2024企业数据合规指引

企业数据合规指引2024311目录第一章总则 1第二章数据合规管理组织体系建设 2第三章数据合规管理制度体系建设 6第四章数据全生命周期合规 10第一节数据收集和使用 10第二节数据存储 13第三节数据传输和提供 14第四节数据交易 16第五节数据删除和销毁 18第五章数据出境合规 19第六章附则 24附录：企业可参考的相关法律法规与标准 26PAGEPAGE27第一章总则开展数据合规管理。本指引不具有强制性，法律、法规及有关国家、行业标准另有专门规定的，从其规定。处罚等建议、意见。制度体系，明确企业内部各部门数据安全管理职责，落实数据合规主体责任。对数据进行更新，避免因数据不准确、不完整、不及时产生的不利影响。所处理数据的安全。敏感个人信息等存在较高合规风险的数据予以重点保护，加强合规管理。应当记录相应操作，确保操作记录可追溯、可审查。第二章数据合规管理组织体系建设第十二条【一般要求】企业开展数据处理活动应当依照法律、法规的规定，建立健全数据合规管理组织体系和常态化沟通协作机制，明确数据合规责任主体，组织开展数据合规教育培训，加强人力资源考核与保障，强化数据合规意识。（一件支持，确保合规管理制度体系有效运转并持续改进；（二标保持一致；（三）保障数据合规管理部门具备独立履行职责的能力与权限；（四）审批企业重大数据合规事项；（五）确保将数据合规管理要求融入企业的业务过程；（六）确保建立有效的数据违规举报与惩处机制；（七）引导培育企业数据合规自主性，促成数据合规企业文化。或由合规管理、法务等相关部门承担数据合规管理职能，并配备数据合规专员。数据合规管理部门在部门负责人的指导下开展工作，承担以下职责：一二（三调查；（四能部门提供数据合规咨询与支持；（五作落实情况。门负责本部门业务范围内的数据合规工作，并承担以下职责：（一动的全生命周期合规要求和具体工作机制；（二）确保本部门员工遵守企业合规制度规范，履行数据合规义务；（三）配合数据合规管理负责人和合规管理部门开展合规风险审查、评估、整改等各项合规工作；（四全保护措施；（五时向数据合规管理负责人和合规管理部门报告，并配合采取应急处置和整改措施。部门规定数量的企业应当指定专门的个人信息保护负责人，并承担以下职责：（一）统筹实施企业内部的个人信息合规工作；（二）组织制定个人信息合规方面的内部制度和操作规程，并督促落实；（三）组织开展个人信息安全影响评估，督促整改安全隐患；（四）定期组织开展合规审计；（五）及时受理相关投诉、举报；（六）与监管部门保持沟通，通报或报告个人信息保护和事件处置等情况。企业应当公开个人信息保护负责人的姓名、联系方式等情况，并报送履行个人信息保护职责的部门。岗后，应当按照数据合规管理要求执行离岗交接、审计、脱密等措施。第二十条【举报与调查机制】理和改进措施，持续完善数据合规管理制度体系。企业应当以适当的形式和载体记录数据合规管理并采取必要措施防止泄密、不当使用或完整性受损。第三章数据合规管理制度体系建设级别最高的要求给予保护。据和核心数据的日常记录和容灾备份机制，强化重要数据与核心数据的安全保障。处理重要数据的系统应满足三级以上网络安全等级保护和关键信息基础设施安全保护要求，处理核心数据的系统依照有关规定从严保护。与操作权限，仅在完成职责所需的范围内授予特定人员最小必要的数据操作权掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。开展合规风险评估。规风险的业务活动。隐患并予以改正。企业应当建立数据能对企业带来重大数据合规风险的违规行为时，应当及时向数据合规负责人汇报，并确定相应的解决方案。供虚假材料、信息或隐匿、销毁、转移证据。企业积极配合监管并主动开展合规整改采取措施有效减轻、消除危害后果的，可以向监管部门申请酌情从轻或减轻行政处罚。第三十四条【外部投诉机制】第四章数据全生命周期合规第一节数据收集和使用征得所涉主体同意。企业不得以下列不正当的方式获取他人持有的数据：（一）据；（二）机信息系统获取数据；（三）据；（四取协议，或以其他违反诚实信用和商业道德的方式获取数据；（五）以其他违反法律禁止性规定或可能导致不正当竞争的方式获取数据。任与合规义务。个人信息的，应当征得个人同意。据主体的授权同意。特征的选项，并向个人提供便捷的拒绝方式。有下列情形之一的除外：（一行不同交易条件的；（二）针对新用户在合理期限内开展优惠活动的；（三）基于公平、合理、非歧视规则实施随机性交易的；（四）法律、法规规定的其他情形。前款所称交易条件相同，是指交易相对人在交易安全、交易成本、信用状况、交易环节、交易持续时间等方面不存在实质性差别。华人民共和国个人信息保护法》赋予的各项权利提供便捷的申请受理和响应机制，明确合理的响应时限。第二节数据存储个人信息的保护。敏感程度等因素选择安全性能、防护级别与安全等级相适应的存储设备和介质，企业在存储数据时应当采第三节数据传输和提供第四十九条【向第三方提供个人信息的合规要求与豁免】企业向第三方提发生数据安全事件时的补救与应急处置措施以及责任承担等事项。全保障能力、故意不履行数据安全保护职责等情形的，应及时终止与其合作。/SDK企业在其产品或服务中接入由第三方提供的软件开发工具包的，应当事前对接入第三方进行安全检测，评估是否存在已知的安全漏洞以及可能引起数据泄露等安全事件的行为，并建立相应的接入第三方合规管理机制，通过签署开发者服务协议等形式明确双确告知所涉个人，并按照法律规定征得个人同意。第五十三条【合并、重组、分立、解散、破产场合下的合规要求】企业因人。同意。第四节数据交易数据交易场所应当建立数据来源可数据交易场所应当对场内交易进行合法性与合规性评估，并履行以下义务：（一）要求数据提供方说明数据来源，并审核相关信息；（二）审核数据交易双方身份和数据交易合同；（三）留存相关审核、交易记录；（四）监督数据交易、结算和交付；（五业秘密、保密商务信息和重要数据；（六）法律、法规规定的其他义务。开展数据交易的企业应当建立针对数据来源的合规审查机制，不得交易含有以下内容的数据产品或服务：（一）含有未经授权的个人信息的；（二）含有侵犯他人知识产权或商业秘密的内容的；（三）含有未经依法开放的公共数据的；（四）含有国家核心数据或国家秘密的；（五）含有法律、法规规定禁止交易的其他数据的。机制，对证明存在错误或侵权的数据及时采取更正、删除等补救措施。易获取的数据用于违反法律法规或双方约定的其他用途。第六十条【免责事由/容错机制】开展数据交易的企业对超出其可预见范围和技术控制能力的数据错误等质量瑕疵，在及时采取补救措施后仍造成损失的，应当允许其通过事前约定等方式减轻或免除相应责任，但对损失的发生存在故意或重大过失的除外。销售的交易标的已按照深圳数据交易所的上市合规评估流程完成合法性与合规性评估的，检察机关可视情况适用涉案企业合规程序。第五节数据删除和销毁毁：（一）企业终止运营、解散或破产，且没有数据承接方的；（二的；（三）根据法律、法规规定应当删除、销毁数据的其他情形。底销毁。（一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）企业停止提供产品或者服务，或者保存期限已届满；（三）个人撤回同意；（四）企业违反法律、行政法规或者违反约定处理个人信息；（五）法律、行政法规规定的其他情形。现的，企业当停止除存储和采取必要的安全保护措施之外的处理。第五章数据出境合规（一）企业向境外提供重要数据；（二100提供个人信息；（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的企业向境外提供个人信息；（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。应当开展数据出境风险自评估，重点评估以下事项：（一当性、必要性；（二公共利益、个人或者组织合法权益带来的风险；（三施、能力等能否保障出境数据的安全；（四获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；（五件等是否充分约定了数据安全保护责任义务；（六）其他可能影响数据出境安全的事项。现以下情形之一的，企业当重新申报评估：（一存期限的；（二生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的；（三）出现影响出境数据安全的其他情形。通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。立的法律文件中明确约定数据安全保护责任义务，至少包括以下内容：（一式等；（二法律文件终止后出境数据的处理措施；（三）对于境外接收方将出境数据再转移给其他组织、个人的约束性要求；（四情形导致难以保障数据安全时，应当采取的安全措施；（五解决方式；（六和方式。人民共和国境外提供个人信息的，应当具备下列条件之一：（一全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。供个人信息的条件等有规定的，可以按照其规定执行。的个人信息保护标准。企业向中华人民共和国护法》规定的各项权利的方式和程序等事项，并取得个人的单独同意。企业向境外提供个人信息的，应当事前进行个人信息保护影响评估，并对处理情况进行记录。个人信息保护影响评估应当包括下列内容：（一）个人信息的处理目的、处理方式等是否合法、正当、必要；（二）对个人权益的影响及安全风险；（三）所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。信息保护认证的方式向境外提供个人信息的，应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》、GB/T35273《信息安全技术个人信息安全规范》的要求。外提供个人信息的，应当同时符合下列情形：（一）非关键信息基础设施运营者；（二）处理个人信息不满100万人的；（三）自上年1月1日起累计向境外提供个人信息不满10万人的；（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。法律、行政法规或者国家网信部门另有规定的，从其规定。过订立标准合同的方式向境外提供。非经中华人第六章附则第七十五条【基本概念】本指引所称的概念含义如下：（一）数据，是指任何以电子或者其他方式对信息的记录；（二然人有关的各种信息，不包括匿名化处理后的信息；（三年人的个人信息。（四等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据；（五公共利益等的数据；（六等；（七用的状态，以及具备保障持续安全状态的能力；（八（九目的，以企业及其员工行为为管理对象，开展的一系列管理活动。（十）自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动。（十一活动的交易场所。第七十六条【指引的解释】本指引由深圳市人民检察院、深圳市互联网信息办公室、深圳市司法局、深圳市发展和改革委员会、深圳数据交易所负责解释。第七十七条【施行日期】本指引自发布之日起施行。附录：企业可参考的相关法律法规与标准序号类型层级名称1数据安全法律《国家安全法》2法律《网络安全法》3法律《数据安全法》4部门规章《网络安全审查办法》5标准《信息安全技术大数据安全管理指南》（GB/T37973—2019）6标准《网络安全标准实践指南——网络数据分类（v1.0-202112）（TC260-PG-20212A）7标准《合规管理体系要求及使用指南》（GB/T35770—2022）8重要数据保护法律《个人信息保护法》9个人信息保护法律《民法典》10法律《消费者权益保护法》11法律《电子商务法》12法律《未成年人保护法》13司法解释民个人信息刑事案件适用法律若干问题的解释》14司法解释《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》15司法解释《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》16司法解释《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》17行政法规《互联网信息服务管理办法》18行政法规《计算机信息网络国际联网安全保护管理办法》19行政法规《互联网上网服务营业场所管理条例》20部门规章《儿童个人信息网络保护规定》21部门规章《电信和互联网用户个人信息保护规定》22部门规章《网络信息内容生态治理规定》23标准《信息安全技术个人信息去标识化指南》（GB/T37964-2019）24标准《信息安全技术移动智能终端个人信息保护技术要求》（GB/T34978-2017）25标准《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）26标准《信息安全技术个人信息安全规范》（GB/T35273—2020）27数据出境部门规章《数据出境安全评估办法》28部门规章《个人信息出境标准合同办法》29部门规范性文件《个人信息保护认证实施规则》30标准《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》31电信领域部门规章《工业和信息化领域数据安全管理办法（试行）32标准《基础电信企业数据分类分级方法》（YD/T3813-2020）33标准《基础电信企业重要数据识别指南》（YD/T3867-2021）34标准《电信网和互联网数据安全评估规范》（YD/T3956-2021）35标准《电信网和互联网数据安全通用要求》（Y