如何在滿足數(shù)據(jù)安全要求的前提下，最大程度促進(jìn)數(shù)據(jù)流通和開發(fā)利用、賦能數(shù)字經(jīng)濟(jì)是當(dāng)前企業(yè)必須關(guān)注的問題。國有企業(yè)作為黨和國家的重要依靠力量，不僅深耕于國家重點領(lǐng)域，在經(jīng)濟(jì)發(fā)展中亦不可或缺，最大化國有企業(yè)的數(shù)據(jù)利用，提高國有企業(yè)數(shù)字經(jīng)濟(jì)發(fā)展水平，是國有企業(yè)治理的重要環(huán)節(jié)，也是制定《指南》的內(nèi)在動因。廣州市國資委以統(tǒng)籌管理的思想，在《指南》中聚焦《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》等法律法規(guī)的核心要求與重點制度，融合了《廣東省省屬企業(yè)合規(guī)管理指引（試行）》的思路策略，并在此基礎(chǔ)上制定了富有地方特色和創(chuàng)造性的《指南》，為國有企業(yè)數(shù)字化轉(zhuǎn)型和數(shù)據(jù)治理提供了合規(guī)指引。

?

《指南》為響應(yīng)企業(yè)數(shù)字化轉(zhuǎn)型整體布局，建立現(xiàn)代企業(yè)制度，要求國有及國有控股企業(yè)、國有實際控制企業(yè)（合稱"監(jiān)管企業(yè)"）"應(yīng)盡量依托國資國企信息安全‘云’監(jiān)管平臺，積極支持配合國資國企一體化網(wǎng)絡(luò)安全信息大數(shù)據(jù)平臺的建立，促進(jìn)數(shù)據(jù)安全信息聯(lián)動和能力共享"，以便利數(shù)據(jù)管理并發(fā)揮數(shù)據(jù)價值；為防止國有資產(chǎn)流失、優(yōu)化國資監(jiān)管方式、保護(hù)數(shù)據(jù)安全，《指南》要求監(jiān)管企業(yè)"根據(jù)標(biāo)準(zhǔn)對現(xiàn)有數(shù)據(jù)進(jìn)行全面分類分級，并通過技術(shù)手段落實安全管理要求，定期對新增數(shù)據(jù)進(jìn)行梳理"，以推動企業(yè)厘清數(shù)據(jù)保有情況，促進(jìn)數(shù)據(jù)的動態(tài)保護(hù)和價值實現(xiàn)，有助于廣州市建設(shè)數(shù)據(jù)利用"高地"。同時結(jié)合《指南》規(guī)定的全流程數(shù)據(jù)管理制度，其實施將有利于增強監(jiān)管企業(yè)規(guī)范意識和安全意識，有利于形成規(guī)范有序的數(shù)據(jù)管理體制機制，保障國家安全、數(shù)據(jù)安全。

?

《指南》承襲了《數(shù)據(jù)安全法》《個人信息保護(hù)法》對于數(shù)據(jù)安全管理的規(guī)定，要求監(jiān)管企業(yè)設(shè)置內(nèi)部管理制度和操作規(guī)程，并設(shè)置落實數(shù)據(jù)安全保護(hù)責(zé)任的專職人員?！吨改稀愤M(jìn)一步細(xì)化數(shù)據(jù)合規(guī)管理的層次，依照監(jiān)管企業(yè)的內(nèi)部設(shè)置特征劃分了數(shù)據(jù)安全合規(guī)管理的三道防線。第一道防線是各業(yè)務(wù)范圍內(nèi)各職能部門；第二道防線是監(jiān)管企業(yè)合規(guī)管理牽頭部門；監(jiān)管企業(yè)可視情況通過建立聯(lián)合的數(shù)據(jù)合規(guī)管理辦公室或工作組，并以此作為第三道防線。三道防線將分工協(xié)作，各司其職，以切實落實數(shù)據(jù)保護(hù)制度。

?

圖1 數(shù)據(jù)安全合規(guī)管理三道防線示意圖

?

同時，《指南》第7條與第8條明確"董事會合規(guī)委員會或承擔(dān)合規(guī)管理職責(zé)的專業(yè)委員會"在職責(zé)范圍內(nèi)以及"經(jīng)理層及合規(guī)管理負(fù)責(zé)人"在原有合規(guī)管理職責(zé)的范圍內(nèi)均具有合規(guī)管理職責(zé)。若監(jiān)管企業(yè)未合規(guī)開展數(shù)據(jù)處理活動或者未盡到網(wǎng)絡(luò)安全管理職責(zé)，則前述人員均有可能被認(rèn)定為《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》項下的"直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員"并承擔(dān)相應(yīng)責(zé)任。這有利于警示相關(guān)責(zé)任人員依法依規(guī)履職，以降低網(wǎng)絡(luò)安全、數(shù)據(jù)權(quán)利侵權(quán)事件發(fā)生的風(fēng)險。

?

?

《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》規(guī)定，在發(fā)生網(wǎng)絡(luò)安全事件、數(shù)據(jù)安全事件、個人信息泄露、損毀、丟失的情況下，網(wǎng)絡(luò)運營者、數(shù)據(jù)處理者、個人信息處理者有義務(wù)向主管部門報告?！吨改稀费赜昧藞蟾媪x務(wù)的整體思路，但進(jìn)一步明確監(jiān)管企業(yè)在進(jìn)行影響或可能影響國家安全的數(shù)據(jù)處理活動時，如果發(fā)現(xiàn)存在數(shù)據(jù)安全威脅，應(yīng)當(dāng)向公安機關(guān)、國家安全機關(guān)報告；如果數(shù)據(jù)處理活動可能涉及重大經(jīng)營風(fēng)險時，還需要同步向市國資委報告 。報告對象的明確體現(xiàn)了對潛在風(fēng)險的充分理解和重視，亦系響應(yīng)總體國家安全觀的重要舉措。

?

另外，就監(jiān)管企業(yè)的前述報告義務(wù)還需要注意兩點。其一，《指南》中的報告義務(wù)與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》項下的報告義務(wù)系并行要求。在安全威脅既滿足《指南》的規(guī)定，又滿足其他法律規(guī)定時，監(jiān)管企業(yè)需要同時履行《指南》及各項法律法規(guī)下的全部報告義務(wù)。其二，《指南》針對"影響或可能影響國家安全"的情況及"可能關(guān)系到重大經(jīng)營風(fēng)險"的情況進(jìn)一步明確了報告義務(wù)。區(qū)分情境、放管結(jié)合的規(guī)制方式不僅契合中央政府推進(jìn)"放管服"的精神理念，同時也是完善政府治理體系和治理能力現(xiàn)代化的必然選擇。

?

?

《指南》第53、55條明確了市國資委針對監(jiān)管企業(yè)數(shù)據(jù)安全事宜可以采取約談、問責(zé)等多項舉措。在安全事件發(fā)生前，市國資委可以通過約談、要求整改等方式，以強硬態(tài)度整肅監(jiān)管企業(yè)數(shù)據(jù)安全管理機制，防患于未然；在安全事件發(fā)生后，市國資委有權(quán)通過要求監(jiān)管企業(yè)停業(yè)整頓等方式及時消除影響、完成整改，以此威懾違規(guī)行為?！吨改稀分邢鄬ν暾液w事前事后監(jiān)管的措施有助于將治理機制落到實處，推動監(jiān)管企業(yè)與相關(guān)責(zé)任人員履行自身義務(wù)，切實保障數(shù)據(jù)安全。

?

《數(shù)據(jù)安全法》與《個人信息保護(hù)法》均針對數(shù)據(jù)跨境規(guī)定了一系列的制度，但對于哪些跨境數(shù)據(jù)流動行為屬于數(shù)據(jù)跨境，法律并未給出較為明確的邊界，這導(dǎo)致不少企業(yè)在實踐中對于數(shù)據(jù)跨境的理解存在偏差。例如，不少企業(yè)在境外架設(shè)服務(wù)器，并通過該服務(wù)器存儲、分析數(shù)據(jù)，但部分企業(yè)認(rèn)為因數(shù)據(jù)處理者并未變更，故該等數(shù)據(jù)的跨境流動并不屬于數(shù)據(jù)跨境行為，進(jìn)而怠于履行相應(yīng)的數(shù)據(jù)跨境義務(wù)，造成潛在的合規(guī)問題和安全風(fēng)險。

?

從指導(dǎo)實踐的角度出發(fā)，《指南》在充分領(lǐng)會《數(shù)據(jù)安全法》與《個人信息保護(hù)法》立法意圖的基礎(chǔ)上，重申"監(jiān)管企業(yè)境外分支機構(gòu)在當(dāng)?shù)卦O(shè)立服務(wù)器，并通過該服務(wù)器儲存及使用監(jiān)管企業(yè)數(shù)據(jù)的，應(yīng)按數(shù)據(jù)出境的管理要求實施數(shù)據(jù)安全管理。"這有利于指導(dǎo)企業(yè)自覺、及時遵守數(shù)據(jù)跨境的相關(guān)義務(wù)要求，降低潛在的合規(guī)風(fēng)險和安全風(fēng)險。

?

數(shù)據(jù)的交互和流動是數(shù)字經(jīng)濟(jì)發(fā)展過程中的常態(tài)化動作，但如何在數(shù)據(jù)的交互和流動中實現(xiàn)對數(shù)據(jù)的保護(hù)，防控潛在的數(shù)據(jù)安全風(fēng)險是所有企業(yè)面臨的共同課題。《指南》建立了一系列監(jiān)管企業(yè)與商業(yè)伙伴合作中的數(shù)據(jù)保護(hù)制度，具體如下：

?

?

根據(jù)《指南》第36條，"監(jiān)管企業(yè)應(yīng)明確信息系統(tǒng)開發(fā)及運維、數(shù)據(jù)儲存、數(shù)據(jù)處理等數(shù)據(jù)服務(wù)相關(guān)合作方的準(zhǔn)入標(biāo)準(zhǔn)，并在合作方選擇時進(jìn)行資格審查"。上述規(guī)定要求監(jiān)管企業(yè)事前對數(shù)據(jù)服務(wù)相關(guān)合作方進(jìn)行審查，且企業(yè)內(nèi)部應(yīng)當(dāng)建立統(tǒng)一審查標(biāo)準(zhǔn)。這就意味著監(jiān)管企業(yè)需要制定一套通用的合作機構(gòu)準(zhǔn)入標(biāo)準(zhǔn)，并基于該等標(biāo)準(zhǔn)開展必要的合作機構(gòu)準(zhǔn)入審查。這有利于規(guī)范數(shù)據(jù)合作，降低因合作方帶來的潛在數(shù)據(jù)合規(guī)風(fēng)險。對于監(jiān)管企業(yè)而言，"標(biāo)準(zhǔn)+審查"的模式不僅可以在一定程度上保障監(jiān)管企業(yè)的數(shù)據(jù)安全，如后期發(fā)生數(shù)據(jù)安全事件等危害數(shù)據(jù)安全的情形，監(jiān)管企業(yè)也可以將準(zhǔn)入標(biāo)準(zhǔn)規(guī)定與審查記錄作為其盡到合理審查義務(wù)的證據(jù)，以降低自身的風(fēng)險。

?

?

從事中監(jiān)管的角度，《指南》在《個人信息保護(hù)法》的基礎(chǔ)上對企業(yè)如何對合作方進(jìn)行監(jiān)督給出了細(xì)化指引。一方面，《指南》細(xì)化了企業(yè)與數(shù)據(jù)合作方應(yīng)當(dāng)約定的內(nèi)容，明確合同中需結(jié)合實際情況列明"服務(wù)標(biāo)準(zhǔn)、數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)泄露預(yù)防、業(yè)務(wù)連續(xù)性計劃等內(nèi)容"；另一方面，就具體的事中監(jiān)督手段，《指南》提出企業(yè)可以采取"定期的數(shù)據(jù)安全監(jiān)測、檢測和評估機制"，并將"相關(guān)評估結(jié)果與合作方的變更及退出進(jìn)行掛鉤，發(fā)現(xiàn)合作方存在數(shù)據(jù)濫用、盜賣數(shù)據(jù)、預(yù)留后門等違法違規(guī)行為的，應(yīng)及時終止合作并永久禁止合作，并按合同約定進(jìn)行索賠"。由此，《指南》為監(jiān)管企業(yè)實際實行監(jiān)督提供了一條相對明晰的路徑。

?

《指南》第47條提出監(jiān)管企業(yè)應(yīng)"應(yīng)通過相關(guān)技術(shù)的應(yīng)用及更新，提升企業(yè)在數(shù)據(jù)識別、敏感信息保護(hù)、數(shù)據(jù)操作審計、接口安全管理、數(shù)據(jù)防泄露等方面的技術(shù)能力，提升數(shù)據(jù)安全保障能力"，即鼓勵企業(yè)通過技術(shù)創(chuàng)新與技術(shù)升級提升數(shù)據(jù)安全保障能力。在《數(shù)據(jù)安全法》與《個人信息保護(hù)法》中，法律已經(jīng)提及了"匿名化"與"去標(biāo)識化"等技術(shù)，《指南》在前述規(guī)定的基礎(chǔ)上更進(jìn)一步，明確指出企業(yè)可以采用"定期數(shù)據(jù)資產(chǎn)掃描"、"脫敏效果驗證"等技術(shù)手段保障數(shù)據(jù)安全。這些進(jìn)一步細(xì)化的規(guī)定與更為明確的技術(shù)手段有助于解決企業(yè)如何履行《數(shù)據(jù)安全法》與《個人信息保護(hù)法》義務(wù)的困惑，加強了監(jiān)管要求的實踐性與可操作性，更有利于企業(yè)將數(shù)據(jù)保護(hù)真正落到實處。

?

?