数字经济时代，如何有效开展国有企业数据安全合规建设？

二、数据安全合规建设的制度规范与管理措施
 

针对监管企业数据安全合规建设，《数据合规指南》既在宏观层面规范了相应的数据安全合规建设的制度规范，又在微观层面明确了具体的数据安全合规建设的管理措施。其中，在制度规范层面要求监管企业应建立健全数据安全合规管理的相关标准、制度和规范，建立重大数据安全合规审批清单、数据分类分级管理、权限管理、数据安全合规风险评估及审计、重大数据安全合规风险事件报告、应急处置机制等；在管理措施层面要求监管企业在数据安全合规管理过程中，应对数据采集、数据传输、数据存储、数据使用、数据开放共享、数据销毁等数据全生命周期管理的要素，制定必要的管控措施及标准，依法保护企业数据基础设施免受攻击、侵入、干扰和破坏，防范数据处理的违规风险，确保数据安全合规。

 

除上述制度规范及管理措施外，《数据合规指南》指导监管企业通过实时更新相关数据安全技术应用，提升数据识别、敏感信息保护、数据操作审计、接口安全管理、数据防泄漏等方面的技术能力，提升数据安全保障能力。

 

三、加强商业合作与个人信息保护，丰富数据安全合规的内涵
 

《数据合规指南》对监管企业加强与商业伙伴合作中的数据保护及个人信息保护方面提出了具体要求，丰富了数据安全合规建设的内涵。针对商业伙伴合作中数据保护，监管企业应明确信息系统开发及运维、数据存储、数据处理等数据服务相关合作方准入标准，对合作方开展资格审查及尽职调查，同等条件下优先采购境内安全可信的网络产品和数据服务；根据具体合作项目设置服务标准、数据备份和恢复、数据泄露预防、业务连续性等数据安全合规的相关合同条款，定期进行数据安全监测、检测和评估，对存在数据滥用、盗卖数据、预留“后门”等违法违规行为的合作方，应及时终止合作并永久禁止合作，按合同约定进行索赔，确保合作方的数据安全合规。针对个人信息保护，监管企业应规范和完善个人信息保护机制，加强企业员工、访客个人信息保护，建立个人信息分类标准，明确个人敏感信息定义范围及处理规则，个人信息收集符合法定要求，避免过度收集，且确保个人信息采集及处理前取得个人同意，规范个人信息存储。

 

四、数据安全合规的责任与监督
 

市国资委对监管企业数据安全合规管理情况进行监督检查，对存在较大安全风险的数据处理活动，可按程序对相关企业、个人进行约谈，要求采取措施进行整改，消除隐患；对窃取数据或利用数据排除、限制竞争等违法违规的数据处理活动，除依法承担责任外，市国资委将视情况启动合规调查，责令相关企业整改，完善数据安全合规管理。《数据合规指南》禁止监管企业未经主管机关批准向外国司法或执法机构提供数据，针对未履行数据安全保护义务、向境内外调查咨询和中介机构提供重要数据，除依法承担相应法律责任外，市国资委将视情况对相关企业及主要负责人进行违规问责。

 

五、结语
 

《数据合规指南》是首部将数据安全作为重点专项纳入国有企业合规管理体系建设领域涉及国资监管政策的操作指导性文件，为国有企业有效开展数据安全合规建设提供了行动指南；《数据合规指南》融合了《数据安全法》《个人信息保护法》《网络安全法》《关键信息基础设施保护条例》等关于数据安全管理的最新规定，具体规定了企业数据采集、传输、处理、存储安全合规管理措施及个人信息保护等方面的内容，全面落实国家关于数据安全、网络安全及个人信息保护的立法精神，有利于企业合法合规的利用与保护数字经济时代的重要资产-数据资源。

 

 

 

---

注：
1. 王毅在“抓住数字机遇，共谋国际合作发展”国际研讨会高级别会议上发表题为《坚守多边主义 倡导公平正义 携手合作共赢》主旨讲话，提出《全球数据安全倡议》。

 

特别声明：

 

以上内容属于作者个人观点，不代表其所在机构立场，亦不应当被视为出具任何形式的法律意见或建议。