R   企业合规管理体系建设研究
                esearch on the Construction of Enterprise Compliance Management System



             措施，如加密、备份、去标识化等。一般而言，数据泄露和丢失的常见风险场景
             有数据存储的物理介质或逻辑映像失窃、内部管理员舞弊泄露数据、应用端的数
             据泄露等，企业应当采取必要的技术措施保障数据安全，为保护数据不泄露，需
             要采取数据加密措施；为保护数据不丢失，需要采取分类存储措施。

                 3. 事件补救措施风险
                 中国数据保护法律的合规流程性条款高度重视违法事件发生后的补救措施，
             企业在下列补救措施方面懈怠失职的，不仅构成合规管理失职行为，还会导致加
             重处罚。第一，发生或者可能发生个人信息泄露、篡改、丢失的，企业应当立即

             采取补救措施，并将信息种类、事件原因、可能造成的危害、补救措施、企业的
             联系方式等事项通知职能部门和个人。第二，网络经营企业发现网络产品和服务
             存在安全缺陷、漏洞等风险的，应立即采取补救措施，并按规定及时告知用户，
             保存有关记录，向主管部门报告。第三，网络经营企业对于违反法律、行政法规

             的信息，一经发现，应立即停止传输该信息，采取消除等处置措施，防止信息扩
             散。第四，制定数据安全事件应急预案，及时处置系统漏洞、计算机病毒、网络
             攻击、网络侵入等安全风险，发生危害数据安全事件时，应立即启动应急预案，
             采取相应的补救措施，并按规定向主管部门报告。


                 三、数据保护合规体系的基本原则

                 以合规政策为中心、以合规管理流程为保障的数据保护合规体系建设需要遵
             循一系列基本原则，包括处于核心地位的有效数据合规原则以及为数据保护合规

             体系建设提供方法指导的行政合规与刑事合规一体化建设、对外合规与对内合规
             相分离、全流程数据合规、数据合规技术等原则。这些基本原则既体现了有效合
             规管理的理念和方式，也与数据保护这一专项领域相契合，贯彻了数据保护基本
             原则的要求，体现了数据保护合规体系的专业性。

                 （一）有效数据合规原则
                 合规计划的生命在于有效，从价值维度分析，企业合规有助于企业减少损失，
             切割责任，获得行政和刑事执法上的宽大处理，实现长久的可持续发展。企业合
             规之所以具有法律评价和经济效益上的优待价值，关键在于其发挥了有效防控合

             规风险的功能。根据企业合规基本理论，有效合规计划在预防机制、识别机制、
             应对机制等三大标准体系中包括合规制度、合规管理机构、合规培训、合规文化、


             138