企业对其管控经营信息、商业秘密和/或涉个人隐私数据等问题产生焦虑，我们认为原因主要在于：1）宏观上，没有对自己所掌握和/或涉及的数据有清晰的框架性/结构性认识；2）微观上，没能对自己应遵守的法律法规进行细节认知；3）对内，无力掌控员工行为；4）对外，无法管控业务伙伴；最终在面对繁杂的合规要求时感觉一团乱麻，无从下手。

针对上述症结，我们认为如果企业可以构建以横向数据种类为基础，纵向法律要求为依据，细分行业领域，责任落实到个人，任务分解到单位的数据合规体系，那么无论灵活工作制给予员工多少程度的自由，企业都不用过于担心数据合规出现系统性风险和/或企业数据得不到基本的保护。

所谓以横向数据种类为基础，指的是无论企业掌握和/或涉及多少数量的数据，这些数据总是可以按其性质进行分类，而企业首先应当做的就是对自身掌握和/或涉及的数据种类按照一定标准进行梳理与分类，并以此为基础开展接下来的数据合规体系建设。这是因为，清晰的框架性/结构性认知对于企业来说就像是合规的目录和/或大纲，如果将来出现任何有关合规的问题，企业只要将对应问题投射到这个目录和/或大纲上，就能迅速定位问题所在及其所对应的合规要求和/政策，而不至于在茫茫的合规要求中大海捞针。

就数据种类而言，我们认为企业经营过程中可能掌握和/或涉及的数据主要可以划分为以下几类：一般经营信息[1]、个人信息[2]、商业秘密，以及国家秘密。

所谓以纵向法律要求为依据，指的是企业在对自身掌握和/或涉及的数据进行分类之后，应当严格按照法律法规对每种数据的要求制定细致的合规政策，以确保企业能合法合规地处理相关数据，和/或企业相关数据能得到法律的有效保护。受限于篇幅，笔者在此仅就一般经营信息、个人信息、商业秘密以及国家秘密的部分合规要点进行初步梳理：

就企业的一般经营信息而言，其受到的合规限制相对较少。一方面，很多企业经营信息是被要求强制公开的。另一方面，许多企业出于各类目的，也乐于将自己的部分经营信息进行披露与分享。

但这里需要注意的是，对于上市企业，其经营信息的公开可能需要遵循一定的程序。除此以外，上市企业还需对公开信息的内容、形式等要素有所关注。上市企业不当披露和/或泄露经营信息的，企业及企业相关人员可能会面临相应民事、行政甚至刑事责任。

个人信息保护是近几年来的热点问题。现行法律法规对个人信息从收集、使用、存储到披露各个环节都有程度不同的规范。企业应当根据自己所涉及的个人信息处理环节分别制定细致的合规政策，并对员工进行培训教育以使其熟悉相应要求。

根据我们的观察，企业对于其客户的个人信息保护开始逐渐重视。但对于如何处理自身员工的个人信息，有时候却陷入迷茫。对于这个问题，我们认为，为保障企业的正常经营与日常业务开展，企业有权利要求员工提供和/或使用员工个人信息。但企业对员工个人信息的要求提供和/或使用应仅限于正常经营活动和日常业务的开展，且企业应确保对员工个人信息的收集、使用、存储和披露等行为均符合法律法规的要求。简单来说，面对员工个人信息，企业除了可以在必要和/或合理的经营与业务限度内适当扩宽信息收集的范围外，其他合规要求应与处理企业客户的个人信息要求无异。

对于商业秘密，我们理解企业其实最关心的是在灵活工作制度下如何确保自己的商业秘密不被外泄。我们认为，管控商业秘密，需要从制度建设方面和人员管理同时入手。具体来说，制度建设上：1）应明确企业商业秘密的内容、范围及保密期限；2）在商业秘密及其载体上加注显著标识；3）采取制度和技术手段加强对商业秘密及其载体的管控。人员管理上：1）应加强对员工的保密教育；2）加强员工入职和离职审查。

涉及国家秘密的行业和/或企业总体上还是少数，但如果企业确实在经营过程中接触到国家秘密，我们建议企业严格按照《保守国家秘密法》等法律法规的要求以及相关政府部门的指导进行处理。另外，如果企业需要参与涉外诉讼和/或仲裁程序，在证据开示前，可以考虑主动进行国家秘密筛查，以免因任何疏漏和/或过失产生难以挽回的损失并承担相应责任。

企业完成了横向的数据种类梳理和纵向的合规政策制定后，数据合规体系就基本有了雏形。但是，这只是一个通用模板。如果要让数据合规体系这棵大树枝繁叶茂，那么企业还需要就自己所处的行业、所采取的业务模式以及企业性质进行针对性的数据合规梳理。

以行业特殊性为例，如果企业涉及生命健康行业，我们国家对于病患信息、生物遗传信息等数据有着更严格的规定。以业务模式特殊性为例，以前猎企、房地产销售/租赁等行业对于潜在客户的信息管理相对粗放，应聘者简历被传阅、房客手机号码被共享等现象屡见不鲜。但随着个人信息保护相关法律的出台，相应企业业务模式也需要进行调整，否则随时都可能触及相关法律红线。

除此以外，以企业性质特殊性为例，我们在此主要对外资企业数据合规的几重要个问题进行简单讨论：

1.外资企业数据出境如何合规操作？

起初，根据《网络安全法》，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。接下来，2017年的《个人信息和重要数据出境安全评估办法（征求意见稿）》将上述义务主体由关键信息基础设施的运营者扩大到了全部网络经营者。但根据2019年的《个人信息出境安全评估办法（征求意见稿）》，重要数据和个人信息可能会分离管理。

虽然与数据出境相关的内容暂时没有尘埃落定，但企业不应抱有“既然没有落地，那就等生效后再说”的懈怠心理。我们认为企业至少可以从以下几个方面着手数据出境合规建设：

a） 确被列为关键信息基础设施的运营者的企业应当严格按照《网络安全法》的要求进行数据本地化操作。但我们理解，一般外企被认定为关键信息基础设施的运营者的情况是极少数；

b） 针对一般业务数据（例如，一般经营信息，业务活动信息等），出于企业日常经营与业务开展之目的，我们认为可以向境外传输，企业不必杯弓蛇影。

c） 对于重要数据[3]，企业暂时可参照2017年的《个人信息和重要数据出境安全评估办法（征求意见稿）》和《信息安全技术 数据出境安全评估指南（征求意见稿）》进行合规梳理。

d） 对于个人信息，企业暂时可参照2019年的《个人信息出境安全评估办法（征求意见稿）》进行合规梳理。具体来说，企业需要对个人信息出境进行安全评估、与境外个人信息接收者签订合同和/或其他有法律效力的文件，并出具个人信息出境安全风险及安全保障措施分析报告。关于上述问题和文件的细节说明，各位可参看笔者拙著《未雨绸缪 | 企业如何提前备战个人信息出境管理？》。

2.外资企业员工不幸感染新冠病毒是否可以向境外总部报送相关信息？

如果外资企业员工不幸感染新冠病毒，我们认为原则上可以向境外总部报送受感染员工数量、是否有出差经历、是否已采取隔离措施等基本情况。但是，不建议向境外总部报送受感染员工的具体个人信息（如住院医院、家庭地址等）。这是因为，如果外资企业向境外总部过度披露不幸感染新冠病毒的员工个人信息，至少可能会面临两个问题：a）未取得个人信息主体同意；b）与企业日常经营和业务开展之目的无关（即，个人信息处理的必要性与最小化原则未能被遵守）。

除此以外，我们还希望提醒战斗在抗击疫情一线的企业，如果在参与抗击疫情的过程中接触到任何病患信息、生物遗传信息以及其他涉及生命健康和/或药物使用的敏感信息，请务必严格按照相关部门指导意见进行工作，并时刻保持与相关部门的顺畅沟通。

3.外资企业如何应对数据跨境时的多法域合规监管要求？

外资企业在进行数据跨境传输时，经常遇到的另一困难在于如何同时满足多国或多法域数据合规监管要求。 企业之所以感到困难，我们认为很多时候其实是没有做到“不重不漏”，最后导致工作没少做，但结果却事倍功半。

所谓“不重”，指的是尽管各国各地区的数据立法都不尽相同，但各国各地区关于数据流动性和数据保护的基本原则与目的是相通的。对于不同法域下数据合规要求中一致的部分，企业应争取做到花一份精力满足多个要求。所谓“不漏”，指的是外资企业在数据合规上不能有类似“GDPR的要求比国内相关法律法规要求更高，只要满足了GDPR的要求就到哪都肯定是合规了的”懈怠和错误思想。这是因为，如果只在深度上关注某个严格的监管要求，那么就可能忽视其他监管体系在广度上做出的要求。最后，如果多法域监管要求不幸出现冲突，在中国境内，我们建议优先适用和考虑中国法律法规的要求与行为规范。

4.责任落实到个人

合规义务主体，可以细化分为三类：1）企业本身；2）企业工作人员，如股东、管理层、普通员工等；3）与企业经营管理发生联系的第三方，如供应商、承包商、中间商等[4]。截至本部分之前，我们主要讨论的是企业本身应当如何做好合规。接下来的一部分，我们将与各位就其他两个合规义务主体的相关内容进行简单分享。

所谓责任落实到人，指的是企业合规除了意味着要建章立制外，还需要对其员工行为进行管控。某种意义上，员工行为是否合规将直接决定企业合规工作的成败。因此，我们建议：1)持续进行员工培训与风险教育，确保员工清晰的知道企业的合规要求以及不合规行为可能给其自身及企业带来的风险；2）通过对数据接触、使用、披露等行为进行权限制度设计和技术保障，从而帮助员工被动合规；3）还需注意对高级管理人员及股东等人员的合规管控，例如，当年SEC诉马斯克事件就曾给马斯克本人及特斯拉公司带来不小的负面后果。

5.任务分解到单位

所谓任务分解到单位，这里的单位主要指的就是与企业经营管理发生联系的第三方。简单来说，这部分问题讨论的是企业在与第三方合作中如何有效管控第三方数据行为的合规性。我们认为：

首先，与第三方合作前可以进行尽职调查，尽调内容包括但不限于：1）第三方是否拥有提供该等服务的相应资质或牌照；2）第三方是否存在滥用个人信息、数据泄露、监管部门处罚，或有类似重大风险事件等不良记录；3）第三方的管理制度是否满足网络安全相关法律法规的要求；4）第三方的技术能力、设备标准是否满足网络安全相关法律法规的要求。

其次，企业可以在与第三方合作的合同中放入数据合规管控条款以适当分配相应风险，包括但不限于以下几方面的内容：1）行为合规保证条款；2）合规责任分配条款；3）合规危机处置条款。