（一）什么是合規(guī)不起訴？

2021年4月，最高人民檢察院下發(fā)《關(guān)于開展企業(yè)合規(guī)改革試點(diǎn)工作方案》（以下簡(jiǎn)稱“《工作方案》"），明確開展企業(yè)合規(guī)改革試點(diǎn)工作：檢察機(jī)關(guān)對(duì)于辦理的涉企刑事案件，在依法做出不批準(zhǔn)逮捕、不起訴決定或者根據(jù)認(rèn)罪認(rèn)罰從寬制度提出輕緩量刑建議等的同時(shí)，針對(duì)企業(yè)涉嫌的具體犯罪，為企業(yè)設(shè)置考察期限，督促涉案企業(yè)作出合規(guī)承諾并積極整改落實(shí)。由此，“合規(guī)不起訴"即當(dāng)涉案企業(yè)作出合規(guī)承諾并積極整改落實(shí)后，檢察機(jī)關(guān)可據(jù)此作出不批準(zhǔn)逮捕、不起訴決定或提出輕緩量刑建議。

?

“合規(guī)不起訴"的理念源起于美國的暫緩起訴協(xié)議（Deferred Prosecution Agreement，DPA）與不起訴協(xié)議（Non-Prosecution Agreement，NPA）制度。前述制度的適用領(lǐng)域包括侵犯公民個(gè)人信息等新型數(shù)據(jù)犯罪案件。在Epsilon案[1]中，因?qū)⑺莆盏?000多萬美國民眾的數(shù)據(jù)出售給欺詐組織，Epsilon公司受到刑事指控。此后，Epsilon與當(dāng)?shù)貦z察機(jī)關(guān)及美國司法部就該指控達(dá)成DPA，并通過對(duì)完善公司內(nèi)部數(shù)據(jù)合規(guī)舉措作出承諾，積極開展整改，定期向司法當(dāng)局提交公司數(shù)據(jù)合規(guī)整改報(bào)告等方式，最終避免了被定罪量刑的不利后果。

?

隨著改革試點(diǎn)工作的穩(wěn)步推進(jìn)，“合規(guī)不起訴"在我國的實(shí)踐適用領(lǐng)域也從經(jīng)濟(jì)犯罪擴(kuò)展至網(wǎng)絡(luò)數(shù)據(jù)犯罪。在首起“數(shù)據(jù)合規(guī)不起訴"案中，網(wǎng)絡(luò)科技領(lǐng)域的Z公司的首席技術(shù)官和多名技術(shù)人員于2019年至2020年期間，在未經(jīng)授權(quán)許可的情況下，通過網(wǎng)絡(luò)爬蟲等技術(shù)手段，非法獲取某外賣平臺(tái)數(shù)據(jù)，造成其直接經(jīng)濟(jì)損失4萬余元，涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。涉案公司最終通過完成合規(guī)整改的方式獲得了檢察機(jī)關(guān)的不起訴決定。該案作為最高檢指導(dǎo)下培育的數(shù)據(jù)合規(guī)典型案例，為數(shù)字化轉(zhuǎn)型背景下我國企業(yè)“數(shù)據(jù)合規(guī)不起訴"的實(shí)踐適用拉開序幕。

（二）何種情形下適用合規(guī)不起訴？

1、主體

?

目前《工作方案》等文件中未明確“合規(guī)不起訴"適用的主體范圍，參考與合規(guī)不起訴制度密切相關(guān)的《關(guān)于建立涉案企業(yè)合規(guī)第三方監(jiān)督評(píng)估機(jī)制的指導(dǎo)意見（試行）》（以下簡(jiǎn)稱“《指導(dǎo)意見》"）第三條[2]規(guī)定，第三方機(jī)制既適用于公司、企業(yè)等實(shí)施的單位犯罪案件，也適用于公司、企業(yè)實(shí)際控制人、經(jīng)營管理人員、關(guān)鍵技術(shù)人員等實(shí)施的與生產(chǎn)經(jīng)營活動(dòng)密切相關(guān)的犯罪案件。

?

據(jù)此，從目前的制度安排上看，我們傾向于理解我國合規(guī)不起訴制度將同時(shí)適用于單位主體與個(gè)人主體。就數(shù)據(jù)保護(hù)領(lǐng)域而言，企業(yè)的數(shù)字產(chǎn)品的開發(fā)、運(yùn)營和管理人員，乃至個(gè)人信息保護(hù)負(fù)責(zé)人等責(zé)任主體或可適用合規(guī)不起訴制度以最大程度規(guī)避自身刑事風(fēng)險(xiǎn)。

?

2、適用條件

?

結(jié)合相關(guān)規(guī)定[3]及現(xiàn)有實(shí)踐[4]，適用合規(guī)不起訴的案件以輕罪居多，但也不排除個(gè)別案件中直接責(zé)任人員可能判處三年有期徒刑以上刑罰。據(jù)此，結(jié)合有關(guān)規(guī)定[5]，我們總結(jié)了“合規(guī)不起訴"常見的適用條件及排除適用條件。請(qǐng)見下表：

點(diǎn)擊可查看大圖

3、數(shù)據(jù)合規(guī)領(lǐng)域相關(guān)的罪名

?

我們梳理了數(shù)據(jù)合規(guī)領(lǐng)域常見刑事風(fēng)險(xiǎn)高發(fā)場(chǎng)景以及涉及罪名如下表。

點(diǎn)擊可查看大圖

（一）合規(guī)不起訴程序的啟動(dòng)

根據(jù)《工作方案》《指導(dǎo)意見》等相關(guān)規(guī)定，合規(guī)不起訴制度應(yīng)由檢察機(jī)關(guān)依職權(quán)或依申請(qǐng)啟動(dòng)。[15]依申請(qǐng)啟動(dòng)，即涉案企業(yè)、個(gè)人及其辯護(hù)人、訴訟代理人或者其他相關(guān)單位、人員提出適用企業(yè)合規(guī)試點(diǎn)以及第三方機(jī)制申請(qǐng)的，人民檢察院應(yīng)當(dāng)依法受理并進(jìn)行審查。依職權(quán)啟動(dòng)，即人民檢察院主動(dòng)審查所辦理的涉企犯罪案件是否符合企業(yè)合規(guī)試點(diǎn)適用條件，經(jīng)審查符合條件的，啟動(dòng)合規(guī)試點(diǎn)。

?

在首例數(shù)據(jù)合規(guī)不起訴案中，Z公司在案發(fā)后即向普陀區(qū)檢察院提出了合規(guī)不起訴申請(qǐng)。隨后，檢察機(jī)關(guān)綜合本案爬取數(shù)據(jù)未涉及身份認(rèn)證信息，無二次兜售牟利行為，犯罪情節(jié)及主觀惡性等情況，并綜合考慮涉案單位為成長(zhǎng)型科創(chuàng)企業(yè)、直接責(zé)任人認(rèn)罪認(rèn)罰并積極賠償?shù)仁聦?shí)，經(jīng)審查認(rèn)定可依法啟動(dòng)涉案企業(yè)合規(guī)考察，進(jìn)而啟動(dòng)相應(yīng)合規(guī)不起訴程序。

?

就申請(qǐng)及審查時(shí)間層面，本案尚未披露Z公司提出申請(qǐng)以及檢察院開展審查的具體時(shí)間節(jié)點(diǎn)，《工作方案》等文件中同樣未明確合規(guī)不起訴程序的啟動(dòng)時(shí)間。參考部分地方立法，例如遼寧省在《合規(guī)考察制度意見》第八條即明確規(guī)定，檢察機(jī)關(guān)應(yīng)當(dāng)自犯罪案件移送審查起訴之日起30日內(nèi)，決定對(duì)是否適用合規(guī)考察制度進(jìn)行審查。

（二）合規(guī)審查與檢察建議

合規(guī)不起訴制度的根本目的在于通過企業(yè)合規(guī)，常態(tài)化降低刑事犯罪風(fēng)險(xiǎn)。數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)具有系統(tǒng)性的特征，雖可通過快速整改（Quick Win）以規(guī)避特定合規(guī)風(fēng)險(xiǎn)，但就數(shù)據(jù)風(fēng)險(xiǎn)防范而言，則應(yīng)建立整體性的數(shù)據(jù)合規(guī)體系。據(jù)此，如企業(yè)因數(shù)據(jù)合規(guī)問題遭遇刑事風(fēng)險(xiǎn)而欲尋求適用合規(guī)不起訴制度，則應(yīng)在自身合規(guī)承諾中同時(shí)涵蓋在整改期內(nèi)解決特定問題（Quick Win）及在整改期后及時(shí)搭建整體數(shù)據(jù)合規(guī)體系。

?

本案中，在Z公司提出申請(qǐng)后，普陀區(qū)檢察院實(shí)地走訪Z公司以查看經(jīng)營現(xiàn)狀、會(huì)同監(jiān)管部門研商Z公司運(yùn)營情況后，從數(shù)據(jù)合規(guī)管理、數(shù)據(jù)風(fēng)險(xiǎn)識(shí)別、評(píng)估與處理、數(shù)據(jù)合規(guī)運(yùn)行與保障等方面提出整改建議，指導(dǎo)Z公司作出合規(guī)承諾。具體而言，檢察機(jī)關(guān)提出了合規(guī)建議的三大舉措：

?

第一，構(gòu)建數(shù)據(jù)合規(guī)管理體系，設(shè)置專門的數(shù)據(jù)合規(guī)管理部門，特別針對(duì)數(shù)據(jù)來源合法性，制定并不斷完善數(shù)據(jù)合規(guī)計(jì)劃；

?

第二，提高數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)識(shí)別、應(yīng)對(duì)能力，規(guī)范技術(shù)匯報(bào)審批流程，建立技術(shù)應(yīng)用合規(guī)評(píng)估制度；

?

第三，穩(wěn)健數(shù)據(jù)合規(guī)運(yùn)行，建立數(shù)據(jù)合規(guī)咨詢機(jī)制與數(shù)據(jù)不合規(guī)發(fā)現(xiàn)機(jī)制，建立數(shù)據(jù)分級(jí)分類管理制度及員工數(shù)據(jù)安全管理制度，填補(bǔ)制度空白。

（三）合規(guī)整改

本案中Z公司涉及通過爬蟲技術(shù)非法獲取平臺(tái)數(shù)據(jù)，構(gòu)成數(shù)據(jù)源不合法的問題。結(jié)合檢察建議，Z公司圍繞管理措施、技術(shù)措施、制度進(jìn)行自查整改，包括徹底銷毀相關(guān)“爬蟲"程序及源代碼，對(duì)非法獲取的涉案數(shù)據(jù)進(jìn)行無害化處理，同時(shí)，與相關(guān)平臺(tái)簽訂數(shù)據(jù)處理協(xié)議，同多家大型互聯(lián)網(wǎng)企業(yè)達(dá)成數(shù)據(jù)合作以搭建合法第三方數(shù)據(jù)獲取的機(jī)制，助力后續(xù)業(yè)務(wù)的合規(guī)平穩(wěn)開展。

?

就合規(guī)整改期限而言，從案件時(shí)間線[16]來看，檢察機(jī)關(guān)為Z公司設(shè)定的合規(guī)整改期限不少于5個(gè)月。我們理解，與多數(shù)經(jīng)濟(jì)類犯罪涉及的合規(guī)整改不同，就數(shù)據(jù)合規(guī)而言，往往可能涉及企業(yè)制度體系的完善、管理架構(gòu)的調(diào)整及業(yè)務(wù)模式的巨變，整改難度較大、耗時(shí)較長(zhǎng)，進(jìn)而需具備成熟數(shù)據(jù)合規(guī)經(jīng)驗(yàn)的專業(yè)團(tuán)隊(duì)介入。本案中，Z公司在整改開始之際即聘請(qǐng)法律顧問團(tuán)隊(duì)，通過引入專業(yè)意見，制定了針對(duì)性且行之有效的數(shù)據(jù)合規(guī)整改計(jì)劃，從而使得Z公司可以在整改期內(nèi)順利根據(jù)承諾推進(jìn)對(duì)涉案數(shù)據(jù)合規(guī)問題的整改。

?

結(jié)合目前的實(shí)踐情況，多數(shù)合規(guī)不起訴案例整改期限在半年之內(nèi)，部分案件整改期限更是在3個(gè)月內(nèi)。[17]可見，如企業(yè)因面臨刑事風(fēng)險(xiǎn)而啟動(dòng)合規(guī)不起訴程序時(shí)完全從零開始整改，恐面臨較大整改難度和壓力。據(jù)此，提前搭建數(shù)據(jù)合規(guī)體系不僅可有效防范企業(yè)觸發(fā)刑事風(fēng)險(xiǎn)，亦可幫助企業(yè)在啟動(dòng)合規(guī)不起訴程序后于有限的整改期限內(nèi)及時(shí)完成整改。

（四）第三方監(jiān)督評(píng)估（如有）

本案中Z公司在收到檢察建議并開展合規(guī)整改過程中，依法申請(qǐng)啟動(dòng)第三方監(jiān)督評(píng)估機(jī)制（以下簡(jiǎn)稱“第三方機(jī)制"），根據(jù)《指導(dǎo)意見》第10條，第三方機(jī)制的啟動(dòng)應(yīng)由涉案主體提出申請(qǐng)，并由檢察院予以審查。如經(jīng)審查符合條件的，可商請(qǐng)本地區(qū)第三方機(jī)制管委會(huì)啟動(dòng)第三方機(jī)制。同時(shí)，第三方組織應(yīng)由專業(yè)人員組成。本案涉及“網(wǎng)絡(luò)爬蟲"等數(shù)據(jù)合規(guī)專業(yè)領(lǐng)域，因此，檢察機(jī)關(guān)商請(qǐng)第三方監(jiān)督評(píng)估機(jī)制管委會(huì)從專類名錄庫中抽取了由網(wǎng)信辦、某知名互聯(lián)網(wǎng)安全企業(yè)和產(chǎn)業(yè)促進(jìn)社會(huì)組織人員組成第三方組織。

?

值得注意，啟動(dòng)第三方機(jī)制并非合規(guī)不起訴程序的必需階段，《涉案企業(yè)合規(guī)建設(shè)、評(píng)估和審查辦法（試行）》（以下簡(jiǎn)稱“《辦法》"）總則部分明確提出：“針對(duì)未啟動(dòng)第三方機(jī)制的小微企業(yè)合規(guī)，可以由人民檢察院對(duì)其提交的合規(guī)計(jì)劃和整改報(bào)告進(jìn)行審查。"

?

具體而言，第三方機(jī)制的適用程序如下圖：

點(diǎn)擊可查看大圖

6月14日，企業(yè)合規(guī)第三方監(jiān)督評(píng)估工作推進(jìn)會(huì)召開。會(huì)上，最高檢黨組副書記童建明明確，開展涉案企業(yè)合規(guī)改革試點(diǎn)，“必須緊緊依靠第三方機(jī)制"，再次強(qiáng)調(diào)了第三方機(jī)制在“合規(guī)不起訴"程序中的重要性。隨著全國工商聯(lián)、最高檢等十三部門共同啟動(dòng)的企業(yè)合規(guī)第三方監(jiān)督評(píng)估信息化服務(wù)平臺(tái)的運(yùn)行，可以預(yù)見，第三方介入于“合規(guī)不起訴"程序?qū)⒏映B(tài)化與專業(yè)化。

（五）公開聽證（如有）與不起訴決定

根據(jù)相關(guān)規(guī)定[18]，對(duì)于擬作不批準(zhǔn)逮捕、不起訴、變更強(qiáng)制措施等決定的涉企犯罪案件，可以召開聽證會(huì)。本案中，第三方組織評(píng)定合規(guī)整改合格后，檢察院組織進(jìn)行公開審查聽證。經(jīng)評(píng)議，參與聽證各方認(rèn)為涉案單位數(shù)據(jù)合規(guī)整改到位，一致同意對(duì)涉案單位及人員作出不起訴決定。

?

關(guān)于整改有效性的判斷，《辦法》第三章具體提出了如下評(píng)估指標(biāo)：

?

（一）對(duì)涉案合規(guī)風(fēng)險(xiǎn)的有效識(shí)別、控制；

（二）對(duì)違規(guī)違法行為的及時(shí)處置；

（三）合規(guī)管理機(jī)構(gòu)或人員配置的合理配置；

（四）合規(guī)管理制度機(jī)制建立及人力物力的充分保障；

（五）監(jiān)測(cè)、舉報(bào)、調(diào)查、處理機(jī)制及合規(guī)績(jī)效評(píng)價(jià)機(jī)制的正常運(yùn)行；

（六）持續(xù)整改機(jī)制與合規(guī)文化的基本形成。

?

可見，各方作出不起訴決定時(shí)，不僅著眼于涉案犯罪行為風(fēng)險(xiǎn)的化解，也同時(shí)關(guān)注持續(xù)合規(guī)部署及風(fēng)險(xiǎn)防范。本案中，Z公司亦在聽證會(huì)上作出了“將合規(guī)整改動(dòng)態(tài)化、常態(tài)化落實(shí)到日常管理中"的合規(guī)承諾。

（一）應(yīng)用領(lǐng)域的范圍：經(jīng)濟(jì)犯罪或全面鋪開？

2021年3月，最高檢啟動(dòng)第二期企業(yè)合規(guī)改革試點(diǎn)工作，將“合規(guī)不起訴"制度應(yīng)用范圍從第一期試點(diǎn)時(shí)的涉企“經(jīng)營類犯罪案件"擴(kuò)至涉企“刑事案件"，從既往試點(diǎn)單位公布的典型案例上看，“合規(guī)不起訴"的實(shí)踐應(yīng)用已從經(jīng)濟(jì)類犯罪拓寬至環(huán)境類犯罪，而本次首例“數(shù)據(jù)合規(guī)不起訴"案則意味著將進(jìn)一步拓展至數(shù)據(jù)合規(guī)領(lǐng)域。我們理解，這一拓展不僅印證企業(yè)“合規(guī)不起訴"的應(yīng)用領(lǐng)域正全面鋪開，同時(shí)也彰顯數(shù)字經(jīng)濟(jì)時(shí)代構(gòu)建數(shù)據(jù)合規(guī)體系對(duì)于幫助涉案企業(yè)“起死回生"的特殊意義。

（二）用主體的邊界：DPO等或可適用合規(guī)不起訴？

目前，《刑法》對(duì)大部分網(wǎng)絡(luò)數(shù)據(jù)領(lǐng)域可能涉及罪名均明確規(guī)定了單位的刑事責(zé)任與個(gè)人的刑事責(zé)任（即雙罰制），其中“個(gè)人"通常指直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，而在數(shù)據(jù)合規(guī)領(lǐng)域則進(jìn)一步可能包括業(yè)務(wù)負(fù)責(zé)人，乃至數(shù)據(jù)安全負(fù)責(zé)人、個(gè)人信息保護(hù)負(fù)責(zé)人等（以下統(tǒng)稱為“負(fù)責(zé)人"）。

?

如前所述，我國合規(guī)不起訴制度同時(shí)適用于企業(yè)與個(gè)人。據(jù)此，就網(wǎng)絡(luò)數(shù)據(jù)領(lǐng)域，考慮到《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》均對(duì)企業(yè)提出了設(shè)定相應(yīng)負(fù)責(zé)人的合規(guī)要求，實(shí)踐中，依法應(yīng)承擔(dān)數(shù)據(jù)合規(guī)監(jiān)管責(zé)任、甚至刑事責(zé)任也一直是此等負(fù)責(zé)人的痛點(diǎn)，我們理解，通過引入合規(guī)不起訴制度，或可成為企業(yè)DPO（數(shù)據(jù)保護(hù)官）等負(fù)責(zé)人自我保護(hù)的有力武器。

（三）制度價(jià)值的實(shí)現(xiàn)：小微企業(yè)或中大型企業(yè)？

如涉案企業(yè)進(jìn)入“合規(guī)不起訴"程序，作為中大型企業(yè)，因其具有合規(guī)部門、法務(wù)部門等更為完善的組織架構(gòu)，且通常已具備一定數(shù)據(jù)保護(hù)制度基礎(chǔ)，故而在落實(shí)檢察機(jī)關(guān)的數(shù)據(jù)合規(guī)整改要求、建立健全企業(yè)數(shù)據(jù)合規(guī)體系等問題上更具先決優(yōu)勢(shì)，也可助力企業(yè)快速度過整改期。

?

相比中大型企業(yè)，實(shí)踐中，小微企業(yè)可能存在欠缺數(shù)據(jù)合規(guī)意識(shí)，組織架構(gòu)、制度流程設(shè)計(jì)等同法定要求存在較大數(shù)據(jù)合規(guī)差距等問題，對(duì)數(shù)據(jù)合規(guī)體系的搭建往往需從零開始，從而使得小微企業(yè)在短期內(nèi)完成數(shù)據(jù)合規(guī)整改以實(shí)現(xiàn)不被起訴目標(biāo)的存在一定難度。

?

據(jù)此，我們理解，“合規(guī)不起訴"制度對(duì)于中大型企業(yè)，尤其是已建立一定數(shù)據(jù)合規(guī)管理體系的企業(yè)而言將更具適用價(jià)值。對(duì)于小微企業(yè)而言，也可通過提前建設(shè)必要的數(shù)據(jù)合規(guī)管理機(jī)制，以在事前（防范）和事后（適用合規(guī)不起訴制度）最大程度規(guī)避刑事風(fēng)險(xiǎn)。

（四）數(shù)據(jù)合規(guī)的開展：錦上添花或勢(shì)在必行？

近年來，無論是數(shù)據(jù)主體行權(quán)意識(shí)的覺醒，還是監(jiān)管態(tài)勢(shì)的趨嚴(yán)，均凸顯了企業(yè)數(shù)據(jù)合規(guī)議題的重要價(jià)值。對(duì)企業(yè)而言，首例數(shù)據(jù)“合規(guī)不起訴"案件的公布，是警示亦是動(dòng)力。

?

本案企業(yè)因違法使用爬蟲技術(shù)而觸發(fā)刑事程序，警示企業(yè)“數(shù)據(jù)"不再僅是“紅利"，而是“雙刃劍"。數(shù)據(jù)既可以作為新的生產(chǎn)要素成為企業(yè)的核心競(jìng)爭(zhēng)力，同時(shí)在企業(yè)對(duì)數(shù)據(jù)合規(guī)義務(wù)予以漠視，越過刑事犯罪的邊界時(shí)，其亦可能給企業(yè)帶來“經(jīng)營生命終結(jié)"的風(fēng)險(xiǎn)。

?

同時(shí)，本案也可成為企業(yè)積極建設(shè)數(shù)據(jù)合規(guī)體系的動(dòng)力。一方面，企業(yè)可通過提前部署數(shù)據(jù)合規(guī)工具，設(shè)定數(shù)據(jù)合規(guī)管理架構(gòu)，建立數(shù)據(jù)合規(guī)制度，從而提前防范刑事風(fēng)險(xiǎn)；另一方面，如確已進(jìn)入刑事程序，可通過“合規(guī)不起訴"制度配合檢察機(jī)關(guān)積極開展數(shù)據(jù)合規(guī)整改，繼而扭轉(zhuǎn)局勢(shì)，使企業(yè)得以轉(zhuǎn)危為安，延續(xù)經(jīng)營。據(jù)此，我們理解，企業(yè)開展系統(tǒng)的數(shù)據(jù)合規(guī)治理，將不再是控制底線合規(guī)風(fēng)險(xiǎn)基礎(chǔ)上的錦上添花，而將成為規(guī)避自身涉刑風(fēng)險(xiǎn)所勢(shì)在必行的路徑。

如前述，企業(yè)開展數(shù)據(jù)合規(guī)治理已成為數(shù)據(jù)時(shí)代下勢(shì)在必行的路徑。據(jù)此，我們建議企業(yè)以風(fēng)險(xiǎn)防控為導(dǎo)向開展數(shù)據(jù)合規(guī)工作，在面臨刑事風(fēng)險(xiǎn)可能時(shí)，通過如下兩大方面、四個(gè)步驟開展數(shù)據(jù)合規(guī)工作，增強(qiáng)“合規(guī)不起訴"程序的適用可能性，助力在有限的整改期內(nèi)開展合規(guī)整改，以實(shí)現(xiàn)不被起訴之目的。

（一）組建數(shù)據(jù)合規(guī)團(tuán)隊(duì)，開展高危風(fēng)險(xiǎn)針對(duì)性整改（Quick-Win）

如企業(yè)意識(shí)到有可能面臨數(shù)據(jù)安全事件或面臨刑事風(fēng)險(xiǎn)，應(yīng)當(dāng)及時(shí)引入外部數(shù)據(jù)合規(guī)律師等專業(yè)第三方，與法務(wù)/合規(guī)部門、IT等部門成員共同組成專門的數(shù)據(jù)合規(guī)整改團(tuán)隊(duì)，針對(duì)可能引發(fā)數(shù)據(jù)安全事件或刑事風(fēng)險(xiǎn)的高危數(shù)據(jù)處理活動(dòng)制定針對(duì)性合規(guī)計(jì)劃，推進(jìn)整改。針對(duì)性合規(guī)計(jì)劃應(yīng)當(dāng)有所側(cè)重，在短期內(nèi)優(yōu)先攻克監(jiān)管關(guān)注、直接面向C端用戶的高風(fēng)險(xiǎn)項(xiàng)。

（二）全面開展差距分析，建立長(zhǎng)效數(shù)據(jù)合規(guī)治理機(jī)制

1、全面梳理數(shù)據(jù)資產(chǎn)清單，開展盡職調(diào)查與差距分析

?

企業(yè)應(yīng)由點(diǎn)及面，在數(shù)據(jù)合規(guī)律師等專業(yè)第三方協(xié)助下，就各業(yè)務(wù)、產(chǎn)品涉及信息系統(tǒng)、數(shù)據(jù)處理情況、業(yè)務(wù)流程，既有數(shù)據(jù)業(yè)務(wù)資質(zhì)、制度與流程，與第三方數(shù)據(jù)交互情況及第三方的合規(guī)管理情況等開展全面盡職調(diào)查；并對(duì)標(biāo)普適性及行業(yè)特殊法律法規(guī)、標(biāo)準(zhǔn)等，從數(shù)據(jù)安全、個(gè)人信息安全的角度，開展合規(guī)差距分析，全方位識(shí)別數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)與合規(guī)差距。

?

2、健全數(shù)據(jù)合規(guī)管理體系，提高數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)識(shí)別能力

?

企業(yè)可綜合考量違法后果、執(zhí)法趨勢(shì)、行業(yè)實(shí)踐、公司現(xiàn)狀等因素，結(jié)合數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)識(shí)別與合規(guī)差距分析結(jié)果，制定相應(yīng)整改方案，通過業(yè)務(wù)、法務(wù)、技術(shù)人員的配合，完善內(nèi)部制度、組織與技術(shù)措施，健全數(shù)據(jù)合規(guī)體系，避免觸發(fā)刑事風(fēng)險(xiǎn)。

?

同時(shí)，企業(yè)可考慮引入PbD等數(shù)據(jù)合規(guī)工具，將數(shù)據(jù)合規(guī)要求融入產(chǎn)品設(shè)計(jì)源頭，就高風(fēng)險(xiǎn)場(chǎng)景及時(shí)進(jìn)行個(gè)人信息安全影響評(píng)估，并確保監(jiān)測(cè)、舉報(bào)、調(diào)查、處理機(jī)制及合規(guī)績(jī)效評(píng)價(jià)機(jī)制的正常運(yùn)行，以不斷提升數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)識(shí)別能力。

?

3、定期開展數(shù)據(jù)合規(guī)審計(jì)，持續(xù)提升數(shù)據(jù)合規(guī)意識(shí)

?

數(shù)據(jù)合規(guī)審計(jì)報(bào)告不僅可幫助企業(yè)了解自身數(shù)據(jù)合規(guī)情況，同時(shí)亦可作為向檢察院及第三方組織證明自身合規(guī)程度的證明文件。企業(yè)應(yīng)當(dāng)定期開展數(shù)據(jù)合規(guī)審計(jì)，不斷發(fā)現(xiàn)問題、解決問題。同時(shí)，還應(yīng)加強(qiáng)人員培訓(xùn)，不斷提高員工的數(shù)據(jù)合規(guī)意識(shí)，并在業(yè)務(wù)中嵌入合規(guī)流程、落實(shí)合規(guī)要求，結(jié)合外部監(jiān)管要求和自身需求動(dòng)態(tài)優(yōu)化合規(guī)體系與合規(guī)實(shí)踐。