企业数据风险管理须抓好三点

2018年，GDPR（欧盟通用数据保护条例）正式生效，开启了一个新的数据合规时代。国内在网络安全和数据保护领域，也有一些新的法规和国家标准陆续出台，如《网络安全等级保护条例》、《信息安全技术 个人信息安全影响评估指南（征求意见稿）》等。面对趋严的监管态势，企业如何做好数据风险管理非常关键。

在安杰律师事务所合伙人杨洪泉看来，首先，企业要清楚地了解在现阶段所处理的数据主要类型、应用场景、数据收集、存储、使用、对外提供、删除的具体做法、涉及的企业信息系统和第三方等等，在此基础上进行数据映射分析。

其次，企业需清楚了解相关法律规定对于不同类型数据的分类标准、监管要求和法律责任，基于数据性质的不同可赋予不同的风险值。从数据类型来看，企业可能涉及的数据包括国家秘密、重要数据、个人信息、商业秘密和企业的其他数据。我国法律对于国家秘密、重要数据、个人信息有较为严格的监管要求，违反相关规定可能引起较为严重的法律后果，因此企业需额外重视。

最后，在数据映射分析和法律性质分析的基础上，企业需严格按照相关法律和法规的要求，参考相关国家标准推荐的良好实践，并结合企业实际，设计具体的保护措施。这些措施应以企业内部规章制度的方式进行规定，做到有据可查。此外，企业还可以借助相关IT工具对各种类型的数据进行管理，从而使得企业数据资产、数据风险管理能够实现全流程清晰透明、企业持续合规的目的。

我国和国际上对网络安全和数据保护的法律和监管框架正在逐步完善，企业将面临数量众多的法律法规、国家/行业标准、复杂的监管环境。“这给企业法务和合规人员提出了更高的要求。一方面，企业法务和合规人员需不断学习新法律法规和国家/行业标准，熟悉适用于本行业的相关规定；另一方面，数据和网络安全合规问题与企业具体场景紧密相关，企业法务和合规人员需对相关业务场景足够熟悉并有全局观念，与企业内部其他部门保持较为紧密的联系，为企业发展提供切实可行的数据保护和网络安全合规建议。”杨洪泉表示。（穆青风）