R   企业合规管理体系建设研究
                esearch on the Construction of Enterprise Compliance Management System



                 从数据保护合规的性质来看，其是企业为防控数据合规风险所建立的一套公
             司治理体系，不同于“合乎数据处理规范”“遵守数据处理规则”的概念，具有
             公司治理的丰富内涵，尤其是数据合规流程性条款所规定的一系列管理和技术措
             施，当然属于数据保护合规的重要组成部分，以数据处理规则的遵守为对象的研

             究显然是片面的。
                 从数据保护合规的范围来看，数据保护合规由数据合规政策和数据合规管理
             流程两大要素组成，数据保护合规条款也由合规政策性条款和合规流程性条款构
             成。其中，数据合规政策、标准、守则应当成为数据保护合规体系的中心，合规

             管理流程则处于合规政策保障性措施的地位。以合规管理义务的履行为对象的研
             究专注于合规流程性条款，忽略了合规政策及其法律条款的中心地位，使得数据
             合规体系因缺乏合规政策要素而不完整，也使合规管理流程的搭建犹如无源之水，
             无法发挥识别、监测、应对违法违规行为的风险防范效果。

                 唯有厘清数据保护合规的性质与范围，才能正确框定数据保护合规体系的研
             究对象。我们需要将现有的两种研究思路加以整合，数据保护合规体系研究应兼
             顾数据合规政策和数据管理流程，将法律规定的合规政策性条款作为制定数据合
             规政策、标准、程序的主要依据，同时将合规流程性条款融入合规组织和管理流

             程的打造中，保障合规政策的有效贯彻。

                 二、数据保护领域的合规风险

                 企业建立合规计划的目的在于避免合规风险的发生。区别于企业的决策风险、

             经营风险、财务风险，合规风险专指企业因违法违规行为遭受行政处罚和刑事追
             究的风险，合规体系的政策和流程都要围绕特定合规风险进行针对性构建。通过
             分析中国企业在数据保护领域面临的行政风险和刑事风险，可以将数据保护合规
             风险分为两大类，一是违反合规政策性条款，违反数据处理规则的数据滥用类风

             险，二是违反合规流程性条款，怠于履行数据合规管理义务的管理失职类风险。
             无论是滥用类风险，还是失职类风险，都有赖于搭建数据保护合规计划予以一体
             化防范。
                 （一）数据滥用类风险

                 中国数据保护法律制定了以“告知—同意”为核心的数据处理规则，并且设
             置了违反数据处理规则的罚则，此类数据合规风险被称为数据滥用类风险。从风


             134