文丨天元律师事务所      刘瑛   李晓华

摘要
落实网络及数据安全管理责任，建立健全数据安全管理体系，是法律对企业的要求，也是企业规范经营行为、保护自身数据资产，防范企业和相关责任人员个人责任风险的重要措施。企业数据安全合规体系建设包括哪些方面、法律人员如何协助企业建设数据安全合规体系？本文以作者参与的数据安全合规体系建设工作为例，分享法律人员协助建设企业数据安全合规体系的工作要点。
  

本文内容要点
一、   企业建设数据安全合规体系的主要方面
二、   梳理企业数据安全管理现状及差距分析
三、   协助制定和落实数据安全合规体系建设方案
四、   总结


一、   企业建设数据安全合规体系的主要方面

《网络安全法》《数据安全法》《个人信息保护法》等法律法规对企业的安全管理责任有明确的要求，主要包括明确数据安全管理组织架构、建立和完善数据安全管理制度、采取数据安全合规管理措施等方面。下面两图片展示根据相关法律规定企业应当制定和实施的数据安全管理制度或措施，企业根据实际情况制定。



二、   梳理企业数据安全管理现状及差距分析
与其他领域的合规工作相同，企业建设数据安全合规体系，同样需要先梳理现状，分析企业的数据安全管理现状与法律监管要求之间的差距，才能准确地作出判断，进而提出切实可行的解决方案。对现状的梳理工作可以围绕以下要点展开：
  

法律人员协助企业梳理其数据安全管理现状后，形成相应的差距分析报告，供企业制定解决方案参考。
  


三、   协助制定和落实数据安全合规体系建设方案
通过对企业数据安全管理现状的梳理，对于企业在数据安全合规体系方面需要整改或调整的方向和重点事项有了基本判断，进而进入整改环节。
企业在数据安全合规体系建设将涉及企业内部机构的机构设置、职能安排和编制管理，需要综合企业整体合规规划、业务发展、组织结构、信息安全能力、资源和成本等多方面情况考虑。企业数据安全合规体系建设工作可以分解为以下几个方面：
（一）   制定行动计划

企业的数据安全合规体系建设方案，法律人员可以与企业其他相关人员基于企业数据合规现状、围绕企业开展本次数据合规的目标制定数据合规整改行动计划，对企业应当在什么时限内、按照何种优先顺序、采取何种具体措施以满足特定的数据合规要求作出安排，作为后续工作的操作指引。
  

（二）   落实数据安全合规体系建设方案
数据安全合规体系建设的实施主体主要是企业的相关管理和业务部门。法律人员可以在组织架构搭建的合法合规性、相关制度文本内容的规范性、合法性和有效性，以及数据安全合规管理措施的合法性等方面提供专业支撑。
例如，根据《个人信息保护法》，企业处理个人信息达到一定数量或者处理重要数据的，应当设置数据合规管理机构、指定数据合规负责人。就企业数据合规组织架构搭建，法律人员根据法律规定、企业公司章程规定、企业合规管理组织架构现状及企业实际情况，提出相应的建议方案。
又如，法律人员协助起草和审查相关数据安全管理制度文本的规范性、合法性和有效性。企业的数据合规管理制度体系可以从三个层次考虑：

1.确定企业、全体成员和业务伙伴共同遵守的数据合规行为准则，列明数据合规底线。
2.企业数据安全管理的纲领性文件，明确公司数据合规管理总体要求、管理机构及职责、基本制度、网络及数据安全技术措施、信息系统安全保护等事项。
3.相关具体制度，确定包括管理流程、管理标准、管理措施等具体数据合规管理细则。法律人员通常需要协助企业对照数据安全相关法律规定，起草、修改、审阅相关制度文本。
  


企业建立数据安全合规体系后，需要在日常运营和管理中落实运行。法律人员在数据合规咨询、数据合规审查评估、数据合规审计、人员培训等方面提供持续的法律服务支撑，是企业数据安全管理的重要方面。
  


四、   总结

建设数据安全合规体系，是企业落实法律规定的数据安全管理责任的重要体现。数据安全合规体系建设还涉及对“人”“财”“物”等方面的综合考量，需要同时兼顾外部监管要求和内部管理和资源分配，往往难以一蹴而就。特别是对于尚未建立数据安全相关管理制度或机制的企业，需要结合自身实际情况，从“以点带面”到“全面覆盖”，分步推进数据安全合规体系建设。
  
  
法律人员谙熟法律规则，能够为企业建立健全和运行数据安全合规体系提供重要的专业支撑。更多有关法律人员如何协助企业建立健全数据安全合规体系的心得分享（包括工作步骤、制度文本示例等），可以参阅法律出版社出版的《数据合规实务：尽职调查及解决方案》。