近日，中国国际服务贸易交易会（以下简称：服贸会）—“2023中国企业国际合规论坛”在京举行。奇安信凭借在企业合规建设等方面取得的成就，入选了本次论坛合规优秀案例，同时案例被收录至《中国企业国际合规蓝皮书（2023）》，为大企业“走出去”提供实战经验。奇安信法律合规中心负责人、首席法律顾问马兰出席论坛并进行了主题演讲和圆桌对话。

“合规已成为企业经营和国际化的生命线。”马兰表示，随着各种围绕数据相关的新的立法和司法实践不断涌现，数据安全合规成为了企业经营的“必考题”。一旦不合乎规定，轻则面临巨额罚款，重则吊销营业执照，这对于任何企业而言都是难以承受之重。

从形式合规走向实质合规

(相关资料图)

众所周知，数据作为数智时代的新型生产要素，已经成为推动全球经济发展的核心驱动力。鉴于数据的重要性，数据安全和合规的重要性也不言而喻。近些年来，世界各国都相继出台了多部数据安全相关法律法规，以确保本国数据主权、安全等不受侵害。

与此同时，因违反相关法律法规导致巨额罚款的新闻层出不穷，罚单金额也不断刷新上限。以今年为例，5月22日，爱尔兰数据保护委员会（DPC）为Meta开出了13亿美元的天价罚单，原因是Meta公司数据传输违反了GDPR的规定。不久前，国内某知名公司因“违法处理个人信息行为”，被国家网信办处以5000万元的顶格罚款。

“从近年来各国的司法实践来看，数据安全合规已经从形式合规逐渐向实质合规迈进。”马兰表示，传统的合规更加重视“形式”，即检查有没有相应的数据加密、数据脱敏等保护手段，很多企业仅仅把合规当成“应试”和“交差”，觉得只要通过检查和测试就万事大吉；而随着法律法规的不断完善，合规更加重视数据安全的结果，即关注数据有没有泄露、有没有窃取、有没有被滥用或者违规出境等，再依靠简单部署几套产品就可以应付合规的时代已经一去不复返了，这对于所有企业而言都是一个更加严峻的挑战。

据马兰介绍，在管理层面，奇安信搭建了数据安全与合规关键组织架构，包括设立高级管理层参与决策的数据安全管理部门以及跨组织的数据管理协调部门等；在业务和运营层面，奇安信全面建设了国际数据安全与合规的管理体系，包括数据安全组织架构、数据安全与合规制度体系、进阶培训机制、事件与风险运营双闭环机制等，并通过数据安全管理认证的方式规范集团的网络数据处理活动，为涉外的网络安全产品及服务提供增添了新的动力。

技术是安全合规的核心保障

“需要注意的是，数据安全合规建设是一项非常复杂的工程。”马兰强调，数据合规仅建立制度和管理层面的静态体系是远远不够的，必须借助技术手段实现覆盖数据全生命周期和业务全流程的安全与合规管控，实现动态以及持续性的实质性合规。

结合奇安信多年数据安全合规实战经验，马兰在“国际竞争新形势下，合规机遇与挑战”的圆桌对话环节，提出了以下三点建议。

第一，企业需要评估自身是否存在特殊性，有无重要数据。《数据安全法》强调维护数据安全，应当坚持总体国家安全观，企业需要评估自身是否为关键信息基础设施或者其他行业特殊性从而掌握重要或者核心数据。在此基础上，再开展数据分类分级、做有针对性的保护（比如加密、隔离存储等），从而确保重要数据处理合法合规，特别是涉及到国家安全的数据更是要本着审慎原则开展相关的合规工作。

第二，企业需要关注个人信息的合规和安全工作。个人数据的处理是大部分企业会面临到的问题，对于企业而言，首先需要厘清个人数据的存储和使用情况，包括相关数据存在哪里，有无敏感个人数据，哪些部门在使用以及使用的场景；其次，根据前述情况做合规性的评估，避免出现违反《个人信息保护法》以及相关个人信息保护的法律法规的情况；最后，辅以有效的安全保护技术手段和策略（包括但不限于脱敏、设置访问控制以及传输加密等），从实质结果上避免出现类似数据泄露等侵害个人和公共利益的数据安全事故。

第三，企业需要根据自身业务情况开展专项数据合规工作。如存在数据跨境场景的，应当选择合适的出境合规路径；如果是AI大模型行业相关的企业，需要关注是否涉及算法备案以及其他大模型领域的特殊性合规问题等。

“企业要结合自身的实际情况，定期开展数据安全以及合规风险评估和建设工作，借助技术手段，将数据合规和安全贯穿于数据处理活动的全过程，确保在合法合规的框架下，充分释放数据要素的价值。”马兰最后总结道。

关键词：