企业数据合规白皮书（2021年）

　　数据安全事件屡见不鲜，

　　小至密码被盗、隐私泄露、钱财损失，

　　大至“勒索病毒”严重威胁企业，乃至国家机关单位安全。

　　那么，企业数据合规从哪里入手？

　　企业数据合规如何建设？

　　行业数据合规工作要点在哪？

　　数据合规工作如何规避数据安全风险？

　　在全球数字经济发展的大背景下，数据已成为企业的重要资产。2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议审议通过了《中华人民共和国数据安全法》（以下简称《数据安全法》）。该法已于2021年9月1日起施行。

　　《数据安全法》作为我国数据安全领域的基础性法律，明确了数据安全领域内治理体系的顶层设计，通过规制数据处理活动、保障数据安全、保护个人和组织合法权益、维护国家主权和安全，引领和促进数据的开发利用，要求企业依法强化合规建设，对企业与机构的责任、义务提出了更加细致的规范和要求。其中第一章明确要求“应建立健全数据安全治理体系，提高数据安全保障能力”。

　　近日，中国软件评测中心发布了《企业数据合规白皮书（2021年）》。为推进数据合规工作，排除企业数据合规风险，该白皮书基于企业数据合规工作的必要性，首先对国内外数据合规价值观和法律法规环境进行了概述；然后对金融科技、智能汽车、在线教育、电信及互联网四个重要领域的数据合规现状、要点、治理方案、法律法规焦点问题进行了详细介绍。

　　具体内容如下

        我国将数据定位为新型生产要素，数据作为新型生产要素，已正式与土地、劳动力、资本、技术等传统生产要素并列为国家基础战略性资源和社会生产创新要素之一。首部数据安全基础法《中华人民共和国数据安全法》已颁布，个人信息保护相关法律已经出台，围绕数据合规、数据治理的政策标准及体制体系研究正加紧开展，国内数据合规政策环境趋于明朗。我国各行业数据资源丰富，价值优势突出，利益相关方蜂拥而至，且随着各行各业数据内外部应用的同步拓展和推进，数据合规问题日益凸显，严重阻碍数据资源价值释放，数据合规需求更加迫切，数据合规研究及指导落地刻不容缓。

        国际上对数据资源高度重视，各国纷纷采取数据本地化等强制性措施，维护数据主权并争夺数据资源。国家间、企业间数据资源的争夺日益激烈，“数据主权”面临严重挑战。一方面，很多国家或组织通过强制数据本地化存储、强制性反加密制度（如强制性后门）等加强对数据获取、数据跨境流动及合作等方面的控制权。欧盟数据相关立法密集，深刻影响国际安全治理格局，包括美国、日本、韩国、印度等在内的十几个国家为打通欧盟立法产生的数据壁垒，与其已经达成或正在谈判以达成数据传输保护协议。另一方面，以美国为首的多个国家通过单方面主张域外管辖权获取境外数据，意图创建打破数据本地化政策的全新规则框架，但又以网络自由原则和人权保护为理由，对外国政府调取数据均以自身利益为先加以制衡。

        在数字经济全球化的当下，迫使包括中国在内的数据治理主体在数据相关战略部署，及中国企业在内的跨境数据运营主体在业务合规过程中，必须考虑、评估国际政策法律环境的约束和实际影响力。