2025年3月22日，第二届数据合规年度论坛在上海成功举办。此次论坛聚焦数据合规视角下的各类前沿议题，吸引了众多企业法务、高管及法律界专业人士参与。北京大成（上海）律师事务所合伙人戴健民律师受邀出席，并以《数据合规视角下的供应商管理》为题发表了主题演讲，戴律师结合丰富案例，从数据合规视角出发，深入探讨供应商管理在事前、事中、事后三个阶段的核心要点与实践策略。

首先，戴律师强调，随着在2025年5月1日即将生效的个保合规审计要求趋严，企业需将个保审计贯穿供应商管理全程。在委托处理前，要开展个人信息保护影响评估，审查评估记录，确保委托处理的必要性、合法性，以及受托方数据安全保障能力。例如，重点评估受托方的数据加密技术是否达到行业标准、访问权限管理是否精细到具体岗位等细节。在合作中，要对委托处理个人信息的合同进行审计，明确未经个人信息处理者同意，受托人严禁转委托他人处理个人信息，防止个人信息扩散。审计人员需查阅被审计组织对受托人的定期检查记录等资料，核实受托人是否存在违规转委托行为。在合作结束后，也要审查数据返还或删除义务是否切实履行，确保个人信息在整个供应链中的全生命周期合规。

事前，戴健民律师指出企业应当做好全面评估，筑牢合作基础。在与供应商建立合作关系之前，企业应要求供应商提供独立报告或填写供应商数据安全清单。当涉及委托处理个人信息或向其他个人信息处理者提供个人信息时，企业必须严格遵守相关规定，明确适用条件，并采用问卷、报告、工具等方式进行个人信息保护影响评估。此外，明确供应商的服务器是位于境内还是境外也非常重要，这不仅关系到数据存储的位置，还涉及到不同国家和地区的法律法规的适用要求。网络安全审查程序同样不容忽视，企业和供应商双方应当共同确认是否需要根据《网络安全审查办法》开展网络安全审查工作，最后，企业要对供应商的相关证照进行确认与查验，确保其具备合法有效的经营资质。这些是保障供应商合法合规运营的基础，也是企业规避潜在风险的重要手段。

事中，戴健民律师认为企业应当严格把控，确保合规执行。首先，企业应与供应商签订独立协议、在主合同中设置数据保护条款，或附加单独的数据保护附件。这些文件应明确双方在数据保护方面的权利和义务，确保数据处理活动的合规性。同时，协议和合同条款应具备可操作性，以便在实际合作中能够有效执行。在协议和合同中，企业应详细列举供应商在数据合规方面的配合义务，作为必备条款，包括在政府调取数据、跨境传输义务履行、个人信息主体行权、数据泄露等多方面的主要配合事项。此外，数据权属也应当明确，构建清晰的数据资产池。这包括明确数据处理范围，是否可用作 AI 大模型训练数据等。同时，企业应开展数据权益培训和沟通，提高双方对数据权益的认识，补充数据权益归属条款，明确权益及责任主体，以避免在数据使用和管理过程中产生纠纷。

事后，戴健民律师提出企业应当全面审计，保障数据安全。在合作结束后，企业应进行全面的数据合规审计。审计内容应涵盖技术性安全措施的有效性、数据治理结构的合理性以及是否发生过数据安全事件等方面。通过审计，企业能够评估供应商在合作期间的数据合规情况，发现问题并及时整改，为后续合作提供参考。而对于合作终止后的相关数据处理事宜，企业应进行妥善安排。这包括明确数据的返还或删除流程，确保供应商按照约定及时返还或删除个人信息，避免数据在合作结束后仍被不当保留或使用，从而保障数据的安全性和隐私性。

可见，数据合规视角下的供应商管理贯穿于事前、事中、事后三个阶段，企业应高度重视并采取切实有效的措施，确保供应商在数据处理活动中遵守相关法律法规，保障数据安全和隐私，从而实现合作共赢的可持续发展目标。