□ 梁雅丽 唐宛茁

近期，许多互联网企业平台受到网络安全审查，例如滴滴、货满满、货车帮、BOSS 直聘等知名网络平台，相关部门对其作出了“下架”“暂停新用户注册”等决定。由此，企业对收集公民个人信息的行为应当严格自查，严格规范公民个人信息收集方案，遵循最小必要原则。企业如果无法保证数据安全，就无法保证经营安全。

数据安全解读

在开展合规工作前，对于合规主体和数据性质应当明确以下基础问题。

关于关键信息基础设施运营者的认定。2016 年，《网络安全法》首次在我国法律体系内正式提出“关键信息基础设施”这一概念，并对CII 运营者的安全保护义务与措施、风控措施与应急机制以及相应的法律责任都作了规定，但对CII 的认定和保护范围尚不明确，导致相关条文长期“沉寂”。

直至今年，国务院于8 月17 日发布《关键信息基础设施安全保护条例》（以下简称“《条例》”），对CII安全保护的适用范围、监管主体、评估对象等作出界定，并为安全保护工作开展提供系统指引和工作遵循，实则是对《网络安全法》中关于CII 的16 个条文的进一步细化，从规范体系上为《网络安全法》作了有力补充。

《条例》也让企业在CII 安全保护方面的权利和责任得以合法化，企业如何在数据安全领域自我定位、自我审查，如何开展数据合规得到进一步明示。

根据《条例》第二条，CII 是指“公共通信和信息服务、能源、交通、水利、金融、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。同时，《条例》第二章提供了认定CII 的规则指引，考虑因素在于：对于本行业、本领域关键核心业务的重要程度；一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；对其他行业和领域的关联性影响。

以滴滴为例。尽管滴滴事件发生时尚未有明确的CII 运营者界定标准，但作为国内最大的出行平台软件，其收集的信息包括地图、公民个人信息、道路信息等等，这些数据经过排列组合，可以分析得出重要信息，例如国家不予公开的地理位置信息、涉密部门员工的工作信息等等。从实质审查角度看，其掌握的数据若向境外泄露，则足以达到“严重危害国家安全、国计民生、公共利益”的程度。

需要注意的是，从《网络安全法》到《数据安全法》以及今年11 月生效的《个人信息保护法》，再到国务院出台的关于“互联网+”的相关行政法规，都强调了关键信息基础设施运营者在我国境内收集和产生的个人信息应当存储于境内，跨境则需经安全评估等法律程序。

从滴滴事件同样可以看出，数据跨境交流与网络安全、数据安全乃至国家安全都存在关联。滴滴这样的行业龙头企业尚会“马前失蹄”，足见我国不少企业对网络数据安全保护意识匮乏，亟须转变经营理念，重视数据合规。

“重要数据”的界定。2017 年，国家网信办关于《个人信息和重要数据出境安全评估办法（征求意见稿）》第十三条第四款规定：“重要数据，是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南。”

《数据安全法》第二十一条规定：“国家建立分类分级保护制度”，“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护”。“各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。”

具体而言，开展数据合规工作，应当注意以下几个方面。

一是互联网企业、上市公司应当注重双重合规。双重合规是顺应时代的举措，仅根据国内或国外法律进行合规，对企业的发展会产生阻碍。中国的企业处于数字化和全球化的时代，面临国际化的双重合规要求。

7 月6 日，国务院办公厅发布《依法从严打击证券违法活动的意见》，专门提出了加强跨境监管的合作，包括完善数据安全、数据的跨境流动、设备信息的管理、完善这些法律法规。所以对于经营企业而言，保障数据安全的合规更加紧迫。在美上市的中国企业除了要符合在美上市的相关规定外，也应根据我国的法律规定进行合规审查，并且在两者冲突时，优先考虑国内的合规性。

二是集团企业、关联企业的数据合规工作应当标准化、系统化、制度化。由于现在很多企业有多家子公司、分公司，企业内部结构复杂，同一集团内部持有的数据可能分类结果上不一致，从而很难实现集团内合规层面的一致性。

首先，建立数据安全治理体系。应当委派高管牵头负责数据安全治理工作，根据《数据安全法》等法律法规的监管要求开展自身数据分类分级工作，对企业数据实施分类分级管理，分类分级结果与数据存储、权限、脱敏、开发等措施挂钩，实现体系管理。其次，企业应该定期开展风险评估和数据安全成熟度评估，并通过实网攻防以及安全应急响应演练，及时改进存在的风险。最后，企业还应建立健全全流程数据安全管理制度，组织开展数据安全教育培训，增强员工数据安全意识，提高企业自身数据安全能力。

三是中小企业应当注意合规成本的必要性。对于境内的中小企业而言，合规成本是不得不考虑的问题。如果成立合规管理部门成本太高，中小企业至少也应该设立“合规官”这一岗位，由专职且相对独立的人员对企业的主要业务行为和重点风险领域进行合规整改，保证企业的主营商业模式和重点业务领域合法合规，把钱花在刀刃上。

数据安全风险的防控，不仅是法律问题，也是技术问题，需要结合企业自身的盈利模式具体分析。企业并非为了合规而合规，其根本目的仍在于保障企业有持续稳定的盈利空间，这需要多方的共同参与，包括企业经营者、企业法务、合规官、律师团队等多重视角。对于大部分境内的中小企业而言，数据安全风险主要体现在对个人信息的收集和处理上，风险点在于过度收集、多次分享、超权限利用等行为。在当前阶段，树立数据安全风险意识和合规意识，了解相关法律规定，听取专业人员的意见，就足以防控境内中小企业面临的大多数数据安全风险。

刑事风险解读

企业在获取个人、政府机构或其他企业的相关信息数据时，需要特别注意其中的刑事风险点，避免企业或企业经营者陷入刑事风险并承担相应的刑事责任。

其一，与信息获取行为相关的刑事风险。企业如果存在非法获取公民个人信息的行为，则涉嫌构成侵犯公民个人信息罪。如果企业通过非法手段接入政府或医疗机构信息系统获取公民的个人信息，则涉嫌构成非法获取计算机信息系统数据罪，如果获取的是相关行业的秘密信息等，则涉嫌构成侵犯商业秘密罪。

其二，与信息处理行为相关的刑事风险。企业如果违反数据安全保护义务，且拒不改正或者造成大量数据泄露等严重后果的，涉嫌构成拒不履行信息网络安全管理义务罪。

《数据安全法》第三十四条规定，法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。因此，如未获得在线数据处理行业许可证，违反准入许可制度从事相关经营活动的，则涉嫌构成《刑法》第二百二十五条的非法经营罪。