在《當我們談數(shù)據(jù)合規(guī)的時候在談什么——數(shù)據(jù)合規(guī)的架構(gòu)和基礎(chǔ)概念》中，我們提到數(shù)據(jù)合規(guī)可以分成兩大部分，一部分是《個人信息處理全流程合規(guī)——兼評<個人信息保護法>》里闡述的數(shù)據(jù)處理合規(guī)，因這部分內(nèi)容更貼近用戶，與廣大消費者的生活直接相關(guān)，所以在備受關(guān)注的同時也往往會被誤解為數(shù)據(jù)合規(guī)的全部。實際上，數(shù)據(jù)合規(guī)的另一部分——數(shù)據(jù)安全合規(guī)也非常重要，它更多體現(xiàn)在國家/企業(yè)制度層面和技術(shù)層面，是數(shù)據(jù)處理合規(guī)的前提和基礎(chǔ)。對于企業(yè)來講，實現(xiàn)完整的數(shù)據(jù)合規(guī)，數(shù)據(jù)安全的制度建設(shè)和技術(shù)支持是不可或缺的重要內(nèi)容。

一、現(xiàn)行法律法規(guī)對企業(yè)數(shù)據(jù)安全的要求

《網(wǎng)絡(luò)安全法》從網(wǎng)絡(luò)運行安全（第三章）、網(wǎng)絡(luò)信息安全（第四章）和監(jiān)測預警與應(yīng)急處置（第五章）三個方面搭起了網(wǎng)絡(luò)安全的架構(gòu)，監(jiān)測預警與應(yīng)急處置主要是對國家、政府提出的要求，本篇暫且不論。就網(wǎng)絡(luò)運行和信息安全而言，《網(wǎng)絡(luò)安全法》對企業(yè)提出了十幾項要求[注1]并在法律責任章節(jié)明確如違反規(guī)定的，會遭受警告或?qū)ζ髽I(yè)和直接負責人員的雙重罰款。

《數(shù)據(jù)安全法》與《網(wǎng)絡(luò)安全法》類似，分別從國家層面[注2]和數(shù)據(jù)處理者層面作出規(guī)定，要求數(shù)據(jù)處理者履行數(shù)據(jù)安全保護義務(wù)[注3]，否則可能遭受警告、對企業(yè)和直接負責主管人員的雙重罰款、暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或吊銷營業(yè)執(zhí)照。

《個人信息保護法》作為個人信息處理的專門法規(guī)，當然具有安全保護的內(nèi)容[注4]，同時，由于個人信息是數(shù)據(jù)中最為重要的一類，該法對違反個人信息應(yīng)當承擔的法律責任相對于上述兩部法律，明顯在責任類型和數(shù)額上都有所增加，即除了警告、對企業(yè)和直接責任人員的雙重罰款、暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或吊銷營業(yè)執(zhí)照外，直接負責人員還將被禁止擔任高管和個人信息保護負責人。

《深圳經(jīng)濟特區(qū)數(shù)據(jù)保護條例》（以下簡稱《特區(qū)條例》）設(shè)立專章規(guī)定數(shù)據(jù)安全的實現(xiàn)，同樣對數(shù)據(jù)處理者提出要求[注5]，但《特區(qū)條例》相較于《個人信息保護法》，少了對應(yīng)的罰則，使得對企業(yè)安全制度方面的要求有些缺牙老虎的無力感。

對以上四部法律的制度和技術(shù)要求進行簡化，共性匯總和特性分離后，我們整理出以下簡表：

二、企業(yè)數(shù)據(jù)安全重要制度介紹

從上述簡表可以看出，四部法律既規(guī)定了一些共同的制度，也規(guī)定了針對特殊數(shù)據(jù)類型或者特定信息處理者的特殊制度，可以說這些制度共同構(gòu)筑起數(shù)據(jù)合規(guī)領(lǐng)域的基本制度架構(gòu)。我們在此簡單介紹總要求并選取三項重要制度進行詳細介紹。

(一) 總要求——數(shù)據(jù)安全管理和信息保護制度

數(shù)據(jù)安全管理和信息保護制度是企業(yè)數(shù)據(jù)安全合規(guī)制度的總稱，其他各項制度是其具體內(nèi)容。每部法律都作出了建立管理和保護制度的要求，但如何建立全面、完善和適宜的內(nèi)部制度，還需要企業(yè)根據(jù)自身情況探索和實踐。一般來講，我們認為應(yīng)當從機構(gòu)及人員設(shè)置、數(shù)據(jù)安全技術(shù)管理、數(shù)據(jù)處理活動規(guī)范等幾個方面嘗試。

在機構(gòu)及人員設(shè)置方面，應(yīng)明確企業(yè)的法定代表人或主要負責人對數(shù)據(jù)安全負全面領(lǐng)導責任，同時下設(shè)數(shù)據(jù)/信息安全部、法務(wù)部等部門，并根據(jù)處理數(shù)據(jù)的類型或者處理數(shù)據(jù)的數(shù)量設(shè)置數(shù)據(jù)安全負責人或者個人信息保護負責人。

在數(shù)據(jù)安全技術(shù)管理方面，企業(yè)應(yīng)當在開發(fā)產(chǎn)品或者服務(wù)時，根據(jù)相關(guān)法律法規(guī)及國家標準，在需求、設(shè)計、開發(fā)、測試、發(fā)布等各個階段考慮數(shù)據(jù)安全要求，設(shè)置網(wǎng)絡(luò)隔離、網(wǎng)站防護、漏洞管理、加密措施、權(quán)限管理和數(shù)據(jù)備份等數(shù)據(jù)保護措施。

在數(shù)據(jù)處理活動規(guī)范方面，既要明確數(shù)據(jù)處理全流程的合規(guī)管理要求，又要確立針對數(shù)據(jù)處理活動的記錄制度，使得任何的數(shù)據(jù)處理活動都留有痕跡，便于企業(yè)發(fā)現(xiàn)漏洞和完善管理。

(二) 數(shù)據(jù)分類分級保護制度

《數(shù)據(jù)安全法》主要從國家層面確立了數(shù)據(jù)分類分級保護制度，同時提出各地區(qū)、各部門要制定本地區(qū)、行業(yè)或者領(lǐng)域的重要數(shù)據(jù)目錄。而《個人信息保護法》直接規(guī)定了個人信息處理者應(yīng)對個人信息實行分類管理。

可以預見，未來企業(yè)將以國家制定的數(shù)據(jù)分類分級保護制度為基準，以各地區(qū)、各部分的數(shù)據(jù)目錄為指導，制定企業(yè)內(nèi)部的數(shù)據(jù)分類分級管理制度。當前來看，雖然相關(guān)概念尚不明確，但部分企業(yè)基于管理的需要，已經(jīng)建立了針對自身企業(yè)的數(shù)據(jù)分類分級管理制度。尤其是個人信息處理者，通常將敏感個人信息及一般個人信息進行分類管理，以滿足不同類型數(shù)據(jù)監(jiān)管的要求。

我們建議，在目前強監(jiān)管的環(huán)境下，企業(yè)盡量細化自身處理的數(shù)據(jù)類型，針對不同數(shù)據(jù)設(shè)置不同的管理措施，既要把控風險，又避免過度限制，保障數(shù)據(jù)依法有序自由流動。

(三) 數(shù)據(jù)安全應(yīng)急預案制度

由于網(wǎng)絡(luò)環(huán)境的復雜性，即使數(shù)據(jù)處理者采取相應(yīng)的技術(shù)手段，也仍然存在著數(shù)據(jù)泄露的風險。建立完善的數(shù)據(jù)安全應(yīng)急預案制度，可將數(shù)據(jù)泄露的影響限制在可控的范圍內(nèi)，對于保護信息主體的權(quán)益及減輕企業(yè)的責任，都是極其重要的。

建立數(shù)據(jù)安全應(yīng)急預案制度首先要求企業(yè)制定數(shù)據(jù)安全事件應(yīng)急預案，預案的核心是在發(fā)生數(shù)據(jù)泄露事件時，企業(yè)需根據(jù)數(shù)據(jù)的類型、重要程度、對個人信息主體的影響，制定處理方案，并決定是否向個人信息主體進行告知及是否向監(jiān)管部門進行報告。應(yīng)急預案還應(yīng)當包括一整套對外的文件，用于通知監(jiān)督機構(gòu)和受影響的個人以及通知媒體。以下為應(yīng)急預案調(diào)查環(huán)節(jié)的部分內(nèi)容：

◎ 泄露的數(shù)據(jù)是什么

◎ 泄露的數(shù)據(jù)類型（一般數(shù)據(jù)/個人信息/敏感個人信息）

◎ 泄露給的接收者人數(shù)/規(guī)模

◎ 對數(shù)據(jù)主體的影響

◎ 風險是否可控

◎ 數(shù)據(jù)泄露等級

◎ 需啟動的應(yīng)急方案

◎ 是否需要告知數(shù)據(jù)主體

◎ 是否需要報告監(jiān)管部門

此外，企業(yè)應(yīng)當定期組織內(nèi)部相關(guān)人員進行應(yīng)急響應(yīng)培訓和應(yīng)急演練，使各部門能夠掌握崗位職責和應(yīng)急處置策略。

(四) 風險評估制度

《數(shù)據(jù)安全法》針對重要數(shù)據(jù)的處理者提出了風險評估的要求，而《個人信息保護法》下的個人信息保護影響評估針對的情形包括處理敏感個人信息、利用個人信息進行自動化決策、委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息、向境外提供個人信息以及其他對個人權(quán)益有重大影響的個人信息處理活動。

風險評估的內(nèi)容方面，《數(shù)據(jù)安全法》要求包括處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動的情況，面臨的數(shù)據(jù)安全風險及其應(yīng)對措施等。而《個人信息保護法》規(guī)定的更加具體，包括個人信息的處理目的、處理方式等是否合法、正當、必要；對個人權(quán)益的影響及安全風險；所采取的保護措施是否合法、有效并與風險程度相適應(yīng)。

由于個人信息保護影響評估針對的情形非常廣泛，而重要數(shù)據(jù)的概念目前尚不明確，在此情形下，我們建議企業(yè)盡量將風險評估制度作為一項基本制度確立下來。

盡管我們可以從現(xiàn)有法規(guī)中看到企業(yè)需要滿足的要求，甚至在GB/T35273-2020《個人信息安全規(guī)范》中還有一些更為細節(jié)的指引，但是我們?nèi)詴l(fā)現(xiàn)，對于很多問題，尚無定性定量的明確規(guī)定，對于一些企業(yè)，尤其是中小型企業(yè)，有些無所是從。比如內(nèi)部安全管理制度是否需要單獨的文件，散落在不同的管理文件中是否符合了監(jiān)管？在沒有重要數(shù)據(jù)定義和政府、行業(yè)層面的數(shù)據(jù)分類分級制度下，企業(yè)如何進行數(shù)據(jù)分類分級管理？定期的合規(guī)審計是否一定要外部第三方進行，什么樣的第三方出具的審計可信，定期的期有多久等？另一方面，面對上述十幾項制度要求，在制度架構(gòu)和設(shè)計上似乎也有些散亂，需要專業(yè)人士更為明確的建設(shè)指引。

三、現(xiàn)有案例剖析

2021年7月，中國信息通信研究院云計算與大數(shù)據(jù)研究所（以下簡稱“信通院”）發(fā)布了《數(shù)據(jù)安全治理實踐指南（1.0）》，這并不是一份法律文件，不過可以從該指南中可以窺探到個別大型企業(yè)數(shù)據(jù)安全制度的搭建安排，盡管由于企業(yè)組織架構(gòu)不同、業(yè)務(wù)不同，各個企業(yè)的安排存在不少差異，但依然可以看到他們的共有特征——即在數(shù)據(jù)管理（組織架構(gòu)、管理流程）、數(shù)據(jù)運營（數(shù)據(jù)處理全流程）的過程中將技術(shù)安全貫穿其中。

圖一：中國聯(lián)通數(shù)據(jù)安全體系總體框架[注6]

圖二：螞蟻數(shù)據(jù)安全復合治理管理模式[注7]

圖三：天翼云數(shù)據(jù)安全治理能力[注8]

另外，我們在上市企業(yè)的監(jiān)管問答中也看到監(jiān)管機構(gòu)對數(shù)據(jù)安全及個人隱私保護措施及手段（技術(shù)手段、制度手段等）的關(guān)心。曠視科技在上市申請文件的審核問詢函中詳細回復了企業(yè)在技術(shù)維度（網(wǎng)絡(luò)隔離、網(wǎng)站防護、漏洞管理、加密措施、權(quán)限管理和數(shù)據(jù)備份）、制度維度（數(shù)據(jù)分級、安全事件應(yīng)急預案、員工信息安全守則）和人員機構(gòu)維度（CTO下設(shè)置安全部、CFO下設(shè)置法務(wù)部、總裁下設(shè)置合規(guī)安管部、人力上的協(xié)議約束等）上就數(shù)據(jù)安全合規(guī)所作的努力。

四、企業(yè)數(shù)據(jù)安全合規(guī)體系搭建的思路

結(jié)合前述的法律規(guī)定、企業(yè)的實踐案例，我們梳理出企業(yè)建設(shè)自己的數(shù)據(jù)安全合規(guī)體系是有思路可循的：在充分調(diào)研企業(yè)業(yè)務(wù)（尤其是數(shù)據(jù)處理相關(guān)業(yè)務(wù)）、組織結(jié)構(gòu)、規(guī)章制度的基礎(chǔ)上，分析差距要素，按照數(shù)據(jù)安全管理體系、安全人員體系、安全運營體系和持續(xù)化合規(guī)監(jiān)管體系逐一對照法律要求，分門別類進行完善：

數(shù)據(jù)安全管理體系——建立數(shù)據(jù)內(nèi)部管理制度（如散落在不同文件中，匯總審核是否全面完善；如有可能，建立單獨的管理手冊）、數(shù)據(jù)分類分級管理制度、數(shù)據(jù)安全負責人和/或特設(shè)機構(gòu)制度（根據(jù)處理信息的數(shù)量決定是否設(shè)置）、審批和訪問權(quán)限制度。

關(guān)于數(shù)據(jù)分類分級，《數(shù)據(jù)安全法》要求國家、各地區(qū)、各部門建立數(shù)據(jù)分類分級保護制度和重要數(shù)據(jù)目錄，以便實現(xiàn)更統(tǒng)一的規(guī)則和更方便的監(jiān)管；而《網(wǎng)絡(luò)安全法》《個人信息保護法》和《特區(qū)條例》則要求數(shù)據(jù)處理者自身建立分類分級制度，應(yīng)該是考慮到數(shù)據(jù)分類分級與企業(yè)業(yè)務(wù)的密切相關(guān)。當下，只有極少數(shù)行業(yè)存在一些分類分級的非強制性規(guī)范[注9]，大部分行業(yè)還處在摸著石頭過河的階段。如兼顧實操便攜性和合規(guī)需求，企業(yè)對業(yè)務(wù)進行分類，再根據(jù)業(yè)務(wù)類型就處理的信息結(jié)合信息對業(yè)務(wù)本身的重要性、一旦泄露丟失對用戶權(quán)益損害的嚴重性，參考個人敏感信息分列等級。

數(shù)據(jù)安全人員體系——主要是搭建相應(yīng)的人力資源管理制度和數(shù)據(jù)從業(yè)人員定期培訓制度，使得相關(guān)人員具有該方面的合規(guī)敏感性和專業(yè)能力。

人力資源管理制度包括專業(yè)人員的匹配（專業(yè)管理人員、專業(yè)技術(shù)人員、專業(yè)法務(wù)人員）、人員背調(diào)(如擔任信息安全負責人戶或高管的人員是否已經(jīng)因違反受到《個人信息保護法》下的任職禁止)、對員工的協(xié)議約束、對應(yīng)的獎懲制度等。

數(shù)據(jù)安全運營體系——即進行數(shù)據(jù)全流程的合規(guī)建設(shè)，具體是指針對數(shù)據(jù)處理的各個階段——收集、存儲、使用、加工、傳輸、提供、公開、刪除，確保合法合規(guī)，如進行特定情況下數(shù)據(jù)處理事前影響評估（《個人信息保護法》）；就業(yè)務(wù)所涉數(shù)據(jù)處理各階段法律上（對應(yīng)協(xié)議）和實踐中（實際操作與承諾或協(xié)議是否相符）是否符合合法合規(guī)要點予以業(yè)務(wù)上線前和運營中的審查。

該部分還包括在對外合作中，就涉及數(shù)據(jù)處理的商業(yè)協(xié)議擬定相應(yīng)的數(shù)據(jù)安全和數(shù)據(jù)處理合法合規(guī)條款，對合作方提出不低于自身的數(shù)據(jù)合規(guī)措施要求。

持續(xù)安全合規(guī)機制——建立風險監(jiān)測方案、數(shù)據(jù)安全事件應(yīng)急處置措施、定期合規(guī)評審、特定企業(yè)定期發(fā)布個人信息保護社會責任報告，同時確保與主管部門有效的溝通機制，方便在需要時能夠做到及時備案、報告，保障數(shù)據(jù)合規(guī)的長效化。

在上述四個體系建設(shè)中保持技術(shù)的深度參與全面貫穿，從網(wǎng)絡(luò)安全的高度全面覆蓋和實現(xiàn)數(shù)據(jù)安全。

企業(yè)的數(shù)據(jù)安全合規(guī)雖然是數(shù)據(jù)處理合規(guī)的前提和基礎(chǔ)，但因為聚集在企業(yè)內(nèi)部，又更多的以管理制度和技術(shù)防范的形式存在，似乎看不到摸不著。對于監(jiān)管來講，除了巨型企業(yè)、頭部企業(yè)、上市公司外，面臨成千上萬的中小型企業(yè)似乎也很難一家一家的從企業(yè)內(nèi)部查起。然而，這并非企業(yè)可以忽視數(shù)據(jù)安全方面制度建設(shè)和技術(shù)保護的理由，畢竟沒有了制度和技術(shù)，數(shù)據(jù)的處理合規(guī)也成為無源之水，分分鐘鐘出現(xiàn)違法問題。對數(shù)據(jù)處理的監(jiān)管自2019年持續(xù)到現(xiàn)在，監(jiān)管力度不降反增，一旦被發(fā)現(xiàn)數(shù)據(jù)處理不合規(guī)，我們不排除主管機關(guān)順藤摸瓜查出一系列安全制度不合法的情形，進而企業(yè)和主管人員都將會承擔嚴厲的法律責任（詳見《當我們談數(shù)據(jù)合規(guī)的時候在談什么——數(shù)據(jù)合規(guī)的架構(gòu)和基礎(chǔ)概念》）。走得快并非走得遠，小心駛得萬年船。

注釋及參考文獻：

[1]（1）制定內(nèi)部安全管理制度和操作規(guī)程、確定網(wǎng)絡(luò)安全負責人；（2）采取防范病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入的技術(shù)措施；（3）采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施；（4）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；（5）發(fā)現(xiàn)安全風險時，及時告知用戶并向主管部門報告；（6）為產(chǎn)品和服務(wù)持續(xù)提供安全維護；（7）制定網(wǎng)絡(luò)安全事件應(yīng)急預案，發(fā)生安全事件時啟動預案并向主管部門報告；（8）建立健全用戶信息保護制度；（9）采取技術(shù)措施或其他必要措施確保信息安全；（10）加強對用戶發(fā)布信息的管理；（11）建立網(wǎng)絡(luò)信息安全投訴、舉報制度。

[2] 第三章數(shù)據(jù)安全制度，規(guī)定：國家建立數(shù)據(jù)分類分級保護制度；國家、各地區(qū)、各部門制定重要數(shù)據(jù)目錄、國家建立數(shù)據(jù)安全風險的評估、報告、信息共享、監(jiān)測預警機制；國家建立數(shù)據(jù)安全應(yīng)急處置機制；國家建立數(shù)據(jù)安全審查制度。

[3]（1）建立健全全流程數(shù)據(jù)安全管理制度；（2）組織開展數(shù)據(jù)安全教育培訓；（3）采取相應(yīng)技術(shù)措施和其他必要措施；（4）重要數(shù)據(jù)處理者明確數(shù)據(jù)安全負責人和管理機構(gòu)；（5）進行風險監(jiān)測，發(fā)生數(shù)據(jù)安全事件時，及時向主管部門報告；（6）重要數(shù)據(jù)處理者定期開展風險評估并向主管部門報告。

[4] （1）制定內(nèi)部管理制度和操作規(guī)程；（2）對個人信息實行分類管理；（3）采取安全技術(shù)措施；（4）確定個人信息處理的操作權(quán)限并定期對從業(yè)人員進行安全教育和培訓；（5）定制并組織實施個人信息安全事件應(yīng)急預案；（6）特定處理者（達到國家網(wǎng)信部門規(guī)定的數(shù)量的） 應(yīng)當指定負責人；（7）定期進行合規(guī)審計；（8）處理特定信息時進行事前個人信息保護影響評估；（9）發(fā)生安全事故時通知用戶和主管部門；（10）提供重要互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復雜的個人信息處理者還需要建立由外部成員組成的獨立監(jiān)督機構(gòu)、制定平臺規(guī)則明確保護義務(wù)、對違規(guī)者暫停服務(wù)和定期發(fā)布個人信息保護社會責任報告。

[5]（1）建立健全數(shù)據(jù)分類分級、風險監(jiān)測、安全評估、安全教育等安全管理制度，落實保障措施；（2）處理敏感個人數(shù)據(jù)或者國家規(guī)定的重要數(shù)據(jù)的應(yīng)當設(shè)立數(shù)據(jù)安全管理機構(gòu)、明確數(shù)據(jù)安全管理責任人，并實施特別技術(shù)保護；（3）對數(shù)據(jù)處理全流程進行記錄；（4）對數(shù)據(jù)存儲進行分域分級管理；（5）采取安全技術(shù)防護，并建立重要系統(tǒng)和核心數(shù)據(jù)的容災(zāi)備份制度；（6）建立數(shù)據(jù)銷毀規(guī)程；（7）落實與數(shù)據(jù)安全防護級別相適應(yīng)的監(jiān)測預警措施；（8）處理敏感個人數(shù)據(jù)或者國家規(guī)定的重要數(shù)據(jù)應(yīng)當定期開展風險評估，并向有關(guān)主管部門報送風險評估報告；（9）建立數(shù)據(jù)安全應(yīng)急處置機制發(fā)生安全事故時通知用戶和主管部門。

[6]《數(shù)據(jù)安全治理實踐指南（1.0）》，第31頁；來源中國聯(lián)通集團。

[7]《數(shù)據(jù)安全治理實踐指南（1.0）》，第35頁；來源螞蟻集團。

[8]《數(shù)據(jù)安全治理實踐指南（1.0）》，第45頁；來源天翼云。

[9] 如工業(yè)和信息化部辦公廳關(guān)于2020年2月27日發(fā)布的《工業(yè)數(shù)據(jù)分類分級指南（試行）》；證監(jiān)會于2018年9月27日公布的《證券期貨業(yè)數(shù)據(jù)分類分級指引》（JR/T0158—2018）等。