个人信息保护法下企业用户数据合规面临的挑战与实现路径
企业处理用户数据的行为可能引发个人信息保护方面的法律问题,特别是个人信息保护法实施后,对企业的数据处理行为和用户个人信息保护提供了明确的法律指引,使企业进行数据处理面临更复杂的挑战和更多的法律风险。用户数据合规势在必行。企业实现用户数据合规,要从宏观策略、实际落地和密切关注三大方向出发,制定具有可行性的数据合规策略,构建内化于心的合规文化和维护环境;落实法律法规,健全制度体系,筑构安全防范机制;援引行业规范、标准和司法判例,汲取企业数据合规经验。
近年来,我国在网络安全、数据安全和信息保护领域的立法有所增加。随着个人信息保护法正式施行,中国数据空间监管的立法框架基本形成,以网络安全法为代表的网络安全体系、以数据安全法为核心的数据安全体系和以个人信息保护法为核心的个人信息保护体系共同建构了中国数据合规法律体系的“三架马车”架构。随着配套法规、规范性文件和相关指引的制定和施行,数据合规领域监管日趋严格,监管力度不断加强,这也使得企业进行数据合规变得更加复杂。如何快速认知、识别数据安全风险和确保数据合规落地成了悬在企业头上的“达摩克利斯之剑”。
一、企业用户数据的定义及合规意义 用户数据及合规的内涵
数据安全法将数据定义为“任何以电子或者其他方式对信息的记录”“数据处理, 包括数据的收集、存储、使用、加工、传输、提供、公开等”。从定义上讲,数据是信息的表现形式,信息是数据的内容,数据和信息无法分割,作为信息网络科技发展的产物,数据是以在计算机及网络上流通的,以二进制为基础,由0和1组合的比特形式表示的。如果数据没有信息,那数据只是二进制代码表现出来的比特形式,没有独立的经济价值。根据所承载的信息不同,数据所体现的经济价值不同,继而产生数据安全、数据控制和保护。对于企业而言,企业处理的数据包括企业收集的个人信息数据、经营过程中所获得的交易数据、企业商业数据等。
个人信息是指以电子或者其他方式记录的与已识别或可识别的自然人相关的各种信息,不包括匿名后的信息。比如自然人的身份信息、财产信息、生物识别信息等。一般来说,企业收集的个人数据包括用户(客户)数据和员工数据。经营过程中所获得的交易数据则包含工程图纸、机器参数、产品规格等信息;商业数据则是指经营过程中产生的财务信息、客户清单、市场情报等。实践中,由于个人信息数据一般情况下比其他数据敏感性更高,尤其企业对外经营过程中收集的用户数据商业价值更高,随着个人信息保护法及配套法规、文件的出台,与用户数据相关的企业违规成本也更高。因此,本文仅就企业数据中的用户数据作探讨,即企业在经营过程中以电子或者其他方式收集的,与已识别或可识别的自然人用户有关的各种信息记录,如对用户自然人身份标识和证明或网络虚拟身份标识、用户基本资料及私密资料等信息,以及用网络身份鉴权信息的记录。
本文中所提到的数据主体是指用户和享有数据权益的人,数据的控制者和处理者则指企业。企业进行数据合规就要求企业在数据处理活动中尽到保障网络安全、数据安全和个人信息安全的合规义务。近年来,中国对于数据保护和数据管理领域的立法频频出台,“三架马车”架构的形成意味着企业在数据活动中要承担相应的规范和管理义务。合规就是对风险的防控。就整体而言,企业用户数据合规意味着企业在处理用户数据时应保障数据安全、网络安全和个人信息安全,并采取必要措施,确保用户数据处于合法使用和获得有效保护的状态。
其次,提供用户数据处理服务的企业还应依法取得行政许可。比如,处理用户信息应当遵循合法、正当、必要和诚信原则、目的比例原则、公开透明原则、质量保证原则、主体负责原则。就用户数据处理环节而言,数据合规是指贯穿企业利用用户数据的整个生命周期,即用户数据的收集、存储、使用、处理、传输、提供、公开、删除等环节的义务。 从典型案例看用户数据的合规必要性
由于用户信息具有可识别性,可以识别出特定的自然人,对于个人信息的收集、存储、使用、加工、传输、提供、删除等环节不可避免地会对特定自然人产生影响。因此承载用户信息的数据本身就具有人格权益,如果法律不规范企业对用户数据的处理,就很容易有人利用用户数据侵犯隐私权等人格权利和财产权利。除了人格权益外,用户数据还具有巨大的商业价值和经济利益,用户数据属于企业的核心经济投入和重要竞争资源,企业收集用户数据的目的具有商业性、营利性和特定性等特点,一般缺乏公益性和普遍性,存在侵权和不正当竞争的风险。此外,其他组织和政府也属于用户数据信息使用的相关利益者,用户数据的保护不仅仅为个体层面的利益保护,而且涉及个体对个人数据保护的利益、企业对个人数据利用的利益、国家管理社会的公共利益这三种利益的平衡与博弈。
第一,加强用户数据合规,有利于保障个人信息安全,最大程度上降低企业侵犯个人信息的概率。正如前面提到的,因个人信息具有人格权益,一方面,企业对用户数据的利用时刻受到执法部门监管。尤其是APP的用户数据合规已成为监管部门近年来关注的重点问题。由网信办等四部门联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》于2021年5月1日正式施行,为判断必要个人信息的范围设定了明确的边界。网信办、工信部和公安部聚焦超范围收集、未经同意收集使用、未提供撤回同意选项等侵犯用户权益的痛点问题,累计通报了逾千款App。其中不乏腾讯、360、百度等行业头部App。另一方面,“三架马车”架构的初步形成也使企业处理用户数据时受到立法规制。例如郭兵诉杭州野生动物世界有限公司服务合同纠纷一案中,一审法院认识到“野生动物世界存在未经同意就提取人脸信息并作数据化处理的侵权事实”,所以才在裁判主文中要求“被告删除原告提交的面部特征信息”。并且,二审法院也认定,“野生动物世界虽自述其并未将收集的照片激活处理为人脸识别信息,但其欲利用收集的照片扩大信息处理范围,超出事前收集目的,违反了正当性原则。同时,鉴于收集照片与人脸识别利用的特定关系,野生动物世界又以短信通知等方式要求郭兵激活人脸识别,表明其存在侵害郭兵面部特征信息之人格利益的可能与危险。”虽然法院以双方未对变更合同达成合意进行裁判,但也关注到存在侵权的问题,在个人信息保护法下,企业不当收集、使用和传输用户数据可能会侵犯个人信息的权益。企业用户数据的合规管理,如遵守合理性、正当性、必要性原则,则是在利用个人信息和信息主体的权益受到威胁和侵害之间寻求平衡。
第二,加强用户数据合规管理,有利于预防和降低企业的运营管理风险,防止构成不正当竞争。大数据时代,用户数据是企业的核心竞争力和重要资源,合规不仅是义务,也是企业降低问责成本、增强适应性和提升市场竞争力的路径。数据主体的权益保护应当作为判断企业对用户数据处理行为正当性的依据。一方面,数据来源者的权益应得到保护,例如“脉脉”非法抓取使用微博用户信息不正当竞争纠纷案中,网络平台提供方可以对在用户同意的前提下基于自身经营活动收集并进行商业性使用的用户数据信息主张权益,两级法院认为“二被告通过经营脉脉软件,要求用户注册脉脉账号时上传自己的手机通讯录联系人,从而非法获取这些联系人与新浪微博中相关用户的对应关系,在这些人未注册脉脉用户的情况下,将其个人信息作为脉脉用户的一度人脉予以展示,同时显示有这些人的新浪微博职业、教育等信息。而且,双方合作终止后,二被告没有及时删除从微梦公司获取的新浪微博用户头像、名称(昵称)、职业、教育、个人标签等信息,而是继续使用。二被告的上述行为,危害到新浪微博平台用户信息安全,损害了微梦公司的合法竞争利益,对微梦公司构成不正当竞争。”另一方面,数据权利人的权益也应得到保护。例如“微信群控”不正当竞争纠纷案中,杭州铁路运输法院认为“网络平台中的数据,以数据资源整体与单一数据个体划分,网络平台方所享有的是不同的数据权益。两被告的相关被诉行为已危及微信产品数据安全,违反了相关法律规定及商业道德,构成不正当竞争行为。”因此,保护社交网络平台上的各类用户信息和数据主体的权益,是企业开展正常业务活动、维持和提升用户活跃度、保持竞争优势的必要条件。
第三,由于数据领域本身兼具合规和安全两种特殊属性,给予的处罚或规范结果也不仅仅是行政处罚,还存在刑事责任等多种责任形式,有效的合规管理能帮助企业在面临行政处罚或刑事指控后获得和解,减少损失。例如Facebook滥用用户数据事件,美国司法部、联邦贸易委员会与Facebook就保护用户隐私达成一项为期20年的和解协议,主要内容包括Facebook交付50亿美元罚款,并接受联邦贸易委员会的进一步监管。此外,美国证交会还就Facebook未能充分披露用户数据滥用风险等指控达成行政和解,并要求该公司向SEC缴纳1亿美元罚款。又比如谷歌公司因违反欧盟《通用数据保护条例》(General Data Protection Regulation,下称GDPR)有关信息收集的规定被罚款5000欧元。欧盟GDPR第83条规定,在决定是否征收行政罚款和罚款数额时,应当考虑的因素包括企业合规程度。在中国,2019年才出现首个获得行政执法和解的案例。而刑事和解方面,2020年3月,最高人民检察院启动依法不逮捕、不起诉、不判处实刑的企业合规监督试点工作。试点企业将在事后积极整改,积极制定合规计划,争取从宽从轻处理。数据合规不仅是企业的内部治理方式,更是行政监管和刑事司法领域的一种激励机制。搭建数据合规体系,企业可以实现可持续稳定发展。将合规内化为动力,减轻免除行政或刑事处罚。
二、个人信息保护法对企业用户数据合规的挑战
如前文所述,个人信息保护法施行后,“三驾马车”的立法框架基本形成。个人信息保护法增加宪法作为立法依据。我国宪法强调了个人信息保护法保护人权和人格尊严的重要性。并且通过个人信息保护法进一步完善了个人信息处理规则,对应用程序过度收集个人信息、大数据杀熟及非法买卖、泄露个人信息等提出针对性要求。因此,在个人信息保护法下,涉及个人信息的合规挑战加剧,合规标准更高,要求更严,监管更强。因此,本文从个人信息保护法为切入点,主要分析个人信息保护法对企业处理承载用户个人信息的数据的规范和要求。 赋予数据主体十大法定权利,增加企业合规成本
个人信息保护法强调事前防范与主动防护,第四章全面规定了个人在个人信息处理活动中的十大法定权利。该章节与民法典第1037条及个人信息安全规范第8条的有关规定相衔接,同时与欧盟以及美国加利福尼亚州消费者隐私法(California Consumer Privacy Act,下称“CCPA”)的相关规定类似,明确了在个人信息处理活动中个人的各项权利。个人信息保护法规定的十大法定权利包括知情权、决定权、限制权、拒绝权(第44条)、查阅权、复制权、可携带权(第45条)、更正权(第46条)、删除权(第47条)、自动化决策相关权利(第24条)。通过将该十大法定权利与GDPR、CCPA作对比(见表1),我们可以发现,个人信息保护法涵盖了GDPR、CCPA中规定的个人对个人信息享有的权利,虽然个人信息保护法没有像CCPA那样明确“要求不得出售其个人信息”,但有条款规定“任何组织、个人不得非法买卖、提供或者公开他人个人信息。”个人信息保护法补充优化了数据主体的权利及行使,参考借鉴GDPR、CCPA的基础上,新设了数据主体的可携带权,数据控制者和处理者不仅无权干涉,而且有义务为符合国家网信部门规定条件的数据主体提供转移的途径。此外,这十大法定权利不仅数据主体可享有,其死亡后近亲属也可基于合法、正当的利益享有。对于这些权利,数据处理者和控制者无权拒绝用户行使,无疑加重了处理者的合规义务。
数据全生命周期的保护要求加重了企业的数据保护义务
基于上述数据主体权利可见,个人信息保护法规制个人信息全生命周期的保护和处理活动,即企业应在个人信息的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期落实合规义务。
1. 处理个人数据的六大基本原则
表1 个人信息保护法与GDPR、CCPA个人权利对比
第一,处理个人数据必须遵守合法、正当、必要和诚信原则(第5条),不得通过误导、欺诈、胁迫等方式处理个人信息(第5条)。这与民法典关于合法性要求的立场一致,禁止采取“误导、欺诈、胁迫”等方式处理个人信息,这也是个人信息保护法对于个人信息处理者的基础和前提性要求。合法性包括但不限于取得数据主体的同意、履行合同所必需、履行法定义务所必须等。其中,核心条件“数据主体的同意”采取严格的标准:在充分知情的前提下自愿、明确作出(第14条)。同时将“必要性”与合法性并列作为处理原则,体现出“必要性”判断已经作为个人信息处理合规性审查的重中之重。
第二,处理个人数据必须符合目的明确和直接相关原则,应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式(第6条)。因此,对于企业来说,提供产品或服务涉及的用户数据处理活动应有明确、合理使用场景,并告知用户各功能对应的目的。
第三,处理个人数据必须符合公开透明原则,企业应对个人信息处理规则,对处理的目的、方式和范围予以明示。除了前述三大原则外企业处理个人数据还应当遵循准确性原则(第8条)、问责性原则和数据安全原则(第9条)。基于可问责性项原则和数据安全原则,个人信息保护法第五章规定了“个人信息处理者的义务”,如指定个人信息保护负责人(第52条),制定内部管理制度、实行分类管理、采取安全技术措施、确定个人信息处理的操作权限、定期进行安全教育和培训、制定并组织实施个人信息安全事件应急预案(第51条)。
2. 准确识别数据风险
个人信息保护法要求在个人信息的采集和处理环节得到消费者的确认和同意。针对不同信息和不同处理场景分别提出了单独同意和同意的要求。比如敏感信息一旦泄露或者非法使用,容易导致自然人的人格尊严、人身、财产权益受到侵害,因此,处理敏感信息应获得单独同意。
3. 侵害个人信息权益过错推定责任
处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任(第69条)。这主要参考了欧盟GDPR的无过错责任,欧盟GDPR既规定了控制者的责任,也规定了处理者的责任,其第82条规定,数据的控制者和处理者都适用无过错责任,受害人在要求控制者或处理者承担责任时,无需证明其存在过错。适用该归责原则能更好地保护数据主体的个人权利,调整双方不平等地位的利益关系,但这对于数据处理者和控制者来说,保护个人信息权益的法定义务和矫正其违法处理个人信息行为的责任就更重。同时,个人信息保护法为所有数据处理者和控制者设定了同样的义务。个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任(第20条)。
未成年人信息保护的特别规定,使企业面临公益诉讼风险
个人信息保护法明确将不满十四周岁未成年人的个人信息划入敏感个人信息范畴。与未成年人保护法相呼应,要求个人信息处理者取得父母或其他监护人的同意,还要求制定专门的个人信息处理规则(第31条)。对于数据处理者违法处理个人信息,侵害多人权益的,可以提起公益诉讼。在个人信息保护法实施前,北京青少年法律援助与研究中心向北京市第一中级人民法院提起未成年人保护民事公益诉讼,就某知名手机网络游戏侵害未成年人权益相关事项提请诉讼。北京市海淀区人民检察院就某知名互联网公司的即时通信产品“青少年模式”不符合未成年人保护法相关规定,侵犯未成年人合法权益,涉及公共利益等问题提请公益诉讼。这项特殊规定和司法案例对企业处理未成年人数据的行为也发出了一个重要信号,企业应予以重视,防止商誉受损。
多部门综合监管,加重了企业行政负担
2021年5月-6月,国家互联网信息办公室发布关于输入法、抖音等多款App违法违规收集使用个人信息情况的通报;2021年7月,中央纪律检查委员会和其他六部委联合对滴滴开展网络安全审查;2021年以来,工业和信息化部持续开展App侵害用户权益的专项整治,整改了一批违规收集、使用个人信息等行为。多部门联合或单独开展的数据合规领域执法活动日趋活跃,个人信息保护法增强了履行个人信息保护职责的部门的执法权,让执法部门有法可依,形成了具体的抓手。在罚款方面,违反个人信息保护法规定的,处100万元以下罚款,对情节严重的,处5000万元以下或者上一年度营业额5%以下罚款。
三、个人信息保护框架下企业用户数据合规的实现路径
在个人信息保护法框架下,企业用户数据保护的合规风险体现在三个方面:数据主体权利的行使、法律风险和行政监督。数据主体权利通过技术及安全措施来实现,法律风险及防范贯穿于数据全生命周期,而行政监管指的是外部执法机构的监督与处罚。本文结合个人信息保护法的规定及企业在用户数据处理中可能遇到的突出风险点,从宏观策略和实际落地两大方向出发,由表及里,提出企业用户数据合规建设的实现路径。 宏观策略:量身定制数据合规策略和合规文化
首先,要制定具有可行性的数据合规策略。能够切实可行并可持续发展的企业数据合规策略必须基于合规措施与风险兼容的原则,同时考虑企业用户数据处理活动的敏感性、可投入资源等因素。在中观到微观的合规实施上,可以采用“由表及里,逐步推进”的方式。先设定一个“quickwin(速赢)”的阶段目标,集中解决外部网络产品等易受用户投诉及监管关注的高风险场景的合规,完成隐私政策的修改和设置、畅通用户行使权利的渠道、完成与第三方商业伙伴的数据处理协议等。在此基础上,企业再进入全面合规体系的构建阶段,构建层次化(自上而下管理,自下而上落实)、全面化(覆盖数据全生命周期)和重点化(重点环节、重点领域、重点管控)的数据合规管理体系。
其次,要构建内化于心的合规文化和维护环境。预防是合规的出发点,企业合规不仅是数据主体权利所对应的义务、法律法规的强制性要求,更是企业对个人、社会和国家承担责任的承诺。有效的合规文化可以消除合规风险,遏制违法违规行为和案件发生,是全面防范风险,提升经营管理水平、完善合规管理体系、从源头预防风险的需要。企业要想真正实现合规治理首先要构建良好的合规文化,内化于心,外化于行,而不是将合规变为喊口号或浮于表面的做法。合规文化建设分三个阶段,第一阶段服从,即在合规文化培育初期,通过制度流程的管理使得部门或人员被动接受企业的合规要求;第二阶段认同,即部门或人员认可企业的合规价值观,但尚未完全理解和接受;第三阶段内化,且作为行动指导,即企业部门或人员不仅能够理解合规文化的正确性,而且按照合规观念和意识自觉约束自身思想和行为,并予以扩散和传播,要想从“要我合规”发展到“我要合规”,合规意识很重要。正确定位数据合规的必要性和重要意义,上至企业领导者、管理层,下至员工个人,都要具备数据合规意识,加强数据合规培训和安全教育,让合规观念和意识应渗透到每个岗位、每个数据处理环节中,也有利于增强企业制定的数据合规管理制度的实际落地与开展。
实际落地:落实法律法规,健全制度体系,筑构安全防范机制
个人信息保护法对企业处理用户数据和保护用户个人信息提供了明确的法律指引,企业落实法律法规,健全制度体系,筑构安全防范机制,加强企业内部数据合规管理,是践行合规义务的必要之举。
首先,设置数据合规管理机构的组织保障是前提。如果企业处理个人信息达到国家网信部门规定数量,则应指定个人信息保护负责人,并在用户可以看到的界面公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门(第52条)。如果是境外企业,则应当在中国境内设立专门机构或者指定代表(第53条)。
其次,制定数据内部管理制度和操作规范。一方面,数据合规管理制度应基于企业产品、业务线,将个人信息保护要求嵌入业务流程,就数据的全生命周期各环节作出详细的规定,另一方面,企业应将涉及外部合作的合作方安全评估(个人信息保护影响评估)合规审计也纳入数据合规制度的闭环管理。
重点制度主要包括以下几项:1.数据分类分级制度,清晰的数据分级分类可以直观地发现个人信息流通的路径。根据分级分类,结合不同的业务场景和数据本身的性质,企业应对个人信息进行分类,并针对不同的用户数据采取不同的保护措施。特别是敏感信息和未成年人个人信息的特殊保护。应引导用户对个人数据是否被合理合法地收集作出自我判断,并允许用户更改隐私设置来限制个人信息被收集的范围。除了对一般数据和特殊数据实行分类存储外,对于保密要求较高的用户数据还应该采取相对应的保密措施。同时,对不同数据的最短储存期限也应作区分处理。2.数据主体权利响应制度,前文中提到,个人享有法定十大信息权利。企业应当建立便捷的个人行使权利的申请受理和处理机制(第50条),向数据主体主动提供查询个人信息、获取个人信息的渠道,提供更正或补充信息、删除信息、撤回授权同意、注销账户的渠道,关注监管机构就决定权、限制和拒绝权以及可携带权的具体指引,及时内化为数据主体行使权利的响应机制,如果拟拒绝个人信息主体行使上述权利的,企业应说明理由,且此等说明应该通过书面形式以留存相应证据,同时应向个人信息主体提供投诉、举报的途径,建立投诉管理机制和投诉跟踪流程,并在合理时间内回应投诉。此外,个人保护法创造性地规定了近亲属行权的渠道,企业也应当提供。3.数据安全事件管理制度,企业应当制定并组织实施个人信息安全事件应急预案(第51条),结合企业实际情况,制定应急预案并演练,规范监控数据的安全风险。如果用户信息泄露、篡改或丢失,企业应及时采取补救措施,并根据内部流程体系及时通知用户,并向管理机构和外部主管部门报告。4.采取加密、去标识化等安全技术措施。根据法律规定,企业应采取必要措施保障所处理的个人信息的安全,用户数据的标志在于“可识别性”,因此要采取相应的加密、去标识化等安全技术措施,设置访问控制和操作权限。匿名的个人数据不适用数据主体的十大法定权利,除非数据主体提供额外的信息,使平台能够重新识别特定个人。
因此,企业在收集用户信息后,应将相关数据匿名、加密,并采取技术和管理措施,将匿名化的数据与可用于恢复和识别特殊人员的数据分开存储,以防止重新识别,弱化识别度,降低风险和合规成本。然而,大数据时代瞬息万变,在动态环境中,新数据在短时间内被收集、处理、共享和处置,数据如果是静态的则不需要合规,正因为数据是相互转化的、动态变化的,对于“匿名化(去标识化)后是否会重新被识别”是个技术挑战,而且目前也没有法律法规或指引说明“经过处理无法识别特定个人且不能复原”的技术标准是什么,对于企业来说,越是匿名化的数据越是难以被再利用,贬损了再利用的价值,这就需要企业在数据再利用价值和用户数据保护之间寻求平衡。在目前技术标准不明确的情况下,在这方面企业仍存在很多不确定的法律风险值得进一步探究。
密切关注:援引行业规范、标准和司法判例,汲取企业数据合规经验
首先,对标行业数据安全标准体系。除了个人信息保护法所提到的必要措施外,企业应当更多关注行业规范和标准,实际应用到适当的风险控制措施中。2020年3月4日,工信部印发《工业数据分类分级指南(试行)》,2020年4月10日,工信部发布《网络数据安全标准体系建设指南》(征求意见稿),提出了“到2021年初步建立网络数据安全标准体系”和“到2023年,健全完善网络数据安全标准体系”的建设目标。这些领域标准是结合相关领域的实际情况和具体要求,指导行业有效开展数据安全保护工作的指引,基本能满足企业数据保护和数据安全的需要,因此,企业应及时关注出台的新行业标准和规 范,健全完善企业内部用户数据全生命周期安全管理制度。
其次,关注司法判例、行政案件以推动企业内部数据合规管理。引起全国轰动的“徐玉玉被电信诈骗案”让普通大众切身感受到个人信息泄露和电信诈骗的危害的同时,也将个人信息保护的认知在中国提升到一个新的高度,更是影响到民法典个人信息保护条款的设置。个人信息保护法实施之前,个人信息保护领域有很多典型案例不断涌现,如本文第一部分提到的“人脸识别第一案”“可携带权第一案”等。这也说明司法判例对数据立法的推动性。个人信息法实施后,必然会涌现越来越多涉及个人信息保护的案件,比如,针对不同信息和不同处理场景分别提出单独同意和同意的要求,但目前还没有具体的司法解释针对单独同意的形式和要求作出具体的规定,这就需要在实践中不断摸索对单独同意和同意的要求。司法判决、行政监管案件将会为企业提供优秀的指导案例,企业可借助司法的力量对内部的数据合规管理进行补充完善,使内部合规制度经得起时间检验。
