企业数据合规亟需重视

□龚励 常贸促

随着社会数字化转型加速，全球重大数据安全事件频发。在我国，《网络安全法》《数据安全法》《个人信息保护法》《民法典》等法律法规，逐渐构建起对数据保护的立体化法律框架，企业存在数据违法、违规行为，不仅可能承担民事责任、行政责任，还面临承担刑事责任的风险。鉴于此，在经营过程中存在数据收集、处理等内容的企业，数据合规问题必须从战略高度予以重视。

【典型案例】

某企业是住建部门下属国有企业，开展新建商品房预售资金第三方托管以及存量房交易资金监管工作。企业在资金托管、监管业务办理过程中，因履职原因收集大量数据信息，包括公民个人信息及业务相对方企业相关信息等，绝大部分信息属“敏感个人信息”及“重要数据”。此类信息一旦泄露，可能会对个人信息主体以及国家安全、公共利益造成极大损害。

企业负责人意识到数据安全存在的巨大风险，聘请江苏博爱星律师事务所合规团队协助企业开展数据安全专项合规管理体系建设工作。合规团队经过风险排查，确定了企业数据存在被外部侵入、内部篡改、内部窃取、泄露等方面的风险，分析了风险可能存在的业务环节以及企业在数据保护方面措施的缺失，评估了企业在数据安全方面的风险等级，列出了风险清单，为企业构建了合规管理体系，并对数据安全保护的技术措施提出了改进意见，着力保障企业数据从收集到处理、使用、销毁的全生命周期安全。企业将数据安全专项合规管理体系实际贯彻落实，不仅防范了数据安全风险，也符合数据发展的趋势与政策要求。

【应对措施及建议】

随着网络技术的发展，企业在数据合规方面，除落实管理体系外，还应当关注以下四点：

一是数据合规管理的内容持续发展。本案例中，企业因履职原因收集相关个人信息，符合法律规定。当前，各地开展公共数据授权运营试点工作，如果该企业相关数据纳入其中，其在数据收集方面就要履行更多合规义务，包括知情同意原则等。

二是数据合规管理主体不仅是网络企业。企业生产经营的各项内容都可能体现为数据，比如企业的客户订单、技术图纸、企业的员工信息，乃至企业收到的电子简历等，都涉及到数据合规管理内容。

三是企业开展数据合规管理应善于从第三方借力。一方面，由于数据安全属于新兴事务，各种法律、法规、标准层出不穷，企业很难一一掌握，容易因不熟悉规范而违规，借助专业第三方机构的力量，可有效解决这一问题。另一方面，企业可申请第三方开展ISO27001信息安全管理体系认证、网络安全等级保护备案、个人信息保护影响评估等，作为企业数据安全的背书。

四是数据合规可以产生价值。合规管理的目标一方面是防范风险，另一方面是创造价值，而创造价值在数据合规管理领域可得到直接体现。当前，国家鼓励将数据作为生产要素参与分配，数据资产挂牌、入表已不鲜见。但数据合规是数据资产化的必要前提，“不合规不挂牌”已成为业界共识。因此，企业开展数据合规管理，是实现数据价值的必由之路。

常州市贸促会作为中国贸促会在江苏省设立的首家企业合规师培训示范基地，近年来，每年系统培养企业合规师百余名，同时，在合规人才培养、合规风险排查、企业合规管理体系建设等方面，邀请全国范围内优秀合规专家，为企业提供合规全流程服务。联系电话：0519-88123153。