目 錄

第一部分：企業數據安全合規體系建設

一、數據安全合規總體要求

二、企業數據安全合規體系建立路徑

(一) 建立健全數據安全合規管理組織體系

(二) 建立數據分類分級保護體系

(三) 建立完善的數據安全技術體系

第二部分：企業交易數據合規風險防范

一、交易行為中的數據合規風險

二、數據合規盡調方式

Part1 企業數據安全合規體系建設

2021年6月10日《中華人民共和國數據安全法》（以下簡稱《數據安全法》）已由中華人民共和國第十三屆全國人民代表大會常務委員會第二十九次會議通過，并自2021年9月1日起施行。生效之后，《數據安全法》《網絡安全法》以及將于2021年11月1日生效的《個人信息保護法》一起，構筑起中國信息及數據安全領域的基礎法律框架，相應的，企業數據安全合規也有了法律層面的清晰要求。

相較于已施行的《網絡安全法》，《數據安全法》更強調數據本身的安全，且數據的含義不限于電子化數據；而較之即將出臺的《個人信息保護法》，《數據安全法》則從更加宏觀角度全面規定了數據安全合規要求，可以說，《數據安全法》是數據合規領域的頂層設計。因此，企業數據安全合規體系的建設應圍繞《數據安全法》的基本要求展開，并結合自身的行業特性、數據來源及載體的特質融入《個人信息保護法》《網絡安全法》及其他法律法規的要求。

但正因為《數據安全法》的全面性、宏觀性，其并未詳細規定數據安全監管的具體標準體系，對于監管機構和監管權限的規定也較為原則化。為便于廣大涉數據企業針對性做好數據安全合規體系建設，筆者結合多年合規工作經驗及對數字基建領域的研究，提出以下企業數據安全合規體系建設路徑以供參考。

一、數據安全合規總體要求

“十四五”規劃明確提出要激活數據要素潛能，推進網絡強國建設，加快建設數字經濟、數字社會、數字政府，以數字化轉型整體驅動生產方式、生活方式和治理方式變革。數據已成為新興的生產要素，是國家基礎性和戰略性資源，數據安全需求也越發凸顯。加強對數據安全的保護不僅關乎每個人、每個組織的利益。《數據安全法》的出臺從法律層面將數據安全上升到國家安全層面，明確了數據、數據處理、數據安全的范疇，厘清了數據安全防護的主體責任，規范了國家行政主管部門、企業、個人的職責與權力。并且從數據全生命周期角度出發，《數據安全法》明確了對數據的收集、存儲、使用、加工、傳輸、提供、公開等各個環節進行數據安全風險的監測、評估和防護要求，以及權限管控、數據脫敏、數據加密、審計溯源等多種技術要求，并對后續的執法檢查、標準制定、企業數據安全防護、個人權益保障等方面作出了規定。

《數據安全法》的發布標志著我國將數據安全保護的政策要求，通過法律文本的形式進行了明確和強化。有關單位和個人收集、存儲、使用、加工、傳輸、提供、公開數據資源，都應當依法建立健全數據安全管理制度，采取相應技術措施保障數據安全。企業未來應該加強數據安全的自監管，國家行政主管部門的執法監管要與企業自監管有機結合，以促進數據有序使用。

二、企業數據安全合規體系建立路徑

《數據安全法》明確了企業開展數據活動應承擔數據安全保護義務，需要落實數據安全保護責任；確立了企業開展數據活動應進行數據分級分類管理，并建立風險評估，監測預警和應急處置等數據安全管理各項基本制度；開展數據活動的企業還應在跨境提供數據時嚴格遵守國家安全審查規定，并依法配合公安、安全等部門進行犯罪調查，境外執法機構要調取存儲在中國的數據，未經批準，不得提供。

由于《數據安全法》于2021年9月1日開始實施，《個人信息保護法》也將于2021年11月1日起實施，涉數據企業盡快建立可落地、可實施的自行合規內控體系，避免政策法律環境驟然收緊對企業經營帶來不利影響可以說是“當務之急”。雖然目前數據安全制度落地在金融、電信等傳統強合規行業之外的其他行業數據安全監管要求尚不明確的問題，而且傳統強合規行業的現有數據安全監管要求可能會對照上位法要求修改等現實問題，但基于我國的數據安全政策的一脈相承性，及企業合規體系建設的共性特征，建議涉數據企業盡快從以下路徑展開數據安全合規體系建設。

(一) 建立健全數據安全合規管理組織體系

從經驗來看，企業合規管理的成敗主要取決于企業核心決策層對該問題的重視程度，即取決于企業核心決策層是否有強有力地自上而下推行合規要求，并建立較為完備、高效的內部合規管理組織體系，全員提升合規意識，并將合規要求融入到日常經營中。

企業數據安全合規體系的有效建立也不例外，需要形成“管理層重視、一把手負責、全員參與”的管理模式。并且，企業數據安全合規管理組織體系應是與企業現有管理體系高度融合的，不是另起爐灶，否則成本過高且難以正常運行。而且，數據安全合規重點是因人而異的，即不同行業、不同服務對象、不同規模的企業重點不同，在合規管理組織體系建設中也應充分結合企業特征突出重點、管好難點，并且與企業其他合規要求協調同步，彼此增益。

(二) 建立數據分類分級保護體系

《數據安全法》第二十一條明確規定了國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。并且各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄。但《數據安全法》并沒有說清楚誰來制定《重要數據目錄》、數據分類分級保護制度誰來制定，以及中央與地方、行業的權限如何劃分。從更微觀層面考慮的話，數據類型有結構化、非結構化的數據。數據存儲上更是企業服務器數據庫中有，員工終端上也有，甚至還有大量非信息化的數據……就個體企業來說怎么確定什么是重要數據，重要數據存放在哪里，是難點，也是個性化很強的問題。

鑒于《數據安全法》和我國信息安全行業密不可分，其規定的“建立重要數據目錄”、“分類分級”保護制度與信息安全行業存在已久的等級保護制度是一脈相承的，企業可先根據自身業務先行啟動等級保護的相關工作，避免政策法規驟然出臺對企業運營帶來影響。

目前我國等級保護的標準已形成一個較為完整的體系，除了法律層面的《網絡安全法》和即將實施的《數據安全法》《個人信息保護法》之外，法規層面的《計算機信息系統安全保護條例》為等級保護的總要求；在行業標準層面則有《計算機信息系統安全保護等級劃分準則》作為總體標準，以及《信息安全技術網絡安全等級保護實施指南》（GB/T25058-2019）、《信息安全技術網絡安全等級保護定級指南》（GB/T22240-2020）、《信息安全技術網絡安全等級保護基本要求》（GB/T22239-2019）、《信息安全技術網絡安全等級保護安全設計技術要求》（GB/T25070-2019）、《信息安全技術網絡安全等級保護測評要求》（GB/T28448-2019）、《信息安全技術網絡安全等級保護測評過程指南》（GB/T28449-2018）等超過30項具體標準性文件。筆者相信，《數據安全法》體系下的《重要數據目錄》及分類分級保護制度是建立在該些現有法規制度之上的。

(三) 建立完善的數據安全技術體系

做好數據安全合規體系建設離不開建立完善的數據安全技術體系。企業在進行數據安全技術體系建設時，必須要考慮數據安全、訪問控制以及數據保護三個層面問題。簡單說，數據安全首先需要確定數據在哪里？數據的主體是誰？訪問控制首要目標是數據使用者如何證明具備相應的數據權限。數據保護則需要更高層面的建設框架，首要目標是組織或個人如何確保數據已獲得了恰當的保護。

實現對數據采集、傳輸、存儲、處理、交換、銷毀全生命周期的管理，在業務層面，應當考慮建設包含預防、發現、消除泄密隱患為主的數據安全體系；在技術層面，應當考慮建設數據風險核查能力、數據梳理能力、數據保護能力以及數據威脅監控預警能力四大核心數據能力的建設；最終建立“數據安全運營”的全過程安全支撐能力，直至達到整體安全目標。具體來說，企業應從以下七方面著手建立數據安全技術體系：

1. 數據梳理。即對企業重要數據、敏感數據進行全面排查梳理，并根據業務需要對不同角色接觸、處理數據的權限進行梳理。

2. 入侵防御。即建立、檢查數據庫防火墻，以便對外部攻擊進行有效防護，同時也對內部數據庫漏洞進行有效防護，防止漏洞被違規利用。

3. 權限管控。即針對不同訪問需求，規范數據訪問權限，并嚴格記錄訪問情況，實現內部數據操作行為的有效控制與監管。

4. 脫敏流轉。即在數據使用流轉過程，遵循數據最小使用原則，去標識，去隱私，實現數據的安全高效利用，在安全的前提下提升數據的使用價值。

5. 密文存儲。即落實重要數據識別和分類分級保護要求，對重要的核心數據加密存儲，守護數據安全。

6. 監管稽核。即建立有效的內部數據安全合規監管體系，從數據產生，到場景化使用，進行流向監控、精準分析，實現有效監管。

7. 應急處置機制。即一旦發生安全事件，確保企業有完善的應急預案和應對處理機制，防止事態進一步擴大。

綜上，筆者建議，基于《數據安全法》帶來的合規需求，無論其配套法規文件何時落地，企業想要減少數據安全相關的合規風險，就應變被動為主動，盡早啟動企業數據安全合規體系建設。考慮到內控合規體系建設所需周期，盡早著手自行合規工作對于運營系統數量眾多、數據量龐大的企業尤為重要。

此外，隨著大批量企業數字化轉型的加速，涉數據問題的企業間商業合作、并購交易日趨頻繁，企業交易對手方的數據合規不到位也可能給企業帶來重大隱患。該風險的識別、防范之道筆者將在下文詳述。

Part2 企業交易數據合規風險防范

近年來，我國對數據安全及個人信息保護監管不斷加強，《民法典》，以及《數據安全法》《個人信息保護法》《網絡安全法》《電子商務法》等陸續出臺，構筑起了我國數據合規制度體系的頂層架構，加之逐漸常態化的執法活動，企業面臨日益嚴格的合規挑戰。與此同時，數據已成為新興的生產要素，是國家基礎性和戰略性資源，數據的資產屬性已得到普遍認可。而新冠疫情的爆發加速了企業的數字化轉型，廣大企業已經將數字化戰略作為發展戰略的重要方向，涉數據內容的采購、商業合作、并購交易也日趨頻繁，因此，企業在做好內部數據安全合規體系建設的同時，也應密切關注由交易帶來的數據合規風險。尤其對于有上市計劃的公司而言，更是要未雨綢繆，正視目前審核機關對擬上市企業（尤其是科創板上市）的數據合規審查日趨嚴格，涉數據問詢也從概括、籠統變得具體、細致的趨勢，避免本為了快速實現上市目標而進行的并購交易中出現涉數據安全問題而導致上市受阻，甚至如新三板掛牌公司數據堂案[注1]一般付出慘痛代價。

一、交易行為中的數據合規風險

《數據安全法》明確了對數據的收集、存儲、使用、加工、傳輸、提供、公開等各個環節進行數據安全風險的監測、評估和防護要求，有關單位和個人收集、存儲、使用、加工、傳輸、提供、公開數據資源，都應當依法建立健全數據安全管理制度，采取相應技術措施保障數據安全。而《個人信息保護法》是聚焦于個人信息，對“個人信息處理規則”、“個人信息主體權利”、“個人信息處理者義務”、“跨境傳輸”等重點關注的主題提出了具體要求，其第二十一至二十三條對“向第三方提供個人信息”進行了明確的限制。《網絡安全法》第四十二條也規定，網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。此外，我國《刑法》第253條之一第三款規定，竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第三條第二款規定未經被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第二百五十三條之一規定的“提供公民個人信息” ，但是經過處理無法識別特定個人且不能復原的除外。

綜上，不難看出企業的交易行為中，涉及個人驗證信息的數據是涉數據交易行為中核心風險來源。在司法實踐中，“購買”普遍被視為《刑法》第253條之一第三款規定的“其他方法”的一種。并且，該處的“購買”應該廣義理解，即應理解為具備對價的數據轉讓、共享，可能發生在數據采購、商業合作及并購交易中。企業在進行涉數據交易的過程中一定要做好交易對手和交易所涉及數據的盡職調查，否則有可能被認定為非法數據交易的直接參與者，導致做出購買決定的一系列管理者以及相關財務人員都將面臨極高的法律風險。

因此企業在數據交易過程中不僅要確保自身依法依規，還要做好交易對手的盡職調查和風控工作，并根據匿名化數據的再識別風險等級有選擇地進行交易。對于交易對手的盡職調查，主要需要考慮數據出售方資質、數據來源合法性、接收數據的范圍和形式等多個方面。一般而言，大公司受到監管機關關注的可能性大，也有足夠的資源完善其合規制度，與之進行合作，數據購買方的合規壓力相對較小。但交易對象的資質聲譽也不是決定性因素，比交易對手資質更重要的是要確保交易涉及數據來源的合法性。由于《個人信息保護法》及相關規定中對個人信息采集強調的是“同意、合理、最小化”三原則，因此在考察數據來源合規性問題時，主要考量的因素包括被收集人是否明知該數據被數據提供方收集、數據流通行為是否已經得到被收集人同意、數據利用形式是否已告知被采集人并得到同意以及接收數據的種類等，從法律條文來看，對數據進行匿名化處理或取得用戶合法有效的同意是規避數據交易法律風險的有效途徑。

企業在進行涉數據交易時都應當通過協議等形式對交易對手方、被并購對象的數據合規問題進行確認。但需要注意的是，即便已與交易對手方或被并購對象簽署了數據合規方面的保證協議，也并不能保證完全避免作為數據接收方的企業可能面臨的行政或刑事責任，對于民事責任，數據接收方也僅僅是能通過違約責任將最終損害賠償責任轉嫁至數據出售方或其他第三方。所以，企業在進行涉數據交易時不可依賴交易對手方、被并購對象對數據合規問題的承諾，認真做好數據合規盡調是必不可少的。

二、數據合規盡調方式

企業在進行涉數據交易前，認真開展數據合規盡調，摸底合作方、交易方、擬并購方的數據合規情況，做到“知己知彼”，才能防患于未然。數據合規盡調具體來說該怎么做呢？主要包括如下工作：

首先是對交易對手方的基本信息、數據處理、業務運營等情況進行初步了解，搜集相關基礎文件，并對數據合規相關的IT、HR、法務、運營等關鍵部門、關鍵人員進行訪談，對交易對手方數據搜集、使用、內外部流轉的基本情況建立認識。

盡調工作的核心內容是對交易對手方從數據收集、存儲、使用、傳輸（包括跨境傳輸）、共享、披露等數據處理的各環節的合法合規性進行調查。該工作需要結合交易對手方的業務情況及與企業自身的關系來針對性設計方案，一般應包含對以下問題的調查：

1. 數據的來源，主要是數據通過何種渠道收集；

2. 數據的匿名化情況，重點關注被反向識別的可能；

3. 數據的存儲，包括對存儲地點，是存儲在本地服務器存儲或存放在第三方云等問題進行明確；

4. 數據內部的流轉、使用情況，包括可被哪些部門及人員訪問和處理、用于哪些目的等；

5. 數據對外流轉情況及其目的，如傳輸給關聯公司、合作伙伴、供應商等；

6. 向中國境外傳輸數據的情況及其目的，例如向哪些國家傳輸；

7. 數據刪除、銷毀、冷藏處理的情況等。

具體盡調工作的開展會從組織、制度、技術等層面考慮數據處理活動的合法性和合規性。

組織層面，需要對目前的組織架構、相關人員（如數據保護官）設置情況及其職責、權限進行考察。比如是否明確了董事會、監事會、管理層等在數據合規方面的監管責任；是否任命了數據保護官（或同類職責人員），并確定其在企業中的角色和職責；是否會定期或不定期對管理層、數據保護官、隱私保護負責人及其他員工進行數據保護相關培訓或考核等。

制度層面，需要對交易對手的數據安全相關政策、文件進行審查。主要從這些方面進行審查：是否具有整體性的數據合規政策；是否在關鍵領域建立并實施了操作性文件，以確保數據收集和使用行為合法合規，例如隱私政策、員工個人信息同意函、數據接收/共享協議等；是否采取了數據分類、分級存儲制度，是否明確了不同類型數據的管理規則；是否具有記錄制度，以確保數據處理活動有跡可循；是否建立了與業務開展需求匹配的數據分級訪問控制制度，對企業內部可以訪問相關數據的人員分級權限設置；對外提供數據，是否建立了相應的約束機制，以確保數據傳輸的安全性以及不被未經授權地使用；是否建立了跨境傳輸制度，以確保數據的跨境傳輸符合相關法律法規規定以及行業主管部門的要求；是否建立了數據安全事件應急預案等。

技術層面，律師主要是從法律的角度考察是否采取了技術措施，以及其落實情況。至于技術實際的有效性、安全性等問題，需要相關技術公司和專業人員進行審查核驗。一般來說，技術層面數據安全盡調工作需要考察的內容包括但不限于：是否采取了數據分類、重要數據備份和加密等措施；是否會定期及不定期對數據設施和系統進行安全檢查；是否采取了防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；是否采取了監測、記錄網絡運行狀態、網絡安全事件的技術措施；采購第三方信息系統產品或服務時，是否已通過盡調等方式對第三方的網絡安全能力進行考察，或通過合同或其他方式對供應商的相關責任義務進行明確；是否進行了網絡安全等級保護備案；是否取得了網絡安全相關認證等。

隨著經濟社會的進步，數據已成為重要生產要素，并且數據安全合規使用的監管要求也越來越高。傳統盡調已經無法適應新時代交易中涉及的數據安全需要，面臨安全的新態勢、新要求，企業在繼續做好業務、財務盡調的基礎之上，將數據安全盡調納入對交易對方的盡調范圍已成必然趨勢。

數據安全合規管理與法律及相關法規、政策、標準的出臺、變更密切相關，也與企業自身所在行業的要求、服務對象的特征密切相關。未來筆者將陸續就金融、醫療等重要數據應用環境的數據安全合規要求，以及未成年人數據信息保護等問題推出數據合規操作性專題與大家分享、探討。

注釋及參考文獻:

[1] 2018年7月，山東臨沂警方破獲了因運營商內部人員倒賣數據引發的特大侵犯公民個人信息案件。警方在偵查中發現，新三板上市公司數據堂購買了該批涉案數據，進而逮捕了包括該公司一名副總裁在內的多名高管。