随着数字经济不断发展，数据正成为企业关键的生产要素，数据的价值与安全性之间的矛盾也不断产生。但在数字经济领域，过去因为各种原因，存在着数据安全监管的法律法规相对滞后的问题。

数据安全法与《中华人民共和国网络安全法》，以及即将于11月1日起施行的《中华人民共和国个人信息保护法》，共同构筑了中国网络空间治理的顶层法律制度。随着这些制度落地，标志着数据不仅将是重要的商业资源和生产要素，也将是基础性的国家战略资源，为数字化时代向各行业发展带来新的机遇挑战。

在数据价值日益凸显，监管的环境日趋规范的新形势下，企业对于数据的管控能力和用户信息的管控的水平，已经成为影响企业发展潜力和核心竞争力的重要因素。

如何切实履行网络安全运营的主体责任，做好网络和数据安全保护工作，落实合规要求，一定是企业将来工作或者是谋划长远发展的重点问题。保障数据安全不单单是企业自己的问题，同样也是国家的数据主权和国家安全问题。

值得注意的是，数据安全法第二条第二款明确规定：“在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。”可以看出，数据安全法的立法并非针对某一类特定企业，凡涉及数据处理的境内境外企业均在其中。

事实上，各国在数据安全领域也有各自的规范。2018年初，美国就正式签署了《清澄境外数据的合法使用法案》，该法案更新了执法人员查看存储在互联网上的电子邮件、文档和其他通信内容的规则，使得执法机构更容易要求服务提供商可以访问存储在国外的数据，而不管数据存储在哪个国家。欧盟随后也出台了《通用数据保护条例》，按照此条例，收集欧盟公民数据的企业必须遵守欧盟规则，受欧盟管辖。

企业出海后，也将面临双重监管压力，不仅有中国的监管部门会管理，欧盟、美国也有相关的监管措施。对于想往海外发展的企业而言，数据合规能力可以说是企业出海最重要的一环，企业需要通过安全评估，建立完善的数据存储与管理合规体系，保障数据在使用和流转过程中的合规问题。

一、建立国家安全思维

随着社会经济的发展，信息化、数字化已经成为趋势。中共中央、国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》也将数据作为新的生产要素上升到基础战略资源地位。可以说，数据安全、网络安全直接关乎国家安全。

企业在数据处理活动中，首先应有的是国家安全思维。在日常合规工作中，部分企业存在一种思维偏差，认为自身并非关键信息基础设施运营者，处理的数据也并非重要数据，根本不能上升到国家安全的维度。但实际应用中，企业对于国家安全、国家核心数据、重要数据等认识不足，存在违法犯罪可能性。涉及国家安全的问题，一旦具有风险对于企业将是毁灭性打击。

所以《数据安全法》规定，国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。同时，建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查，对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

企业也要对于处理的数据分级分类管理，严格遵守安全审查、出口管制、出境评估等制度，对于重要数据和核心数据进行加强保护。

二、体系化合规思维

对于大型企业，尤其是大型互联网企业，数据合规体系较为健全。但是对于中小企业，在体系化合规思维上认识不足，合规实践能力欠缺。

数据合规首先要考虑的是商业模式合规。从部分企业IPO被否、部分大数据企业被追究刑事责任以及部分社会热点事件等案例中可以看出，企业合规经营中非常重要的一环是对商业模式进行合规性审查。当前数据领域应用灵活，商业模式多变，法律规制不够完善，导致很多企业在数据处理活动中没有深度研究商业模式合规，或者基于合规成本考虑，简单应用模式化、标准化合规文件和技术，为企业经营埋下风险。所以涉数据处理企业应在初始经营、新产品上线、战略转型、投资并购等环节中，加入商业模式合规审查制度。

另外，企业数据合规工作要技术与法律并重。部分企业重技术轻法律、重法律轻技术，均存在风险。完善的企业数据合规体系应当包括：商业模式合规、技术和计算机系统方面的有效措施、建立健全全流程数据安全管理制度、组织开展数据安全教育培训、应急措施设置、定期风险评估、出口管制等方面。

三、法律风险识别层次化思维

企业合规首先应该识别风险。对于法律方面的研究，要建立以法律责任为基础的多维度风险意识。具体而言，应该分别从刑事责任、行政责任、民事责任、社会公德和伦理等方面综合分析自身商业模式或者产品存在的风险，针对不同风险制定不同层次的合规措施。

其次，对于企业来讲，盈利是第一位的。在合规的基础上，还要保障商业模式可行，平衡处理发展和合规之间的关系。企业经营必然会有风险，再完善的合规体系都不能完全杜绝风险的发生，企业基于战略布局的考虑，在必要时也会平衡风险与盈利。作为经营者，应该坚守合规理念，在识别风险的基础上，坚决构建企业刑事合规、行政合规体系，考量社会公德和伦理，平衡民事风险。同时，针对经营中可能引发的风险，还要针对不同风险因子做好应急预案。

企业合规是未来趋势，企业经营中的数据合规也具有诸多挑战。作为企业经营者，首先应构建数据合规思维体系，然后根据法律规定和实践需要，建立完善的数据合规体系，同时建立动态合规制度。目前《网络安全法》早已实施，《数据安全法》即将正式实施，《个人信息保护法》亦在制定当中，对于企业数据合规的立法和建章立制工作在不断完善，也对企业合规提出新的挑战。但无论世界如何变化，合规依然是企业基业长青的基础！