第四章  网络安全与数据合规管理



              关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照等资
              格剥夺类的行政处罚；再次，违法处理数据的行为将被记入企业的信用档案并予
              以公示；最后，构成侵犯公民个人信息罪等犯罪的，依法追究刑事责任。
                  2. 数据合规流程性条款

                  数据合规流程性条款规定了合规组织体系、合规培训、合规风险评估、合规
              审计等管理流程，从事前预防体系、事中监控体系、事后应对体系的角度创设企
              业的数据合规管理义务。《个人信息保护法》中的合规管理义务条款作为流程性
              条款，规定了个人信息处理者的法定数据管理流程，包括对于个人信息处理活动

              采取制定内部管理制度和操作规程、对个人信息实行分级分类管理、采取加密和
              去标识化等安全技术、合理确定个人信息处理操作权限、定期组织合规培训、制
              定应急预案等技术和管理措施，防止未经授权的访问以及个人信息泄露、篡改、
              丢失；指定个人信息保护负责人，对信息处理活动和保护措施进行监督；境外信

              息处理者应报送数据保护专门机构或数据合规官给信息保护部门；定期对个人信
              息处理活动进行专业审计；对个人信息处理活动进行个人信息保护影响评估；对
              信息泄露事件采取补救措施，并向信息保护部门报告；等等。
                  数据合规流程性条款不仅将合规组织和管理流程引入法律，而且在法律责任

              条款中确立了与合规政策性条款相同的罚则，企业违反法定数据处理规则和未履
              行法定管理义务，都将受到相应的行政或刑事处罚，这成为数据保护合规管理体
              系建设强大的反向激励机制，也使数据保护合规成为中国迄今为止最为先进的全
              行业强制性专项合规体系。

                  （三）对两种观点的回应
                  《个人信息保护法》颁布之后，数据保护领域的法律体系趋于成熟，但是理
              论界关于数据保护合规性质与范围的不同认识仍然存在。一方面，以数据处理规
              则的遵守为对象的研究，将企业合规理解为“遵守法律规定”的字面意思，因而

              数据保护合规也就是遵守相关法律的数据处理规则，在收集、存储、使用等各个
              环节遵纪守法，避免因违法违规处理数据遭受处罚。另一方面，以数据管理义务
              的履行作为数据保护合规主要范围的思路，将企业合规限制于合规风险评估、合
              规培训、合规审计等特定管理措施和技术措施，合规义务被等同于管理义务，而

              法律为规范数据处理所规定的一系列禁止性和义务性条款，则被排除在数据保护
              合规的范围之外。


                                                                                     133