《民法典》等有关现行法律法规尚无明确的规定“企业信息”概念的条款。结合包括《企业信息公示暂行条例》《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》在内的部委规章、监管规定等，我们试图对企业信息按照类别进行定义如下：

所谓企业信息/企业数据，泛指所有与企业经营相关的信息、资料，包括公司概况、产品信息、经营数据、研究成果、大数据分析报告等等，其中不乏涉及商业机密。而企业数据中还可以分为企业公开数据、半公开数据与非公开数据。企业公开数据较为典型且常见的是企业公示信息，如互联网平台、企业官网可查询到的公司概况、组织架构、高管情况等；以及较为典型的如互联网平台上的海量数据，比如知乎、微博、BBS等论坛上的用户信息及用户评论，这类信息于互联网披露，进行了公开。企业半公开数据即企业拥有的数据是部分公开或半公开的，比如数据库，数据库中的数据对部分人群开放而非全面开放，对于这类数据通常不向社会公众公开，或多或少需要经过一定的媒介或者付出相应的对价可以获取，如天眼查、企查查等平台所拥有的部分非付费不可查信息。企业非公开数据，商业秘密是典型的企业非公开数据，形成商业秘密的可以是企业的研究成果、经营数据等，这类都可以成为企业非公开数据，具有保密性；除商业秘密外，企业通过采集大数据并经过清洗、整理形成了企业自己的数据库或者数据报告，也属于企业数据。

《网络安全法》《数据安全法》^[1]的陆续出台，我国关于数据保护的基本法律框架已经基本成型。《数据安全法》第六条第二款规定，工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。因此，各行业都将会有自己的安全合规标准。

结合现行有效法律法规等文件，金融领域关于企业数据合规安全标准、监管职责实际已有“地基”^[2]。且中国人民银行在2020年末发布一系列标准，对于金融机构在获取、使用企业金融数据方面，亦有很好的参考意义。中国人民银行2021年4月8日发布了《金融数据安全 数据生命周期安全规范》（JR/T 0223—2021）（以下简称“《规范》”）作为行业标准，已经就就金融业机构建立完整的数据安全合规框架设计，明确了可参考架构，具体如图1：

基于上图，关于数据合规框架的构建，应首先立足于数据安全原则，其次是做好数据的分类和分级工作，基于前述两项基本原则，再具体到数据采集、传输、存储、访问、加工、展示、转让、共享、删除等环节的合规监管。

显然，依据现行法律法规，金融机构展业获取、使用“企业信息”合规框架仍需完善。金融机构，尤其是银行，是信息汇集集中型的产业，商业银行在为客户提供商业银行在为客户提供服务的过程中掌握了大量的客户信息。毫无疑问，这些客户信息是商业银行的重要资产。但就我国现行有效法律法规、监管规定而言，企业数据的保护较于个人信息保护而言，实际较为分散。对金融机构而言，对于企业信息或者数据的保护和使用，可以参考“客户信息”“客户数据”等有关规定处理。如《证券法》和《证券基金经营机构信息技术管理办法》严格禁止证券公司和公募基金管理公司对外提供客户信息和投资者信息;《反洗钱法》等禁止金融机构对外提供其在履行反洗钱职责或义务时获得的客户资料和交易信息。

如上述分析，金融机构在业务开展中所获得企业信息，较多为金融机构基于具体业务办理所获得的企业商业秘密或者是基于《反洗钱法》等规定履行履行反洗钱职责或义务时获得的客户资料和交易信息等企业非公开数据。基于该等信息流转涉及的获取、使用（本文限于共享）主要环节，概括梳理相关合规要点如下：

已经颁布但尚未实施的《数据安全法》第三十二条规定了，任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。由此，对于任何组织、个人，包括金融机构在内，对于数据的基本收集和使用必要要件：1.合法、正当的方式收集、使用；2.收集、使用应当符合法律、行政法规规定的目的和范围。

《规范》亦要求金融业机构在数据获取、使用等各相关处理环节应遵循基本的“数据安全原则”，对此，要求做到以下基本要求：“合法正当原则”“目的明确原则”“选择同意原则”“最小够用原则”“全程可控原则”“动态控制原则”“权责一致原则”^[3]。并要求金融业机构在提供金融产品和服务、开展经营管理等活动中，直接或间接从企业客户等外部机构获取数据具体的安全要求进行了更进一步的细化规定，包括通过协议等方式明确双方权责范围、数据范围以及用途，采集企业客户数据应与提供的金融产品或服务直接相关，不可超范围采集等等。

《规范》所规定的“数据使用”指金融业机构在提供金融产品和服务、开展经营管理活动中，进行的数据的访问、加工、展示、开发测试、数据共享等活动。数据使用的基本原则是不应超出数据采集时所声明的目的和范围。以下就数据使用中的数据共享合规要点及可操作性进行分析梳理：

我国现行法律并未对数据共享作出明确的定义，但并不是企业间实现数据共享无法可依。《数据安全法》第七条明确规定“国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展”，该规定是企业间进行数据共享的前提性保障。我国《民法典》第一千零三十三条至一千零三十八条的规定，以及当前虽尚未生效，但对个人信息的处理规则作出最全面详实规定的《个人信息保护法（草案）》，可以为企业间共享个人数据提供可预见的规范依据。基于前述以及《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等相关司法解释、各地方的数据条例和有关个人信息处理的国家标准指南等规定，都为企业间的数据共享提供了合法性指导。

对于金融机构而言，2020年9月11日中国人民银行颁布的《金融控股公司监督管理试行办法》(以下简称“《金控公司监管办法》”)已经为金融机构集团内部共享的实践提供了较大的可操作空间。《金控公司监管办法》第22条^[4]允许“金融控股公司与其所控股机构之间”、“(被金融控股公司)所控股的机构之间”之间，共享客户信息、销售团队、信息技术系统、运营后台、营业场所等资源时，不得损害客户权益，应当依法明确风险承担主体，防止风险责任不清、交叉传染及利益冲突; 同时, 第23条^[5]要求在“共享客户信息”时, “应当确保依法合规、风险可控并经客户书面授权或同意, 防止客户信息被不当使用”。这两条规定实际上为金融机构共享金融类客户信息构建了新的途径。由此，笔者理解，《金控公司监管办法》为金融机构在集团内部共享客户数据相对于对外披露或使用数据而言，相对降低了法律要求。无论是《金融消费者权益保护实施办法》还是《证券基金经营机构信息技术管理办法》^[6], 这些法律规定下实现分享“客户信息”的前提条件往往过于苛刻且具有不确定性。《金控公司监管办法》下,金控集团内部分享信息的合法要件相对简化，只要求满足1)主体要求(即金控集团内部的企业主体)以及2)客户同意，两项基本要求。