（1）企业应注意保护公民个人信息

法律规定：《中华人民共和国刑法》第二百五十三条之一规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

风险防范：一是建立个人信息保护长效机制。明确个人信息保护的风险点、关键点、控制点，当好个人信息的“守门人”。二是加强企业内部网络安全建设，规范企业内部数据访问权限设置，避免存储个人信息的网络系统存在被入侵的风险，严密防护个人信息。三是加强个人信息泄露风险管控。定期对员工进行个人信息安全教育和培训，制定个人信息安全实践应急预案，如一旦发生个人信息安全事件，及时采取补救措施，并履行通知义务。

（2）企业应依法规范开发、使用、处理数据

法律规定：《中华人民共和国数据安全法》第二十七条规定，开展数据处理活动，应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保证数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

风险防范：从事互联网信息技术服务和数据处理活动的企业，一是建立网络信息和数据安全管理部门或者由专人负责，并明确工作职责，确保网络信息服务和数据处理活动依法规范有序进行；二是建立健全网络信息服务和数据安全管理制度和业务流程，并提供相关资金、人员、技术等资源保障，加强业务培训，确保制度机制有效执行；三是密切关注国家相关法律法规的变化，持续改进网络信息服务和数据安全风险有效识别、监测和处置制度机制，有力保障数据安全开发利用和产业健康发展。