原創作者：彭俊武

我是北京市京師（武漢）律師事務所知識産權與投資中心合夥人、商标申請與訴訟部主任律師。同時具有機電工科、及法學教育背景，曾在國企做過技術服務、也自己嘗試做過新媒體、也有法律複合工作經曆。從事法律服務期間負責過大型國企、馳名商标企業的商标訴訟；負責過知名連鎖品牌企業知識産權顧問，包括連鎖經營涉及的法律問題；負責過北京知名新媒體企業知識産權顧問多年，期間成功應對多起起惡意搶注商标事件，維護客戶的品牌和無形資産價值，避免客戶高價回購被搶注的商标。

數據是現代企業的血液，以大數據或互聯網為工具開發新型服務或産品的傳統行業企業也依賴數據帶來新的業務增長點。随着《中華人民共和國數據安全法》（以下簡稱《數據安全法》）正式生效并逐步深入落實，網絡安全執法活動日趨活躍，科技企業的網絡安全及數據保護合規狀态亦成為監管機關的重點關注内容。本文将結合近期武漢市政府出台的《武漢市支持數字經濟加快發展若幹政策》、《網絡安全法》、《數據安全法》以及相關國标的要求，對研發企業搭建自己的數據合規體系提出建議和指引，供科技研發類企業參考。

一、數據合規工作的重要性

為什麼對于企業來說，數據合規工作如此重要？

武漢市整體上對研發企業持鼓勵、引導的态度，通過獎勵來支持企業參與科技創新。《政策》中對研發的規定散見于各條之中，比如第二條“推動數字産業化升級”的第（六）項，“支持軟件企業發展。對我市年營業收入500萬元及以上且年研發投入占年營業收入比例達到15%及以上的軟件企業，按照不超過企業年研發投入的10%給予最高100萬元補助；對我市年營業收入500萬元及以上且年營業收入增速30%及以上的軟件企業，按照不超過企業年新增營業收入的1%給予最高100萬元獎勵；對獲得數據管理能力成熟度評估模型國家标準認證（DCMM）三、四、五級的軟件企業，分别給予20萬元、30萬元、50萬元一次性獎勵。”企業參與科技研發的實質好處不言而喻。

然而企業在積極參與科技研發工作的同時務必要有風險意識，要做好數據合規的相關工作。通過《數據安全法》第六章第45條至48條對法律責任的規定可以看出，違規企業将面臨的行政處罰力度之大，除了企業可能面臨的最高一千萬罰款，直接責任人員也難辭其咎，也将會受到最高一百萬元的罰款。還值得強調的是，主管部門可責令企業暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，這事關企業生死存亡。如果違反國家核心數據管理制度，危害國家主權、安全和發展利益，構成犯罪的，還将被依法追究刑事責任。企業需要合規處理數據的範圍很廣，企業不履行相關義務承擔違法責任的風險也會很大。除了上述直接的法律代價之外，企業商譽、企業間合作、對外競争、内部工作氛圍等也将受到嚴重的打擊。

二、研發企業如何應對數據合規

那麼如何從《數據安全法》的角度出發，做好數據合規的應對工作呢？ 在此，筆者提出了“三步走”的戰略。

第一步：搭框架、定規矩、用工具

政策的上行下達和全面落實離不開完善的制度框架。搭建企業組織架構、完善制度體系、更新技術工具便是企業合規應對工作的第一步。企業做數據合規這個工作，至少要從三個部門展開工作：首先，确保數據處于有效保護的狀态，意味着企業面臨着在數據處理、數據保護的技術手段方面的挑戰，其需要專業的技術部門來從容應對。其次，确保數據處于合法利用的狀态。到哪種保護程度才屬于“合法利用”？如何去判斷數據利用是否已踩在“非法”的紅線上？這需要深耕于數據合規領域具備相關法律知識的人員幫助，即應當交于法務部門或者外聘律師來負責。最後，确保具備保障持續安全狀态的能力，需要實時檢測和審計，即合規部門來負責。由上述部門負責明确企業數據安全制度流程和戰略規劃的建設，并可由這些部門開展基本的數據保護、個人信息保護意識培訓，推廣企業數據安全規劃，使企業全體員工都能參與到保障數據安全的工作當中。

有了負責數據安全的崗位設置後，下一步則是明确相關負責人，落實數據安全保護責任，從而有效開展工作。研發企業應挑選能夠将企業數據合規工作與業務發展工作進行有機結合的人才作為部門負責人，負責人能基本了解核心數據保護、重要數據保護、個人信息保護、跨境數據傳輸等方面的合規要求，并能持續跟蹤科技行業最新的數據安全政策、标準、産業發展趨勢、新型科學技術，并根據這些内容，對本企業的數據合規體系實現持續優化。

同時，研發企業可充分利用現有可信辦公協同軟件，進行日常工作流程審批、員工權限管理、數據備份、日志管理工作，并将數據合規結果通過圖文化方式上報給戰略層，以保證戰略層對企業整體的合規情況得到有效了解。

第二步：動态監管

完成“第一步”後，企業已經能基本保障數據的安全，為進一步實時保護數據安全，還需要對數據處理活動進行檢測和審計，以實現對數據生存周期各階段可能存在的風險進行防控。企業可建立企業内部數據安全合規資料庫，企業的所有工作人員都可以通過該資料庫查詢合規要求。針對個人信息，應采取必要的技術手段和控制措施實現個人信息安全保護，對個人信息進行匿名化、去标識化，并定期審核相關操作記錄，并及時更新個人信息保護的解決方案。針對敏感數據，需要進行脫敏處理，保證數據可用性和安全性的平衡。

在對數據進行分類分級保護後，為更好地實現風險控制，企業還可以通過更新技術工具與手段，使各類數據的處理行為都能被有效記錄，并且可以量化背後的數據安全風險，以最直觀的方式呈現企業當前所有數據處理行為面臨的風險。這對合規部門的工作人員在專業能力上也提出了更高的挑戰。但若企業的數據風險如果能得到更快速更精準地預判，搭建起企業自有、可行、可發展的模型，甚至可以參與相關的标準制定，成為未來的行業标杆。

第三步：構建事故應急機制

由于數據的完整生命周期都受到《數據安全法》的保護，數據安全問題若沒有持續有效的事故應急機制去及時應對，很有可能發生來勢洶洶的安全性事故，因此在前兩步之後，企業接下來要做的就是設計出反應及時、行而有效的事故應急機制。企業應當建立針對數據的安全事件應急響應機制，對各類安全事件進行及時響應和處置，保障企業數據安全，并能使相關業務快速恢複運營。

結語

在未來，數據合規必會是企業合規管理的一大重要闆塊，企業數據合規的工作需要根據相關行業定義的數據等級指南和保護指南補強企業現有的制度管控，建立數據保護制度、定期審查制度和事故應急機制；數據合規也不僅僅靠一個部門就能完成，需要多個部門通力合作，同心協力，搭建一個與自身業務性質和經營管理相适應的合規體系，為企業的發展保駕護航。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!