互联网时代，最大的魅力莫过于数据与信息的大量迸发、快捷获取。虚拟网络上编织着无数的信息，包括个人信息、技术信息、公共信息等等，而这些信息的捕捉与截存，成为企业在新时代创造实用价值和商业价值以及提升竞争力的源泉与助力，乃至其发展的关键与核心。

当下，随着“大数据杀熟”“平台二选一”等社会热点问题的关注和讨论不断增加，“企业数据合规”这一概念已逐步进入企业管理和法律规制的视野范围，但是“企业数据”这一概念的界定和保护依据，则仍处于探讨和研究的环节，具有针对性的明确定性和特殊规定，仍未有定论。但是，对于企业而言，不论是大环境方向下对数据合规的要求逐渐提升，还是企业自身利益与经营发展的迫切需要，都迫使企业对其数据的安全与合规予以高度的重视，并亟须采取更严谨有效的措施对企业数据风险进行防范与处置。

一、数据信息的定义

《中华人民共和国数据安全法》第三条规定：“本法所称数据，是指任何以电子或者其他方式对信息的记录。数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。”该条规定是我国法律层面对“数据”的专门阐释。可见，数据是对客观事实、现象进行记录并采用数字、文字或图片等进行表达，于现实世界或网络虚拟空间中进行存储、加工、处理、传播信息的载体或方式。信息则是数据所要表达的、为人所读取的内容，具有广泛性、时效性、可传递性和可处理性。数据为信息的高速、广泛传播和快速变化发展提供了无可替代的支持。

二、数据的识别与分类

企业数据是指企业掌握、控制、收集的各类与企业经营管理相关且具有一定经济价值、商业价值的信息，包括个人信息数据、工业信息数据、商业信息数据及其他信息数据等。由于尚无专门针对企业数据进行规范和保护的法律，因此要对企业数据信息风险进行有效的预防和应对，就必须准确识别企业数据中存在的不同种类的信息，进而针对不同种类的信息进行分级管理，采用不同的法律依据、保护层级和管理方式。

（一）技术信息

技术信息是指企业特定人员依法依规掌握或控制的各种技术、方法、经验和信息的总和，该信息具有潜在的经济价值，在实施或应用后能产生巨大的经济效益。此类数据信息，往往是企业的核心信息，关系到企业的生死存亡，所采取的保密措施也是最严密周全的。

（二）个人信息

个人信息是指企业在经营运作中通过各种途径获取到的能够识别特定自然人的身份或反映其活动情况的信息，包括自然人的生物识别信息、财产信息、身份信息以及其他基本资料等等。一个企业了解到的个人信息越多，其产品或服务的针对性越强，所带来的经济效益是不可估量的。对企业而言，该类信息虽然具有重要意义，但通常因为较为容易获取而疏于保护，且获取的手段也时常侵犯到公民个人的权益。

（三）经营信息

经营信息是指企业的运营管理模式、方法以及运营过程中所产生的财务资料、客户资料、市场数据、货源信息等等。这类信息对于现代企业的价值与日俱增，企业要在市场上具有竞争力，绿藤长青，不仅要有独特的产品、服务输出，更重要的是，一方面要具有独到的运营管理优势，能够激发和维持员工的创造力，源源不断地为企业创造财富价值；另一方面，则是要能够快速获取市场上一手的有效信息，或者对信息进行独特的再处理，使其产生新的经济价值。对于经营信息，企业一般能够认识到其重要性，但往往在该类数据信息泄露时，才采取措施亡羊补牢。该类信息被侵犯给企业带来的经济损失无疑是巨大的，但这种损失通常是纯粹的经济损失，企业难以统计或证明其遭受的具体财产损失，且信息泄露造成的损害是不可逆的，即使及时停止侵害，也无法挽回或补救。

（四）公共信息

公共信息是指在某平台上已经公开且为不特定多数人可获取知悉的信息。即使是已经被公开的信息，也仍具有利用价值和保护的必要性。从公开平台获取的数据，企业应进行数据合规性审查，确保获取的数据不存在未经授权被采集，侵犯第三方权益的情况。对该类信息进行转存或再处理时，要注意进行“匿名化”处理（以脱敏为目的，对信息进行掩盖、去除、假名化等处理），否则可能因侵犯相关权利人权益而受到追诉。

（五）其他信息

除了上述几种信息，还有众多无法逐一列举的信息数据，这些信息同样对企业的经营发展具有重要价值和意义。正因为信息的多种多样、变化复杂、价值无穷，其管理和保护的难度也十分巨大，而且并没有针对性的法律部门对此进行特殊规范，所以保护企业数据必须多措并举、多管齐下，同时兼顾具体问题具体分析。

三、数据保护的路径

2022年1月27日，上海市杨浦区检察院联合市信息服务业行业协会、市数据合规与安全产业发展专家工作组、区工商业联合会，制定发布了《企业数据合规指引》（简称“《指引》”），相对完整、全面地对企业所应履行的义务作出了说明。在该《指引》的方向指导上，以下浅述对于企业数据的合规与安全，企业可以做些什么？应该做些什么？需要做些什么？

（一）应当建立数据分类分级保护制度

由前述对各种信息的分类阐释可知，不同种类信息对企业的重要程度、保护难易程度以及合规利用义务要求都是不同的，这就对企业进行数据合规管理及保护提出了较高的要求。要进行有效的企业数据管理和保护，前提是对企业拥有、利用的各类数据进行识别、定性、分类，在此基础上建立数据分类分级管理和保护制度。可以由企业联合公司内部各部门的负责人、专家，对相关数据的用途、价值、保护要求进行研讨，也可以聘请外部第三方专业机构对企业数据进行分析评估，出具专业的意见。

例如，对于高新技术企业而言，信息技术是企业的命脉，对于信息技术的保护应当是最高层级的。首先，要采取多重技术加密保护措施，防止他人从电子途径窃取或反向获取技术信息；其次，要与知悉、掌握该信息的特定人员签订保密协议，保密协议中对保密义务的范围不能过于笼统、概括，应当明确相应的范围；另外，适合采取专利权、商标权、著作权等知识产权进行保护的，应及时采取行动；最后，还需不断更新保护措施，定期核查信息安全是否存在漏洞等。

对于个人信息，要遵守“告知－同意”原则，取得当事人的授权，告知当事人使用的形式和范围，同时遵循最小损害原则，对不是必要的信息不获取、不使用、不披露。《中华人民共和国个人信息保护法》第六条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”第七条规定：“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。”

对企业而言，诸如经营信息等多数信息，企业更偏向于保密、独有，而非公开、流通，以此保证企业在市场上的竞争力。因此，知识产权的保护方式并不适用于多数企业数据的保护。放眼当下，主流的企业数据保护方式即商业秘密保护模式。尽管这是目前最适宜、最有效的保护途径，但在实务中，通过此途径实现保护目的，减少企业损失的却不在多数。究其原因在于，虽然商业秘密对比知识产权保护，不要求被保护的数据信息具有创新性、新颖性等法律要件，拓宽了可被保护的数据信息范围，但是也对其提出了一定的要求——秘密性、价值性、实用性，更重要的是，企业必须对该信息采取了适当的保密措施。此处需要强调，企业仅在保密工作的相关文件中原则性地要求所有员工保守企业销售、经营、生产技术秘密，比如规定“乙方要保守甲方企业经营秘密”，是很难被法院等司法机构认定为采取了合理的保密措施的。要利用商业秘密保护方式，必须满足两个构成要件，一是主观上权利人必须要具有保密意图，二是客观上采取了严密的保密工作措施。若没有充分的证据证明符合以上两个构成要件，则企业的数据信息无法被认定为商业秘密，进而实现保护目的。

为了减少不必要的人力、物力，精准定位需要保护的数据范围，因此要求企业必须对企业数据进行识别、分类，对应采取合理、必要、充分的保护措施，同时注意留存相应的证据。

（二）设置专门的数据合规管理部门

《指引》的第二章概括描述了数据合规管理体系搭建的框架，其中第七条鼓励各类企业设置专门的数据合规管理部门，或者将数据合规管理职能融入现有的企业合规管理体系，但是不建议由法务部门履行合规管理职能。企业数据合规与风险防范不仅仅是法律范围，更多的是涉及技术方面和管理方面，如果仅仅关注法律保护，甚至可能在保护时间上远远滞后，导致损失难以弥补。现有法律没有具体规定保护路径，提供适宜的法律依据，而且其保护作用往往体现在损害发生之后的诉讼赔偿阶段，这与企业数据安全的时效性要求明显不符。

数据合规部门首先应结合企业的经营范围、行业特征、监管政策、风险识别等因素制定数据合规计划，并根据企业内部和外部环境的变化不断调整。其次，参考《指引》第九条：“数据合规管理部门应履行以下职责：（一）制定数据合规管理整体方针策略，协调建立数据合规技术保障措施，牵头做好数据风险识别、风险评估、风险处置等工作；（二）制定、完善数据合规计划，并推动其有效实施；（三）审核评估企业的经营管理和业务行为，确保企业与供应商、代理商、经销商、关联企业、分支机构的业务活动，以及处理个人信息等活动符合数据法规的要求，并制定数据风险应对措施；（四）组织或协助管理部门、业务部门等开展数据合规教育培训，并向管理层和各部门员工提供数据合规咨询；（五）建立数据合规举报记录台账，对数据合规举报制定调查方案并开展调查；（六）推动将数据合规责任纳入企业岗位职责和员工绩效考核评价体系，培养数据合规文化；（七）持续关注国内和业务所涉国家（地区）数据法规的发展动态，及时提供数据合规建议。”

（三）建立健全数据安全事件应急预案与风险处置机制

企业在识别数据的基础上，应根据自身经营规模、组织体系、业务内容以及市场环境，分析和评估数据风险的来源、发生的可能性、后果的严重性等，对数据风险进行分级管控。同时，相关负责人应当根据风险评估结果对不同职级、不同工作范围的管理层、员工进行风险提示、法律释明，降低管理层和员工的违法犯罪风险。企业向第三方提供数据时，应与第三方签订数据安全保密协议，明确共享数据的范围、内容、使用方式、保护手段等权利义务，以及出现法律风险时的责任承担。在合作过程中，还应定期进行监督，发现存在违约、违规行为的，及时发出整改通知，乃至终止合作。

建立健全数据安全事件应急预案与风险处置机制，应对各类数据风险进行控制，设置应对措施，不断总结经验教训来降低风险。必要时，甚至可以决策停止相关风险行为。若发生信息数据泄露、篡改、丢失等事件，相关数据负责人应当立即采取补救措施，同时及时通知所在地区的数据监管部门，若涉嫌犯罪的，应当及时向公安机关报案。

团队简介

广信君达朱滔律师团队，由具有长期从事审判、仲裁实务工作经验的律师组成，该团队始终专注于劳动人事、建设工程、民商事争议解决、常年法律顾问等领域，具有良好的法学理论素养和从业经验，紧跟市场发展趋势、熟谙专业法律知识，致力于为客户提供专业的法律服务。

朱滔  合伙人

戴芯薇  实习人员

*声明：本站对所有原创、转载、分享的内容、陈述、观点判断均保持中立，推送文章仅供读者参考。本站发布的文章、图片等版权归作者享有，如需转载原创文章，或因部分转载作品、图片的作者来源标记有误或涉及侵权，请通过留言方式联系本站运营者。谢谢！