报道称,《指引》共有三十八条,按照合规架构与风险识别处理的逻辑划分为六章,从数据合规管理体系、数据风险识别、数据风险评估与处置、数据合规运行与保障等方面引导企业加强数据合规管理。
安全419观察发现,该《指引》鼓励各类所有制企业建立专门的数据合规管理部,且不建议由法务部门履行合规管理职能,并提供足够的授权、人力、财力来支持数据合规管理体系的构建和运行。《指引》还强调不得强制个人同意收集人脸、步态、指纹、虹膜、声纹等生物特征信息。
安全419观察发现,该《指引》鼓励各类所有制企业建立专门的数据合规管理部,且不建议由法务部门履行合规管理职能,并提供足够的授权、人力、财力来支持数据合规管理体系的构建和运行。《指引》还强调不得强制个人同意收集人脸、步态、指纹、虹膜、声纹等生物特征信息。
《指引》列举了一些常见的数据风险。例如:数据处理者开展影响或者可能影响国家安全的数据处理活动,应当按照国家有关规定,申报网络安全审查;数据处理者处理个人信息,应当依据《个人信息保护法》的规定遵守八项规则,并在特定情况下删除个人信息或者进行匿名化处理等。《指引》还特别对数据刑事风险进行了提示。数据处理者在数据处理活动中可能因为存在某些行为被追究包括侵犯公民个人信息罪、破坏计算机信息系统罪、非法侵入计算机信息系统罪等刑事责任。企业在制定合规计划的时候应当全面识别所面临的数据风险,根据这些风险来制定和完善合规计划。
报道称,为提升企业数据合规智能化水平,杨浦区检察院还积极探索大数据、人工智能等技术在企业数据合规中的深度应用,与上海数据合规与安全产业发展专家工作组共同研发企业数据合规自评估平台,免费向企业提供数据合规基础评估服务。企业将基本信息输入平台并选择合规模板后,平台会对隐私政策、数据主体权利响应机制、数据安全和风险管理措施、数据安全应急预案等数据治理体系进行盘点,在识别数据全生命周期风险的基础上,自动生成包括风险量化评级、影响评估、建议解决方案在内的评估报告,为企业决策提供参考。该平台在数据业务评估方面比传统方式节省60%以上的时间,极大提高了企业的数据合规工作效率和治理能力。
据悉,为不断完善更新《指引》,充分发挥企业数据合规的引领作用。《指引》出台后,杨浦区检察院将持续派遣检察官深入企业园区宣传数据合规,号召企业签署数据合规倡议书,提供精准合规指引,引导区域内初创企业加强数据合规管理,提高企业抗风险能力,健全企业权益保护,预防治理诱导犯罪发生的行业漏洞,整体提升数字行业的规范水平和治理水平,促进和保障杨浦数字经济“在发展中规范、在规范中发展”,打造企业数据合规的“杨浦方案”。
以下为上海《企业数据合规指引》全文: