数据要素发力，数据合规助力

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

浅析企业数据合规制度建设

• 摘要
• 正文
• 参考资料

---

摘要

从“互联网+”到“数据要素x”，各行各业的数据必将被充分开发利 用，从而激发企业发展潜能，助力企业进入高质量发展快车道。但是， 如何确保企业运营过程中产生的数据全生命周期都合法合规，是当前 大部分企业所面临的共同问题。本文仅从企业数据合规管理制度层面 讨论企业如何通过建立数据合规管理审计制度防范数据合规风险。

---

正文

随着国家数据局于 2023 年 12 月 15 日发布《“数据要素◊”三年 行动计划（2024-2026 年）（征求意见稿）》(简称《行动计划》)，数 据深入应用进入高速发展的快车道。《行动计划》鼓励各方主体积极 参与数据要素开发利用，充分发挥数据要素潜能，从而赋能产业高质 量发展。然而目前各领域各行业的企业，尤其是平台企业在数据合规 建设方面投入不足，或者关注不够，数据合规方面面临巨大风险。

由于数据跨境流动日益频繁，国内外关于跨境数据合规提出了更 多更严的要求。欧盟制定出台《通用数据保护条例》《欧洲数据战略》 《数据治理法案》《数据法案》等。美国加州、弗吉尼亚州等多个州 提出数据隐私保护要求。日本、新加坡、泰国、瑞士等多国推出或修 订数据保护法律法规。截至目前，全球约 80%的国家已完成数据安全 和隐私立法或已提出法律草案。

我国也持续构建数据安全法律体系，规范企业数据合规建设。近 年来，我国密集落地施行了民法典、国家安全法、数据安全法、个人 信息保护法等法律法规，对企业数据合规建设提出更高要求。

数据显示，超 30%的企业在境外投资及生产经营过程中面临数据 合规问题。

企业数据管理制度应如何确保企业数据符合国家法律法规的规 定，从下面几个方面入手。

首先，依据我国对数据安全法律规定，企业应遵循《中华人民共 和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和 国网络安全法》《关于构建数据基础制度更好发挥数据要素作用的意 见》、各省市行业数据安全管理办法等现行有效法律、行政法规和规 范性文件。

其次，企业在满足基本的数据安全法律法规要求的基础上，应该 自查确保数据来源、数据内容、数据处理、数据管理及数据经营等五 个主要维度对数据资源进行梳理，查缺补漏，建立企业数据合规管理 机制，建立企业自身合规检查清单，并通过自查自审及时更新清单内 容。

数据合规要求企业数据全生命周期不违反任何法律法规、国家政 策和社会公共道德，不侵犯任何第三方合法权利。企业数据合规部门 或负责专人应紧跟国家法律法规以及政策，研究分析法律法规要求。 关注行业数据安全案例，深入分析研究本企业数据安全措施。

对于企业数据合法，企业可以参考上海数据交易标准，进行对照 比较包括但不限于下列内容：

a） 对公开收集的数据，应提供公开获取数据的方式、网站协议 及其他合法性依据；并承诺没有采用侵入、非法控制计算机信息系统、 非法获取计算机信息系统数据的程序；

b） 对自行生产的数据，应提供客观、完整的系统运行、形成记 录、采集规模等情况报告以及数据生成的情况描述等证明材料，如传 感器、智能设备数量和运行及采集规模等情况说明；

c） 对间接获取的数据，应能提供相关合同或其他可以证明数据 合法性的材料，如数据采购协议、合作协议或许可使用协议等；

d） 数据涉及个人信息采集的，应提供涉个人信息的数据采集字 段、采集方式和已经获得个人同意或单独同意的证明；据其他合法性 基础收集的涉个人信息的数据说明数据产品仍然在该合法性基础范 围内；

e） 对于涉及个人信息数据产品交易的合规性要求，应遵守《中 华人民共和国个人信息保护法》及《GB/T 35273-2020》等规定；

企业也要建立完善的数据合规管理和审计制度。在数据合规管理 体系中，企业要保持一个由内而外的合规状态，让专业部门或者个人 对企业合规负责是其中最重要的组成部分。企业可以结合自身实际情 况来进行组织建设，对于规模较大的企业来可根据需要成立独立的数 据合规部门；对于小型企业来说，需要规定专人来负责数据合规事项。 组织建设还包括对相关的部门以及人员进行定期培训，及时更新数据 和合规相关知识。

企业其他各部门也应该根据实际业务，针对员工的级别和岗位需 求，由合规部门或者合规专人提供对应的数据合规安全培训，培养员 工数据合规意识。加强内部员工对企业数据合规目标、数据合规要求 的理解。企业通过不断提升内部数据合规认识与管理能力，持续改进 企业合规管理建设。

数据合规审计，因为企业所在领域和行业的不同，目前没有专业 和具体的规范，所以企业需要借鉴同行业企业数据合规要求，以及数 据资产入表要求，充分分析企业自身合规风险，完善审计链条，设定 专门审计部门和人员，定期进行数据合规审计。

只有企业充分化解数据合规风险，提升数据合规意识，并且建立 数据合规管理和审计制度，清晰规划数据合规目标和实施计划，并且 充分利用业界数据合规经验，才能将数据合规工作有效落实，助力企 业开拓市场“蓝海”。

---

参考资料

1. 上海数据交易标准，数据交易第一部分：数据流通交易合规指南

2. 数据资产入表路径及方法（附《数据资产评估指导意见》全 文）,https://mp.weixin.qq.com/s/x5Tsc-CfVs8CIOwA8pSRWA

3. 平台企业“出海”需应对本地化运营、数据合规、不确定性三大挑 战 ，中国计算机报 2023 年 12 月 25 日第 45 期

4. 【 合 规 智 库 】 企 业 数 据 合 规 认 识 与 搭 建 , https://zhuanlan.zhihu.com/p/454295491