企业合规业务前景（律师论文企业合规中心之数据合规系列六）

原创作者：彭俊武

我是北京市京师（武汉）律师事务所知识产权与投资中心合伙人、商标申请与诉讼部主任律师。同时具有机电工科、及法学教育背景，曾在国企做过技术服务、也自己尝试做过新媒体、也有法律复合工作经历。从事法律服务期间负责过大型国企、驰名商标企业的商标诉讼；负责过知名连锁品牌企业知识产权顾问，包括连锁经营涉及的法律问题；负责过北京知名新媒体企业知识产权顾问多年，期间成功应对多起起恶意抢注商标事件，维护客户的品牌和无形资产价值，避免客户高价回购被抢注的商标。

数据是现代企业的血液，以大数据或互联网为工具开发新型服务或产品的传统行业企业也依赖数据带来新的业务增长点。随着《中华人民共和国数据安全法》（以下简称《数据安全法》）正式生效并逐步深入落实，网络安全执法活动日趋活跃，科技企业的网络安全及数据保护合规状态亦成为监管机关的重点关注内容。本文将结合近期武汉市政府出台的《武汉市支持数字经济加快发展若干政策》、《网络安全法》、《数据安全法》以及相关国标的要求，对研发企业搭建自己的数据合规体系提出建议和指引，供科技研发类企业参考。

一、数据合规工作的重要性

为什么对于企业来说，数据合规工作如此重要？

武汉市整体上对研发企业持鼓励、引导的态度，通过奖励来支持企业参与科技创新。《政策》中对研发的规定散见于各条之中，比如第二条“推动数字产业化升级”的第（六）项，“支持软件企业发展。对我市年营业收入500万元及以上且年研发投入占年营业收入比例达到15%及以上的软件企业，按照不超过企业年研发投入的10%给予最高100万元补助；对我市年营业收入500万元及以上且年营业收入增速30%及以上的软件企业，按照不超过企业年新增营业收入的1%给予最高100万元奖励；对获得数据管理能力成熟度评估模型国家标准认证（DCMM）三、四、五级的软件企业，分别给予20万元、30万元、50万元一次性奖励。”企业参与科技研发的实质好处不言而喻。

然而企业在积极参与科技研发工作的同时务必要有风险意识，要做好数据合规的相关工作。通过《数据安全法》第六章第45条至48条对法律责任的规定可以看出，违规企业将面临的行政处罚力度之大，除了企业可能面临的最高一千万罚款，直接责任人员也难辞其咎，也将会受到最高一百万元的罚款。还值得强调的是，主管部门可责令企业暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，这事关企业生死存亡。如果违反国家核心数据管理制度，危害国家主权、安全和发展利益，构成犯罪的，还将被依法追究刑事责任。企业需要合规处理数据的范围很广，企业不履行相关义务承担违法责任的风险也会很大。除了上述直接的法律代价之外，企业商誉、企业间合作、对外竞争、内部工作氛围等也将受到严重的打击。

二、研发企业如何应对数据合规

那么如何从《数据安全法》的角度出发，做好数据合规的应对工作呢？ 在此，笔者提出了“三步走”的战略。

第一步：搭框架、定规矩、用工具

政策的上行下达和全面落实离不开完善的制度框架。搭建企业组织架构、完善制度体系、更新技术工具便是企业合规应对工作的第一步。企业做数据合规这个工作，至少要从三个部门展开工作：首先，确保数据处于有效保护的状态，意味着企业面临着在数据处理、数据保护的技术手段方面的挑战，其需要专业的技术部门来从容应对。其次，确保数据处于合法利用的状态。到哪种保护程度才属于“合法利用”？如何去判断数据利用是否已踩在“非法”的红线上？这需要深耕于数据合规领域具备相关法律知识的人员帮助，即应当交于法务部门或者外聘律师来负责。最后，确保具备保障持续安全状态的能力，需要实时检测和审计，即合规部门来负责。由上述部门负责明确企业数据安全制度流程和战略规划的建设，并可由这些部门开展基本的数据保护、个人信息保护意识培训，推广企业数据安全规划，使企业全体员工都能参与到保障数据安全的工作当中。

有了负责数据安全的岗位设置后，下一步则是明确相关负责人，落实数据安全保护责任，从而有效开展工作。研发企业应挑选能够将企业数据合规工作与业务发展工作进行有机结合的人才作为部门负责人，负责人能基本了解核心数据保护、重要数据保护、个人信息保护、跨境数据传输等方面的合规要求，并能持续跟踪科技行业最新的数据安全政策、标准、产业发展趋势、新型科学技术，并根据这些内容，对本企业的数据合规体系实现持续优化。

同时，研发企业可充分利用现有可信办公协同软件，进行日常工作流程审批、员工权限管理、数据备份、日志管理工作，并将数据合规结果通过图文化方式上报给战略层，以保证战略层对企业整体的合规情况得到有效了解。

第二步：动态监管

完成“第一步”后，企业已经能基本保障数据的安全，为进一步实时保护数据安全，还需要对数据处理活动进行检测和审计，以实现对数据生存周期各阶段可能存在的风险进行防控。企业可建立企业内部数据安全合规资料库，企业的所有工作人员都可以通过该资料库查询合规要求。针对个人信息，应采取必要的技术手段和控制措施实现个人信息安全保护，对个人信息进行匿名化、去标识化，并定期审核相关操作记录，并及时更新个人信息保护的解决方案。针对敏感数据，需要进行脱敏处理，保证数据可用性和安全性的平衡。

在对数据进行分类分级保护后，为更好地实现风险控制，企业还可以通过更新技术工具与手段，使各类数据的处理行为都能被有效记录，并且可以量化背后的数据安全风险，以最直观的方式呈现企业当前所有数据处理行为面临的风险。这对合规部门的工作人员在专业能力上也提出了更高的挑战。但若企业的数据风险如果能得到更快速更精准地预判，搭建起企业自有、可行、可发展的模型，甚至可以参与相关的标准制定，成为未来的行业标杆。

第三步：构建事故应急机制

由于数据的完整生命周期都受到《数据安全法》的保护，数据安全问题若没有持续有效的事故应急机制去及时应对，很有可能发生来势汹汹的安全性事故，因此在前两步之后，企业接下来要做的就是设计出反应及时、行而有效的事故应急机制。企业应当建立针对数据的安全事件应急响应机制，对各类安全事件进行及时响应和处置，保障企业数据安全，并能使相关业务快速恢复运营。

结语

在未来，数据合规必会是企业合规管理的一大重要板块，企业数据合规的工作需要根据相关行业定义的数据等级指南和保护指南补强企业现有的制度管控，建立数据保护制度、定期审查制度和事故应急机制；数据合规也不仅仅靠一个部门就能完成，需要多个部门通力合作，同心协力，搭建一个与自身业务性质和经营管理相适应的合规体系，为企业的发展保驾护航。