我国企业数据合规研究的系统性文献综述

在数据经济时代，各国要释放数据经济潜力，在数据保护和数据跨境流动之间实现平衡，企业数据合规建设具有现实的必要性，建立企业数据合规制度，规范企业数据处理行为和数据开发利用。目前对企业数据合规的研究多是对政策法规文本分析和数据合规实践业务分析，理论性研究较少。本文在文献梳理和总结的基础上，从企业数据合规政策法规、数据合规管理、数据保护合规、数据跨境流动合规4个视角对企业数据合规进行系统性研究。1研究设计1.1研究综述最高检主导的企业合规从改革试点到全国实施，企业数据合规研究逐步深化，但大多数研究是从一个或者多个视角对企业数据合规展开论述，尚未有综述性研究成果。李玉华等人

从数据合规的企业社会责任理论和多元社会治理理论两个理论、个人数据保护合规和数据跨境流动合规两个维度、数据合规的行政监管和刑事激励两种激励机制阐述了数据合规基本问题；赵洁琼等人通过建立风险评估与响应机制、建立数据分级管理与保护制度、制定企业数据合规制度构建企业数据合规体系；韩轶通过构建企业整体数据安全防护合规制度、企业收集个人数据合规制度、企业个人数据控制权保障合规制度、企业数据泄露防控合规制度、企业第三方数据处理合规制度、企业数据安全应急管理制度构建网络数据安全刑事合规体系。在《通用数据保护条例》（GDPR）影响下，我国涉欧企业的数据合规路径包括：通过构建成熟的数据合规组织体系、建立完备的数据合规防范体系、形成健全的数据风险应对体系、运用智能化方式推进数据合规建设、重点发展多元化的医疗纠纷调解体系。目前，仍然缺乏企业数据合规综述性研究。1.2研究方法本文采取系统性文献综述研究方法，主要基于特定主题进行文献收集，通过预设研究视角对相关文献进一步筛选和分析的文献分析方法。1.3文献样本本文将检索样本限定在中国知网和万方数据库，在中国知网文章来源类别限定为北大核心和CSSCI，万方数据库来源类别限定为只看核心期刊论文，包含CSTPCD、北大核心和CSSCI，检索截止时间为2022年7月20日。根据研究问题，通过文献阅读、专家讨论、实验性检索确定检索词：企业数据合规、个人数据合规、数据保护合规、企业数据跨境流动。通过上述检索词检索的结果存在与本研究无关的文献，为了确保筛选的准确性，需要再次设定文献入选标准：一是仅关注企业数据合规，与企业数据合规无关的排除；二是纳入的文献必须包含企业数据合规中的一个或多个视角：数据合规管理、数据处理、个人数据保护合规、数据合规保护、数据跨境流动；三是只限中文文献。初步检索到340篇文献，按照入选标准对篇名进行人工筛选后得到260篇文献。再通过阅读摘要筛选，文献缩减至193篇。最后通过全文阅读的方式获得符合要求的文献93篇，并从企业数据合规政策法规、数据合规管理、数据保护合规、数据流动合规4个方面进行编码。２描述性分析目前，我国关于企业数据合规的研究还处于起步阶段，从搜集到的文献来看，文献主要聚焦数据合规政策法规（42篇）、企业数据合规管理（7篇）、数据保护合规（36篇）、数据跨境流动合规（18篇）4个方面的研究，有的文献包含了多个视角，所以研究视角的文献数量总和大于93。总体上来看，我国企业数据合规研究主要是局限于对国内外政策法规、政策文本分析和国外经验借鉴，缺乏与相关理论结合的深层次研究。如图1所示，通过文献检索分析，2016年关于企业数据合规的文献有2篇。王融《欧盟通用数据保护条例》详解是第一篇关于企业数据合规的文献，以2016年欧洲议会和欧盟理事会通过《通用数据保护条例》和2016年国内通过《网络安全法》为契机，在全球企业开始准备合规工作的背景下，介绍了数据安全合规。弓永钦《国际企业数据隐私管理标准研究》是企业数据合规的第二篇文献，在数字经济时代，企业将数据隐私保护纳入风险管理的范畴，包含企业隐私管理向标准化的方向发展。2020年文献数量增加到17篇，跨国企业相继因数据不合规、侵犯隐私受到制裁，2020年《数据安全法》和《个人信息保护法》草案相继发布，国内逐渐意识到企业数据合规的重要性，数据合规可以降低和规避企业经营风险。2021年文献数量达到32篇，主要是由于颁布《数据安全法》和《个人信息保护法》，最高检开展企业合规改革试点工作，疫情背景下很多企业因不合规导致破产，促进了对企业数据合规的研究。2022年截至7月20日检索到参考文献已达25篇，预计2022年企业数据合规文献会超过2021年。图1人工智能资产３我国企业数据合规研究的系统性分析在对93篇文献全面分析的基础上，笔者从企业数据合规政策法规、数据合规管理、数据保护合规、数据跨境流动合规4个方面回顾和总结当前企业数据合规的研究现状。3.1企业数据合规政策法规开展企业数据合规，要考量国际政策法规环境的约束和实际影响。企业数据合规相关的政策法规文本是研究的起点和依据，在对文献梳理的过程中，研究企业数据合规政策法规文本的文献有42篇，主要是以欧盟、美国、中国、东盟、印度、法国、比利时等与企业数据合规相关的政策法规文本为研究视角，如图2所示对文献中涉及的企业数据合规政策法规梳理如表1所示。图2企业数据合规政策法规文献表1企业数据合规相关政策法规续表3.2企业数据合规管理数据合规管理是企业数据合规的重要内容。通过研读文献，文献主要围绕数据安全合规管理、算法合规管理、数据安全刑事合规、有效合规管理的两种模式、数据经纪商监管制度、动态数据合规管理机制、涉欧企业的员工个人数据合规管理等场景视角对数据合规管理展开论述，文献分析如图3所示。图3企业数据合规管理文献分析算法治理是企业治理的新型模式，算法合规管理降低了治理风险，张旭[13]从企业算法合规困境、逻辑、进路展开分析，喻术红从算法管理的异化与矫治视角主张从合法行为激励模式和违法行为惩罚模式来促使企业正确运用算法管理模式。3.3企业数据保护合规企业数据保护合规的文献主要围绕数据保护合规体系、隐私数据保护、数据保护模式、数据保护机构、数据保护官、数据保护成熟度、数据处理合规7个方面展开论述，文献分析如图4所示。在数据保护合规体系方面，毛逸潇

认为需要从数据合规政策和数据合规管理流程两个层面完善数据保护合规体系；其他文献从用户数据保护理路、银行数据保护合规、医疗机构构建个人信息保护合规体系、疫情防控中个人信息全生命周期保护等场景视角构建数据保护合规体系。在隐私数据保护方面，主要是从企业数据隐私管理标准，隐私政策在企业数据合规实践中的功能定位，个人隐私数据保护立法、模式、评估标准，美国数据与隐私安全保护制度，移动应用软件隐私政策的合规等视角分析。在数据保护模式方面，主要有数据本地化模式、数据保护监管模式、多元数据保护模式、等保合规范式、数据认证模式、动态规制模式、以文件管理为中心模式。在数据保护机构方面，主要针对欧盟国家数据保护机构和中国香港地区个人资料私隐专员公署的运行机制开展研究。在数据保护官方面，主要是从欧盟数据保护官制度，国外个人数据保护官的概念、职责与能力素质，中外数据保护官制度分析等方面论述。在数据保护成熟度方面，池雅琼等人通过构建企业数据保护成熟度评估模型，聚焦于企业数据有效保护问题；齐佳音等人通过构建企业跨境数据保护成熟度评估模型，聚焦于企业面向欧盟区域的数据保护问题。在数据处理合规方面，廖明等人

论述了数据公司收集使用信息的合规风险；陈峰等人通过个人信息收集“知情同意权”的功能检视，提出了完善对策。图4企业数据保护合规文献分析3.4企业数据跨境流动合规企业数据跨境流动合规文献主要从企业数据跨境流动合规制度、数据贸易中数据跨境流动合规、企业个人数据跨境流动合规3个方面展开分析，文献分析如图5所示。图5企业数据跨境流动合规文献分析文献主要从以下方面构建和完善企业数据跨境流动合规制度：（1）完善企业数据跨境流动机制。完善数据跨境流动立法，提高企业的合规遵从性，大力开展国际合作，积极参与国际规则制定，应对个人数据跨境[48]。许多奇提出通过构建数据跨境流动双向合规体系，针对不同数据采取分类管理方法构建多样化合法流动机制。张凌寒

提出企业合规中个人数据跨境流动要符合对内合规、双向合规要求，还要筹划全球合规。（2）构建和完善监管规则、机构、路径。在数字贸易背景下，构建收放协调的数据跨境流动监管规则。优化行业监管机制，积极参与国际规则制定，引导和激励跨国企业合规工作的开展。从总体上建立数据跨境流动的分级分类审核机制，从具体路径构建上，构建多元主体共同参与的监管体系。（3）完善重点行业和需求场景的合规机制。互联网企业应通过建立内部合规制度、拓展对外交流机制、建立紧急预警机制，构建现代化、创新型跨境数据合规体系。个人金融数据跨境流动要实现个人数据保护与金融市场需求的平衡。出台数据跨境传输标准合同条款，规范数据跨境传输。根据中国企业跨境传输的需求场景，综合考量选择数据跨境传输最佳方案，最大限度地降低违规风险。４企业数据合规研究评述本文从企业数据合规政策法规、数据合规管理、数据保护合规、数据跨境流动合规角度，对我国企业数据合规体系进行了梳理，在此基础上构建企业数据合规体系（见图6），并对各组成部分进行描述。图6企业数据合规体系就企业数据合规政策法规而言，在数据合规政策法规层面逐渐形成以美国、欧盟为主的数据合规局面，欧盟对数据合规保护更占优势。欧盟立法密集，形成以《通用数据保护条例》（GDPR）为主的数据合规体系，欧盟“数据”和“安全”相关的政策法规密集出台，与其“数字化单一市场”战略齐头并进，深刻影响国际数据治理格局。美国多点式进行数据立法，捍卫其多元化社会利益。国内数据合规立法和政策标准稳步出台，基本形成以《网络安全法》《民法典》《数据安全法》《个人信息保护法》四部政策法规为企业数据合规的基本政策法规框架，以《网络安全审查办法》《数据出境安全评估办法》《信息安全技术数据出境安全评估指南》《信息安全技术个人信息安全规范》等政策标准细化补充完善的格局。其他国家配套政策出台密集，大多通过立法强化数据本地化，日益严格的数据保护不利于经济发展。就企业数据合规管理而言，企业数据合规管理是应对经营数据风险、防控数据违法犯罪、守护数据价值的必由之路。企业数据合规要实质化，则必须设置专门机构和专职数据保护官，让企业最高管理者担任数据合规责任人，明确岗位职责和管理协调规则，才能使日常数据合规监管实效化。实时监控经营管理中的数据合规风险，全面落实数据出境安全审核。明确分类分级管控的标准和要求，引入数据安全风险评估机制，对数据进行全生命周期的合规管理，强化业务对外合作数据、企业员工个人信息、访客信息合规管理。构建企业算法合规模型框架，规范算法管理合规流程，引入激励模式和惩罚模式促使企业算法管理模式合规。就企业数据保护合规而言，数据保护合规是企业合规的重要组成部分，数据处理是公司运营的核心，企业数据保护合规受到前所未有的重视。目前，数据保护合规体系的研究存在数据处理规则的遵守和数据管理义务的履行两种模式。从用户、银行、医疗机构、金融科技行业、智能汽车行业、在线教育行业等场景构建数据保护合规体系成为数据合规主要的运行模式。个人隐私数据保护合规的立法、模式、评估标准成为聚焦点。通过数据本地存储，分级分类保护、政府监管下的第三方数据认证、数据保护监管、以文件管理为核心构建多元化、动态化的数据保护合规模式。借鉴欧盟数据保护机构和数据保护官制度，设置专门的数据保护合规部门和岗位，明确工作机制、职责、评价机制、保障措施，使日常工作实效化，将数据保护合规真正落到实处，才能发挥应有的功效。企业数据保护成熟度评估模型，为企业数据有效保护和跨境数据保护合规提供量化评估依据。就企业数据跨境流动合规而言，全球数据跨境流动未形成全球性的流动体系，OECD、APEC、G20、WTO等国际机制成为参与全球跨境数据流动治理的主要多边机制。美国和欧盟正积极开展跨境数据流动治理和规制协调机制，争取构建全球数据流动规则机制。数据跨境流动已经成为不可回避的趋势，构建数据跨境流动合规机制是企业数据合规的必然选择，数据跨境流动的过程中要符合“双向合规”的规定，符合指引性的数据跨境流动协议范本要求，完成跨境数据安全评估。金融数据和贸易中的数据跨境流动合规较为普遍，构建数据贸易合规风险防范机制，在数据贸易的过程中做好合规尽调工作，确保贸易合规安全有序。在数据跨境传输的过程中综合考量，构建数据跨境流动国际合作体系，选择最佳方案，确保数据传输加密、传输端点安全、传输通道安全、传输访问安全、重点行业领域数据传输安全，降低数据跨境传输流动风险。５结语通过系统性文献梳理，企业数据合规主要是由数据合规政策法规、数据合规管理、数据保护合规、数据跨境流动合规组成的系统，政策法规文本合规是依据，数据合规管理是架构，数据保护合规是依托，数据跨境流动合规是延伸，各组成部分之间相互关联，做好有效的管控与流程衔接，促进数据依法有序自由流动，推动数据合规由形式合规向实质合规转变。后续研究应从以下几个方面拓展和完善，优化企业数据合规制度。一是加强企业数据合规理论研究。目前，企业数据合规研究主要是对政策法规文本的解读，涉及具体数据合规业务及数据合规处理技术规范层面。企业数据合规是一项系统工程，涉及国家数据主权、数据贸易、数据经济、数据产权、数据跨境流动、数据立法、数据管理、个人隐私、数据保护和数据黑产等多方面的知识，应在政策法规文本、具体合规业务及数据处理技术的基础上加强跨学科、多元化的企业数据合规基础理论研究，为企业数据合规提供理论指引。二是持续优化数据安全合规体系构建。企业