随着信息化时代的不断发展，数据作为新型生产要素，是数字化、网络化、智能化的基础，已快速融入生产、分配、流通、消费和社会服务管理等各个环节，深刻影响并改变着社会及企业的管理和治理方式。当前，数据资源逐渐成为重要的生产要素和战略资源之一，被比喻为数字时代的金矿，同水、电、煤等资源一样同样重要，更有“谁掌握了数据，谁就掌握了未来”的说法。

2022年6月22日，习近平总书记在中央全面深化改革委员会第二十六次会议中强调，数据基础制度建设事关国家发展和安全大局，要维护国家数据安全，保护个人信息和商业秘密，促进数据高效流通使用、赋能实体经济，统筹推进数据产权、流通交易、收益分配、安全治理，加快构建数据基础制度体系。

随着《关于构建数据基础制度更好发挥数据要素作用的意见》的审议通过，再次凸显了数据在国家安全和社会治理中的重要意义。2022年10月1日，《中央企业合规管理办法》（以下简称《合规办法》）实施，对国企的数据保护制度、建立合规风险数据库、实现数据共享共用等也进行了相应的规定，为规范国企数据合规管理，实现数据安全合规提供了指引。

企业那些如“过往烟云”的数据不是“垃圾”，而是深藏在企业内部提高工作效率、进行科学决策、创造企业价值的原油和金矿。因此作为国民经济的中坚力量的国企，做好企业数据的合规管理具有重大而深远的意义。

新疆元正盛业律师团队结合多年为上百家国企提供法律服务的实务经验，在对数据管理以及企业合规管理研究的基础上撰写本文，为国企建立行之有效的数据合规管理献言献策。

根据《中华人民共和国数据安全法》第三条，数据是指任何以电子或者其他方式对信息的记录。数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

随着信息化的不断发展，特别是大数据、人工智能、互联网和物联网、云计算、区块链等数字技术涌现，数据已成为人类经济社会发展一种新的生产资料、新的生产要素，对经济社会的发展起着关键作用，成为各国国民经济社会发展不可或缺的基础性战略资源。

有了数据，就可以进行预测，提前布局和规划；有了数据，就可以更好地了解用户，根据用户喜好进行推荐和定制；有了数据，就可以不断改进和更新工具，不断创新产品和服务；有了数据，就可以更加精准地分析、规避、防范风险以及企业治理有关工作。

国企是社会主义事业的“支柱”、党和国家最可值得依赖的依靠力量，其生产经营范围大多涵盖国家众多重要关键领域，各项数据具有重大的价值，如涉及能源、交通等关键基础设施的测量或控制数据，是可以上升到国家安全层面的重要数据。国企加强对数据安全、合规管理，具有维护国家主权、安全和发展利益的重要作用。

2020年4月9日，中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》（下称《意见》）正式公布，首次将“数据”与土地、劳动力、资本、技术等传统要素并列为要素之一，提出要加快培育数据要素市场。由此可见，数据已成为企业运营过程中的重要资源。

2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过的《中华人民共和国数据安全法》，从数据安全技术、数据安全标准体系制度建设、数据安全检测评估、数据安全教育培训、数据安全义务等多方位、多角度，为数据安全保护和数据开发利用提供了法律保障。

2021年8月20日，第十三届全国人民代表大会常务委员会第三十次会议通过的《中华人民共和国个人信息保护法》。在国家法律层面确立了个人信息保护原则、严格保护敏感个人信息、禁止大数据杀熟、强化个人信息处理者义务、规范国家机关对个人信息保护的义务和责任等做出了具体的规定，使广大人民群众在数字化经济发展中享受更多的获得感、安全感和幸福感。

2022年6月22日，习近平总书记召开中央全面深化改革委员会第二十六次会议，审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》。会议指出，数据作为新型生产要素，是数字化、网络化、智能化的基础，已快速融入生产、分配、流通、消费和社会服务管理等各个环节，深刻改变着生产方式、生活方式和社会治理方式。明确提出要建立数据产权制度，推进公共数据、企业数据、个人数据分类分级确权授权使用，建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制，健全数据要素权益保护制度。要建立合规高效的数据要素流通和交易制度，完善数据全流程合规和监管规则体系，建设规范的数据交易市场。要完善数据要素市场化配置机制，更好发挥政府在数据要素收益分配中的引导调节作用，建立体现效率、促进公平的数据要素收益分配制度。要把安全贯穿数据治理全过程，守住安全底线，明确监管红线，加强重点领域执法司法，把必须管住的坚决管到位。要构建政府、企业、社会多方协同治理模式，强化分行业监管和跨行业协同监管，压实企业数据安全责任。

 2022年10月1日，《中央企业合规管理办法》第十八条规定，中央企业应当针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域，以及合规风险较高的业务，制定合规管理具体制度或者专项指南。

元正盛业合规律师团队认为，在数字经济时代，以大数据的信息化手段提高国企的管理效能是必然趋势。数据作为国企的重要生产要素，其资源的价值应用涉及方方面面，国企建立合规风险数据库就是数据应用之一，还可以利用合规风险库、大数据等手段防范国企合规风险并及时预警。数据作为重要资源的一种，国企数据安全保护的义务非常重要，因此，国企数据合规管理是必然要求，而且数据安全保护是国企数据合规管理的核心内容之一。

元正盛业合规律师团队认为，国企数据合规管理是需要尽快实施，紧急且非常重要的工作。关于如何落地，给出如下管理思路和操作建议，希望对国企数据合规管理有所助力。

一、国企董事会或企业主要负责人应当尽快建立与数据合规有关的组织体系、管理体系、制度体系，配置相关专业管理人员、设备和资金；尽快做好与数据管理的规划、审批重大数据安全合规事项。指导监督企业各相关部门积极做好数据合规管理的各项工作。

二、国企总经理及首席合规官应当落实相关部门数据合规的责任，包括指导及监督企业数据安全合规管理相关制度规范建设、相关数据管理措施的设计与执行、数据安全技术应用等。当执行者较好履行或者未能履行合规职责，作为监督者可以依据奖惩机制对责任部门或者责任人员作出相应的奖惩。

三、国企应设立专门的数据管理部门，承担数据合规管理审查、评估和统筹工作。企业应向数据管理部门负责人提供相应的授权、人力、财力来支持数据合规管理体系的运行。一般由董事会直接设立企业合规部门，下设数据合规管理部门等各类专业合规部门。

四、国企数据管理部门应制定数据合规管理整体方针策略，协调建立数据合规技术保障措施，牵头做好数据风险识别、风险评估、控制措施制定、风险处置，以及数据合规培训、咨询等工作，并制定、完善数据合规计划，作为企业年度合规计划的一部分进行推进实施。

五、国企其他各业务和职能部门作为国企管理的执行者，具体做好数据合规制度执行。如负责统一规范企业数据收集、存储、使用、加工、传输、提供、公开等工作机制；主动识别业务范围内数据合规要求，制定并落实业务管理制度和风险防控措施；负责数据安全技术的应用及更新；负责数据管理能力建设等等。

六、国企应建立数据合规举报记录台账，对数据合规举报制定调查方案并开展调查，对数据违规行为进行严肃追责。

七、国企应将数据合规责任纳入企业岗位职责和员工绩效考核评价体系，明确责任，加强考核，推动数据合规管理有效实施。

八、国企内部审计部门可根据风险评估和内部审计计划安排，在审计工作中涵盖数据安全和合规的内容，并出具相关审计报告，为企业数据安全和合规风险管理的有效落地进行监督。纪检监察部门负责职权范围内的数据违规事件的监督、执纪、问责等工作。

九、国企应将数据合规文化作为合规文化建设的重点内容之一，推动企业上下重视数据合规、主动数据合规，持续加强各级管理人员和全体员工对数据的合规意识、风险意识和安全意识。

十、国企需因企制宜选择适合的管理软件和平台。因为各企业的信息化建设情况不同，因此这里需要提醒，企业数据合规管理不能盲目推进，是建立在已有的数据等信息管理系统基础之上开展的具有计划性、科学性、合规性、先进性、专业性的一系列工作，需要结合企业实际，审慎选择合适的数据管理相关软件和平台。

十一、国企在持续推进数据合规管理与其他业务管理在统一系统平台上有效融合，促进数据流通共享和保密兼顾的同时实现相应价值。

十二、国企加强组织国企全员数据管理知识和数据安全、保护责任意识培训，为国企数据合规管理工作落实提供保障。

十三、国企要定期开展数据合规审查及评估专项工作，及时为企业数据合规管理、数据安全管理提供管理支持。

十四、国企应充分结合国企数字化转型相关要求，在国企合规管理的基本制度上做好国企数据合规管理工作。

十五、国企应定期严格开展数据管理软件和平台的尽职调查工作，避免国企数据损毁、丢失及被不法利用等严重后果。

另，笔者认为将海量数据变为数据资产的关键是进行数据体系规划，企业需要进行数据资产的梳理盘点、分类分级保护及评估。识别“客户资料”、“技术信息”、“高效运行的管理流程”等哪些数据可以成为企业的数据资产，制定等级标准对数据进行分类，并对应设立相应的安全管理。这样才能使得数据资产真正发挥为企业精准决策提供服务的价值，进而提高企业的管理效能和核心竞争力。

元正盛业律师团队认为，国企在数据合规管理做好上述各项工作的同时，在数据合规管理事务中，还需要关注如下事项：

一、国企的主要管理者应是数据合规的第一责任人，应当分配足够和适当的资源来建立、发展、实施、评估、维护和改进数据合规管理体系。

二、国企要高度重视数据安全，特别是主要业务涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和重要领域的企业，要将数据安全合规作为重点领域进行专项管理。

三、国企应确保与供应商、代理商、经销商、关联企业、分支机构的业务活动，以及处理个人信息等活动符合数据法规的要求，并制定数据风险应对措施。

四、国企应建立数据安全、违规应急响应机制，明确数据事故管理和应急响应职责，制定各类数据事故的处置流程及应急预案，并定期进行演练，对各类数据安全、违规事件进行及时响应和处置，降低企业因数据事故而引发的损失。

五、数据处理者在数据处理活动中违反数据法规规定，可能被追究侵犯公民个人信息罪、破坏计算机信息系统罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪、拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪、侵犯商业秘密罪等刑事责任。

六、如发现企业已经存在数据违法行为，或是数据监管部门已经立案并启动调查程序的，企业应当立即停止违法行为并与执法机构合作。企业积极配合调查、主动消除危害后果的，可能获得数据监管部门的从轻或减轻处罚。

七、国企应建立有效的管控模式，对下属全资、控股和实际控制子企业在数据合规工作内容和职责分工，可根据实际情况，分批快速推进各单位数据合规管理工作，并结合企业合规管理管控模式进行差异化管理。

八、国企应当不断学习、提升数据合规管理水平，也可以同外部机构开展数据合规咨询及专业培训合作；企业应当根据自身实际情况建立必要的数据合规计划，通过内部反馈、外部咨询、持续跟踪数据立法、执法、司法的最新进展等方式及时准确识别数据风险。

九、国企合规管理信息系统承载着企业、企业员工以及企业业务伙伴的重要保密信息和数据，要注意分级分类管理的数据保密和数据安全。

元正盛业律师团队长期为上百家大中型国企提供法律顾问及各类专项法律服务，有丰富的国企法律服务经验。我们认为，律师在数据合规制度建设和具体管理事务中，可以提供如下具体法律服务事项：

一、协助企业完成数据合规管理有关的制度建设工作；

二、企业数据库，特别是风险数据库的建设工作；

三、协助企业完成数据合规管理平台甄选、数据管理合作商的选择、合同起草、洽谈、合同签约等有关工作；

四、为企业数据管理领域进行合规管理“体检”，发现数据管理漏洞，优化数据管理业务流程，防范数据管理合规风险；

五、协助企业开展数据合规管理及各项工作落地的系列培训工作，通过专业体系化培训助力数据合规管理工作的有效落地。

以上是元正盛业合规律师团队对国企数据资产及数据合规管理的研究，以及如何开展数据合规管理提出的实操建议，期望对国企数据合规管理有效落地提供助力和支持。