作者:曹文娟、张梓月
在数字经济深度赋能实体经济的当下,数据要素已成为驱动经济社会高质量发展的核心生产要素,而个人信息保护也成为法治社会建设的“必答题”。在此背景下,《个人信息保护法》确立的“双罚制”利剑高悬,彻底打破了以往仅对企业处罚的单一模式,将直接负责的主管人员和其他直接责任人员纳入追责范畴。这一制度变革,对作为企业经营管理“掌舵人”的国企领导而言,意义尤为重大,他们早已不再是合规管理的“旁观者”,而是必须躬身入局、扛起法定责任的“第一责任人”。
随着“双罚制”全面落地,数据合规已从企业可自主选择的“加分项”,转变为国企领导必须坚守的法定责任与经营底线:从企业层面看,最高可被处以上一年度营业额5%的巨额罚款;从个人层面讲,直接责任人可能面临百万元罚款、行业禁业甚至刑事追责。在这种穿透式监管的高压态势下,数据治理早已超越单纯的技术范畴,成为关乎国有资产安全、企业治理能力提升与可持续发展的核心命题。
在立足国资国企数字化转型的时代浪潮里,一批国企以先行者之姿,将数据合规深度融入数据资产化全流程,用标杆实践诠释合规价值。从全国首例水电数据合规入表项目中,国企严格遵循《企业数据资源相关会计处理暂行规定》,对水电生产、传输、消费全链路数据开展合规盘点、脱敏治理与确权登记,在严守民生数据安全与个人信息保护底线的前提下,成功将数据计入无形资产,实现数据资源向核心资产的跨越;在西部首单车路协同感知源数据合规入表交易中,地方国企作为数据供给主体,构建“数据合规审查到安全脱敏加工到产权登记确权再到场内交易流通”全闭环体系,对交通流量、车辆行为等敏感数据实施分级分类保护,通过合规评估筑牢交易底座,完成西部地区智慧交通数据资产市场化“零的突破”;在成都首例城市排水管网运行检测数据合规入表实践中,市属国企依托智能感知设备采集海量管网运行数据,建立数据合规台账,开展数据影响评估与安全防护建设,将管网液位、水质、病害等核心检测数据合规转化为城市治理数据资产,为超大城市精细化管理提供合规数据支撑。这一系列覆盖地方与全国、贯穿公共服务与前沿产业的创新实践,清晰地传递出一个核心共识:数据合规不是企业发展的成本负担,而是国企行稳致远的根基,是释放数据价值的前提,是培育核心竞争力的关键。
对国企领导而言,守住数据合规底线,本质上就是守住国有资产安全、守住企业治理信誉、守住高质量发展的未来。在“合规即发展、安全即效益”的新时代命题下,国企领导唯有以法治思维为引领,牵头构建全流程数据合规体系,通过标准化、可追溯、可审计的“数据入表”实现安全与发展的动态平衡,才能在数字经济浪潮中行稳致远、主动担当作为。基于此,本文结合国内外数据监管实践,探析双罚制下国企数据合规的重要性与必要性,为国企领导牵头推进数据合规建设提出一定的思路。
一、《个人信息保护法》双罚制的核心内涵与国企适用的意义
《个人信息保护法》的双罚制,是指企业在违反个人信息保护相关法律规定时,监管部门不仅会对企业作出罚款、没收违法所得、责令停业整顿等行政处罚,还会对直接负责的主管人员和其他直接责任人员处以罚款,若行为涉嫌刑事犯罪,还将依法追究刑事责任。这一制度将企业合规责任与个人履职责任深度绑定,从法律层面明确了企业管理者在数据处理中的核心责任。2024年出台的《网络数据安全管理条例》[1]进一步细化了双罚制的处罚尺度,明确对情节严重的数据违规行为,企业最高可处1000万元罚款,直接责任人员最高可处100万元罚款,为国企数据合规监管划定了清晰的法律红线。
国企的国有属性决定了其数据处理行为不仅要符合市场规则,更要契合国家数据安全战略和社会公共利益要求,国企领导作为企业经营管理的核心,兼具国有资产管理者和企业决策主导者的双重身份,其对数据合规的重视程度、推进力度,直接决定了企业个人信息保护工作的落地成效。双罚制下,国企领导不再是数据违规行为的“旁观者”,而是直接的责任承担者,无论是个人信息收集、脱敏匿名化处理,还是数据传输、存储与销毁,每一个环节的合规漏洞,都可能引发企业与个人的双重追责,这也让数据合规成为国企领导履职的重要组成部分。
从处罚尺度来看,《个人信息保护法》明确对企业最高可处五千万元以下或者上一年度营业额百分之五以下的罚款,对责任人员可处一百万元以下的罚款,高额罚金不仅会影响国企的经营效益,更会对国企的品牌形象和国有资产保值增值造成冲击;而对国企领导的个人追责,还将与履职考核、职务任免等挂钩,形成强有力的责任约束。
二、国内外监管实践印证:双罚制下合规是规避风险的必要路径
纵观全球数据监管格局,强化企业管理者的个人责任,推行“高额罚金+全流程整改+高管追责”的监管模式,已经成为了国际共识,而我国数据监管也正从“重纠正、轻处罚”向“严监管、严追责”进行转变。
从国际角度来看,欧盟GDPR作为全球最严格的数据监管规则之一,明确按企业全球年营业额4%处以高额罚金,且普遍追溯管理层个人责任。捷克杀毒软件企业因伪匿名化传输1亿用户数据,被罚1370万欧元,监管机构不仅责令企业销毁非法数据、建立全流程审计机制,更对企业管理层的决策失职行为进行了追责;瑞典隐私保护局对谷歌处以700万欧元罚款,原因在于谷歌将假名化的用户搜索记录违规用于个性化推荐,且未履行“被遗忘权”相关义务,该案中谷歌相关负责人因未落实数据合规管理要求,也受到了相应的责任追究。欧盟EDPS v SRB判例更明确,假名化数据并非绝对的“非个人信息”,若第三方可通过合理手段复原识别,仍属于受保护的个人信息,企业需履行全流程合规义务,这一裁判规则也让企业管理者无法再以“技术操作失误”“不知情”为由规避责任。这些案例充分说明,伪匿名化、数据违规使用等行为,不仅会让企业付出巨额代价,更会让管理者承担个人责任,合规是企业与管理者的共同底线。
从国内角度来看,我国数据监管正加快完善双罚制落地机制,多地已出现针对数据违规行为的企业与个人双重追责案例,且处罚力度持续加大。2025年吉林长春某医药公司因数据安全管理“四大皆空”被依法处罚[2],该企业存储大量公民个人信息,却未建立数据安全管理制度、未开展员工培训、未采取任何技术防护措施,导致服务器直接暴露在互联网,存在严重数据泄露风险,监管部门不仅对企业作出罚款处罚,还对直接负责的企业管理者处以高额罚款,并责令限期整改。该案的处罚结果体现了双罚制在实际操中的落实,也印证了如果数据合规管理“无制度、无技术、无防护”,将会造成严重后果。
此前成都业委会伪匿名化处理业主信息、上海迪奥未合规匿名化传输境内数据等案件,虽现阶段仍以责令整改、小额罚款为主,但与此同时也体现出了“强化合规要求、追溯个人责任”的监管信号。同时,我国正加快编制《数据安全技术 个人信息匿名化处理指南及评价方法》等国家标准,明确个人信息匿名化“无法识别、不能复原”的法定底线,细化伪匿名化、去标识化冒充匿名化的具体情形,为双罚制的精准化适用提供量化依据。北京互联网法院审理的电商平台个人信息访问记录纠纷案[3],更是以司法判例的形式明确了匿名化的认定标准,为国企数据处理划定了清晰的合规边界。由此可预见,随着我国数据监管体系的不断完善,针对国企等重点主体的双罚制执行力度将持续加大,国企领导若忽视数据合规,必将面临严峻的责任风险。
三、国企领导视角下,双罚制下推进数据合规的核心重要性
双罚制的落地,让数据合规从“企业管理要求”上升为“国企领导的法定履职责任”,从国企发展、个人履职、国企属性、行业示范等多个角度来看,推进数据合规建设具有不可替代的重要性。
从国企发展的角度来看,合规是规避经营风险、保障企业稳定发展的底线。国企作为市场主体,其经营活动需严格遵守法律法规。倘若出现数据违规行为,不仅会让企业面临高额罚金、业务停摆等直接损失,还会影响国企的招投标、项目合作等经营活动,损害国有资产的保值增值。如吉林某医药公司因数据安全管理缺位被处罚后,不仅承担了经济损失,还因品牌形象受损导致多个合作项目暂停,直接影响企业经营发展。而通过推进数据合规建设,规范个人信息收集、处理、传输全流程操作,能够从源头规避数据违规风险,保障企业经营活动的合法性与稳定性,为国企的数字化转型筑牢安全根基。
从领导履职的角度来看,合规是国企领导履行“一岗双责”、规避职业风险的核心要求。双罚制将企业数据违规的责任直接传导至管理层,国企领导作为数据安全工作的第一责任人,若未建立完善的合规管理制度、未落实数据安全管控要求,一旦发生数据泄露、伪匿名化等违规行为,将面临罚款、行政处分甚至刑事责任。根据《网络数据安全管理条例》明确规定,对造成大量数据泄露等严重后果的,直接负责的主管人员最高可处20万元罚款,这一规定让国企领导的履职责任更加具体可感。践行数据合规,不仅是国企领导遵守法律的基本要求,更是对自身职业发展的保护,是履行国有资产管理者职责的必然体现。
从国企属性的角度来看,合规是国企践行社会责任、彰显公信力的重要体现。国企承担着服务民生、保障公共利益的重要职能,大量处理政务服务、社保、医疗、交通等民生类个人信息,其数据处理行为直接关系到公民的切身利益。推进数据合规建设,严格保护个人信息权益,既是国企落实国家数据安全战略的要求,也是国企履行社会责任的具体体现,能够提升国企的社会形象和公信力,巩固国企的社会价值定位。
从行业示范的角度来看,合规是国企带动全行业数据保护水平提升的责任担当。国企在各行业中占据着龙头地位,其数据合规建设的实践经验,能够为行业内其他企业提供参考和借鉴。国企领导牵头推进数据合规,建立标准化、体系化的合规管理模式,能够发挥示范引领作用,带动整个行业形成重视个人信息保护、践行数据合规的良好氛围,推动我国数字经济的高质量发展。
四、国企数据处理的现实问题,决定双罚制下合规建设的必要性
当前,国企在数字化转型过程中,数据处理能力得到了显著提升,但在个人信息保护方面,仍存在诸多痛点和风险,这些问题不仅违背了《个人信息保护法》的要求,也让国企面临着双罚制追责的潜在风险,这也决定了国企推进数据合规建设具有现实的必要性。
一是个人信息收集范围过宽,存在“过度索权”问题。部分国企在开展业务时,未遵循“最小必要”原则,收集与业务无关的个人信息,如泉州万嘉物业(国企)强制收集员工家庭隐私信息[4],以“国资监管系统录入”为由,要求编外员工提交详细家庭信息等,这样的行为不仅增加了数据管理的风险,也违反了个人信息收集的合法合规要求。
二是脱敏匿名化处理不规范,伪匿名化问题突出。部分国企对个人信息的脱敏处理仅停留在简单的信息隐藏、内容替换层面,未落实“无法识别、不能复原”的法定标准,甚至存在“假名化+唯一标识符绑定”的伪匿名化操作,使得处理后的信息仍可关联至具体自然人,符合双罚制的追责情形,这与捷克杀毒软件企业的违规行为具有高度相似性,极易引发高额处罚。
三是数据传输与存储管控不严,存在泄露风险。部分国企在跨部门、跨主体传输个人信息时,未履行合规审查义务,未采取加密等安全保护措施[567];在数据存储方面,未建立完善的存储期限管理制度,大量留存过期个人信息,且数据安全防护技术落后,如同吉林某医药公司一样,让数据服务器处于“裸奔”状态,易引发数据泄露事件。
四是数据合规管理制度不健全,责任分工不明确。部分国企未建立专门的数据合规管理部门,未制定个人信息处理的全流程操作规范,数据处理的决策权、执行权、监督权边界模糊,就例如吉林某医药公司“无制度、无培训”的管理现状,一旦发生数据违规行为,难以界定具体责任人员,也让国企领导面临“兜底追责”的风险。
这些现实问题也从侧面反映出了国企的数据合规建设仍存在缺陷,而双罚制的落地,正是解决这些问题的关键点。通过双罚制的责任约束,能够促使国企领导从“被动整改”转向“主动合规”,将数据合规建设纳入企业发展战略,完善管理制度、强化技术支撑、明确责任分工,从源头解决数据处理中的违规问题。
五、国企领导牵头落实双罚制,推进数据合规建设的实践路径
双罚制下,国企领导作为数据安全工作的第一责任人,需切实扛起合规责任,以“制度建设、技术支撑、人员管理、监督考核”为主,构建全流程、体系化的数据合规管理体系,让数据合规成为国企的经营底色,避免重蹈国内外数据违规企业的覆辙。
一是强化责任意识,树立“合规第一”的经营理念。国企领导需深入学习《个人信息保护法》《网络数据安全管理条例》等相关法律法规,深刻理解双罚制的内涵与追责要求,将数据合规建设纳入企业发展战略和年度工作重点,明确“数据安全与业务发展并重”的经营原则。同时,牵头成立数据合规管理领导小组,由国企领导班子成员分工负责,将数据合规责任层层传导至各部门、各岗位形成“一把手抓总、分管领导抓细、各部门抓落实”的责任体系,杜绝出现吉林某医药公司“无人负责、无人管理”的乱象。
二是完善制度体系,明确全流程合规操作规范。结合国企业务实际,依据《个人信息保护法》和即将出台的相关国家标准,制定贴合企业发展的《个人信息保护管理办法》,明确个人信息收集、脱敏匿名化、传输、存储、销毁等各环节的操作规范,严格遵循“最小必要”“合法正当”的原则,划定数据处理的合规边界。重点细化匿名化处理的技术标准,明确伪匿名化的禁止情形,建立数据传输的合规审查机制,确保每一项数据处理行为都有章可循。同时,建立数据安全管理制度和应急处置机制,针对数据泄露、伪匿名化等违规情形制定具体处置流程。
三是强化技术支撑,从技术层面筑牢合规防线。加大数据安全技术投入,引入先进的加密、匿名化、数据脱敏等技术手段,落实个人信息“无法识别、不能复原”的处理要求,杜绝伪匿名化操作。建立数据安全防护系统,对数据存储、传输等环节进行实时监控,搭建数据泄露风险预警机制,及时发现并处置数据安全隐患。同时,建立用户数据删除的全流程自动化机制,严格履行“被遗忘权”相关义务,确保用户的合法权益得到保障,避免重蹈谷歌因未履行该义务被处罚的覆辙。
四是加强人员培训,提升全员数据合规素养。组织开展《个人信息保护法》及双罚制专项培训,覆盖国企领导班子、业务部门、技术部门、基层员工等所有群体,重点讲解数据合规的操作要求、违规后果及个人责任,让全员树立关于数据合规的意识。
五是健全监督考核。将数据合规工作纳入国企领导班子及各部门的绩效考核体系,将考核结果与薪酬、职务任免等挂钩,对数据合规建设成效显著的部门和个人予以表彰奖励,对数据违规的部门和个人予以严肃处罚。建立数据合规常态化检查机制,定期对企业的数据处理行为进行合规审查,及时发现并整改合规漏洞;建立数据违规应急处置机制,一旦发生数据泄露、伪匿名化等问题,立即启动处置程序,降低损失,并依法追究相关人员的责任,让双罚制在企业内部落地生根。
六是对应国际标准,完善合规动态调整机制。借鉴欧盟GDPR、捷克、瑞典等国际数据监管的先进经验,结合我国《网络数据安全管理条例》等政策的更新,及时调整企业的数据合规管理制度和操作规范。加强与行业监管部门的沟通对接,及时掌握最新的监管要求,确保企业的数据合规建设与国家监管同频适配。
六、结语
数字经济时代,数据合规已成为国企发展的核心竞争力之一,而《个人信息保护法》确立的双罚制,让国企领导成为数据合规建设的核心推动者和直接责任承担者。从国内外监管实践来看,无论是捷克杀毒软件企业、谷歌的巨额罚款,还是国内吉林某医药公司的双罚案例,都印证了伪匿名化、数据安全管理缺位、数据违规使用等行为,只会让企业付出巨额代价,让管理者面临职业风险,唯有坚守合规底线,才能实现企业发展与个人履职的双重安全。
国企作为国有资产运营主体和社会公共服务的提供者,其数据合规建设不仅关乎企业自身的发展,更关乎国家数据安全和公民个人信息权益保护。国企领导需切实扛起法定责任,以双罚制为抓手,将数据合规建设融入企业经营管理的全过程,通过完善制度体系、强化技术支撑、加强人员培训、健全监督考核,构建全流程、体系化的数据合规管理体系,杜绝“无制度、无技术、无培训、无防护”的管理乱象,让国企在数字化转型的过程中,始终走在合规的轨道上。
注释:
[1]司法部、国家网信办负责人就《网络数据安全管理条例》答记者问
[2]安全问题不容“装睡”!某公司数据安全“四大皆空”,被依法处罚
[3]中国法院网
[4]万嘉物业过度采集员工个人信息
[5]机关单位内部信息外泄案件观察_云南机关党建网
[6]防范网络失泄密需从源头抓起_共产党员网
[7]重庆检察机关一案例入选!最高检发布个人信息保护检察公益诉讼典型案例
[8]北京部分企业因未依法履行数据安全保护义务被查处-新华网
声 明 本文仅代表作者观点,不得视为发现律师事务所或其律师出具的正式法律意见或建议。如需转载或引用,请注明出处。
蜀ICP备:17000577号-1