2025年9月发布的《关于升级集团数字化变革管理委员会职责和组织的通知》("《通知》")明确集团将于2026年全面迈入"数字化2.0"阶段。在此战略转型的关键节点,曹老师在2026年讲话中高屋建瓴地提出:
面对日益严峻的地缘政治挑战与全球合规监管压力,完善数据合规管理体系成为迫切需要解决的问题。鉴于此,本报告在曹老师的指导思想下,结合集团"数字化2.0"阶段的发展需求,对现行公司数据合规管理制度文本进行了系统梳理与评估。
评估发现,当前合规体系的痛点主要集中在组织架构与人员职责的配置不当。现行制度采用的是"大合规统管"模式(即预设有一个部门深度参与所有业务部门的具体合规执行与文档编写工作),未能有效贯彻集团推行的"合规三道防线"理念(即业务-法务合规-审计),这一结构性缺陷直接导致了各项制度与流程未能有效落实(具体流程制度问题详见附件)。与此同时,以美国DOE/BESSIE为代表的海外产品安全标准日趋严苛,集团产品在文档透明化、SBOM、远程访问控制等方面与国际基线仍有差距——若不先理顺管理体系,产品对标将无从落地。因此,本报告将优先聚焦于组织架构的重塑与权责厘清。
此外,本报告独立梳理了目前全球审查较为严苛的美国能源部(DOE)及其引用的BESSIE项目标准的具体要求,作为集团后续产品安全合规对标的参考基线。
经过对现行制度文本与实际业务运作的深度梳理,发现当前公司数据合规体系的根本痛点在于:现有制度未体现"三道防线"的职责划分,反而设立了多层级、跨部门的常设机构(如各类办公室、工作小组),形成了独立于部门日常管理体系之外的并行架构。这种权责割裂导致责任边界模糊,执行中普遍出现利用制度模糊地带推卸责任的现象,最终导致合规管理流于形式。
为此,本次组织架构优化的核心思路是:全面贯彻《阳光纲领》中"各部门主要负责人要切实将合规管理作为'一把手'工程,认真履行合规建设第一责任人的职责,做到领导带头、全员参与,按照'管业务必须管合规'"的根本要求,坚持以"三道防线"为基础——合规责任切实落实在业务部门(第一道),法务合规提供专业支持与审查(第二道),审计进行独立监督(第三道),对现有跨部门的"办公室"与"小组"机制进行限缩,明确其仅具有临时性与议事性协调职能,不可凌驾于既有部门管理体系之上,所有职能必须具体、有限、可追溯,避免无限扩权。
具体现状与痛点剖析如下:
现行制度文本中,集团数据合规治理的核心架构分为四级:
然而,该架构已明显滞后于最新的"数字化2.0"战略布局。《通知》明确新增"网络安全及数据保护办公室"("网安办")及网络安全与数据保护小组("网安小组"),但现行制度未明确两者的职责与权限,亦未明确其与既有"数字化办""信安小组"的协同或替代关系。此外,新设的"AI办公室"职责以及"全球数字运营"的顶层框架均存在缺位。
因制度架构与现实业务发展严重脱节,各部门在实操中普遍出现"不按制度来、依赖人为协调"的被动局面。在权责边界模糊的地带,普遍存在"选择性执行"的现象:各职能部门倾向于聚焦易出成果的环节,而对于高风险、难落地的合规职责,则常以非本部门权责为由进行规避,导致合规义务在推诿中实质性悬空。
组织层级偏多,治理链条长
从制度文本看,目前公司的数据合规管理体系被划分为四级架构(委员会—办公室—小组—执行组)。在企业的数据合规治理实践中,过多的层级会导致信息传递衰减和决策效率低下。成熟的大型跨国企业通常采用高效的三级架构:
目前制度中设定的"数字化办"与"信安小组"同属中间层级,且在制度审查、资源协调等功能上存在重叠,可能会导致"多头管理"或权责推诿的资源内耗现象。各事业部和子公司反馈当前最大的业务痛点在于"找不到人对接":一旦出现合规风险或需要总部支持,频繁出现"不归我管"的推诿现象,问题发生时无人响应、无法追责。
例如,在涉及美国官网建设的实际业务中,由于信息安全组未能进行有效的统筹管理与支撑,导致光储营销部门只能直接寻求外部供应商建站。这一流程脱节最终导致整个美国官网的数据收集与跨境合规工作未能纳入集团日常的安全合规管理体系中,直至法务合规部裴经理在与美国区域合规团队沟通时,才排查发现该管理盲区。
委员会偏离决策定位,职责颗粒度过细
委员会作为"最高领导组织及审议机构",其核心价值应在于战略把控与重大风险决策。然而,根据《HQ-PAD-R-078》,委员会被赋予了部分具体的执行级工作(如牵头调查一般事件、审议常规制度),偏离了其"战略把控与重大风险决策"的核心定位。
设计层(办公室与小组)责任边界模糊
在中间层级,《HQ-PAD-R-078》对"数字化办"与"信安小组"均赋予了"牵头"定位,导致职能交叉重合:
执行层承担大量规范制定职责
《HQ-PAD-R-078》要求执行组承担大量规范制定工作,包括但不限于:"制定部门管理规范"(5.2.4.1)、"牵头制定日志管理规定"(5.2.4.7)、"推进安全开发流程规范"(5.2.4.9)、以及"制定个人信息及敏感数据使用、保护、流通、共享、出境、转让及销毁方案"(5.2.4.10)。
一方面,各事业部通常缺乏制定规范所需的专业知识储备;另一方面,各事业部自行制定规范易导致集团内部口径不一,大幅增加审计与管控难度。基于合规基准统筹原则,建议由集团层面统一制定规范,执行层仅负责"本地化适配"与落地执行。
《HQ-PAD-R-089 个人信息安全管理规定》第4.1条仅原则性表述"明确公司个人信息保护负责人,由公司信息安全高层管理人员承担,对个人信息安全负直接责任"。在《通知》中,网安办有三位主任(王颖、黄晓阁、许盛),未明确谁是个人信息保护的第一责任人。同时,制度层面也未明确网络安全的责任人设置。当发生监管问询、个人信息相关投诉等情形时,公司对外"谁负责、谁签字、谁组织整改"难以明确,削弱数据合规体系的可证明性,也会影响内部问责闭环。
更为突出的是,实际业务中防线职责混同、第一道与第二道防线边界严重模糊。以GCC项目为例,光储营销作为需求部门,流程与数据化中心下设的安全合规组作为业务侧(本应作为第一道防线),但在执行中却将大量相关文件的初稿直接交由法务合规部门进行审核。这种实操模式导致法务合规实质上承担了业务线的第一道防线职责,使得原本应发挥独立审查与风险阻断作用的第二道防线被同化,既增加了整体合规风险,也模糊了部门之间的职责边界。
此外,针对关键管理岗位及专职团队的数据合规KPI导向需进一步强化。一方面,必须确保个人信息保护负责人、网络安全负责人及各业务负责人的考评中深度嵌入合规指标,避免合规义务游离于业务线核心诉求之外。另一方面,针对流程与数字化中心下设的安全合规组等专职团队,应当建立自上而下(向上穿透至流程与数字化中心负责人)的专项合规KPI牵引,以全面激发专职合规团队主动识别风险、推动合规体系落地的内驱力与执行效能。
执行与监督职能混同
《HQ-PAD-R-078》第 5.2.2 条与第 6.5.2 条授权"数字化推进办公室"及"信息安全部"负责执行审计与内审职能。同时,第5.1.3条明确数字化办主任由"流程与数字化中心总经理"担任,而该中心同时也是信息安全工作的具体执行和资源提供部门(第4.2条)。
上述架构导致公司数据合规工作的执行职能与监督职能发生重叠,实质上构成了"自我监管"模式。这削弱了审计的独立性与客观性,导致合规管理体系中的"第三道防线"形同虚设,审计结论存在较高的利益冲突风险。
审计颗粒度不足,存在管理盲区
现有制度仅对审计事项作原则性规定,未明确审计的具体范围、触发机制及频率等细则,缺乏操作指引。特别是,制度未明确将海外子公司纳入审计范畴,缺乏对境外实体及跨境数据流动的审计监督,可能导致集团层面无法及时识别并阻断海外市场的数据合规风险。
缺乏整改与问责机制
现行条文缺乏明确的审计合格基准,亦缺失实质性的违规惩戒与问责机制(如降薪、降级、纪律处分),导致审计丧失强制约束力与威慑力,可能导致同类违规问题反复出现。
为切实支撑"产品本征安全,管理行为可信"的战略诉求,本报告系统拆解了代表未来美国关键基础设施市场准入标杆的美国能源部(DOE)及BESSIE项目要求,以此作为指导集团后续开展数据合规管理工作以及制定重点整改提升计划的核心工作抓手。
| 事项 | 描述 |
|---|---|
| 文档透明化 | 通信功能完整记录:文档应列出设备支持的所有通信协议,包括已激活和未激活的。FCC ID一致性:产品的FCC ID应与技术规格、用户手册中的信息完全一致。"As built"文档准确性:交付文档应反映设备的实际配置状态,明确标注哪些功能已启用、哪些未启用但硬件存在。 |
| 软件物料清单(SBOM) | 提供完整的SBOM,包括:组件清单、版本号、来源、许可证类型、依赖关系。 |
| 硬件物料清单(HBOM) | 提供完整的HBOM,包括:组件清单、制造商、型号、原产国、供应链信息。 |
| 远程访问控制 | 说明远程访问方式、目的、数据传输详情(范围、目的地、保护措施)、固件更新的方式、频率、验证机制;提供关闭或限制远程访问的能力。 |
| 认证与凭证管理 | 避免弱默认密码,提供强认证机制;凭证应加密存储,适当的会话超时和登出机制。 |
| 漏洞披露与补丁管理 | 建立完善的漏洞披露(交付前提交已知漏洞摘要;发现新漏洞后30日内报告)和补丁发布机制;披露产品中已知的绕过身份验证协议和/或控制的所有方法。 |
| 安全加固指南 | 提供详细的安全加固和安全实施指南,包括:安全配置步骤、需要更改或管理的默认设置、网络部署建议、如何禁用不需要的通信功能或服务。 |
| 事项 | 内容 |
|---|---|
| 供应链透明度 | 了解并记录上游供应链信息,包括:供应商清单、关键组件制造地点、供应商安全能力评估;关键供应商或组件变更时通知客户。 |
| 安全开发流程 | 建立并证明符合国际认可框架(如NIST CSF、IEC 62443)的安全软件开发流程。 |
| 本地化能力 | 具备数据托管和运维服务的本地化能力;在本地设有技术支持团队,与本地服务商建立合作能力。 |
| 合同条款准备 | 准备好接受业主可能要求的合同条款,包括:检查权条款,移除逆向工程限制,SBOM/HBOM提供,漏洞披露义务,远程访问控制,第三方测试。 |
| 事件响应能力 | 制定、测试和维护网络安全事件响应计划;建立客户报告安全问题的渠道;承诺事件响应的时效要求;建立与客户、行业ISAC等的协调机制。 |
| 信息透明度 | 向客户和公众提供关于产品安全的信息,包括:产品的网络安全态势、互操作性、产品经过的安全测试方法、第三方认证或独立验证结果。 |
为彻底解决当前合规体系"制度空转、无人担责"的问题,建议遵循"先理顺架构与防线边界,再通过KPI考核倒逼落实,最后驱动具体流程优化"的宏观推进逻辑。重点实施步骤及优先级安排如下:
这是解决防线边界模糊与推诿扯皮的核心前提。针对业务部门(第一道)与法务合规(第二道)的防线边界,需由管理层尽早确立并推行以下两种路径之一:
在理清防线职责后,需立即通过绩效工具固化责任,切实将合规KPI压实到具体的管理与执行团队:
在组织架构理顺、KPI考核就位的基础上,启动针对不合理具体制度的全面修订(具体痛点详见附件)。剥离大而全的空泛文件,针对"数据跨境传输"、"第三方生态数据共享"等高频痛点场景,输出贴合实际业务链路的专项实操指引。
除组织架构外,现有具体的数据合规制度流程亦存在制度层级混乱、内容颗粒度不均、未匹配业务真实场景等问题,难以支撑"管理行为可信"的战略目标。
| 序号 | 现状分析 | 改进建议 |
|---|---|---|
| 1 | 制度体系层级混乱。当前总则性文件(如《HQ-AD-R-077 信息安全与隐私安全管理规定》《个人信息安全管理规定 HQ-PAD-R-089》)包含了大量执行层面的细则,导致纲领性文件的核心管控逻辑不清晰。 | 将总则文件中的具体操作要求下沉至专项制度中,确保总则的纲领性、提升制度体系的清晰度。 |
| 2 | 实操性不足。现有制度大量内容照搬法律法规、标准原文,未能有效结合公司实际业务链路(如海外数据回传、远程运维等)提供场景化的触发指引,容易导致业务操作实质性偏离合规要求。 | 针对公司高频及高风险数据流转活动,制定具象化的业务场景合规操作指引,降低业务线理解与执行门槛。 |
| 3 | 文本结构冗杂。现有制度将管理要求与落地操作细节混编于正文,导致文本冗长、可读性与可执行性下降。 | 实行"正文+附件"分离管理:正文聚焦治理流程、职责与权限;附件提供标准化的表单、模板工具。 |
| 序号 | 现状分析 | 优化建议 |
|---|---|---|
| 1 | 治理架构缺乏统筹。目前,集团关于数据跨境传输的管理制度有:《中国数据出境管理办法》(HQ-AD-R-143-2024)(编制部门:信息安全部)与《澳洲个人信息跨境传输管理指引 PV-PAD-R-001》(编制部门:运营组)。两份制度系基于各自区域视角独立制定,缺乏集团层面的统一顶层设计,并且未纳入其他海外区域进行管理。 | 构建"总部统筹、区域协同"的全球数据跨境传输管理框架,确保全球合规动作的协同性。 |
| 2 | 规则迭代滞后。中国区出境制度(2024年5月发布)的核心逻辑未能适配国家网信办2024年3月《促进和规范数据跨境流动规定》。现行制度未采纳新规中的"豁免机制",仍强制要求对"跨境人力资源管理"等依法被豁免的场景进行评估。 | 建立外部监管法规的常态化监控机制,及时修订制度。同时,落实针对低风险/豁免场景的"简易合规程序",实现风险管理与业务效率的平衡。 |
| 序号 | 现状分析 | 优化建议 |
|---|---|---|
| 1 | 缺乏分级分流机制。现行机制未基于数据类型与处理目的进行风险区分,导致高风险活动(如用户设备画像)与低风险活动(如收集员工银行卡账户)适用同一套冗长的评估流程。 | 嵌入基于风险等级的分流路径,低风险走简易流程,高风险走完整评估。 |
| 2 | 缺乏风险接受标准。制度未确立明确的风险接受标准,未厘清各级剩余风险的最终签批主体,容易导致越权审批风险。 | 建立"风险等级-审批权限"对应的授权矩阵。 |
| 3 | 未建立数据处理活动记录(RoPA):制度未规定RoPA的建立与动态维护机制,导致公司无法掌握业务处理实际情况,进而难以防范"应评未评"的情况。 | 建立RoPA机制,各业务线建立并定期更新RoPA台账。 |
| 序号 | 现状分析 | 优化建议 |
|---|---|---|
| 1 | 缺乏分级分流机制。制度虽按服务类型(如云、ICT)进行了罗列,但未能将第三方接触的数据规模及敏感等级作为安全控制强度的变量,导致管控要求过泛且缺乏针对性。 | 基于第三方接触数据的规模、敏感程度等因素,进行动态分级管控,并将相应的技术/管理控制要求映射到合同条款。 |
| 2 | 存在管理盲区。制度仅考虑了与供应商的数据交互,但在实际业务中,大量高风险的数据共享发生在非供应商场景(如生态合作伙伴),导致此类数据流转处于脱管状态。 | 拓展第三方数据共享管理边界,将生态合作等各类"非采购场景"下的数据交互纳入管控。 |
| 序号 | 现状分析 | 优化建议 |
|---|---|---|
| 1 | 现有多个应急响应制度,但制度间缺乏明确的主从关系和流程衔接规则。同一事件可能出现重复启动多套流程的情况。 | 确立应急响应机制的统一指挥与衔接规则。 |
| 2 | 各制度在事件定级、响应时效及关键角色定义上存在不一致,导致对同一安全事件的级别判定和响应路径可能不同/相似职责可能由不同角色重复承担,影响事件处理和决策效率。 | 统一事件定级标准及响应时效,建立跨部门的"应急响应角色矩阵表"。 |
报告主题分布 / 逐章功能标注 / 内容密度 / 交叉引用 / 概念分布
源自IRA,经OBBBA(2025.7)扩展。非PFE成本占比要求:2026年 ≥55% → 逐年+5% → 2030年 ≥75%。中国供应商零部件(含维修件)可致税收抵免追回。IRS Notice 2026-15 已于2026.2发布。
中国制逆变器中发现未记录通信模块。CATL等6家企业列入CMC清单,NDAA采购禁令2026.6生效,电池禁令2027.10生效。
产品本征安全:硬件无后门 · 固件可验证(Secure Boot) · 通信接口已记录可控 · SBOM完整 · 可作无源设备运行
管理行为可信:数据存储位置约定 · OTA控制权归使用方 · 紧急覆盖程序使用方掌控 · SLA排除控制权移交 · 溯源文档可审计