国有企业的穿透式监管是指以数字化系统为载体、以数据为纽带的监管体系，穿透式监管向下可延伸至末级子企业，是一种全链条监管模式。其核心在于打破信息孤岛，实现监管数据的实时归集与智能预警，从而提升国资监管的穿透力、预判力和执行力。

2026年，国务院国资委发布了“财务数智化转型升级”、“中央企业穿透式监管” 等指导意见。为穿透式监管体系化落地，提供了依据与指引。

按照穿透式监管的原则，国有企业出资者应对下属企业穿透管理，不仅管股权，还应直接追踪业务或行为的经济本质。为了达成穿透式管理的目标，需要依托数字化平台，利用数字化手段，通过AI等技术，精准识别交易数据中反映出来的异常点，提升问题发现的准确率，将监管从“事后审计”前移至“事前预警”和“事中干预”，实现监管与业务的同步运行。

按照有关政策，穿透式监管的核心要义在于“穿透”而非“干预”，强调在保障企业经营自主权前提下，通过数字化手段实现监管信息的可追溯、可验证、可问责。这决定了，穿透式监管需要高效的数字化技术与数字化平台为基础，以数据的采集、分析、加工、处理作为监管的核心抓手。

然而，通过数字化监管平台整合数据，在提升监管效能的同时，也对数据安全与合规提出了更高要求。首先，数据的汇集会让监管系统的数据重要性增加，会增加系统遭受攻击、破坏、泄露、不当操作情况下的危害，这对网络及数据安全防护提出了更高的要求； 其次，数据的汇集加剧了敏感信息暴露风险，尤其在跨层级、跨地域的数据流转中；再次，按照现代公司治理原则的要求，数据作为重要的资产，如果穿透式监管没有构建完善的数据治理机制，可能会导致数据权属界定不清、共享机制混乱等问题。

穿透式监管的特征之一是通过数字化体系实现监管目标，其核心在于构建分层递进、权责清晰、动态适配的数字化监管架构。按照有关文件精神，穿透式监管体系包括如下治理层级。

1、监管数据平台

以网络架构为基础，集团内部业务系统与数据上云，建设统一、高效、安全的底层支撑平台，实现数据的集中汇集、统一存储与标准化治理。

通过统一数据平台，打通财务、产权、投资、薪酬、合同、法务等各类核心业务系统。从而可以通过跨业务条线、跨职能部门、跨组织层级、跨地域国别范围的数据安全传输与汇集，为监管分析、决策提供基础。

2、智能分析系统

穿透式监管会增加集团的数据处理压力，也对风险识别与精细化管理提出了很高的要求。因此，需要借助人工智能工具的辅助，提升对汇集数据的加工分析能力，挖掘数据之间复杂的内在关联与潜在规律，围绕人员、业务事项、报表、账务等关键维度，构建多层次、立体化的风险识别与评估模型。与穿透式监管相匹配的人工智能大模型开发、应用，无疑也是穿透式监管需要具备的基础条件。  

3、决策执行机制

智能分析系统是数字化穿透式监管的核心引擎，而风险分析结果发挥监管作用的基础则是与该数智化系统相适应的决策执行机制。基于智能系统分析结果，需要构建相应的任务分派与跟踪机制，保证相关风险落实到人，并得到贯彻落实。这也需要将决策与执行的机制通过信息系统加以固定，用系统与流程进行管理。

综上，穿透式监管是目标，而构建精准、高效、可持续发挥作用的数字化管理平台则是基础。

穿透式监管过程中，可能会遇到的网络与数据合规问题主要包括：

1、网络安全合规管理责任的升级

根据《中华人民共和国网络安全法》的相关规定和要求，网络运营者需要根据网络系统存储、传输数据的重要性以及系统遭受破坏的危害性进行网络安全等级保护。对于子公司而言，需要根据其系统内数据的重要性程度，确定其网络安全等级保护级别。企业的数据重要性提升，其网络安全等级保护级别也应相应提高。在穿透式监管的背景下，各子公司数据向集团监管平台汇集，数据汇集范围扩大，集团监管平台所承载的数据资产规模与敏感度显著提升，网络安全等级保护级别需相应上调，并同步强化访问控制、加密传输、安全审计等技术防护措施。

比如，在没有实行穿透式监管的情况下，各子公司的网络安全等级保护要求可能处于二级，而在实行穿透式监管后，数据的汇集会让集团监管系统的数据重要性增加，也可能会增加系统遭受攻击、破坏、泄露、不当操作情况下的危害性，集团监管数据平台的网络安全等级保护要求有可能提升至三级甚至四级。对于集团而言，其网络安全等级保护的义务也就会随之加重。

通常，子公司因为拥有实体业务，从而具有独立和相对完备的网络安全管理体系。但部分集团公司可能因为属于控股平台，并无相应的业务场景，其网络系统管理能力反而相对薄弱。这就要求集团应加快构建与监管职责相匹配的网络安全治理能力，补足技术短板、完善制度体系、强化人员配备，并推动子公司网络安全能力与集团的协同。

2、数据合规管理义务的复杂化

在传统监管模式下，各个子公司的数据存储、传输均发生在其自身的计算机系统内，数据权益归属明确、管理责任清晰。而在穿透式监管模式下，数据需跨主体、跨边界流动，其采集、存储、加工、提供等环节均需遵循《数据安全法》《个人信息保护法》等上位法要求。

集团公司监管平台需要在一定程度上汇集子公司系统中的数据，对于子公司的数据，在汇集前需要进行分类分级与风险评估，明确哪些数据可汇集、哪些需脱敏后汇集，哪些不应汇集，并制定相应的管理策略。

比如，对于子公司系统中存储的涉及第三方客户的商业秘密数据、个人信息数据等高敏感信息，必须严格遵循“知情同意”原则，其中的个人信息数据即使有个人的知情同意，还需要判断是否符合“最小必要”原则。对于子公司中的特定行业，如金融、医疗、能源等行业，其数据往往受到更为严格的行业监管要求，即使是因为穿透式监管的需要，也应严格遵守行业监管的特别规定，避免将特定领域数据传输至穿透式监管的数据平台。

此外，数据汇集过程中的权责边界亟待厘清，集团公司作为监管主体，需对数据汇集行为承担统筹协调、合规审查与安全监管责任，避免数字化监管平台发生数据安全事件或数据滥用。集团还需要通过制度明确数据管理的法律边界与操作规范，建立相应的数据安全管理体系。

总体而言，穿透式监管强调数据汇集与数智化管理，但这也对数据合规管理提出了更高的要求。

穿透式监管需要依托监管平台，这在一定程度上会带来整个集团数据在平台的汇集，数据的集中，将在监管平台上形成规模“可观”的数据资产池。在数据资产化的大环境下，这些数据是否能够为成为集团可运营的数据资产，需审慎评估其法律合规风险。集团数字化监管系统中沉淀、汇集的数据，能否成为集团的数据资产，以及能否进行价值流通、内部增效、甚至将数据资产价值计入资产负债表，在法律上仍存在很多约束条件。

参考《企业数据资源相关会计处理暂行规定》，从可计量、可被拥有或控制、可带来经济利益这几个维度出发，当前监管平台汇集的数据较难满足会计准则对数据资产的确认条件。换言之，监管数据平台的数据并不能直接成为集团的数据资产，而需要根据不同的数据类型进行合理的数据分类、场景梳理乃至系统化的数据治理后，再确定哪些可以流通、哪些可以内部赋能，从而确定可以纳入资产的数据范围。

1、监管平台数据资产化的合规风险分析  

穿透式监管过程中，数据平台可能需要汇集子公司的投资情况、产权情况、财务情况、会计情况、薪酬情况、金融情况、军品业务情况、采购与供应链情况、境外业务、合同情况。上述信息最终会以数据方式在监管平台形成汇集，但需严格区分数据用途与权限边界。主要的风险包括：

（1）超必要性获取子公司的个人信息数据的风险

需要明确的是，按照《个人信息保护法》，不同的企业主体，属于不同的“个人信息处理者”，应各自承担法定义务。

在部分穿透式监管的场景下，子公司的业务系统中可能会有大量的个人信息数据，而根据法律法规的要求，收集个人信息以及对外提供个人信息应当遵循“最小必要”原则。对于子公司而言，系统中的个人信息被集团获取或可以读取，可能构成对员工或客户个人信息的过度采集与处理，进而引发合规风险与声誉风险。如果这些数据在进行汇集后，被集团公司使用或形成数据产品，则将会进一步放大风险。

（2）特定领域数据在集团汇集可能会引发相应风险

以军品生产、交易相关的数据为例，军品相关数据属于国家秘密或敏感数据，其采集、传输、存储、使用均需严格遵守《保守国家秘密法》《武器装备科研生产单位保密资质管理办法法》等规定。按照《保守国家秘密法》等法律法规的规定，不同法律主体并不共享军工涉密的资质。集团监管平台若未经脱敏、未获专项审批即汇集、调用此类数据，可能带来相应的违法违规风险。

（3）不当获取商业秘密风险

这里所说的商业秘密主要是指子公司经营过程中可能掌握的第三方商业秘密，例如供应商的定价策略、客户名单、技术参数等。子公司在与第三方合作过程中依法负有保密义务，若未经第三方明确授权，擅自将此类信息上传至集团监管平台，可能构成对商业秘密的非法获取或泄露，从而触发相关法律责任。如果集团将此类数据用于内部管理决策或对外流通，将直引发集团自身或子公司的法律风险。

2、数据集中管理与数据资产化的合规路径

穿透式监管在数据集中管理方面具有合理性，而且也符合国有资产保值、增值的大原则。数字化监管平台的构建无疑有利于实现这一目标，而数据的汇集、智能化分析则有利于提升管理的效率与精准度。并且，通过数字化监管平台的运行，也可以在集团层面沉淀大量的数据，这些数据不仅能够为集团带来价值，也能够反向赋能各个子公司的数字化。

然而，任何事物都具有两面性，如上所分析，数据集中管理与数据资产化在带来显著价值的同时，也潜藏着不容忽视的合规挑战。

如何甄别可汇集的数据类型与范围、如何明确数据权属边界、规范授权流程、实施分级分类管控，是化解风险的第一道防线。构建与数据汇集相适应的网络安全、数据安全管理体系，是第二道防线。构建数据共享、流通管理体系，则是数据汇集的第三道防线。分别表述如下：

（1）建立以数据分类分级为基础的数据汇集规则

首先需要依据《数据安全法》《个人信息保护法》及行业监管规则的规定，并考虑穿透式监管的基本要求，甄别可汇集的数据类型与范围，明确哪些数据可以直接在监管平台上汇集，哪些数据需要进行脱敏后方可汇集，哪些数据不宜进行汇集。例如，财务类数据（如子公司月度利润表、资产负债表）可直接汇集；而供应商商业秘密类数据原则上不宜汇集，此外客户的个人信息不宜进行汇集。集团内部应建立数据汇集的“白名单”与“负面清单”制度，从而让数据汇集有章可循。

（2）集团层面应建立完善的网络安全与数据安全管理体系

穿透式监管意味着集团不仅是超脱于子公司的数据“查看者”，更是数据安全责任的承担者。因此，必须构建覆盖全集团的数据安全与合规管理体系，明确集团总部、各专业条线、子公司三级数据安全责任体系。监管平台是典型的网络系统，《网络安全法》对于网络运营者建立相关制度，保障网络运行安全及网络数据、个人信息的安全有相应的规定。对于金融、交通等八个行业的企业而言，还可能被认定为关键信息基础设施。按照《关键信息基础设施安全保护条例》，运营者应当遵守特定的合规要求，比如，应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。

同时，按照《数据安全法》，集团作为数据处理者，应当依照法律、法规的规定，建立全流程数据安全管理制度。如果作为重要数据的处理者还应当按照规定定期对其数据处理活动开展风险评估，并依法向有关主管部门报送风险评估报告。

在集团内部应坚持“谁产生、谁拥有、谁负责”原则。明确数据的采集、存储、使用、加工等全生命周期安全管理责任。对于来自于子公司的数据，集团与子公司之间应有明确的制度文件进行约束，并建议签署相应的数据安全协议，以约束双方在数据安全管理方面的权利义务，明确双方的数据安全管理责任。

（3）数据共享、流通管理体系的建立

在前述对数据进行合规汇集的基础上，应明确数据的使用权限与责任边界，确保子公司对其生产的数据享有完整的控制权、处置权与收益权，集团仅在授权范围内行使有限的监管使用权。并通过书面协议明确各方权责，避免“以监管之名行支配之实”的治理异化。对于集团与子公司、子公司与子公司之间通过监管数据平台共享数据的情况，坚持自愿、公平、透明、等价交换原则，确保数据共享不损害任何一方的合法权益。

国有企业穿透式监管的深化实施，不仅要求数据“看得见”，更要求监管数据的采集、传输、汇集、存储、利用、加工等各个环节符合法律法规的要求。数据合规体系的建立，是穿透式监管合规发展的重要保障。