2023年中共中央、国务院印发了《数字中国建设整体布局规划》（以下简称“《规划》”），《规划》提出，到2025年，基本形成横向打通、纵向贯通、协调有力的一体化推进格局，数字中国建设取得重要进展。到2035年，数字化发展水平进入世界前列，数字中国建设取得重大成就。《规划》明确，数字中国建设按照“2522”的整体框架进行布局，即夯实数字基础设施和数据资源体系“两大基础”，推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合，强化数字技术创新体系和数字安全屏障“两大能力”，优化数字化发展国内国际“两个环境”。

在强化数字中国的时代背景下，自2020年国务院国资委印发《关于加快推进国有企业数字化转型工作的通知》，明确了国有企业数字化转型的基础、方向、产业化发展、重点和举措，并开启了央国企数字化转型的业务升级的帷幕。特别是围绕着十四五习近平总书记关于网络强国的重要思想和数字政府建设的重要指示精神，大批央国企已经进入进入数字化、网络化、智能化发展新阶段。数字智能化转型在为企业运营创设新引擎，培育新竞争力的同时，也会带来公司治理、系统应用升级、数据流动共享、组织架构和人才进化升级等新的挑战， 并随着《数据安全法》、《个人信息保护法》、《数据出境安全评估办法》等数据立法和监管的落地，转型中数据应用合规风险凸显。央国企在国民经济中发挥着“稳定器”的重要作用，一直以来是贯彻落实国家合规管理要求的主力军，当前，数据合规也成为了是国企合规中不可或缺的一环，以广东省部分国资委为代表的，已经明确发文要求将数据安全合规管理的要求纳入现有合规管理组织体系。

但从目前现状看，企业普遍存在数据合规制度体系搭建及合规意识滞后性的问题，典型不足主要体现包括合规管理的主动性和创设性缺失，动态合规管理以及产品设计合规深入度不够，企业数据合规相关风险宣传和定期培训及分层学习跟进不够，数据流动共享治理不足、合规风险识别机制和工具应用未普及，问责与现有的人员奖惩未能挂钩以及专业复合型专业人员和数据管理人才的储备不足等，导致合规管理的有效性和落地性往往存在较大问题和困惑。

另一方面，在数据合规治理体系搭建中除要遵守《数据安全法》《个人信息保护法》中的通用性合规要求外，央国企实践中还应关注由于企业定位的重要性以及监管的特殊性而产生的数据应用和保护的特殊关注要点，本文提出四个“关注”，以共同思考我国央国企数据合规管理体系搭建的适用性路径。

一、关注国有数据资产保值增值以及重要数据保护

国有出资企业的中的数据资产应根据《中华人民共和国企业国有资产法》判定属于国有资产，数据资产管理和数据要素治理中应注重国有资产保护要求，合理有据的确认数据权属，合法使用国有数据资产，开展科学核算，促进实现国有数据资产的保值增值的目标，涉及数据资产的转移和交易也要遵守相关国有资产评估转让的法定要求和审批程序要件。

国企作为掌握国家经济命脉的重要经济组织，用户规模大、覆盖面广、行业比较广泛、涉及数据量多、类型丰富，并且与国家安全和经济基础联系的更为紧密。相较于一般企业，国资国企中更容易触及到重要数据的收集处理，也更应防范国企数据被泄露、盗取、攻击等安全风险。自《数据安全法》实施以来，国家安全机关已陆续通报多起数据安全事件，涉及到航空、航运、气象等行业企业掌握的重要数据和情报数据。央国企应重视重要数据的识别，针对可能存在重要数据处理活动的，应制定并组织实施数据安全保护计划、安全事件应急预案等相关制度、策略和规程；建立数据安全保护架构和数据资产目录；组织开展数据安全风险测评，及时处置数据安全风险和事件；依法向有关部门报告数据安全保护和事件处置情况；组织受理和处置数据安全投诉、举报。

二、关注特殊数据处理场景

1. 与政府公共平台的数据报送传输

国企多涉及网络安全、电子商务、网络信息服务等负有数据报送义务的领域， 同时在支撑各地政府数据平台的建设中，往往也是数据报送接入的主力军以及公共信用信息归集管理对象。特别是，信息化的发展也对国资监管信息化工作和监管智能化水平提出新要求，政府监管方面正在依托互联网、数据、算力、算法等大数据技术，打造市场监督数据平台和完备国资国企信息化监管系统，也对中央企业信息系统提出与监管系统贯通连接的更高要求。

在履行数据报送接入法定义务的同时，企业也应该注意对数据传输规则的遵守，应确认数据传输基础的合法、正当、必要性以及内部审核流程的合规性保障，包括：(1)政府采集信息的基础性依据判断。明确向国家机关、行业主管和监管单位传输数据时需要遵照的法律法规依据和国家及行业相关管理要求，注意查询相关公用信用信息目录清单，核查公函的对应性。(2)数据提供的范围合法性和细粒度的明确性。例如公用事业企业（水、电、燃气公司等）面对政府要求申报欠费用户数据时，应首先确认“欠费数据”的界定，以《广州市城市管理领域公共信用信息分级使用管理办法》以及 《上海市公共信用信息归集和使用管理办法》为例， 拖欠水、电、燃气等公用事业费，经催告后超过6个月仍未缴纳的信息才应被纳入欠费数据的范畴，不宜擅自扩大数据范围。(3) 注重数据安全和内控保护。尽量通过统一归集和交换公共信用信息的政务数据共享交换平台进行传输，确保数据交互的安全。完善向政府部门、监管部门等传输提供数据前的企业内部审批控制程序，审核的部门中建议应包括合规法务（针对传输的理由的合法必要性判断）和数据安全责任部门（把控具体操作中的安全性操作）。(4) 确保个人信息保护。根据社会信用管理要求以及个人信息保护法律法规要求，应谨慎收集提供限制性征信信息以及敏感个人信息。个人信息数据的对外提供也应同步配套用户权益保护，特别关注在隐私规则和产品设计中对用户知情同意权的保障。

2. 党建系统的数据合规建设特殊性

党建系统的数字化建设为国企数据合规管理内容之一，由于党组和党员信息管理的特定性要求，系统的合规性评估和管理应特别关注：(1)各级党组织作为个人信息处理者，应注意系统中个人信息保护的设置。(2) 数据收集和处理以党章和党组织和党员基本信息采集要求为基础。(3)注意企业党建系统与企业内部人员管理系统等对接时数据传输的安全性，并按党章党组要求进行特定数据存档和处理。(4) 不同于一般人员管理系统，党建系统涉及的数据类型更多，包括党员信息、党组建设信息、考核评价信息、民主评议信息、三会一课信息等，应注重信息的涉密级别，采取相应数据安全保护措施。

三、关注集团型数据合规体系的目标要求

央国企是规模化运营的代名词，通常为集团化的管理以及多实体业务交叉整合运作，数字化建设也会覆盖到集团统一建设的管理和业务系统在内部的整合使用。越来越多的集团化企业在探索集团内数据整合利用，以提升集团运作的整体效益。

集团内数据共享利用原则上仍应严格遵守不同法人实体间的数据共享转移要求。首先需厘清数据共享中涉及的集团各方的数据法律关系，例如在各业务单位统一适用集团系统的操作中，各使用方实体与集团系统运维支撑单位（例如集团科技公司）构成数据委托处理关系；而因集团管理目的各业务单位需要向集团母公司申报数据则可能产生数据各自独立处理关系；因业务合作产生的数据传输共享场景更为复杂，需要根据对业务的合作方式、数据处理掌控要求等分辨数据合作关系。在此基础上通过合同、制度等方式确认各数据关系的权责要求，并维护数据主体的知情同意法定权益。

无论是组织架构还是制度建设，如何搭建贯穿到各业务单位高效落地的数据合规体系，是集团公司数据合规体系建设需要考虑的基础问题之一。策略选择上需要匹配集团管理以及围绕集团业务运作的基本模式：如集团中，母公司只负责主导宏观管理，实际业务运作把控下放至下级企业，则在数据合规体系建设中可以突出考虑 “一企一策”的工作原则，围绕业务特点搭建更贴合各业务运营方自身实际数据运作的体系，集团内各业务组织数据合规体系体现上会更多元化。若母公司除集团管理职能外还负有业务（或部分业务）管理主导职责，在体系搭建上可以顶层设计中就可以更加突出实际业务需求，则母公司的数据合规体系对子公司的示范效应和纵向穿透作用更加显著，集团数据体系建设模式上会更加一体化。

四、关注和企业现有其他管理体系的衔接性

1. 遵循央企合规体系整体框架

以风险管理为导向、合规管理监督为重点，搭建严格、规范、全面、有效的内控体系，全面覆盖合规组织和职责、合规管理重点、合规管理运行、合规管理要求的央国企合规建设要求已成为近年热点。央国企的数据合规体系建设中，应首先注意遵循企业基础合规管理体系，架构建设上参照遵守“合规风险控制三道防线”，避免产生管理组织的冗余和职责冲突问题；对重大数据安全合规事项纳入“三重一大”事项并实施清单管理；数据专项合规管理制度内容注意与企业通用合规管理制度和管理架构的融合；实施侧注意与业务、信息安全管理、风险评估和监控处置处置、舆论风控体系的配套衔接；并将数据合规管理纳入人力管理和考核评价体系。

2. 与商秘管理体系的衔接

企业商秘管理体系中通常包括部分数据保密管理内容，并将客户数据列入商业秘密保护范畴。根据《中央企业商业秘密保护暂行规定》等规定，商业秘密保护是企业基础合规职责，大部分央国企商秘保障制度已经较为完备。数据合规管理不应是孤立体系存在，与企业已经实施并有效运营的现有制度体系的融合可以加促数据合规管理的落地化和企业内部的接受度。包括在数据分级实践中可参照本企业原有商秘分级管理内容，需要签署保密协议的内部人员范阔应覆盖从事个人信息处理和涉密数据岗位上的相关人员，失密事件监测和处置与数据安全管理应对结合，对外合作的商秘管理中增加数据权属和安全保障内容。

3. 对采购和合作方筛选流程的补充

2021年1月至6月，上海小鹏汽车销售服务有限公司在7家门店安装人脸识别摄像设备，采集上传人脸照片431623张，但其对该等消费者面部识别数据的采集并未经得消费者同意,也无明示、告知消费者收集、使用目的。根据消费者权益保护法等规定，相关部门责令小鹏汽车改正违法行为，对其罚款10万元。小鹏汽车回应称，此次事件系由于上海区域的门店对相关法律条款的不熟悉，误采购并使用了违反了相关法律条款的第三方供应商(悠洛客)的产品。

第三方商品或服务合作导致的数据安全问题近年案例增多，但企业的传统采购和合作方供应商筛选流程上较少设置专项的数据安全评估筛选规则，成为了合规管理项目的评估中常见风险漏洞。央国企在网络和涉数据的产品和服务的采购以及合作方筛选规则和流程中，需要及时补充网络安全和数据安全的相关核查要求，包括合作方遴选的数据安全能力评估、要求合作方提供数据安全能力和合规管理的业内认可资质证明（例如等保、ISO、NIST等认证）、搜索关注合作方是否有历史安全事件；合作条款应具备合作方的数据安全保障和履约承诺，网络产品数据安全功能约定；注意完成政府网络安全审查申报法定义务；并后续合作中通过监控机制以及工具应用对合作方的数据安全能力持续进行监督。

五、央国企数据合规解决方案

1、坚持党的领导。《中央企业合规管理办法》中规定了中央企业合规管理工作应当充分发挥企业党委(党组)领导作用，落实全面依法治国战略部署有关要求，把党的领导贯穿合规管理全过程的原则。央国企数据数据作为合规管理工作中必不可少的一部分，也必须始终坚持发挥党在企业开展数据合规管理工作中的重要作用。

2、风险识别。确定好调研的范围后，通过现场访谈、文件调研等方式对企业现有个人信息、重要数据、商业秘密等数据进行尽调摸排。基于企业调研现状，对比法律法规要求以及监管要求的差距，建立风险等级分类，并切实落实整改。 

3、科学搭建企业数据合规管理组织架构。央国企根据法律法规及监管要求，结合企业实际情况，梳理公司各部门职责边界，坚持“三道防线”的基础上，设立数据合规管理或个人信息保护部门，数据合规部门应融入企业合规组织架构，并建设中应该充分考虑合规管理部门和技术安全部门的专业优势的主导作用。 

4、完善企业数据合规管理制度建设。央国企应当根据法律法规及监管要求建立集团总公司数据合规管理基本制度。自上而下推进各子公司及机构在基本制度框架下建立符合公司实际情况的具体制度、指引，积极开展数据合规培训进行知识和文化意识传达，充分落地数据合规管理体系。

5、做好管理闭环，实现数据合规的动态化以及常态化。建立PDCA (计划- 执行- 检查-处理)的闭环管理机制，配套数据合规体系，做好法律库和风险库的知识体系建设和持续更新，使建设的数据合规体系充分发挥匹配企业运营自身需求，并及时应对法律监管更新的长效动态效益。

作者简介

袁屹

北京德和衡（深圳）律师事务所高级顾问

袁屹，擅长政府公共安全、公司业务及治理、投融资及并购。

辛小天

北京德和衡（深圳）律师事务所合伙人

辛小天，数字经济与人工智能业务中心总监，网络空间安全战略与法律委员会委员，清华大学创业引导年度荣誉导师。

曾就职于MayerBrown JSM 律师事务所，美国美富律师事务所，通用电气及奇虎360 。擅长数据合规、互联网法律及合规风控、投融资以及并购法律、反垄断法、公司法及劳动相关法律、外商投资及外资公司设立相关法律。

手机：13911159437

邮箱：xinxiaotian@deheheng.com

郑茂锋

北京德和衡（深圳）律师事务所执业律师

郑茂锋毕业于西南政法大学经济法学院（法律硕士）。擅长领域为区块链法律、民商事争议、个人信息保护。

手机：18826131257

邮箱：zhengmaofeng@deheheng.com