自2017年政府工作报告首次出现至今，“数字经济”已多次被写入政府工作报告。随着数字经济飞速发展，数据作为生产要素的重要性日益凸显，已经与土地、劳动力、资本、技术并列成为重要的生产要素。2023年2月，中共中央、国务院印发了《数字中国建设整体布局规划》指出，建设数字中国是数字时代推进中国式现代化的重要引擎，是构筑国家竞争新优势的有力支撑。加快数字中国建设，对全面建设社会主义现代化国家、全面推进中华民族伟大复兴具有重要意义和深远影响。

2020年国务院国资委印发《关于加快推进国有企业数字化转型工作的通知》，明确了国有企业数字化转型的基础、方向、产业化发展、重点和举措，发挥国有企业在新一轮科技革命和产业变革浪潮中的引领作用。2021年9月，上海市国有资产监督管理委员会印发《关于推进本市国资国企数字化转型的实施意见》明确了国有企业强化数据治理，建立数据综合治理体系的要求。2021年12月，广州市人民政府国有资产监督管理委员会印发《广州市国资委监管企业数据安全合规管理指南》（以下简称“《合规指南》”），迈出了地方国资监管机构落实数据安全、个人信息合规义务的第一步。《合规指南》由九章五十八条构成，涉及组织机构、制度建设、数据安全管理措施、商业合作伙伴管理、个人信息保护、数据安全技术应用、责任与监督等内容。

数据安全合规管理是合规管理体系的专项重点领域，企业应当对本企业工作中收集和产生的数据和数据安全承担主体责任。结合《合规指南》要求，对于已建立合规管理体系的国有企业，可在现有合规管理体系的基础上，进行专项深化管理，避免产生管理组织的冗余和职责冲突问题。

（一）组织保障

《中央企业合规管理办法》针对合规工作组织架构作出了“三道防线”的规定。第一道防线：业务及职能部门承担合规管理主体责任；第二道防线：企业合规管理部门牵头负责本企业合规管理工作；第三道防线：企业纪检监察机构和审计、巡视巡察、监督追责等部门，对合规要求落实情况进行监督，对违规行为进行调查，并按照规定开展责任追究。

《合规指南》则针对数据安全合规管理，对“三道防线”进行了职责细化：

1．承担数据管理、信息系统管理或IT技术等部门和其它各职能部门分别作为各业务范围内数据安全合规管理的责任部门,作为数据安全合规管理的第一道防线，主要职责包括：

制定企业数据管理的相关标准，包括数据分类分级、权限管理等工作；制定企业数据管理的相关制度及规范，包括数据全生命周期管理的相关制度；负责统一规范企业数据收集、存储、使用、加工、传输、提供、公开等工作机制；负责数据安全技术的应用及更新；负责数据管理能力建设；其他规章制度规定的数据管理工作。

2.企业合规管理牵头部门作为数据合规管理第二道防线，主要职责包括：

参与对企业涉及数据安全事项的合规审查；对数据安全合规管理的情况进行评估与检查；组织或协助数据安全合规责任部门、人事部门开展数据安全合规培训，为公司其他部门提供数据安全合规咨询与支持；合规委员会或合规管理负责人交办的其他工作。

3.内部审计部门负责定期对数据安全进行审计，可根据风险评估和审计资源铺排，在审计工作中涵盖数据安全合规的内容，并出具相关审计报告，为企业数据安全风险管理的有效性提供合理保障。纪检监察部门负责职权范围内的违规事件的监督、执纪、问责等工作。

（二）制度体系

国有企业应当对涉及数据的采集、传输、储存、使用、销毁等全生命周期的处理行为制定管控措施和标准，落实数据保护义务，建立完整的数据安全合规管理制度。数据安全合规管理相关制度可进行如下补充和完善：

1.编制本企业重大数据安全合规事项清单；

2.建立数据分类分级管控标准和管控要求。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据，包括涉及国家保密范围的产业规划、战略规划、重大项目、核心技术等，应根据相关法律法规的具体要求进行重点保护和管理。前述相关数据的交易、出境及共享等业务，应列入企业“三重一大”事项进行管理；

3.对数据采集、数据传输、数据储存、数据使用、数据开放共享、数据销毁等数据全生命周期管理的要素，制定必要的管控措施及标准；

4.建立数据处理的权限管理制度，根据不同类别、级别的数据，明确不同场景的数据使用审批流程，制定数据脱敏处理规则；建立企业内部数据出境合规审查的流程及规范；

5.建立数据安全合规评估及审计机制，定期或不定期对企业整体数据使用情况、数据全生命周期安全及合规性、基础安全等情况进行评估及审计；

6.建立数据安全应急响应机制，明确数据安全事故管理和应急响应职责，制定各类数据安全事故的处置流程及应急预案；

7.建立重大数据安全合规风险事件报告制度；

8.对于集团化管理的国有企业，建立对其下属全资、控股和实际控制子企业在数据安全合规工作内容和职责分工；

9.将数据安全工作规划纳入企业战略规划、IT规划等。

（三）合规文化

尽管我国不断完善数据安全保护政策体系，划定了数据安全红线，但目前部分企业的底线思维不足，“红线意识”依然不强。企业数据合规相关风险宣传和定期培训及分层学习跟进不够，导致合规管理的有效性和落地性往往存在较大问题。

数据安全合规治理是多元主体共同参与的过程，其中人员是数据安全各项要求有效实施的基石，也是安全风险的重要来源，加强人员安全意识培养、技能提升、规范流程演练，是使合规管理落地的重要措施。

1.培养人员数据安全和合规意识

企业各部门根据实际业务，针对员工的级别和岗位需求，加强内部员工对企业数据合规目标、数据合规要求、员工数据合规手册、数据合规规范的理解。通过定期开展培训，将法律法规、标准规范、案例事件等进行宣贯，逐步提升人员对数据安全的价值认识和威胁识别能力。

2.建立应急演练机制

通过定期或事件触发机制，对实际业务场景中的各类风险主题的处理方式、协作流程及响应机制等进行模拟演练，确保安全措施落实到位，安全处置流程正确有效等，全面提升数据安全合规治理运营保障能力。

3.对企业合作的第三方开展合规培训

企业对于所收集数据的使用不仅仅限于自用，在业务过程中往往需要向第三方提供数据，如共享、交易或者委托处理数据。企业应加强及规范与商业伙伴合作中的数据安全管理，明确合作方准入、日常管理、数据安全评估、变更及退出等环节的合规管理要求，确保共享/传递出去的数据被合规使用、确保接收的数据是合法获取且依法获得收取的数据。

随着国有企业数字化转型的必然趋势，以及《网络安全法》《数据安全法》及《个人信息保护法》相关法律体系的完善，数据全流程管理、数据保护体系建设与数据安全运营已是国有企业必须面临的合规问题。企业结合行业特点和所提供产品或服务的属性建立一套有效、落地的合规体系，既可“防范于未然”，还可在企业触犯法律红线时用于“自证清白”，从“纸面合规”到“实质合规”是国有企业一项系统和长期的工作，也是企业能够高质量、可持续性发展的重要保障。

作 者 | 李袁媛