2025年企业数据安全与隐私保护 .pdfVIP

百学须先立志。——朱熹

企业数据安全与隐私保护

本文将综合有关法律法规和实践情况，解读企业数据平安和隐私保护

的概念、关系及侧重点，供读者参考。

《中华人民共和国数据平安法〔草案〕》〔称“数据平安法草案”〕

经过全国人大常委会二次审议，并于2025年4月29日发布公开征求意见。

其中将“数据平安”定义为“指通过采取必要措施，确保数据处于有效保

护和合法利用的状态，以及保障持续平安状态的能力”。此外，数据平安

法草案在“第三章数据平安制度”局部首要指出国家建立数据分级分类

保护制度，加强对重要数据的保护。

结合企业经营及运营，本文对数据平安〔DataSecurity〕做进一步

延伸解读。本文所称的“数据平安”是指企业为保护数据平安，对于数据

全生命周期即数据收集或生成、使用、传输、存储、披露、流转与跟踪、

销毁搭建的平安体系，该平安体系侧重数据分类分级及敏感数据全生命周

期的保护。

根据数据是否涉及个人信息，我们可以把数据平安体系区分为个人数

据平安与业务数据平安。在此根底上，数据平安与隐私保护之间存在交集，

即个人数据平安。结合上文所述，企业数据平安的首要目标在于保护企业

数据全生命周期的平安状态，其与隐私保护的交集在于对于个人数据的保

护，涉及个人信息的数据〔如个人敏感信息〕可能被企业分类为敏感数据，

拥有较高的平安等级，从而加大对此局部数据的保护力度。

企业隐私保护除前述讨论的个人数据保护局部外，因涉及数据主体的

隐私〔对于企业数据资产来说属于敏感数据〕，法规法规、企业规章制度、

缔约、承诺等对此类敏感数据的全生命周期加以严格约束，要求企业对此

非淡泊无以明志，非宁静无以致远。——诸葛亮

履行合规义务。如于2022年5月生效的欧盟《通用数据保护条例》

〔GeneralDataProtectionRegulation，Regulation〔EU〕2

022/679oftheEuropeanParliamentandoftheCouncil，

the“GDPR”〕，且GDPR的生效对跨国业务及全球隐私保护立法产生

深远影响;《中华人民共和国个人信息保护法〔草案〕》、数据平安法草

案也于近日经人大常委会二次审议并公开征求意见，结合2022年6月1

日生效的《中华人民共和国网络平安法》，国内关于隐私保护方向的立法

进程持续推进。当前，企业所要承当的面向国内外的隐私保护合规义务不

断加重。故企业隐私保护可被解读为“个人数据保护与合规义务履行”，

对于企业来说，隐私保护侧重合规义务履行。

数据分类与分级

数据分类与分级，是国家确立的数据平安核心制度，也是数据平安体

系搭建的侧重点。数据分类和分级是指将数据对象划分类别并确定相应的

平安等级，实施该等级对应程度的保护措施。

数据分类

数据分类是企业数据平安根底工作之一，指企业根据持有的数据的内

容、用途、业务领域等因素，对数据进行分类、归类。我们以某已搭建用

户数量较大、业务类型较复杂的互联网效劳平台企业为例，讲解局部数据

分类过程，供读者加深理解。

第一步：结合该企业实际业务情况，我们建议企业将其数据资产划分

为用户管理、市场活动管理、产品管理、效劳管理、合作商管理、资源管

理、企业管理七类;

北京市炜衡律师事务所杨振煜律师

子曰:“知者不惑，仁者不忧，勇者不惧。”——《论语》

第二步：结合企业实际业务场景，对场景中的涉及到的具体数据对象

进行梳理、归类、细分，自下而上完成对前述每一类的细化，形成子分类。

以用户管理类举例，根据用户数据采集、使用等场景的不同，用户管理类