今年7月初，一条简短的讯息在全国的网络平台上引起了轩然大波——“为防范国家数据安全风险，维护国家安全，保障公共利益，网络安全审查办公室依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》，《网络安全审查办法》，对‘滴滴出行’实施网络安全审查。”一时之间，四海翻腾云水怒，五洲震荡风雷激。各种真实或虚假的消息沸反盈天，说滴滴出行违规收集用户数据者有之，说其叛国通敌泄露盗窃信息者亦有之。可是随着滴滴出行APP被责令停止新用户注册、七部门联合进驻调查等一系列“组合拳”轰然落下，所有人都清楚的知道“数据”不再是任人采择的路边小花，而是“用之善则手留余香，用之恶则皮开肉绽”的带刺玫瑰。滴滴出行事件的发生，再一次敲响了企业数据合规的警钟。

一、什么是企业的数据合规？哪些方面对企业而言更重要？

尽管近年来企业数据合规问题已经被反复探讨，但针对企业数据合规并没有统一的官方定义，它的内涵及外延，往往依据不同企业对数据管理的要求而不断变化。为了便于读者理解，我们试图从企业相关的数据工作来解释企业数据合规的框架。目前，基于企业，特别是互联网相关企业数据产生的一系列管理和规范的行为，主要涉及以下方面：

对于不同的企业，上述几个方面的重要性有着很大的差别，但对于大部分互联网企业而言，个人信息保护（隐私保护）、数据跨境传输、商业秘密这三个部分，是明显重要且更能够通过合规管理手段实现风险规避的。而重要数据的保护、区块链信息服务、以及信息内容的管理，相较而言更侧重于对企业IT技术、硬件设施以及业务提出相关要求。

二、企业数据合规面临痛点和难点解析

1、相关法律法规繁杂、且不断地变化出新

数据合规方面法律法规，近年来经历了从分散立法向井喷式集中立法演变的过程，这其中所涉及的各类法律、法规、意见、标准等层出不穷，因此企业的数据合规管理工作需要不断地适应、更新、细化。

对此，我们根据时间轴梳理了近年来陆续出台的相关法律法规，供企业参考：

2、监管部门、机构及组织较多

数据合规目前没有统一的监管部门，其主要监管机构包括网信部门、工信部门、公安部门，以及市场监督管理部门，APP专项治理工作组作为专项治理机构也扮演着极其重要的作用。信息安全标准化技术委员会、国家认证认可监督管理委员会、网络安全审查技术与认证中心、国家计算机病毒应急处理中心等技术工作组织也参与商讨及制定各项国家标准。因此，企业往往需要面对多部门监督、检查、多维度要求，对自身组织的协调能力、联动能力均是不小的挑战。

3、没有可借鉴的成熟管理架构及制度、缺乏管理人才

    数据合规与以往传统管理工作如人力资源管理、财务管理等不同，没有固定的可供借鉴的成熟模式和架构，也没有普适性及固定性的人才标准，因此大多数企业，特别是中小企业，需要在诸多规范、要求中不断摸索和尝试，并逐渐培养与企业业务内容契合的管理部门、制度规范、人才，这是一个长期的过程，这个过程中所遇到的各项数据合规风险可控程度因此将会相对偏低。

4、自身数据内容情况繁杂、数据处理角色多变

    数字经济的大背景下，传统企业在业务数字化转型中、互联网企业在业务不断更新迭代中，所面临的数据内容十分复杂多变，对应的处理方式、合规能力也需要依据不同的数据内容进行区分管理，风险往往蕴藏在单一的管理及处理机制与自身庞杂的数据内容之间的矛盾中。同时，绝大多数企业还面临着集团内部、合作伙伴之间的数据共享、数据融合问题，这时企业在不同的业务模式里扮演着不同的角色，使得数据合规管理工作的难度、深度加大。

三、企业数据合规的工作框架及关键要点分析

1、数据盘点是一切企业数据合规工作的基石

   建议企业在进行数据合规工作初始阶段，通过问卷、访谈、资料搜集、实际操作跟踪等方式，对企业数据进行全面盘点和分析。我们依据以往数据合规服务经验，认为需要从以下几个维度进行数据盘点 ：

2、准确构建企业数据合规管理架构

1）明确企业的角色定位

通过数据盘点工作，我们可以获得企业数据基本概况及使用现状，从而分析出企业在整个数据管理链条上所扮演的角色，是独立信息控制者？信息处理者？信息委托方或被委托方？信息共享者？企业需要依据不同的角色定位来为自身数据行为划分不同的法律责任和要求。

我们结合网络安全法、2020年《个人信息安全规范》给出角色指引如下，请注意实践中这些角色往往会有竞合，特别是在涉及多个主体时应当注意精准区分和结合运用：

2）数据合规管理部门和人员的配备建议

GDPR和我国2020《个人信息安全规范》中有规定数据部门及相关负责人的设置，《网络安全法》第59条至71条，规定了企业违反规定情况下，直接责任人和主管人员的处罚。

我们主要借鉴GDPR的要求，结合目前国内企业内部管理职能设置进行分析，建议如下：

 3、数据全生命周期合规要点

4、企业数据跨境传输的合规要点

滴滴打车软件被下架，其中一个主要的原因就是数据跨境传输的安全风险。

《网络安全法》第42条及《国家安全法》第25条均对这方面的内容做了规定：其中网安法42条针对关键信息基础设施运营者所持有的个人信息及重要数据提出了监管要求，必须进行境内存储，并进行出境的安全评估工作。国安法25条主要从维护国家网络空间主权、国家安全及发展利益角度对关键基础设施和重要领域信息系统及数据提出了安全可控的要求。

   我们需特别注意的是，目前一些行业条例及办法，对数据跨境传输有了大量的限制性规范，监管规则不断具体化、详细化，受规制的主体也从关键基础设施运营者逐步向网络平台运营者发展。因此，我们整理合规要点如下：

1） 结合具体行业监管要求，做好信息出境前的安全评估，依据出境的数据内容、范围、目的、境外信息数据接收者数据安全能力、目标国家及地区政治经济等多方因素，对信息出境做好全面分析梳理，形成信息出境安全评估报告；

2） 充分获得信息主体的授权，并通过合同协议条款约束境外信息数据接收者的责任；

3） 积极与相关行业监管部门、数据安全监管部门联动沟通，获得相关必要的审批，并在相关部门的指导下进一步完善出境行为；

4） 做好信息安全事件应急预案和演练。