取消
清空记录
历史记录
清空记录
历史记录
為(wèi)更好地促进和保障城市数字经济“在发展中规范、在规范中发展”,在今年1月底,上海市杨浦區(qū)检察院联合市信息服務(wù)业行业协会、市数据合规与安全产业发展专家工作组、區(qū)工商(shāng)业联合会制定发布全市首份《企业数据合规指引》(以下简称《指引》)。
《指引》共有(yǒu)三十八条,按照合规架构与风险识别处理(lǐ)的逻辑划分(fēn)為(wèi)六章,从数据合规管理(lǐ)體(tǐ)系、数据风险识别、数据风险评估与处置、数据合规运行与保障等方面引导企业加强数据合规管理(lǐ)。下面我将按照指引要求给企业一些数据合规的建议和示例。
公司应对建议:
一、明确合规责任人及其所要承担的职责
示例:将企业的**管理(lǐ)者设為(wèi)数据合规的第一责任人,职责包括有(yǒu)资源分(fēn)配、设立举报与问责机制等,使**管理(lǐ)者既能(néng)够全局性地把握数据合规情况,落实数据合规义務(wù),又(yòu)不至于被琐碎的具體(tǐ)合规问题所困扰。
二、设置专门的数据合规管理(lǐ)部门,明确其履行的职责,或将数据合规管理(lǐ)职能(néng)融入现有(yǒu)的企业合规管理(lǐ)體(tǐ)系,但不建议由法務(wù)部门履行合规管理(lǐ)职能(néng)
示例:在数据合规领域,存在一些专业性的资质与认证,例如CIPP、CIPM和CIPT认证等,企业在组建数据合规团队时,可(kě)以考虑选择聘用(yòng)具备资质的人员,以提升团队专业化程度。
三、制定并不断完善数据合规计划
示例: 数据合规计划应结合企业自身的经营范围、行业特征、监管政策、风险识别等多(duō)种因素后制定,并根据企业内部环境和外部环境的变化不断调整。
公司应对建议:
一、准确识别数据风险
示例:常见数据风险包括有(yǒu)未授权访问、数据滥用(yòng)、数据泄漏等数据生命周期中存在的风险,以及侵犯个人信息、非法获取计算机信息系统数据、传播违法信息、侵犯知识产权、非法跨境提供数据等刑事犯罪风险。
二、规范使用(yòng)第三方软件开发工具包
示例:使用(yòng)第三方软件开发工具包时,应当通过合同等形式明确第三方的数据安全责任义務(wù)。使用(yòng)经相关部门审核合规的开源软件开发工具包进行程序开发活动。
公司应对建议:
一、 建立数据风险评估机制
示例:企业要在识别数据风险的基础上,分(fēn)析和评估数据风险的来源、发生的可(kě)能(néng)性、后果的严重性等,并对数据风险进行分(fēn)级,并根据风险评估结果对不同职级、工作范围的管理(lǐ)层与员工进行风险提示,以便实现事前预防的效果。
二、建立健全数据安全事件应急预案与风险处置机制
示例:发生个人信息等数据泄露、郝改、丢失等事件的,数据处理(lǐ)者应当立即采取补救措施,并通知所在地區(qū)的数据监管部门。安全事件涉嫌犯罪的,应当及时向公安机关报案。
三、建立便捷的数据安全投诉举报渠道
示例:允许员工实名或匿名通过内部系统举报数据违规行為(wèi),并严格保护实名举报者和匿名举报者不受打击和报复,尤其是保护匿名举报者的个人信息安全。该措施可(kě)以动员企业员工**参与数据合规的监督工作,尽可(kě)能(néng)减少企业自我监督时的漏洞与死角。
一、建立数据合规的咨询机制
示例:管理(lǐ)层和各部门员工在工作中可(kě)以向数据合规管理(lǐ)部门咨询数据合规问题。数据合规管理(lǐ)部门应当不断學(xué)习、提升合规管理(lǐ)水平,也可(kě)以同外部机构开展数据合规咨询合作。
二、建立发现机制
示例:可(kě)以通过设置日常的流程监控、内部审核、重点核查以及定期评审等方式发现企业及员工的违规行為(wèi),并及时按照合规计划采取相应的处置措施。数据合规管理(lǐ)部门应定期向合规负责人汇报数据合规管理(lǐ)情况,当发生可(kě)能(néng)给企业带来重大数据合规风险的违规行為(wèi)时,应当及时向合规负责人汇报,并提出相应的解决方案。
三、建立考核机制
示例:数据合规考核结果作為(wèi)企业绩效考核的重要依据,与员工的评优评先、职務(wù)任免、职務(wù)晋升以及薪酬待遇等挂钩。
四、建立培训机制
示例:数据合规管理(lǐ)部门定期為(wèi)管理(lǐ)层、员工培训数据合规,使其充分(fēn)了解数据法规、数据合规计划、岗位角色与职责等。鼓励企业管理(lǐ)层和其他(tā)员工作出并履行明确、公开的数据合规承诺,内容主要是知悉、愿意遵守数据合规计划,愿意承担违反数据合规承诺的后果。
《指引》还特别对数据刑事风险进行了提示。数据处理(lǐ)者在数据处理(lǐ)活动中可(kě)能(néng)因為(wèi)存在某些行為(wèi)被追究包括侵犯公民(mín)个人信息罪、破坏计算机信息系统罪、非法侵入计算机信息系统罪等刑事责任。
想要了解更多(duō)《企业数据合规指引》详情,可(kě)点击原文(wén)链接查看:www.shyangpu.jcy.gov.cn/ypjc/jcdt/79471.jhtml
相关新(xīn)闻