R   企业合规管理体系建设研究
                esearch on the Construction of Enterprise Compliance Management System



             犯行踪轨迹、财产信息等敏感个人信息 50 条以上即可构成犯罪，对于从事海量
             化数据处理的现代企业而言，一旦忽视行政合规风险防控，任由侵犯 50 条以下
             公民个人信息的违法行为发生，再次构成犯罪几乎成为必然结果。最后，有效的
             数据合规管理体系足以实现行政合规风险和刑事合规风险的一体化防控。在合规

             体系建设方面，行政合规和刑事合规的区别仅在于合规政策的涵盖范围，而合规
             管理组织和流程则是通用和兼容的，只要合规政策将行政法律和刑事法律的规范
             均转化为内部守则，合规管理流程即可实现行政合规和刑事合规风险的一体化预
             防、识别与应对。

                 （三）对外合规与对内合规相分离原则
                 数据跨境流动中的合规问题始终是理论界和实务界关注的焦点。在维护数据
             主权和保障国家安全维度，数据本地化存储至关重要；而在参与国际贸易和发展
             数字经济维度，数据跨境流动无法避免。学界提出“双向合规”的理论构想，意

             指企业应实现对外合规与对内合规的兼顾与统合。但是，从数据保护合规体系建
             构理念和方法来看，仍应树立对外合规和对内合规相分离的基本原则。
                 首先，中国数据保护法律为对外合规设置了特殊的合规政策和管理流程。企
             业跨境提供数据应当满足网信部门安全评估、专业机构个人信息保护认证、与境

             外接收方订立合同三大条件之一，并且履行详尽告知义务。网信办更是作出细化
             规定，要求企业应事先开展数据出境风险自评估，凭借自评估报告和与境外接收
             方拟订立的合同方能向网信部门申报出境安全评估。
                 其次，中国和其他国家数据保护法律规定的合规政策性和流程性条款存在差

             异。目前全球已有 130 余个司法辖区颁布了综合性数据保护法律，各国法律确立
             的合规条款不尽相同，如欧盟《通用数据保护条例》在个人信息处理合法性事由
             等政策性条款和数据保护影响评估等流程性条款方面，与国内法有着显著区别。
             企业只有在其他国家设立营业机构或者提供产品服务时，才需要根据当地法律进

             行针对性的国别差异化管控。
                 最后，对外合规与对内合规相分离原则有助于舒缓企业的合规压力。将双
             向合规视为提升国家在国际贸易和全球数据治理中的竞争力和话语权的思路给企
             业带来过重的合规负担，而企业合规不仅是企业的义务，福利型政府也应通过公

             共法律服务予以保障。在当前国内数据保护合规建设的起步阶段，对外合规和对
             内合规相分离原则的坚守也是基于政府有限监管资源和企业有限合规资源的现实


             140