關于上(shàng)海市(shì)首份《企業(yè)數據合規指引》對企業(yè)的啓示和建議

為(wèi)更好地促進和保障城(chéng)市(shì)數字經濟“在發展中規範、在規範中發展”，在今年(nián)1月(yuè)底，上(shàng)海市(shì)楊浦區檢察院聯合市(shì)信息服務業(yè)行業(yè)協會(huì)、市(shì)數據合規與安全産業(yè)發展專家工(gōng)作組、區工(gōng)商業(yè)聯合會(huì)制定發布全市(shì)首份《企業(yè)數據合規指引》（以下(xià)簡稱《指引》）。

《指引》共有三十八條，按照(zhào)合規架構與風險識别處理的邏輯劃分為(wèi)六章，從(cóng)數據合規管理體系、數據風險識别、數據風險評估與處置、數據合規運行與保障等方面引導企業(yè)加強數據合規管理。下(xià)面我将按照(zhào)指引要求給企業(yè)一(yī)些數據合規的建議和示例。

一(yī)、數據合規管理體系

公司應對建議：

一(yī)、明确合規責任人及其所要承擔的職責

示例：将企業(yè)的**管理者設為(wèi)數據合規的第一(yī)責任人，職責包括有資源分配、設立舉報(bào)與問責機(jī)制等，使**管理者既能(néng)夠全局性地把握數據合規情況，落實數據合規義務，又(yòu)不至于被瑣碎的具體合規問題所困擾。

二、設置專門(mén)的數據合規管理部門(mén)，明确其履行的職責，或将數據合規管理職能(néng)融入現有的企業(yè)合規管理體系，但不建議由法務部門(mén)履行合規管理職能(néng)

示例：在數據合規領域，存在一(yī)些專業(yè)性的資質與認證，例如CIPP、CIPM和CIPT認證等，企業(yè)在組建數據合規團隊時，可以考慮選擇聘用具備資質的人員(yuán)，以提升團隊專業(yè)化程度。

三、制定并不斷完善數據合規計劃

示例： 數據合規計劃應結合企業(yè)自(zì)身的經營範圍、行業(yè)特征、監管政策、風險識别等多(duō)種因素後制定，并根據企業(yè)内部環境和外部環境的變化不斷調整。

二、數據風險識别

公司應對建議：

一(yī)、準确識别數據風險

示例：常見(jiàn)數據風險包括有未授權訪問、數據濫用、數據洩漏等數據生(shēng)命周期中存在的風險，以及侵犯個(gè)人信息、非法獲取計算(suàn)機(jī)信息系統數據、傳播違法信息、侵犯知識産權、非法跨境提供數據等刑事(shì)犯罪風險。

二、規範使用第三方軟件(jiàn)開(kāi)發工(gōng)具包

示例：使用第三方軟件(jiàn)開(kāi)發工(gōng)具包時，應當通(tōng)過合同等形式明确第三方的數據安全責任義務。使用經相(xiàng)關部門(mén)審核合規的開(kāi)源軟件(jiàn)開(kāi)發工(gōng)具包進行程序開(kāi)發活動。

三、數據風險評估與處置

公司應對建議：

一(yī)、 建立數據風險評估機(jī)制

示例：企業(yè)要在識别數據風險的基礎上(shàng)，分析和評估數據風險的來源、發生(shēng)的可能(néng)性、後果的嚴重性等，并對數據風險進行分級，并根據風險評估結果對不同職級、工(gōng)作範圍的管理層與員(yuán)工(gōng)進行風險提示，以便實現事(shì)前預防的效果。

二、建立健全數據安全事(shì)件(jiàn)應急預案與風險處置機(jī)制

示例：發生(shēng)個(gè)人信息等數據洩露、郝改、丢失等事(shì)件(jiàn)的,數據處理者應當立即采取補救措施，并通(tōng)知所在地區的數據監管部門(mén)。安全事(shì)件(jiàn)涉嫌犯罪的，應當及時向公安機(jī)關報(bào)案。

三、建立便捷的數據安全投訴舉報(bào)渠道

示例：允許員(yuán)工(gōng)實名或匿名通(tōng)過内部系統舉報(bào)數據違規行為(wèi)，并嚴格保護實名舉報(bào)者和匿名舉報(bào)者不受打擊和報(bào)複，尤其是保護匿名舉報(bào)者的個(gè)人信息安全。該措施可以動員(yuán)企業(yè)員(yuán)工(gōng)**參與數據合規的監督工(gōng)作，盡可能(néng)減少企業(yè)自(zì)我監督時的漏洞與死角。

四、數據合規運行與保障

一(yī)、建立數據合規的咨詢機(jī)制

示例：管理層和各部門(mén)員(yuán)工(gōng)在工(gōng)作中可以向數據合規管理部門(mén)咨詢數據合規問題。數據合規管理部門(mén)應當不斷學習、提升合規管理水(shuǐ)平，也可以同外部機(jī)構開(kāi)展數據合規咨詢合作。

二、建立發現機(jī)制

示例：可以通(tōng)過設置日常的流程監控、内部審核、重點核查以及定期評審等方式發現企業(yè)及員(yuán)工(gōng)的違規行為(wèi)，并及時按照(zhào)合規計劃采取相(xiàng)應的處置措施。數據合規管理部門(mén)應定期向合規負責人彙報(bào)數據合規管理情況，當發生(shēng)可能(néng)給企業(yè)帶來重大數據合規風險的違規行為(wèi)時，應當及時向合規負責人彙報(bào)，并提出相(xiàng)應的解決方案。

三、建立考核機(jī)制

示例：數據合規考核結果作為(wèi)企業(yè)績效考核的重要依據，與員(yuán)工(gōng)的評優評先、職務任免、職務晉升以及薪酬待遇等挂鈎。

四、建立培訓機(jī)制

示例：數據合規管理部門(mén)定期為(wèi)管理層、員(yuán)工(gōng)培訓數據合規，使其充分了解數據法規、數據合規計劃、崗位角色與職責等。鼓勵企業(yè)管理層和其他員(yuán)工(gōng)作出并履行明确、公開(kāi)的數據合規承諾，内容主要是知悉、願意遵守數據合規計劃，願意承擔違反數據合規承諾的後果。

《指引》還(hái)特别對數據刑事(shì)風險進行了提示。數據處理者在數據處理活動中可能(néng)因為(wèi)存在某些行為(wèi)被追究包括侵犯公民(mín)個(gè)人信息罪、破壞計算(suàn)機(jī)信息系統罪、非法侵入計算(suàn)機(jī)信息系統罪等刑事(shì)責任。

想要了解更多(duō)《企業(yè)數據合規指引》詳情，可點擊原文鏈接查看(kàn)：www.shyangpu.jcy.gov.cn/ypjc/jcdt/79471.jhtml