關于上海市首份《企業數據合規指引》對(duì)企業的(de)啓示和(hé)建議(yì)

爲更好地促進和(hé)保障城(chéng)市數字經濟“在發展中規範、在規範中發展”，在今年1月(yuè)底，上海市楊浦區(qū)檢察院聯合市信息服務業行業協會、市數據合規與安全産業發展專家工作組、區(qū)工商業聯合會制定發布全市首份《企業數據合規指引》（以下(xià)簡稱《指引》）。

《指引》共有三十八條，按照(zhào)合規架構與風險識别處理(lǐ)的(de)邏輯劃分(fēn)爲六章(zhāng)，從數據合規管理(lǐ)體系、數據風險識别、數據風險評估與處置、數據合規運行與保障等方面引導企業加強數據合規管理(lǐ)。下(xià)面我将按照(zhào)指引要求給企業一些數據合規的(de)建議(yì)和(hé)示例。

一、數據合規管理(lǐ)體系

公司應對(duì)建議(yì)：

一、明(míng)确合規責任人(rén)及其所要承擔的(de)職責

示例：将企業的(de)**管理(lǐ)者設爲數據合規的(de)第一責任人(rén)，職責包括有資源分(fēn)配、設立舉報與問責機制等，使**管理(lǐ)者既能夠全局性地把握數據合規情況，落實數據合規義務，又不至于被瑣碎的(de)具體合規問題所困擾。

二、設置專門的(de)數據合規管理(lǐ)部門，明(míng)确其履行的(de)職責，或将數據合規管理(lǐ)職能融入現有的(de)企業合規管理(lǐ)體系，但不建議(yì)由法務部門履行合規管理(lǐ)職能

示例：在數據合規領域，存在一些專業性的(de)資質與認證，例如CIPP、CIPM和(hé)CIPT認證等，企業在組建數據合規團隊時(shí)，可(kě)以考慮選擇聘用(yòng)具備資質的(de)人(rén)員(yuán)，以提升團隊專業化(huà)程度。

三、制定并不斷完善數據合規計劃

示例： 數據合規計劃應結合企業自身的(de)經營範圍、行業特征、監管政策、風險識别等多(duō)種因素後制定，并根據企業内部環境和(hé)外部環境的(de)變化(huà)不斷調整。

二、數據風險識别

公司應對(duì)建議(yì)：

一、準确識别數據風險

示例：常見數據風險包括有未授權訪問、數據濫用(yòng)、數據洩漏等數據生命周期中存在的(de)風險，以及侵犯個(gè)人(rén)信息、非法獲取計算(suàn)機信息系統數據、傳播違法信息、侵犯知識産權、非法跨境提供數據等刑事犯罪風險。

二、規範使用(yòng)第三方軟件開發工具包

示例：使用(yòng)第三方軟件開發工具包時(shí)，應當通(tōng)過合同等形式明(míng)确第三方的(de)數據安全責任義務。使用(yòng)經相關部門審核合規的(de)開源軟件開發工具包進行程序開發活動。

三、數據風險評估與處置

公司應對(duì)建議(yì)：

一、 建立數據風險評估機制

示例：企業要在識别數據風險的(de)基礎上，分(fēn)析和(hé)評估數據風險的(de)來(lái)源、發生的(de)可(kě)能性、後果的(de)嚴重性等，并對(duì)數據風險進行分(fēn)級，并根據風險評估結果對(duì)不同職級、工作範圍的(de)管理(lǐ)層與員(yuán)工進行風險提示，以便實現事前預防的(de)效果。

二、建立健全數據安全事件應急預案與風險處置機制

示例：發生個(gè)人(rén)信息等數據洩露、郝改、丢失等事件的(de),數據處理(lǐ)者應當立即采取補救措施，并通(tōng)知所在地區(qū)的(de)數據監管部門。安全事件涉嫌犯罪的(de)，應當及時(shí)向公安機關報案。

三、建立便捷的(de)數據安全投訴舉報渠道

示例：允許員(yuán)工實名或匿名通(tōng)過内部系統舉報數據違規行爲，并嚴格保護實名舉報者和(hé)匿名舉報者不受打擊和(hé)報複，尤其是保護匿名舉報者的(de)個(gè)人(rén)信息安全。該措施可(kě)以動員(yuán)企業員(yuán)工**參與數據合規的(de)監督工作，盡可(kě)能減少企業自我監督時(shí)的(de)漏洞與死角。

四、數據合規運行與保障

一、建立數據合規的(de)咨詢機制

示例：管理(lǐ)層和(hé)各部門員(yuán)工在工作中可(kě)以向數據合規管理(lǐ)部門咨詢數據合規問題。數據合規管理(lǐ)部門應當不斷學習(xí)、提升合規管理(lǐ)水(shuǐ)平，也(yě)可(kě)以同外部機構開展數據合規咨詢合作。

二、建立發現機制

示例：可(kě)以通(tōng)過設置日常的(de)流程監控、内部審核、重點核查以及定期評審等方式發現企業及員(yuán)工的(de)違規行爲，并及時(shí)按照(zhào)合規計劃采取相應的(de)處置措施。數據合規管理(lǐ)部門應定期向合規負責人(rén)彙報數據合規管理(lǐ)情況，當發生可(kě)能給企業帶來(lái)重大(dà)數據合規風險的(de)違規行爲時(shí)，應當及時(shí)向合規負責人(rén)彙報，并提出相應的(de)解決方案。

三、建立考核機制

示例：數據合規考核結果作爲企業績效考核的(de)重要依據，與員(yuán)工的(de)評優評先、職務任免、職務晉升以及薪酬待遇等挂鈎。

四、建立培訓機制

示例：數據合規管理(lǐ)部門定期爲管理(lǐ)層、員(yuán)工培訓數據合規，使其充分(fēn)了(le)解數據法規、數據合規計劃、崗位角色與職責等。鼓勵企業管理(lǐ)層和(hé)其他(tā)員(yuán)工作出并履行明(míng)确、公開的(de)數據合規承諾，内容主要是知悉、願意遵守數據合規計劃，願意承擔違反數據合規承諾的(de)後果。

《指引》還(hái)特别對(duì)數據刑事風險進行了(le)提示。數據處理(lǐ)者在數據處理(lǐ)活動中可(kě)能因爲存在某些行爲被追究包括侵犯公民個(gè)人(rén)信息罪、破壞計算(suàn)機信息系統罪、非法侵入計算(suàn)機信息系統罪等刑事責任。

想要了(le)解更多(duō)《企業數據合規指引》詳情，可(kě)點擊原文鏈接查看：www.shyangpu.jcy.gov.cn/ypjc/jcdt/79471.jhtml