（一）数据合规的必要性

企业之所以需要进行数据合规，否则可能产生以下主要法律风险：

1.刑事法律风险。互联网数据因其开放性、存储方式的特殊性、内容的敏感性，如不合理、合规使用，互联网企业负责人将涉嫌面临严重的刑事处罚。根据《中华人民共和国刑法》第二百八十五条至二百八十七条之规定，分别设置了如“非法侵入计算机系统罪、破坏计算机信息系统罪、非法利用信息网络罪、帮助信息网络犯罪活动罪”等有关数据信息等方面的刑事罪名。

2.民事、行政法律风险。因互联网信息边界的模糊，规制的不完善，互联网企业若不重视数据合规，还可能构成违法收集数据的行为，从而涉嫌民事侵权引发民事责任以及行政责任。根据国家计算机病毒应急处理中心近期的互联网监测发现，17款移动app存在隐私不合规行为，涉嫌违反《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》的相关规定，超范围采集个人隐私信息。^[3]根据《中华人民共和国个人信息保护法》之规定：“违反本法处理个人信息或未履行保护义务的，将会受到警告、没收违法所得、罚款、停业整顿、吊销业务许可或吊销营业执照的处罚；构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。”^[4]

（二）数据合规的基本要素

1.规范数据信息获取。互联网企业在进行数据合规的过程中，应当建立完善的内部规章体系，严格按照法律、法规的要求，并严格要求员工遵守，通过测试、问答等方式以规范员工行为。

2.建立合规记录体系。互联网企业在建立推广相关数据合规的过程中，应当建立相应的记录体系。如针对性地对员工进行培训、引导，并做好相关记录；针对员工涉嫌违反企业合规制度的，应及时制止，并予以训诫、处罚。

3.充分履行告知义务。互联网应用通常都不同程度地会获取公民的个人信息，诸如姓名、电话、地址等，虽然有相关授权协议，但都因篇幅冗长，用户在未留意的前提下同意授权，从而使企业涉嫌未履行充分告知义务。针对前述情况，企业应采取醒目、单独的方式针对涉及公民信息的使用及授权的内容进行告知，从而避免该类风险。

（三）数据合规路径探索

1.事前型数据合规

事前型数据合规，亦可称为预防型数据合规。目的在于在发生涉嫌刑事犯罪之后，帮助法院审查企业是否具有单位犯罪的意图，从而避免企业因员工涉嫌数据违法行为而被认定为单位犯罪。主要途径是通过互联网企业内部完整的规章体系对用户、客户等个人信息的收集、处理、分析等行为进行严格审查、限制及禁止；在涉及个人信息等敏感数据源的情形下，根据法律、法规的相关规定，制定合规的收集处理程序并应通过相关的审批手续后，方能进行相关的数据处理活动。

此类合规方式具有代表性意义的案件为2017年兰州中院对雀巢公司员工侵犯公民个人信息案^[5]，正是因为雀巢公司将禁止未经批准自行收集公民个人信息纳入了公司的宪章、指示、员工手册等规范性文件中，足以证明雀巢公司既尽到了注意义务，也履行了管理、监督、教育、培训的责任，从而将公司从可能涉嫌的刑事犯罪中脱离出来。^[6]该案件以企业合规管理体系作为依据，将单位责任与员工责任进行了分割，从而使企业避免因员工的行为而承担法律责任。

2.事后型数据合规

事后型数据合规是以企业构成单位犯罪为前提，以减轻刑事责任或者免除刑事责任为激励政策，激励企业构建合规体系。^[7]亦是现在“合规不起诉”制度中，企业主要采取的合规手段，但非每一个涉嫌单位犯罪的企业均能适用。目前检察机关主要根据不同单位犯罪的性质而对犯罪企业进行是否符合“合规不起诉”制度的审查。如果单位犯罪属于集体决策后实施的，则企业很难通过事后合规体系来进行补救，因其主观恶性较大。遂事后型数据合规仅适用于部分企业合规管理体系不健全、或存在员工管理缺位的情形。同时事后型数据合规包含企业、检察院以及第三方监管人员，并涉及刑事诉讼程序性事项，相较事前型数据合规，主导权均掌握在检察机关，企业的可操作性较低，遂企业应积极参与到事前型数据合规建设中来。

在事后型数据合规中，专业第三方监督评估充当重要角色。检察机关立足区域内互联网产业集聚特点，推动设立涉互联网第三方专业人员名录库。如在上述案例中，针对涉及“网络爬虫”等数据合规专业领域情况，检察机关经社会调查认定涉案企业符合企业合规第三方机制适用条件，商请第三方机制管委会从专类名录库中抽取了由互联网行业管理部门、行业龙头企业和专业协会人员组成的第三方组织，为第三方机制运转提供专业性、公正性、协同性支撑。检察机关依托第三方组织的专业优势，以召开评估工作现场会的形式对涉案企业合规计划的可信性、有效性与全面性进行充分审查，围绕案件反映的数据获取问题开展“因罪施救”“因案明规”，^[8]有助于企业刑事“出罪”。