2024年如何做好数据隐私合规？专访资深数据合规专家（附合规指南）｜iLaw

一、数据出境

二、匿名化

三、业务出海

四、数据合规审计

五、数据安全事件

那么今天的第一个话题，我们还是来聊下数据出境。数据出境在过去两年确实是一个老生常谈的问题了。过去一年两位律师也在我们直播间聊了好几次数据出境的话题，相信我们的观众朋友们也受益匪浅。那么今年3月份数据出境的新规出台，其实实务界已经有了大量的解读。新规其实是主打一个减负，可以说目的是为大多数的企业免去数据出境的义务，所以很多观众觉得没有必要在数据出境这件事上花太多力气了，根据两位律师的经验，确实是这样的吗？

朱律师：出境问题其实我们在之前聊过很多次，话题它从前年开始就一直是热点的问题，也不断地有新的发展。那么去年9月份其实就有新规的草案出台，然后一直到今年3月份，最终尘埃落定，就是目前的数据出境的监管框架。

我相信大家如果是关注往来数据合规的领域的话，应该都非常的了解，因为肯定已经有大量的律所，包括其他一些专业机构去解读过，为了比如说我们直播间的小伙伴，还不是特别了解数据出境的框架，我再稍微花一点点时间讲一下新规下面的大概的这样的一个监管体系。

新规其实整体来看确实是一个很大的减负，因为对比原来的监管，出境的监管只要任何一家企业，只要有出境个人信息的行为，哪怕只出境一条个人信息，原则上面也要根据原来的法规，去做标准合同中的备案。更有甚者的是原来大家可能都熟悉的1万人、10万人、100万人的门槛，要去做安全评估，导致了大量的企业会需要至少去做个人信息的出境的安全合同的备案。

在新规体系下，只要不是所谓的关基单位也就是CIIO，理论上只有当年累计的出境的个人信息量达到 100 万或是出境的敏感个人信息超过1万且不落入新规下面的豁免的情形，才需要去做安全评估。所以这样的话，这三个条件一加筛掉了大量的企业，就不需要做这样的评估。另外一方面就是从标准合同备案和认证角度来说也是一样。首先一个大前提不落入豁免，其次是当年出境要超过 10 万人个人信息，或者是有不落入豁免的一些敏感个人信息的出境，门槛其实相比之前就大大提高了。一个是有豁免的门槛，另外就是说即使不落入豁免，那也要达到至少 10 万的这样的个人信息出境的量级，才需要去做备案或者是认证。

根据我们服务客户的经验，大量企业只出境员工的个人信息和最多有一些其他的客户、供应商和合作伙伴的这些联系人的个人信息，量其实就在千这样的一个级别，所以其实大部分企业它是不超过 10 万这样的一个量级的，所以整体上来说新规是一个很大的减负，是肯定是没有错的。但是并不意味着在新规下面，企业就可以不用去考虑数据出境合规这件事。刚才提到的豁免情形大家可能都挺熟悉了，豁免情形是跨境合同所必需的，一个是跨境人力资源管理所必需的，还有一个是紧急情况下必须向境外提供，这可能比较少见，我们可能常见的是前两类，那我们就拿所有出境个人信息的企业可能都会遇到的员工管理、人力资源管理为例。新规里面其实它只有简单的一条，为了跨境人力资源管理必须向境外提供个人信息，但实际上怎么去解读其实是有很大的门道，不能一看到这条就觉得员工的所有信息都可以任意地去出境，其实并不是这样。首先我们要看哪些人员可以落入到人力资源管理的这样的范围里面来。因为我们的公司里面，其实它除了这些正式的员工之外，可能还会有其他的人员也落在企业所谓的人力资源管理范围里面，比如说实习的人员，派遣到公司的人员，还有一些提供外包服务的人员。

我们在企业的语境里面，可能都是把它叫做人力资源管理，但是在出境的法规的里面，除了这些正式员工之外，其他这些人员能不能落在跨境人力资源管理的范围里面？其实目前来看，根据监管的口径可能是不能做这样的一个解读，所以说可能更多的只能是一些正式的签了劳动合同的这样的一些人员，可以把它作为人力资源管理去出境。如果有其他人员，我们可能要另外去分析这些人员的性质和出境个人信息的行为。

另外一个点是前提是依法制定的规章制度，或者是集体合同。那集体合同我们先不谈，可能企业遇到情况不是特别多。我们来就来看前提里面的依法制定的规章制度，怎么样去理解？有很多企业其实之前如果没有特别做过个人信息合规，或者个人信息出境合规这样的一些合规义务的话，那么很有可能他的企业的规章制度里面是没有关于人力资源管理或者说个人信息、员工个人信息出境的一些条款。如果要符合新规的规定企业很有可能要去新增或者去改，现有的一些规章制度，比如说员工手册里面，怎么样去添加出境员工的个人信息？出境哪些信息？为什么要出境？出境的场景是什么样子？如果有些企业是这一个场景去罗列的话，那么可能后续如果发生一些新的员工个人信息数据上，可能还要去改相关的制度。

对于企业来说，可能每一次去更新要去完成可以落入到跨境人力资源管理所必需的里面。每次可能都涉及到去更新和通过这样的一个制度就会非常的繁琐。如果说不注意这样的一些问题的话，可能最终决议在劳动法，在法律意义上都不生效的。可能就丧失了依据跨境人力资源管理去促进个人信息流动的前提。

我们注意到新规下的敏感个人信息是一个特别重要的内容，因为理论上哪怕有1条敏感个人信息出境，也可能触发出境相关义务。所以现在很多企业关注如何去界定敏感个人信息，两位律师是否可以谈谈们的见解。

其实说到关于敏感个人信息的界定都知道一个非常耳熟能详的国标就是35273，就是信息安全技术个人信息安全规范，在国标当中对于敏感个人信息有明确的列表式的列举。很多朋友可能会觉得这是一个非常简单的对照着表格去做一下判断，在表里的就是，不在表里的就不是。敏感个人信息界定其实我们首先要回到法律规定去看，《个人信息保护法》的第 28 条对于敏感个人信息有法律层面的定义，指的是一旦泄露或者非法使用，容易导致自然人的人格尊严、人身安全或者财产安全受到侵害或者危害的这一类信息才是敏感个人信息。在定义之后进行了一些列举，包括生物识别信息、宗教信仰、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹等信息，以及所有不满 14 周岁未成年人的所有个人信息都属于敏感个人信息。从敏感个人信息的定义出发，它本身从法律层面是定义加列举的方式，绝对不是说法律给出了一个非常明确的清单，说落入范围的就是敏感个人信息，不落入的就不是。要结合具体的场景和具体的数据，会被用在什么用途以及如果发生了泄露、侵害或者篡改可能导致什么后果，结合具体的场景和具体后果去进行判定的。

再说回到前面提到的35273国标，那么国标给出的示例本身是具有一定参考性的，就是它结合具体的个人信息的可能的场景，泄露之后可能产生的危害后果，做了一个非常常见类型的列举，所以说确实我们可以参考表去进行一个初步的筛查去判断，企业的数据处理场景里面有哪些可能是敏感个人信息？常见的包括说身份证信息、银行账户、金融信息、患者的健康记录、就医记录等等。

在个案当中必须要结合特定场景，由个人信息处理者自己去判断个人信息是否属于敏感个人信息。那么具体到敏感信息的种类，必须要结合泄露信息的结果给信息主体带来的伤害，包括说结合社会大众的一些普罗大众的认知去判断信息是否构成敏感个人信息。

从民事案件来说，敏感个人信息在民事案件当中可以看到比较多的还是跟隐私信息相关的。在之前的一个案件当中就认为说单纯的一个人的一个行程信息其实并不能直接构成敏感个人信息，你需要结合人的联系方式、身份等等，才构成敏感个人信息。

最高人民检察院也出过关于办理公民个人信息刑事案件的司法解释。司法解释当中其实是特别提到几类，就是一旦泄露之后可能对公民的人身安全等等造成损害的信息类型。一旦涉及这几类信息的个人信息构成敏感个人信息的概率还是非常高的，因为这类信息的特殊性导致信息一旦被泄露，基本上就是会影响公民的人身财产安全的。实践当中企业可以通过一些技术手段降低敏感个人信息的敏感性，比如通过加密或者通过把特定的字段给进行移除，或许能够使得敏感个人信息成为非敏感个人信息。

现在还有一个比较普遍的问题是，很多企业已经参照此前的数据出境法律提交了标准合同备案或者安全评估的申请，但是还迟迟没有获得网信办最终的结果，现在不确定应该如何推进。那么两位律师对于这些企业有什么建议呢？

确实这个就像主持人说的，这个确实是一个比较普遍的问题，网信办他处理这个安全评估和这个标准合同备案的时间是非常长的，所以就导致我们提交了大量的申请，但是有很多的申请它直到新规生效，甚至直到现在，直到今天他都没有出结果。

所以其实有些企业是比较焦虑的，就这事情他一直悬着，那么新规出来之后就新到底应该怎么办？这里面可能分几种情况，第一种是网信办主动联系撤回，至于撤回了之后，到底应不应该重新去报，或者按照哪一条路径去报，这个其实就是企业自己去判断。很多情况是网信办不会主动联系企业，这个事情就一直等于说是一直拖着，一直在那个，这个材料也在网信办那里放着，那么这个时候其实可能就要考验企业自己的一个自主能动性，或者说企业自己提前去预判。

在新规下面，企业到底需不需要去履行出境的义务？如果需要的话，那到底是安全评估还是走备案或者是认证？企业首先得有一个自己的判断，有了这样的判断之后，可以去联系网信办撤回或重新提交。为了避免企业判断错误带来的风险，我们建议还是去继续完成之前已经提交的相关的安全评估，或者备案的进程，直至到网信办最终出一个这样的结果。一旦通过了评估或者是备案相当于获得了政府的背书。因为是通过网信来审批的，那这样的话其实监管机关就算想要处罚的话，其实他也很难找到理由来处罚，所以其实我们建议说，企业没有办法自己去判断说我到底应不应该报，或者应该走什么路径去报的时候，建议还是去推进已经提交的申报，去获得政府背书，避免相关合规的风险。

今天第二个话题是偏一点技术向的。因为个人信息的处理有很多严格的合规要求，所以现在很多企业在探索是不是可以通过匿名化的方式来实现数据合规。但我理解匿名化是不是更多是一个技术问题，我们经常会听技术领域的人士说，网安是技术问题，律师就该专注于法律的问题，那么两位律师觉得，律师能不能谈技术？

好的这个问题，其实也是我一直想公开去聊一聊的问题。因为作为就是做网安和数据合规的律师是会接触到大量的技术的问题，从最早的去开始这个论证，说到底怎么样算是这个网安法下面的这个网络运营者啊？域名到底是怎么解析的？你网络架构到底是怎么连起来的？其实这都是这个技术的问题。

所以因为我们会大量涉及到技术的问题，对于大部分律师来说其实是没有这样的一个技术背景，所以我们到底就是应不应该去涉及到这个技术问题，应该涉及到什么样的一个程度？在这个领域很难说哪一个问题是纯法律问题，哪一个问题是纯技术问题？其实它基本上都是相互交织的问题。匿名化本身是一个技术，这个毫无疑问。但是匿名化是为了什么？匿名化是为了让信息不再变成个人信息，所以要对匿名化技术它处理之后的效果去做一个评价，这个评价至少有一部分是法律意义上的评价，也有技术效果方面的评价，但更多意向的是法律上的评价。

要让法律认可这个技术，经处理之后信息不再是个人信息才能够豁免个人信息合规的义务。所以匿名化本身既是一个技术问题，也是一个法律问题。法律专业人士和技术专业人士可以说是共生的关系，是一个相互相合作和促进的这样的一个关系，所以大家很多时候是相互合作的、是一个互相探讨、互相成长的一个这样的一个良性的关系。

那么接下来我们就来聊一下匿名化的问题。我们的感觉是，法律要求的匿名化，和企业实践中的匿名化操作是有一定的割裂的，现实中确实是这样的吗？

我们可以从理论和实践上来看这个问题。理论上，其实法律对于匿名化是有明确的规定的，《个保法》里面的对于匿名化的定义简单来说就是经过匿名化处理之后要实现这个是匿名化处理的数据不能再识别到原来的这个个人信息主体，同时这个匿名化是不可还原的。

所实践当中企业要去做匿名化必须要考虑数据的效用的问题，就是处理完之后是否能正常使用。这对企业提出了很高的要求，既要完成匿名化，又要数据还可用。

如果完全去做匿名化的话，以现在的技术手段，结果就是数据效用过低。

这么看来确实匿名化的法律要求和实践操作存在着不小的差距，那么对于企业实践中的匿名化实践，两位律师有什么建议呢？

目前来说只能从其他的维度来考虑怎样把数据脱敏并且降低处理风险。首先应该盘点梳理企业内部的个人信息。需要清楚企业有哪些个人信息，有哪些非个人信息，哪些业务数据，才有可能去对这些数据进行相应的保护和采取相应的措施。所以这个其实一个基本不管是不是要做匿名化还是做其他任何数据合规方面的业务都是一个起点。

对数据进行分类分级，根据数据的重要程度，对企业重要程度，根据法律的要求，根据数据的敏感程度去做这样的分类分级后，企业可以配套的做一些不同程度的匿名化处理方案。这样企业的风险其实是相对可控的，因为技术保护措施和你数据本身的风险是匹配的。你的这个相应的每一级数据的泄露的风险其实都是在这个减少，那么这样的话其实对企业来说是比较这个成本上比较合理的这样的一个保护的一个机制。

随着国内市场越来越卷，很多中国企业将目光瞄向了海外，积极布局业务出海。但企业出海经营面领着巨大的境外合规挑战，而数据合规无疑是其中的重要一环。那么可否请两位谈谈，企业在业务出海的过程中，需要从哪些角度来考虑数据合规的问题呢？

好的，我们刚才其实已经讲到，企业做海外业务也是很少有不收集个人信息的，一旦涉及到去收集境外当地的用户的个人信息就要考虑许多问题，不同的国家也有不同的个人信息合规义务。对于企业出海的网安和数据合规方面的要求，主要是要去关注处理和传输数据的方式，提前把考量融入到业务模式当中，企业才能够在一开始就做到比较合规的方案，避免后期运营开始后再调整合规制度。

美国最近颁布了一个行政命令，限制美国境内敏感数据向特定国家的跨境传输。两位律师能谈一下这部法律对中国企业海外经营的影响吗？

关于这个行政命令，确实它的内容还是比较能够引起震动的，但是因为它是 2 月 28 号，这个拜登政府有签署了这样一个行政命令，但是行政命令其实本身并不是生效的法规，现在也没有正式法规出台，具体情况其实还是要等最终规则发布之后才能真正生效的影响。这里可以大致地给大家讲一下行政令可能影响的范围，或者说影响的这个传输，这个数据传输活动是怎么样的？这个行政命令叫做禁止或者限制美国主体进行，会导致受关注国家和受限制实体访问哪些数据，大量美国人敏感个人数据和美国政府相关数据的交易有非常多的关键字首先它是一个以禁止或性质的方式去针对可能导致受关注国家，比如说中国，或者说受限制实体，比如说中国的公司去获得大量的美国人的敏感数据。

这一类的这个交易因为提供服务而产生获取数据的活动，比如说因为数据经济交易而产生的数据处理的活动，如跨国集团内部管理，因为跨国用工管理所产生的访问到大量美国人的敏感个人数据这样的活动。大家也可以感受到行政命令本身是针对特定的国家和这些国家的实体，以及来自于这些国家的自然人的。包括中国、中国港澳地区、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉等国家和地区。

行政命令规制的范围其实是非常广的。敏感个人数据包括精确的地理位置数据、生物识别信息、个人健康数据、个人财务数据，以及未来可能会出台的这个明确规定的个人可识别信息的一些组合，这些数据都是可能受到规制。此外，在这个行政令里明确提出即便有一些数据已经做了匿名化、假名化或者去标识化，但是有考虑到技术的进步等等，即便是已经做过匿名化、去标识化、假名化的这些数据仍然是受到行政令所规制的这一类敏感个人数据。行政命令也考虑到企业的实际的经营需求也列了几类不会受到限制的豁免情形，包括说企业的内部管理、涉及政府业务的一些数据交易。总结而言，中资背景的公司受规制的范围是非常广的包括员工的劳动合同，因为是对外投资的原因，会处理大量的美国人的敏感数据，那么数据处理和一些经营活动就可能会受到限制。

需要注意的是，在美国从事数据经济业务，或涉及大量人类基因组数据处理的业务活动会直接被禁止。所以进一步而言，向美国人提供基因测序服务的公司，或者涉及到从需要从美国去采购大量的生物样本的，或者在美国去提供数据经济服务的中资背景公司就可能会受到比较大的影响了。从事金融行业、医药健康、地图定位服务的业务也可能会受到影响。学术界也有可能是受此影响的，如果有一些公司或者一些学术机构本身就依赖来自于美国的这些数据库去作为研究来源，一旦行政命令生效研究活动也是可能会受到影响。

今年其实还有一个潜在的重点工作，就是个人信息及合规审计。去年8月份，个人信息合规审计管理办法征求意见稿出台，引起了广泛的关注，就该规定而言，两位有什么想和我们分享的吗？可能首先想问下，个人信息合规审计大致内容是什么呢？对于各类企业而言有何种意义？

个人信息合规审计的本质就是企业的个人信息全周期的合规检查。从收集、存储到共享，到出境、销毁全周期全面检查。

合规审计对企业来说不仅仅是从形式上履行法定的义务，更多的是为企业创造大量的价值。企业要去做任何的这种数据合规的方式，数据合规的这样一个工作，你肯定第一步是要去这个理清你的这个数据资产，经过盘查梳理，企业可能会发现数据资产其他方面的价值，这样就盘活了企业的数据资产，数据资产从反过来在业务上又给企业创造了价值。

第二层的意义是说企业的合规审计本身的目的就是为了发现问题、改进问题帮助企业去规避掉合规风险，帮助企业减少损失也就是为企业去创造的价值。所以大家其实不要把它完全当成一个负担，还要从更加正面积极的方式去看待合规审计，包括其他类型的数据做合规审计也是一样的。

感谢两位律师的介绍。所以说 个人信息合规审计还是需要引起各类企业的注意的。那能否请您具体谈谈，企业对于个人信息合规审计，具体应当如何操作呢？

我大概讲一下这里面的流程和一些重点，具体的内容其实大家可以看我们的这个导图，大家可以去看个人信息合规审计办法的草案。首先企业要根据自身的定位去识别有怎样的审计义务并明确审计目标，只有明确的目标才能更好地去朝着这个方向去推进项目。计划好了之后，就是去做实施。我们其实前面也说了，实施的一个大前提是已经对企业数据资产去进行了一定的盘点。在审计的过程当中，根据企业审计的点不一样后审计的范围也是不一样的，企业处理的活动来确定有哪些范围，做哪些范围里面的合规业务审计。接下来就是评估，评估就是去落实个人信息审计的整个流程，包括我们大家可能比较熟悉的日常做尽调的这样的一个过程。审计完了之后根据结果，可以看出企业到底有哪些合规差距？将企业合规差做优先级别排序。优先解决一些合规风险。

然后根据这个优先级我们去推进这个合规的这样的一个整改，整改完了之后还需要去做相关的复盘，根据整改后的效果查漏补缺。

那您刚刚所介绍的这些要点内容，企业具体应如何应对呢？或者通俗来说，能够做些什么？以及在正式稿尚未出台的时候，有何准备工作可以做？

今天我们可能有简单的提到数据资产入表、数据资产评估、数据交易等等，其实也是非常热的一个话题，尤其是对于以数据资产为重的一些企业，尤其是一些创新企业而言，其实数据资产的梳理场景的识别是非常重要的。个人信息数据资产清单的整理，它不仅是对于个人信息合规制度的建设来讲有重要意义，其实在其他很多方面对企业来讲都是有利而无弊的，这个是第一点。然后第二点就是还是回到个人信息合规，个人信息合规体系的建设本身是个人信息合规审计的一个重要的前提，但是对企业的合规包在这样的日益趋严的监管环境下，其实也是有它的重要的意义。第三点其实也是非常重要的一点，大部分的企业尤其是跨国企业，不能等到监管的法规真正生效之后才去采取一些行动。另一方面就是《个人信息保护法》本来就规定个人信息处理者需要去定期对个人信息处理的合规情况进行审计，个人信息合规审计本身就是《个保法》下企业应尽的义务。而且结合刚才朱律师所说的，企业进行审计、进行了风险的排查，其实也是对于企业自证清白非常重要的一个环节。

企业至少要就去整理个人信息资产，建设整体的合规体系，对于一些合规要求本身比较高的企业确实是可以开始做个人信息合规审计的工作。

第三方面就是关于这个数据资产的盘点，因为盘点的目的是吧数据资产作为企业的资产价值，如果说数据处理活动本身可能是违法的或者违规的，那资产入表它就成为了一个所谓的毒资产、毒数据。对于比较重数据的一个企业而言，企业可以完全以个人信息合规审计的流程办法等等，把合规审计去拓展到企业的其他的数据领域。个人信息合规审计的方法论是可以推至其他非个人信息的领域的。

今天我们最后一个话题，是关于数据安全事件应对。在具体讲话题之前，其实想首先重申一下数据安全事件的定义，以免大家可能对于话题是否与企业本身有关产生误解。因为两位律师之所以提出话题，也是因为实践中确实遇到过有误解的情况，对吗？

是的，因为我们之所以在提这个话题，因为怎么讲就是这个问题其实就是属于在无事发生的时候，大家可能没有意识到这件事情的严重性和紧迫性，但是一旦发生了一些突发事件，一般都是就是这种危害级别比较高又特别紧急需要调动内部的资源去做调查或者做处理，需要调动外部资源又要考虑向政府部门报告、向社会公众去公布事件的情况等等。

所以关于数据安全事件的应急处理，本身的重要性需要再次重申。对企业而言，正确地处理这类事件能够帮助企业尽可能地消除或者减轻损失的。如果未能妥当处置这些事件的话，可能企业是需要担责的，相关的负责人也是需要担责的。

从分类上来讲，当遭遇到恶意程序的攻击、其他类型的网络攻击并不一定要求造成危害后果才属于安全事件，只要发生了安全隐患都属于安全事件。必须要正确理解到底什么是网络安全事件。企业内部要协调相关部门同事去建立起一套比较完备的流程，在发生这些事件的时候，能够一一对应地去采取对应的应急管理措施，减轻或免除这些事件可能带来的灾害后果，为企业以及相关的负责人减轻甚至免除责任。

原来有这么多类型的事件都属于数据安全事件，那现实中确实要多留心加以识别。话又说回来，如果遇到数据安全事件不去报告或者通知数据主体，具体而言，会有什么后果和责任呢？

其实大家都会关心说，如果企业没做好或者说做不到潜在的责任是怎么样的？《网络安全法》就直接明确的规定企业应该落实网络安全等级保护义务，企业必须要采取一定的措施针对所经营管理的系统按照不同的风险等级去采取不同的管理措施。

对于企业已经采取了必要的措施确保系统安全，尽到了网络安全保护义务，但在发生数据安全事件时没有能够有效地消除或控制危害后果的时候，企业同样违反了《网络安全法》关于落实网络安全保护义务的规定。轻则会遭遇主管部门的责令、改正、警告等，重则可能会被处以1- 10万元的罚款，包括相关的负责人员会也会面临罚款。

关键信息基础设施的运营者如果没有就是按照要求去制定安全应急预案就会直接被要求责令改正、警告等等，如果造成了安全后果会被处理罚款，直接负责人员也会面临罚款。

在这样认知基础上，我相信大家会对建立和完善数据安全事件的应急管理流程有了更直观的认识。那今天正好，请朱律师和邓律师给大家介绍一下在建立完善相关流程方面有什么建议。

这个可以结合我们给这个客户服务的一些心得，给大家提一些应对安全事件方面的一些建议。首先第一点就是大家作为企业可能要认识到网络安全事件、数据安全事件的应对不仅仅是企业任何一个部门单独的责任。因为企业大量使用信息系统、大量使用网络环境导致网络安全事件一旦发生，一定是牵一发而动全身的，将影响企业所有的部门，严重的话所有的业务都会受到影响，所以这是企业多部门协作的过程。

首先IT肯定是最重要的一环，因为它是最熟悉企业的网络环境和硬件条件的一个部门。有些企业可能会有专门的数据管理、数据合规部门，那么他们也是重要的一环，因为他们是最熟悉数据企业的数据治理和数据安全情况的部门。法务和合规同样需要参与，因为他们是最了解法律对于数据安全和安全事件的应对规定的一个部门，然后还要包括所有的业务部门，因为业务部门是最知道怎么使用这些系统的。确定好参与的部门和人员之后，就要有一套明确的预案制定和相应的这种汇报的流程。如果发生了网络安全事件，企业内部的汇报应该是什么样子的？是怎么样？怎么样逐层上报到企业最高的管理层，报完了之后自上而下又是怎么样的一套流程去处理这个事件？这样的一套完整的应急预案一定要有的。最后需要重视的是，有了这样的一套制度之后，企业最好能够定期地去对这个预案和可能发生的事件的应对去进行演练。只有把它用起来，才能在真正发生安全事件时比较得心应手地去按照已经制定的流程去应对，不至于让完美的制度流程成为纸上谈兵的空谈。