一、数据合规管“哪些”数据

（一）什么样的数据存在监管要求？

数据的种类包括很多，例如公共数据、企业数据和个人信息数据，且各类型之间的数据存在交叉。可是什么样的数据才需要特别地受数据合规的保护呢？

一般来说我们会认为，涉及个人信息和重要数据的数据，受到狭义的数据合规的监管保护。而对于不涉及个人信息及重要数据的企业数据、公共数据，则更倾向于采用商业秘密、国家安全来进行保护。

（二）个人信息的认定标准

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息（《个人信息保护法》第4条）。个人信息的认定标准经历了从《网络安全法》到《民法典》再到《个人信息保护法》的演变。此外，在实践操作中可以通过关注《信息安全技术 个人信息安全规范》（GB/T 35273-2020）附表来判定是否属于个人信息。

个人信息的认定标准采取“识别”加“关联”主义。其中“识别”即“已识别或可识别”，即从信息到个人，能够通过信息本身的特殊性识别出特定自然人，个人信息有助于识别出特定个人。例如已识别的内容可以为“王小明+手机号”、可识别的内容可以为“身份证号数字”。“关联”即“有关”，即从个人到信息，例如由特定自然人在其活动中产生的信息（个人位置信息、个人通话记录、个人浏览记录等）。匿名化处理的个人信息不属于个人信息。

需注意的是，“设备指纹”，例如“MAC地址” “IMEI” “Android ID”等可以唯一标识出一台设备的设备特征，或者独特的设备标识，也可以被认定为属于法律规定的与其他信息结合识别自然人个人身份的信息。

（三）敏感个人信息的认定标准

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。例如，人脸数据通常被认定为是敏感个人信息，需要受到特别保护。

敏感个人信息需要得到特殊保护。涉及敏感个人信息的，建议（1）在合同内明确特定的处理目的与必要性，（2）取得个人的单独同意，并尽量获取个人的书面授权以供留存，（3）在授权书内向个人告知处理敏感个人信息的必要性以及对个人权益的影响，（4）涉及不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。（《个人信息保护法》第28至32条）

《个人信息保护法》第28条敏感个人信息的定义以及《信息安全技术 个人信息安全规范》（GB/T 35273-2020）附录B对个人敏感信息进行了列表举例，可以方便律师更好地对哪些数据属于个人敏感信息进行了解。

（四）重要数据的认定标准

重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据，仅影响组织自身或公民个体的数据一般不作为重要数据（国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》（2024年3月21日发布，2024年10月1日起实施））。

此外，关于“重要数据”的定义在《数据出境安全评估办法》中亦有规定。

二、数据合规由“谁”来管数据？

（一）数据合规的立法体系

中国的个人数据保护法律体系是多层面的，由法律、行政法规、部门规章和国家标准共同构成。需要特别注意的是，一些企业可能会误解国家标准的性质，认为它们仅提供指导而非强制性要求，从而认为不遵循这些标准不会遭受法律后果。然而，通过分析执法案例可以发现，许多违规行为在国家标准中已有明确的禁止规定。

（二）数据合规的监管体系

1.国家互联网信息办公室：国家互联网信息办公室，简称国家网信办，是中共中央直属的机构，其在全国各地区设有相应的地方互联网信息办公室。在监管执行上，国家网信办拥有独立开展监察、调查、约谈和处罚等监管活动的权限。

2.工业和信息化部：工业和信息化部，简称工信部。在数据治理方面，工信部发布了《工业和信息化领域数据安全管理办法（征求意见稿）》，该办法涉及行业数据的分类与分级、重要数据的保护以及风险通报等基础性制度的安排。此外，工信部还负责监管互联网信息领域，包括对电信和互联网等信息通信服务的监督管理，并承担着互联网行业的管理职责。2020年7月22日，工信部发布了《关于开展纵深推进APP侵害用户权益专项整治行动的通知》。

3.公安机关：在网络用户个人信息安全方面，公安机关的监管职责来源于《刑法》第253条之一规定的“侵犯公民个人信息罪”与《最高人民法院、最高人民检察院关于办理公民个人信息刑事案件适用法律若干问题的解释》等相关规定。同时，《个人信息保护法》第64条第2款强调“履行个人信息保护职责的部门在履行职责中，发现违法处理个人信息涉嫌犯罪的，应当及时移送公安机关依法处理。”

4.市场监督管理局：根据《网络交易监督管理办法》第5条规定，市场监督管理局负责网络交易监督管理工作；第二章进一步明确了网络交易经营者对消费者个人信息的保护义务，规定在网络交易活动中提供网络经营场所、交易撮合、信息发布等服务的企业，都属于网络交易经营者的范围。

5.国家数据局：2023年10月25日，国家数据局正式揭牌成立。国家数据局负责协调推进数据基础制度建设、统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设，并承接了部分中央网络安全和信息化委员会办公室的职责以及部分国家发改委在数字经济方面的职责。

三、数据合规管数据的哪些“方面”？

从数据的全生命周期角度来分析数据合规管数据的哪些“方面”的问题，能够帮助我们更全面地认识数据合规的隐藏风险。根据《个人信息保护法》第2条，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

（一）数据的收集、使用合规

数据收集，是数据全生命周期的起源，也是数据合规当中至关重要的一环。在数据的收集方式上，主要包括面向数据主体直接收集、从其他网络平台爬取、从第三方处间接收集数据三种模式。在数据的收集原则上，则主要包括合法、正当、诚信原则，最小必要原则，公开透明原则和告知同意原则。

数据收集的目的通常是为了进行数据使用。数据使用可能存在多个场景内，例如提供产品的基本功能和服务、提供产品的附加功能和服务、保障用户的数据安全、提升产品和服务的质量、进行个性化的推荐和服务等。其中，个性化推荐服务最容易受到争议。

数据收集合规的注意事项：

（1）对外公开有关收集使用的规则，并明示收集使用的目的、方式和范围（例如在APP、小程序中增加隐私政策并增加收集使用个人信息的规则）；

（1）明确禁止采购、获取未公开的个人信息，可能构成商业秘密的数据或落入国家秘密或特定行业管制的数据；

（2）事先核查数据来源合法证明文件（是否与原始权利方签署协议、是否获得了自然人的告知同意、过往是否受过行政处罚）；

（3）签署书面协议，明确合作第三方的数据合规义务（要求数据源对数据的安全、可靠，不侵犯他人合法权益进行承诺）；

（4）构建供应商档案管理制度，留存抽检、审查记录（要求数据提供方提供隐私政策文本及签署日志、系统抽检等方式对数据源进行实质审查，并留存审查记录以备举证）。

（二）数据的存储合规

数据的存储合规，除了需要遵守所有适用的数据保护法律规定，同时还需要关注不同行业对存储合规的一些规范上的要求。以金融行业的数据存储合规为例，《个人金融信息保护技术规范》（JR/T 0171-2020）中载明了部分有关金融行业数据存储的方式以及分级分类等要求。

数据存储合规的注意事项：

（1）存储期限：是否满足行业监管规定、合同要求等；

（2）存储方式：是否需要结合数据不同的分级分类采取不同的存储方式；去标识化、匿名化手段的运用；是否涉及到不同级别信息的访问控制；

（3）存储地点：是否涉及到跨境存储，是否涉及到多点存储与数据备份；

（4）数据收集、使用、存储等的日志记录和调用。

（三）数据的流转合规

根据《个人信息保护法》第20、21、23、59条，所有的个人信息交互方式都离不开3种模式——共同处理、委托处理（受托处理）、提供（又称为“共享”）。同时，《个人信息保护法》对3种不同类别的信息交互方式设定了不同的权利义务和责任承担方式。

需注意的是，商业上的法律关系和个人信息的交互模式产生的法律关系存在分离的可能。在区分个人信息采用了哪种交互模式时，可以结合个人信息的处理活动以哪一方的名义进行开展来进行辅助判断。

1.共同处理：共同处理指，各方共同决定处理目的和处理方式，任一方均不具有独立控制权的一种处理模式。

涉及数据共同处理时的注意事项：根据《个人信息保护法》的规定，共同处理个人信息时，个人信息权益受有损害的，由共同处理者连带承担责任。但是法律并未就内部的追偿作出规定，可以由合同进行约定内部的责任分摊措施。

2.委托处理：委托处理（含受托处理）指，仅委托方有权决定处理目的和处理方式，受托方无独立控制权的一种处理模式。委托处理的法律关系与“委托”的民事法律关系接近。此外，委托处理过程中可能会产生因委托加工而形成的新的个人信息数据，针对该类新产生的数据，可以在协议中将其进一步纳入个人信息保护条款的规制范围。

涉及数据委托处理时的注意事项：

（1）委托处理需要非常明确具体的协议内容约定，见《个人信息保护法》第21条；

（2）委托方有对受托方进行监督的法律义务；

（3）受托方在合作结束后有不得保留个人信息的要求；

（4）未经个人信息处理者同意，受托人不得转委托他人处理个人信息；

（5）需要事前进行个人信息保护影响评估。

3.提供：提供（又称“共享”）指，信息提供方和接收方各自为独立的个体，各自决定各自的处理目的和方式，均有独立的控制权的一种处理方式。

涉及数据提供时的注意事项：

（1）应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意；

（2）接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息；

（3）接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意；

（4）需要事前进行个人信息保护影响评估。

四、数据资产入表概览

财政部于2023年8月1日颁布了《企业数据资源相关会计处理暂行规定》（财会〔2023〕11号，“《暂行规定》”），自2024年1月1日起施行，标志着数据入表迈开了关键性的一步。《暂行规定》主要内容包括以下三部分：

一是适用范围

《暂行规定》适用于企业按照企业会计准则相关规定确认为无形资产或存货等资产类别的数据资源，以及企业合法拥有或控制的、预期会给企业带来经济利益的、但由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源的相关会计处理。

二是数据资源会计处理适用的准则

根据“企业使用的数据资源”、“企业日常活动中持有、最终目的用于出售的数据资源”两种场景，分别明确了相关会计处理适用的具体准则。

三是列示和披露要求

企业应当根据重要性原则并结合实际情况增设报表子项目，并在会计报表附注中对数据资源相关会计信息进行披露。

在实践层面，地方数据交易所已经开始提供数据资产入表服务。深圳数据交易所于2023年12月10日公布，其设立的深圳·杭州数据要素服务工作站开发了“一站式企业数据资产入表平台”，并且已经完成首单案例，在该首单案例中客户已经完成企业数据资产入表的所有前期准备工作，在《暂行规定》正式实施后，即可将数据资产正式入表并进行披露。天津也有地方国企完成了数据知识产权质押贷款业务。

BOSS & YOUNG

律师介绍

王斌

邦信阳律师事务所 合伙人 📍上海

   thomas wang@boss-young.com

邦信阳律师事务所合伙人，上海市破产管理人协会个人会员，上海市法学会破产研究会委员，中小投资者服务中心公益证券诉讼律师。王律师专注于破产清算与重整、收购兼并、证券诉讼、数据合规领域。

沈越

邦信阳律师事务所 专职律师 📍上海

   shenyue@boss-young.com

沈越律师加入邦信阳律师事务所后，专注于服务国有企业和政府部门，并以数据合规与网络安全相关服务、竞争法律和政策为特色。沈律师为各级政府部门提供竞争政策推进、商业秘密保护等专项法律服务，在企业合规和政府法治领域具有丰富服务经验。沈律师获得欧盟国际隐私信息保护专家(CIPP/E)、注册信息隐私经理（CIPM）认证。沈律师为大型国有企业、保险公司、外资企业等提供个人信息保护和数据合规法律服务，涉及数据出境安全评估申报、SCCs签署、行业数据共享、App及互联网平台上线等。

 彭喜文

 邦信阳律师事务所 专职律师 📍上海

   pengxiwen@boss-young.com

彭喜文，邦信阳律师事务所专职律师，华东政法大学国际法学硕士，华中师范大学法学学士、经济学学士。彭喜文专注于投融资并购领域法律实务，此外在数据合规、结构化金融产品、银行与金融领域上具备一定的实践经验。