国枫观察 | 企业数据合规管理制度建设刍议

在当今数字化时代，建立管理制度体系已成为数据合规体系建设的核心要求。合理、完善的数据合规管理制度，不仅能满足合规的刚性需求，还能有效降低法律风险，提高市场竞争力。本文旨在探讨数据合规管理制度的构建框架与实践要点，以期为企业提供有益的参考。

随着个人信息保护的常态化，数据安全的标准化，以及数据价值的不断挖掘，“数据合规”在企业合规领域中的地位日益攀升，无论是“迫”于潜在的处罚风险，还是面临现实的监管要求，亦或是企业负责人的“严于律己”，最终产生的客观结果，就是企业管理者在数据合规方面的意识不断强化和深入，对匹配数据合规要求、乃至建立数据合规管理体系的紧迫感和现实需求也在逐步增强。

但企业管理者对于数据合规的理解和管理建设并不都是体系化和一气呵成的。数据合规的具体要求往往星罗棋布地散见于不同法律、法规、乃至合规标准中，这种零散却又瓜葛相连的状态，可能让决心在数据合规领域初试牛刀的企业顿感无所适从，无从下手。但随着法律体系的逐步完善，行业良好实践的不断涌现，以及专业人士和机构的归纳总结，数据合规体系也在逐渐趋于归零为整，甚至某些被“重点照看”的行业领域已初步形成了一种“继往开来”的专属管理体系。

数据合规管理体系的建设，涵盖了从组织架构建设一直到贯穿企业数据整个生命周期内的合规管理方案，从纲领性的策略直至实践落地的操作指引，以及由法律层面结合技术层面共同作用建立的全维度合规标准。其中，数据合规管理制度层面的体系构建是其核心环节之一，甚至可说是数据合规管理体系的地基。我们常说的“三驾马车”，也就是《网络安全法》《数据安全法》以及《个人信息保护法》，均明确将建立“合规管理制度”作为企业的法定义务，因此，就数据合规领域“建章立制”是每个企业必须要实施落地的合规要求。

但问题来了：虽然法律为制度建设起了个好头，但纵观后续条款，似乎并没有特别明确地告诉企业具体需要建立哪些方面的制度，当然这可能也并不是法律层面应当细化的内容。正是由于制度建设的“敞口”宽广且原则，加上配套法规、部门规章、规范文件及国家（推荐）标准的“纷繁复杂”，导致企业在面对数据合规这个话题时，即便有强大的合规、法务等部门，也往往会一头雾水，难以摸索出一套既符合自身业务需求又满足法律要求的数据安全管理制度，也正是因此而造就了数据合规管理制度上的“千企千面”。本文冀籍对合规文件的梳理分析，并结合法律服务中的一些实践经验，提出一些思考、探讨和建议，以期能够为企业提供一些有益的参考或启发。

一、数据合规管理制度建设的层级框架

无论是哪一类的企业合规管理制度，仍然需要以书面文件（包括电子形式）为载体。而由于数据合规管理制度的多样性和复杂性，如仅通过单个或并列层级的文件来囊括所有的合规内容，可能会让制度文件的内容十分冗长且杂乱无章，从而导致制度执行者难以准确理解并参照执行。因此，为便于清晰地区分管理制度的归类、规范范围、执行层级以及执行部门/人员等等，企业通常会将合规管理制度进行多层级设置，确保制度文件次第分明，循序渐进。而常见的制度分层/分级方法，一般多参照ISO质量管理等体系，将制度文件分为四个层级，包括了：

一级，为政策、纲领性文件；

二级，则包括针对重要合规事项且具有具体明确指导性的制度文件；

三级，为建立在二级制度基础上，提供更为细化的操作指南和标准化规程的支持性制度和文件；

四级，则通常为日志、清单以及记录性的文件。

具体设定示意图可参考如下：

限于篇幅，本文我们重点探讨的部分主要是针对一、二级制度的制定，这部分笔者认为也是整个制度建设最具核心价值的内容。至于三、四级层面的规程、清单等文件的制定，企业可根据自身情况，基于一、二级管理制度进行进一步深化展开。

二、可参考的制度框架梳理

（一）法律层面的核心制度

1. 《网络安全法》

2016年制定的《网络安全法》，主要以“网络安全等级保护制度”为核心，要求企业制定内部安全管理制度和操作规程。虽然《网络安全法》并未直接进一步明确“内部安全管理制度”的具体分项要求，但法律条文逐项提出的具体合规要求，仍然是企业制定数据合规管理制度的重要依据。

2. 《数据安全法》

相较《网络安全法》，2021年出台的《数据安全法》单列了“数据安全制度”章节，明显将“数据安全制度”置于合规体系中更为重要的位置。但深究其内容，这里的制度规定，其主要方向是针对国家对数据安全的统筹管理，似乎不直接触及企业自身的“制度建设”。但事实上，这些监管领域的“数据安全制度”，必然会由监管部门同步落实到作为参与方、甚至是共同体的企业自身合规建设中，因此这些看似“间接”的统筹制度，同样也是企业建立“内部安全管理制度”的重要抓手。结合《数据安全法》后续的“数据安全保护义务”相关规定，也可总结出企业合规制度体系建立的重要参考内容。

3. 《个人信息保护法》

与《数据安全法》接踵出台的《个人信息保护法》，将客体限缩至“个人信息”范畴，但其在安全范畴内的管理框架与数据安全同根同源，在此基础上，针对“个人信息”还增加了对“个人信息主体”权益的保护要求，因此，企业还需扩大管理制度的建设维度，在数据处理的全流程管理中增加与个人信息保护相关的具化制度要求，甚至可以建立专门针对个人信息保护的专项管理制度，以充分匹配企业合规所需。

“三驾马车”合规要求梳理表参考如下：

（二）合规文件中的制度要求梳理和对比

以上法律规定中所梳理的合规要求，是企业数据合规管理制度建立的必要内容，企业可以结合自身情况，将规范要求制定成为独立的制度，也取其实质规范要点后，将之作为具体制度内容融入到上层管理制度的大框架中。

但仅依据这些分散且相对抽象的合规要求，对不具备长期专业化研究条件的企业而言，可能仍然无法有效地形成体系化且具备执行力的合规管理制度。

为此，国家相关部门和企业也在不断学习国外法律体系及实践经验，并结合中国法律的共性或特有的合规要求，在头部企业、专业机构及专家学者们的不断研究和实践中，逐步形成了一些针对性的合规建设和评估规范标准，对企业在通用和专门行业体系下如何建立完善有效的数据合规管理制度，提供了极具参考价值的框架和模板。

为便于读者们做直观参考，本文对部分标准中所明确给出的数据合规管理制度框架进行了梳理如下：

三、重要制度内容要点提示

在企业初步确定了数据合规管理制度二级框架后，则需要着手完善制度的内容，并进一步制定三级操作性指引文件四级的配套清单、记录文件。此时，企业就需要调动各部门的主要负责人员，结合基础的合规要求以及具体业务场景中的数据流动图谱，来商讨制定形成完整的制度文件。由于企业业务场景和组织架构设置及运转的多样性和复杂性，对于细节的雕琢需因地制宜、因人而异，笔者仅就自己在业务过程中客户方企业相对较为关注的部分制度制定要点，提出一些粗浅的方法论和建议，以期为读者企业提供或为有益的借鉴。

（一）分类分级制度的制定

从前述数据合规管理制度框架的梳理就可以显见，无论是法律还是其他合规标准，数据的分类分级是最为核心的合规要求之一，对于数据分类分级制度的制定和实施亦是数据合规体系的核心一环。

有关数据分类分级制度建立的参考规范，笔者在此前粗撰的《数据分类分级基本规则探究》以及《汽车数据的分类分级规则》等文中有过较为系统的梳理。有兴趣的读者可略参一二。

在2024年3月15日，全国网络安全标准化技术委员会发布了GB/T 43697-2024《数据安全技术 数据分类分级规则》推荐性国家标准（以下简称“《分级分类规则》”）。在分类管理方面，《分级分类规则》提出了“先行业领域分类、再业务属性分类”的分类思路和参考框架，并在分类方法上给出了“明确数据范围”、“细化业务分类”、“业务属性分类”及“确定分类规则”四个具体步骤；在数据分级维度，《分级分类规则》则在设定核心数据、重要数据、一般数据三个级别框架的基础上，进一步确立了“确定分级对象”、“分级要素识别”、“数据影响分析”及“综合确定级别”四个分级步骤，并按章节分别具体阐述了分步实现分级的参考方法。而对于“数据分类分级流程”的标准上，《分级分类规则》更为直接地要求数据处理者参考本文件及行业标准规范要求，并结合自身数据特点制定数据分类分级制度规则。这一表述，无疑是为企业在其行业尚无领域内标准规范的情况下，如何度身定制数据分类分级管理制度，提供了短期内完整可依的“通用标准答案”。

（二）全生命周期管理制度

数据要素在流动产生价值，因此对数据安全的管理，应需从始而终的嵌入于整个流动生命周期过程中。依照法律的定义，数据（包括个人信息）的整个生命周期，包含了从收集、存储、使用、加工、传输、提供、公开、直至删除的完整过程，而全生命周期管理制度，就需要在每一个处理环节均给出清晰的合规指引及操作依据。因此，在合规体系建立初期，全生命周期管理制度的建立确实是一项较为艰巨的任务，亦非组织内某一层级或部门可以单枪匹马搞定的工作，这需要企业在数据分类分级的基础上，调动其整个企业各个层级和部门的协调和配合，必要时还需要结合专业法律和技术人员和设备系统的支撑，方能将制度体系有效建成并落地，个中细节绝非一文可蔽。

虽然全生命周期管理制度有其复杂性和难点，但企业在制定相关制度的过程中也需要考虑不同合规环节的侧重点，以平衡和优化相关制度的编制和实施。比如在数据收集、使用和共享等环节，企业可以将制度重点侧重于法律规范层面的合规要求，特别注意立足于对个人用户、员工等个人信息主体权益上的重点保护和细节合规，如明确收集、使用和共享个人信息时的告知同意机制、数据处理协议订立、数据交互的管控机制，以及个人信息权利响应机制等等；而在存储、传输及销毁等环节，则可能需要更多地侧重于设备和技术应用的选择和配合实施，才能确保管理制度在这些环节上的可行性。

同时值得一提的是，在数据生命周期的流动场景中，关于与第三方（客户、供应商、合作方等）数据交互的合规管控，以及有关数据跨境流动方面的合规要求等方面，由于这些数据处理场景相对更为多样化，所需遵循的合规要求相较其他环节也会更多一些，一些企业也会结合自身需求考虑将这些部分单独制定管理制度，从而清晰地为执行部门提供合规指引。由于这两部分内容展开讨论后所占用的篇幅可能较大，笔者后续将单独成文与各位另作探讨。

（三）安全风险应急处置制度

作为后端风控的核心环节，安全风险应急处置制度的建立和有效实施，必然是合规体系的重中之重。但相较前两项制度的建立，这项制度在法律层面上还是具有较为明确的要求。

结合“三驾马车”的风险处置合规要求及规范标准文件中给出的实践参考，企业在研制该风险处置制度时，一般遵循“预案——演练——补救——通知（有关部门及受影响主体）”的框架进行设定，基本可以完整覆盖这部分的合规要求。

（四）合规风险评估审计制度

除重点行业（如汽车、电信、金融）以及特定场景（如数据出境）而言，数据合规中的风险/影响评估和合规审计的制度、意识和实践落地，往往容易被企业所忽略。事实上，评估和审计不单是企业自主完善合规风控体系的重要手段，其也一直是法律层面的硬性合规要求。

如《个人信息保护法》第55条即明确要求企业在处理敏感个人信息，利用个人信息进行自动化决策，委托处理、对外提供或公开个人信息，以及向境外提供个

人信息等个人信息处理场景中，必须事前进行个人信息保护影响评估（以下简称“PIA”），并对处理情况进行记录。而第54条则要求处理者必须定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

《数据安全法》第30条要求重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

另外，在地方和行业领域发布的规范、指引文件中（如前文提到的《电信及互联网安全评估规范》等），也均明确将风险评估、合规审计作为数据合规核心环节提出要求，并作为监管部门的监督检查必要事项之一。

由此可见，建立一套行之有效的“事前评估”和“事后审计”管理制度，是企业应当给予同等重视的合规制度建设事项。如能加以定点定期执行，则能够更有效将数据合规制度体系发挥出“风控”的实质作用。

（五）数据资产管理制度

随着数据要素化，数据成为资产确权入表的大时代帷幕逐渐拉开，数据的价值正在不断被发掘和提升，除了基于合规义务所需开展的管理制度建设外，企业将保障自身的财产权益为出发点，就应建立起数据资产管理制度，通过行之有效的管理模式，发掘和优化数据资产，并充分利用并不断提升数据价值。

我国陆续出台了《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“《数据二十条》”）、《关于加强数据资产管理的指导意见》、《企业数据资源相关会计处理暂行规定》（以下简称“《暂行规定》”）等具有政策和落地双层指导意义的系列文件。其中对于数据基础制度的建设，《数据二十条》提出了包括在数据产权界定、数据流通和交易、数据要素收益分配、公共数据授权使用、数据治理等主要领域关键环节建立政策和标准的指导要求，这也为企业如何构建和完善数据资产管理制度提供了可行的框架，具有重要的参考价值。

以上就是笔者对数据合规管理制度建设的一些粗浅笔墨。有关制度建设的话题极具弹性，亦于不同行业领域和实践场景中呈现千姿百态，虽对于初“入坑”的伙伴们确实任重道远，但幸仍有迹可循。笔者谨怀利益需者之诚而于本文略作归纳分享，限于学识和经验，或存在争议及亟待修正之处，恭请读者朋友闲暇间不吝指正，共同探讨，一齐完善！