查看原文
其他

立法动态 | 广州市国资委发布监管企业数据安全合规管理指南

闪涛律师团队 LEGAL EYE 看法见法 2024-01-09



关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师


本期关键词:《广州市国资委监管企业数据安全合规管理指南》;广州市国资委;数据合规;数据安全


本文约10292字,大概需要阅读10分钟。




12月20号,广州市人民政府国有资产监督管理委员会发布《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》(简称“《指南》”),作为全国首个数据安全合规指南的地方标准,《指南》的出台是广州市对今年9月实施的《数据安全法》和11月实施的《个人信息保护法》等上位法在国有企业合规领域的实操指导性文件。


《指南》结合企业合规管理建设实践,将数据安全合规管理的要求纳入现有合规管理组织体系,围绕数据安全合规管理的三道防线、数据分类分级管控标准和管控要求等内容规范企业数据处理活动,保障数据安全,保护个人、组织的合法权益,为企业数据安全合规提供指引。


《指南》作为广州市国资委构建“合规指引文件+合规管理系列指南”体系的最新成果,不仅促进《数据安全法》及《广东省省属企业合规管理指引(试行)》等法规的全面实施,同时对接国家战略及国际规则环境,有望成为广州市贯彻落实“一带一路”建设及粤港澳大湾区建设的合规标准应用范例,助力广州市发挥粤港澳大湾区区域发展核心引擎作用。



政策解读



制定的必要性


近期,随着《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律相继颁布实施,数据安全合规管理已提升到事关国家安全、经济安全、社会稳定和人民群众切实合法权益的高度。为加快推动广州市国资委监管企业全面加强合规管理,规范企业数据处理活动,保障数据安全,保护个人、组织的合法权益,维护国家经济安全和社会稳定,促进监管企业更高质量、更可持续发展,广州市国资委印发了《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》。


具体内容及亮点


本指南分为九章,共计58条,具体内容和亮点有:


(一)成为地方国资监管部门首部针对数据合规专项领域的合规操作指南。目前数据安全合规领域相对比较前沿,对于数据安全合规管理相关的定义、概念均与目前最新的立法成果保持一致,使得该指南成为地方国资监管机构首部针对数据安全合规专项领域的合规操作指导性文件。


(二)将数据安全合规管理的要求纳入现有合规管理组织体系。为确保数据安全合规管理体系落实、落地,避免重复建设,将数据安全合规管理作为监管企业合规管理体系的专项重点领域,纳入现有合规管理体系进行专项深化管理。


(三)划分了数据安全合规管理的三道防线。结合监管企业实际情况,明确由企业内承担数据管理、信息系统管理或IT技术等相关职能的部门及各业务部门作为数据安全合规管理的第一道防线,合规管理牵头部门作为数据合规管理第二道防线,纪检、审计部门作为数据合规管理第三道防线,并明确了各自的职能和责任。


(四)明确了数据分类分级管控标准和管控要求。要求监管企业要根据所属行业相关标准对核心业务数据进行分类分级,并通过技术手段落实安全管理要求,定期对新增数据进行梳理,确保所有数据分类及分级管控。同时,应根据相关法律法规或行业标准的变化,及时更新企业内部数据分类分级的相关标准。


(五)对重大数据安全合规事项纳入“三重一大”事项并实施清单管理。关系国家安全、国民经济安全、重要民生、重大公共利益等数据需要实施清单管理;对于涉及国家保密范围的产业规划、战略规划、重大项目、核心技术等数据的交易、出境及共享等业务,应列入企业“三重一大”事项进行管理。


(六)引入了数据安全风险评估机制。要求监管企业定期对企业本部及下属各级全资、控股和实际控制子企业的数据安全风险进行全面评估,根据评估结果可以采取差异化管控措施。


(七)重视对数据全生命周期管理。要求监管企业在数据安全合规管理过程中,对数据采集、数据传输、数据储存、数据使用、数据开放共享、数据销毁等数据全生命周期管理的要素,制定必要的管控措施及标准,防范数据处理的违规风险,确保数据安全合规。


(八)加强与商业伙伴合作中的数据保护。要求监管企业加强及规范与商业伙伴合作中的数据安全管理,明确合作方准入、日常管理、数据安全评估、变更及退出等环节的合规管理要求。


(九)强化个人信息保护。要求监管企业进一步规范和完善个人信息保护机制,加强企业员工、访客个人信息的保护。特别针对个人信息分类、个人信息获取、个人信息储存、个人信息使用及处理等管理过程中,按法律法规建立相关标准及规范,并满足相关管理要求。


(十)强化责任监督。一是重视消除风险隐患、防患未然。对发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关企业、个人进行约谈,并要求有关企业、个人采取措施进行整改,消除隐患;二是对于企业或员工违反法律、行政法规规定,未履行数据安全保护义务、向境外提供重要数据、拒不配合数据调取、未经主管机关批准向外国司法或者执法机构提供数据的,依法承担相应法律责任。



政策全文 


广州市国资委监管企业数据安全合规管理指南

(试行2021年版)


第一章  总  则


第一条 为推动广州市国资委监管企业全面加强数据安全合规管理,规范监管企业数据处理活动,保障企业数据安全,促进企业健康发展,保护个人、组织的合法权益,维护国家经济安全和社会稳定,提升监管企业数据治理能力及数据安全保护水平,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《关键信息基础设施保护条例》《广州市市属企业合规管理指引(试行)》等有关法律法规规定,制定本指南。


第二条 本指南适用于广州市人民政府国有资产监督管理委员会(以下简称“市国资委”)直接履行出资人职责的国有及国有控股企业、国有实际控制企业(以下称“监管企业”)。


第三条 市国资委负责监督指导监管企业数据安全合规管理工作。


第四条 监管企业应当对本企业工作中收集和产生的数据和数据安全承担主体责任。

数据安全合规管理是合规管理体系的专项重点领域,已建立合规管理体系的监管企业,应在现有合规管理体系的基础上,进行专项深化管理。

数据安全风险较高的监管企业,必须将数据安全合规作为重点领域进行专项管理。达到以下条件之一的,视为数据安全风险较高:

(一)主要业务涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和重要领域的;

(二)主要业务涉及个人信息处理,且从业人员规模大于200人;

(三)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;

(四)处理超过10万人的个人敏感信息的;

(五)从事国家秘密载体制作、复制、维修、销毁,涉密信息系统集成或者武器装备科研生产等涉及国家秘密的业务的;

(六)法律法规规定的其他情形。


第五条 监管企业应当按照以下原则提升数据安全合规管理:

(一)高度重视。数据是重要的战略性资源,监管企业要将数据安全合规管理提升到事关国家安全、经济安全、社会稳定和人民群众切实合法权益的高度,始终把国家主权、安全、发展利益放在首位,加强安全能力建设,重视企业、员工、股东及合作方数据安全及个人信息保护,以发展促安全、以安全保发展。

(二)推进落实。监管企业要坚持将数据安全合规要求逐步覆盖各业务领域,各部门,各级全资、控股或实际控制的子企业、分支机构及其员工。数据应当全面包括电子或其他方式对信息的记录。数据安全合规管控措施及技术应用覆盖所有数据资产及数据处理全流程。

(三)强化责任。监管企业要切实加强对数据安全合规管理的组织领导,明确职责,建立健全分工负责、协作配合的工作机制,明确管理人员和各岗位员工的数据合规责任并督促有效落实。

(四)协同融合。监管企业认真贯彻落实数据安全合规的相关要求,将数据安全合规工作纳入企业数字化转型整体布局中,将数据安全合规管理通过企业数字化技术的应用及升级进行有效落地。


第二章 管理职责


第六条 监管企业应将数据安全合规管理的职责纳入现有合规管理组织体系。通过建立专项制度或文件的形式,在原有合规管理组织体系合规职责范围内,进一步细化及明确各层级合规管理机构及相关部门的数据安全合规管理职责。


第七条 董事会合规委员会或承担合规管理职责的专业委员会应在职责范围内推动企业数据安全合规管理,以完善企业合规管理体系,合理配置数据安全合规管理工作所需的相关资源和奖惩机制,审批重大数据安全合规事项,确保工作有效推行及落地。


第八条 经理层及合规管理负责人应在原有合规管理职责的范围内,指导及监督企业数据安全合规管理相关制度规范建设、相关管理措施的设计与执行、数据安全技术应用等,确保企业数据安全合规。


第九条 监管企业承担数据管理、信息系统管理或IT技术等部门和其它各职能部门分别作为各业务范围内数据安全合规管理的责任部门,作为数据安全合规管理的第一道防线,主要职责包括:

(一)制定企业数据管理的相关标准,包括数据分类分级、权限管理等工作;

(二)制定企业数据管理的相关制度及规范,包括数据全生命周期管理的相关制度;

(三)负责统一规范企业数据收集、存储、使用、加工、传输、提供、公开等工作机制;

(四)负责数据安全技术的应用及更新;

(五)负责数据管理能力建设;

(六)其他规章制度规定的数据管理工作。


第十条 监管企业各职能部门负责本领域的日常数据安全合规管理工作,规范数据收集、存储、使用、加工、传输、提供、公开等工作,妥善应对数据安全合规风险事件,组织或配合进行违规问题调查并及时整改。


第十一条 监管企业合规管理牵头部门作为数据合规管理第二道防线,在数据安全合规管理方面的职责包括:

(一)参与对企业涉及数据安全事项的合规审查;

(二)对数据安全合规管理的情况进行评估与检查;

(三)组织或协助数据安全合规责任部门、人事部门开展数据安全合规培训,为公司其他部门提供数据安全合规咨询与支持;

(四)合规委员会或合规管理负责人交办的其他工作。


第十二条 监管企业可视情况通过建立联合的数据合规管理办公室或工作组,开展数据安全合规管理标准、制度及规范的建立工作,可由相关业务、信息系统、技术、合规、风险管理、内部审计等部门人员组成,在经理层及合规管理负责人的领导下,有效推动数据安全合规管理工作的开展及实施。


第十三条 内部审计部门负责定期对数据安全进行审计,可根据风险评估和审计资源铺排,在审计工作中涵盖数据安全合规的内容,并出具相关审计报告,为公司数据安全风险管理的有效性提供合理保障。

纪检监察部门负责职权范围内的违规事件的监督、执纪、问责等工作。


第三章 制度规范建设


第十四条 监管企业应建立健全数据安全合规管理的相关标准、制度和规范,建立重大数据安全合规审批清单、数据分类分级管理、权限管理、数据安全合规风险评估及审计、重大数据安全合规风险事件报告、应急处置机制、教育培训等管理事项,并根据法律法规变化和监管动态,及时将外部合规要求落实到内部规章制度。


第十五条 监管企业重大数据安全合规事项实施清单管理。由数据安全合规管理的责任部门牵头编制本企业重大数据安全合规事项清单,提交党委会审议通过后,由董事会合规委员会或承担合规管理职责的专业委员会负责审批清单涉及的重大数据合规事项。

数据安全合规管理的责任部门应根据法律法规及企业的实际运营情况的变化进行及时更新清单。


第十六条 监管企业应建立数据分类分级管控标准和管控要求。企业应优先根据所属行业相关标准对核心业务数据进行分类分级,无明确标准的企业可自行建立相关分类及分级标准。其中数据分级标准应参考及遵循国家数据安全等相关法律法规。

关系国家安全、国民经济命脉、重要民生、重大公共利益等数据需要实施更加严格的管理制度,包括涉及国家保密范围的产业规划、战略规划、重大项目、核心技术等,应根据相关法律法规的具体要求进行重点保护和管理。上述相关数据的交易、出境及共享等业务,应列入企业“三重一大”事项进行管理,不得向境外司法或执法机构提供存储于境内的数据。

监管企业应根据标准对现有数据进行全面分类分级,并通过技术手段落实安全管理要求,定期对新增数据进行梳理,确保所有数据分类及分级管控。同时,应根据相关法律法规或行业标准的变化,及时更新企业内部数据分类分级的相关标准。


第十七条 监管企业应规范数据处理的权限管理,建立适当的用户权限管理机制,根据岗位设置相关账户权限,明确相关数据所涉及的账户管理流程,减少数据滥用情况,提高数据安全合规水平。


第十八条 数据安全风险较高的监管企业,应建立数据安全合规评估及审计机制,应自行或委托有相关信息安全检查评估资质的机构,每年至少进行一次全面的网络安全监测和风险评估,定期或不定期对企业整体数据使用情况、数据全生命周期安全及合规性、基础安全等情况进行评估及审计,并对发现的问题及时整改。


第十九条 数据安全风险较高的监管企业,应建立数据安全应急响应机制,明确数据安全事故管理和应急响应职责,制定各类数据安全事故的处置流程及应急预案,并定期进行演练,对各类安全事件进行及时响应和处置,降低企业因数据安全事故而引发的损失。


第二十条 数据安全风险较高的监管企业,应建立重大数据安全合规风险事件报告制度,对影响或可能影响国家安全的数据处理活动,发现数据安全威胁时,应按规定向公安机关、国家安全机关报告,可能关系到重大经营风险的应同步及时向市国资委报告,并积极采取措施防止危害,减少损失。


第二十一条 监管企业应积极配合公安机关、国家安全机关依法维护国家安全或者侦查犯罪需要及时配合提供相关数据。


第二十二条 监管企业应建立有效的管控模式,对其下属全资、控股和实际控制子企业在数据安全合规工作内容和职责分工,可根据实际情况,分批推进各单位数据安全合规管理工作,并结合集团合规管理管控模式进行差异化管理。


第二十三条 监管企业应全面评估企业本部及下属各级全资、控股和实际控制子企业的数据安全风险。针对数据安全风险较高的企业应尽快开展数据安全合规管理相关工作,建立数据安全合规的相关标准、制度及规范。监管企业可根据相关子企业的工作成果及经验,逐步在其他子企业进行推广及实施。


第二十四条 数据安全风险较高的监管企业,可基于企业的原有的战略规划、IT规划等制定本企业的数据安全三年滚动工作规划,确保监管企业按照既定路线达成数据安全合规目标,并在执行过程中,根据数据安全合规和企业IT战略目标下不断优化、提升数据安全合规管理的各项制度和信息系统。


第四章 数据安全合规管理措施


第二十五条 监管企业在数据安全合规管理过程中,应对数据采集、数据传输、数据储存、数据使用、数据开放共享、数据销毁等数据全生命周期管理的要素,制定必要的管控措施及标准,依法保护企业数据基础设施免受攻击、侵入、干扰和破坏,防范数据处理的违规风险,确保数据安全合规。


第二十六条 规范数据采集的管理,明确数据采集渠道,确定数据格式标准,制定各类数据采集流程及方式,定期开展数据采集合规性审查,确保数据采集合法合规。


第二十七条 加强数据传输安全管理,划分企业网络系统安全域,区分域内、域间等不同数据传输场景,明确数据传输安全策略和操作规程。


第二十八条 监管企业应梳理数据出境情况的业务,建立企业内部数据出境合规审查的流程及规范,针对境外并购、赴境外上市等情况,应充分评估数据出境的相关风险,按相关规定进行内部审核审批,并根据法律法规要求,履行监管机构数据出境的审查申报。非经相关部门批准,不得向外国司法或执法机构提供存储与中华人民共和国境内的数据

监管企业境外分支机构在当地设立服务器,并通过该服务器储存及使用监管企业数据的,应按数据出境的管理要求实施数据安全管理。境外分支机构通过远程访问使用数据的,应加强访问权限控制及数据传输安全管理,确保数据安全。


第二十九条 规范并加强数据储存的管理,加强对数据储存介质的管理,包括提升对服务器及离线储存介质的物理安全及加密管理,规范带数据储存功能的可移动设备的管控,加强对本地数据储存系统平台接入移动储存介质的管控,实施对储存在第三方云平台数据的风险评估,对数据下载到本地终端行为进行审核及日志记录等管控措施,提升数据储存的安全性。


第三十条 规范数据使用的管理,根据不同类别、级别的数据,明确不同场景的数据使用审批流程,制定数据脱敏处理规则,提升数据使用的安全性;建立数据开发利用的相关流程及规范,完善数据开发利用的风险评估机制。

具有数据交易相关业务的监管企业,应按国家相关法律法规的相关要求进行交易,法律法规尚未规定的,应进行充分的风险评估,确保数据安全。


第三十一条 加强数据开放及共享的管理,根据数据使用目的、共享对象,明确数据可进行开放及共享的范围,建立数据共享的申请及授权审批的流程及权限设置,明确数据共享过程的传输方式。


第三十二条 针对企业向外部单位共享数据的情况,监管企业应充分评估相关数据安全风险,涉及重大敏感的数据提供要按审批权限逐级审批。并在相关合同中明确数据安全及保密义务,明确相关违约责任,必要时可单独签订保密协议。相关事项结束后,应进行内部总结汇报,对数据共享情况进行说明,加强数据共享的管理。监管企业应尽量依托国资国企信息安全“云”监管平台,积极支持配合国资国企一体化网络安全信息大数据平台的建立,促进数据安全信息联动和能力共享。


第三十三条 建立员工数据安全合规行为规范,针对员工日常工作中数据储存、数据处理、数据传输、数据共享等事项明确相关合规管理要求。


第三十四条 规范数据销毁的过程管理,建立数据销毁的申请审批机制及流程,规范数据销毁过程的监督及记录,明确存储介质销毁策略及操作规范,委托第三方进行数据销毁的,应委托具有相关资质的单位,确保数据销毁的安全可靠。


第五章 与商业伙伴合作中的数据保护


第三十五条 监管企业应加强及规范与商业伙伴合作中的数据安全管理,明确合作方准入、日常管理、数据安全评估、变更及退出等环节的合规管理要求。


第三十六条 监管企业应明确信息系统开发及运维、数据储存、数据处理等数据服务相关合作方的准入标准,并在合作方选择时进行资格审查。同等条件下应优先采购境内安全可信的网络产品和数据服务。必要时,应对数据服务的合作方进行数据安全合规方面的尽职调查。


第三十七条 对于合作方能接触到企业非公开数据的合作项目,监管企业应加强合同管理,通过制定相应的示范文本在相关合同中明确数据安全合规相关条款。

对于为企业提供数据服务的合作方,企业应结合实际情况将服务标准、数据备份和恢复、数据泄露预防、业务连续性计划等内容在合同中进行明确。

涉及委托处理个人信息的合作方,企业应结合实际情况将委托处理的目的、期限、处理方式、个人信息种类、保护措施以及双方的权利和义务等内容在合同中进行明确,并对合作方的个人信息处理活动进行监督。


第三十八条 监管企业应明确与合作方对接部门的数据安全管理责任。涉及公司资料及数据分享的,应按实现合作目的最小数据获取原则,对部分非必要数据进行脱敏,并对数据分享过程进行记录。

涉及合作方提供驻场服务,链接企业信息系统,或直接接触重要数据的,相关项目负责人应采取适当措施对其合作方的工作进行管控,确保数据安全。


第三十九条 监管企业应建立数据服务合作方定期的数据安全监测、检测和评估机制,明确数据安全监测、检测和评估的范围及具体内容,并将相关评估结果与合作方的变更及退出进行挂钩,发现合作方存在数据滥用、盗卖数据、预留“后门”等违法违规行为的,应及时终止合作并永久禁止合作,并按合同约定进行索赔。确保合作方数据安全合规。


第六章 个人信息保护


第四十条 监管企业应进一步规范及完善个人信息保护机制,加强企业员工、访客个人信息的保护。

监管企业应梳理集团本部及下属各级全资、控股或实际控制子企业涉及大规模处理个人信息的业务,加强及完善相关部门及企业个人信息保护的管理,针对个人信息分类、个人信息获取、个人信息储存、个人信息使用及处理等管理过程中,按法律法规建立相关标准及规范,并满足下述相关管理要求。


第四十一条 建立企业内部个人信息分类标准,明确个人敏感信息定义范围及处理规则,明确处理不满十四周岁未成年人个人信息处理规则。个人敏感信息及未成年人个人信息处理规则应遵循法律法规的相关规定。


第四十二条 个人信息的收集应满足法定的相关原则,不得过度收集个人信息,确保个人信息采集及处理前取得个人同意。优化取得个人同意的方式,确保由个人在充分知情的前提下自愿、明确作出同意。针对法定要求需取得个人单独同意的情形,确保取得个人的单独同意。并且当个人信息的处理目的、处理方式和处理的个人信息种类发生变更时,可以及时有效重新取得个人同意,同时能够为个人提供便捷的撤回同意的方式。


第四十三条 建立个人信息储存的相关规范,明确个人信息的保存期限,结合个人信息删除的相关机制,确保信息保存期限为实现处理目的所必要的最短时间。同时完善相关技术应用,采取使用加密及去标识化等安全技术措施,确保个人信息的储存安全。


第四十四条 梳理内部进行个人信息处理的各类场景,对于向他人提供企业处理的个人信息,利用个人信息进行自动化决策,在公共场所安装图像采集、个人身份识别设备、针对法定要求需取得个人单独同意的情形,等情形,应依据相关法律法规的要求,明确处理流程并制定规范要求。


第四十五条 建立完善的个人信息处理规则,确保在处理个人信息前,按照相关法律法规的要求,向个人告知个人信息处理者的名称或者姓名和联系方式,个人信息的处理目的、处理方式,处理的个人信息种类、保存期限,个人行使法定权利的方式和程序等内容,并建立便捷的个人行使权利的申请受理和处理机制。并且当上述内容有变更的,能够及时将变更部分告知个人。

建立个人信息处理事前影响评估机制,监管企业应结合实际情况根据法律法规要求梳理须进行事前个人信息保护影响评估的具体场景,制定评估的标准及规范,明确个人信息保护影响评估报告及处理情况记录保存的相关要求。

建立个人信息主动删除的相关机制,明确个人信息删除的流程及规范,确保当个人信息处理目的已实现、无法实现或者为实现处理目的不再必要,企业停止提供产品或者服务,或者保存期限已届满,以及个人撤回同意时,相关个人信息得到及时删除。


第四十六条 属于相关主管部门认定为关键信息基础设施运营者的监管企业,应依法依规履行关键信息基础设施安全保护的责任义务。提供重要互联网平台服务、用户数量巨大、业务类型复杂的监管企业,应对其个人数据信息处理活动负责,并应通过制定及优化内部管理,履行基础互联网平台的法定合规义务,包括建立独立的监督机构、制定平台个人信息保护规则及定期发布个人信息保护社会责任报告等相关事项。


第七章 数据安全技术应用


第四十七条 监管企业应通过相关技术的应用及更新,提升企业在数据识别、敏感信息保护、数据操作审计、接口安全管理、数据防泄露等方面的技术能力,提升数据安全保障能力。


第四十八条 监管企业可采用定期数据资产扫描,脱敏效果验证等技术,深入到具体业务场景,精准识别重要敏感数据、敏感人群、特权操作等,持续提升企业数据识别能力,从数据检测能力维度保障企业数据能够按照既定的分类标准及规则进行处理,确保企业数据分类分级安全合规。


第四十九条 监管企业应通过加强个人信息去标识化、数据关键字段隐藏、扰乱等技术的应用,提升个人敏感信息保护能力,保障大规模个人数据在储存及传输过程中的安全。采用校验或加密技术保证重要数据在传输过程中的完整性和安全性,采用密码技术保证重要数据在存储过程中的保密性。


第五十条 监管企业应通过对涉及储存、处理个人敏感信息和企业重要数据系统平台的防泄漏技术的应用,提升数据防泄露的能力,防范数据泄露风险,确保数据安全。


第五十一条 监管企业可通过数据操作审计系统的部署应用,实现对企业重要敏感业务系统的数据操作实施监控及审计,防范操作性风险。


第五十二条 监管企业可通过建立面向互联网及合作方数据接口的安全认证机制及加强数据接口安全监控技术的应用,对数据出口进行集中化管理,提升接口安全管理的能力,防范数据传输合规风险。


第八章 责任与监督


第五十三条 市国资委对监管企业数据安全合规管理情况进行监督检查,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关企业、个人进行约谈,并要求有关企业、个人采取措施进行整改,消除隐患。


第五十四条 监管企业在日常数据处理中,企业或员工违反法律、行政法规规定,窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,除依法承担相应法律责任外,市国资委应视情况启动对相关企业的合规调查,责令相关企业整改,并监督其完善数据安全合规管理。


第五十五条 监管企业在日常数据处理中,企业或员工违反法律、行政法规规定,未履行数据安全保护义务、向境内外调查咨询和中介机构提供重要数据、拒不配合数据调取、未经主管机关批准向外国司法或者执法机构提供数据的,依法承担相应法律责任。

属于关键信息基础设施运营者的监管企业违法违规向境外提供重要数据的,依法承担相应法律责任。

监管企业因违反相关法律法规受到责令整改、警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照、追究刑事责任的,市国资委应视情况对相关企业及主要负责人进行违规问责。

其中出现属于关键信息基础设施运营者的监管企业违法违规向境内外调查咨询和中介机构提供重要数据,或监管企业拒不配合数据调取、未经主管机关批准向外国司法或者执法机构提供数据的情形,市国资委应立即启动相应的违规问责,并监督相关企业实施整改。


第九章 附则


第五十六条 监管企业应根据本指南,结合实际制定数据安全合规管理制度或在现有数据管理制度中增加数据安全合规的相关内容。

委托监管企业的数据安全合规管理工作,参照本指南操作。


第五十六条 本指南将结合相关领域立法更新情况变更和调整。


第五十七条 本指南市国资委负责解释。


第五十八条 本指南自公布之日起施行。


来源:

http://gzw.gz.gov.cn/gk/zcfg/zcfgwj/content/post_7977166.html

http://gzw.gz.gov.cn/gk/zcjd/content/post_7977167.html





陆续更新,敬请期待





版权归闪涛律师团队所有,未经许可不得转载。

如认为本文侵犯版权,请及时联系闪涛律师团队。


   


团队介绍



闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域



闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。


闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员





                       



往期回顾

数据安全

数据安全 | 金融数据安全的标准来了!

数据安全 | 欧洲数据保护委员会EDPB:澄清域外适用与数据跨境传输条款间的相互作用

数据安全 | Vodafone因违反GDPR被西班牙数据保护局罚款4万欧元

数据安全 | 脸书前员工出席欧洲议会听证会,欧盟数字监管步伐加速?

数据安全  |  浅析欧美跨境数据管辖权

数据安全 | 工信部促企业建立个人信息保护“双清单”制度

数据安全 |  网信办拟出规定严管算法推荐:不得利用算法实施流量造假控制热搜

数据安全|最高院明确对于人脸识别技术的民事司法裁判规则, 扩宽个人信息保护救济途径

大数据收集的法律风险

数据安全 | 如何识别关键信息基础设施边界

数据安全 |  步步为营—中国企业“走出去”跨境数据合规要点与步骤

数据安全 | 俄罗斯对Whatsapp违反个人数据法提起行政诉讼

数据安全 | 欧盟对cookie使用的法律规制

数据安全|个人信息处理中的“同意撤回权”

数据安全|网络爬虫技术的法律分析

数据安全|数据侵权问题监管趋势

数据安全 | 售楼处人脸识别系统合规吗?

欧盟数据监管如何救济?

数字人民币的4大法律问题

GDPR赋予数据主体的权利

中国《数据安全法》VS欧盟GDPR

《数据安全法》《网络安全法》《个人信息保护法》的比较分析

数据安全之数据分类分级保护制度

精炼!一文了解《数据安全法》

《数据安全法》中的三大主要变化

欧盟数据监管是谁在执行?

数字人民币的三大优势

美国个人信息保护制度简述

《信息安全技术人脸识别数据安全要求》国家标准征求意见稿 都说了啥?

系列 | 个人信息保护之二:个人信息保护法的基本原则

《数据安全法》二审稿中的三大变化

《个人信息保护法(草案二审稿)》的三大变化

系列|个人信息保护之一:什么是个人信息?

人脸识别需谨慎,个人信息要保护

人脸识别技术下隐私成为奢侈品:谁来保护我们的“脸”?

中国与阿盟发表《中阿数据安全合作倡议》

四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》


涉外法律

涉外法律 | 澳大利亚发布首个消费者数据权利隐私评估

涉外法律|GDPR案例之匈牙利

涉外法律|GDPR案例之挪威

GDPR案例之波兰

GDPR案例之奥地利

GDPR经典案例之捷克

GDPR经典案例之瑞典

涉外法律 | 美国联邦贸易委员会更新金融机构网络安全保障措施规则

涉外法律 | 欧盟《数据法案》影响评估草案带来的几点启示

涉外法律 | EDPB通过GDPR第23条数据主体权利限制指南

涉外法律 | 美国参议员提出关于安全处理人工智能收集的数据的法案

涉外法律|GDPR经典案例之西班牙

涉外法律|GDPR经典案例之罗马尼亚

涉外法律 | 浅析《欧盟两用物项管制条例》对科技领域企业的影响

涉外法律 | 美国数据跨境活动相关规范

涉外法律 | GDPR典型案例之荷兰

涉外法律 | GDPR典型案例之德国

涉外法律 | 亚马逊“封店”事件的再反思,还有什么可以做?

涉外法律|GDPR典型案例之法国

涉外法律|GDPR典型案例之英国

涉外法律 | CISA指引如何应对勒索软件造成的信息泄露

涉外法律 | 《英国最高法院2021司法年度报告》速览

涉外法律|美国和欧盟对于人脸识别的相关法律规定解读

涉外法律 | 简述美国加州个人隐私保护法案

涉外法律 | 香港私隐公署发布人工智能道德指引

涉外 | 加州公司法剪影——如何在加州注册公司

涉外法律|企业间数据流动中的“三重授权原则”

涉外法律|平台经济的“新”型垄断:轴辐协议

涉外 | 法律英语写作之正确写作:如何写好一份案例摘要

涉外 | 法院及内设部门有正式英文名称了!

涉外法律 | 企业利用投资协定参考指南

涉外法律 | 九个案例为您解析RECP原产地规则

中欧阻断法案比较

热议《阻断外国法律与措施不当域外适用办法》


案例分析

案例分享 | 从蚂蚁微贷诉企查查案看公共数据商业化利用的合法性边界

案例分享 | 广州互联网法院公布涉数据及虚拟财产十大典型案例

案例分享|平台能否根据算法自动化决策进行处罚?看看法院怎么说!

案例分享|管中窥豹:合规之北汽合规管理体系建设

以案说法 |不刷脸不让进小区?

案例分享 | 更新网站隐私政策的法律风险

案例分享|360诉腾讯垄断纠纷案与“假定垄断者测试”

案例分享|优酷诉X浏览器案

案例分享 | 转载已公开的信息侵犯个人信息权吗?

案例分享 | 腾讯音乐版权案——平台经济反垄断新变化

案例分享 | iTunes反垄断案——独家音乐版权是垄断吗?

案例分享 |  大众点评网数据信息不正当竞争纠纷案——数据信息使用行为是否构成不正当竞争的司法认定

案例分享|“电视猫”视频聚合软件不正当竞争纠纷行为保全案

案例分享|德国Adblock Plus白名单案

案例分享|从携程被罚看数据侵权的法律意义

案例分享 | 欧美数据跨境的角力:Facebook诉DPC被驳回

以案说法:比特币能否成为诈骗罪的犯罪对象?

以案说法:全国首例比特币仲裁裁决违反社会公共利益被撤销


立法动态

新法速递 |《上海市数据条例》公布 自2022年1月1日起施行

新闻速递 | 网信办发布《网络数据安全管理条例》(征求意见稿)

立法动态  | 国家互联网信息办公室就《数据出境安全评估办法(征求意见稿)》公开征求意见

新闻速递|《粤港澳大湾区“跨境理财通”业务试点实施细则 》正式发布,一起来看看吧!

立法动态 |蹭热点:《个人信息保护法》个人信息处理者应当遵循的十一条义务

立法动态 | 蹭热点:《个人信息保护法》的八个“不得”

立法动态 | 《关键信息基础设施安全保护条例》,网络安全保护再添坚强后盾

立法动态 | 深圳市、广州市首席数据官制度试点方案出台(全文与简评)

立法动态 |  《全国医疗机构网络信息安全管理办法》即将出台

立法动态|浙江省发布《数字化改革 公共数据分类分级指南》省级地方标准

立法动态|速递!人脸识别,看最高人民法院怎么说?

立法动态 | 《数字经济对外投资合作工作指引》速览

立法动态 |  上海经信委发布“关于《上海市智能网联汽车测试与示范实施办法(征求意见稿)》公开征询意见的公告

立法动态 | 国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》

立法动态 | 《关于防范虚拟货币交易活动的风险提示》

立法动态 | 人社部发布《电子劳动合同订立指引》

立法动态 | 重罚防治大数据杀熟

立法动态 | 国内数据领域首部综合性立法-《深圳经济特区数据条例》正式公布

精要解读:《深圳市电子劳动合同争议处理规则(试行)》出台

《信息安全技术人脸识别数据安全要求》(征求意见稿)发布

全国人大法工委举行记者会公布数据安全法草案、个人信息保护法草案最新修改内容

欧盟理事会发布《电子隐私条例2021》


新闻速递

新闻快递 | 让数据成为资产,上海数据交易所正式揭牌!

新闻速递 | 党的十九大以来网络法治典型案事例

新闻速递 | 工信部:下架540款拒不整改的APP,高压震慑违规行为

新闻速递 | 新浪因拒绝许可数据被诉数据垄断

新闻速递  | 中方正式提出申请加入《数字经济伙伴关系协定》(DEPA)

新闻速递 | 国家安全部公布三起危害重要数据安全案例

新闻速递 | DDTP分布式数据传输协议助力个人信息可携带权落地

新闻速递|《国家标准化发展纲要》发布!未来15年我国标准化发展设定目标和蓝图敲定

新闻速递|腾讯安全《车联网数据安全体系建设指南》正式发布!一起来看看吧!

《浙江省电子商务条例》明确“大数据杀熟”认定标准

新闻速递 | 马斯克:特斯拉车主所有个人身份信息都安全地存储在中国国内

新闻速递 | 工信部就《工业和信息化领域数据安全管理办法(试行)》公开征求意见

新闻速递 | 美国民主党议员敦促联邦贸易委员会制定隐私规则

新闻速递 | WhatsApp对DPC的GDPR罚款提出上诉

新闻速递 | 全国首个涉数据纠纷专业合议庭在广州挂牌成立

新闻速递|CPTPP文本目录与加入程序(附官方中英对照PDF全文)

新闻速递 | WhatsApp或将被罚2亿多欧元

胡安明无罪!美“中国行动计划”首例胜诉

新闻速递 | “一国两制”的新实践之“横琴方案”

新闻速递|“一国两制”的新实践之“前海方案”

新闻动态 |  深圳拟设数据交易场所

新闻速递 |  工信部:加强智能网联汽车数据安全管理

新闻速递 | Zoom同意就隐私诉讼支付8500万美元与用户和解

新闻速递 | 菲律宾国家隐私委员会发布实施ISO隐私标准的建议

新闻速递 | 亚马逊因数据泄露面临 8.88 亿美元处罚

新闻速递 | APP开屏弹窗问题整治

行业政策 | 2021年6月中国各省区块链与数字人民币政策速览

人民日报:央行数字货币研发持续推进

速递:公益诉讼与个人信息保护

简评 |  关于腾讯手机管家等84款App违法违规收集使用个人信息情况的通报

全球首个区块链电子发票国际标准诞生

速看热点 | 区块链国内动态速览

新闻速递:近期区块链若干动态

Visa允许客户在传统银行购买和出售数字资产

算力时代下,新计算产业正在成为数字经济的核心驱动产业

速看热点  |  区块链国内动态速览

全国人大常委会法工委:深入研究论证人脸识别等有关问题


其他文章

直播间运营者和直播营销人员的八大合规责任

直播营销平台的十大义务

“十四五”规划与区块链的那些事儿:加快数字发展,建设数字中国

Ripple:XRP是虚拟货币而非证券

案例回顾 | 不用打官司,为客户追回数百万元货款

实用建议七则:企业视角下的区域全面经济伙伴关系协定(RCEP)原产地规则

2020,国内区块链行业发生了这十件大事!

国内区块链政策速览

年末回顾 | LEGAL EYE 2020年区块链与法推文检索目录



点一下在看再走吧

继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存