习近平总书记在中央全面深化改革委员会第二十四次会议强调，要推动国有企业完善创新体系、增强创新能力、激发创新活力。2022年10月16日习近平总书记在党的二十大报告中强调：建设现代化产业体系，坚持把发展经济的着力点放在实体经济上，推进新型工业化，加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国。

国有企业作为掌握国家经济命脉的重要经济组织，在推动经济社会发展方面具有不可替代的重要作用。合规管理是企业可持续发展的基石，是企业防控合规风险、提升核心竞争力的重要保障。加强企业数字化合规管理，是国有企业改革的重要组成部分，也是落实党中央全面“依法治国”战略和全面推进“依法治企”要求的重要举措。同时，在数据要素作为数字经济时代关键性的生产要素和重要的战略性资产之际，面对泛全球化的数据安全问题，国家迫切需要建立等保合规体系。

[1]首当其冲即为代表国民经济的国有企业的数据合规管理体系构建。各国政府大多倾向于通过宏观政策和国家立法促进本国数字经济和数字贸易的发展，且出于对国家安全和国家利益的考量，其也普遍加强了在数据安全和合规领域的监管力度，这无疑给我国企业数据产业的发展带来了更多挑战和考验。

国有企业的优势在于整合数据资源，与国家安全联系的更为紧密，在进行数字化转型的过程中，更应发挥国有企业示范引领作用，总结提炼数字化转型经验做法。为国有企业制定系统、完善的合规体系应对策略，积极应对企业在数字业务拓展中可能面临的数据安全威胁与合规风险，探索建立有中国特色的国有企业数据合规管理体系。

国有企业在国民经济中发挥着“稳定器”的重要作用，是市场的中坚力量，同时也是合规管理的主力军，在数字经济下国有企业更加应当在强化合规管理、遵循国际数据规则标准方面发挥引领示范作用。国有企业数据合规指的是企业为了防控合规风险所建立的一项专项治理机制，由数据合规政策和数据合规管理流程两大要素构成。[2]其主要管理对象为国有企业数据全生命周期的流程，具体内容包括数据产生、数据传输到数据接收，各流程的挑战各有不同。

总的来讲，国有资产保值增值带来的各项数字化转型过程中涉及到的企业内部、外部设置是整个产业链、价值链体系的所有相关数据。国有经济数据保护的重要性不断加强，为世界经济发展作出重要贡献，但国有经济发展特别是数字化建设依然面临很大挑战。

一是数据安全风险加剧。国有企业具有原创技术策源地的重要作用，其超前布局前沿技术与丰富的数据资源成为我国经济新的增长点。同时，国有企业数据的特殊性也成为各国黑客组织主要窃取的重要目标，亟待构建完善的保护系统。

二是数据运行环境有待进一步优化，指数据生命全周期的运行环境，是释放数据价值的载体，如推动新基建工程、云配置等数字基础设施跨境一体化发展，但目前仍存在设施投入与区域合作不够深入，数字经济潜力难以有效发挥等发展瓶颈。

三是数据主权管辖博弈冲击持续，数字合规风险突出。不仅存在法域冲突，企业数据还存在的法律属性识别与分类困难。

面向“十四五”关键时期，信息技术快速演进，数字经济蓬勃发展，数字产业化和产业数字化快速推进，海量数据资源汇聚融合、开发利用，数据要素倍增作用凸显，助推数据资源“势能”转换为数字化转型升级的“动能”，推动数据价值的正向发挥，使得各国高度重视并围绕数据开展战略博弈。根据天际友盟2022年全球主要APT攻击（也称为定向威胁攻击，相对于普通的黑客攻击工具，具有高级性、可持续性、隐秘性）活动报告显示：2022 年上半年，研究人员发现多起针对我国的 APT 攻击活动。这些攻击活动的目标主要集中在科研单位、政企组织、国有高科技企业等行业中。

与 2021 年下半年针对国内的攻击活动相比，攻击范围有所收敛，但是通过钓鱼邮件、僵尸网络等传播窃密木马及挖矿软件，也造成了比较严重的影响。其中，2022年6月西北工业大学遭遇的网络攻击事件的主谋确定为美国国家安全局（NSA）特定入侵行动办公室(TAO)。同年9月，国家计算机病毒应急处理中心发布《美国NSA网络武器“饮茶”分析报告》（以下简称《报告》）。《报告》显示，NSA专用的网络武器“饮茶”（NSA命名为“suctionchar”）主要针对Unix/Linux平台，其主要功能是对目标主机上的远程访问账号密码进行窃取。理论上，“饮茶”也可以提取所有攻击者想获取的信息，是功能先进，隐蔽性强的强大网络武器工具。[3]由此可见，国有企业面临的数据攻击具有以下特点：

1.网络攻击更具政治企图。从近几年的全球网络攻击来看，由单纯经济牟利转向实施数据破坏、窃取战略机密、谋取政治诉求等多重企图，攻击意图愈加复杂化。具有国家背景的黑客组织表面上看针对企业进行窃密活动，却是为了掩护其进行数据破坏、情报猎取等真实意图，秘密发动网络战。2021年，伊朗国家级黑客组织Agrius对以色列实施勒索攻击，表面留下了索求赎金的信息，但背后早已窃取了目标系统的重要情报数据，并通过“随机字符覆写文件”机制，对相关数据进行了永久性销毁。

2.网络攻击目标更加定向。网络攻击对象由无差别的个人设备转向政府及公共部门、大型企业等具有关键信息基础设施属性的定向机构，且勒索策略日趋精准化。关键性基础设施数据资产价值较高，因其多会使用联网系统，遭受攻击的影响范围较广、后果较重，可以为攻击者带来最大的投资回报率。

3.网络攻击更具专业化。网络攻击行为由个人或单个黑客团伙攻击转向层级分明、分工明确的黑色产业活动，网络攻击行为日益专业化。为实现价值多向变现，黑客团伙除自身发动网络攻击外，还会借由暗网和虚拟货币技术，对外出租或售卖成熟的攻击软件产品和服务，这促使数据窃取“产业链”逐渐形成。不同黑客团伙之间开始着手构建具有精准配合关系的网络攻击商业联盟，通过共享受害者信息等手段，扩大网络攻击商业模式，并进一步增强攻击能力和隐蔽性。

所谓数据运行环境，指在数据采集、数据存储、数据处理等环节中的载体的总和，特指数据在产生、流动、存储、应用等过程中赖以附着的进行人机交互的操作系统（如大数据系统、数据库系统、文件系统、存储系统等），是数据赖以存在并确保自身安全的“免疫系统”和护城河。[4]主要从两个部分进行论述：

一是新型基础设施建设有待完善。新型基础设施建设，简称新基建，主要包括5G基站建设、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联网七大领域，涉及诸多产业链，是以新发展为理念，以技术创新为驱动，以信息网络为基础，面向高质量发展需要，提供数字转型、智能升级、融合创新等服务的基础设施体系，是数据产生、运行的重要基础要素。《关键信息基础设施安全保护条例》第2条也指出，关键信息基础设施运营者（CIIO）掌握的个人信息和数据关系到国计民生的重要领域，其对数据处理的合规性与国民数据安全之间具有密切联系。国有企业作为构建新基建工程的主力军，不仅要构筑支持自身运行、发展的基础设施建设，还要承担全国数字经济发展的基础工程。

现阶段，还存在各类建设标准和规范不统一的问题，对于类型多样、来源多元化的海量数据，数据接口、数据开放模式、数据共享设施配置不当，区域间发展不平衡。亟待强化标准体系建设和发展路线研究，以保证在全球的数字竞争中的竞争力优势。

二是云配置不当。据相关调研结果显示，云配置不当导致信息安全得不到保障是企业应用公共云面临的最主要问题。其中，50.8%的企业认为应用公共云存在的问题是信息安全得不到保障。这种错误会导致数据泄露，允许删除或修改资源，导致服务中断，并对业务运营造成严重破坏。更有甚者，由于配置不当导致的漏洞有可能成为舆情事件，不利于企业的营商环境的构建。尤其对于数据跨境业务中，因为云配置较弱以及规则标注不详的情况下，我国处于劣势地位。比如，俄罗斯要求企业在进行涉及到个人数据传输过程中，需要利用云服务来提高对其国内个人数据存储本地化的规范的适用效能；印度要求跨境数据传输需要在印度境内的服务器或者数据中心进行处理，这也增加了企业对于云存储的支出[6]。

“万物得其本者生，百事得其道者成。”数据合规风险梳理是迎接国有企业数据风险挑战的重要方法，确保可适应数字经济时代发展的国有企业科学数据商业模式的形成。[7]国有企业要主动把握时代机遇，一方面以数据合规管控催生企业实现数字化转型；另一方面，完善数据跨境治理方案，利用已有法规框架设置适合国有企业数据合规框架，与国际数据规范接轨，以降低投入和运营成本。

1.国有企业数据合规管理困境

数字经济下，国有企业生产经营过程中产生的数据呈爆炸式增长，且为应对数据要素市场需求，亟待实现传统产业的数字化转型，涉及数据类型丰富多变。

一方面，不仅涉及到个人数据，如客户数据、用户数据、合作方数据、供应商数据、内部员工数据等；还涉及到业务数据，如产品数据、日常经营数据、研发数据、内务管理数据等，极大增加了企业数据管理的难度和成本。

另一方面，国有企业业务场景繁杂多样。企业运行中的业务场景的变化与企业内部流程细化曾正相关，并且业务发展带来的业务数据也不断在交互融合，更加剧了数据属性的识别困难，业务版图和业务领域不断扩展或变化，业务数据随之交互融合，也为企业对数据的法律属性类型识别带来了模糊性和不确定性，从而带来相关责任方识别的难度和数据合规管控的困境。

2.国有企业数据跨境治理困境

国有企业承担探索数字经济国际化发展路径。在开展数据跨境流动活动时，需要同时考虑数据输出地和输入地的数据跨境规则，但不同法域数据跨境规则的不同，对企业“双向合规”带来困难。[8]由于属地管辖、长臂管辖等因素，数据流通需要满足多法域规则，存在法律冲突隐患，对国有企业数据跨境合规治理能力提出考验。比如，美国从价值取向上鼓励数据跨境流动，因此CCPA 未对数据跨境流动设置障碍。相反，欧盟 GDPR 却为数据跨境流动设置了层层障碍。

中国企业在与欧盟开展贸易的过程中，应严格履行 GDPR 关于数据跨境传输协议、跨境安全传输措施、BCR认证、必要性测试和利益平衡测试等要求，避免因跨境传输不当遭受处罚。我国《个人信息保护法》、《数据安全法》等在如何与国际通用数据法律法规进行有效对接这一问题上，现行的以及即将出台的规范性文件并无详细规定，相关条文基于部分国际合作协议或联合声明而制定，这对于我国在国际数据规则制定上的主导地位会产生不利影响，从而影响数字经济营商环境的构建。[9]国有企业需要秉承我国法律规范的基础上，结合国家交易习惯，通过调查国际通用数据条例，完善与他国在国际协助与国际贸易上的接洽，否则将会形成新时代的“闭关锁国”。

强化国有企业数据安全法治保障是全面推进依法治国的应有之义。国有企业数据安全事关国家安全和经济命脉。筑牢数据安全防线，是推进国家治理体系和治理能力现代化的必然要求和重要体现，也是“发展网络经济，建设网络强国”战略部署的坚实保障。一是落实四部上位法要求，细化实施路径。目前，我国在贯彻落实总体国家安全观之下，通过《网络安全法》、《数据安全法》、《个人信息保护法》、《密码法》在立法层面推进网络攻击治理。二是建立网络攻击事件报告机制。面对越来越有针对性的网络攻击，从国家层面入手加强对网络攻击犯罪活动运作方式及攻击软件威胁的全面了解，帮助执法部门制定更好的应对措施。三是是对网络攻击者实施更严厉的惩罚，增强网络攻击犯罪活动威慑力。虽然我国也设立了涉网络的相关罪名，但是网络攻击对于外国发起的行为依然要延续属地原则，以保护主体为界定标准。以严厉的惩罚，增强网络攻击犯罪活动威慑力。

强化关键信息基础设施网络安全保护，优化数据运行能力和防范数据泄漏事件。

一是推进标准化数据运行应急响应机制建设与落实。借鉴美国、英国、欧盟等地相关做法，从“事前”防范、“事中”监测遏制恢复、“事后”回溯修补等层面出发，研究制定关于数据运行标准化应急响应机制及流程的相关指南文件，在此基础上，推动“关基”机构严格落实应急响应机制建设，并定期组织“关基”机构开展数据保护攻防演练，保障重要“关基”系统在遭遇重大数据泄漏或者攻击时具备良好的弹性恢复能力。

二是组织开展底层加密技术研究与攻关，积极探索零信任、AI等新型技术在数据运行中的应用。习近平总书记强调：“科技创新是核心，抓住了科技创新就抓住了牵动我国发展全局的牛鼻子。”发挥国有企业在数字经济科技创新中的主体作用，推进国有企业大数据技术体系建设。适应数字时代发展特点，与科研院校联合开展产学研用等各方面资源深度融合。比如陕西“秦创原创新驱动平台”的建立，打破科技优势与经济发展转化“堵点”，建立陕西省最大的孵化器和科技成果转化特区，充分发挥了国有企业的引领作用。不仅带动形成包括国有企业在内的各中心企业新的增长点，也提升服务经济社会发展的能力。

三是增强云配置计算环境的安全指数。国有企业的数据收集、处理等数据处理方式是提高云配置实用性的关键，因为企业没有代码和自动化持续交付管道，所以适用于企业的云配置计算环境的每个数据处理行为，都应作为可执行代码来表达和实施。并且，企业需要跨云平台建立并保持对云计算环境的全面可见性，并持续评估每次更改的安全影响，其中包括潜在的破坏风险，以有效地管理和实施安全策略，并帮助开发人员在开发过程的早期获得安全性。[10]

新技术迭代衍生出新的风险，针对数据的攻击、窃取、劫持、滥用等手段不断推陈出新，经济、政治、社会等各领域面临巨大潜在风险。国有企业要全面、客观、冷静分析形势，直面数据治理问题，切实利用好数字经济发展的重要战略机遇期，统筹国有企业优势数据资源，梳理和明确企业内部、外部受管控的数据主体，具体内容包括个人信息和重要数据。对于个人信息的识别，对标国内相关法律规范与国外个人信息保护制度，明确“直接或间接的可识别性”在各法域的具体解释与实践适用。

对于重要数据，国有企业要持续关注重要数据相关监管政策出台和案例解读分析，以及时调整自身数据管理合规体系，应对不同场景的合规需求，为合规差距分析和明确合规治理重点提供坚实的实践基础，进而打造具有国际竞争力的数字产业集群，为具有中国特色的数据产业链提供全面支撑和实质引领。

对于国有企业数据跨境合规风险需要建立专门制度，明确数据主体各方责任，并积极寻求扩大各自数据生态系统推进数据跨境安全治理法治化，深化国有企业在数字经济领域的对外开放合作，依托工程项目、中欧班列、跨境合作区等重要载体，加快“一带一路”沿线国家和地区的数字基础设施互联互通互认，从而全面推动数字基础设施共建共享，[11]并逐渐形成一套合规管理体系国际标准。