广东广悦律师事务所

12月20日，广州市人民政府国有资产监督管理委员会发布《广州市国资委监管企业数据安全合规管理指南（试行2021年版）》（以下简称“《指南》”），是首部地方国资监管机构的数据合规操作指导性文件。

“监管企业应根据本指南，结合实际制定数据安全合规管理制度或在现有数据管理制度中增加数据安全合规的相关内容。”
——《指南》第五十六条

《指南》作为指导性文件，为广州国资委监管企业提供了制度制定的指引。不仅如此，对于希望完善数据合规管理的各类企业而言，《指南》的制度设置和落地规则也极具借鉴价值。

一、合规欲启，制度先行：以制度建设促进数据合规体系搭建

现如今，数据合规已经是企业经营管理的必选课题，但多数企业还不知道如何开题。合规欲启，制度先行。如何将数据安全合规管理的要求，纳入企业“大合规”的管理组织体系，是数据安全合规工作的着手点。

根据《广东省省属企业合规管理指引（试行）》规定，省属企业的合规管理重点包括市场交易、投资管理、合同管理、债务管理、资本运作、安全环保、产品质量、工程建设、劳动用工、财务税收、租赁性资产、知识产权、出口管制及商业伙伴。为了避免重复建设，《指南》将数据安全合规管理作为专项重点领域，纳入监管企业的合规管理体系。

有了合规体系，如何搭建具体制度？《指南》就设立多重机制给出了参考。数据合规涉及的流程复杂、场景多元，企业需要多项具体制度的建设，以实现数据全生命周期的管理。

（《指南》规定的多重机制）

以“数据安全风险评估机制”为例，《指南》规定了三个层面的要求：一是数据安全风险较高的企业需至少每年进行一次数据合规“体检”；二是定期对下属各级子企业进行风险评估，并采取差异化管控措施；三是对数据出境、第三方云平台存储、外部数据共享等场景进行充分评估。据此，《指南》明确了数据安全风险评估的管控标准和管理要求。

二、三道防线，职责明晰：联动合规管理的技术、法律和监管部门

《指南》将数据安全合规管理设置为“三道防线”，从一线数据管理职能部门到合规牵头部门、审计纪检部门，联动保障企业数据安全。

（《指南》规定的多重机制）

三、合规要求，嵌入业务：在关键场景中落地数据合规指引

对于合规工作的开展，“可落地”是一个重要评价指标。谈到数据合规，我们都知道“个人信息告知同意” “数据安全全流程管理”，但实务中遇到落地操作，很多企业往往“一脸茫然”。在业务场景强关联的数据合规领域，如何提示法务部门设置合同条款、如何指引技术部门实施技术规范、如何指导业务部门落实操作流程，决定了制度文件的实务性。

（一）如何约定合同条款

在数据对外共享的场景下，企业通常需要与第三方签订数据合作协议或在相关合同中明确数据安全合规条款。《指南》提出了两种情形：

1.第三方为企业提供数据服务

第三方为企业提供数据服务时，企业应在合同中约定以下内容：

（《指南》建议的数据服务合同条款）

对企业而言，“业务连续性计划”可能稍显陌生，事实上在商务运营越来越依赖于数据流转的情况下，数据业务的连续性与企业生命力挂钩。合同中约定“业务连续性计划”促使双方提前梳理数据、数据库及信息网络的连续性，避免突发事件导致企业运营严重受灾。

2.第三方受托处理个人信息

第三方受委托处理个人信息时，除双方权利义务外，企业还需在合同中约定以下内容：

（《指南》建议的委托处理个人信息合同条款）

对于数据合作以外的日常业务合同，《指南》也提示企业关注其中的数据合规问题。当合作方能够接触到企业非公开数据时，就有必要在合同文本中设置数据安全条款。

（二）如何管理境外服务器和存储介质

另一个实操维度与技术场景相关。

例如数据出境，企业往往深知境外并购、海外上市的数据合规风险，却对境外服务器的合规问题知之甚少。《指南》第二十八条明确表示，企业境外分支机构在当地设立服务器，并通过该服务器储存及使用监管企业数据的，应按数据出境的管理要求实施数据安全管理。

常见案例是跨境企业在境外服务器部署管理系统，例如将员工信息录入境外服务器的人力资源管理系统中，或在境外服务器的存储管理系统直接处理订单数据。

再如数据储存介质管理，如下图所示，《指南》梳理了五类存储场景及合规要求：离线储存、带储存功能的可移动设备、本地数据存储系统、第三方云平台、数据下载本地终端。

（《指南》梳理的存储介质管理要求）

（三）如何开展数据合规与共享

除了合同条款和技术规范，《指南》里也不乏数据合规的落地措施。

如下图所示，《指南》第三十二条从共享前风险评估、共享时合同约束、共享后内部汇报三阶段，梳理了企业对外共享数据的合规操作。【1】

（《指南》规定的多重机制）

针对与商业伙伴的数据合作，《指南》第五章则从合作方准入、日常合作管理及数据安全评估三个角度提出合规管理要求。【2】

（企业与商业伙伴合作的合规要求）

《指南》的出台，是推动地方国资委监管企业加强数据安全合规管理的有益探索，更是指引企业尤其国有企业规范数据处理活动的积极实践。在数据安全已提升到事关国家安全和网络安全的今天，保障数据安全，保护个人信息合法权益，企业才能取得更高质量，更可持续的发展。

注释[1]：

第三十二条 针对企业向外部单位共享数据的情况，监管企业应充分评估相关数据安全风险，涉及重大敏感的数据提供要按审批权限逐级审批。并在相关合同中明确数据安全及保密义务，明确相关违约责任，必要时可单独签订保密协议。相关事项结束后，应进行内部总结汇报，对数据共享情况进行说明，加强数据共享的管理。监管企业应尽量依托国资国企信息安全“云”监管平台，积极支持配合国资国企一体化网络安全信息大数据平台的建立，促进数据安全信息联动和能力共享。

注释[2]：

第三十六条 监管企业应明确信息系统开发及运维、数据储存、数据处理等数据服务相关合作方的准入标准，并在合作方选择时进行资格审查。同等条件下应优先采购境内安全可信的网络产品和数据服务。必要时，应对数据服务的合作方进行数据安全合规方面的尽职调查。

第三十七条 对于合作方能接触到企业非公开数据的合作项目，监管企业应加强合同管理，通过制定相应的示范文本在相关合同中明确数据安全合规相关条款。对于为企业提供数据服务的合作方，企业应结合实际情况将服务标准、数据备份和恢复、数据泄露预防、业务连续性计划等内容在合同中进行明确。涉及委托处理个人信息的合作方，企业应结合实际情况将委托处理的目的、期限、处理方式、个人信息种类、保护措施以及双方的权利和义务等内容在合同中进行明确，并对合作方的个人信息处理活动进行监督。

第三十八条 监管企业应明确与合作方对接部门的数据安全管理责任。涉及公司资料及数据分享的，应按实现合作目的最小数据获取原则，对部分非必要数据进行脱敏，并对数据分享过程进行记录。涉及合作方提供驻场服务，链接企业信息系统，或直接接触重要数据的，相关项目负责人应采取适当措施对其合作方的工作进行管控，确保数据安全。

第三十九条 监管企业应建立数据服务合作方定期的数据安全监测、检测和评估机制，明确数据安全监测、检测和评估的范围及具体内容，并将相关评估结果与合作方的变更及退出进行挂钩，发现合作方存在数据滥用、盗卖数据、预留“后门”等违法违规行为的，应及时终止合作并永久禁止合作，并按合同约定进行索赔。确保合作方数据安全合规。

END

声明：本微信文章仅为交流探讨之目的，不得视为广悦数据合规研究院或其律师出具的正式法律意见，任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。如果您需要法律意见或有意就相关议题进一步交流，可以通过电子邮件与我们联系，E-mail：hlw@wjngh.cn 。