2021年是互联网行业监管机制完善的重要年份，多部法律法规相继出台、生效，涉及不同行业的诸多方面。受关注较多的如《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等，在维护国家安全、网络安全与数据安全，保障个人信息权益的基础之上，促进信息、数据等的自由流动与开发利用，推动相关产业健康有序发展，同时也对企业合规提出了新的要求。结合本文主题，在新规范体系下，以下三方面将成为企业合规的重点。

 

 

 

建立数据安全全流程保护机制

 

数据安全全流程保护机制的建立，一方面，需要坚持总体国家安全观的高度；另一方面，需要在数据的收集、存储、使用、加工、传输、提供、公开、删除等每一个环节中提高数据的安全保障能力。因此，企业需要从内外两个维度进行合规化建设：对外，要提高对数据出境的风险把控能力，保证采购网络产品和服务的渠道安全，切实维护国家安全、公共利益与公民信息安全；对内，要探索建立符合新规范要求的合规化路径。例如，在对个人数据保护方面，在不降低用户体验度的情况下，如何履行对用户的“充分告知”义务，如何对第三方平台实施有效监管等。此外，还需要加强技术手段对数据的保护力度，随时更新并检测数据加密、等级保护等技术手段，及时防范因技术漏洞可能引发的数据安全风险。

 

 

 

建立分类分级数据管理制度

 

《数据安全法》对数据做了分类分级保护的要求，将关系国家安全、国民经济命脉、重要民生、重大公共利益等数据列为国家核心数据。对于重要数据范畴，由各地区、各主管部门确定相关行业、领域的重要数据目录。数据分类分级的属性不同，相应的保护要求也不同。企业一方面需要根据已有的重要数据目录，按照先分类后分级的原则，重新梳理数据台账；另一方面，在行业重要数据目录尚未出台的情况下，需要参照已有的标准与体系，自行在内部建立数据分类分级指南，以尽早规范数据保护制度。如可以参照工业和信息化部于9月30日公布的《工业和信息化领域数据安全管理办法（试行）》（征求意见稿）的标准，根据数据遭到篡改、破坏、泄露或者非法获取、非法利用将对国家安全、公共利益或者个人、组织合法权益等造成的危害程度，将数据分为一般数据、重要数据和核心数据三级。企业若能够尽早实现数据的分类分级管理，并依规履行保护职责，对于企业自身的数据流通同样大有裨益。

 

 

 

充分履行超大平台“看门人”义务

 

根据《个人信息保护法》的相关规定，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构，对平台的个人信息保护情况进行监督，并定期发布个人信息保护社会责任报告，接受社会的监督。也即是说，超大规模的企业不仅需要在内部设立专人专岗、落实数据安全保护责任，也需要通外部专家组建委员会，以监督企业的数据保护力度。对于外部专家的认定标准，目前还未有详细的规定。企业在选用外部专家时，需要综合考量其在数据保护领域的专业能力、对企业业务模式的了解程度，以及该专家的其他服务单位等因素。

 

 

 

除此之外，各监管机构也于2021年相继出台或修订了更为细化的管理条例及办法等措施，如《关键信息基础设施安全保护条例》《网络安全审查办法（修订草案征求意见稿）》、《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》等。上述条例或办法是对《个人信息保护法》《数据安全法》之配套措施的完善，也是对监管执法以及企业经营更为具体的指导，其对监管提出了新的要求，也加强了各互联网平台对数据保护的职责与义务，最终目的在于建立公平、有序、健康、完善的数据流通市场。十九届四中全会提出，将数据列为生产要素，参与市场分配。在此背景下，数据的共享、流通以及整合成为大势所趋，而未来要解决的关键问题则在于如何在不损害数据主体与数据处理者正当权益的背景下，实现数据的有效流通。