企業數字化轉型合規要點評述

編者按

在企業數字化轉型過程中，關注、把控重點環節、重要場景、重要事項的合規性，能夠為轉型成功提供堅實的保護與保障。

國浩深圳律師史躍、程婷、程夢珂撰寫《企業數字化轉型法律指南》，以法律人的視角，分享自身的思考與經驗，以期拋磚引玉，助力企業數字化轉型。今日擷取指南專章《企業數字化轉型合規要點評述》，供諸位一覽全貌，完整版指南近期即將發布，敬請期待！

往期回顧

法律視角下企業數字化轉型的危機與風險

一、數字化治理體系的構建

(一) 基礎設施的搭建與管理

傳統企業數字化轉型通常需要大量增加智能設備、網絡系統和數據上網，對技術基礎設施的需求會迅速增長，比如網絡配置、云計算、云存儲等。網絡一般來自于基礎電信運營服務商，但云計算、云存儲有可能搭建自有服務器，更多時候可能會采購第三方云服務。各類智能化管理系統也呈現自研和外包兩種類型。

如果自行搭建網絡基礎設施，可能會涉及增值電信業務，相應產生資質牌照申請需要（詳見下文“業務數字化的合規確認”）。如果是自第三方采購網絡基礎設施，鑒于提供該等服務的企業需要具有對應的資質，因此，將涉及供應商管理的特殊風險防范（詳見下文“供應商的合規審查”）。

(二) 管理制度的建立與健全

根據《數據安全法》的規定，企業開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度。一方面，為切實保障企業數據安全，規范與保護信息在傳輸、存儲和處理過程中的機密性、完整性，提高員工信息安全防范意識和操作技能；另一方面，為確保企業數據處理活動符合《數據安全法》等相關法律法規的要求，企業在數字化轉型過程中，應建立健全覆蓋全部數據生命周期的數據合規管理制度，包括數據采集、數據使用、數據訪問權限控制、數據導出和數據刪除等相關的制度。

通常而言，企業的數據管理制度體系由如下部分組成：

(三) 執行機構的設立與完善

數字化轉型合規治理執行機構的設立有兩種情形，第一種為上文所述的溝通協調部門，基于企業轉型的實施方案，根據實際需要決定是否設立；第二種為根據法律規定必須要設立的專職部門。

數字化轉型的網絡化、數字上云等必然產生數據安全問題，根據《數據安全法》，重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。

此外，隨著數據管理制度的建立健全，執行機構也需同步設立與完善，否則制度建設將流于形式，無法真正踐行、保障數據安全及數據合規，數字化治理體系的構建也是紙上談兵。

(四) 數字化辦公的管理與規范

數字化辦公既包括無紙化辦公，也包括遠程辦公。無紙化辦公依賴于文件形式虛擬化、審批流程線上化，需要較高的網絡安全環境。

遠程辦公并不是一個新話題，但近兩年的新冠疫情發展使得遠程辦公、居家辦公成為熱點話題。在企業數字化轉型過程中，可能會產生新業態新模式，相應地，遠程辦公、無紙化辦公可能會愈發普遍。在給予員工更靈活的辦公條件的同時，設施的安全性、員工的隱私等都成為突出的法律問題。

1. 第三方服務對遠程辦公的風險

遠程辦公大量借助于第三方提供的服務，比如在線會議軟件、文檔協作軟件等，這些軟件大量收集、傳輸、存儲企業信息。因此，在使用第三方服務前，必須審核第三方服務資質、確認系統是否符合技術安全要求、通過簽署正式協議明確網絡安全責任主體、商業秘密或其他權益數據泄漏的責任主體。如企業本身對在線功能實時性要求極高，還需審核第三方服務的SLA（服務等級協議）。

2. 員工使用自有設備帶來的風險

在常規辦公情景下，企業會要求員工必須使用企業設備，如電腦，企業對設備本身的控制力較強，可以將提前設置好系統權限、安裝好必備軟件的設備交員工使用，在員工離職時，對設備的數據進行查驗、清理、備份，甚至成為員工與企業糾紛中重要的證據來源。在遠程辦公情景下，為響應工作要求，允許員工使用自有設備的必要性大大增強，也可以在一定程度上減少企業開支。但是，員工使用自有設備會帶來一系列的數據安全（如自有設備未經企業IT人員安裝安全裝置，配置安全參數）、VPN權限濫用的風險，并且，基于企業對員工行為負責的法律要求，員工濫裝盜版軟件會帶來知識產權侵權風險。

我們建議，為降低和避免員工使用自有設備所帶來的法律風險，企業可考慮采取包括制定自有設備安全使用制度、建立訪問權限制度和數據分類分級管理制度、制定網絡應急預案等方式保障員工安全使用自有設備。

3. 視頻打卡等管理措施帶來的侵犯隱私風險

在遠程工作的過程中，企業出于對員工進行管理和監督的需要，可能會對員工進行各種形式的工作狀態監控，比如要求員工定時定點視頻打卡、要求員工時刻開啟攝像頭、通過插件追蹤員工上網記錄等。這些管理和監控措施，一旦超過公平、必要、合理的界限，就會觸及員工合法的個人隱私。因此，遠程辦公情景下，平衡管理和隱私成為必須關注的合規議題。

(五) 線上簽約的效率與安全

隨著加密傳輸、時間戳固化技術、區塊鏈存證技術、SSL數字證書等可信性加持技術的發展和成熟，越來越多的企業合同簽訂電子化、公司內部文件數字化，在數字化轉型過程中，前述情形也會相應產生和增加。

合同線上簽訂大大縮短與合作伙伴簽約的流程、提高簽約效率，但是，要確保線上合同簽訂行為的效力沒有瑕疵，并非鼠標點擊確認即可，——對應的實名信息驗證、具有電子簽名認證資質的服務機構頒發的數字證書、簽署后數據電文內容和形式的改動可被發現、合同本身對線上簽約的特別約定等都是風險要點，都會影響合同的效力。此外，并非所有的合同都允許電子簽署，例如，企業與行政主體之間的數字合同或行政管理文件不允許線上簽訂。

(六) 數字化管理的留痕與備份

當企業各類事項一一電子化、數據化后，面臨糾紛時，電子數據成為糾紛應對的重要證據。日常管理中，為確保數字化管理信息的真實、全面，留痕和備份十分重要，根據《電子簽名法》以及《最高人民法院關于互聯網法院審理案件若干問題的規定》，電子證據需要著重審查電子證據所依賴的計算機軟硬件是否可靠、生成時間及主體是否明確、保管方式是否妥當、提取方式是否可靠、內容是否存在修改或不完整以及是否可以對電子證據進行重復驗證等多方面內容，從而綜合判斷電子數據的真實性并決定是否采納。

二、供應商的合規審查

企業以采購資源、委托研發等形式進行數字化轉型時，除卻從技術層面了解供應商的網絡安全保護能力、網絡穩定性支持能力、數據安全保護能力外，還需要特別審核供應商是否具有提供服務的資質、是否提供了合法資源，尤其是企業選擇云計算服務供應商的情況下，需要確保：

(一) 供應商不得超業務范圍、地域范圍經營：電信業務經營者應當按照經營許可證所載明電信業務種類，在規定的業務覆蓋范圍內，按照經營許可證的規定經營電信業務；IDC業務經營范圍以機房所在地為限；ISP業務經營范圍以業務用戶覆蓋范圍為限；

(二) 云計算服務供應商應當提供增值電信業務許可證的證照或者編號；

(三) 云計算服務供應商的許可證為其母公司持有的，需確保母公司的持股比例不少于51%；

(四) 購買IDC、ISP、CDN服務時，供應商的資源不得來自于無證企業資源。

三、業務數字化的合規確認

(一) 基礎業務資質牌照

企業原本線下業務不需要申請資質牌照或者業務需要具有資質牌照的，都有可能因轉向互聯網產生新的資質牌照要求。比如，藥品經營企業從事藥品銷售，僅有線下業務時，只需要具有《藥品經營許可證（零售/批發）》，而當該企業于互聯網上銷售藥品時，則必須辦理《互聯網藥品信息服務資格證》。

在數字化轉型過程中，企業業務上線常常觸發第二類增值電信業務許可證的申請，常見情形包括：

1. B21在線數據處理與交易處理業務——EDI（電商平臺、在線支付）

2. B22國內多方通信服務業務（電話會）

3. B23存儲轉發類業務（電子郵件）

4. B24呼叫中心業務

5. B25信息服務業務——ICP（信息發布、搜索引擎、即時交互）

B21在線數據處理與交易處理業務（EDI）是指利用各種與公用通信網或互聯網相連的數據與交易/事務處理應用平臺，通過公用通信網或互聯網為用戶提供在線數據處理和交易/事務處理的業務。在線數據處理與交易處理業務包括交易處理業務、電子數據交換業務和網絡/電子設備數據處理業務。

B25信息服務業務（ICP）是指通過信息采集、開發、處理和信息平臺的建設，通過公用通信網或互聯網向用戶提供信息服務的業務。信息服務的類型按照信息組織、傳遞等技術服務方式，主要包括信息發布平臺和遞送服務、信息搜索查詢服務、信息社區平臺服務、信息即時交互服務、信息保護和處理服務等。

就何種情況辦理ICP備案，何種情況辦理ICP許可，是辦理ICP許可還是辦理EDI，實踐中，許多企業對此無法準確區分與判斷，導致要么無證經營或者超范圍經營，要么花費額外的成本辦理本不需要的資質證照。

企業數字化轉型后，新的資質牌照的必要性在于：（1）未獲得電信業務經營許可證的，任何組織和個人不得從事電信業務經營活動；（2）未獲得電信業務經營許可證的經營者無法合法獲得基礎電信業務經營者提供的電信服務和電信資源。

如果企業資源和技術足夠強大，為數字化轉型自行設立新的業務公司為集團內其他企業提供服務，則該企業落入第一類增值電信業務范疇時，還需要視情況去申請B11互聯網數據中心業務IDC、B12內容分發網絡業務CDN、B13國內互聯網虛擬專用網業務VPN、B14互聯網接入服務業務ISP等牌照。

數字化轉型帶來的資質牌照的申請，也會對企業的股權結構調整、融資運作帶來重要影響，因為增值電信業務的外資限制比較多，具體如下表所示：

(二) 轉型后的等級保護

為推動工業互聯網安全責任落實，對工業互聯網企業網絡安全實施分類分級管理，提升工業互聯網安全保障能力和水平，工業和信息化部研究起草了《工業互聯網企業網絡安全分類分級指南（試行）》，將工業互聯網企業分為三類：

1. 應用工業互聯網的工業企業，主要涉及原材料工業、裝備工業、消費品工業和電子信息制造業等行業；

2. 工業互聯網平臺企業，主要指對外提供工業互聯網平臺等互聯網信息服務的企業；

3. 工業互聯網基礎設施運營企業，主要包括基礎電信運營企業和標識解析系統建設運營機構。

同時，該指南對應用工業互聯網的工業企業網絡安全分級進行規范，根據企業所屬行業網絡安全影響程度、企業規模、企業應用工業互聯網的程度、企業發生網絡安全事件的影響程度等要素，將企業劃分為一類、二類和三類：

1. 一類行業包括輕工、紡織、食品；

2. 二類行業包括建材、廢棄資源回收加工、機械、汽車、其他運輸設備、醫藥、電子設備制造；

3. 三類行業包括鋼鐵、有色、石化化工、軌道交通裝備、船舶及海洋工程裝備、航空航天裝備。

此外，該指南采用計分方式（滿分制）將企業分為三級，分別為：

1. 評分大于等于80分的，為三級企業；

2. 評分大于等于60分的，且小于80分的，為二級企業；

3. 評分小于60分的，為一級企業。

分類分級之后，不同級別的企業在組織管理、安全防護、風險評估、應急管理方面有不同的合規要求，具體如下表所示：

四、云計算的合規監管

無論是技術角度還是業務角度，企業數字化轉型都會與云計算密切相關，云計算也在技術安全和法律合規兩個層面影響著企業數字化轉型的基礎，即數字化轉型金字塔的第一個層級。

云計算，簡單來說是分布式計算技術的一種，是透過網絡將龐大的計算處理程序自動分拆成無數個較小的子程序，再交由多部服務器所組成的龐大系統經搜尋、計算、分析之后將處理結果回傳給用戶。透過這項技術，網絡服務提供者可以在數秒之內，達成處理數以千萬計甚至億計的信息，達到和“超級計算機”同樣強大效能的網絡服務。

根據《信息安全技術云計算服務安全指南（GB/T31167-2014）》，從用戶體驗的角度，云計算可以分為IaaS（Infrastructure as a Service基礎設施即服務）、PaaS（Platform as a Service平臺即服務）和SaaS（Software as a Service軟件即服務），不同類別的云計算之間的區別如下表：

在云計算業務體系下，狹義的云計算服務商——IaaS、PaaS、SaaS下需要取得IDC牌照的廠商，即提供數據中心業務的廠商，以及提供內容分發網絡業務（B12-CDN）和互聯網接入服務業務（B14-ISP）的廠商，面臨資源來源合法、資源使用合法和資源去向合法的強監管。

(一) 資源來源合法

1. ISP業務經營者：應當租用取得相應經營許可證的基礎電信業務經營者提供的電信服務或者電信資源從事業務經營活動，不得從其他ISP經營者轉租電信服務或者資源；

2. IDC、ISP、CDN業務經營者不得自建通信傳輸設施，不得使用無相應電信業務經營許可證的單位或個人提供的網絡基礎設施和IP地址、寬帶等網絡接入資源；

3. 禁止“下水道”、“黑帶寬”，打擊通過專線合同替換通信資源、使用不合法資源，嚴禁更改資源用途，嚴禁寬帶匯聚（將小流量帶寬匯聚成大流量帶寬使用）。

(二) 資源使用合法

1. 不得超業務范圍、地域范圍經營：電信業務經營者應當按照經營許可證所載明電信業務種類，在規定的業務覆蓋范圍內，按照經營許可證的規定經營電信業務；

2. 標注證書編號：電信業務經營者應當在公司的主要經營場所、網站主頁、業務宣傳材料等顯著位置標明其經營許可證編號；

3. 無批準不授權：電信業務經營者經發證機關批準，可授權其持股比例不少于51%并符合經營電信業務條件的公司經營其獲準經營的電信業務；

4. 不得轉租：IDC、ISP、CDN業務經營者禁止以技術合作等名義向無證企業非法經營電信業務提供資質或者資源，ISP業務經營者不得向其他從事ISP業務的經營者轉租所獲得的電信服務或者電信資源。

(三) 資源去向合法

1. 審核合作方：（1）基礎電信企業不得向無證企業和個人提供用于經營IDC、ISP、CDN等業務的網絡基礎設施和IP地址、帶寬等網絡接入資源；（2）ISP企業不得為未取得經營許可證的或者未履行非經營性互聯網信息服務備案手續的單位或個人提供ISP或代收費服務；（3）ISP企業需要對所接入網站傳播違法信息的行為進行監督；（4）ISP企業向其他增值電信業務經營者提供ISP或代收費服務及開展業務合作時，應當審查合作方是否被列入電信業務經營不良名單或失信名單；（5）IDC企業對接入的第三方應用開發者進行實名登記和核驗；

2. 禁止層層轉租：IDC、ISP企業不得將其獲得的IP地址、寬帶等網絡接入資源轉租給其他企業用于經營IDC、ISP等業務；

3. CDN業務禁止：CDN企業不得為未備案網站、列入黑名單的網站提供CDN服務。

在數字化轉型過程中，企業需要特別關注云計算服務商的法律監管，否則可能會因使用不合法服務而遭遇安全風險和法律合規風險。

五、數據的分類分級

《數據安全法》從國家層面確立了數據分類分級保護制度，同時提出各地區、各部門要制定本地區、行業或者領域的重要數據目錄；《個人信息保護法》直接規定了個人信息處理者應對個人信息實行分類管理；工業和信息化部辦公廳出臺《工業數據分類分級指南（試行）》的通知，對工業數據分類分級提供指引；金融行業等特定行業監管部門也陸續出臺了數據分類分級指南。

在數字化轉型過程中，面對海量數據，企業需要以國家制定的數據分類分級保護制度為基準，以各地區、各部門的數據目錄為指導，制定企業內部的數據分類分級管理制度。在當前環境下，雖然相關概念尚不明確，但企業基于管理的需要，建立針對自身的數據分類分級管理制度，以滿足不同類型數據監管的要求，具有相當的必要性。

六、數據處理的流程合規

在數字化轉型過程中，企業不可避免會遇到數據處理事項。數據處理是數據“從生到死”的整個生命周期，包含“收集、存儲、使用、加工、傳輸、提供、公開、刪除”八個階段，數據處理合規與否的關鍵在于是否符合數據處理的原則要求和前述八個階段中每個階段的特定合規要求。

根據《民法典》《網絡安全法》《數據安全法》，數據處理原則概括為合法、正當、必要，這也是廣為流傳和接受的數據保護三原則?！秱€人信息保護法》《深圳市數據保護條例》等對處理原則進行了不少細節擴充，最終包括：合法正當必要誠信（不得以欺詐、誘騙、誘導的方式處理個人信息）、目的明確合理及最小必要（只處理滿足個人信息主體授權同意的目的所需的最少個人信息類型和數量）、公開透明（公開個人信息處理規則，明示處理的目的、方式和范圍）、準確完整（避免因個人信息不準確、不完整對個人權益造成不利影響）和確保安全（防止個人數據泄露、毀損、丟失、篡改和非法使用）。

從工信部持續發布的專項整治行動通報、《個人信息安全規范》、公安部發布的《互聯網個人信息安全保護指南》、全國信息安全標準化技術委員會發布的兩份《網絡安全標準實踐指南》《互聯網信息服務算法推薦管理規定》等，針對各個階段的數據處理活動需要遵循和關注的合規要點，逐一分析如下：

(一) 收集

收集信息的類型、數量、方式、渠道是否合法、正當、最小必要；是否以清晰明確、易于理解的方式，完整、真實、準確地向個人信息主體告知收集、使用個人信息的目的、方式和范圍等；是否獲取了個人信息主體的同意；敏感個人信息或未成年個人信息是否單獨獲得同意；是否提供便捷的撤回同意的方式；是否提供了查詢、更正、補充、刪除個人信息的渠道等。

(二) 存儲

個人信息存儲方式、地點；存儲時間是否為實現處理目的所必需的最短時間；是否有特定行業的存儲期限規定；是否在分級分類基礎上建立存儲安全制度，包括存儲載體、是否加密存儲或授權訪問、是否去標識化或者匿名化、是否分開存儲等。

(三) 使用

個人信息使用的監管要點在于展示限制、用戶畫像使用限制、自動決策機制限制、大數據殺熟禁止等。使用的合規要點包括：是否建立最小授權的訪問控制策略；是否對需展示的個人信息采取去標識化處理等措施；是否超出與收集個人信息時所聲稱的目的具有直接或合理關聯的范圍；是否向個人信息主體明示用戶畫像的具體用途和主要規則；是否以易獲取的方式向個人信息主體提供拒絕用戶畫像的有效途徑；是否基于用戶畫像向未滿十四周歲的未成年人推薦個性化產品或者服務；用戶畫像中對個人信息主體的特征描述是否包含淫穢等內容及表達對民族等歧視的內容；是否定期開展個人信息安全影響評估；是否向個人信息主體提供針對自動決策結果的投訴渠道；是否利用數據分析對交易條件相同的交易相對人實施差別待遇；是否向用戶公開了自動化決策算法的規定內容等。

(四) 加工和傳輸

對于個人信息的加工和傳輸，目前雖尚無具體、有針對性的條文，但仍應當符合合法、正當、必要的基本原則。

數據加工，常見的運用場景是利用基礎數據進行數據的深度挖掘和分析，進而形成有價值的數據產品，為商業決策提供支持。當數據加工（大數據分析）與人工智能聯合時，會產生巨大的想象空間和商業價值。在此情形下，關鍵法律問題包括基礎數據來源的合法性、分析結果是否構成新的法律權益（如著作權、商業秘密）、企業是否為了使數據加工后的產品具備商業秘密的性質而采取了必要的保密措施、數據加工結果的使用是否會侵害他人尤其是競爭者的權益等。

數據傳輸則是風險事故發生的關鍵環節之一，因此，對于數據在傳輸過程中采用了何種形式、是否采取與數據級別相匹配的安全保護措施需要予以特別注意。

(五) 提供

提供，涉及個人信息的委托處理、共享、轉讓、出境等。針對個人信息的委托處理，合規要點包括：委托行為是否超出已征得個人信息主體授權同意的范圍；委托處理涉及的個人信息的類型；是否與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等；是否及如何對受托人的個人信息處理活動進行監督；是否轉委托他人處理個人信息；是否對委托行為進行個人信息安全影響評估；是否準確記錄和保存委托處理情況等。

針對個人信息的共享、轉讓，合規要點包括：是否事先開展個人信息安全影響評估；是否涉及個人敏感信息；是否向個人信息主體告知共享、轉讓個人信息的目的、接收方的類型以及可能產生的后果，并事先征得個人信息主體的授權同意；是否進行去標識化處理；是否通過合同等方式規定接收方的責任和義務；是否準確記錄和保存個人信息的共享、轉讓情況，包括共享、轉讓的日期、規模、目的，以及接收方基本情況；是否存在通過接入第三方軟件開發工具包（“SDK”）與第三方實現個人信息的共享、轉讓情形；App中是否對內嵌SDK信息一一列明；是否對第三方SDK開展技術檢測以確保個人信息收集使用符合約定要求等。

針對個人信息出境，合規要點包括：出境個人信息的類型、數量、方式、渠道；是否需要通過或者是已經通過國家網信部門組織的安全評估；是否按照國家網信部門的規定經專業機構進行個人信息保護認證；是否與境外接收方訂立合同及合同的內容；保障境外接收方處理個人信息的活動達到《個人信息保護法》規定的個人信息保護標準的措施等。

(六) 公開

個人信息以不公開為原則、公開為例外。針對個人信息的公開應當關注：是否經法律授權或具備合理事由確需公開披露；是否事先開展個人信息安全影響評估，并依據評估結果采取有效的保護個人信息主體的措施；是否向個人信息主體告知公開披露個人信息的目的、類型，并事先征得其明示同意；是否涉及個人敏感信息；是否涉及個人生物識別信息；是否涉及我國公民的種族、民族、政治觀點、宗教信仰等個人敏感數據的分析結果；是否準確記錄和保存個人信息的公開披露情況，包括公開披露的日期、規模、目的、公開范圍等。

(七) 刪除

刪除是《個人信息保護法》規定的獨立的處理階段。針對個人信息的刪除應關注：是否建立個人信息刪除機制；是否依法主動刪除個人信息；是否建立響應個人信息主體有關刪除個人信息請求的機制等。

七、流動數據的管理合規

在數字化轉型過程中，數據必定會在企業內部流動，為避免數據的濫用和泄漏，需要建立企業內部數據流動的管理權限制度，針對數據的分類分級、數據量的大小、員工本身的崗位和職級，設定不同員工對數據的訪問、修改、復制、下載的權限，當超出權限時，由高一層級的權限人員進行逐級審批。

企業內部數據流動管理合規措施主要包括：

(一) 隔離存儲

對不同重要等級（如重要數據、敏感數據、一般數據）、用途和目的、來源的信息，應采取特定的隔離措施（如物理隔離或邏輯隔離措施），確保各類數據妥善、安全地存儲；

(二) 最小權限

員工應僅具備完成職責所需的最少的數據信息訪問權限（包括所能訪問的信息類型、范圍以及訪問期限），員工對信息的訪問權限應與工作職責緊密關聯并及時更新；

(三) 按需審批

對信息的訪問與其他操作應設置內部權限審批、記錄流程。在授予員工信息訪問權限時，應根據員工的工作職責實際需求進行授權，避免出現員工訪問權限過大的情況；

(四) 職責分離

一個員工不能同時承擔多個存在職責沖突的角色，以防止獲得過大權限，如對數據安全管理員、審計人員的角色進行分離設置；

(五) 默認拒絕

未經明確授權的員工，涉及信息的相關系統應默認采用禁止訪問原則。

八、靜態數據的保障合規

在數字化轉型過程中，對于已經在企業內部收集、存儲的數據，尤其是全面的備份數據，應建立風險監測方案、數據安全事件應急處置措施、定期合規評審等制度，同時確保與主管部門有效的溝通機制，方便在需要時能夠做到及時備案、報告。

靜態數據安全保障的邏輯應用為進行安全事件分類分級、安全事件的監測、安全事件的處理流程、安全事件的處置方法以及事件處理的記錄和歸檔，具體分析如下：

(一) 信息安全事件分類

根據信息安全事件發生的原因、表現形式等，可以將信息安全事件分為有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施安全故障、災害性事件和其他網絡安全事件等類別，具體如下表所示：

(二) 信息安全事件分級

信息安全事件按照給企業帶來的經濟損失和名譽的影響從低到高分為若干級別，例如，在分為四級情況下：

1. 一級信息安全事件

影響個別業務，但未影響公司核心業務系統正常運行，未影響業務的正常開展，未造成敏感信息外泄的事件，如個別終端用戶因中毒導致短時間終端不可用、網絡短時間中斷、一般業務系統短時間中斷等。

2. 二級信息安全事件

公司經營數據泄密、丟失或破壞；業務系統及其支撐設施中斷產生影響在可控范圍內，未對公眾利益、公司利益及相關個人利益造成較大不利影響且未對公司名譽造成影響。

3. 三級信息安全事件

公司秘密數據、個人信息（包括敏感個人信息）遭到泄密、丟失或破壞；網絡、應用系統中斷在可容忍時間以上，已造成關鍵業務短時間中斷，影響業務正常進行的事件，可能對公眾利益、公司利益及相關個人利益造成重大損害的。

4. 四級信息安全事件

對公司業務產生影響，數據不可恢復、數據丟失造成公司機密和絕密信息泄露、對公司經濟和名譽造成重大損失的，產生嚴重不良社會影響的，如個人信息（包括敏感個人信息）、絕密信息泄密；人員失職造成公司重大經濟或名譽損失，或可能對生命安全造成影響的；重要網絡和信息系統遭受特別嚴重的系統損失，造成系統大面積癱瘓，喪失業務處理能力的。

示例如下：

備注：級數和每一級的具體數據僅為示例

(三) 信息安全事態監測和預防

公司建立信息系統安全監控和異常分析機制，建立安全事態上報程序，在不打斷信息系統正常的業務運行的條件下，制定信息安全事件的演練和培訓計劃，定期組織員工參與培訓、完成演練。

(四) 信息安全事件的處理流程

員工發現信息安全事件應立即上報上級負責人，上級負責人根據上報的信息安全事件，初步判定該事件的等級，并根據不同等級的事件進行相應的處置。企業應當就不同級別的安全事件設置不同的處理流程，安全級別越高，最終負責處理的部門和管理層級也應當越高。

企業還應注意，在事件處理過程中，對事件級別進行動態管理，實時對事件進行降級或升級管理。

(五) 安全事件的報告和歸檔

信息安全事件處理報告必須包含以下內容：事件發生過程描述、參與事件處理人員名單以及各自擔任的工作、事件處理過程、事件發生原因分析、整改措施、責任追究處罰等。處理結束之后，進行歸檔管理。

靜態數據的安全保障邏輯和體系，在發生安全事件時，對事件本身的應急處理和監管追責有著十分重要的意義，在數字化轉型過程中，企業應建立健全靜態數據的安全保障體系，以便及時、有效應對安全事件。

九、數據權益護城河的建立

在數字化轉型過程中，數據將成為企業發展的驅動要素，也將成為企業的重要資產，因此，對數據權益的保護尤為重要。當企業可以通過數據加工，利用基礎數據進行數據的深度挖掘和分析，進而形成有價值的數據產品或者數據權益時，在確?；A數據來源的合法性的前提下，將數據產品和權益視情況歸于著作權、商業秘密等受法律保護的權益范疇內，在此基礎上，以法律權益構建自身商業體系的護城河，一方面禁止他人無償使用，另一方面在他人提起訴訟時可從容應對。

通過數據權益護城河的建立，可以有效保障企業數據資產的合法權益，發揮數據驅動企業發展的重要作用。