来源: 发布日期:2022.02.15 点击量:
2022年1月26日,上海杨浦区发布了《企业数据合规指引》。该指引由上海市杨浦区检察院联合市信息服务业行业协会、市数据合规和安全产业发展专家工作组、区工商业联合会共同制定,目的是为了促进和保障城市数字经济“在发展中规范、在规范中发展”。
《指引》共有三十八条,按照合规架构与风险识别处理的逻辑划分为六章,从数据合规管理体系、数据风险识别、数据风险评估与处置、数据合规运行与保障等方面引导企业加强数据合规管理。
数据合规管理部门要加强与内部业务部门的分工协作,也要积极与数据监管部门建立沟通渠道,了解数据监管部门期望的数据合规体系,并制定符合其要求的数据合规制度。
2、数据风险识别
根据《网络安全法》、《个人信息保护法》以及《数据安全法》的规定,规定数据处理的相关原则和规则,主动识别企业治理和义务活动中存在的数据风险,《指引》中列出一些常见的数据风险,如:企业作为数据处理者开展影响或者可能影响国家安全的数据处理活动,应当按照国家有关规定,申报网络安全审查;处理个人信息时,应当依据《个人信息保护法》的规定遵守八项规则,并在特定情况下删除个人信息或者进行匿名化处理等;利用生物特征进行个人身份认证的,对必要性、安全性进行风险评估,不得强制个人同意收集人脸、步态、指纹、虹膜、声纹等生物特征信息;在采用网络爬虫等自动化工具访问、收集数据时,应当评估网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。《指引》还特别对数据刑事风险进行了提示。企业作为数据处理者在数据处理活动中可能因为存在某些行为被追究包括侵犯公民个人信息罪、破坏计算机信息系统罪、非法侵入计算机信息系统罪等刑事责任。
企业要建立健全数据安全事件应急预案与风险处置机制,建立便捷的数据安全投诉举报渠道,也要积极配合数据监管机构调查。
企业要建立咨询、发现、举报、考核和培训机制,数据合规考核结果作为企业绩效考核的重要依据,与员工的薪酬和职务晋升挂钩。企业可通过数据合规管理信息化建设,运用大数据分析等工具,加强对经营管理行为中的数据合规的实时监控和风险分析。
《指引》不具有强制性,但数据合规领域的监管措施在未来大概率会呈现更加严格的要求。在不久的将来,数据安全时代的三驾马车网络安全法、数据安全法、个保法会伴随其他的法律法规、行业标准及规章制度共同完善数据合规治理。对于企业而言,对于相关规定及时学习和研读,提升自我管理能力,提高数据安全意识和数据合规意识或将成为重中之重。
安言作为IT咨询行业的领先者,时刻关注行业的变化趋势,积极满足客户的需求。随着《指引》的发布,数据合规管理也将是企业管理的一个工作重点。安言具有丰富的经验,能为企业提供数据安全风险评估,数据分类分级、个人信息安全影响评估等多项服务,帮助企业识别并规避数据合规风险,提升安全管理能力。
附:企业可参考的相关法律法规与行业标准
相关新闻:
版权所有©上海安言信息技术有限公司 2014-2015