第四章  网络安全与数据合规管理



              合规风险识别、合规风险评估、合规风险处置、合规审计、合规举报、内部调查、
              合规问责与惩戒、持续改进等十二项要素。
                  数据保护合规计划同样以有效数据合规作为统领性原则，该原则的作用范围
              贯穿数据保护合规体系的设计、执行、效果三大环节。在设计环节，有效数据合

              规原则要求数据保护合规体系具有要素完备性、可行性、专业性，合规政策应穷
              尽相关法律对数据处理规则的禁止性和义务性规定，并针对内部员工和外部第三
              方涉及的业务场景进行细化制定；合规管理流程应囊括事前防范、事中监测、事
              后应对程序，建立数据保护管理和技术措施。在执行环节，有效数据合规原则要

              求企业的数据合规建设得到领导层的高度重视，具有专业的数据合规人才储备和
              成熟的现代企业管理结构，投入充足的人力、物力资源，具备执行合规管理体系
              的条件和能力。在效果环节，有效数据合规原则要求合规政策得到员工的切实遵
              守，合规管理流程高效运转而不致流于形式。例如，通过员工考试检验合规培训

              行之有效，通过受理举报、开展内部调查、处理责任人的实际案例确保合规举报
              和奖惩机制富有成效，通过停止存在数据安全隐患的产品和服务证明数据保护影
              响评估制度有效运行。
                  （二）行政合规与刑事合规一体化建设原则

                  行政合规与刑事合规的一体化建设在日常性合规管理体系中分歧不大，毕竟，
              企业建立合规体系是为了避免遭受行政和刑事处罚，自然应当注重行政风险和刑
              事风险的一体化防控。但是在违法行为发生后的合规整改中，考虑到整改期限较
              短，根据针对犯罪原因而采取补救措施、预防企业再次实施犯罪的刑事合规特性，

              行政合规和刑事合规相分离的理念得到一定认可。论者主张企业在合规整改中应
              建设以制度纠错为主要方式的刑事合规，检察机关当重点审查合规计划的实施是
              否能够消除犯罪条件，同时建设行政合规则是既不必要，也不现实的。
                  这种观点或许在其他专项合规领域具有一定合理性，但是对于数据保护合规

              体系而言，无论在日常性合规体系建设，还是在违法行为发生后的合规整改中，
              都应当遵循行政合规与刑事合规一体化建设原则。首先，行政违法和刑事犯罪之
              间的界限十分模糊。数据保护领域的犯罪均为法定犯，“违反国家规定”作为空
              白罪状意味着行政法律体系关于数据处理规则和管理义务的规定本身就是犯罪构

              成要件之一，在此基础上，只要符合数量、情节等特定构成要件就足以转化为犯
              罪。其次，数据犯罪特定构成要件的门槛极低。以侵犯公民个人信息罪为例，侵


                                                                                     139