官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 资讯

近日，上海市首份《企业数据合规指引》（下称《指引》）正式出台。据悉，《指引》由上海市杨浦区检察院联合市信息服务业行业协会、市数据合规与安全产业发展专家工作组、区工商业联合会制定发布，目的是为了促进和保障城市数字经济“在发展中规范、在规范中发展”。

企业数据合规指引

《指引》共六章三十八条，主要对企业的数据合规管理架构与风险识别处理规范作出了规定，包括数据合规管理体系、数据风险识别、数据风险评估与处置、数据合规运行与保障等内容，督促企业对数据进行合规管理，有效惩治预防数据违法犯罪。

企业在制定合规计划的时候应当全面识别所面临的数据风险，根据这些风险来制定和完善合规计划。《指引》列举了一些常见的数据风险。例如：数据处理者开展影响或者可能影响国家安全的数据处理活动，应当按照国家有关规定，申报网络安全审查；数据处理者处理个人信息，应当依据《个人信息保护法》的规定遵守八项规则，并在特定情况下删除个人信息或者进行匿名化处理等。

《指引》还特别对数据刑事风险进行了提示。数据处理者在数据处理活动中可能因为存在某些行为被追究包括侵犯公民个人信息罪、破坏计算机信息系统罪、非法侵入计算机信息系统罪等刑事责任。

四大亮点内容

一、规定企业最高管理者是数据合规的第一责任人，鼓励各类所有制企业建立专门的数据合规管理部门，且不建议由法务部门履行合规管理职能，并提供足够的授权、人力、财力来支持数据合规管理体系的构建和运行。

二、根据《个人信息保护法》以及《上海市数据条例》的规定，规定数据处理的相关原则和规则，主动识别企业治理和义务活动中存在的数据风险，利用生物特征进行个人身份认证的，对必要性、安全性进行风险评估，不得强制个人同意收集人脸、步态、指纹、虹膜、声纹等生物特征信息。

三、建立数据合规的发现、举报和考核机制，数据合规考核结果作为企业绩效考核的重要依据，与员工的薪酬和职务晋升挂钩。

四、提示注意数据处理者违规处理数据活动中可能被追究的刑事责任，比如侵犯公民个人信息罪、破坏计算机信息系统罪、侵犯商业秘密罪等。

文章来源：杨浦检察