第四章  网络安全与数据合规管理



              节中的安全风险分别进行评估，建立一套完善的数据安全风险管理机制，包括风
              险评估、检测、预警、控制等全套流程，确保企业可以及时发现和应对数据安全
              风险。最后，企业应当建立数据安全风险应急预案，包括具体处理措施、信息披
              露要求和相关责任人员义务等内容。


                  三、建立数据安全合规标准存在问题及完善措施

                  （一）现阶段数据安全合规标准建设中存在的问题
                  1. 数据安全合规措施的针对性不足
                  目前，在中国数据安全保护领域，网络安全法、数据安全法、民法典和个人

              信息保护法等规范性文件为个人信息保护和数据安全保护提供了较为全面的法律
              支撑。但是，数据处理者在制定有关数据安全合规的具体操作规范时，经常会出
              现措施单一化和机械化的问题。一方面，现有规范数据安全的法律中没有明确规

              定数据安全合规标准，导致相关数据处理者只能从宏观上把握相关法律法规内容，
              合规措施针对性不足；另一方面，相关数据处理者在制订数据安全合规措施时没
              有根据相关领域的具体情况作出修改，也没有结合具体的业务类型进行调整，只
              是按现有法律规定机械重复地套用。这些都可能导致在社会运行和生产经营中发

              生不当处理数据的现象
                  2. 数据安全合规标准建设缺乏体系性
                  缺乏体系化的参照标准不仅会导致数据安全合规管理分立，无法完成对数据
              安全的闭环管理，也会在具体实施过程中导致相关细节问题被忽略。以企业为例，

              企业在建立具体合规流程时，仅以法律中明确列出的数据合规条款为依据制定相
              关管理措施，而这些合规条款大都是宏观的原则性规定。企业往往只是对数据安
              全风险识别与管控、数据保护制度、数据安全应急处理机制等重点事项作出单独
              规定，却没有从事前预防、事中管控、事后复盘这一整体性角度出发对数据安全

              管理事项进行明确界定。值得一提的是，这将导致企业和第三方监管机构无法确
              立一致的合规操作步骤，从而使企业处在巨大的数据合规风险中。
                  3. 数据安全合规标准的操作性不强
                  由于数据安全合规所遵循的法律没有提供具体统一的标准，所以企业领导者

              和数据安全部门的专门负责人在生产、经营、交易等环节对数据进行存储、流转、
              使用时，会出现操作不一致或者相互矛盾的现象，最终引发数据安全问题。


                                                                                     117