中新经纬11月18日电 题：企业数据合规需搭建多维一体化数据适用和治理体系

　　作者 吴沈括 北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心副主任

　　11月14日，为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定，规范网络数据处理活动，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益，根据国务院2021年立法计划，国家互联网信息办公室会同相关部门研究起草《网络数据安全管理条例(征求意见稿)》(以下简称《征求意见稿》)，并向社会公开征求意见。《征求意见稿》的落地，迅速在各界产生了强烈的反映。

　　《征求意见稿》以前述三大上位法为依据，其包含的条文规范涉及一般数据、重要数据以及核心数据等的法律治理规则，特别是有关个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等重要方面的细则规定及其价值逻辑，对于各方主体的合规风控工作能够产生重大影响。

　　整体来看，《征求意见稿》的制度思路已不是网络安全合规、数据安全合规或者个人信息保护合规的单维方案，其可以广泛重塑数字经济下的数据处理与流转利用规则，在技术基础、组织管理、价值生态等诸多层面深度改造产业发展模式和企业治理架构，全面催生企业数据大合规的崭新需求。

　　其一，在技术基础层面，《征求意见稿》强调，数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求，建立完善数据安全管理制度和技术保护机制；数据处理者应当采取备份、加密、访问控制等必要措施，保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用，应对数据安全事件，防范针对和利用数据的违法犯罪活动，维护数据的完整性、保密性、可用性；数据处理者应当按照网络安全等级保护的要求，加强数据处理系统、数据传输网络、数据存储环境等安全防护，处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求，处理核心数据的系统依照有关规定从严保护。

　　这些明示技术要求，连同匹配数据收集、提供、委托处理和交易等各种业务场景的其他技术需求(例如匿名化处理、身份验证、个人信息转移以及数据删除等)，都将共同决定企业未来数据大合规的技术新面貌。

　　其二，在组织管理层面，《征求意见稿》要求，数据处理者应当建立数据安全应急处置机制，发生数据安全事件时及时启动应急响应机制，采取措施防止危害扩大，消除安全隐患。《征求意见稿》还要求，数据处理者处理个人信息，应当制定个人信息处理规则并严格遵守；重要数据的处理者，应当明确数据安全负责人，成立数据安全管理机构。

　　凡此种种，在延展企业内部管理体系的同时，都将共同塑造企业未来数据大合规的业务新流程。

　　其三，在价值生态层面，《征求意见稿》规定各类数据处理者，应当接受政府和社会监督，承担社会责任；对第三方数据合作中的数据处理活动进行监督；在数据跨境的情形下履行数据出境安全评估、数据出境安全报告等义务；非经中华人民共和国主管机关批准，不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。此外，《征求意见稿》还要求，互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度，及时披露制定程序、裁决程序，保障平台规则、隐私政策、算法公平公正，并应当充分采纳公众意见，接受社会监督。

　　此类指向突破传统闭合型企业治理架构，关注全球化时代背景下数据供应链、产业链的国内国际安全的诸多规则设计，都将共同重构企业未来数据大合规的生态新格局。

　　在此意义上，《征求意见稿》所喻示的重要讯息是，企业欲求面向未来的数据合规之道，需要全面搭建一体适用于各种数据类型、融汇技术治理、组织治理与生态治理的多维体系，进而迈上数据大合规的战略风控新高度。(中新经纬APP)

　　中新经纬版权所有，未经书面授权，任何单位及个人不得转载、摘编或以其它方式使用。本文不代表中新经纬观点。