第四章  网络安全与数据合规管理



              翻译其他国家数据保护法条作为合规政策，而不进行任何修改和本地化调整，从
              而违反对外合规和对内合规相分离原则。其次是合规政策没有针对本企业实际情
              况制定，而是直接复制头部企业的数据保护政策条款，既没有作出契合本企业经
              营情况的修改，也没有依据本企业的行业特征进行优化，使许多合规政策形同具

              文。最后是合规政策没有针对特定业务场景进行细化，只是对法律合规条款的简
              单重复，而没有深入设计、生产、经营等流程详细展开。
                  2. 合规流程的体系性问题
                  企业在实际打造合规流程时，常常只关注数据保护法律在合规流程性条款中

              列明的管理措施，而缺乏基本的体系性。中国数据保护法律只提及合规负责人、
              合规培训、合规风险评估等内容，而且这些条款大都是较为简略的原则性规定，
              不能为流程体系搭建提供足够的规范支撑。至于合规内部调查、合规尽职调查、
              合规报告、合规问责与惩戒等管理流程，则没有出现在法律中。因此，企业如果

              仅以流程性条款为指导，一方面，特定管理流程的建设将不成体系，无法实现制
              度闭环。例如，企业的合规培训流程往往忽略组织员工签署合规承诺书以及对培
              训效果进行测试等环节；响应主体权利流程经常不能形成接受权利主体请求、处
              理请求、反馈信息的内部工作流，导致请求淹没在数据保护、信息技术、业务职

              能等不同部门的流转之中。另一方面，由于缺失了有效合规计划的部分要素，各
              个合规管理流程之间可能无法形成贯穿事前防范、事中监测、事后应对的防控系
              统，使管理流程因体系化不足而存在疏漏。例如，在缺乏合规内部调查机制的情
              况下，风险评估和违规事件应对机制根本无从运转；合规尽职调查机制的缺失，

              则使得企业的第三方合规管理处于失控状态，仍然暴露在巨大的第三方关联合规
              风险当中。
                  3. 合规组织的专业性问题
                  数据保护合规组织体系搭建的常见问题主要集中于完备性和专业性两个方

              面。不过，中小微企业由于客观条件的限制，无法构建完整的专项组织体系，此
              时只要符合最低限度的组织要求即可。最具争议的理论问题在于合规组织成员的
              专业性。关于合规组织组成人员的专业背景，实践中有两种模式，一种是以中兴
              通讯公司为代表的法律专业模式，合规团队主要由法律专业背景的人员组成；另

              一种是以华为公司为代表的技术专业模式，合规团队主要由通信、计算机等技术
              专业背景的人员组成。本书认为，企业合规是一种专业的法律风险管理活动，根


                                                                                     143