《重要數據識別指南（徵求意見稿）》及“重要數據”立法趨勢的相關影響_風聞

走出去智庫觀察

1月13日，全國信息安全標準化技術委員會發布《信息安全技術 重要數據識別指南》(徵求意見稿)********（以下稱“《指南》徵求意見稿”）********。****此次形成的徵求意見稿對“重要數據”進行了較此前更為明確的範圍界定。涉及相關業務的中國企業應當高度關注徵求意見稿的有關內容及後續發展，結合自身業務活動判斷適用性，並在有必要時積極提交對《指南》徵求意見稿的評論意見。

****走出去智庫（CGGT）特約法律專家、北京大成總部高級合夥人蔡開明指出，在目前數據合規立法逐步完善、法律法規逐步正式實施的背景下，建議中國企業加速對自身業務中涉及的數據處理活動的數據地圖梳理工作，結合企業對已生效的法律法規、重要標準以及相關的徵求意見稿，確認各項要求與自身業務場景中的適用性，甄別應當履行的法律義務。

****今天，走出去智庫（CGGT）刊發蔡開明律師團隊針對《指南》徵求意見稿的分析文章，供關注數據********合規管理的讀者參閲。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、根據《指南》徵求意見稿，重要數據指“以電子方式存在的，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據”，且明確排除了國家秘密和單獨的個人信息，體現了有關重要數據的立法趨勢。此外，《指南》徵求意見稿明確説明“基於海量個人信息形成的統計數據、衍生數據”，例如基於海量用户個人信息形成的市場趨勢判斷、市場喜好判斷等，有可能屬於重要數據。

2、********《指南》徵求意見稿最終發佈版本形成的重要數據定義、識別基本原則及識別因素將作為監管部門制定重要數據目錄的重要參考依據，同樣也是相關企業識別自身業務活動中所掌握的重要數據的重要參考標準。

3、各類國家標準、監管部門的執法案件以及立法部門發佈的徵求意見稿能夠最準確地反映主管部門及中國學界對於數據合規立法、法律解釋方面的最新態度。我們建議相關企業在內部部署法律法規及標準動態監控，並在有需要時諮詢專業機構，從而更有效地把控合規工作的進展方向。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/蔡開明 阮東輝

一、 前言

2022年1月13日，全國信息安全標準化技術委員會歸口的國家標準《信息安全技術 重要數據識別指南》已形成徵求意見稿（以下稱“《指南》徵求意見稿”），並向社會公開徵求意見，徵求意見截止日期為2022年3月13日24:00。

此次形成的徵求意見稿對“重要數據”進行了較此前更為明確的範圍界定。“重要數據”是《數據安全法》所建立的數據安全制度中的重要概念之一，且中國數據安全相關法律法規明確了重要數據處理者應當履行的特別義務（例如，《數據安全法》中有關重要數據處理者應履行的特別保護義務，以及《網絡安全法》中有關重要數據跨境傳輸的相關義務等），並設置了嚴格的違規處罰措施。因此，涉及相關業務的中國企業應當高度關注徵求意見稿的有關內容及後續發展，結合自身業務活動判斷適用性，並在有必要時積極提交對《指南》徵求意見稿的評論意見。

二、 《重要數據識別指南》的制定及“重要數據”的定義

1、 制定背景

“重要數據”的概念首次在2016年11月發佈的《網絡安全法》中提出，並對重要數據的某些跨境傳輸、特別安全保護義務提出了具體要求，但是《網絡安全法》沒有就重要數據的定義予以具體的界定，在實際的認定中也存在模糊的情形。

國家互聯網信息辦公室後續於2017年4月發佈了《個人信息和重要數據出境安全評估辦法（徵求意見稿）》，明確了重要數據的範圍，即“指與國家安全、經濟發展，以及社會公共利益密切相關的數據”，並指出“具體範圍參照國家有關標準和重要數據識別指南”，奠定了《重要數據識別指南》及有關國家標準在重要數據的範圍界定方面的重要意義，即使該標準屬於推薦性國家標準。

2、 “重要數據”定義的演變

2020年8月31日，全國信息安全標準化技術委員會發文正式徵集符合條件的組織參編《信息安全技術 重要數據識別指南》，並正式開始了該標準的制定工作。一份日期標記為2021年9月23日的非官方公開《重要數據識別指南（徵求意見稿）》（以下稱“2021年版本”）延續了《個人信息和重要數據出境安全評估辦法（徵求意見稿）》中對重要數據的界定範圍。但是，2022年1月13日全國信息安全標準化技術委員會發布了正式的《指南》徵求意見稿，其中重要數據的界定範圍發生了重大的變更。

《指南》徵求意見稿與近期發佈的《網絡數據安全管理條例（徵求意見稿）》中有關重要數據的定義保持一致，即重要數據指“以電子方式存在的，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據”，且明確排除了國家秘密和單獨的個人信息，體現了有關重要數據的立法趨勢****。此外，《指南》徵求意見稿明確説明“基於海量個人信息形成的統計數據、衍生數據”，例如基於海量用户個人信息形成的市場趨勢判斷、市場喜好判斷等，有可能屬於重要數據。****以上界定首先將重要數據限定在電子數據的範疇內，並解決了此前公眾對大量個人信息是否直接構成重要數據的疑惑，同時繼承了《數據安全法》將國家秘密相關數據排除在數據安全保護法律法規適用範圍之外的原則，相較於此前的界定更為清晰。

在該定義下，若發生數據安全事故“可能危害國家安全、公共利益的數據”成為重要數據的主要界定標準。****鑑於該界定仍較為概括，本文將結合《指南》徵求意見稿其他內容就可能構成重要數據的範圍進行進一步解讀。

三、 重要數據的識別基本原則及識別因素

《數據安全法》要求國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。為落實《數據安全法》等法律法規的要求，加快推動各行業領域數據安全保護能力，已有部分直轄市及省份制定了數據安全相關的條例（例如，《上海市數據條例》《湖南省網絡安全和信息化條例》等），並明確將按照國家有關要求和標準組織制定數據分類分級指南以及重要數據目錄。此外，工業和信息化部還就工業和信息化領域數據安全管理工作的制度化、規範化，制定了《工業和信息化領域數據安全管理辦法（試行）（徵求意見稿）》，明確實施數據分類分級管理，將工業和電信數據分為一般數據、重要數據和核心數據三級，且將制定相應的數據目錄。

目前，雖然有關地區與行業暫未在法規或標準中正式制定重要數據目錄，但是我們判斷，《指南》徵求意見稿最終發佈版本形成的重要數據定義、識別基本原則及識別因素將作為監管部門制定重要數據目錄的重要參考依據，同樣也是相關企業識別自身業務活動中所掌握的重要數據的重要參考標準。

1、 重要數據識別基本原則

《指南》徵求意見稿首先提出了識別重要數據的基本原則，主要包括以下：

1) 聚焦安全影響：從國家安全、經濟運行、社會穩定、公共健康和安全等角度識別重要數據，只對組織自身而言重要或敏感的數據不屬於重要數據，如企業的內部管理相關數據；

2) 突出保護重點：通過對數據分級，明確安全保護重點，使一般數據充分流動，重要數據在滿足安全保護要求前提下有序流動，釋放數據價值；

3) 銜接既有規定：充分考慮地方已有管理要求和行業特色，與地方、部門已經制定實施的有關數據管理政策和標準規範緊密銜接；

4) 綜合考慮風險：根據數據用途、面臨威脅等不同因素，綜合考慮數據遭到篡改、破壞、泄露或者非法獲取、非法利用等風險，從保密性、完整性、可用性、真實性、準確性等多個角度識別數據的重要性；

5) 定量定性結合：以定量與定性相結合的方式識別重要數據，並根據具體數據類型、特性不同採取定量或定性方法。

6) 動態識別複評：隨着數據用途、共享方式、重要性等發生變化，動態識別重要數據，並定期複查重要數據識別結果。

以上重要數據識別基本原則確認了重要數據識別的角度為宏觀層面，強調了數據應根據分級實施安全保護管理，且應與地方、部門制定實施的重要數據目錄及安全管控政策有機地銜接。在實施具體的識別工作中，還應當綜合數據用途、面臨威脅等不同因素，並以定量與定性相結合的方式進行動態識別。

2、 重要數據識別因素

《指南》徵求意見稿還提出了識別重要數據時，應當考慮的識別因素，進一步明確了重要數據的界定範圍。《指南》徵求意見稿該部分替代了2021年版本中所提出的“重要數據的特徵”部分，即提出與經濟運行相關、與人口與健康相關、與自然資源與環境相關、與科學技術相關、與安全保護相關、與應用服務相關、與政務活動相關的屬於重要數據的內容。對於此變化，根據《指南》徵求意見稿主要起草人中國信息安全研究院副院長左曉棟所述，《指南》徵求意見稿的擬定參照了美國《國家安全系統識別指南》從後果及影響角度來判斷其是否屬於重要數據，放棄了按照行業分類的方式，從而避免在制定重要數據國家標準時設置不必要的限制，實質上將更多保留了各地區、各部門的最終界定權利，從而實現該標準的指導性功能，減輕該標準的行政色彩。

值得注意的是，2021年版本中所提出的“重要數據的特徵”仍在重要數據界定中具有一定參考意義，但是鑑於其將大概率不會再出現在正式標準的文本內，將不具有任何直接約束力。

結合此次發佈的《指南》徵求意見稿以及《網絡數據安全管理條例（徵求意見稿）》中有關對重要數據識別的進一步解釋，我們判斷在未來立法趨勢中，《重要數據識別指南》將作為各地區、各部門識別重要數據，制定重要數據目錄的主要標準，主要的重要數據識別因素為“可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據”，我們初步判斷，業務活動涉及以上領域企業應當特別關注重要數據相關的立法動態****。此外，《指南》徵求意見稿還提供了具體的識別因素示例，該等示例與《網絡數據安全管理條例（徵求意見稿）》中所舉出的重要信息範圍基本一致，但相對更為細化，主要包括以下：

1) 反映國家戰略儲備、應急動員能力，如戰略物資產能、儲備量屬於重要數據；

2) 支撐關鍵基礎設施運行或重點領域工業生產，如直接支撐關鍵基礎設施所在行業、領域核心業務運行或重點領域工業生產的數據屬於重要數據；

3) 反映關鍵信息基礎設施網絡安全保護情況，可被利用實施對關鍵信息基礎設施的網絡攻擊，如反映關鍵信息基礎設施網絡安全方案、系統配置信息、核心軟硬件設計信息、系統拓撲、應急預案等情況的數據屬於重要數據；

4) 關係出口管制物項，如描述出口管制物項的設計原理、工藝流程、製作方法等的信息以及源代碼、集成電路布圖、技術方案、重要參數、實驗數據、檢測報告屬於重要數據；

5) 可能被其他國家或組織利用發起對我國的軍事打擊，如滿足一定精度要求的地理信息屬於重要數據；

6) 反映重點目標、重要場所物理安全保護情況或未公開地理目標的位置，可能被恐怖分子、犯罪分子利用實施破壞，如反映重點安保單位、重要生產企業、國家重要資產（如鐵路、輸油管道）的施工圖、內部結構、安防等情況的數據，以及未公開的專用公路、未公開的機場等的信息屬於重要數據；

7) 可能被利用實施對關鍵設備、系統組件供應鏈的破壞，以發起高級持續性威脅等網絡攻擊，如重要客户清單、未公開的關鍵信息基礎運營者採購產品和服務情況、未公開的重大漏洞屬於重要數據；

8) 反映羣體健康生理狀況、族羣特徵、遺傳信息等的基礎數據，如人口普查資料、人類遺傳資源信息、基因測序原始數據屬於重要數據；

9) 國家自然資源、環境基礎數據，如未公開的水情信息、水文觀測數據、氣象觀測數據、環保監測數據屬於重要數據；

10) 關係科技實力、影響國際競爭力，如描述與國防、國家安全相關的知識產權的數據屬於重要數據；

11) 關係敏感物項生產交易以及重要裝備配備、使用，可能被外國政府對我實施制裁，如重點企業金融交易數據、重要裝備生產製造信息，以及國家重大工程施工過程中的重要裝備配備、使用等生產活動信息屬於重要數據；

12) 在向政府機關、軍工企業及其他敏感重要機構提供服務過程中產生的不宜公開的信息，如軍工企業較長一段時間內的用車信息；

13) 未公開的政務數據、工作秘密、情報數據和執法司法數據，如未公開的統計數據。

四、 關於重要數據的識別流程

值得注意的是，與2021年版本相比較，《指南》徵求意見稿刪去了“重要數據識別流程”的有關內容。根據《指南》徵求意見稿主要起草人左曉棟所述，刪去該內容的本意在於有關重要數據識別流程的內容具有一定的行政色彩，而《重要數據識別指南》更應強調的重點功能在於明確重要數據的範圍。

結合《網絡數據安全管理條例（徵求意見稿）》中有關重要數據處理者向設區的市級網信部門備案重要數據識別情況的要求，我們推斷，重要數據的具體識別流程將由各主管部門根據實際情況及需要在地區、部門法規及行業標準中進一步制定。

五、 重要數據相關法律要求與趨勢

根據《網絡數據安全管理條例（徵求意見稿）》《工業和信息化領域數據安全管理辦法（試行）（徵求意見稿）》等近期發佈的文件，我們判斷目前的立法趨勢將重要數據與一般數據、核心數據概念並列認定為數據分級的等級之一。

重要數據作為《數據安全法》所確立的數據分類分級制度中的重要概念，相關法律法規明確了重要數據處理者在履行一般數據安全保護義務以外應當履行的特別義務，並設置了嚴格的違規處罰措施。根據目前的立法情況及立法趨勢，相關特別義務主要包括以下：

1、 重要數據相關網絡安全等級保護要求

根據《網絡數據安全管理條例（徵求意見稿）》的有關規定，數據處理者應當按照網絡安全等級保護的要求，加強數據處理系統、數據傳輸網絡、數據存儲環境等安全防護，其中處理重要數據的系統原則上應當滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求********，並使用密碼對重要數據進行保護。

2、 重要數據特別安全保護義務

（1） 數據安全負責人和管理機構的任命

根據《數據安全法》的有關要求，重要數據處理者應當任命********數據安全負責人和管理機構，以落實數據安全保護責任。若開展重要數據處理活動的主體未能履行該義務，可能會面臨由有關主管部門責令改正，給予警告，直至責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，並處以二百萬元********以下的罰款。

《網絡數據安全管理條例（徵求意見稿）》進一步規定了數據安全負責人的任職條件、履職職權，以及數據安全管理機構在數據安全負責人的領導下應當履行的職責，包括：

1) 研究提出數據安全相關重大決策建議；

2) 制定實施數據安全保護計劃和數據安全事件應急預案；

3) 開展數據安全風險監測，及時處置數據安全風險和事件；

4) 定期組織開展數據安全宣傳教育培訓、風險評估、應急演練等活動；

5) 受理、處置數據安全投訴、舉報；

6) 按照要求及時向網信部門和主管、監管部門報告數據安全情況。

（2） 重要數據識別與備案

根據《網絡數據安全管理條例（徵求意見稿）》的有關規定，重要數據的處理者應當根據本地區、本部門的制定的相關行業、領域重要數據目錄識別自身持有的重要數據，並在識別其重要數據後的十五個工作日內向設區的市級網信部門備案，且若處理數據的目的、範圍、類型及數據安全防護措施等有重大變化的，應當重新備案。備案內容包括：

1) 數據處理者基本信息，數據安全管理機構信息、數據安全負責人姓名和聯繫方式等；

2) 處理數據的目的、規模、方式、範圍、類型、存儲期限、存儲地點等，不包括數據內容本身；

3) 國家網信部門和主管、監管部門規定的其他備案內容。

對於此，我們建議相關公司在報送重要數據識別結果時，結合《指南》徵求意見稿中有關“重要數據描述格式”進行報送。

（3） 重要數據處理活動安全風險評估

《數據安全法》要求重要數據處理者對其數據處理活動定期開展風險評估，並向有關主管部門報送風險評估報告。具體而言，風險評估報告應當包括處理的重要數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等。若開展重要數據處理活動的主體未能履行該義務，可能會面臨由有關主管部門責令改正，給予警告，直至責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，並處以二百萬元********以下的罰款。根據《網絡數據安全管理條例（徵求意見稿）》的有關規定，我們理解該風險評估包含以下兩類評估制度：

a. 年度評估制度

我們理解，《網絡數據安全管理條例（徵求意見稿）》中針對處理重要數據的數據處理者應當履行的年度數據安全評估即源自以上要求。具體而言，根據該徵求意見稿的要求，重要數據處理者每年應當********自行或者委託數據安全服務機構開展一次數據安全評估，********留存該風險評估報告至少三年，********並在每年1月31日前將上一年度數據安全評估報告報設區的市級網信部門****，年度數據安全評估報告的內容包括：

1) 處理重要數據的情況；

2) 發現的數據安全風險及處置措施；

3) 數據安全管理制度，數據備份、加密、訪問控制等安全防護措施，以及管理制度實施情況和防護措施的有效性；

4) 落實國家數據安全法律、行政法規和標準情況；

5) 發生的數據安全事件及其處置情況；

6) 共享、交易、委託處理、向境外提供重要數據的安全評估情況；

7) 數據安全相關的投訴及處理情況；

8) 國家網信部門和主管、監管部門明確的其他數據安全情況。

b. 風險評估制度

此外需要關注的是，數據處理者需開展有關重要數據共享********、交易、委託處理、向境外提供的安全評估，在安全評估當中重點評估以下內容，且若評估認為可能危害國家安全、經濟發展和公共利益，數據處理者不得共享、交易、委託處理、向境外提供相關重要數據：

1) 共享、交易、委託處理、向境外提供數據，以及數據接收方處理數據的目的、方式、範圍等是否合法、正當、必要；

2) 共享、交易、委託處理、向境外提供數據被泄露、毀損、篡改、濫用的風險，以及對國家安全、經濟發展、公共利益帶來的風險；

3) 數據接收方的誠信狀況、守法情況、境外政府機構合作關係、是否被中國政府制裁等背景情況，承諾承擔的責任以及履行責任的能力等是否能夠有效保障數據安全；

4) 與數據接收方訂立的相關合同中關於數據安全的要求能否有效約束數據接收方履行數據安全保護義務；

5) 在數據處理過程中的管理和技術措施等是否能夠防範數據泄露、毀損等風險。

（4） 其他安全保護義務

除以上重要數據安全保護義務外，《網絡數據安全管理條例（徵求意見稿）》還就重要數據處理者的應急處置機制、數據安全培訓計劃、網絡產品和服務採購，以及合併、重組、分立等方面應當履行的安全保護義務與向監管機關上報的要求進行了規範。

3、 重要數據第三方共享、交易或委託處理

根據《網絡數據安全管理條例（徵求意見稿）》的有關規定，數據處理者向第三方提供個人信息，或者共享、交易、委託處理重要數據的，應當徵得相關主管部門****、****網信部門同意，並同時應當遵守以下規定：

1) 向個人告知提供個人信息的目的、類型、方式、範圍、存儲期限、存儲地點，並取得個人單獨同意，符合法律、行政法規規定的不需要取得個人同意的情形或者經過匿名化處理的除外；

2) 與數據接收方約定處理數據的目的、範圍、處理方式，數據安全保護措施等，通過合同等形式明確雙方的數據安全責任義務，並對數據接收方的數據處理活動進行監督；

3) 留存個人同意記錄及提供個人信息的日誌記錄，共享、交易、委託處理重要數據的審批記錄、日誌記錄至少五年。

4、 重要數據跨境傳輸特別要求

（1） 重要數據跨境傳輸前應遵循的特別要求：安全評估程序

根據《網絡安全法》的要求，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲；若因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。後續出台的《數據安全法》明確了該要求仍適用。同時，《數據安全法》規定，其他數據處理者（即，非關鍵信息基礎設施的運營者）在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，將由國家網信部門會同國務院有關部門制定。若違反《數據安全法》規定向境外提供重要數據，可能會面臨由有關主管部門責令改正，給予警告，責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，並處一千萬元********以下的罰款。

關於以上提及的重要數據出境安全評估，《網絡數據安全管理條例（徵求意見稿）》提出了整體規定，即數據處理者（無論是否屬於“關鍵信息基礎設施的運營者”）向境外提供在中華人民共和國境內收集和產生重要數據****的，除非有關法律法規明確規定可以不進行安全評估，****應當通過國家網信部門組織的數據出境安全評估後方可進行。該規定明確了所有重要數據處理者跨境重要數據前均需履行申請國家網信部門組織的數據出境安全評估的義務。這與最新修訂發佈的《網絡安全審查辦法》的國家安全風險因素重點評估對象與情形中，有關重要數據的內容相銜接，即重點評估風險因素為重要數據被竊取、泄露、毀損以及非法利用、非法出境的風險，在國外上市活動中重要數據被外國政府影響、控制、惡意利用的風險，以及網絡信息安全風險****。

（2） 重要數據跨境傳輸時應遵循的特別要求

根據《網絡數據安全管理條例（徵求意見稿）》的有關規定，數據處理者向境外提供重要數據應當確保不超出網信部門安全評估時明確的出境目的、範圍、方式和數據類型、規模等向境外提供個人信息和重要數據。此外，國家網信部門會同國務院有關部門依職權核驗向境外提供個人信息和重要數據的類型、範圍時，數據處理者應當以明文、可讀方式予以展示。

（3） 重要數據跨境傳輸後應遵循的特別要求

根據《網絡數據安全管理條例（徵求意見稿）》的有關規定，向境外提供個人信息和重要數據的數據處理者，應當在每年1月31日前編制數據出境安全報告，向設區的市級網信部門報告上一年度以下數據出境情況****：

1) 全部數據接收方名稱、聯繫方式；

2) 出境數據的類型、數量及目的；

3) 數據在境外的存放地點、存儲期限、使用範圍和方式；

4) 涉及向境外提供數據的用户投訴及處理情況；

5) 發生的數據安全事件及其處置情況；

6) 數據出境後再轉移的情況；

7) 國家網信部門明確向境外提供數據需要報告的其他事項。

六、 對中國企業的建議

1、 研究法律法規，關注國家標準的制定，即使是推薦性標準；密切關注立法趨勢，不斷變化

中國的數據保護、網絡安全相關立法正處於逐步完善的進程當中，且相應的國家標準也正處於同步制定的階段。首先，中國企業應當仔細研究、確保落實已經生效的各項法律法規（例如《數據安全法》《個人信息保護法》等）所提出的法定要求。特別地，各類國家標準、監管部門的執法案件以及立法部門發佈的徵求意見稿能夠最準確地反映主管部門及中國學界對於數據合規立法、法律解釋方面的最新態度。我們建議相關企業在內部部署法律法規及標準動態監控，並在有需要時諮詢專業機構，從而更有效地把控合規工作的進展方向。

2、 通過梳理數據地圖定位法定義務

在目前數據合規立法逐步完善、法律法規逐步正式實施的背景下，我們建議中國企業加速對自身業務中涉及的數據處理活動的數據地圖梳理工作，結合企業對已生效的法律法規、重要標準以及相關的徵求意見稿，確認各項要求與自身業務場景中的適用性，甄別應當履行的法律義務。

以重要數據相關要求為例，企業應當結合自身的業務場景，根據有關法律法規及標準儘早定位自身持有的數據的行業分類，並對相應數據進行分級，確認屬於重要數據的數據清單，理清重要數據涉及的全生命週期處理活動（如，是否存在共享、交易、委託處理、跨境傳輸等活動），從而定位企業需要履行的法定義務。

3、 建立健全數據合規管理體系

雖然目前各地區及部門暫未發佈如重要數據目錄等數據合規相關的管理細則，暫未為企業的合規工作提供明確的方向，但是鑑於《數據安全法》已經與2021年9月正式實施，違反相關法律法規可能導致企業面臨被處罰的後果，我們建議企業加強內部數據合規管理體系的建立與健全，啓動數據分類分級、安全保護義務落實等工作，充分展示自身的合規意願與努力。

4、 與主管部門加強溝通

鑑於中國數據合規立法仍在完善階段，且主管部門仍在探索立法與執法的明確方向，我們建議利益相關企業自身或通過行業協會、專業機構等渠道加強與本地區、本部門有關機關的溝通，儘可能從多角度瞭解更多有關合規工作開展方向的信息，並在有必要時從專業實踐的角度積極參與徵求意見稿的評論。