R   企业合规管理体系建设研究
                esearch on the Construction of Enterprise Compliance Management System



                 最后，数据保护合规体系需要创新技术。在对海量业务数据进行合规监测和
             管理的过程中，传统的数据清单等方式无法记录数据的全生命周期，尤其是无法
             涵盖大量的非结构化数据，更无法有效识别数据类型并合理配置管理资源。实践
             中一种称为数据流映射或者数据流测绘（Data flow maps）的技术应运而生，该

             技术可以通过系统或程序描绘数据的流动过程，清晰记录数据的使用情况；可以
             计算处理的特定数据元素，包括对不同类型的敏感信息进行标记；可以识别数据
             在生命周期中不同阶段的风险，在业务流程的每个环节中进行数据保护合规管控
             的特别提示。数据合规技术原则深入技术、利用技术、创新技术的基本内涵，既

             是保障数据保护合规体系针对性和有效性的必然要求，也是持续改进合规流程体
             系、提高合规风险防控效果的关键措施。

                 四、数据保护合规体系的搭建


                 企业为有效防控数据合规风险，避免遭受定罪量刑、天价罚款、取消上市资
             格、吊销营业执照等严厉的行政或刑事处罚，产生建立数据保护合规体系的强烈
             意愿。根据企业合规基本理论，有效合规管理存在两种模式，一是日常性合规管
             理模式，是指企业根据常态化的合规风险评估结果，为防范企业潜在的合规风险，

             开展合规管理体系建设的一种方式；二是合规整改模式，是指企业在面临执法调
             查的情况下，针对其经营模式、管理方式、决策机制等方面所存在的漏洞和隐患，
             进行有针对性的制度修复和纠正错误的一种治理方式。两种模式的制度构造和建
             设方式虽然存在一定差异，但都需要打造一套有效的数据保护合规体系，以实现

             整体的和长效化的数据治理。
                 （一）目前合规体系搭建的主要问题
                 目前多数企业的数据保护合规实践有诸多不足。由于《个人信息保护法》等
             法律只是数据保护领域的基本法律，在制度建设方面还有很多需要细化的地方，

             企业在建设数据保护合规体系方面又缺乏丰富的经验，因此有必要提出系统性的
             构建方案。
                 1. 合规政策的针对性问题
                 数据保护合规政策在合规体系中处于中心地位，但是各个企业在制定合规政

             策和员工手册时常常出现同质化和形式化问题，缺乏针对性成为目前合规政策制
             定环节面临的首要问题。首先是合规政策没有针对国内法律制定，企业经常直接


             142