随着《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律相继颁布实施,首部数据数据安全合规管理已提升到事关国家安全、地方经济安全、国企管理社会稳定和人民群众切实合法权益的合规高度。为加快推动广州市国资委监管企业全面加强合规管理,指南规范企业数据处理活动,发布玩具批发智能手机供应商 极优秀保障数据安全,首部数据保护个人、地方组织的国企管理合法权益,维护国家经济安全和社会稳定,合规促进监管企业更高质量、指南更可持续发展,发布2021年12月20日,首部数据广州市国资委印发了《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》(以下简称“《指南》”)。地方作为全国首个数据安全合规指南的国企管理地方标准,《指南》的出台是广州市对今年9月实施的《数据安全法》和11月实施的《个人信息保护法》等上位法在国有企业合规领域的“专项”实操指导性文件。下文针对《指南》的主要内容以及依据的上位法依据进行简介。
一、制定意义
1.制度性意义:成为地方国资监管部门首部针对数据合规专项领域的合规操作指南。目前数据安全合规领域相对比较前沿,对于数据安全合规管理相关的健身器材哑铃 极卓绝定义、概念均与目前最新的立法成果保持一致,使得该《指南》成为地方国资监管机构首部针对数据安全合规专项领域的合规操作指导性文件。
2.实践性意义:将数据安全合规管理的要求纳入现有合规管理组织体系。为确保数据安全合规管理体系落实、落地,避免重复建设,将数据安全合规管理作为监管企业合规管理体系的专项重点领域,纳入现有合规管理体系进行专项深化管理。此前,国务院国资委印发了《中央企业合规管理指引(试行)》,致力于推动中央企业全面加强合规管理,加快提升依法合规经营管理水平,着力打造法治央企,保障企业持续健康发展。但是其中并没有明确数据安全合规的相关规定,因此《指南》的出台是对国资企业数据专项合规的重点要求。同时,基于现有合规管理组织体系加入数据安全合规,也可以避免重复建设,降低企业合规和有关部门的健身器材哑铃 很出类监管成本。
二、数据安全制度
《数据安全法》规定
第二十七条 第一款 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
《指南》响应
制度规范建设。监管企业应建立健全数据安全合规管理的相关标准、制度和规范,建立重大数据安全合规审批清单、数据分类分级管理、权限管理、数据安全合规风险评估及审计、重大数据安全合规风险事件报告、应急处置机制、教育培训等管理事项,并根据法律法规变化和监管动态,及时将外部合规要求落实到内部规章制度。
重大数据管理。对重大数据安全合规事项纳入“三重一大”事项并实施清单管理。关系国家安全、国民经济安全、重要民生、重大公共利益等数据需要实施清单管理;对于涉及国家保密范围的产业规划、战略规划、重大项目、核心技术等数据的交易、出境及共享等业务,应列入企业“三重一大”事项进行管理。
数据全生命周期管理。要求监管企业在数据安全合规管理过程中,对数据采集、数据传输、数据储存、数据使用、数据开放共享、数据销毁等数据全生命周期管理的要素,制定必要的管控措施及标准,防范数据处理的违规风险,确保数据安全合规。
加强与商业伙伴合作中的数据保护。要求监管企业加强及规范与商业伙伴合作中的数据安全管理,明确合作方准入、日常管理、数据安全评估、变更及退出等环节的合规管理要求。
提升数据安全技术应用水平。《指南》要求监管企业提升在数据识别、敏感信息保护、数据操作审计、接口安全管理、数据防泄露等方面的技术能力,提升数据安全保障能力。
三、组织架构
《数据安全法》规定
第二十七条 第二款 重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
《指南》响应
1.组织架构方面,划分了数据安全合规管理的三道防线。结合监管企业实际情况,明确由企业内承担数据管理、信息系统管理或IT技术等相关职能的部门及各业务部门作为数据安全合规管理的第一道防线,合规管理牵头部门作为数据合规管理第二道防线,纪检、审计部门作为数据合规管理第三道防线,并明确了各自的职能和责任。
2.部门职责方面,明确了数据安全合规的各层级合规管理机构的具体职责。《指南》要求监管企业通过建立专项制度或文件的形式,在合规管理组织体系中明确数据安全合规的各层级合规管理机构及相关部门的数据安全合规管理职责。
四、风险监管
《数据安全法》规定
第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
第三十条 第一款 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
《指南》响应
列明被视为数据安全风险较高的监管企业类型,要求该类型监管企业必须将数据安全合规作为重点领域进行专项管理。
根据《指南》,数据安全风险较高的监管企业类型包括:
数据安全风险较高的监管企业合规要求包括:
(1)应建立数据安全合规评估及审计机制,每年至少进行一次全面的网络安全监测和风险评估;
(2)应建立数据安全应急响应机制,明确数据安全事故管理和应急响应职责,制定各类数据安全事故的处置流程及应急预案,并定期进行演练;
(3)数据安全风险较高的监管企业应建立重大数据安全合规风险事件报告制度;
(4)可基于企业的原有的战略规划、IT规划等制定本企业的数据安全三年滚动工作规划。
五、个人信息保护
《指南》响应
强化个人信息保护。要求监管企业进一步规范和完善个人信息保护机制,加强企业员工、访客个人信息的保护。特别针对个人信息分类(个人敏感信息及未成年人个人信息处理规则)、个人信息获取(最小必要原则,授权同意、单独同意、撤回同意权)、个人信息储存(为实现处理目的所必要的最短时间,加密及去标识化等安全技术措施)、个人信息使用及处理(委托处理,对外提供,自动化决策,公共场所安装图像采集、个人身份识别设备,事前影响评估机制,删除权保障,关键信息基础设施运营者责任,大型互联网平台责任)等管理过程中,按法律法规建立相关标准及规范,并满足相关管理要求。
六、法律责任
《数据安全法》规定
第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
第四十八条 违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
《指南》响应
一是重视消除风险隐患、防患未然。对发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关企业、个人进行约谈,并要求有关企业、个人采取措施进行整改,消除隐患;二是对于企业或员工违反法律、行政法规规定,未履行数据安全保护义务、向境外提供重要数据、拒不配合数据调取、未经主管机关批准向外国司法或者执法机构提供数据的,依法承担相应法律责任。