6月30日凌晨，滴滴在纽交所悄然上市，没有通篇的新闻报道，没有锣鼓喧天的上市仪式。直至7月2日，网络安全审查办公室发布对“滴滴出行”启动网络安全审查的公告，滴滴上市的消息才在国内漫布开来。顿时，滴滴被推至风口浪尖。事情发酵至今，滴滴大有墙倒众人推的架势。
 
　　滴滴受到全民谴责的原因有二
 
　　其一，滴滴可能存在泄露我国公民出行数据的行为。
 
　　其二，滴滴可能向美国证监会SEC提交了审计底稿。
 
　　一个拥有敏感数据的互联网企业去美国上市，并且接受美方的监管，这件事本身就有极大的安全隐患。最为重要的是，自支付宝VIE事件后，中美经济进入深水区。2021年6月20日，美国证监会SEC正式要求四大会计事务所，必须向其提交在美国上市的中国公司的审计底稿，这一规定也导致我们很多中概股纷纷退市。但是滴滴却“顶风作案”，在6月30日凌晨，适逢全国七一庆典前日，绕过监管悄然上市，并且滴滴从向美国SEC递交招股书至最终上市，整个过程只有短短20天，如此之速，被民众怀疑泄露我国道路数据实属正常。
 
　　但目前来看，滴滴是否泄露我国公民出行数据以及向SEC提交审计底稿还未尽可知，但其严重违法违规收集使用个人信息这一问题已被国家互联网信息办公室7月9日发布的公告所证实。于此同时，7月5日，网络安全审查办公室公告对“运满满”“货车帮”“BOSS直聘”启动网络安全审查。这一系列事件，无疑将“数据安全”、“个人信息”再次推至公众视野。
 
　　美国前劳工部长罗伯特·赖克在媒体发表评论指出：“北京和华盛顿之间新出现的冷战与其说是传统武器，不如说是数据——收集、汇总、分析并最大限度地利用它来战胜对方。网络安全归结为哪一方可以访问有关另一方的更多信息并且可以最好地利用它。”在这种数字化大背景下，我国于2020年6月1日生效了《网络安全审查办法》（以下简称“办法”）、2021年4月29日发布了《个人信息保护法（草案二次审议稿）征求意见》、2021年6月10日发布了《中华人民共和国数据安全法》、2021年7月10日，发布了关于《网络安全审查办法（修订草案征求意见稿）（以下简称“征求意见稿”）》公开征求意见的通知。
 
　　在我国针对“数据安全”立法如荼、并且近期对多家国外上市互联网企业网络安全审查的大背景下，相关企业未来如何应对，是近期乃至今后很长一段时间内各企业需要探讨的重点。
 
　　《数据安全法》全文55条的规定，大多都是原则性的内容与制度，具体后续的实施细则需要国家领导机构、各地各行业、企业在实践中不断探究。《征求意见稿》便是对于《数据安全法》中相关内容与制度的细则性规定。相比于早在2020年6月1日开始施行的《办法》，《征求意见稿》在以《数据安全法》为立法依据的基础上，对其进一步完善。
 
　　首先，相比于《办法》，《征求意见稿》与《数据安全法》一致，将需要被网络审查的主体予以扩大，即“关键信息基础设施运营者”和“数据处理者”。未来从事数据的收集、存储、使用、加工、传输、提供、公开等一般性数据处理的企业也将被纳入管理范围。这项规定也是《征求意见稿》对于《数据安全法》落实的核心一步。
 
　　其次，相比于《办法》，《征求意见稿》将网络审查所针对的行为予以扩大，即将数据处理活动和国外上市纳入了网络安全审查评估。这项规定也是《征求意见稿》对于《数据安全法》中“数据安全审查制度”和“数据分类分级保护制度”的落地措施。
 
　　综合上述法律条文来看，在现有法律背景下，从事“关键信息基础设施运营者”和“数据处理者”今后工作，应当遵循下述流程。
 
　　研究法律法规，明确自身在数据目录中所处的地位-->据此建立自身安全管理制度-->形成适合自身的培训机制-->配套和完善一些技术措施和其他保障措施。参照上述流程周而复始，形成循环，久而久之，企业将在实践中探索出适合自身行业的数据安全保护机制。
 
　　具体内容如下：
 
　　一、建立数据分类分级保护制度
 
　　首先，需要明确的是网络安全审查是一项强制性法定义务。从事“关键信息基础设施运营者”和“数据处理”的企业需要根据有关部门制定的重要数据目录，以及本地区、本部门、相关行业、领域的重要数据的具体目录，明确自身所涉及的数据属于“重要数据”、“核心数据”、“个人信息”等哪类。但目前关于上述分类概念的具体内涵尚未明确，预计未来会有更多的配套文件出台以明确重要数据、核心数据等概念的内涵与外延。
 
　　其次，相比于“数据处理者”，《征求意见稿》对CIIO（即关键信息基础设施运营者）采购网络产品及服务涉及的网络安全审查提出进一步要求。运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。安全审查的流程如下：
 
　　CIIO与拟采购的网络产品和服务的供应商签订相关采购协议，约定协议在该采购项目通过网络安全审查后生效，且供应商有义务配合网络安全审查-->CIIO向网络安全审查办公室申报网络安全审查-->网络安全审查办公室自收到审查申报材料起，10个工作日内确定是否需要审查并书面通知CIIO-->网络安全审查办公室认为需要开展网络安全审查的，自向运营者发出书面通知之日起30个工作日内完成初步审查，情况复杂的可延长15个工作日-->网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门自收到审查结论建议之日起15个工作日内书面回复意见-->网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的，网络安全审查办公室以书面形式将审查结论通知运营者；意见不一致的，按照特别审查程序处理，并通知运营者。
 
　　二、建立健全全流程数据安全管理制度，形成培训机制
 
　　首先，建立数据合规管理机构。《数据安全法》规定的法律责任是非常严厉的，不仅对企业进行警告、罚款，对于直接负责的主管人员和其他直接责任人员也规定了罚款，甚至责令企业暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，最严重的可追究相关刑事责任。因此，企业建立数据合规机构十分重要。
 
　　开展数据安全教育是企业的法定强制义务，也是企业开展数据合规义务的证明依据。一方面可以提升企业员工的数据合规意识和能力，另一方面，一旦发生数据泄露等问题，这也是企业减轻或免除责任的依据之一。
 
　　其次，建立合规审查、风险评估机制。企业需在整合现有管理架构和管理流程的基础上，纳入数据合规，通过梳理自身所涉及的业务流、数据流及数据处理权限等，结合相关法律、法规、行业规定等形成自身的合规审查和风险评估机制。目前，《数据安全法》仅对重要数据的处理者要求建立风险评估机制，定期向主管机构报送风险评估报告。但综合来看，目前关于数据分级分类不明确，且数据分类等级必定处于动态变化中。所以，“关键信息基础设施运营者”和“数据处理者”全部建立风险评估机制才是万全之举。
 
　　最后，建立监测预警和应急处置机制。《数据安全法》明确规定开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。但目前，《数据安全法》只做了原则性规定，具体报告条件及其流程还得等待后续实施细则。
 
　　综上，从抽象的法律文字到具体生动的案例，期间需跨越较大的鸿沟，再加上目前我国关于“数据安全”的立法刚刚起步，其必定需要一个较长的探索期。但从近期的“滴滴事件”也可看出，数据安全不仅仅涉及个人信息，甚至威胁国家安全。所以从现在开始，企业转变观念，提前做好应对是明智之举。