企业的业务资质、业务模式、业务流程。 企业与其客户、供应商和其他合作方的合作模式。 企业经营业务的网络平台(包括App、网站、小程序、SaaS平台等) 情况等方面进行核查与了解。

1.区分数据的类型法律对不同类型的数据有不同的保护要求。例如，对于敏感个人信息，在收集时要求企业应当遵循“单独同意”规则、“特别告知”规则。对于重要数据，要求企业应当采取相应的措施加强保护。

2.核查数据生命周期全流程。数据处理包括数据的收集、存储、使用、加工、传输、提供、公开、删除等一系列活动，贯穿数据全生命周期。法律和监管对数据处理活动提出了明确的要求。

3.甄别企业在数据处理活动中的角色。作为数据处理者，企业在数据生命周期全流程中除了遵守数据处理活动的基本合规义务外，对于不同角色下的数据处理也应有所区别或者有所侧重。例如，委托处理中，法律对于委托方和受托方有不同的要求。

数据安全管理负责人及组织架构。 数据安全管理制度。 数据安全技术措施。 人员管理与安全教育。 网络信息系统安全等级保护。

通过核查涉及的数据合规相关争议、诉讼、仲裁或行政处罚情况，可以了解企业过往的数据合法合规情况，发现已有问题和隐藏问题。

1.企业是否属于关键信息基础设施的运营者（CIIO）。根据《网络安全法》《关键信息基础设施安全保护条例》相关规定进行。

2.企业处理的数据是否属于重要数据、核心数据。国家建立数据分类分级保护制度，按照数据对国家安全，公共利益或者个人、组织合法权益的影响和重要程度，数据分为一般数据、重要数据、核心数据，对不同类别的数据采取不同的保护措施。

3.企业处理个人信息的规模。法律要求处理个人信息达到一定规模的数据处理者应当遵守特别的个人信息保护义务。《个保法》第40、52、58条等规定。

4.企业是否需要进行网络安全审查。《网络安全审查办法》明确规定了应当向网络安全审查办公室申报网络安全审查的两种情形（第5条第1款，第7条）数据合规尽职调查需要关注被调查企业是否需要按照规定履行网络安全审查。对于被认定为CIIO的企业、拟进行国外上市的企业，应当按照规定履行网络安全审查义务。