_($0PXQFQ7Y(P~4838LJ_]L.png

管理培训搜索
18318889481 17875936848

合规
| 合规与政府管制

支付清算 监察稽核 机构合规 网络套路贷 稽察稽核 矿业法务 纪检监察 行政合规 巡视巡察 党风廉政 医药反腐 行政监督 党内法规

| 企业合规

消费者安全 数据安全审计 企业合规师 备案登记 劳动用工合规管理 知识产权合规 个人信息与隐私权保护 企业廉洁合规 经营合规 风险提示与预警信息 IPO合规 安全生产合规管理 企业合规典型案例 合同合规管理 企业合规实务 企业数据合规 企业刑事合规

| 网络安全与隐私保护

网络犯罪 人工智能合规 网络安全 新基建安全资讯 保密科技 数据合规 元宇宙合规 数字合规 网络与数据法学 电信网络诈骗 区块链合规 信息与网络安全 网络不正当竞争 数字贸易合规 数据出境合规 互联网合规

| 法证会计与反舞弊

法证会计 涉案企业合规 调查及法证会计 舞弊审计 金融科技合规 司法会计 价格舞弊

| 反洗钱与制裁合规

反洗钱知识系列宣传 经济制裁和出口管制 反洗钱中心

| 反垄断中心

反垄断合规 竞争法(反不正当竞争、反垄断)

| 企业合规管理咨询

上市公司合规管理 税务合规 企业合规管理 商业秘密 财务合规 商业合规 内控资讯 合同法律 信息披露风险 公司法实务 人力资源合规 信用规制 知识产权合规 合规尽职调查 内控稽查 内部控制和风险管理合规 会计监管风险 税务异常处理 税务检查应对

| 合规中心

征信合规 涉税合规 经济犯罪案例 合规文化主题月 劳动与人力资源合规 合规运行报告 网络直播合规 信用合规 刑事合规管理 工程合规与舞弊调查 涉案企业合规 安全审计 合规科技 劳务派遣合规 采购合规 财务风控 招投标合规

| 转创全球企业合规

国际注册合规师 公司治理与公司合规 全球金融监管动态月刊 境外合规专项行动 国企合规 反不正当竞争合规管理 出口退税合规风险 全球反垄断 全球企业合规事务 国际监管合规服务 进出口管制和贸易制裁 境外投资和“一带一路” 跨境投资和经营合规 知识产权内部控制 商业贿赂 外汇合规 合规与诚信

| 合规律师事务所

企业法务 涉外企业合规 合同内控 反腐败合规 不正当接触 泄露公司机密罪 合规法务 刑事合规 贪污贿赂 科技法律 信披违规 企业刑事风险防控及刑事合规 法律风险管理 洗钱犯罪

| 金融安全与合规

证券合规 银行合规 金融犯罪合规 保险合规 金融消费者保护 银保监督 私募合规 互联网金融合规 银行合规资讯 投融资合规 支付 银行合规综合 金融安全 信托合规 担保合规 金融合规 信用合规 股权合规 内保外贷合规 外汇合规 保理合规

| 海关及全球贸易合规

海关及贸易合规 农食产品技术贸易 国际经贸预警 国际商事认证 出口管制 海关税收征管 走私罚罪研究 出口退税行政诉讼 跨境电商合规 AEO海关认证 出口骗税 外贸企业合规 全球贸易规则

| ESG合规
| 反欺诈中心

反欺诈实践 反欺诈反冒领专栏 欺诈调查

| 合规中心(产业)

医药合规 环保合规 医美合规 生态环境合规专题 教育合规

| 知识产权合规专题

知识产权合规 知产纠纷调解案例 知识产权确权

| 私募股权基金合规

私募投资基金 融资合规 基金合规

| 广州市国资委印发《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》当前您所在的位置:首页 > 合规 > 转创全球企业合规 > 国企合规

近期,随着《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律相继颁布实施,数据安全合规管理已提升到事关国家安全、经济安全、社会稳定和人民群众切实合法权益的高度。为加快推动广州市国资委监管企业全面加强合规管理,规范企业数据处理活动,保障数据安全,保护个人、组织的合法权益,维护国家经济安全和社会稳定,促进监管企业更高质量、更可持续发展,广州市国资委印发了《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》。指南共九章,合计58条,主要有以下十大亮点:

01

成为地方国资监管部门首部针对数据合规专项领域的合规操作指南

目前数据安全合规领域相对比较前沿,对于数据安全合规管理相关的定义、概念均与目前最新的立法成果保持一致,使得该指南成为地方国资监管机构首部针对数据安全合规专项领域的合规操作指导性文件。

02

将数据安全合规管理的要求纳入现有合规管理组织体系

 为确保数据安全合规管理体系落实、落地,避免重复建设,将数据安全合规管理作为监管企业合规管理体系的专项重点领域,纳入现有合规管理体系进行专项深化管理。

03

划分了数据安全合规管理的三道防线

 结合监管企业实际情况,明确由企业内承担数据管理、信息系统管理或IT技术等相关职能的部门及各业务部门作为数据安全合规管理的第一道防线,合规管理牵头部门作为数据合规管理第二道防线,纪检、审计部门作为数据合规管理第三道防线,并明确了各自的职能和责任。

04

明确了数据分类分级管控标准和管控要求

 要求监管企业要根据所属行业相关标准对核心业务数据进行分类分级,并通过技术手段落实安全管理要求,定期对新增数据进行梳理,确保所有数据分类及分级管控。同时,应根据相关法律法规或行业标准的变化,及时更新企业内部数据分类分级的相关标准。

05

对重大数据安全合规事项纳入“三重一大”事项并实施清单管理

 关系国家安全、国民经济安全、重要民生、重大公共利益等数据需要实施清单管理;对于涉及国家保密范围的产业规划、战略规划、重大项目、核心技术等数据的交易、出境及共享等业务,应列入企业“三重一大”事项进行管理。

06

引入了数据安全风险评估机

 要求监管企业定期对企业本部及下属各级全资、控股和实际控制子企业的数据安全风险进行全面评估,根据评估结果可以采取差异化管控措施。

07

重视对数据全生命周期管理

 要求监管企业在数据安全合规管理过程中,对数据采集、数据传输、数据储存、数据使用、数据开放共享、数据销毁等数据全生命周期管理的要素,制定必要的管控措施及标准,防范数据处理的违规风险,确保数据安全合规。

08

加强与商业伙伴合作中的数据保护

 要求监管企业加强及规范与商业伙伴合作中的数据安全管理,明确合作方准入、日常管理、数据安全评估、变更及退出等环节的合规管理要求。

09

强化个人信息保护

 要求监管企业进一步规范和完善个人信息保护机制,加强企业员工、访客个人信息的保护。特别针对个人信息分类、个人信息获取、个人信息储存、个人信息使用及处理等管理过程中,按法律法规建立相关标准及规范,并满足相关管理要求。

10

强化责任监督

 一是重视消除风险隐患、防患未然。对发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关企业、个人进行约谈,并要求有关企业、个人采取措施进行整改,消除隐患;二是对于企业或员工违反法律、行政法规规定,未履行数据安全保护义务、向境外提供重要数据、拒不配合数据调取、未经主管机关批准向外国司法或者执法机构提供数据的,依法承担相应法律责任。


附:

广州市国资委监管企业数据安全合规管理指南

(试行2021年版)



第一章 总 则


 第一条 为推动广州市国资委监管企业全面加强数据安全合规管理,规范监管企业数据处理活动,保障企业数据安全,促进企业健康发展,保护个人、组织的合法权益,维护国家经济安全和社会稳定,提升监管企业数据治理能力及数据安全保护水平,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《关键信息基础设施保护条例》《广州市市属企业合规管理指引(试行)》等有关法律法规规定,制定本指南。

 第二条 本指南适用于广州市人民政府国有资产监督管理委员会(以下简称“市国资委”)直接履行出资人职责的国有及国有控股企业、国有实际控制企业(以下称“监管企业”)。

 第三条 市国资委负责监督指导监管企业数据安全合规管理工作。

 第四条 监管企业应当对本企业工作中收集和产生的数据和数据安全承担主体责任。

 数据安全合规管理是合规管理体系的专项重点领域,已建立合规管理体系的监管企业,应在现有合规管理体系的基础上,进行专项深化管理。

 数据安全风险较高的监管企业,必须将数据安全合规作为重点领域进行专项管理。达到以下条件之一的,视为数据安全风险较高:

(一)主要业务涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和重要领域的;

(二)主要业务涉及个人信息处理,且从业人员规模大于200人;

(三)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;

(四)处理超过10万人的个人敏感信息的;

(五)从事国家秘密载体制作、复制、维修、销毁,涉密信息系统集成或者武器装备科研生产等涉及国家秘密的业务的;

(六)法律法规规定的其他情形。

 第五条 监管企业应当按照以下原则提升数据安全合规管理:

(一)高度重视。数据是重要的战略性资源,监管企业要将数据安全合规管理提升到事关国家安全、经济安全、社会稳定和人民群众切实合法权益的高度,始终把国家主权、安全、发展利益放在首位,加强安全能力建设,重视企业、员工、股东及合作方数据安全及个人信息保护,以发展促安全、以安全保发展。

(二)推进落实。监管企业要坚持将数据安全合规要求逐步覆盖各业务领域,各部门,各级全资、控股或实际控制的子企业、分支机构及其员工。数据应当全面包括电子或其他方式对信息的记录。数据安全合规管控措施及技术应用覆盖所有数据资产及数据处理全流程。

(三)强化责任。监管企业要切实加强对数据安全合规管理的组织领导,明确职责,建立健全分工负责、协作配合的工作机制,明确管理人员和各岗位员工的数据合规责任并督促有效落实。

(四)协同融合。监管企业认真贯彻落实数据安全合规的相关要求,将数据安全合规工作纳入企业数字化转型整体布局中,将数据安全合规管理通过企业数字化技术的应用及升级进行有效落地。



第二章  管理职责


 第六条 监管企业应将数据安全合规管理的职责纳入现有合规管理组织体系。通过建立专项制度或文件的形式,在原有合规管理组织体系合规职责范围内,进一步细化及明确各层级合规管理机构及相关部门的数据安全合规管理职责。

 第七条 董事会合规委员会或承担合规管理职责的专业委员会应在职责范围内推动企业数据安全合规管理,以完善企业合规管理体系,合理配置数据安全合规管理工作所需的相关资源和奖惩机制,审批重大数据安全合规事项,确保工作有效推行及落地。

 第八条 经理层及合规管理负责人应在原有合规管理职责的范围内,指导及监督企业数据安全合规管理相关制度规范建设、相关管理措施的设计与执行、数据安全技术应用等,确保企业数据安全合规。

 第九条 监管企业承担数据管理、信息系统管理或IT技术等部门和其它各职能部门分别作为各业务范围内数据安全合规管理的责任部门,作为数据安全合规管理的第一道防线,主要职责包括:

(一)制定企业数据管理的相关标准,包括数据分类分级、权限管理等工作; 

(二)制定企业数据管理的相关制度及规范,包括数据全生命周期管理的相关制度;

(三)负责统一规范企业数据收集、存储、使用、加工、传输、提供、公开等工作机制;

(四)负责数据安全技术的应用及更新;

(五)负责数据管理能力建设;

(六)其他规章制度规定的数据管理工作。

 第十条 监管企业各职能部门负责本领域的日常数据安全合规管理工作,规范数据收集、存储、使用、加工、传输、提供、公开等工作,妥善应对数据安全合规风险事件,组织或配合进行违规问题调查并及时整改。

 第十一条 监管企业合规管理牵头部门作为数据合规管理第二道防线,在数据安全合规管理方面的职责包括:

(一)参与对企业涉及数据安全事项的合规审查;

(二)对数据安全合规管理的情况进行评估与检查;

(三)组织或协助数据安全合规责任部门、人事部门开展数据安全合规培训,为公司其他部门提供数据安全合规咨询与支持;

(四)合规委员会或合规管理负责人交办的其他工作。

 第十二条 监管企业可视情况通过建立联合的数据合规管理办公室或工作组,开展数据安全合规管理标准、制度及规范的建立工作,可由相关业务、信息系统、技术、合规、风险管理、内部审计等部门人员组成,在经理层及合规管理负责人的领导下,有效推动数据安全合规管理工作的开展及实施。

 第十三条 内部审计部门负责定期对数据安全进行审计,可根据风险评估和审计资源铺排,在审计工作中涵盖数据安全合规的内容,并出具相关审计报告,为公司数据安全风险管理的有效性提供合理保障。

 纪检监察部门负责职权范围内的违规事件的监督、执纪、问责等工作。



第三章  制度规范建设


 第十四条 监管企业应建立健全数据安全合规管理的相关标准、制度和规范,建立重大数据安全合规审批清单、数据分类分级管理、权限管理、数据安全合规风险评估及审计、重大数据安全合规风险事件报告、应急处置机制、教育培训等管理事项,并根据法律法规变化和监管动态,及时将外部合规要求落实到内部规章制度。

 第十五条 监管企业重大数据安全合规事项实施清单管理。由数据安全合规管理的责任部门牵头编制本企业重大数据安全合规事项清单,提交党委会审议通过后,由董事会合规委员会或承担合规管理职责的专业委员会负责审批清单涉及的重大数据合规事项。

 数据安全合规管理的责任部门应根据法律法规及企业的实际运营情况的变化进行及时更新清单。

 第十六条 监管企业应建立数据分类分级管控标准和管控要求。企业应优先根据所属行业相关标准对核心业务数据进行分类分级[ 详情可参考工业和信息化部《工业数据分类分级指南(试行)》,中国人民银行《金融数据安全数据安全分级指南》等。],无明确标准的企业可自行建立相关分类及分级标准。其中数据分级标准应参考及遵循国家数据安全等相关法律法规。

 关系国家安全、国民经济命脉、重要民生、重大公共利益等数据需要实施更加严格的管理制度,包括涉及国家保密范围的产业规划、战略规划、重大项目、核心技术等,应根据相关法律法规的具体要求进行重点保护和管理。上述相关数据的交易、出境及共享等业务,应列入企业“三重一大”事项进行管理,不得向境外司法或执法机构提供存储于境内的数据。

 监管企业应根据标准对现有数据进行全面分类分级,并通过技术手段落实安全管理要求,定期对新增数据进行梳理,确保所有数据分类及分级管控。同时,应根据相关法律法规或行业标准的变化,及时更新企业内部数据分类分级的相关标准。

 第十七条 监管企业应规范数据处理的权限管理,建立适当的用户权限管理机制,根据岗位设置相关账户权限,明确相关数据所涉及的账户管理流程,减少数据滥用情况,提高数据安全合规水平。

 第十八条  数据安全风险较高的监管企业,应建立数据安全合规评估及审计机制,应自行或委托有相关信息安全检查评估资质的机构,每年至少进行一次全面的网络安全监测和风险评估,定期或不定期对企业整体数据使用情况、数据全生命周期安全及合规性、基础安全等情况进行评估及审计,并对发现的问题及时整改。

 第十九条  数据安全风险较高的监管企业,应建立数据安全应急响应机制,明确数据安全事故管理和应急响应职责,制定各类数据安全事故的处置流程及应急预案,并定期进行演练,对各类安全事件进行及时响应和处置,降低企业因数据安全事故而引发的损失。

 第二十条  数据安全风险较高的监管企业,应建立重大数据安全合规风险事件报告制度,对影响或可能影响国家安全的数据处理活动,发现数据安全威胁时,应按规定向公安机关、国家安全机关报告,可能关系到重大经营风险的应同步及时向市国资委报告,并积极采取措施防止危害,减少损失。

 第二十一条 监管企业应积极配合公安机关、国家安全机关依法维护国家安全或者侦查犯罪需要及时配合提供相关数据。

 第二十二条 监管企业应建立有效的管控模式,对其下属全资、控股和实际控制子企业在数据安全合规工作内容和职责分工,可根据实际情况,分批推进各单位数据安全合规管理工作,并结合集团合规管理管控模式进行差异化管理。

 第二十三条 监管企业应全面评估企业本部及下属各级全资、控股和实际控制子企业的数据安全风险。针对数据安全风险较高的企业应尽快开展数据安全合规管理相关工作,建立数据安全合规的相关标准、制度及规范。监管企业可根据相关子企业的工作成果及经验,逐步在其他子企业进行推广及实施。

 第二十四条  数据安全风险较高的监管企业,可基于企业的原有的战略规划、IT规划等制定本企业的数据安全三年滚动工作规划,确保监管企业按照既定路线达成数据安全合规目标,并在执行过程中,根据数据安全合规和企业IT战略目标下不断优化、提升数据安全合规管理的各项制度和信息系统。



第四章 数据安全合规管理措施


 第二十五条 监管企业在数据安全合规管理过程中,应对数据采集、数据传输、数据储存、数据使用、数据开放共享、数据销毁等数据全生命周期管理的要素,制定必要的管控措施及标准,依法保护企业数据基础设施免受攻击、侵入、干扰和破坏,防范数据处理的违规风险,确保数据安全合规。

 第二十六条 规范数据采集的管理,明确数据采集渠道,确定数据格式标准,制定各类数据采集流程及方式,定期开展数据采集合规性审查,确保数据采集合法合规。

 第二十七条 加强数据传输安全管理,划分企业网络系统安全域,区分域内、域间等不同数据传输场景,明确数据传输安全策略和操作规程。

 第二十八条 监管企业应梳理数据出境情况的业务,建立企业内部数据出境合规审查的流程及规范,针对境外并购、赴境外上市等情况,应充分评估数据出境的相关风险,按相关规定进行内部审核审批,并根据法律法规要求,履行监管机构数据出境的审查申报。非经相关部门批准,不得向外国司法或执法机构提供存储与中华人民共和国境内的数据

 监管企业境外分支机构在当地设立服务器,并通过该服务器储存及使用监管企业数据的,应按数据出境的管理要求实施数据安全管理。境外分支机构通过远程访问使用数据的,应加强访问权限控制及数据传输安全管理,确保数据安全。

 第二十九条 规范并加强数据储存的管理,加强对数据储存介质的管理,包括提升对服务器及离线储存介质的物理安全及加密管理,规范带数据储存功能的可移动设备的管控,加强对本地数据储存系统平台接入移动储存介质的管控,实施对储存在第三方云平台数据的风险评估,对数据下载到本地终端行为进行审核及日志记录等管控措施,提升数据储存的安全性。

 第三十条 规范数据使用的管理,根据不同类别、级别的数据,明确不同场景的数据使用审批流程,制定数据脱敏处理规则,提升数据使用的安全性;建立数据开发利用的相关流程及规范,完善数据开发利用的风险评估机制。

 具有数据交易相关业务的监管企业,应按国家相关法律法规的相关要求进行交易,法律法规尚未规定的,应进行充分的风险评估,确保数据安全。

 第三十一条 加强数据开放及共享的管理,根据数据使用目的、共享对象,明确数据可进行开放及共享的范围,建立数据共享的申请及授权审批的流程及权限设置,明确数据共享过程的传输方式。

 第三十二条 针对企业向外部单位共享数据的情况,监管企业应充分评估相关数据安全风险,涉及重大敏感的数据提供要按审批权限逐级审批。并在相关合同中明确数据安全及保密义务,明确相关违约责任,必要时可单独签订保密协议。相关事项结束后,应进行内部总结汇报,对数据共享情况进行说明,加强数据共享的管理。监管企业应尽量依托国资国企信息安全“云”监管平台,积极支持配合国资国企一体化网络安全信息大数据平台的建立,促进数据安全信息联动和能力共享。

 第三十三条 建立员工数据安全合规行为规范,针对员工日常工作中数据储存、数据处理、数据传输、数据共享等事项明确相关合规管理要求。

 第三十四条 规范数据销毁的过程管理,建立数据销毁的申请审批机制及流程,规范数据销毁过程的监督及记录,明确存储介质销毁策略及操作规范,委托第三方进行数据销毁的,应委托具有相关资质的单位,确保数据销毁的安全可靠。



第五章 与商业伙伴合作中的数据保护


 第三十五条 监管企业应加强及规范与商业伙伴合作中的数据安全管理,明确合作方准入、日常管理、数据安全评估、变更及退出等环节的合规管理要求。

 第三十六条 监管企业应明确信息系统开发及运维、数据储存、数据处理等数据服务相关合作方的准入标准,并在合作方选择时进行资格审查。同等条件下应优先采购境内安全可信的网络产品和数据服务。必要时,应对数据服务的合作方进行数据安全合规方面的尽职调查。

 第三十七条 对于合作方能接触到企业非公开数据的合作项目,监管企业应加强合同管理,通过制定相应的示范文本在相关合同中明确数据安全合规相关条款。

 对于为企业提供数据服务的合作方,企业应结合实际情况将服务标准、数据备份和恢复、数据泄露预防、业务连续性计划等内容在合同中进行明确。

 涉及委托处理个人信息的合作方,企业应结合实际情况将委托处理的目的、期限、处理方式、个人信息种类、保护措施以及双方的权利和义务等内容在合同中进行明确,并对合作方的个人信息处理活动进行监督。

 第三十八条 监管企业应明确与合作方对接部门的数据安全管理责任。涉及公司资料及数据分享的,应按实现合作目的最小数据获取原则,对部分非必要数据进行脱敏,并对数据分享过程进行记录。

 涉及合作方提供驻场服务,链接企业信息系统,或直接接触重要数据的,相关项目负责人应采取适当措施对其合作方的工作进行管控,确保数据安全。

 第三十九条 监管企业应建立数据服务合作方定期的数据安全监测、检测和评估机制,明确数据安全监测、检测和评估的范围及具体内容,并将相关评估结果与合作方的变更及退出进行挂钩,发现合作方存在数据滥用、盗卖数据、预留“后门”等违法违规行为的,应及时终止合作并永久禁止合作,并按合同约定进行索赔。确保合作方数据安全合规。



第六章 个人信息保护


 第四十条 监管企业应进一步规范及完善个人信息保护机制,加强企业员工、访客个人信息的保护。

 监管企业应梳理集团本部及下属各级全资、控股或实际控制子企业涉及大规模处理个人信息的业务,加强及完善相关部门及企业个人信息保护的管理,针对个人信息分类、个人信息获取、个人信息储存、个人信息使用及处理等管理过程中,按法律法规建立相关标准及规范,并满足下述相关管理要求。

 第四十一条 建立企业内部个人信息分类标准,明确个人敏感信息定义范围及处理规则,明确处理不满十四周岁未成年人个人信息处理规则。个人敏感信息及未成年人个人信息处理规则应遵循法律法规的相关规定。

 第四十二条 个人信息的收集应满足法定的相关原则,不得过度收集个人信息,确保个人信息采集及处理前取得个人同意。优化取得个人同意的方式,确保由个人在充分知情的前提下自愿、明确作出同意。针对法定要求需取得个人单独同意的情形,确保取得个人的单独同意。并且当个人信息的处理目的、处理方式和处理的个人信息种类发生变更时,可以及时有效重新取得个人同意,同时能够为个人提供便捷的撤回同意的方式。

 第四十三条 建立个人信息储存的相关规范,明确个人信息的保存期限,结合个人信息删除的相关机制,确保信息保存期限为实现处理目的所必要的最短时间。同时完善相关技术应用,采取使用加密及去标识化等安全技术措施,确保个人信息的储存安全。

 第四十四条 梳理内部进行个人信息处理的各类场景,对于向他人提供企业处理的个人信息,利用个人信息进行自动化决策,在公共场所安装图像采集、个人身份识别设备、针对法定要求需取得个人单独同意的情形,等情形,应依据相关法律法规的要求,明确处理流程并制定规范要求。

 第四十五条 建立完善的个人信息处理规则,确保在处理个人信息前,按照相关法律法规的要求,向个人告知个人信息处理者的名称或者姓名和联系方式,个人信息的处理目的、处理方式,处理的个人信息种类、保存期限,个人行使法定权利的方式和程序等内容,并建立便捷的个人行使权利的申请受理和处理机制。并且当上述内容有变更的,能够及时将变更部分告知个人。

 建立个人信息处理事前影响评估机制,监管企业应结合实际情况根据法律法规要求梳理须进行事前个人信息保护影响评估的具体场景,制定评估的标准及规范,明确个人信息保护影响评估报告及处理情况记录保存的相关要求。

 建立个人信息主动删除的相关机制,明确个人信息删除的流程及规范,确保当个人信息处理目的已实现、无法实现或者为实现处理目的不再必要,企业停止提供产品或者服务,或者保存期限已届满,以及个人撤回同意时,相关个人信息得到及时删除。

 第四十六条 属于相关主管部门认定为关键信息基础设施运营者的监管企业,应依法依规履行关键信息基础设施安全保护的责任义务。提供重要互联网平台服务、用户数量巨大、业务类型复杂的监管企业,应对其个人数据信息处理活动负责,并应通过制定及优化内部管理,履行基础互联网平台的法定合规义务,包括建立独立的监督机构、制定平台个人信息保护规则及定期发布个人信息保护社会责任报告等相关事项。



第七章 数据安全技术应用


 第四十七条 监管企业应通过相关技术的应用及更新,提升企业在数据识别、敏感信息保护、数据操作审计、接口安全管理、数据防泄露等方面的技术能力,提升数据安全保障能力。

 第四十八条 监管企业可采用定期数据资产扫描,脱敏效果验证等技术,深入到具体业务场景,精准识别重要敏感数据、敏感人群、特权操作等,持续提升企业数据识别能力,从数据检测能力维度保障企业数据能够按照既定的分类标准及规则进行处理,确保企业数据分类分级安全合规。

 第四十九条 监管企业应通过加强个人信息去标识化、数据关键字段隐藏、扰乱等技术的应用,提升个人敏感信息保护能力,保障大规模个人数据在储存及传输过程中的安全。采用校验或加密技术保证重要数据在传输过程中的完整性和安全性,采用密码技术保证重要数据在存储过程中的保密性。

 第五十条 监管企业应通过对涉及储存、处理个人敏感信息和企业重要数据系统平台的防泄漏技术的应用,提升数据防泄露的能力,防范数据泄露风险,确保数据安全。

 第五十一条 监管企业可通过数据操作审计系统的部署应用,实现对企业重要敏感业务系统的数据操作实施监控及审计,防范操作性风险。

 第五十二条 监管企业可通过建立面向互联网及合作方数据接口的安全认证机制及加强数据接口安全监控技术的应用,对数据出口进行集中化管理,提升接口安全管理的能力,防范数据传输合规风险。



第八章 责任与监督


 第五十三条 市国资委对监管企业数据安全合规管理情况进行监督检查,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关企业、个人进行约谈,并要求有关企业、个人采取措施进行整改,消除隐患。

 第五十四条 监管企业在日常数据处理中,企业或员工违反法律、行政法规规定,窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,除依法承担相应法律责任外,市国资委应视情况启动对相关企业的合规调查,责令相关企业整改,并监督其完善数据安全合规管理。

 第五十五条 监管企业在日常数据处理中,企业或员工违反法律、行政法规规定,未履行数据安全保护义务、向境内外调查咨询和中介机构提供重要数据、拒不配合数据调取、未经主管机关批准向外国司法或者执法机构提供数据的,依法承担相应法律责任。

 属于关键信息基础设施运营者的监管企业违法违规向境外提供重要数据的,依法承担相应法律责任。

 监管企业因违反相关法律法规受到责令整改、警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照、追究刑事责任的,市国资委应视情况对相关企业及主要负责人进行违规问责。

 其中出现属于关键信息基础设施运营者的监管企业违法违规向境内外调查咨询和中介机构提供重要数据,或监管企业拒不配合数据调取、未经主管机关批准向外国司法或者执法机构提供数据的情形,市国资委应立即启动相应的违规问责,并监督相关企业实施整改。



第九章 附则


 第五十六条 监管企业应根据本指南,结合实际制定数据安全合规管理制度或在现有数据管理制度中增加数据安全合规的相关内容。

 委托监管企业的数据安全合规管理工作,参照本指南操作。

 第五十七条 本指南将结合相关领域立法更新情况变更和调整。

 第五十八条 本指南由市国资委负责解释。

 第五十九条 本指南自公布之日起施行。


转创君
企业概况
联系我们
专家顾问
企业文化
党风建设
核心团队
资质荣誉
领导资源
专家库
公司公告
资源与智库
战略合作伙伴
质量保证
咨询流程
联系我们
咨询
IPO咨询
中国企业国际化发展战略
投融资规划
企业管理咨询
人力资源管理
风险管理
竞争战略
集团管控
并购重组
家族办公室
资产管理
股权设计
企业管治与内部审计
企业估值
价值办公室
内控咨询
投资银行
管治、内控及合规服务
法律咨询
服务
管理咨询服务
投融资规划
人力资源
资产评估服务
会计服务
科技服务
资质认证
ESG服务
商务咨询
内部控制服务
转创投服
金融服务咨询
企业服务
财会服务
翻译服务
财审
金融会计专题
法证会计
国际财务管理
会计中心
财务咨询
内部审计专题
审计创新与全球化
代理记账中心
会计师事务所
审计中心
审计及鉴证
专项审计
审计工厂
审计咨询服务
税律
财税中心
转创税务
华税律所
税务师事务所
IPO财税
国际税收
涉税服务
金融
纳斯达克
并购交易服务
北交所
IPO咨询
深交所
上交所
直通新三板
董秘工作平台
独立董事事务
SPAC
资本市场服务中心
澳洲上市
加拿大上市
估值分析事务
香港联交所
新交所
金融分析师事务所
合规
合规与政府管制
企业合规
网络安全与隐私保护
法证会计与反舞弊
反洗钱与制裁合规
反垄断中心
企业合规管理咨询
合规中心
转创全球企业合规
合规律师事务所
金融安全与合规
海关及全球贸易合规
ESG合规
反欺诈中心
合规中心(产业)
知识产权合规专题
私募股权基金合规
法信
征信管理
信用中心
法信中心
信用评级
价值办公室
联合资信
国际信用
安企中心
转创法信
诚信管理
产服
产业中心
企业与产业管理
行业中心
转创产研
城市中国
转创科研
全球城市
乡村振兴战略
创新创业中心
转型升级中心
数据经济与网安
绿创中心
双碳与可持续发展
管理
并购重组
转创国际企业研究所
创新创业
转型升级
投融资与股权激励
ESG中心
管理咨询
资产评估中心
人力资源
IPO咨询
法律
刑事法律服务
资本市场法律服务
财税金融法律事务
转创国际合规律师
民商事法律服务
公司法律服务
公共法律服务中心
转创国际法律事务所
内控
危机管理
金融风险专题
风险管理中心
网络安全与隐私保护
企业风险管理
独立董事
风险控制师事务所
国际风险研究
风险管理咨询
监督中心
管制中心
风控中心
内部控制中心
经济安全与企业内控
监管中心
转创
转创深圳(深莞)
转创广佛
转创国际福建
转创梅州
客汕经济
转创珠三角
转创潮州
转创网校
转创国际汕头
转创揭阳
18318889481 17875936848
在线QQ
在线留言
返回首页
返回顶部
留言板
发送