上海市杨浦区检察院联合市信息服务业⾏业协会、市数据合规与安全产业发展专家⼯作组、区⼯商业联合会发布《企业数据合规指引》
《企业数据合规指引》
第一章 总则
第一条【目的和依据】为引导企业加强数据合规管理,保护个人信息,保障数据安全,规范数据处理活动,根据《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规(以下统称为数据法规),制定本指引。
第二条【适用范围和效力】本区各类所有制企业进行数据处理活动均可参照本指引开展数据合规管理。
本指引不具有强制性,法律法规对数据合规另有专门规定的,从其规定。
第三条【数据分类分级保护】企业应当建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度进行分类分级,针对不同类别级别的数据采取相应的保护措施。
第四条【数据权益保障】鼓励数据处理者按照《上海市数据条例》的规定开发和利用数据资源。数据处理者依法在数据处理活动中形成的法定或者约定的财产权益,以及在数字经济发展中有关数据创新活动取得的合法财产权益受法律保护。
第五条【数据合规管理的重要性】引导各类企业开展数据合规管理是降低企业及其员工涉数据类违法犯罪风险的重要举措,对于建立现代化的企业合规管理制度和文化具有重要意义,有利于促进企业合规守法经营,推动企业在市场竞争的道路上行稳致远。
第二章 数据合规管理体系
第六条【合规责任人】企业的最高管理者是数据合规的第一责任人。最高管理者应当承担以下职责:
(一)分配足够和适当的资源来建立、发展、实施、评估、维护和改进数据合规管理体系;
(二)确保建立举报数据违规的有效机制;
(三)确保战略和运营目标与履行数据合规义务之间的一致性;
(四)建立和维护问责机制,包括纪律处分和后果;
(五)确保将数据合规落实情况和效果纳入企业内部人员绩效考核体系。
第七条【数据合规管理部门】鼓励各类企业设置专门的数据合规管理部门,或者将数据合规管理职能融入现有的企业合规管理体系,但是不建议由法务部门履行合规管理职能。
企业应当向数据合规管理部门负责人提供足够的授权、人力、财力来支持数据合规管理体系的运行。一般由董事会直接设立企业合规部门,下设数据合规管理部门等各类专业合规部门。
第八条【数据合规计划】数据合规部门负责人应结合企业自身的经营范围、行业特征、监管政策、风险识别等因素制定并不断完善数据合规计划。
数据合规计划应当根据企业内部环境和外部环境的变化不断调整,以帮助企业应对各种风险的挑战。
第九条【数据合规管理部门管理职责】数据合规管理部门应履行以下职责:
(一)制定数据合规管理整体方针策略,协调建立数据合规技术保障措施,牵头做好数据风险识别、风险评估、风险处置等工作;
(二)制定、完善数据合规计划,并推动其有效实施;
(三)审核评估企业的经营管理和业务行为,确保企业与供应商、代理商、经销商、关联企业、分支机构的业务活动,以及处理个人信息等活动符合数据法规的要求,并制定数据风险应对措施;
(四)组织或协助管理部门、业务部门等开展数据合规教育培训,并向管理层和各部门员工提供数据合规咨询;
(五)建立数据合规举报记录台账,对数据合规举报制定调查方案并开展调查;
(六)推动将数据合规责任纳入企业岗位职责和员工绩效考核评价体系,培养数据合规文化;
(七)持续关注国内和业务所涉国家(地区)数据法规的发展动态,及时提供数据合规建议。
第十条【数据合规管理协调】数据合规管理部门应加强与业务部门的分工协作。相关业务部门应主动进行日常数据合规管理工作,识别业务范围内的合规要求,制定并落实业务管理制度和风险防范措施,配合数据合规管理部门进行合规风险审查、评估和调查、处置、整改工作。
数据合规管理部门应与其他具有合规管理职能的监督部门(如法务部门、审计部门、监察部门等)建立明确的合作和信息交流机制,加强协调配合。
企业应积极与数据监管部门建立沟通渠道,了解数据监管部门期望的数据合规体系,并制定符合其要求的数据合规制度;对于复杂或专业性强且存在重大数据风险的事项,可以向数据监管部门咨询;面对数据监管部门的调查,企业应积极沟通并予以配合。
第三章 数据风险识别
第十一条【风险识别】企业开展数据合规管理应当准确识别风险。常见的数据风险包括数据全生命周期各阶段中可能存在的未授权访问、数据滥用、数据泄漏等风险,以及侵犯个人信息、非法获取计算机信息系统数据、传播违法信息、侵犯知识产权、非法跨境提供数据等刑事犯罪风险,企业应根据识别出的风险评估相关经营管理和业务行为是否合规。
本章所列的风险内容并非数据风险的全面指引,企业应当根据自身实际情况建立必要的数据合规计划,通过内部反馈、外部咨询、持续跟踪数据立法、执法、司法的最新进展等方式准确识别数据风险。
第十二条【禁止从事的数据活动】企业及其员工开展数据处理活动应当遵守法律、行政法规,尊重社会公德和伦理,不得从事以下活动:
(一)危害国家安全、荣誉和利益,泄露国家秘密和工作秘密;
(二)侵害他人人格权、知识产权和其他合法权益等;
(三)通过窃取或者以其他非法方式获取数据;
(四)非法出售或者非法向他人提供数据;
(五)制作、发布、复制、传播违法信息;
(六)法律、行政法规禁止的其他行为。
任何个人和组织知道或者应当知道他人从事前款活动的,不得为其提供技术支持、工具、程序和广告推广、支付结算等服务。
第十三条【数据安全】数据处理者处理个人信息等数据应当符合数据法规的规定,遵循合法、正当、必要和诚信的原则。
数据处理者开展影响或者可能影响国家安全的数据处理活动,应当按照国家有关规定,申报网络安全审查。
第十四条【自动化工具】数据处理者在采用网络爬虫等自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。
自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能,或者侵犯他人知识产权等合法权益的,数据处理者应当停止访问、收集数据行为并采取相应补救措施。
第十五条【软件开发工具包】企业在应用程序开发和运营过程中使用第三方软件开发工具包时,应当通过合同等形式明确第三方的数据安全责任义务,并督促第三方采取必要的数据安全保护措施,加强数据合规管理。
企业可以使用经相关部门审核合规的开源软件开发工具包进行程序开发活动,不得使用风险不可控的开源软件开发工具包等工具。
第十六条【个人信息的处理规则】数据处理者处理个人信息,应当依据《个人信息保护法》的规定遵守以下规则:
(一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;
(二)处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;
(三)处理不满十四周岁未成年人的个人信息,应当取得其监护人同意;
(四)不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;
(五)不得通过误导、欺诈、胁迫等方式获得个人的同意;
(六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;
(七)不得超出个人授权同意的范围处理个人信息;
(八)不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新取得个人同意,并同步修改个人信息处理规则。依法无需取得个人同意的除外。
第十七条【个人信息的处理】数据处理者应当采取必要的安全保护措施收集、传输、存储、加工、使用、提供、公开个人信息数据。
数据处理者应按照《个人信息保护法》的规定及时删除个人信息或者进行匿名化处理。
第十八条【个人生物特征信息】数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得强制个人同意收集人脸、步态、指纹、虹膜、声纹等生物特征信息。
在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所收集使用人脸等生物特征信息应当严格遵守法律、行政法规的规定。
数据处理者应当采取严格的保护措施确保其依法收集、存储的人脸等生物特征信息安全,防止泄露、篡改和丢失。
第十九条【向第三方提供数据的规则】数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当遵守以下规则:
(一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外;
(二)与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督;
(三)留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。
数据处理者为订立、履行个人作为一方当事人的合同所必需向第三方提供个人信息的,在采取适当的数据保护措施后无需取得个人单独同意。
第二十条【接收方处理数据的规则】数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据,且不得从事数据法规禁止的行为。
第二十一条【跨境提供个人信息等数据】数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当符合法律法规关于跨境提供数据的规定,事先开展数据出境风险自评估。
数据处理者跨境提供个人信息的,应当向个人等告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项,并取得个人的单独同意。
第二十二条【个人权利保障】数据处理者在个人信息处理活动中,应当保障《个人信息保护法》规定的个人对其个人信息处理活动享有的知情权、决定权、查阅权、复制权、更正、补充权、删除权等权利。
第四章 数据风险评估与处置
第二十三条【风险评估】企业在识别数据风险内容的基础上,可根据自身经营规模、组织体系、业务内容以及市场环境,分析和评估数据风险的来源、发生的可能性、后果的严重性等,并对数据风险进行分级。
数据合规部门负责人应当根据风险评估结果对不同职级、不同工作范围的管理层与员工进行风险提示,降低管理层和员工的违法犯罪风险。
第二十四条【风险处置机制】企业应建立健全数据安全事件应急预案与风险处置机制,对识别和评估的各类数据风险设置恰当的控制和应对措施来降低风险,必要时停止相关风险行为。
发生个人信息等数据泄露、篡改、丢失等事件的,数据处理者应当立即采取补救措施,并通知所在地区的数据监管部门。安全事件涉嫌犯罪的,应当及时向公安机关报案。
第二十五条【立即停止违法行为】经评估发现可能已经发生数据违法行为,或者数据监管部门已立案并启动调查程序的,企业应当立即停止违法行为并与执法机构合作。
企业积极配合调查或者主动消除、减轻违法行为危害后果的,可能会获得数据监管部门从轻或者减轻处罚。
第二十六条【积极应对数据监管部门的调查】当企业受到数据监管部门调查时,应通知管理层、法务负责人、数据合规负责人和相关业务工作负责人等,按照企业内部受调查操作流程妥善应对,进行内部初步调查,分析相关法律法规并评估数据违法行为成立的可能性与法律后果。
企业应积极配合数据监管机构调查。不得拒绝提供有关材料、信息,或者提供虚假材料、信息,或者隐匿、销毁、转移证据,或者有其他拒绝、阻碍调查的行为。
第二十七条【投诉举报渠道】
数据处理者应当建立便捷的数据安全投诉举报渠道,及时受理、处置数据安全投诉举报。
数据处理者应当公布接受投诉、举报的联系方式、责任人信息,每年公开披露受理和收到的数据安全投诉数量、投诉处理情况、平均处理时间情况,接受社会监督。
第五章 数据合规运行与保障
第二十八条【合规咨询】企业可建立数据合规咨询机制,管理层和各部门员工在工作中可以向数据合规管理部门咨询数据合规问题。数据合规管理部门应当不断学习、提升合规管理水平,也可以同外部机构开展数据合规咨询合作。
第二十九条【发现机制】发现机制是数据合规管理部门通过日常监测和定期评估发现数据不合规行为的机制,可以通过设置日常的流程监控、内部审核、重点核查以及定期评等方式发现企业及员工的违规行为,并及时按照合规计划采取相应的处置措施。
数据合规管理部门应定期向合规负责人汇报数据合规管理情况。当发生可能给企业带来重大数据合规风险的违规行为时,应当及时向合规负责人汇报,并提出相应的解决方案。
第三十条【举报机制】举报机制是员工根据合规计划举报企业内部违规行为的机制,应当允许员工实名或者匿名通过内部举报系统举报数据违规行为,并严格保护实名举报者和匿名举报者不受打击和报复,尤其是保护匿名举报者的个人信息安全。
第三十一条【激励和纪律】企业应当建立数据合规考核机制,数据合规考核结果作为企业绩效考核的重要依据,与员工的评优评先、职务任免、职务晋升以及薪酬待遇等挂钩。
对于严格遵守数据合规的管理层和员工,制定适当的激励措施使合规计划得到一致遵守和执行。
对于不严格执行甚至违反合规计划的管理层和员工,采取适当的纪律措施进行惩戒,并根据违规程度采取不同的风险处置措施。
第三十二条【培训与承诺】数据合规管理部门应当建立培训机制,定期为管理层、员工培训数据合规,使其充分了解数据法规、数据合规计划、岗位角色与职责等。
鼓励企业管理层和其他员工作出并履行明确、公开的数据合规承诺,内容主要是知悉、愿意遵守数据合规计划,愿意承担违反数据合规承诺的后果。
第三十三条【数据合规管理信息化建设】企业可通过数据合规管理信息化建设,并运用大数据分析等工具,加强对经营管理行为中的数据合规的实时监控和风险分析。
第三十四条【数据合规文化培育】鼓励企业将数据合规文化作为企业文化建设的重要内容,践行合规经营的价值观,不断增强员工的数据合规意识。
鼓励行业协会在本行业内积极倡导数据合规文化,强化行业的数据合规意识。
第六章 附则
第三十五条【基本概念】本指引所称的概念含义如下:
(一)数据,是指任何以电子或者其他方式对信息的记录;
(二)数据合规,是指企业及其员工的经营管理行为符合个人信息保护、网络安全、数据安全等数据法规的要求;
(三)数据合规管理,是指以预防和降低涉数据违法犯罪为目的,以企业及其员工经营管理行为为对象,开展包括合规管理体系、风险识别、风险评估与处置、合规运行与保障等有组织、有计划的管理活动;
(四)个人信息,是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等;
(五)数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力;
(六)重要数据,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据;
(七)数据处理,包括数据的收集、传输、存储、加工、使用、提供、公开等。
(八)自动化工具,自动化工具是按照一定规则能够自动实现某些功能的程序。
第三十六条【法律责任】数据处理者违反数据法规规定处理个人信息等数据的,被侵权者可以要求数据处理者承担民事责任;数据监管部门可以追究数据处理者的行政责任。
数据处理者违反《刑法》规定,可能被追究以下刑事责任:侵犯公民个人信息罪、破坏计算机信息系统罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪、拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪、侵犯商业秘密罪等。
第三十七条 指引的解释
本指引由上海市杨浦区人民检察院、上海市杨浦区工商业联合会、上海市信息服务业行业协会、上海数据合规与安全产业发展专家工作组负责解释。
第三十八条 施行日期
本指引自发布之日起施行。
来源:上海市杨浦区检察院网站