首个数据安全地方指导性文件发布 广州国企有了合规指南

21世纪经济报道记者 王俊 实习生 杨景宜 北京报道

2021年数据监管立法潮涌，9月《数据安全法》生效，11月《个人信息保护法》正式实施……数据安全合规管理已成为企业的刚性要求。

近日，广州市国有资产监督管理委员会发布《广州市国资委监管企业数据安全合规管理指南（试行2021年版）》（以下简称《指南》）。《指南》细化完善了上位法要求，成为地方国资监管部门首部针对数据合规专项领域的合规操作指南。

《指南》细化了数据分级分类管理要求，金融等领域、处理超过10万人的个人敏感信息等国企属于数据安风险较高企业，须将数据安全合规作为重点专项管理；明确企业数据安全管理的三道防线；若商业合作伙伴存在数据滥用、预留“后门”等违法违规行为的，永久禁止合作。

数据安全风险较高企业需建立应急响应机制

数据安全合法合规已经成为企业对数据进行处理的原则和底线，但部分企业的数据安全合规体系建设还处于起步状态，存在着许多潜在的安全风险问题，分级分类管理可为保障数据安全厘清重点。

9月正式生效的《数据安全法》明确提出了应建立数据分类分级保护制度，11月《网络数据安全管理条例（征求意见稿）》公开征求意见也提出将数据分为一般数据、重要数据和核心数据，提议不同级别的数据应采取不同保护措施。

该《指南》落实了分类分级的管理要求，广州市国资委直接履行出资人职责的国有及国有控股企业、国有实际控制企业（以下称“监管企业”）应划分出数据安全风险较高的一类进行专项深化管理，并提出具体的划分标准。

《指南》明确了监管企业数据合规管理的相关制度，如建立重大数据安全合规事项实施清单管理；定期对新增数据梳理，确保所有数据分类分级管控；规范数据处理的管理权限，建立适当的用户权限管理机制。

被划分为数据安全风险较高的监管企业，除遵守上述制度外还要承担更多职责：如建立数据安全应急响应机制，制定各类数据安全事故的处置流程及应急预案并定期进行演练；建立重大数据安全合规风险事件报告制度，可能威胁国家安全的数据处理活动向公安机关、国家安全机关报告，可能关系到重大经营风险的向市国资委报告。

那么，哪些企业数据安全风险较高？《指南》给出了标准：

（一）主要业务涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和重要领域的；

（二）主要业务涉及个人信息处理，且从业人员规模大于200人；

（三）处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息；

（四）处理超过10万人的个人敏感信息的；

（五）从事国家秘密载体制作、复制、维修、销毁，涉密信息系统集成或者武器装备科研生产等涉及国家秘密的业务的；

这些标准细化了数据立法以及数据监管相关政策文件要求，有现实的操作指南意义。

构筑数据合规管理三道防线

广州市作为“千年商都”企业数量众多，数据显示，2021年，广州国企资产总额突破5万亿，11月末达5.4万亿元，较之2019年年末增长超三成。目前广州共拥有3家世界500强企业、8家中国500强企业。

企业活动必然产生大量数据，《指南》的出台为企业数据安全合规管理提供了可操作性规范。

《指南》细化及明确了企业中各层级数据合规管理机构及相关部门的职责，提出董事会合规委员会或承担合规管理职责的专业委员应合理配置数据合规管理工作所需资源和惩戒机制；经理层及合规管理负责人应指导和监督数据安全合规管理的规范建设和执行等。

此外，《指南》还强调构建数据安全合规管理的三道防线，为企业数据安全管理提供有效保障。

第一道防线由企业内承担数据管理、信息系统管理或IT技术等相关职能的部门及各业务部门担任，负责制定企业数据管理相关标准、制度并负责数据管理和数据安全技术的应用与更新；第二道防线由合规管理牵头部门担任，参与数据安全事项和合规审查并进行情况评估与检查，配合其他部门工作展开数据安全合规培训等； 第三道防线由纪检、审计部门担任，纪检部门负责对违规事件进行监督、执纪、问责等，审计部门负责定期对数据安全进行审计并出具相关审计报告。

商业伙伴若数据滥用 永久禁止合作 

数据安全合规与否将影响到企业的融资、业务模式以及能否上市等重大经营活动，因此数据安全合规需重视建设风险评估机制。

《指南》要求监管企业定期对企业本部及下属各级全资、控股和实际控制子企业的数据安全风险进行全面评估，根据评估结果采取差异化管控措施。

对于数据安全风险较高的企业，应基于企业原有的战略计划制定数据安全三年滚动工作规划，确保企业按既定路线达成数据安全合规目标，不断优化数据安全合规管理的各项制度和信息系统。

数据流动与共享才能创造价值，但是流转中也面临安全风险。

《指南》要求，针对向外部单位共享数据的情况，监管企业应充分评估相关数据安全风险，涉及重大敏感的数据提供要按审批权限逐级审批。并在相关合同中明确数据安全及保密义务，明确相关违约责任，必要时可单独签订保密协议。

而对于与商业伙伴合作中的数据，《指南》设专章予以规范。要求企业加强及规范与商业伙伴合作中的数据安全管理，明确合作方准入、日常管理、数据安全评估、变更及退出等环节的合规管理要求。

《指南》要求，监管企业同等条件下应优先采购境内安全可信的网络产品和数据服务。必要时，应对数据服务的合作方进行数据安全合规方面的尽职调查。

涉及公司资料及数据分享的，应按实现合作目的最小数据获取原则，对部分非必要数据进行脱敏，并对数据分享过程进行记录。

此外，应建立数据服务合作方定期的数据安全监测、检测和评估机制，明确数据安全监测、检测和评估的范围及具体内容，并将相关评估结果与合作方的变更及退出进行挂钩，发现合作方存在数据滥用、盗卖数据、预留“后门”等违法违规行为的，应及时终止合作并永久禁止合作，并按合同约定进行索赔。

强化数据全生命周期管理

数字经济下，新技术、新应用、新模式层出不穷，在革新业务场景的同时，企业也面临更复杂的合规义务。企业需将数据安全责任落实到每个业务环节，需对数据进行全生命周期的管理。

《指南》从数据采集、数据传输、数据出境、数据储存、数据使用、数据共享到数据销毁均制定了必要的管控措施及标准，防范数据处理的违规风险，确保数据安全合规。

《指南》要求明确数据采集渠道、格式和流程；划分数据传输的网络系统安全域，明确域内、域间等不同数据传输场景的操作规程；梳理数据出境业务，建立内部出境合规审查流程和规范；提升数据储存介质的安全加密管理，评估第三方平台数据储存和下载行为的安全性；不同类别、级别数据使用制定脱敏处理原则并进行风险评估；建立数据共享的申请及授权审批的流程及权限设置。

鼓励企业应依托国资国企信息安全“云”监管平台，积极支持配合国资国企一体化网络安全信息大数据平台的建立，促进数据安全信息联动和能力共享。