三大亮点，读懂广州市国资委发布的首部地方国企数据合规指南

监管企业应根据本指南，结合实际制定数据安全合规管理制度或在现有数据管理制度中增加数据安全合规的相关内容。  

——《指南》第五十六条

 一、

合规欲启，制度先行：以制度建设促进数据合规体系搭建

 二、

三道防线，职责明晰：联动合规管理的技术、法律和监管部门

《指南》规定的多重机制

 三、

合规要求，嵌入业务：在关键场景中落地数据合规指引

（一）如何约定合同条款

1. 第三方为企业提供数据服务

《指南》建议的数据服务合同条款

2. 第三方受托处理个人信息

第三方受委托处理个人信息时，除双方权利义务外，企业还需在合同中约定以下内容：

对于数据合作以外的日常业务合同，《指南》也提示企业关注其中的数据合规问题。当合作方能够接触到企业非公开数据时，就有必要在合同文本中设置数据安全条款。

（二）如何管理境外服务器和存储介质

《指南》梳理的存储介质管理要求

（三）如何开展数据合规与共享

除了合同条款和技术规范，《指南》里也不乏数据合规的落地措施。

如下图所示，《指南》第三十二条从共享前风险评估、共享时合同约束、共享后内部汇报三阶段，梳理了企业对外共享数据的合规操作。【1】

《指南》规定的多重机制

（企业与商业伙伴合作的合规要求）

《指南》的出台，是推动地方国资委监管企业加强数据安全合规管理的有益探索，更是指引企业尤其国有企业规范数据处理活动的积极实践。在数据安全已提升到事关国家安全和网络安全的今天，保障数据安全，保护个人信息合法权益，企业才能取得更高质量，更可持续的发展。

冯清清：广东广悦律师事务所合伙人，互联网与数字经济部。

盛宇涵：广东广悦律师事务所律师助理，互联网与数字经济部。

注释：（上下滑动查看）

注释[1]：

第三十二条 针对企业向外部单位共享数据的情况，监管企业应充分评估相关数据安全风险，涉及重大敏感的数据提供要按审批权限逐级审批。并在相关合同中明确数据安全及保密义务，明确相关违约责任，必要时可单独签订保密协议。相关事项结束后，应进行内部总结汇报，对数据共享情况进行说明，加强数据共享的管理。监管企业应尽量依托国资国企信息安全“云”监管平台，积极支持配合国资国企一体化网络安全信息大数据平台的建立，促进数据安全信息联动和能力共享。

注释[2]：

第三十六条 监管企业应明确信息系统开发及运维、数据储存、数据处理等数据服务相关合作方的准入标准，并在合作方选择时进行资格审查。同等条件下应优先采购境内安全可信的网络产品和数据服务。必要时，应对数据服务的合作方进行数据安全合规方面的尽职调查。

第三十七条 对于合作方能接触到企业非公开数据的合作项目，监管企业应加强合同管理，通过制定相应的示范文本在相关合同中明确数据安全合规相关条款。对于为企业提供数据服务的合作方，企业应结合实际情况将服务标准、数据备份和恢复、数据泄露预防、业务连续性计划等内容在合同中进行明确。涉及委托处理个人信息的合作方，企业应结合实际情况将委托处理的目的、期限、处理方式、个人信息种类、保护措施以及双方的权利和义务等内容在合同中进行明确，并对合作方的个人信息处理活动进行监督。

第三十八条 监管企业应明确与合作方对接部门的数据安全管理责任。涉及公司资料及数据分享的，应按实现合作目的最小数据获取原则，对部分非必要数据进行脱敏，并对数据分享过程进行记录。涉及合作方提供驻场服务，链接企业信息系统，或直接接触重要数据的，相关项目负责人应采取适当措施对其合作方的工作进行管控，确保数据安全。

第三十九条 监管企业应建立数据服务合作方定期的数据安全监测、检测和评估机制，明确数据安全监测、检测和评估的范围及具体内容，并将相关评估结果与合作方的变更及退出进行挂钩，发现合作方存在数据滥用、盗卖数据、预留“后门”等违法违规行为的，应及时终止合作并永久禁止合作，并按合同约定进行索赔。确保合作方数据安全合规。

声明：本文已获得转载授权。本文仅代表作者的观点，不代表本公众号观点，仅供学习参考之用。

企业数据合规、常用文书模板、法律法规汇编…

更多法律资料干货，

请戳「熊猫法律知识星球」！

新一年，给自己一份法律新装备吧！

快来扫码获取吧！

推荐阅读