R   企业合规管理体系建设研究
                esearch on the Construction of Enterprise Compliance Management System



             据有效数据合规原则，数据保护合规组织的主体应由法律专业人员组成，确保合
             规政策和管理流程具有风险导向性，围绕防控行政和刑事违法事件展开。而根据
             数据合规技术原则，数据保护合规离不开技术措施的投入，为实现全流程数据合
             规管控，提升数据合规智能化和自动化水平，团队中也需要配备若干数据处理技

             术专业人员，专门从事数据合规技术措施的研发和运行监测。
                 4. 合规体系的纸面化问题
                 合规体系的纸面化问题是数据保护合规体系执行和效果环节暴露出的重大问
             题。即便合规政策和管理流程设计再好，一旦无法得到有效执行落地，合规体系

             就必然是流于形式而无效的，爆发合规风险将只是时间问题。合规体系的有效执
             行可以通过最高层合规承诺、拥有自主权及必要资源的合规组织、有效的奖惩措
             施等方式来保障，效果环节的有效性则主要通过合规审计进行检查，并依据合规
             审计报告不断完善合规体系。当然，要使中国企业的数据保护合规体系进一步焕

             发生机，还要从改善合规制度的基础性条件和强化合规治理的激励性措施两个角
             度着力。一方面，有效合规计划需要现代公司治理结构作为基础性条件，中国公
             司治理中的两权分立不足、组织化水平低下、权力集中于股东会，依据公开透明
             的信息进行交往并不占据主导方式，导致合规的公司制度条件不足。另一方面，

             数据合规的行政和刑事正向激励机制有待强化，相对而言，刑事司法领域合规不
             起诉制度改革试点的稳步推进，使得数据保护合规获得刑事出罪的激励效果，未
             来应通过立法加以巩固；但是数据保护行政执法中尚未建立起合规免罚机制，仍
             然采取严刑峻法的执法思路，如果能引入行政和解制度，引导企业通过数据保护

             合规整改换取行政免罚，将极大激励企业建立“去纸面化”的数据保护有效合规
             体系。
                 （二）数据保护合规体系的完善
                 面对实践中数据保护合规的纸面化和针对性、体系性、专业性不足等问题，

             企业需要从数据保护合规政策和合规管理流程两个层面完善数据保护合规体系。
             当然，在违法行为发生后的合规整改程序中，企业应当首先采取违法违规事件的
             处置和补救措施；其次是开展内部调查，查找违法违规原因；再次是针对管理漏
             洞、隐患和缺陷，进行有针对性的制度纠错和管理修复；最后才是搭建有效的数

             据保护合规体系。




             144