為更好地促進(jìn)和保障城市數(shù)字經(jīng)濟(jì)“在發(fā)展中規(guī)范、在規(guī)范中發(fā)展”，在今年1月底，上海市楊浦區(qū)檢察院聯(lián)合市信息服務(wù)業(yè)行業(yè)協(xié)會、市數(shù)據(jù)合規(guī)與安全產(chǎn)業(yè)發(fā)展專家工作組、區(qū)工商業(yè)聯(lián)合會制定發(fā)布全市首份《企業(yè)數(shù)據(jù)合規(guī)指引》（以下簡稱《指引》）。

《指引》共有三十八條，按照合規(guī)架構(gòu)與風(fēng)險(xiǎn)識別處理的邏輯劃分為六章，從數(shù)據(jù)合規(guī)管理體系、數(shù)據(jù)風(fēng)險(xiǎn)識別、數(shù)據(jù)風(fēng)險(xiǎn)評估與處置、數(shù)據(jù)合規(guī)運(yùn)行與保障等方面引導(dǎo)企業(yè)加強(qiáng)數(shù)據(jù)合規(guī)管理。下面我將按照指引要求給企業(yè)一些數(shù)據(jù)合規(guī)的建議和示例。

一、數(shù)據(jù)合規(guī)管理體系

公司應(yīng)對建議：

一、明確合規(guī)責(zé)任人及其所要承擔(dān)的職責(zé)

示例：將企業(yè)的**管理者設(shè)為數(shù)據(jù)合規(guī)的第一責(zé)任人，職責(zé)包括有資源分配、設(shè)立舉報(bào)與問責(zé)機(jī)制等，使**管理者既能夠全局性地把握數(shù)據(jù)合規(guī)情況，落實(shí)數(shù)據(jù)合規(guī)義務(wù)，又不至于被瑣碎的具體合規(guī)問題所困擾。

二、設(shè)置專門的數(shù)據(jù)合規(guī)管理部門，明確其履行的職責(zé)，或?qū)?shù)據(jù)合規(guī)管理職能融入現(xiàn)有的企業(yè)合規(guī)管理體系，但不建議由法務(wù)部門履行合規(guī)管理職能

示例：在數(shù)據(jù)合規(guī)領(lǐng)域，存在一些專業(yè)性的資質(zhì)與認(rèn)證，例如CIPP、CIPM和CIPT認(rèn)證等，企業(yè)在組建數(shù)據(jù)合規(guī)團(tuán)隊(duì)時(shí)，可以考慮選擇聘用具備資質(zhì)的人員，以提升團(tuán)隊(duì)專業(yè)化程度。

三、制定并不斷完善數(shù)據(jù)合規(guī)計(jì)劃

示例： 數(shù)據(jù)合規(guī)計(jì)劃應(yīng)結(jié)合企業(yè)自身的經(jīng)營范圍、行業(yè)特征、監(jiān)管政策、風(fēng)險(xiǎn)識別等多種因素后制定，并根據(jù)企業(yè)內(nèi)部環(huán)境和外部環(huán)境的變化不斷調(diào)整。

二、數(shù)據(jù)風(fēng)險(xiǎn)識別

公司應(yīng)對建議：

一、準(zhǔn)確識別數(shù)據(jù)風(fēng)險(xiǎn)

示例：常見數(shù)據(jù)風(fēng)險(xiǎn)包括有未授權(quán)訪問、數(shù)據(jù)濫用、數(shù)據(jù)泄漏等數(shù)據(jù)生命周期中存在的風(fēng)險(xiǎn)，以及侵犯個(gè)人信息、非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、傳播違法信息、侵犯知識產(chǎn)權(quán)、非法跨境提供數(shù)據(jù)等刑事犯罪風(fēng)險(xiǎn)。

二、規(guī)范使用第三方軟件開發(fā)工具包

示例：使用第三方軟件開發(fā)工具包時(shí)，應(yīng)當(dāng)通過合同等形式明確第三方的數(shù)據(jù)安全責(zé)任義務(wù)。使用經(jīng)相關(guān)部門審核合規(guī)的開源軟件開發(fā)工具包進(jìn)行程序開發(fā)活動。

三、數(shù)據(jù)風(fēng)險(xiǎn)評估與處置

公司應(yīng)對建議：

一、 建立數(shù)據(jù)風(fēng)險(xiǎn)評估機(jī)制

示例：企業(yè)要在識別數(shù)據(jù)風(fēng)險(xiǎn)的基礎(chǔ)上，分析和評估數(shù)據(jù)風(fēng)險(xiǎn)的來源、發(fā)生的可能性、后果的嚴(yán)重性等，并對數(shù)據(jù)風(fēng)險(xiǎn)進(jìn)行分級，并根據(jù)風(fēng)險(xiǎn)評估結(jié)果對不同職級、工作范圍的管理層與員工進(jìn)行風(fēng)險(xiǎn)提示，以便實(shí)現(xiàn)事前預(yù)防的效果。

二、建立健全數(shù)據(jù)安全事件應(yīng)急預(yù)案與風(fēng)險(xiǎn)處置機(jī)制

示例：發(fā)生個(gè)人信息等數(shù)據(jù)泄露、郝改、丟失等事件的,數(shù)據(jù)處理者應(yīng)當(dāng)立即采取補(bǔ)救措施，并通知所在地區(qū)的數(shù)據(jù)監(jiān)管部門。安全事件涉嫌犯罪的，應(yīng)當(dāng)及時(shí)向公安機(jī)關(guān)報(bào)案。

三、建立便捷的數(shù)據(jù)安全投訴舉報(bào)渠道

示例：允許員工實(shí)名或匿名通過內(nèi)部系統(tǒng)舉報(bào)數(shù)據(jù)違規(guī)行為，并嚴(yán)格保護(hù)實(shí)名舉報(bào)者和匿名舉報(bào)者不受打擊和報(bào)復(fù)，尤其是保護(hù)匿名舉報(bào)者的個(gè)人信息安全。該措施可以動員企業(yè)員工**參與數(shù)據(jù)合規(guī)的監(jiān)督工作，盡可能減少企業(yè)自我監(jiān)督時(shí)的漏洞與死角。

四、數(shù)據(jù)合規(guī)運(yùn)行與保障

一、建立數(shù)據(jù)合規(guī)的咨詢機(jī)制

示例：管理層和各部門員工在工作中可以向數(shù)據(jù)合規(guī)管理部門咨詢數(shù)據(jù)合規(guī)問題。數(shù)據(jù)合規(guī)管理部門應(yīng)當(dāng)不斷學(xué)習(xí)、提升合規(guī)管理水平，也可以同外部機(jī)構(gòu)開展數(shù)據(jù)合規(guī)咨詢合作。

二、建立發(fā)現(xiàn)機(jī)制

示例：可以通過設(shè)置日常的流程監(jiān)控、內(nèi)部審核、重點(diǎn)核查以及定期評審等方式發(fā)現(xiàn)企業(yè)及員工的違規(guī)行為，并及時(shí)按照合規(guī)計(jì)劃采取相應(yīng)的處置措施。數(shù)據(jù)合規(guī)管理部門應(yīng)定期向合規(guī)負(fù)責(zé)人匯報(bào)數(shù)據(jù)合規(guī)管理情況，當(dāng)發(fā)生可能給企業(yè)帶來重大數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)的違規(guī)行為時(shí)，應(yīng)當(dāng)及時(shí)向合規(guī)負(fù)責(zé)人匯報(bào)，并提出相應(yīng)的解決方案。

三、建立考核機(jī)制

示例：數(shù)據(jù)合規(guī)考核結(jié)果作為企業(yè)績效考核的重要依據(jù)，與員工的評優(yōu)評先、職務(wù)任免、職務(wù)晉升以及薪酬待遇等掛鉤。

四、建立培訓(xùn)機(jī)制

示例：數(shù)據(jù)合規(guī)管理部門定期為管理層、員工培訓(xùn)數(shù)據(jù)合規(guī)，使其充分了解數(shù)據(jù)法規(guī)、數(shù)據(jù)合規(guī)計(jì)劃、崗位角色與職責(zé)等。鼓勵(lì)企業(yè)管理層和其他員工作出并履行明確、公開的數(shù)據(jù)合規(guī)承諾，內(nèi)容主要是知悉、愿意遵守?cái)?shù)據(jù)合規(guī)計(jì)劃，愿意承擔(dān)違反數(shù)據(jù)合規(guī)承諾的后果。

《指引》還特別對數(shù)據(jù)刑事風(fēng)險(xiǎn)進(jìn)行了提示。數(shù)據(jù)處理者在數(shù)據(jù)處理活動中可能因?yàn)榇嬖谀承┬袨楸蛔肪堪ㄇ址腹駛€(gè)人信息罪、破壞計(jì)算機(jī)信息系統(tǒng)罪、非法侵入計(jì)算機(jī)信息系統(tǒng)罪等刑事責(zé)任。

想要了解更多《企業(yè)數(shù)據(jù)合規(guī)指引》詳情，可點(diǎn)擊原文鏈接查看：www.shyangpu.jcy.gov.cn/ypjc/jcdt/79471.jhtml