近年，新技术、新应用、新模式层出不穷，革新业务场景的同时，国有企业面临的合规义务日益复杂，尤其是数据安全合规管理方面缺乏有效的监管标准。2021年12月20日，广州市国资委发布《广州市国资委监管企业数据安全合规管理指南》（简称“《指南》”），这是国内首部在数据安全合规专项领域对国有企业提出合规的操作指引。

关于贯穿企业数据合规体系的数据全生命周期管理制度，《指南》明确规定监管企业在数据安全合规管理过程中，针对数据采集、数据传输、数据储存、数据使用、数据开放共享、数据销毁等数据全生命周期管理的要素，要制定必要的管控措施及标准，防范数据处理的违规风险，确保数据安全合规。但是，数据安全合规管理对每一个环节的要求和标准不一致，且《指南》对数据采集到销毁整个流程仅制定了框架性的要求及标准，并分散在不同条文。为此，笔者根据《指南》，结合《中华人民共和国数据安全法》及实践经验等，整理如下：

一、数据全生命周期管理的基本要求

1.制度建设

建立健全数据安全合规管理的相关标准、制度和规范，建立重大数据安全合规审批清单、数据分类分级管理、权限管理、数据安全合规风险评估及审计、重大数据安全合规风险事件报告、应急处置机制、教育培训等管理事项，并根据法律法规变化和监管动态，及时将外部合规要求落实到内部规章制度。

2.风险监测

对数据处理活动进行动态检测，对于出现的缺陷、漏洞等情况，要釆取补救措施，制定各类数据安全事故的处置流程及应急预案；发现威胁数据安全时，应按规定向公安机关、国家安全机关报告，可能关系到重大经营风险的应同步及时向市国资委报告。

3.风险评估

每年至少进行一次全面的网络安全监测和风险评估，定期或不定期对企业整体数据使用情况、数据全生命周期安全及合规性、基础安全等情况进行评估及审计，并及时整改问题。

4.收集使用

需釆取合法、正当的方式，不得窃取或者以其他非法方式获取数据；定期开展数据采集合规性审查，确保数据采集合法合规；规范数据使用的管理，根据不同类别、级别的数据，明确不同场景的数据使用审批流程，制定数据脱敏处理规则，提升数据使用的安全性；建立数据开发利用的相关流程及规范，完善数据开发利用的风险评估机制。

5.数据交易

数据服务商或交易机构，要提供数据来源的信息，要审核相关人员身份并留存记录，按国家相关法律法规的相关要求进行交易，法律法规尚未规定的，应进行充分的风险评估，确保数据安全。

6.存储加工

规范并加强数据储存、数据储存介质的管理，包括加密管理服务器及离线储存介质，提升介质的物理安全，规范管控带数据储存功能的可移动设备，加强对本地数据储存系统平台接入移动储存介质的管控，对储存在第三方云平台数据进行风险评估，对数据下载到本地终端行为及日志记录等实施管控措施，提升数据储存的安全性。

7.配合调查

要求依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据，需经相关部门批准。

8.合作与监督

委托他人建设、维护系统，或涉及存储、加工数据，需对合作方进行资格审查，同等条件下应优先采购境内安全可信的网络产品和数据服务。必要时，应对数据服务的合作方进行数据安全合规方面的尽职调查。

同时，建立数据服务合作方定期的数据安全监测、检测和评估机制，明确数据安全监测、检测和评估的范围及具体内容，并将相关评估结果与合作方的变更及退出进行挂钩，发现合作方存在数据滥用、盗卖数据、预留“后门”等违法违规行为的，应及时终止合作，列入永久禁止合作名单，并按合同约定进行索赔。

二、数据全生命周期管理管控措施及标准

1.数据采集

数据采集要明确数据采集渠道、目的、用途、方式、范围、采集源等内容，确定数据格式标准，并对数据来源进行源鉴别和记录；制定明确的采集策略，只采集经过授权的数据并进行日志记录。规范数据采集的管理，对数据采集过程中的风险项进行定义，形成数据采集风险评估规范。数据采集全过程需要符合相关法律法规和监管要求，做到合规合法的采集。

由于数据采集场景不同，《指南》无法进行统一的规定。

笔者建议，在数据采集阶段，要关注数据质量，特别是与业务相关的数据，这不仅关系到对外提供服务质量，也关系到企业内部业务的运作效率和成本。如后续需要对数据进行挖掘，笔者建议企业配置多重精确规则，基于客观事实多重效验，确保数据可信、一致。

为了提高后续数据分级分类和数据安全保障的效率，笔者建议采用相应技术措施对所采集的数据进行预先识别，例如识别敏感数据和非敏感数据、关键数据和非关键数据等，以便后续对不同的级别和类型数据进行传输和存储。

2.数据传输

划分企业网络系统安全域，区分域内、域间等不同数据传输场景，明确数据传输安全策略和操作规程。做好传输接口管控和监测，对涉敏数据进行加密传输，加密传输主要使用对称加密算法和非对称加密算法。

企业需要特别注意监控数据传输时的安全策略实施情况，防止传输过程中可能引发的敏感数据泄漏。

3.数据存储

加密管理服务器及离线储存介质，提升其物理安全，规范管控带数据储存功能的可移动设备，加强对本地数据储存系统平台接入移动储存介质的管控，对储存在第三方云平台数据进行风险评估，对数据下载到本地终端行为及日志记录等实施管控措施，提升数据储存的安全性。定期开展备份恢复演练。

具体实施方面，笔者建议，企业需要根据自身情况，在数据量、数据存储安全需求和合规性要求等方面，制定符合自身需要的存储架构，在存储架构基础上建立数据访问控制机制，降低对存储数据的未授权访问风险。企业要定期开展数据的复制、备份和恢复，保护存储数据不当灭失。最后，对所存储数据执行时效性管理，对存储期届满数据及时清除和权限管理，遵循相关法律法规和协议中数据时效性的规定。

4.数据使用

严格遵循数据处理最小化、必要原则，根据不同类别、级别的数据，明确不同场景的数据使用审批流程和使用规范，明确数据脱敏的业务场景和统一使用适合的脱敏技术，比如对重要数据进行操作时，应做好去标识化处理等等，提升数据使用的安全性；确保员工只能访问职责所需的够用且最少的敏感数据。

5.数据开放共享 

一是规范数据共享行为。共享前应进行严格的审批并存档，同时开展个人信息安全影响评估。

二是根据数据使用目的、共享对象，明确数据可进行开放及共享的范围，建立数据共享的申请、授权审批的流程及权限，明确数据共享过程的传输方式。

三是针对企业向外部单位共享数据，共享前开展风险评估（记录留存3年），涉及重大敏感的数据提供要按审批权限逐级审批，对共享的接口调用要签订合作协议，并在相关合同中明确数据安全及保密义务，明确相关违约责任。

四是开展共享监测和审计。建立数据交换、共享审核流程和监管平台，对数据导入和导出进行严格的审批和监控，比如依托国资国企信息安全“云”监管平台，积极支持配合国资国企一体化网络安全信息大数据平台的建立，促进数据安全信息联动和能力共享，并对高危行为进行风险识别和管控。

6.数据销毁

规范管理数据销毁的过程，建立数据销毁的申请审批机制及流程，监督及记录数据销毁过程，明确存储介质销毁策略及操作规范，保证采用可靠的技术手段，确保被删除和销毁的用户个人电子信息不能被再次还原。

针对不同的存储介质和设备有其不可逆的销毁技术及流程，建立销毁监察机制，严防数据销毁阶段可能出现的数据泄露问题。委托第三方进行数据销毁的，应委托具有相关资质的单位，确保数据安全销毁。

三、数据全生命周期与数据分级分类

企业采集数据时数据情况千差万别，有结构化数据和非结构化数据、内部数据和外部数据、原始数据和衍生数据，敏感数据和非敏感数据，关键数据和非关键数据等等。

对于企业而言，为有效实现数据的全生命周期监管，也为了后续对数据的监控和审计，对数据分级分类管理必不可少。对数据进行结构化分级分类，对数据资产安全进行敏感分级管理，并通过技术手段落实安全管理要求，定期对新增数据进行梳理，确保所有数据分类及分级管控，才能保障数据资产全生命周期过程中，数据的保密性、完整性、真实性和可用性。

四、结语

《指南》作为全国首部对国有企业数据安全合规管理体系地方性规范性文件，对广州市国企数据合规管理作了指引性规定，将极大推动广州市国企数据合规管理体系的建立，而广州市国资委的探索和《指南》的实施也会带动其他地区的国有企业和其他各类型企业数据合规的实践，具有先导性和示范意义。