国有企业数据合规体系建设的3个要点.docx

国有企业数据合规体系建设的3个要点

国有企业数据合规，是指企业为了防控合规风险所建立的一项专项治理机制，主要由数据合规政策和数据合规管理流程两大要素构成[1]。本文以国有企业为什么需要重视数据合规体系建设为引导，梳理国有企业数据合规体系构建的重难点，进而提出国有企业数据合规体系建设路径的设计方案，为国企数据合规体系建设提供思路参考。

01

为什么国有企业要重视数据合规体系构建

在我国，国有企业体量大，国有经济在国民经济中发挥着主导作用，并在市场主体中占据重要地位。由国有企业带头构建数字经济、数字产业、数字企业等数字资产评估标准，并将标准推广应用到民营企业、社会领域，不仅有利于国有企业数字资产保值增值，也有利于引领全社会数字经济高质量发展，使国有企业成为数字经济高质量发展的领头羊[2]。

当下正处于深化国有企业改革的时代浪潮中，二十大以来国家愈发重视建设数字中国、大力发展数字经济、提升数字化公共服务水平的战略部署，国有企业作为国民经济的命脉，更加应当肩负强化企业数据合规管理方面发挥引领示范作用。

（一）从合规政策上看

早在2018年国务院就印发了《中央企业合规管理指引（试行）》（下称“指引”）的通知，2022年在《指引》基础上，国务院正式发布《中央企业合规管理办法》（下称“办法”），相较于《指引》，新发的《办法》内容更全面，对国央企合规管理的要求更为突出，具有了一定的强监管意义。从国企数据治理角度来看，《办法》第六章信息化建设，设置专门章节明确“中央企业应当加强合规管理信息化建设”，表明数据保护应作为国企合规体系建设当中的重要一章。

（二）从外部监管来讲

近年来，诸如滴滴公司发生严重影响国家数据安全事件、厦门银行违反个人金融信息保护以及披露管理披露管理规定违法收集个人信息、以及跨境电信网络诈骗违法犯罪事件频发，相关部门对企业的网络安全与数据合规的监管要求愈发严格。

（三）从企业规范管理的现实角度出发

区别于一般企业，绝大多数国有企业由母公司、子公司、分公司、控股企业、平行代管公司、参股公司组成大体量的集团公司，围绕集团公司还存在着众多的关联企业，因此，国有企业普遍存在集众多生产、经营机构为一体的复杂特点，这也使得国有企业的合规建设往往侧重于综合性的“大合规”体系建设。

回到国企的数据合规管理上，正是因为多数国有一体化的特点，从而在数据产生、利用上容易发生共享、交互、融合，但实际上集团公司的各个关联公司之间对外而言属于彼此独立的法人主体，无论是应付外部监管部门的监管、应对服务群体的个人信息保护问题，或出于企业内部协同高效、责任区分的需求，该类企业都应当关注数据安全应用的问题，尤其在数据传输共享过程中如何厘清各自的使用范围（注：移动互联网应用程序运营者除外，该类主体依据GB/T41391—2022《信息安全技术移动互联网应用程序（App）收集个人信息基本要求》当中，如与App运营者属于不同的法人主体，但属于同一集团，之间发生的数据融合共享，不属于于第三方交互[3]）、进行责任分配方面，否则极其容易引发数据合规风险，在出现侵权问题或面临行政处罚乃至刑事违法责任时，可能牵扯各公司承担连带责任。典型案例比如阿里巴巴集团与蚂蚁集团组作为关联企业，在蚂蚁集团准备上市过程中，就为了满足企业数据合规监管要求，阿里巴巴发布与蚂蚁集团终止《数据共享协议》，并在企业年报中表示“阿里巴巴与蚂蚁集团将按双方向各自客户提供服务的必要限度，根据个案并依照适用法律及法规协商数据共享安排的条款”。

（四）从资源利用与资产管理的角度来看

《企业国有资产法》第二条指出，“本法所称企业国有资产（以下称国有资产），是指国家对企业各种形式的出资所形成的权益”[4]，因此国有企业经营管理过程中形成的数据资产，实际上也属于国有资产的一种。伴随地方性债务的持续扩大，中央及地方均意识到债务风险与化解责任的重要紧迫，《国务院办公厅关于进一步盘活存量资产扩大有效投资的意见》（国办发〔2022〕19号）[5]就我国在基础设施等领域形成了一大批存量资产未能有效应用的现实情况，提出盘活存量资产的重点领域及方法意见，虽然《意见》提出的三大重点领域不包括数据资产，但以通讯、金融、公共服务行业为例的国有企业，极其容易揽收大量的个人信息乃至国家秘密信息，除了保密义务外，面对这些数据，其中的有效内容是可以妥善运用的，避免该笔数据资产在收集后以数据孤岛形式闲置存在，如能有效利用该笔数据资产使其发挥新的价值，企业则能以合法合规方式对这些资源进行再利用，形成合法营收，提高企业整体收入。这种资源利用行为实际上也属于盘活存量国有资产之列。

02

国有企业数据合规体系构建的重难点

（一）主体身份的特殊性，多数企业具有关键信息基础设施运营者身份（涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、