从技术、管理与生态的多维治理，来看企业数据大合规路径

2021年11月14日，为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定，规范网络数据处理活动，保障数据安全，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益，根据国务院2021年立法计划，国家互联网信息办公室会同相关部门研究起草了《网络数据安全管理条例（征求意见稿）》（以下简称：《征求意见稿》），并向社会公开征求意见，迅速在国内外各界产生强烈社会反响。

《征求意见稿》共计9章75条，以前述三大上位法为依据，其包含的条文规范涉及一般数据、重要数据以及核心数据等法律治理规则，特别是有关个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等重要方面的细则规定及其价值逻辑对于各方主体的合规风控工作能够产生重大影响。

整体来看，《征求意见稿》的制度思路已不是网络安全合规、数据安全合规或者个人信息保护合规的单维方案，其可以广泛重塑数字经济下的数据处理与流转利用规则，在技术基础、组织管理、价值生态等诸多层面深度改造产业发展模式和企业治理架构，全面催生企业数据大合规的崭新需求。

其一，在技术基础层面，《征求意见稿》强调，各类数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求，建立完善技术保护机制，通过采取备份、加密、访问控制等必要措施，保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用，应对数据安全事件，防范针对和利用数据的违法犯罪活动，维护数据的完整性、保密性、可用性，并应当按照网络安全等级保护的要求，采用各种技术手段加强数据处理系统、数据传输网络、数据存储环境等安全防护，包括应当使用密码对重要数据和核心数据进行保护。

这些明示技术要求，连同匹配数据收集、提供、委托处理和交易等各种业务场景的其他技术需求（例如匿名化处理、身份验证、个人信息转移以及数据删除等），都将共同决定企业未来数据大合规的技术新面貌。

其二，在组织管理层面，《征求意见稿》要求各类数据处理者应当遵从数据分类分级保护制度，建立完善数据安全管理制度，包括建立数据安全应急处置机制，发生数据安全事件时及时启动应急响应机制，采取措施防止危害扩大，消除安全隐患。《征求意见稿》还要求各类数据处理者处理个人信息时，应当制定个人信息处理规则并严格遵守，涉及重要数据业务时应当明确数据安全负责人，成立数据安全管理机构，并履行相关备案手续。凡此种种，在延展企业内部管理体系的同时，都将共同塑造企业未来数据大合规的业务新流程。

其三，在价值生态层面，《征求意见稿》规定，各类数据处理者应当接受政府和社会监督，承担社会责任，还应当对境内外第三方数据合作中的数据处理活动进行监督，在数据跨境的情形下履行数据出境安全评估、数据出境安全报告等义务，并且非经中华人民共和国主管机关批准，不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

此外，《征求意见稿》还要求互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度，及时披露制定程序、裁决程序，保障平台规则、隐私政策、算法公平公正，并应当充分采纳公众意见，接受社会监督。此类指向突破传统闭合型企业治理架构、关注全球化时代背景下数据供应链、产业链的国内国际安全的诸多规则设计，都将共同重构企业未来数据大合规的生态新格局。

在此意义上而言，《征求意见稿》所喻示的重要讯息是，企业欲求面向未来的数据合规之道，需要全面搭建一体适用于各种数据类型、融汇技术治理、组织治理与生态治理的多维体系，进而迈上数据大合规的战略风控新高度。

第一，及时更新合规理念。包括立足“合法设计”、“伦理设计”和“安全设计”的一体化理念，科学设计双维度合规方案，确保企业自身全面遵循法律要求免受处罚，积极运用法律惩治行业中的各类不法行为，注重合同、协议等法律工具的体系化综合运用，充分利用法律赋予的当事方同意等正当化机制，并通过定岗定责和定岗定人强化企业内外的违法阻断机制建设。

第二，全面强化合规机制。尤其是在技术治理层面，突出数据风险监测与处置机制的有效运行；在组织治理层面，持续完善基于合法性论证的全生命周期的数据安全管理制度，推动全员覆盖的数据安全教育培训，落实面对国内外执法机构和司法机关的数据协助、配合、报告与批准要求；在内容价值层面，探索实现数据、数据技术、数据应用的伦理评估机制。

第三，战略布局国际市场。重点在于积极营造全球化共生型社群生态，妥善应对外国法长臂管辖与中国法域外适用的潜在冲突，同时持续优化数据供应链安全，在系统终端和业务流程等各个层面实现核心数据、重要数据、用户个人信息的一体化治理，并且扩大配置国家安全绝缘层，通过设施部署、人员配置与运营架构的立体调适最大限度地缓解、降低国家安全风险。

与此同时，从数据安全生态建设的更大角度而言，企业数据大合规工作的实效达成，还需要与政府监管以及民众参与形成广泛的良性互动。一方面，主管机关与监管机关在价值目标设定、方法论指导、政策安排、工具运用以及资源配置等各个方面给予必要支持，并适时革新与数字化、智能化的技术和产业环境相匹配的高效、灵敏的监管方式和监管方法。

另一方面，社会公众在持续提升数字素养、提高数字治理意识的同时，积极参与数据治理的公私进程，助力数据流转、利用与监管等各方面的透明度和开放度建设，共同培育可持续发展的数据共治生态。