随着互联网、大数据、人工智能等技术手段的发展，数据治理已成为国家、社会、企业治理的重要组成部分。仅2020年，就有国家发改委等十二个部门[1]，工业和信息化部[2]，北京市委、市政府[3]，深圳市政府[4]等多个政府部门在相关文件中明确提出提升政府、行业、企业数据治理能力的要求。

企业作为数字经济浪潮中最主要的市场主体，应当重视企业数据治理能力的提升，保障数据安全、发挥数据价值。而在众多类型的企业中，大型企业集团、控股公司所面临的数据治理的机遇与挑战又尤为突出。本文将结合我们为大型企业集团、控股公司（统称企业集团）提供数据合规治理的相关服务经验，对企业集团进行数据治理的几个问题进行分析，以期为相关方提供有益的参考。

一  对企业集团进行数据治理的需求与目标的理解

推进企业集团数据治理工作、提升企业数据治理能力，是外部环境和企业内在需求的共同要求。

1. 推进企业集团数据治理是外部环境的影响和要求

从外部环境看，数据治理是列入十九届四中全会提升治理能力现代化的重要内容。联合国发布的《2019年数字经济报告》认为，数字革命以前所未有的速度和规模改变了我们的生活和社会，带来巨大的机遇和严峻的挑战，数据已从资产保护对象成为重要的经济生产工具。

与此同时，数字经济也带来了新的风险，包括网络安全、便利非法经济活动和挑战隐私概念等。为应对这些挑战，近年来各国从法律层面对网络安全、数据安全、个人信息和隐私保护予以监管、规制。我国自2017年6月1日《网络安全法》实施以来，已经初步形成了相关法律体系，即将于2021年1月1日起实施的《民法典》也在人格权编中规定了隐私和个人信息保护专章。目前，《个人信息保护法》和《数据安全法》也在加紧制定中。

有关网络和数据安全的监管也进一步加强，全国范围的网站安全专项整治、APP违法违规收集个人信息专项治理、“净网2020”等执法行动，显示出网络与数据安全执法常态化。

外部环境变化、监管要求趋严，对大型企业集团的数据治理能力和数据合规水平提出了更高要求。

2. 推进数据治理工作是企业集团内部协同发展的内在需求

从内部需求看，推进数据治理工作是企业集团内部纵深发展以及战略转型的需要。

以对数据治理要求较高的金融行业为例。2018年，为指导银行业金融机构加强数据治理，提高数据质量，发挥数据价值，提升经营管理能力，中国银行保险监督管理委员会（“银保监会”）发布《银行业金融机构数据治理指引》（银保监发〔2018〕22号），对银行业金融机构的数据治理体系建设提出具体要求。2019年，中国人民银行发布《金融控股公司监督管理试行办法（征求意见稿）》，明确提出，金融控股公司与其所控股机构之间、其所控股机构之间可以共享客户信息、销售团队、信息技术系统、运营后台、营业场所等资源，发挥协同效应；金融控股公司可以在集团内部建立金融控股公司与其所控股机构之间、其所控股机构之间的协同机制，对集团各项资源进行合理配置；在开展业务协同时，金融控股公司、其所控股机构应当依法以合同等形式明确风险承担主体，防止风险责任不清、交叉传染及利益冲突。

基于监管机构对数据治理的要求，众多金融企业、金融控股公司将监管机构的要求与企业自身发展战略融合，提出数据治理作为企业现代化治理的一部分，开始考虑如何依法、有效地对不同业务板块和子企业的业务数据进行统一管理，在法律框架内充分发挥集团内数据的协同效应，以数据协同促进管理协同、业务协同，实现企业集团内部协同发展的发展目标。

可见，众多企业集团将外部要求与自身发展战略相结合，将数据治理的内化为企业的内部发展需求。

二  企业集团数据治理的核心问题——难点与重点

基于企业集团对数据治理的需求和目标，我们对企业集团数据治理的核心问题、重点、难点及解决思路归纳如下。

1. 数据的法律属性识别和分类

企业集团内部主体众多、业务种类多样，所涉及的数据类型也是多种多样的。其中可能包括各类客户信息，也有其他各类业务数据，这些数据可能具有受法律保护的个人信息、关键信息基础设施运营者的重要数据、隐私、商业秘密、知识产权等各种不同的法律属性。

例如，从客户层面看，企业集团的客户可能包括机构客户，也可能包括个人客户。机构客户信息可能是客户的公开信息，但也可能是客户的商业秘密；个人客户信息可能属于受法律保护的个人信息，也可能属于其他数据。

从监管层面看，不同监管机关对其行业内数据可能有专门的界定和行业监管要求。例如，金融企业的客户信息可能属于《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》（银发〔2011〕17号）等规定的个人金融信息；医疗企业的数据可能属于《人口健康信息管理办法（试行）》规定的人口健康信息，或者《人类遗传资源管理条例》规定的人类遗传资源等。

不同数据信息的法律属性在监管要求上的侧重有所不同，由此也将直接影响对这些数据的收集、使用、共享的方式。

企业集团旗下往往有若干业务板块、业务种类丰富，例如，某大型金融控股集团旗下有金融业务板块和非金融业务板块，金融业务板块包括银行、保险、证券等多家子企业，非金融业务板块包括酒店、旅游、医疗健康等多家子企业。这类企业集团各业务板块所涉及的数据也是复杂多样的。因此，识别不同数据的法律属性，并对其进行分类处理，是企业集团数据治理的难点和重点之一。

2. 相关法律法规或监管要求对特定数据共享、流转、归集的限制

企业集团对于成员单位进行数据归集、共享时，还需要考虑相关法律法规和规定的特殊监管要求。例如，中国人民银行早在《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》（银发〔2011〕17号）等规定中就对金融机构向本机构以外的主体提供个人金融信息等有限制性规定。在进行数据归集、共享管理时，需要结合相关行业的规定制定相应的处理方案和策略。

3. 客户的授权问题

对于客户信息，无论是可能涉及商业秘密的对公客户信息，还是可能涉及个人信息的对私客户信息，如在集团内共享管理，均需要取得客户的明确授权同意。

其中，对于增量客户，可以通过新签合同等方式取得其授权。对于既有的存量客户，取得其补充授权在现实中可能存在困难，为此可以通过创设业务场景、激活客户等方式在相应业务场景和环节中取得其授权。

4. 数据存储与跨境问题

《网络安全法》规定，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储，因业务需要，确需向境外提供的，应当进行安全评估。数据跨境流动问题作为一项重要的制度在《数据安全法（草案）》中也有体现。

企业集团及/或其成员单位，特别是属于关键信息基础设施的运营者的，对于集团内业务涉及数据在境外落地或数据出境的，需要谨慎对待所涉及的数据跨境问题。

5. 数据管理平台的搭建

企业集团数据治理方案的落地，需要由统一数据管理平台承载实现。企业集团可以结合数据治理的目的、所涉及的数据类型确定数据管理平台的功能，从技术上确定可行的平台架设方案、安全保障方案，并关注平台的网络安全等级保护标准、是否需要符合《网络安全法》对关键信息基础设施及其运营者的要求，以及脱敏、加密等技术措施是否符合《密码法》等有关要求。

6. 数据合规常规机制的搭建和运行

企业集团数据治理需要通过一系列运行制度来实现日常管理。企业集团可以通过设置数据合规工作机制，包括但不限于制定操作规程、行为手册，执行数据合规论证机制、监督检查机制、考核与培训机制等，落实数据治理工作，使得数据治理和合规工作常规化、持续化。

三  对企业集团数据治理工作的建议

针对上述难点、重点问题，对于企业集团数据治理我们有如下建议。

1. 数据治理顶层设计、确定工作“底线”“红线”

企业集团内部成员单位业态丰富，上市公司、非上市公司、跨境企业等多种企业形态混合，这些复杂多样的现实情况增加了企业集团数据治理的难度。为此，需要对集团内数据治理工作进行全局把控、顶层设计，明确集团数据共享合规的法律框架与商业逻辑，以及集团各企业间的数据共享合法合规基本原则。

在工作安排上，可以分以下步骤操作：

• 首先，对集团内企业数据治理情况进行尽职调查，通过审阅资料、访谈等方式，了解企业数据治理现状、需求、难点和痛点。

• 与此同时，对需要遵守的相关法律规定和监管要求进行统一梳理，识别有关数据共享、流转、归集有限制的要求，进行充分法律研判，明确从集团层面进行数据归集不得触碰的“红线”“底线”。

• 基于尽职调查和法律研究，形成集团数据治理尽职调查报告，并根据调查分析情况，结合企业集团数据管理要求，完成数据治理合法合规的顶层设计。

对此，可以通过制定全集团的数据治理顶层设计方案、数据治理基本规章制度等工作文件体现。该等文件内容应当涵盖集团内数据共享合法合规基本原则、规则、红线和底线，数据共享的管理体制设计，集团、数据承接主体、平台及程序运营主体、其他子公司等不同主体的角色认定、权利义务及相互关系等。

• 进而，基于归集数据的目的以及法律和监管要求，对集团内数据进行梳理和分类。

对于相关法律法规和监管要求明确限制其共享、流转、归集的数据，将其单独归为一类进行剥离。对于法律规定和监管要求未作限制的数据，根据实际需要确定对哪些数据进行归集和共享，哪些数据无需归集和共享。对需要归集的数据进行细化分类，确定对不同数据的不同需求尺度，并相应明确对各类数据进行加工、处理（例如脱敏、加密）的方式。

2. 根据数据治理需求确定数据范围、进行数据分级分类

企业集团在确定数据范围时，需要从纵向上考虑监管报送、内部管理、商业信息三类需求，从横向上融合财务、人力、风控等集团各职能部门的需求，结合尽职调查情况，梳理明确需要进行数据治理、共享的数据内容，进行数据分级、分类。

对此，可以通过梳理数据需求清单，制定数据分类、分级、去标识化等标准、要求、指南等实现。

3. 制定并签署数据共享协议

数据的归集和共享是从集团层面进行数据治理的必要环节。例如，集团内数据治理实施主体（可能是集团内部门或作为承接主体的子企业）需要汇总各业务板块、各级子企业的业务数据进行统一管理、处理和开发、应用。由于数据治理实施主体不是数据的直接收集方或生产方，因此，需要由集团内其他成员单位向数据治理实施主体提供数据，由此可能产生数据在不同法人主体或法律主体之间的归集、共享、流转。

对于数据归集和共享的安排，企业集团内各主体需要签署数据共享协议。对此，可以根据数据治理顶层设计方案，以及数据需求清单等文件确定数据共享协议的主要内容。

4. 制定并签署数据收集相关法律文件

根据数据治理顶层设计方案、数据需求清单以及集团内主体已签署的数据共享协议，确定所需要取得客户授权内容、范围，结合尽职调查了解到的各企业业务概况、数据收集使用情况，确定需要起草或修订的企业/业务用户协议、隐私政策文件，制定或者修改、完善该等法律文件。

5. 各类业务场景下的数据治理合法合规性论证

针对企业集团数据治理、数据共享中涉及的各类业务场景进行合法合规性审查、论证，了解业务流程、数据收集使用要点、业务平台及其业务资质、技术架构等情况，据此出具专项诊断报告，分析主要法律问题并提出解决方案建议。在确定合法合规的实施方案后，协助完成合作协议、用户注册协议、隐私政策、服务协议等业务文件的制定或修订。

6. 就数据治理事项与监管机构持续沟通

企业集团业务众多，不同业务板块对应不同的监管机构。除根据相关法律法规进行顶层设计、合规论证外，在数据治理的全过程中，与监管机构的沟通也是必要的。特别是涉及跨行业数据归集和共享，或者创新性业务模式等情形的，建议积极与监管机构沟通以使其知悉和认可企业的数据治理模式。

7. 数据治理日常管理与培训

数据治理是一项长期的工作，并且需要融入日常经营管理活动中。为此，需要持续地进行数据治理事项的日常监督管理、合法合规性研究、新法规追踪，以及对员工进行相关培训和指导。对此，可以通过制定数据治理具体规章制度、操作指引、手册、培训课件等进一步落实。

注释：

[1] 《关于支持新业态新模式健康发展激活消费市场带动扩大就业的意见》（发改高技〔2020〕1157号）。

[2] 《工业和信息化部关于工业大数据发展的指导意见》（工信部信发〔2020〕67号）。

[3] 《中共北京市委、北京市人民政府关于加快培育壮大新业态新模式促进北京经济高质量发展的若干意见》（2020年6月9日）。

[4] 《深圳市司法局关于公开征求<深圳经济特区数据条例（征求意见稿）>意见的通告》（2020年7月15日）。