第四章  网络安全与数据合规管理



              有数据是不够的，对企业来说，如何利用已搜集的数据作出正确且富有远见的商
              业决策才是核心。再次，随着企业数据量呈指数级增长，数据存储成为企业利用
              数据以成就业绩的重要组成部分，有效管理数据是确保组织高效使用存储资源并
              依照法律法规和公司政策安全存储数据的关键。最后，随着企业将业务触角伸向

              全球，企业数据跨境流动能让用户实时传输信息并进行在线互动、更好地追踪全
              球供应链、共享研究成果并进行技术创新等。数据跨境流动已成为国际数字贸易
              的核心议题，更高水平和更严标准是其发展的必然趋势。在中国现有的数据相关
              法律法规下，企业收集、分析、存储和开展数据跨境业务需要遵循《中华人民共

              和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》
              （以下简称《数据安全法》）、《中华人民共和国个人信息保护法》（以下简称
              《个人信息保护法》）等相关法律的规定，构建和完善自身数据合规体系是企业
              持续健康开展数字业务的重要保障。

                  （2）企业数据合规制度
                  早期的企业合规治理主要是企业自我管理和自我监督的治理方式。随着数据
              保护相关法律的完善，企业为了应对数据合规要求，纷纷颁布或更新隐私政策和
              内部合规指引。概括来看，这样的隐私政策或内部指引的内容通常会包括以下几

              个方面：第一，收集限制，一般会规定仅收集特定目的所需的最少数据量，同时
              仅保留所需的最少时间。但是随着“匿名化”神话被打破，大量用户数据被推断
              出来，简单删除客户数据的主要索引远远不够。第二，目的规范，要求明确和专
              门说明收集数据的目的。但是实践中，往往数据收集的原始用途过于局限，无法

              涵盖大数据提供的创新用途。商业组织出于商业利益的考量，往往会突破原始收
              集目的，实践中确实也产生了诸多创新用途。第三，使用限制，这主要是规制数
              据使用方未经数据所有人同意与第三方共享或以其他方式改变数据用途。第四，
              安全保障，处理个人数据的组织需要提供必要的保障和机制，以确保个人信息不

              会落入危险境地。随着商业组织将更多数据放入低成本存储（如云存储）解决方
              案中，审查这些外部存储系统的数据访问控制则变得至关重要。第五，个人主体
              参与，强调个人在管理自身数据中的作用和地位。例如，用户个人有权删除、更
              正其数据，但是实践中，存在很多难以擦除或纠正的数据。第六，问责制，要求

              进行数据收集和存储的组织对自身数据使用行为负责。不容忽视的是，不论数据
              保护立法多完善，最终都需要落实到企业的数据合规实践中，而隐私政策则是重


                                                                                     149