取消
清空記錄
曆史記錄
清空記錄
曆史記錄
為(wèi)更好地(dì)促進和(hé)保障城市數字經濟“在發展中規範、在規範中發展”,在今年(nián)1月底,上海市楊浦區檢察院聯合市信息服務業行業協會、市數據合規與安全産業發展專家工作組、區工商業聯合會制定發布全市首份《企業數據合規指引》(以下簡稱《指引》)。
《指引》共有三十八條,按照合規架構與風險識别處理(lǐ)的(de)邏輯劃分為(wèi)六章(zhāng),從數據合規管理(lǐ)體系、數據風險識别、數據風險評估與處置、數據合規運行與保障等方面引導企業加強數據合規管理(lǐ)。下面我将按照指引要求給企業一(yī)些數據合規的(de)建議和(hé)示例。
公司應對建議:
一(yī)、明确合規責任人及其所要承擔的(de)職責
示例:将企業的(de)**管理(lǐ)者設為(wèi)數據合規的(de)第一(yī)責任人,職責包括有資源分配、設立舉報與問責機制等,使**管理(lǐ)者既能夠全局性地(dì)把握數據合規情況,落實數據合規義務,又不至于被瑣碎的(de)具體合規問題所困擾。
二、設置專門的(de)數據合規管理(lǐ)部門,明确其履行的(de)職責,或将數據合規管理(lǐ)職能融入現有的(de)企業合規管理(lǐ)體系,但不建議由法務部門履行合規管理(lǐ)職能
示例:在數據合規領域,存在一(yī)些專業性的(de)資質與認證,例如(rú)CIPP、CIPM和(hé)CIPT認證等,企業在組建數據合規團隊時,可(kě)以考慮選擇聘用具備資質的(de)人員,以提升團隊專業化程度。
三、制定并不斷完善數據合規計劃
示例: 數據合規計劃應結合企業自(zì)身的(de)經營範圍、行業特征、監管政策、風險識别等多種因素後制定,并根據企業內(nèi)部環境和(hé)外部環境的(de)變化不斷調整。
公司應對建議:
一(yī)、準确識别數據風險
示例:常見數據風險包括有未授權訪問、數據濫用、數據洩漏等數據生命周期中存在的(de)風險,以及侵犯個人信息、非法獲取計算機信息系統數據、傳播違法信息、侵犯知識産權、非法跨境提供數據等刑事犯罪風險。
二、規範使用第三方軟件開發工具包
示例:使用第三方軟件開發工具包時,應當通過合同等形式明确第三方的(de)數據安全責任義務。使用經相關部門審核合規的(de)開源軟件開發工具包進行程序開發活動。
公司應對建議:
一(yī)、 建立數據風險評估機制
示例:企業要在識别數據風險的(de)基礎上,分析和(hé)評估數據風險的(de)來源、發生的(de)可(kě)能性、後果的(de)嚴重性等,并對數據風險進行分級,并根據風險評估結果對不同職級、工作範圍的(de)管理(lǐ)層與員工進行風險提示,以便實現事前預防的(de)效果。
二、建立健全數據安全事件應急預案與風險處置機制
示例:發生個人信息等數據洩露、郝改、丢失等事件的(de),數據處理(lǐ)者應當立即采取補救措施,并通知所在地(dì)區的(de)數據監管部門。安全事件涉嫌犯罪的(de),應當及時向公安機關報案。
三、建立便捷的(de)數據安全投訴舉報渠道(dào)
示例:允許員工實名或匿名通過內(nèi)部系統舉報數據違規行為(wèi),并嚴格保護實名舉報者和(hé)匿名舉報者不受打擊和(hé)報複,尤其是保護匿名舉報者的(de)個人信息安全。該措施可(kě)以動員企業員工**參與數據合規的(de)監督工作,盡可(kě)能減少企業自(zì)我監督時的(de)漏洞與死角。
一(yī)、建立數據合規的(de)咨詢機制
示例:管理(lǐ)層和(hé)各部門員工在工作中可(kě)以向數據合規管理(lǐ)部門咨詢數據合規問題。數據合規管理(lǐ)部門應當不斷學(xué)習、提升合規管理(lǐ)水平,也可(kě)以同外部機構開展數據合規咨詢合作。
二、建立發現機制
示例:可(kě)以通過設置日常的(de)流程監控、內(nèi)部審核、重點核查以及定期評審等方式發現企業及員工的(de)違規行為(wèi),并及時按照合規計劃采取相應的(de)處置措施。數據合規管理(lǐ)部門應定期向合規負責人彙報數據合規管理(lǐ)情況,當發生可(kě)能給企業帶來重大數據合規風險的(de)違規行為(wèi)時,應當及時向合規負責人彙報,并提出相應的(de)解決方案。
三、建立考核機制
示例:數據合規考核結果作為(wèi)企業績效考核的(de)重要依據,與員工的(de)評優評先、職務任免、職務晉升以及薪酬待遇等挂鈎。
四、建立培訓機制
示例:數據合規管理(lǐ)部門定期為(wèi)管理(lǐ)層、員工培訓數據合規,使其充分了解數據法規、數據合規計劃、崗位角色與職責等。鼓勵企業管理(lǐ)層和(hé)其他員工作出并履行明确、公開的(de)數據合規承諾,內(nèi)容主要是知悉、願意遵守數據合規計劃,願意承擔違反數據合規承諾的(de)後果。
《指引》還特别對數據刑事風險進行了提示。數據處理(lǐ)者在數據處理(lǐ)活動中可(kě)能因為(wèi)存在某些行為(wèi)被追究包括侵犯公民個人信息罪、破壞計算機信息系統罪、非法侵入計算機信息系統罪等刑事責任。
想要了解更多《企業數據合規指引》詳情,可(kě)點擊原文鏈接查看:www.shyangpu.jcy.gov.cn/ypjc/jcdt/79471.jhtml
相關新聞