?

提到與"企業(yè)合規(guī)"有關(guān)的部門，人們的第一反應(yīng)往往是具體履行監(jiān)管職責(zé)的行政部門。然而，由于企業(yè)的合規(guī)狀況對于部分涉企案件的處理亦具有重要參考作用，近年來檢察機關(guān)亦開始更多地推動與企業(yè)合規(guī)相關(guān)的機制建設(shè)。2021年6月3日，最高人民檢察院、司法部、財政部、生態(tài)環(huán)境部、國務(wù)院國有資產(chǎn)監(jiān)督管理委員會、國家稅務(wù)總局、國家市場監(jiān)督管理總局、中華全國工商業(yè)聯(lián)合會，以及中國國際貿(mào)易促進(jìn)委員會聯(lián)合發(fā)布了《關(guān)于建立涉案企業(yè)合規(guī)第三方監(jiān)督評估機制的指導(dǎo)意見（試行）》。檢察日報亦發(fā)表社評，指出"推進(jìn)企業(yè)合規(guī)工作，是落實習(xí)近平新時代中國特色社會主義思想和習(xí)近平法治思想的重要舉措，也是政治性極強的業(yè)務(wù)工作，需要有關(guān)各方全力以赴共同抓落實。"[1]

?

在此背景下，檢察機關(guān)將更多地參與到推進(jìn)企業(yè)合規(guī)、優(yōu)化營商環(huán)境的工作中。以發(fā)布本次《指引》的楊浦區(qū)為例，自2021年3月起，楊浦區(qū)檢察院先后召開四次企業(yè)合規(guī)推進(jìn)會，并成立了企業(yè)合規(guī)改革試點工作領(lǐng)導(dǎo)小組。[2]本次《指引》的發(fā)布，亦是楊浦區(qū)檢察院推進(jìn)企業(yè)合規(guī)的一環(huán)。而且，《中華人民共和國個人信息保護法》第七十條規(guī)定："個人信息處理者違反本法規(guī)定處理個人信息，侵害眾多個人的權(quán)益的，人民檢察院、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。"因此，檢察機關(guān)亦有動力對企業(yè)的合規(guī)情況進(jìn)行主動監(jiān)督。在此背景下，未來可能更多見到由檢察機關(guān)牽頭組織，指導(dǎo)企業(yè)落實合規(guī)義務(wù)的場景。因此，除各類數(shù)據(jù)監(jiān)管部門之外，企業(yè)亦應(yīng)當(dāng)對檢察機關(guān)的動向與態(tài)度施以必要的關(guān)注。

?

在檢察機關(guān)推動企業(yè)合規(guī)工作的同時，本就需要承擔(dān)監(jiān)管職能的相關(guān)政府部門自然也不會缺席。尤其在落實規(guī)定要求的具體實踐中，政府部門的監(jiān)管口徑對于企業(yè)有著極其重要的意義。雖然我國在近年制定了一系列與數(shù)據(jù)合規(guī)有關(guān)的法律法規(guī)，但是其中很多規(guī)定還相對宏觀，缺少相關(guān)的細(xì)則。此時，政府部門的監(jiān)管口徑就可以幫助企業(yè)把握業(yè)務(wù)尺度，了解合規(guī)的邊界。

?

然而，由于政府部門天然地存在監(jiān)管者這一身份，實踐中亦有部分企業(yè)對與政府溝通存在抵觸情緒。它們擔(dān)心這一過程可能暴露自身的合規(guī)瑕疵，進(jìn)而引發(fā)各類不利的后果。對此，《指引》第十條規(guī)定："企業(yè)應(yīng)積極與數(shù)據(jù)監(jiān)管部門建立溝通渠道，了解數(shù)據(jù)監(jiān)管部門期望的數(shù)據(jù)合規(guī)體系，并制定符合其要求的數(shù)據(jù)合規(guī)制度；對于復(fù)雜或?qū)I(yè)性強且存在重大數(shù)據(jù)風(fēng)險的事項，可以向數(shù)據(jù)監(jiān)管部門咨詢……"本條雖然在字面上是對企業(yè)提出建議，但是"建立溝通渠道"并不可能依靠企業(yè)單方的努力即告完成，亦需要數(shù)據(jù)監(jiān)管部門提供溝通對接、答復(fù)咨詢的窗口與人員。因此，如果從實質(zhì)內(nèi)容上分析，本條的實現(xiàn)將有賴于企業(yè)與數(shù)據(jù)監(jiān)管部門兩方的通力合作。在《指引》發(fā)布后，亦可以進(jìn)一步觀察數(shù)據(jù)監(jiān)管部門是否會針對性地向企業(yè)開放溝通渠道或建立相應(yīng)機制，為政企交流提供便利。

?

對企業(yè)而言，在明確合規(guī)體系的制定原則后，下一步就是確定數(shù)據(jù)合規(guī)事宜的負(fù)責(zé)人，相關(guān)負(fù)責(zé)人的層級一定程度上能夠體現(xiàn)企業(yè)對此問題的重視程度。本次《指引》在第六條明確提出："企業(yè)的最高管理者是數(shù)據(jù)合規(guī)的第一責(zé)任人"，意在鼓勵企業(yè)將數(shù)據(jù)合規(guī)列為自身最為重視的事項之一。

?

同時，考慮到最高管理者通常相對繁忙，對于數(shù)據(jù)合規(guī)可能無法事必躬親，《指引》亦列明了最高管理者應(yīng)當(dāng)承擔(dān)的管理職責(zé)，包括："（一）分配足夠和適當(dāng)?shù)馁Y源來建立、發(fā)展、實施、評估、維護和改進(jìn)數(shù)據(jù)合規(guī)管理體系；（二）確保建立舉報數(shù)據(jù)違規(guī)的有效機制；（三）確保戰(zhàn)略和運營目標(biāo)與履行數(shù)據(jù)合規(guī)義務(wù)之間的一致性；（四）建立和維護問責(zé)機制，包括紀(jì)律處分和后果；（五）確保將數(shù)據(jù)合規(guī)落實情況和效果納入企業(yè)內(nèi)部人員績效考核體系。"上述職責(zé)均相對宏觀，使最高管理者既能夠全局性地把握數(shù)據(jù)合規(guī)情況，落實數(shù)據(jù)合規(guī)義務(wù)，又不至于被瑣碎的具體合規(guī)問題所困擾。而對具體合規(guī)問題的處理，就牽涉到下一個要點，即如何確定數(shù)據(jù)合規(guī)的團隊與人員。

?

為落實數(shù)據(jù)合規(guī)義務(wù)，企業(yè)必然需要相應(yīng)的人員與團隊?！吨敢芬嘣诘谄邨l中對此作出了規(guī)定："鼓勵各類企業(yè)設(shè)置專門的數(shù)據(jù)合規(guī)管理部門，或者將數(shù)據(jù)合規(guī)管理職能融入現(xiàn)有的企業(yè)合規(guī)管理體系，但是不建議由法務(wù)部門履行合規(guī)管理職能。"

?

從企業(yè)內(nèi)部治理與職責(zé)劃分的角度，盡管法務(wù)、合規(guī)都需要以各類規(guī)范作為工作的基礎(chǔ)，但是二者之間依然存在不少差異。首先，合規(guī)工作所涉及的各類依據(jù)往往相對更為具體與瑣碎，以數(shù)據(jù)合規(guī)為例，除法律法規(guī)外，還可能涉及各部委的監(jiān)管規(guī)定、實踐中的處罰案例、乃至部分國標(biāo)、行業(yè)規(guī)范。而且，數(shù)據(jù)合規(guī)還僅只是合規(guī)中的一個部分，在此之外的其他合規(guī)領(lǐng)域還可能涉及不同的內(nèi)容，如由法務(wù)部門負(fù)擔(dān)全部領(lǐng)域的合規(guī)職責(zé)，則存在出現(xiàn)遺漏與疏忽的可能性。同時，在數(shù)據(jù)合規(guī)領(lǐng)域，亦存在一些專業(yè)性的資質(zhì)與認(rèn)證，例如CIPP、CIPM和CIPT認(rèn)證等，企業(yè)在組建數(shù)據(jù)合規(guī)團隊時，亦可以考慮選擇聘用具備資質(zhì)的人員，以提升團隊專業(yè)化程度。

?

其次，實踐中有大量企業(yè)將法務(wù)部門主要用于輔助業(yè)務(wù)部門完成交易，其作用往往隨著交易完成即宣告結(jié)束。然而從履行合規(guī)義務(wù)的角度，除對交易進(jìn)行事前的合規(guī)風(fēng)險評估外，交易事后的持續(xù)監(jiān)控、企業(yè)整體的合規(guī)體系建設(shè)等都屬于履行合規(guī)義務(wù)的一部分，這一定位已經(jīng)遠(yuǎn)遠(yuǎn)超出了目前很多企業(yè)法務(wù)部門的職能范圍。

?

在上述背景下，《指引》特別指出"不建議由法務(wù)部門履行合規(guī)管理職能"，一定程度上也是希望企業(yè)能夠以單獨的部門將數(shù)據(jù)合規(guī)落到實處，而不是僅由法務(wù)部門掛名兼任，最終卻因能力或定位不匹配而使得合規(guī)監(jiān)管的職能流于形式。

?

在確定責(zé)任人與團隊后，落實企業(yè)數(shù)據(jù)合規(guī)義務(wù)就需要具體的措施與手段?！吨敢芬嗑痛颂岢隽艘恍┙ㄗh，可以供企業(yè)參考選用。

?

其一是建立風(fēng)險評估機制。雖然"數(shù)據(jù)處理活動定期開展風(fēng)險評估"是《中華人民共和國數(shù)據(jù)安全法》中已經(jīng)提出的合規(guī)措施。但是該法僅對"重要數(shù)據(jù)的處理者"提出了該項要求。本次《指引》的第二十三條在鼓勵企業(yè)進(jìn)行風(fēng)險評估的基礎(chǔ)上，還進(jìn)一步建議各類企業(yè)都可以對于數(shù)據(jù)風(fēng)險進(jìn)行分級，并根據(jù)風(fēng)險評估結(jié)果對不同職級、工作范圍的管理層與員工進(jìn)行風(fēng)險提示，以便實現(xiàn)事前預(yù)防的效果。

?

其二是建立內(nèi)部舉報機制。由于企業(yè)處理數(shù)據(jù)的情形可能相對繁多，僅憑合規(guī)團隊及相應(yīng)人員進(jìn)行內(nèi)部監(jiān)督難以面面俱到。因此《指引》在第三十條提出可以設(shè)置舉報機制，"允許員工實名或匿名通過內(nèi)部系統(tǒng)舉報數(shù)據(jù)違規(guī)行為，并嚴(yán)格保護實名舉報者和匿名舉報者不受打擊和報復(fù)，尤其是保護匿名舉報者的個人信息安全"。配合《指引》第九條提出的"建立數(shù)據(jù)合規(guī)舉報記錄臺賬，對數(shù)據(jù)合規(guī)舉報制定調(diào)查方案并開展調(diào)查"，該措施可以動員企業(yè)員工廣泛參與數(shù)據(jù)合規(guī)的監(jiān)督工作，并確保所有的舉報切實得到回應(yīng)與處理，盡可能減少企業(yè)自我監(jiān)督時的漏洞與死角。

?

在《指引》中，除不少內(nèi)容直接借鑒現(xiàn)行數(shù)據(jù)保護相關(guān)法律法規(guī)的規(guī)定外，亦有部分條款參考了尚未生效的草案的表述。例如《指引》第十五條、第十六條和第十九條即分別參考了《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》的第十七條、第二十一條和第十二條的規(guī)定。《指引》第二十一條關(guān)于"數(shù)據(jù)出境風(fēng)險自評估"的規(guī)定則是參考了《數(shù)據(jù)出境安全評估辦法（征求意見稿）》第五條的表述。

?

鑒于我國數(shù)據(jù)保護的相關(guān)法律體系仍在不斷完善的過程中，作為一部相對全面實踐指導(dǎo)，《指引》不可避免地需要參考此類尚未生效的草案。目前企業(yè)亦可以先參照《指引》中的規(guī)定用以自查合規(guī)情況、完善合規(guī)體系，但是，企業(yè)仍然應(yīng)當(dāng)時刻關(guān)注最新的立法動向，如未來上述各項規(guī)定的正式稿出臺且對草案的表述作出調(diào)整，則企業(yè)應(yīng)當(dāng)及時按照最終生效的規(guī)定調(diào)整合規(guī)體系，不能再簡單沿用《指引》中的相關(guān)建議，否則反而可能造成企業(yè)合規(guī)體系與監(jiān)管規(guī)定脫節(jié)，產(chǎn)生新的合規(guī)風(fēng)險。

?

綜上所述，作為檢察機關(guān)推動起草的參考性文件，《指引》從多個方面較為全面地為企業(yè)提供了合規(guī)建議，在更多與數(shù)據(jù)合規(guī)有關(guān)的條例細(xì)則出臺前，企業(yè)可以結(jié)合自身的數(shù)據(jù)處理情況與需求，選擇適用其中的標(biāo)準(zhǔn)或建議，以建設(shè)、改善數(shù)據(jù)合規(guī)體系，實現(xiàn)降低數(shù)據(jù)安全風(fēng)險的目的。

?