             五千万元以下或者上一年度营业额 5% 以下的高额罚款，还可以作出责令暂停相


             132