为提升数据资源开发利用水平,促进数据高效流通,规范数据处理活动,保障数据安全合规,引导企业合规有序开展数据交易,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《苏州市数据条例》等法律法规,苏州大数据交易所结合数据交易实际情况,制定了《苏州企业数据合规管理指引》(以下简称“本指引”)。
同时,苏州大数据交易所联合苏州互联网法庭、苏州数据资源法庭,为企业开展数据安全合规管理体系建设、数据产品研发以及数据交易流通等数据处理活动提供安全合规指引。本指引作为苏州大数据交易所针对进场交易企业合规审查标准的组成部分。
企业应当通过建立完善的数据合规管理组织体系和制度体系,明确企业内部数据安全管理职责,落实数据合规主体责任。企业处理数据应当符合法律、法规和强制性标准的规定,遵循合法、正当和诚信原则,不得从事危害国家安全、公共利益的数据处理活动,不得非法收集、使用、加工、传输、买卖、提供、公开他人个人信息,不得通过误导、欺诈、胁迫等方式处理个人信息。
一、数据合规管理组织体系建设
企业应当根据自身数据量及数据应用场景等特征,考量数据泄露、数据不合规使用等情形可能给数据主体造成的损害,搭建企业内部的组织架构,采取必要的保障措施,以符合数据保护的要求。
企业应当明确法定代表人或主要负责人对数据安全负全面领导责任,包括为数据安全工作提供人力、财力、物力保障等,确保将数据合规管理要求融入企业的业务过程。
企业应当明确数据合规负责人和数据合规工作机构,数据合规负责人参与有关数据处理活动的重要决策。
对于法律、法规有特别规定的,企业还应当设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作。
二、数据合规管理制度体系建设
为降低数据流通风险,企业应当积极履行数据安全保护义务,建立健全数据全生命周期安全管理制度,针对不同类型和级别数据,实施数据收集、存储、使用、加工、传输、提供、公开、销毁等环节的保护与管理,保障数据的保密性、完整性、可用性和合规性。
企业应当根据自身业务内容定期对企业数据资产进行全面梳理,并结合所属行业、地区的相关标准,对数据进行分类分级,形成数据分类分级清单。对无明确分类分级标准的数据,可根据数据的重要程度、对国家安全公共利益或者个人、组织合法权益可能造成的危害程度等因素,按照就高从严原则进行分类分级。
企业应当结合相关法律、法规和主管部门、所属行业重要数据具体目录等标准规范,识别和确定自身业务活动中涉及的重要数据与核心数据,形成数据清单。
企业应当对重要数据与核心数据实施更加严格的合规管理制度,明确重要数据、核心数据的管理职责、操作规范、审批要求、备案机制等事项,建立重要数据和核心数据的日常记录和容灾备份机制,强化重要数据与核心数据的安全保障。重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
企业应当根据数据分类分级情况,采取适当的匿名化、备份、加密、访问控制、入侵防范等数据安全保护措施,加强对数据处理系统、数据传输网络、数据存储环境、数据访问接口等物理和网络环境的安全防护,将数据安全技术保护覆盖数据处理的全过程。
企业应当按照最小授权原则合理确定数据访问与操作权限,仅在完成职责所需的范围内授予特定人员最小必要的数据操作权限, 并采取技术措施,避免出现越权访问、下载、复制、修改数据等行为。
针对重要数据和核心数据,企业应当通过设置严格的数据处理权限、配备风险阻断机制、明确安全审计流程、落实访问和操作留痕等方式,实现权限最小化管控。
企业应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
企业应当建立针对数据不合规行为的监测机制,及时发现日常数据处理活动中的不合规行为,采取相应的处置和惩戒措施,并对类似问题进行定期排查。发生可能对企业带来重大数据合规风险的违规行为时,应当及时向数据合规负责人汇报,并确定相应的解决方案。
企业应当制定数据安全应急预案,按照危害程度、影响范围等因素对数据安全事件进行分级,并结合分级情况确定应急处置的方针策略、人员职责、具体措施、流程规范、物资保障等事项。
三、数据交易合规
数据交易是指以数据产品作为交易标的,以货币或货币等价物交换数据产品的行为。
数据产品是指经实质性加工或创新性劳动形成的,可满足用户需要的数据集、数据服务及数据应用。
开展数据交易的企业应当建立针对数据来源的合规审查机制, 审核交易方的身份,并留存审查、交易记录,确保数据获取手段合法合规、数据来源链路清晰,并经过所涉主体明确授权同意,不存在侵犯国家、公共利益或其他组织、个人合法权益的情况。
开展数据交易的企业应当建立针对数据产品的合规审查机制, 有下列情形之一的,不得交易:
(一)危害国家安全、公共利益,侵害个人隐私、个人信息, 侵犯他人合法权益的;
(二)未经合法权利人授权同意的;
(三)法律、法规规定禁止交易的其他情形。
数据交易双方应当签署数据交易协议,确保协议内容合法合规,不侵犯他人合法权益,并应当至少包含以下条款:交易数据的用途、使用范围、交付方式、使用期限、安全义务、交易价格、保密约定、争议解决等。
四、数据出境合规
企业向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
企业向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)企业作为关键信息基础设施运营者向境外提供个人信息或者重要数据;
(二)企业作为非关键信息基础设施运营者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
企业作为非关键信息基础设施运营者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息( 不含敏感个人信息) 或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制,企业向境外提供涉及出口管制的数据的,应当依法向有关部门申请出口许可证;可能危害国家安全和利益的,不得向境外提供。
非经中华人民共和国主管机关批准,企业不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
在文末扫码关注官方微信公众号“idtzed”,回复“入”直通 AIGC+X 个人信息保护营,@老邪 免费获取个人信息处理法规工具包。
