R   企业合规管理体系建设研究
                esearch on the Construction of Enterprise Compliance Management System



             在个人信息保护层面，应明确《民法典》和《个人信息保护法》的适用规则。其
             中，《民法典》侧重保护人格权益，《个人信息保护法》对个人信息的保护则更
             为全面和细致。在涉及个人信息私法规制层面，首先，应坚持《民法典》对个人
             信息保护的原则性规定，强调保护人的尊严。其次，在尊重和保护个人信息人格

             尊严的基础上，充分依据《个人信息保护法》的要求开展个人信息处理活动。此
             外，还应重视敏感信息和特殊主体的保护，一般而言，企业只有在具有特定目的
             以及具备充分必要的前提下，并依据法律规定履行相关手续，采取严格保护措施
             后，方能处理此类信息。这样明确了《民法典》和《个人信息保护法》各自保护

             和规制的侧重点，未来在法律适用上就不会发生困惑甚至混乱。
                 （2）出台数据合规实施条例
                 目前，国家对企业数据合规的要求主要散见于《网络安全法》《数据安全法》
             《个人信息保护法》等法律法规和标准中，尚未出台专门的国家层面立法文件，

             这无法适应当前企业的数据合规实践，无法对企业数据合规体系的建立提供明确
             价值指引和要求，也会导致各地企业数据合规治理标准和水平不一，从而可能引
             发潜在的系统性数据安全问题。此外，数据泄露和个人隐私侵权案件的不断增多，
             执法和司法都面临不小的挑战。随着数据合规实践的不断丰富和变化，直接出台

             单行法律存在不小难度，但是国家层面出台数据合规实施条例有其必要性。该条
             例可以对目前法律规定模糊之处以及疏漏之处进行完善，尤其需要明确大中型企
             业进行数据合规治理时需重点关注重要数据的识别、数据跨境传输、内部合规体
             系构建以及数据合规治理的相关组织架构等问题。此外，还应对各地出台的数据

             合规相关条例和指引进行整理协调，将各地企业尤其是中大型企业数据合规治理
             要求和水平尽快调整到同一水平线。总之，该条例应将协同治理、企业数据合规
             业务场景、技术标准以及全过程监督等合规要求纳入其中。
                 2. 企业数据合规体系构建中的执法完善

                 当前，中国数据合规面临多头监管的困境，协调数据合规执法机构职责冲突
             成为当务之急。否则，不仅企业应对数据合规监管的义务和成本在不断增加，也
             会不利于企业合规体系的构建和合规义务的落地。对此，执法部门应梳理企业数
             据合规的监管重点和企业清单，根据立法对执法部门的授权厘清各自涉及数据合

             规的监管重点，避免职权交叉。个人信息保护依然是当前数据合规执法的重心和
             核心。在数据合规监管职责划分上，应不断明确和强调各监管机构的主要监管目


             156