R   企业合规管理体系建设研究
                esearch on the Construction of Enterprise Compliance Management System



             多企业的重视。
                 中国企业数据合规体系构建中存在三个层面的法律障碍：立法层面，数据合
             规法律规范零散且存在相互冲突；执法层面，数据合规监督机构职责交叉、重叠；
             司法层面，数据合规类案件面临证据收集难、法律适用难及损失认定难。

                 1. 企业数据合规体系构建的相关法律规定及其不足
                 中国直接规制数据安全和隐私的两部基础法律已于 2021 年生效，这对中国
             企业以及业务涉及中国的跨国公司产生重大影响。《数据安全法》和《个人信息
             保护法》对此前《网络安全法》中的数据本地化、数据跨境和数据保护等提出了

             具体要求。就企业数据合规的实施指导而言，当前的法律法规尚存在以下几个方
             面的不足。
                 （1）数据合规相关法律制度分散
                 首先，《数据安全法》。整体上，该法为中国数据利用和数据安全搭建了基

             本的法律框架。规定了数据安全基本制度，明确了促进和支持数据安全与发展的
             各项措施，并规定了相关主体的数据安全保护义务。该法根据数据对中国国家安
             全的潜在影响对在国内收集和存储的数据进行分类，并根据数据的分类级别对其
             存储和传输进行规范。该法也是市场主体（主要为企业）落实合规义务的基本指

             引。其要求在中国开展业务的公司建立和完善其数据安全体系，在发现数据安全
             缺陷时及时采取补救措施，并及时通知用户和监管机构。处理“重要数据”的数
             据公司需指定负责数据安全的人员或团队，并定期向有关监管机构提交风险评估。
             此外，对相关违法行为，也规定了罚款等处罚措施。

                 其次，《个人信息保护法》。《个人信息保护法》是中国第一部规范个人信
             息保护的综合性法律，以欧盟 GDPR 为蓝本。“个人信息”被定义为涵盖“以
             电子或任何其他格式存储的与已识别或可识别自然人相关的任何信息”，只要该
             信息“与已识别或可识别的自然人有关”，不包括不可逆转的匿名个人信息。具

             体要求以下几个方面：第一，同意要求。原则上，在收集或处理某人的个人信息
             之前，数据处理者必须获得数据主体的自愿、明确和知情同意。此外，收集或处
             理“敏感个人信息”（包括数据主体的生物特征、宗教信仰、健康、财务、地理
             位置和未成年人信息）必须告知数据收集的特定目的和必要性，并遵循《个人信

             息保护法》中的要求落实数据保护措施。第二，数据本地化和数据删除要求。如
             果数据处理者正在处理的个人信息量达到一定阈值，则可能触发数据本地化要求，


             152