第四章  网络安全与数据合规管理



                  （2）美国和欧盟
                  美国在数据合规层面影响力比较大的有加州消费者隐私法（CCPA）和加州
              隐私权法案（CPRA）。加州消费者隐私法（CCPA）要求告知数据主体何时以及
              如何使用他们的个人数据，且消费者有权在其个人信息应修改时与企业沟通更正

              或删除。加州隐私权法案（CPRA）或称 CCPA-plus 于 2023 年 1 月生效，其目
              的是对延展 CCPA 中对消费者个人数据的保护，其赋予消费者要求组织更正档案
              中虚假信息的权利，它还将建立加州隐私保护署（CPPA），并重新定义“违规”
              等关键词。

                  欧盟《通用数据保护条例》（GDPR）的出台旨在改变各行业对个人数据的
              处理方式，让消费者重掌数据收集和使用的最终话语权。GDPR 对企业的合规要
              求主要体现在以下几个方面：只要向欧盟数据主体提供商品或服务，或监控欧盟
              数据主体的行为，都将受到 GDPR 的规制；要求适用于几乎所有类型的个人数

              据，如 IP 地址、电子邮件地址和物理设备信息等；GDPR 要求尊重用户在个人
              数据和数据隐私方面拥有的八项基本权利，即访问权、知情权、迁移权、被遗忘
              权、反对权、限制处理权、被告知权以及修改权；不遵守 GDPR 将面临重罚；
              企业需要聘请数据保护官（DPO）来管理 GDPR 的要求，一般需要负责监督公

              司的数据保护策略、监控数据存储和数据传输、对员工进行合规性教育和培训等。
              DPO 是组织内的重要职位，可确保组织实现更高的数据保护合规性。
                  在数据合规法律体系方面，欧盟对数据隐私采取自上而下的方法，对个人数
              据进行了几乎全方位和全流程的保护，而美国则更多采用自下而上的方法。要想

              解决行业、国家和全球数据合规问题，应树立总体合规战略，其中涉及法律、人
              力资源、IT 等之间的协调，同时还需要自上而下实施持续的安全和隐私策略。
              国际法层面和欧盟及美国的数据合规相关立法给中国完善数据合规法律法规以及
              构建企业数据合规体系提供了很好的域外借鉴视角和经验。

                  （二）中国企业数据合规体系构建的法律障碍
                  数据相关法律法规是企业数据合规体系建立的法律基础和实施指引。实践中，
              企业通过数据分享、交换和共享等途径不断创新和挖掘数据的价值，直接或间接
              为企业创造经济效益。对企业而言，对自身数据合规体系建设的投入需要平衡数

              据资源开发和合规经营之间的关系。随着网络安全和数据法律法规体系的完善和
              执法力度的上升，相关司法判例和行政处罚案例开始涌现，数据合规得到越来越


                                                                                     151