近日,上海市首份《企业数据合规指引》(下称《指引》)出台。《指引》明确,一般由董事会直接设立企业合规部门,不建议由法务部门履行合规管理职能。企业最高管理者作为数据合规的第一责任人,需确保将数据合规落实情况和效果纳入企业内部人员绩效考核体系。
《指引》由上海市杨浦区检察院联合市信息服务业行业协会、市数据合规与安全产业发展专家工作组、区工商业联合会制定发布。全文共38条,按照合规架构与风险识别处理的逻辑划分为六章,从数据合规管理体系、数据风险识别、数据风险评估与处置、数据合规运行与保障等方面引导企业加强数据合规管理。《指引》主要对企业的数据合规管理架构与风险识别处理规范作出了规定,包括数据合规管理体系、数据风险识别、数据风险评估与处置、数据合规运行与保障等内容,督促企业对数据进行合规管理,有效惩治预防数据违法犯罪。《指引》鼓励各类企业设置专门的数据合规管理部门,而不是由法务部门履行合规管理职能。企业应向数据合规管理部门负责人提供足够的授权、人力、财力来支持数据合规管理体系的运行。一般由董事会直接设立企业合规部门,下设数据合规管理部门等各类专业合规部门。企业在制定合规计划的时候应当全面识别所面临的数据风险,根据这些风险来制定和完善合规计划。《指引》列举了一些常见的数据风险。例如:数据处理者开展影响或者可能影响国家安全的数据处理活动,应当按照国家有关规定,申报网络安全审查;数据处理者处理个人信息,应当依据《个人信息保护法》的规定遵守八项规则,并在特定情况下删除个人信息或者进行匿名化处理等。《指引》还特别对数据刑事风险进行了提示。数据处理者在数据处理活动中可能因为存在某些行为被追究包括侵犯公民个人信息罪、破坏计算机信息系统罪、非法侵入计算机信息系统罪等刑事责任。《指引》还明确要求数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得强制个人同意收集人脸、步态、指纹、虹膜、声纹等生物特征信息。针对第三方软件开发工具包的使用,《指引》也提出了具体要求:企业可以使用经相关部门审核合规的开源软件开发工具包进行程序开发活动,不得使用风险不可控的开源软件开发工具包等工具。
编辑:陈十九
审核:商密君
征文启事
大家好,为了更好地促进同业间学术交流,商密君现开启征文活动,只要你对商用密码、网络安全、数据加密等有自己的独到见解和想法,都可以积极向商密君投稿,商密君一定将您的声音传递给更多的人。
点击购买《2020-2021中国商用密码产业发展报告》
来源:中国公司法务研究院
注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。