哪些企业需要进行数据合规

⑴ 《个人信息保护法》正式实施，企业如何保证数据安全合规

现在的大数据时代，已经没有什么个人隐私而言了，你的所有数据基本上都被各个软件掌握，再大数据一汇总，基本上就没隐私了。

就比如，现在很多人都发现了，你和朋友聊天说个什么包啊，鞋子啊，手机都在监听，一会儿以后，你再打卡淘宝推荐就会有，有时候你网络了一下哪个鞋子，京东，淘宝，全都会推荐，这就是大数据分析。

回归正题，我个人认为现在唯一的保证数据安全的方式就是电脑不联网，就像我之前维修电脑的一个单位。

所有电脑全部都是在一个总内网办公，文件全部光盘拷贝，不准插U盘，一旦插过U盘，电脑系统必须重做，某些朋友应该知道是哪些单位了，他们的电脑也有个好处，不会轻易中毒，也没有杀毒软件，很流畅，但缺点就是一旦中毒，没救[捂脸]

以上均为个人观点，不喜勿喷，谢谢！

⑵ 合规创造价值：新经济领域（拟）上市企业的若干合规要点分析

走出去智库观察

近来，滴滴被查引发了人们对上市企业跨境数据合规的的热议。今年上半年，国内互联网企业扎堆奔赴美股，但因跨境数据安全问题引发的系列影响，使这些企业不得不重新审视相关合规问题。

走出去智库（CGGT）特约法律专家、中伦律师事务所顾问贾申认为，从近期监管趋势来看，跨境数据传输是新经济企业上市应特别关注的合规点。根据《网络安全法》和《数据安全法》规定，包括公共通信、信息服务、金融业和其他重要行业、领域的关键信息基础设施的运营者，应将境内运营期间收集和生成的个人信息和重要数据储存在境内，如需向境外传输，则应按相关规定进行安全性评估。

新经济领域（拟）上市企业如何做好跨境数据合规？今天，走出去智库（CGGT）刊发中伦律师事务所蒋蕙匡、贾申、李梦涵、于佳永、罗仪涵的文章，供关注跨境数据合规的读者参考。

要 点

CGGT，CHINA GOING GLOBAL THINKTANK

1、对于赴境外上市的公司而言，VIE架构是一种常见的公司架构，建议企业在搭建VIE架构和实际运营业务过程中，充分考虑业务类型和交易结构，系统、人员、设备设置，以及资金和数据流向，辅以完备的内部规章、协议、信息披露制度和授权安排，以充分遵循数据合规要求。

2、新经济领域的企业还应特别关注数据合规与反垄断合规的交叉领域。《平台经济指南》明确提及了经营者利用数据或算法排除、限制竞争的多种行为模式。

3、行业性监管政策的变化频繁，特别是在关系国计民生的重要领域，相关部门已明确透出强力监管的信号。以教育和交通行业为例，相关领域的平台企业应当密切关注行业性监管政策之下的合规要求。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

作者简介

蒋蕙匡 律师

北京办公室 合伙人

业务领域： 反垄断和竞争法, 跨境投资并购, 合规和反腐败

特色行业类别： 能源与自然资源, 通讯与技术, 健康 与生命科学

贾申

北京办公室 顾问

业务领域： 反垄断和竞争法, 贸易合规和救济, 诉讼仲裁

李梦涵

北京办公室 合规与政府监管部

于佳永

北京办公室 合规与政府监管部

罗仪涵

北京办公室 合规与政府监管部

2021年7月6日，中共中央办公厅、国务院办公厅发布《关于依法从严打击证券违法活动的意见》（“《意见》”），其中“完善数据安全、跨境数据流动、涉密信息管理等相关法律法规”，“切实采取措施做好中概股公司风险及突发情况应对”等意见，清晰指示了当前资本市场的又一个重要合规方向，充分体现了我国对上市公司监管的决心与力度。近期，中国网络安全审查办公室（“网信办”）接连对数家赴美上市的平台企业开展网络安全审查，并于2021年7月10日发布了《网络安全审查办法（修订草案征求意见稿）》，引发了公众和业界对中国跨境数据安全监管和中概股公司跨境证券监管政策的强烈关注和广泛讨论。（相关解读： 激活网络安全审查制度 筑牢数据安全防火墙——《网络安全审查办法（修订草案征求意见稿）》评析 ）2021年7月30日，美国证券交易委员会（SEC）主席Gary Gensler发表声明称，SEC将修改有关涉及中国企业境外上市的信息披露规则，增加特定的信息披露要求（包括说明VIE公司与发行人之间的财务关系、赴美上市是否获得政府批准等），以更好地保护投资人的利益。

近年，各行业领域涉及境内外上市企业的司法、行政执法案件层出不穷，相关企业上市招股书中针对政府监管的风险提示说明和清单渐长，中概股合规问题同时引起了中美两国监管的高度重视，提高合规水平和完善合规制度对于（拟）上市企业的重要性愈加凸显。在此背景下，本文结合既往经验和观察，将从 网络安全与数据合规、反垄断、反不正当竞争、行业性监管政策 等方面，分析互联网平台等新经济领域（拟）上市企业的合规要点，以期为相关企业的合规建设和合规应对提供参考。

合规点一：网络安全与数据合规

我国已出台的《网络安全法》《数据安全法》及即将出台的《个人信息保护法》构成了网络安全及数据安全合规领域的“三驾马车”。新经济领域的上市公司和拟上市公司通常掌握大量的各维度数据，应特别关注网络安全与数据合规的相关要求。

从近期监管趋势来看，跨境数据传输是企业上市应特别关注的合规点。根据《网络安全法》和《数据安全法》规定，包括公共通信、信息服务、金融业和其他重要行业、领域的关键信息基础设施的运营者，应将境内运营期间收集和生成的个人信息和重要数据储存在境内，如需向境外传输，则应按相关规定进行安全性评估。但是，对于如何进行此类安全评估，目前尚未出台正式的法规或指南。这可能对拥有多个数据中心、可能需要在不同国家地区之间传输某些个人数据的互联网公司造成影响，相关企业应密切关注这一领域的立法与执法动态。此外，《数据安全法》已明确提出要建立数据分级分类保护制度和国家核心数据管理制度：一方面，对于关系国家安全、国民经济命脉、重要民生、重大公共利益的国家核心数据实行更加严格的管理制度；另一方面，相关地区和部门将进一步制定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。未来更详细的数据分级制度出台后，企业应依法依规做好数据分类工作，并严格采取相应的数据管理和保护措施。

在个人信息保护方面，无论相关企业是境外上市或是境内上市，数据合规问题均易引发媒体公众的高度关注，也会受到监管部门的重点问询，包括数据来源合法合规问题、数据使用合法合规问题、数据相关的业务经营问题等。

例如，对于掌握大量用户数据的互联网平台企业而言，应特别关注数据来源的合规性：

获取用户数据信息的来源、获取途径、授权方式及协议，授权是否明确且合法有效，收集用户信息时是否明确告知收集信息的范围及使用用途；

获取个人数据是否对用户有明确提示、收集的数据是否限制在必要范围内、是否仅概括性提示收集用户信息、是否超出用户授权范围使用数据、或存在未经其他平台的授权直接收取数据的行为；

通过APP以《用户协议》、《隐私政策》等协议约定获得用户授权过程中，收集个人用户信息、向个人用户推送广告等有无明确告知用户收集、使用信息的目的、方式和范围。

合规点二：反垄断合规

反垄断合规作为热点领域，对于企业上市前后合规建设的重要性正逐渐凸显。今年以来，关于国内互联网巨头的各类反垄断处罚决定或传闻对于企业股价及市场均造成了一定的影响。例如，2021年4月10日，国家市场监督管理总局（“总局”）对某电商平台滥用市场支配地位“二选一”的垄断行为做出行政处罚决定，对其处以2019年度中国境内销售额4%的罚款，共计182.28亿元，成为迄今中国反垄断执法机关开出的最高额罚单。（相关解读：从史上最高罚单看企业反垄断合规的重要性）同时，总局向该平台发出行政指导书，并于此后要求34家互联网平台企业做出《依法合规经营承诺》。一系列执法和行政指导举措均体现了企业在反垄断领域全面合规的重要性。

我们建议，新经济领域的平台企业（包括采取/拟采取VIE架构在境外上市的企业）应特别关注经营者集中反垄断申报的合规要求。国务院反垄断委员会发布的《关于平台经济领域的反垄断指南》（“《平台经济指南》”）第十八条规定，“涉及协议控制架构的经营者集中，属于经营者集中反垄断审查范围”，明确了VIE架构的企业开展经营者集中时，如营业额标准达标应触发反垄断申报义务。2020年以来，总局已陆续查处公布了超过40起涉及VIE架构的未依法申报经营者集中的行政处罚案件，众多国内知名互联网公司均有相关案例。特别值得关注的是，近期在平台经济领域的经营者集中审查和未依法申报审查方面，已出现了禁止集中交易和要求经营者针对应报未报交易采取必要措施恢复市场竞争状态的决定：

2021年7月10日，总局发布了禁止两 游戏 直播平台合并的反垄断审查决定，并详细说明了认定此项集中具有排除、限制竞争效果的理由。该案是我国平台经济领域禁止经营者集中第一案，也是第一起仅涉国内企业的禁止经营者集中案件。

2021年7月24日，总局对某互联网平台违法实施经营者集中案作出行政处罚决定，要求相关经营者采取必要措施恢复市场竞争状态，包括责令该平台采取解除独家版权等措施，降低市场进入壁垒，重塑相关市场竞争秩序。

此外，我们建议，新经济领域的企业还应特别关注数据合规与反垄断合规的交叉领域。《平台经济指南》明确提及了经营者利用数据或算法排除、限制竞争的多种行为模式。（相关解读：平台经济领域反垄断正当时？——相关指南意见稿亮点解读）如：

垄断协议与算法共谋：如经营者通过数据、算法、平台规则或者其他方式实质上达成协调一致的行为；

滥用市场支配地位限定交易：经营者通过平台规则、数据、算法、技术等方面的实际设置限制或者障碍的方式限定交易；

滥用市场支配地位实施差别待遇：基于大数据和算法，根据交易相对人的支付能力、消费偏好、使用习惯等，实行差异性交易价格或者其他交易条件；

此外，平台经营者掌握的数据情况对于认定经营者市场支配地位具有重要意义，《平台经济指南》明确提及，判断相关平台是否构成其他经营者进入相关市场的“必需设施”时，需要综合考虑该平台占有数据的情况和其他情况。

在当前监管形势下，反垄断合规的重要性已无需赘言，相关企业应持续关注反垄断领域的监管动态，不断提升自身的反垄断合规水平。

合规点三：反不正当竞争合规

反不正当竞争合规是另一合规热点。互联网时代，信息传播的高频性缩短了时间差，竞争对手举报、消费者投诉举报、职业打假人的投诉举报、相关部门的强力监管等都会给企业带来相当大的压力，企业若无妥善的预案与风险管理，不仅可能面临当下的经营困境，也会给未来的上市之路带来巨大阻碍。以某陌生交友APP上市遇阻为例，其原本计划于6月24日上市，却于近日宣布暂停美股IPO流程，市场普遍认为，紧急暂停IPO或与其此前深陷与某竞品APP的不正当竞争案件不无关系。

互联网领域不正当竞争行为主要包括两大类：一类是传统不正当竞争行为在互联网领域的延伸，例如利用互联网实施混淆仿冒、虚假宣传、商业诋毁等不正当竞争行为，另一类属于互联网领域特有的，利用技术手段实施的不正当竞争行为。例如典型的不正当竞争行为“虚假宣传”，对其相关的规定散见于《广告法》、《互联网广告管理暂行办法》、《反不正当竞争法》及相关法规和规范性文件中。在日常运营及筹备上市的过程中，企业往往对如何保证宣传的真实性，规避“虚假宣传”的可能范围缺乏专业的认知，存在一些不完全引用、片面宣传、歧义性语言而遭受处罚的情况。此时企业应当需要借助专业团队，对风险进行预估，同时结合不同地域执法人员执法偏向、发布区域、覆盖人群等诸多因素进行预判。

自2020年起，众多互联网公司均陷入监管部门的反不正当竞争调查。2021年2月8日，总局发布针对某品牌特卖平台的行政处罚决定，认定该平台扰乱公平竞争市场秩序，处以300万元罚款。这一案例充分说明，互联网商业模式的迭代和发展已催生更多不同类型的不正当竞争行为，数据的采集和应用方式的多样化也使得竞争行为更加隐蔽和复杂。随着执法态势的日趋严格，互联网行业经营者更应当采取合理、恰当的合规思路去进行合规体系的构建。

合规点四：行业性监管政策变化与合规

今年以来，行业性监管政策的变化频繁，特别是在关系国计民生的重要领域，相关部门已明确透出强力监管的信号。以教育和交通行业为例，相关领域的平台企业应当密切关注行业性监管政策之下的合规要求。

近期，交通领域的企业受到监管部门的密切关注。2021年7月30日，交通运输新业态协同监管部际联席会议召开2021年第二次全体会议，审议《关于加强交通运输新业态从业人员权益保障工作的意见》，并提出要优化监管框架，加快实现事前事中事后全链条监管，特别加强反垄断监管和反不正当竞争，依法查处网约车和货运平台垄断、排除和限制竞争、扰乱市场秩序、侵害司机合法权益等违法行为。此外，前述网信办对某出行服务平台发起的网络安全审查也充分说明，交通运输企业（特别是互联网新经济平台企业）应特别关注行业性监管政策的重点。交通行业的特殊性之一在于，相关互联网平台企业在经营过程中必然会掌握大量货运、城市交通、用户及司机的相关数据，应特别关注数据安全相关的合规要求。例如，交通运输行业的大量数据可能被纳入重要数据目录，而《数据安全法》对于重要数据的处理活动已明确提出若干数据安全保护义务，包括：

重要数据的处理者应当明确数据安全负责人和管理机构；

重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告；

对影响或者可能影响国家安全的数据处理活动进行网络安全审查；

关键信息基础设施的运营者在我国境内运营中收集和产生的重要数据的出境安全管理应遵守相关法律法规的规定。

同样，教育行业也属于民生领域的重点监管行业。今年以来，各大在线教育平台均面临着总局、教育部等多个部门的强力监管：

5月初，总局组织地方市场监管部门组建专案组，对15家校外培训机构进行重点检查后发现其分别存在虚假宣传或价格欺诈违法行为，对其分别予以顶格罚款，合计已超过3600万元。

6月15日，教育部公布《关于成立校外教育培训监管司的通知》，宣布成立校外教育培训监管司，将承担面向中小学生（含幼儿园儿童）的校外教育培训管理、党建指导与政策拟定。

近日，中共中央办公厅、国务院办公厅印发了《关于进一步减轻义务教育阶段学生作业负担和校外培训负担的意见》，对于教育行业的互联网平台公司提出了更高的合规要求。

在行业重压之下，在线教育平台和各校外培训机构更应做好业务许可备案、机构备案审查、合规宣传，在师资合格、信息安全、收费监管等方面充分遵守法律法规的相关要求。

此外，《首次公开发行股票并上市管理办法》（2020修正）第十八条要求申报期内发行人不得存在重大违法行为。原则上，凡被相关行政机关给予一定金额以上行政处罚的行为，都可能被视为重大违法行为（即“最近36个月内违反工商、税收、土地、环保、海关以及其他法律、行政法规，受到行政处罚，且情节严重”），除非处罚实施机关认定该行为不属于重大违法行为并依法做出合理说明。因此，企业和中介机构还应审慎把握“重大违法行为”的审核尺度，例如，对于平台企业而言，网络安全与数据合规、反垄断、反不正当竞争等方面的重大行政处罚，并未被完全排除在“重大违法行为”的范畴之外，这也启示，相关企业在启动上市计划之前应充分重视各方面的合规建设和体系完善。

如前所述，《意见》特别强调对证券违法犯罪案件“坚持零容忍要求”，这呼应了2019年修订的《证券法》及2020年出台的《刑法修正案（十一）》，体现全面推行注册制改革下的强监管趋势。《意见》第二十条还着重强调，加强中概股监管，要求切实采取措施做好中概股公司风险及突发情况应对，推进相关监管制度体系建设。相关企业应重视监管政策的动态变化，无论是境内上市还是境外上市，互联网平台等新经济领域（拟）上市企业都应强化合规建设与违规风险防范，以合规创造价值。

注释：

[1] 参见：中共中央办公厅 国务院办公厅印发《关于依法从严打击证券违法活动的意见》，访问地址：https://www.spp.gov.cn/zdgz/202107/t20210706_523196.shtml。

[2] 参见：《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》，访问地址：http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm；《网络安全审查办公室关于对“运满满”“货车帮”“BOSS直聘”启动网络安全审查的公告》，访问地址：http://www.cac.gov.cn/2021-07/05/c_1627071328950274.htm

[3] 参见：Statement on Investor Protection Related to Recent Developments in China,访问地址：https://www.sec.gov/news/public-statement/gensler-2021-07-30

[4] 参见《网络安全法》第三十七条及《数据安全法》第三十一条。

[5] 参见《数据安全法》第二十一条。

[6] 参见：《市场监管总局依法对某电商平台在中国境内网络零售平台服务市场实施"二选一"垄断行为作出行政处罚》，访问地址：http://www.samr.gov.cn/xw/zj/202104/t20210410_327702.html。

[7] 参见：《市场监管总局依法禁止A公司与B有限公司合并》，访问地址：http://www.samr.gov.cn/xw/zj/202107/t20210710_332525.html。

[8] 参见：《市场监管总局依法对某控股有限公司作出责令解除网络音乐独家版权等处罚》，访问地址：http://www.samr.gov.cn/xw/zj/202107/t20210724_333016.html。

[9] 根据上海市高级人民法院官网信息，U公司诉S公司其他不正当竞争纠纷在2021年4月21日立案，U公司要求赔偿2693万元，并向法院申请了财产保全。5月11日，S公司向美国证券交易委员会提交招股书，申请在纳斯达克上市，5月21日，法院冻结S公司2693万元，并在月底确定案件开庭时间为6月29日。

[10] 《反不正当竞争法》新增了“互联网专条”（第十二条），要求经营者不得利用技术手段，通过影响用户选择或者其他方式，实施下列妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为：（一）未经其他经营者同意，在其合法提供的网络产品或者服务中，插入链接、强制进行目标跳转；（二）误导、欺骗、强迫用户修改、关闭、卸载其他经营者合法提供的网络产品或者服务；（三）恶意对其他经营者合法提供的网络产品或者服务实施不兼容；（四）其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为。

[11] 参见：市场监管总局发布对某品牌特卖公司不正当竞争案行政处罚决定书，访问地址：http://gkml.samr.gov.cn/nsjg/jjjzj/202102/t20210210_326097.html。其不正当竞争行为包括：开发并使用巡检系统以获取同时在本公司和其他公司上架销售的品牌经营者信息，利用供应商平台系统、智能化组网引擎、运营中台等提供的技术手段，通过影响用户选择，及限流、屏蔽、商品下架等方式，减少品牌经营者的消费注意、流量和交易机会，限制品牌经营者的销售渠道，妨碍、破坏了品牌经营者及其他经营者合法提供的网络产品和服务正常运行。

[12] 参见：《交通运输新业态协同监管部际联席会议召开2021年第二次全体会议》，访问地址：https://www.mot.gov.cn/jiaotongyaowen/202107/t20210730_3613683.html。

[13] 参见：《市场监管总局就强化校外培训机构市场监管有关情况举行专题新闻发布会》，访问地址：http://www.samr.gov.cn/xw/xwfbt/202106/t20210601_330032.html。

[14] 参见：《教育部办公厅关于成立校外教育培训监管司的通知》，访问地址：http://www.moe.gov.cn/srcsite/A04/s7051/202106/t20210615_538134.html。

[15] 参见：中共中央办公厅 国务院办公厅印发《关于进一步减轻义务教育阶段学生作业负担和校外培训负担的意见》，访问地址：http://www.moe.gov.cn/jyb_xxgk/moe_1777/moe_1778/202107/t20210724_546576.html。

来源: 中伦视界

⑶ 合规及企业合规

                                            ①

合规是指遵循、遵守或满足特定的要求。这些要求通常来自法律法规的规定、法院的判决、行政执法机关的决定、私人组织内部的规章制度、行为守则和社会道德。

企业合规是指企业行为符合法律法规及其内部规章商业道德的要求。

企业合规的目的是有效地预防和处理企业违规行为。合规风险属于企业的运营风险。

合规风险发生成为现实时，增加了企业的运营成本，导致企业利润减少。

企业违规对企业、企业管理者和员都会产生负面影响。

一、对于企业

企业如违规经营会产生不利的后果，导致企业价值减少、竞争力变差。在极端情况下，还会导致企业破产、退出市场。此外，还会承担以下责任。

1、   民事责任

企业违规导致的民事责任，主要表现在损害赔偿和合同无效两个

方面，这两个方面与企业的商业利益最为相关。民事赔偿责任是企业因为违反法定或约定的义务给他人造成损失，对受害人承担的赔偿义务。

企业的经营活动违反法律、行政法规的强制性规定的，导致民事

法律行为无效，致使企业不能实现商业目的。

2、行政处罚责任

违反市场监管法律法规的企业需要承担行政处罚责任。

3、刑事责任

企业可以成为犯罪主任。企业和企业实施危害社会的行为，法律规定为单位犯罪的，应当负刑事责任。

4、 商业信誉

企业违规直接损害了企业的形象，企业的诚信、守法文化和价值因此受到他人质疑，不利于企业长期可持续的发展。

5、 企业价值

企业合规不会直接创造利润，而是通过减少企业运营风险避免利润减少。只要有违法违规的行为，就有可能被发现和惩罚，导致企业利润和价值减少。

二、企业管理者

企业违规给管理者造成诸多不利后果，包括民事赔偿、解除职务

和刑事责任。

公司高级职员执行公司职务时违规，由公司承担违规的后果，公

司可以要求他们承担赔偿责任。

公司高级职员对公司负有勤勉义务，公司董事失职没有建立有效

的合规管理体系或采取有效的合规措施去预防和制止公司员工违规，导致公司损失的，可能会违反勤勉义务，因此承担赔偿责任。

企业管理者违规经营导致企业破产的，也会影响到自己的职业生

涯。

企业违规承担刑事责任时，刑法常常规定对直接负责的主管人员和其他直接责任人处3年以上5年以下的有期徒刑或拘役。

三、企业员工

企业违规对员工的负面影响主要体现在劳动法规则中。

                                                        ②

  如何构建有效的企业合规管理体系，没有标准模型和统一答案。

  企业规模大小、所处行业、经营范围等因素不同，决定了企业面临的合规风险不同。

企业应当按照自己的情况和需求构建合理体系、采取合规措施。

有效合规管理体系具有相同的核心因素：

    1、合规承诺

企业管理者支持合规建设、做合规榜样，是合规成功的必要条件。

企业合规建设成功与否，直接取决于企业管理者是否认同、重视合规的价值，不断地将合规建设成为企业的文化。

企业管理者需要认同合规的价值，投入与企业规模相称的资源，

切实制定和执行合规措施，合规地管理和经营企业。

合规承诺还需要确实履行，即切实落实合规措施、按章处理违规

的企业员工、将合规成为员工考核和晋升的一项指标。

合规不仅是企业管理者的义务，也是企业文化的组成部分和企业

竞争力的体现。

2、风险分析

合规风险是企业违反法律法规、内部规章制度和商业道德等引发

法律责任、财产损失或商业信誉损失的风险。

3、合规沟通

合规沟通包括企业与员工的合规沟通和企业与第三方的合规沟

通。

从员工入职到离职的整个阶段，企业应当通过各种方式让企业员工清楚，明白地理解和遵守合规的要求。

企业与第三方的合规沟通，是企业与供应商或经销商就合规进行的交流以及达成共识和协议。

4、合规组织

为了实现合规沟通的功能，需要具体承担合规职能的组织或机关。企业设置合规部门或配备专门的合规工作人员是企业开展合规工作的必要条件。

[if !supportLists]6、        [endif]合规记录

企业合规的各项工作以书面记录为原则。

以书面形式确定合规制度、记录合规工作流程和处理违规事件，

主要是为了调查违规事件、完善企业的合规制度，以及在监管机关和诉讼程序中提出合规抗辩来免责和减轻企业的责.

本内容为学习《企业合规讲义》学习笔记，该书由华东师范大学企业合规研究中心编 

⑷ 哪些企业需要大数据分析

企业应用大数据分析就要借助一些数据分析工具，比如商业智能软件finebi，有了工具就等于完成了一半。一般数据分析工作可分为以下三个步骤：
1、明确业务需求
按业务驱动的角度，了解业务部门需要解决什么样的问题，业务范围是什么，所要达成的效果又是怎样，依据这些需求来实施部署商业智能工具。
2、数据结合与关联
由于企业数据海量的特点和多元化的结构形式，需要商业分析工具具有海量的数据探索和分析能力，能够实时有效的与已有数据结合，产生精确的行动方向。
此外，企业数据的价值最终体现在客户的消费上，因此，对于能直接产生价值的数据要和客户关系和交易数据进行结合和关联，从而做出直接导向效益的决策。
3、培养数据分析人才
企业的数据分析，商业智能系统的部署是关键，但业务人员数据分析水平也同样重要。这就要求人员在信息过程管理当中要逐渐培养科学化管理数据的意识，企业上下也要统一共识，从而形成对企业数据的综合管理。

⑸ 哪些公司会用到企业合规师

随着合规观念深入人心，企业合规师将会涉及到多个行业，像中央企业，国有企业，世界500强企业，上市公司，律师事务所，会计事务所等，未来许多中小企业也将需要企业合规师

⑹ 万字干货|新规下，车企如何建设数据安全体系

随着智能网联化、数字化发展，汽车数据安全和网络风险防范成为行业密切关注的难题。

汽车传统的物理边界被打破，出现了大量的云上服务，比如车联网、自动驾驶技术、OTA等等，相应的，汽车产生的数据也越来越多。相关数据显示，一辆智能网联汽车每天大概会产生 10TB 的数据，这些数据包含驾驶人员的出行轨迹、驾乘习惯、车内语音图像等个人信息，也包含车辆实时收集到的地图数据等。

随着《个人信息保护法》、《汽车数据安全管理若干规定(试行)》的颁布实施，对数据的合规分类收集和使用提出了更为严格的要求。同时，也有汽车品牌近来遭受到网络黑客攻击，造成不小的损失和安全风险。如何平衡数据使用的合规与高效，并在全面上云的背景下构筑扎实的安全防线，成为整个行业密切关注的话题和迫切需要解决的难题。

此此背景下，腾讯智慧出行与汽车之心联合策划了“行者有云”系列沙龙第二期——《车企上云，如何构筑云上安全防线？》，聚焦汽车数据的合规使用和安全防范问题，加速车企构建在数据网络安全领域的竞争力。

本期沙龙邀请到上海帆一尚行科技有限公司网络安全总监、上汽腾讯网络安全联合实验室负责人陈宁，腾讯安全策略发展中心总经理吕一平，共同探讨车企数据安全防护建设和未来趋势发展并发表了独到精辟的见解。

以下为沙龙对话实录：

主持人：大家好！欢迎收看“行者有云”系列沙龙，本期我们讨论的话题是“车企数据上云，如何构筑云上安全防线”，我们将围绕数据安全和风险防御问题讨论。车企在系列新规背景下，将采用怎样的新手段、新模式来保证数据的合理开发利用，并有效防范潜在风险。非常有幸我们请到了两位嘉宾和我们一起分享讨论。一位是上海帆一尚行科技有限公司网络安全总监、上汽腾讯网络安全实验室联合负责人陈宁；另一位是腾讯安全策略发展中心总经理吕一平。

在智能化网联化大变革下，一辆汽车在使用过程中产生的数据越来越多，随着《个人信息保护法》和《汽车数据安全管理若干规定（试行）》颁布实施，企业在使用处理数据的时候，要遵守哪些行为准则？

陈宁：在《个网法》讲得比较细致针对《个人信息保护法》有8类处理原则，大概总结：

第一，对于用户个人信息数据的授权，信息处理，告诉用户要收集个人信息，个人隐私数据要进行处理。

第二，处理过程中要注意处理流程，要保护和保密。

第三，数据收集，要符合相关的规定。对于汽车来说，有《汽车数据安全管理若干规定（试行）》，定得比较明确，这和《个网法》有相互呼应的关系，上面有《数据安全法》，以此为由展开。

吕一平：还有一点，去年下半年国家集中出台了比如《个人隐私信息保护》，及《数据安全法》等法律法规。同时面向汽车行业，汽车行业本身属于关键信息基础设施行业，针对“关基”（关键信息基础）行业也有一些相应的针对基础安全和数据安全的要求。所以，这也是需要汽车行业各位同仁需要考虑的问题。

主持人：如果针对整个汽车数据来说，我们有什么样的分类界定？

陈宁：现在最关键的第一步是，汽车数据不可避免要收集。汽车联网以后，很多服务云化后，为了对汽车的一些服务以及汽车这状态甚至说自动驾驶，这天然需要搜集很多数据，所以说数据搜集是不可避免的。现在我们觉得对于汽车数据搜集，首先真正的明确怎样服务搜集数据，如果说要做自动驾驶相关的，那么最少应该搜集什么样的数据，尽可能的还是少搜。不要说不做分类，不做区分一概搜集上来后面处理，这是不合法不合情的，这是第一个按照服务的细分来分。第二，数据的共享和流动，这也是很重要的因素，现在很多服务在云上之后，不仅是主机厂要收集数据，很多合作伙伴，比如车上应用需要第三方的数据，我们要把数据给他，数据在流通的过程中以什么样的合法合规方式流通，以及我如何对它授权，如何对它约束，这要处理好。

最后，敏感数据的收集，现在汽车厂有大量的传感器、摄像头，对于用户的面部轮廓，关键设施和关键单位的识别、存储，是否要做相关的模糊化处理或透明处理，这也比较关键。

吕一平：我主要做补充，从汽车行业数据来讲，不仅要保护数据，要脱敏，尽量按照服务手续收集数据。基于很大的前提是，收集数据时要进行分类分型，针对不同的类型利用手段去保护数据。汽车行业有几大数据比较重要：

1、汽车研发过程中的车辆状态，这些数据传统一直做收集，这方面更多是车企自用，甚至从数据保护角度来讲是比较容易实现的，因为汽车公司内部流转数据。

2、和用户相关的隐私数据，国家有明确的法律法规要做到保护和保密。针对不同的使用场景我们应该如何给到数据，需要通过分类分级的方法做明确的界定，并有对应的使用要求和规则。

3、从技术进入到其他行业带来新的需求，比如传感器受地理位置数据，高清地图数据，这是相当敏感的数据领域，这会涉及到国家安全部分，车企需要非常关注这类问题。去年国家重点关注了一家海外车企这方面的问题，所以这也值得汽车行业重点关注的信息。

主持人：随着一系列的新规的出台，从车企角度来讲，在主动防范上有哪些变化？

陈宁：有很多，结合各方数据安全规定，首先，按照上位法《网安法》来讲车企相关车辆应用服务，肯定要通过等保测评。第二，通过等保，配套相关的网络安全或者数据安全，配套的防范措施和防范的管理体系建立起来。第三，提出明确要求，用户上车默认情况不收集数据。如果要收集数据要告诉用户，清晰地告诉用户要收集一些数据，且收集哪些数据。第四，在收集数据状态中让用户知道我们正在收集你的数据，用户有地方说不希望收集数据，屏蔽它。第五，尽量在车里将敏感的数据轮廓化和清晰化去掉，模糊化。尽量不要通过数据清楚地定义出一个人，这样方便处理。

再往后，数据共享方面，该企业一开始只做商业合作，后面可能有一些约束，同时很重要的是按照《数据安全法》和汽车相关规定，每年12月25日左右要上报数据安全报告。中国汽车品牌开始向海外发展，根据规定要求要对相关的监管部门进行报备，并且在企业数据安全方面写清楚，今年发生过几次数据向境外输出，以及经过相关评审，这些情况要说清楚。企业不仅仅是义务合规，还要满足国家战略需要。

主持人：在上述规定的使用数据和国家安全的前提下，数据如何反哺研发，开发相应的车联网服务？

陈宁：这挑战很大。

主持人：要实现两者的平衡？

陈宁：对，基于我服务的内容收集相关数据，这是做到平衡的关键。如果只是判断车的自动驾驶，只收一些和路况相关的信息，就不要收多余的信息，尽量精简收集内容，比如只是采集一些路边的图象，车内的信息就不要收。现在有汽车保险，主要是根据用户的驾驶习惯收集车辆数据，收集一般驾驶者的驾驶习惯就不要收集个人信息，这样才能合法合情，又能反哺到业务。

第二，做分析时，流通方面尽量做到应用和数据分开，举个典型的例子，现在自动驾驶数据的安全屋，可能确实采集了很多数据，经过合理处理之后放在数据模型箱里，我们做的事情是将计算模型放进去，用数据计算完之后最后拿出来是模型计算结果或者是模型存储的算法，而不是数据本身，这不合理。在模型足够成熟之后，这些数据可能销毁掉或者撤掉，这可以比较好达成平衡。这需要付出很多努力。

吕一平：我们在去年国家出台一系列数据安全相关规定时我们非常关注，因为互联网有大量数据，很多互联网业务都在线上。我们自己在推进数据安全保护方面做了很完整的展开，从产品的设计上，比如数据收集的最小化，包括用户知情角度，数据使用需要用户充分知悉并且充分授权，然后才能进行相应使用。

另外，应用和数据相应分离，腾讯在《数据安全法》出台前两三年已经做这方面的工作。特别是在不应该使用不合理数据提供下如何规避掉，我们在内部进行了工作。腾讯可以给汽车行业做一些交流和传递的工作，帮助行业更好地理解如何做数据安全建立。

主持人：对于外资或者合资车企来说，《个人信息保护法》和《汽车数据安全管理若干规定（试行）》相关规定对他们的影响是否更大？

陈宁：相对会大一点，但大体上差不多。首先是对于敏感信息的定义，对外资企业来说风险一样。另外，用户的存储、流动也是一样。对于外企挑战最大的是数据不能出境，最大变化是跨境的问题。由于《个人信息保护法》和数据安全定义上，外资也要跟随国家相关规定，可能要对自己做出规范。但大方向比较好，主要是促进问题。

主持人：腾讯和外资车企在这些领域是否有一些合作？

吕一平：其实外资车企面临，在中国市场如何满足国家合规性要求和规定，现在有一些海外业务在推进。不管欧洲还是美国地区，相应的个人信息隐私保护和合规，及数据使用的要求可能都有相应的要求。所以在欧洲和美国，中国企业属于外资，其实大家遇到的挑战一样。对于车企来讲，不管是合资还是外资品牌，都要考虑如何满足本地的个人隐私保护和数据安全合规使用的要求，这其实是基本需要做到的工作。

从腾讯角度来讲，腾讯在汽车行业定位一直是数字化助手的角色。我们不仅和合资和外资的车企，和上汽也在数据安全方面有很多交流，我们一起研究如何将数据安全保护的工作做好。相对来讲，这个领域比较新，比如网络安全、基础的安全建设方面，中国已经经历了几十年的发展和建设，但数据安全对大家来说是一个新课题。随着车企联网和相应技术不断落地的情况下，数据量会非常大，而且数据的集中度也不一定这么高。如何将数据安全保护工作做好是很有挑战的课题。先要从汽车数据的分类分级开始，以此作为基础再去延伸，根据不同级别和类别的数据进行相应保护措施，对应有技术的部分。

陈宁：关键是立法，以前没有明确上位法，2016年有上位法出来之后，车企必须要符合法律。

主持人：除了数据合规收集和处理，也不能忽略的是汽车智能度越高，面临潜在被攻击的风险也越来越高，我们也出现过车子被攻击的案例。这样的场景在汽车中，是真的能实现的吗？在车联网中真的会有这样的风险吗？

陈宁：汽车传统的物理边界被打破了，大量的云上服务，大家可以用手机跟车进行互动。汽车拥抱了数字化，但拥抱了数字化的福利和变革也拥抱了数字化的风险，最典型的是云上服务，比如远程车控、OTA等等，被不法分子利用之后，远程的车辆造成一些群体性的影响。另外，手机APP，手机上有蓝牙，APP设计或者接口不严谨，可能出现批量控制用户APP，可以随意开走任何一辆车。另外车联网在车上暴露大屏、智能驾驶舱等等，这些是数字化东西，数字化的东西多少有软件的问题会被人利用。1月份德国的小孩才19岁，利用了特斯拉的第三方的软件的漏洞同时控制不同国家的车辆。数字化是大量的软件大量的应用，人设计的东西总有一些问题。

主持人：吕总，之前设计的科恩实验室破解了特斯拉和宝马，反响很大，为什么做这样的实验？

吕一平：我们不是定义成“黑客”，我们定义为“白帽”，我们希望能改善各类产品和网络的安全性，为之努力的一群专业技术研究团队。当时为什么关注特斯拉和宝马？我们在2016年看到了比较大的趋势，汽车行业“四化”，对我们来讲比较关心是网联化和智能化，汽车联网了，汽车的自动驾驶的能力，这和数字化结合程度非常高，当享受数字化福利的时候，肯定会面临新技术引入带来的风险。

汽车行业本身对安全非常关注的行业，那个安全叫“safety”，当时汽车行业更多关注safety的部分，对security部分理解不那么强。Security能对safety造成的影响理解不是很充分，当时我们选了两个比较有代表性的车企，一是原生数字化，即网联、智能化、新能源化的特斯拉。另外是传统的从互联网非智能化到智能化的标杆，宝马在全球保有量非常高，我们做了相应的研究。的确发现了网络安全问题，不仅对虚拟世界造成影响，对实际的行驶安全、人身安全，放大一点是公共安全。作为一个负责任的团队，我们发现问题之后第一时间和特斯拉和宝马做了相应的沟通，并且在没有第三方参与情况下，全部将数据暴露给他们，他们修复之后一起联合对外做发声的工作，做发声的工作目的是帮助行业更好地理解，在未来数字化的时代安全有重要的影响，也是让它回归到汽车行业对security的关注。

主持人：现阶段网络安全技术处于什么样的水平？

吕一平：中国网络安全技术能力非常出色，我们可以代表国际领先水平。对汽车行业来讲，汽车进入到数字化时代才开始逐步关注网络安全部分，所以起步相对晚一些。但我们看到很明显的趋势，即国内的各大OEM都在积极地布局网络安全的专业能力和专业团队的建设，比如陈宁博士带领的上汽实验室，4年前成立起来有专职的安全的人员，也有专项的安全能力的建设，逐步形成了上汽进入比较相对安全网络体系，这是比较好的例子。国内其他OEM厂商也在实践同样的工作，专业团队和专业能力建设在不断地前进。

主持人：在已经有潜在风险存在的前提下，车企可以做哪些方案防御外部的攻击，尤其是来自恶意的攻击。

陈宁：我现在在上汽帆一尚行，现在的防御从云管边端一层层防下来，传统云驱动安全内容全部适用，不管从边界的应用防火墙、APS到里面的防护，再到探视感知，我们对车辆相关的服务做保护。通道方面，主要是从云端到车端的通讯链路用加密方法进行加密，确保我们链路不会被截断或者被中间人截取掉。同时对车之间相关传输的信息做加密，保证安全性和唯一性。

车上现在dirty端和clean端，前者是指暴露在外面，可以触手可及的大屏，这些最明显。在它投产之前不管做技术还是流程，设计方面从风险评估、安全设置、投产运营，对于产品的零件或者整车做一系列的测试研发，然后交付。交付之后有相关的防御措施，比如网关或者IDPS等等，通过它将车辆相关的模块或者相关的服务隔开，确保车辆在行使过程中，关键通信和关键指令不会被人恶意篡改。

主持人：具体什么情况会用到安全网关，对车企研发来讲是否刚需？

陈宁：随着智能网联化和电动化之后，网关已经是标准选配，相当于是一道防火墙，阻挡了相关请求。现在很难说硬件和软件哪一项技术更重要，随着零件集成度高了之后，对硬件芯片依赖层次更高，芯片越好，表示应用软件的复杂度或者功能会越好。当然，从网关模块的必要性来看不排除现在也有把网关做到相当重要的零部件，保证零件模块之间也有防火墙，这是所谓预控的思路。

主持人：随着我们对数据合规、安全要求越来越高，对车企来说是否意味着要更多投入？

陈宁：肯定要增加投入，因为国家立法，现在不是讲人情，而是讲法，肯定要增加投入。

吕一平：对，从我的角度来看，汽车行业是对安全关注度非常高的行业。在过去二三十年里，车企在功能安全方面和研发的投入和体系建设非常完备，功能安全成为了汽车质量管理体系很重要的关注点。随着这两年数字化带来网络安全风险和挑战，这方面还是需要加强和加大投入。我个人希望网络安全逐步进入到汽车质量管理体系，成为它的一部分。在网络安全方面的投入更加成为研发投入的必要。

陈宁：这种投入可能并不是额外的投入。

吕一平：没错。

陈宁：就像security和safety，security引发了safety的问题，所以这些投入不是凭空多出来的投入，而是为了保证车辆质量投入必要的研发资金，从行业发展来说，这方面的投入必不可少。

主持人：刚刚两位嘉宾的分享我们也意识到数据安全的重要性，从意识到重要性，到车企打造完善的网络安全体系我们大概要经历一个什么样过程？

陈宁：这个过程很漫长，需要时间积累。对大部分汽车企业来说数字化是相对新的东西，就我前面提到，数字化有很多新的东西，也有很多风险，需要消化。具体到车上，汽车厂特别关注数据安全，但是我觉得数据安全只是大的安全里的一个内容，想做好数据安全要打好很多所谓的低阶工作，比如云上安全、技术架构安全，很多相关的网络安全建设先跟上去，比如云上的边界防护、安全的监测、网络安全的漏洞或者网络安全响应的能力，这些都需要时间打磨。技术完全落地，这其实和汽车的有些概念不太完全一样，因为对汽车来说，比如汽车某一个功能可能做不好的情况下换一个零件，或者买一个方案测试下可以用。但网络安全本身和汽车所谓的功能安全有一点点不一样，它的边界相对模糊，没有绝对的安全，也没有绝对的攻不破的堡垒，这注定了需要很多时间去打磨和完善。现在汽车行业慢慢向网络安全转，很多功能要求是为了safety服务，但security也要慢慢理解safety的东西，对于主机厂来说，到底造成了什么样的影响，对safety来说是比较抽象的东西，那么需要具体化，比如影响到车辆驾驶有很多safety，如果影响了数据安全，可能和safety没有关系，而完全和security挂钩，所以融合需要时间。同时在技术方面也需要时间去匹配，比如腾讯等互联网企业、安全企业也需要时间更好地了解车辆技术，车辆技术天生需要注重安全，有些内容可以重合，比如个人隐私方面可以高度重合。

除了技术因素之外很重要的是人的因素，中国现在网络安全的每年高校输送毕业生大概是十来万，但去年缺口是非常大，人才缺口越来越大，涉及到汽车网络安全的人才缺口更大。所以我们需要时间找到这样的人，或者培养这样的团队，让他们适应到环境中，贡献自己，将更好的技术能力赋能上去。

同时，以前汽车卖出去之后，使命基本上结束了，除非维修或者维保，不再关注车辆本身。但是，电动化和网络化之后，车辆出去进入到一个新阶段，称之为车辆运营阶段。因为要关注车辆的自动驾驶的状态，关注用户驾驶习惯或者用户车辆的状态，这些数据和状态都需要专业的人，实时地提供所谓的监控或者服务或者异地响应，并不是买了一套工具，如果这么简单的话找腾讯买一套工具摆在这里就万事无忧了。但并不是如此，优秀的工具需要优秀的人才或者优秀的团队使用，成熟的团队人力因素很重要。

吕一平：刚才陈宁博士提到今天主要议题是如何做好数据安全底座，造坚固的城墙底座没有做好的话，数据安全基本上是做不好的事情，的确需要周期。国家在出台安全合规性要求越来越快，能给车企应对的时间非常紧张。所以在这个情况下，怎么样能快速地将能力建立起来很重要，但目前看到一个挑战是，对汽车行业来讲，在数字化投入部分，在网络安全投入只有2%到3%左右，而对于金融行业经历了二十年的IT能力建设，目前网络安全投入大概8%到10%。所以，投入加大可以加速能力建设。所以，我们非常建议汽车行业投入，要考虑到时间窗口并不太长，这是一个很大的挑战和风险。

第二，关于人才能力建设和人才梯队建设来看，我们看到这点，每年国家能够通过高校体制培养出来的人才和行业真正需求有很大的差距，而且当出现严重失衡的情况下；人才有更大溢价能力，看到信息安全专业水平不断地上来，这是供求关系失衡造成的问题。所以人才引入和培养是很大的过程，这是长周期的过程，但在市场上我们从外围观察，汽车行业传统的新生代的体系是否可以支撑数字化时代下的需求。这是很大的挑战，也是车企需要思考的问题，如何快速成为数字化公司，在数字化体系下对人才引入的政策更加灵活，人才薪酬待遇更加灵活，汽车行业在数字化时代所需要的新型人才和新型能力，这和投入相关，这个过程不会那么快。所以这需要汽车行业思考的重点。

陈宁：逐步发展的速度不能满足现在国家政策或者国家监管的要求了，因为从2016年“网安法”（《网络安全法》）发布之后，中间两

⑺ 哪些企业或领域更需要对企业大数据进行分析

企业大数据：企业的相关信息数据，包括企业基本信息、投资人、主要人员、对外投资、变更记录、诉讼信息、行政处罚、招投标、注册商标、融资历史、投资事件等。
1、政府领域：分析企业大数据有利于提高政府对企业的监管水平，给政府决策提供数据支撑；
2、金融领域：利用企业大数据给企业画像、对企业进行资质评估，保证风控的准确性；
3、企业方面：帮助企业精准掌握行业动态，分析竞争对手优势，从而调整商业布局；帮助To B企业进行潜客挖掘，破解获客难题；
4、园区方面：对企业数据进行可视化展示，可有效的监测园区内的企业排名及成长趋势。

⑻ 企业信息安全需从哪几个方面入手

最好的监控防护软件还是山丽公司的防水墙监控一切公司内部员工可以过滤qqmsn人人开心各种网络。继而做到公司内部员工无法窃取商业机密列入打印拷贝。还能做到时时防范黑客病毒蠕虫。公司内网安全尤为重要.主要是山丽是中国最好的防水墙公司也是它首创的。

⑼ 国内有哪些公司能提供大数据服务

国内大数据服务公司很多，但需要判断是否合规，目前国家对于数据行业极力支持但同时监管也在加强，合规将是企业挑选合规产品与否的关键要素，例如，MobTech是一家数据智能科技平台，覆盖设备数超138亿，累计App数超64万，重量的是合规自有数据，几乎覆盖全国95%以上设备，并通过多年线上大数据积累，进一步融合线下真实场景数据，形成业内独一无二的第三方全景大数据服务平台，更智能的洞察用户多方面的个性化特征，形成6000+用户标签维度，涵盖人口属性、经济水平、地理属性、兴趣爱好、金融理财、餐饮美食、居家建材、旅游出行、媒介使用倾向等更多垂直分类，满足零售、营销、金融风控、地产商圈分析、汽车等多场景需求。在数据服务商筛选中，一定要注意数据合规性，数据体量，以及数据细分维度，是否能满足你的需求。

⑽ 2018年开始运用大数据进行内部控制和风险管理的企业有哪些

你好朋友，随着时代的发展这样的企业只有好多的。数据观微信速递

随着金融科技的深入发展和多方面应用，以大数据等科技手段提收增效成为金融行业核心诉求。数据观微信小编获悉，3月12日，网络金融携手爱分析联合发布了《2018年中国大数据风控调研报告》，对能够有效降低金融风险管理成本的大数据风控技术和市场进行了研究分析。

2017年中国大数据风控市场规模达140亿人民币，发展潜力巨大，互联网巨头、产业类公司、创新类公司和IT类公司四类公司纷纷入场。随着开源类技术迅猛发展、行业趋于合规化，以及百行征信的成立，大数据分析市场越来越趋于集中，技术、数据、场景理解、客群和获客成为了大数据风控公司五大核心竞争力，其中，互联网巨头更占优势。