當(dāng)前合規(guī)工作已被各國提上重要議事日程，各國法律法規(guī)要求也日趨嚴(yán)格，在反壟斷、反不正當(dāng)競爭、反洗錢等多領(lǐng)域?qū)ζ髽I(yè)提出更高的合規(guī)管理要求，國際層面更是加強(qiáng)對相關(guān)貿(mào)易活動中相關(guān)組織不合規(guī)行為的聯(lián)合懲戒力度。

中國高度重視數(shù)據(jù)的基礎(chǔ)性和戰(zhàn)略性作用，更是將合規(guī)工作納入2035遠(yuǎn)景發(fā)展目標(biāo)綱要中，旨在引導(dǎo)企業(yè)加強(qiáng)合規(guī)管理，守法經(jīng)營。工業(yè)和信息化部、國務(wù)院國資委等相關(guān)部門正積極推動數(shù)據(jù)合規(guī)相關(guān)工作的開展，制定《中央企業(yè)合規(guī)管理辦法》等指導(dǎo)性文件，在立法層面將企業(yè)合規(guī)管理工作推向新高度。與此同時(shí)，各地也積極開展企業(yè)合規(guī)改革試點(diǎn)工作，由檢察院牽頭，督促企業(yè)建立合規(guī)制度，履行合規(guī)承諾，并充分探索建立企業(yè)合規(guī)第三方監(jiān)管機(jī)制，提升合規(guī)工作執(zhí)法監(jiān)督質(zhì)量。

此前，中國標(biāo)準(zhǔn)化研究院牽頭制定GB/T35770合規(guī)管理體系及使用指南國家標(biāo)準(zhǔn)，此后國家市場監(jiān)督管理總局等主體在各自相關(guān)行業(yè)領(lǐng)域深入開展合規(guī)管理細(xì)化工作，數(shù)字合規(guī)是數(shù)字經(jīng)濟(jì)發(fā)展的基石，為促進(jìn)數(shù)字經(jīng)濟(jì)行業(yè)的健康穩(wěn)步發(fā)展，必然需要加強(qiáng)數(shù)據(jù)合規(guī)管理體系的建設(shè)。

構(gòu)建數(shù)據(jù)合規(guī)管理體系一方面能夠打通各項(xiàng)法律法規(guī)之間的關(guān)聯(lián)，便于企業(yè)結(jié)合章程制定針對性合規(guī)策略，真正實(shí)現(xiàn)“外規(guī)內(nèi)化”；另一方面能夠依法強(qiáng)制企業(yè)加強(qiáng)合規(guī)管理工作。隨著《中華人民共和國數(shù)據(jù)安全法》等法律的出臺，中國已建立起較為嚴(yán)密的數(shù)據(jù)法規(guī)體系。

正是基于上述背景，我國旨在從規(guī)則、技術(shù)、管理等角度將數(shù)據(jù)與合規(guī)進(jìn)行有效銜接，打造數(shù)據(jù)合規(guī)管理體系，通過管理體系形成相互關(guān)聯(lián)、相互作用的制度體系，提升數(shù)據(jù)管理能力，同時(shí)引進(jìn)第三方認(rèn)證評估制度，確保數(shù)據(jù)合規(guī)工作的順利落地實(shí)施。

（一）數(shù)據(jù)合規(guī)管理體系標(biāo)準(zhǔn)核心要素

把握數(shù)據(jù)合規(guī)管理體系標(biāo)準(zhǔn)的核心要素，是快速掌握《數(shù)據(jù)合規(guī)管理體系要求》標(biāo)準(zhǔn)的前提。

1、合規(guī)管理對象

構(gòu)建合規(guī)管理體系以明確管理對象為前提，識別管理重點(diǎn)，即識別企業(yè)需履行的全部合規(guī)義務(wù)，其中合規(guī)義務(wù)包括企業(yè)強(qiáng)制遵守的要求（如法律法規(guī)、條約、公約和協(xié)議等要求）以及企業(yè)自愿選擇遵守的要求（如與社會團(tuán)體或NGO簽訂的協(xié)議、企業(yè)內(nèi)部規(guī)定等）。

2、合規(guī)管理范圍

合規(guī)管理具有較強(qiáng)延展性，因此企業(yè)在生產(chǎn)經(jīng)營過程中會直接或間接受到來自外界，如供應(yīng)商、上級單位等相關(guān)方的影響，進(jìn)而引發(fā)合規(guī)風(fēng)險(xiǎn)，為此，需明確合規(guī)管理范圍，進(jìn)而要求實(shí)現(xiàn)“三全合規(guī)”：

首先，“全員”合規(guī)，明確外部相關(guān)方與內(nèi)部相關(guān)方主體；

其次，“全域”合規(guī)，確保與相關(guān)專項(xiàng)領(lǐng)域（如法務(wù)、審計(jì)、風(fēng)控、內(nèi)控等）以及與相關(guān)管理領(lǐng)域（如質(zhì)量、環(huán)境、健康安全等）實(shí)現(xiàn)深度融合；

最后，“全過程”合規(guī)，實(shí)現(xiàn)產(chǎn)品生命周期以及數(shù)據(jù)生命周期過程的合規(guī)管控全覆蓋。

3、識別合規(guī)義務(wù)、評估合規(guī)風(fēng)險(xiǎn)

企業(yè)要在識別合規(guī)義務(wù)基礎(chǔ)上基于風(fēng)險(xiǎn)思維的方法論積極開展合規(guī)風(fēng)險(xiǎn)評估，開展風(fēng)險(xiǎn)評估需以違規(guī)后果為參照，如個(gè)人傷害、環(huán)境影響、經(jīng)濟(jì)損失等后果，并根據(jù)評估結(jié)果劃分合規(guī)風(fēng)險(xiǎn)等級，優(yōu)先應(yīng)對高級別合規(guī)風(fēng)險(xiǎn)，最終實(shí)現(xiàn)覆蓋所有合規(guī)風(fēng)險(xiǎn)的目標(biāo)。

4、合規(guī)文化

合規(guī)管理本質(zhì)是行為管理，因此合規(guī)文化的建設(shè)對于構(gòu)建企業(yè)合規(guī)管理體系至關(guān)重要。建設(shè)合規(guī)文化實(shí)質(zhì)在于構(gòu)建屬于企業(yè)自身的合規(guī)行為規(guī)范，如管理者以身作則、對關(guān)鍵崗位人員開展盡職調(diào)查、加強(qiáng)新員工培訓(xùn)強(qiáng)調(diào)組織價(jià)值觀和合規(guī)要求等，并切實(shí)保障此類行為規(guī)范被納入到企業(yè)規(guī)章制度與相關(guān)文件中，逐步營造企業(yè)合規(guī)文化氛圍，提升內(nèi)部合規(guī)意識。

5、職責(zé)和權(quán)限

如前文所述，合規(guī)管理本質(zhì)是行為管理，因此明確職責(zé)和權(quán)限，并建立相應(yīng)考核機(jī)制，責(zé)任落實(shí)追究到部門、到人，才能夠真正推動合規(guī)管理工作的落地，如企業(yè)治理機(jī)構(gòu)需要承擔(dān)對企業(yè)的高層管理者層進(jìn)行監(jiān)督、考核的職責(zé)；企業(yè)高層管理者需制定戰(zhàn)略、目標(biāo)并建立責(zé)任問責(zé)和績效考核機(jī)制；部門負(fù)責(zé)人承擔(dān)識別合規(guī)風(fēng)險(xiǎn)，將合規(guī)要求融入管理和業(yè)務(wù)流程的職責(zé)。

其中，《數(shù)據(jù)合規(guī)管理體系要求》明確要求企業(yè)需確保合規(guī)團(tuán)隊(duì)的獨(dú)立性，即其應(yīng)能直接接觸治理機(jī)構(gòu)、高層管理者而不受任何組織和個(gè)人的不當(dāng)干擾或壓力，同時(shí)要求合規(guī)團(tuán)隊(duì)履行其崗位不宜存在利益沖突，以確保企業(yè)合規(guī)工作獨(dú)立、客觀的開展。

6、數(shù)據(jù)生命周期行為控制與數(shù)據(jù)管理行為控制

數(shù)據(jù)合規(guī)管理關(guān)鍵點(diǎn)在于數(shù)據(jù)生命周期行為控制與數(shù)據(jù)管理行為控制，其既能有效指導(dǎo)企業(yè)識別合規(guī)義務(wù)、評估合規(guī)風(fēng)險(xiǎn)，又能有效指導(dǎo)企業(yè)建立相關(guān)數(shù)據(jù)合規(guī)管理制度。因此企業(yè)需要對數(shù)據(jù)從采集、存續(xù)與傳輸、運(yùn)維、使用到退役的全生命周期行為進(jìn)行有效控制，并建立相關(guān)數(shù)據(jù)管理行為控制措施：

第一，建立管理措施，如制度體系、認(rèn)責(zé)體系以及運(yùn)營體系等；

第二，采取技術(shù)措施，包括數(shù)據(jù)檢測技術(shù)、治理技術(shù)以及持續(xù)監(jiān)管技術(shù)等；

第三，建立完善的預(yù)防措施，如預(yù)防發(fā)生個(gè)人信息泄露、篡改、丟失的預(yù)防措施；數(shù)據(jù)安全事件應(yīng)急預(yù)案等。

7、舉報(bào)機(jī)制和調(diào)查機(jī)制

舉報(bào)和調(diào)查機(jī)制是企業(yè)合規(guī)文化建設(shè)不可或缺的部分。因此《數(shù)據(jù)合規(guī)管理體系要求》要求企業(yè)建立完善的舉報(bào)機(jī)制以及調(diào)查機(jī)制：

首先，建立健全合規(guī)舉報(bào)機(jī)制，鼓勵(lì)內(nèi)部人員舉報(bào)涉嫌或?qū)嶋H的不合規(guī)情形，要求企業(yè)所有人員了解舉報(bào)機(jī)制，并對舉報(bào)者保密，接受匿名舉報(bào)并保護(hù)舉報(bào)者免于遭受打擊報(bào)復(fù)；

其次，針對舉報(bào)情況建立調(diào)查機(jī)制，對于涉嫌或?qū)嶋H的不合規(guī)情形進(jìn)行調(diào)查，要求企業(yè)確保調(diào)查過程公平、公正，并有具備相應(yīng)能力的人員獨(dú)立進(jìn)行調(diào)查，避免利益沖突，同時(shí)組織應(yīng)當(dāng)視情況利用調(diào)查結(jié)果改進(jìn)合規(guī)管理體系，并需定期向治理機(jī)構(gòu)或最高管理者報(bào)告調(diào)查的結(jié)果。

8、績效評價(jià)與“三重管控”

《數(shù)據(jù)合規(guī)管理體系要求》提出企業(yè)建立合規(guī)管理體系需要進(jìn)行“三重管控”，以確保相關(guān)合規(guī)規(guī)章制度的落地并達(dá)到預(yù)期實(shí)施效果：

第一，開展日常檢測，要求執(zhí)行部門和人員自我檢查，建立合規(guī)績效評價(jià)指標(biāo)，包括經(jīng)過有效培訓(xùn)的員工比例，監(jiān)管機(jī)構(gòu)介入的頻率等；

第二，組織內(nèi)部審核，要求企業(yè)定期開展部門間的交叉檢查；

第三，開展管理評審，要求企業(yè)董事會或監(jiān)事會和最高管理層總結(jié)企業(yè)本年度合規(guī)工作情況并為此制定下年度合規(guī)工作安排。

（二）數(shù)據(jù)合規(guī)管理體系建設(shè)

當(dāng)前，企業(yè)合規(guī)管理建設(shè)過程中尚面臨多重痛點(diǎn)，一是多領(lǐng)域、多體系并存，導(dǎo)致文件數(shù)量多、協(xié)同性差；二是文件“兩層皮”、“表面化”問題凸顯，嚴(yán)重影響實(shí)施效果；三是各類法律文件同企業(yè)“現(xiàn)有管理體系”相脫節(jié)，要針對性解決企業(yè)貫標(biāo)痛點(diǎn)，“制度對標(biāo)一體化”是最佳途徑，即實(shí)現(xiàn)將各類標(biāo)準(zhǔn)規(guī)范或管理規(guī)定、工作規(guī)程對標(biāo)相關(guān)標(biāo)準(zhǔn)及要求，如質(zhì)量管理體系、環(huán)境管理體系、風(fēng)控等。

另外，合規(guī)管理體系認(rèn)證是數(shù)據(jù)合規(guī)管理體系不和或缺的一環(huán)，要求企業(yè)正確認(rèn)識標(biāo)準(zhǔn)的價(jià)值，即標(biāo)準(zhǔn)不僅僅是“約束”，其更大價(jià)值在于“指導(dǎo)”，其作為“智慧的結(jié)晶、經(jīng)驗(yàn)的總結(jié)、理念的升華”，對于企業(yè)開展相關(guān)數(shù)據(jù)合規(guī)工作具有現(xiàn)實(shí)的指導(dǎo)意義。

此外，合規(guī)管理體系認(rèn)證尚能鑄造合規(guī)“金色盾牌”，當(dāng)企業(yè)員工或合作伙伴存在違規(guī)行為時(shí)，可以減輕或免除對最高管理層的處罰，其作為企業(yè)良好治理狀態(tài)和有效風(fēng)險(xiǎn)管控的背書，能高效提升企業(yè)合規(guī)管理效能并能夠積極推動企業(yè)并購、國際合作等工作的開展。 

（一）合規(guī)管理體系建設(shè)基本共識

企業(yè)的合規(guī)管理體系是客觀存在的，只是在對標(biāo)《數(shù)據(jù)合規(guī)管理體系要求》過程中尚存在不健全、不完善等問題，因而企業(yè)貫標(biāo)的重點(diǎn)在于建立健全合規(guī)管理體系，為此要求企業(yè)對標(biāo)合規(guī)管理體系標(biāo)準(zhǔn)要求，對現(xiàn)有的規(guī)章制度進(jìn)行查缺補(bǔ)漏，修改、補(bǔ)充、完善，使其滿足標(biāo)準(zhǔn)要求?；谶@一基本共識并結(jié)合實(shí)踐經(jīng)驗(yàn)發(fā)現(xiàn)，合規(guī)管理體系符合性診斷是最佳解決方案，因此當(dāng)前中國積極推進(jìn)合規(guī)管理體系符合性診斷系統(tǒng)的建設(shè)。

（二）合規(guī)管理體系符合性診斷創(chuàng)新實(shí)踐

針對合規(guī)管理體系符合性診斷系統(tǒng)的建設(shè)，中標(biāo)合信在精準(zhǔn)對標(biāo)、三方聯(lián)動、認(rèn)證工作遷移三方面積極開展創(chuàng)新實(shí)踐探索，為企業(yè)提供豐富的創(chuàng)新實(shí)戰(zhàn)經(jīng)驗(yàn)： 

首先，研制合規(guī)管理體系符合性診斷規(guī)范，將ISO37301標(biāo)準(zhǔn)要求，結(jié)合中央企業(yè)合規(guī)管理辦法有關(guān)規(guī)定，用通俗易懂的語言，解析為100個(gè)問題，并用“導(dǎo)向性”勾選，幫助企業(yè)理解和回答問題；

其次，開發(fā)合規(guī)管理體系符合性診斷在線系統(tǒng)，通過企業(yè)填報(bào)、合規(guī)專家進(jìn)行會診，對標(biāo)ISO37301,全免系統(tǒng)識別存在問題并提出具體改進(jìn)建議；

最后，創(chuàng)新“貫標(biāo)認(rèn)證”實(shí)施路徑，高效協(xié)同企業(yè)、咨詢機(jī)構(gòu)和認(rèn)證機(jī)構(gòu)三方聯(lián)動。

這一創(chuàng)新性實(shí)踐已在大型央企或國有企業(yè)中充分實(shí)施應(yīng)用，并取得顯著成效，充分助力數(shù)據(jù)合規(guī)管理體系標(biāo)準(zhǔn)有效落地實(shí)施，值得社會各界借鑒。