為更好地促進和保障城市數(shù)字經(jīng)濟“在發(fā)展中規(guī)范、在規(guī)范中發(fā)展”，在今年1月底，上海市楊浦區(qū)檢察院聯(lián)合市信息服務業(yè)行業(yè)協(xié)會、市數(shù)據(jù)合規(guī)與安全產(chǎn)業(yè)發(fā)展專家工作組、區(qū)工商業(yè)聯(lián)合會制定發(fā)布全市首份《企業(yè)數(shù)據(jù)合規(guī)指引》（以下簡稱《指引》）。

《指引》共有三十八條，按照合規(guī)架構(gòu)與風險識別處理的邏輯劃分為六章，從數(shù)據(jù)合規(guī)管理體系、數(shù)據(jù)風險識別、數(shù)據(jù)風險評估與處置、數(shù)據(jù)合規(guī)運行與保障等方面引導企業(yè)加強數(shù)據(jù)合規(guī)管理。下面我將按照指引要求給企業(yè)一些數(shù)據(jù)合規(guī)的建議和示例。

一、數(shù)據(jù)合規(guī)管理體系

公司應對建議：

一、明確合規(guī)責任人及其所要承擔的職責

示例：將企業(yè)的**管理者設(shè)為數(shù)據(jù)合規(guī)的第一責任人，職責包括有資源分配、設(shè)立舉報與問責機制等，使**管理者既能夠全局性地把握數(shù)據(jù)合規(guī)情況，落實數(shù)據(jù)合規(guī)義務，又不至于被瑣碎的具體合規(guī)問題所困擾。

二、設(shè)置專門的數(shù)據(jù)合規(guī)管理部門，明確其履行的職責，或?qū)?shù)據(jù)合規(guī)管理職能融入現(xiàn)有的企業(yè)合規(guī)管理體系，但不建議由法務部門履行合規(guī)管理職能

示例：在數(shù)據(jù)合規(guī)領(lǐng)域，存在一些專業(yè)性的資質(zhì)與認證，例如CIPP、CIPM和CIPT認證等，企業(yè)在組建數(shù)據(jù)合規(guī)團隊時，可以考慮選擇聘用具備資質(zhì)的人員，以提升團隊專業(yè)化程度。

三、制定并不斷完善數(shù)據(jù)合規(guī)計劃

示例： 數(shù)據(jù)合規(guī)計劃應結(jié)合企業(yè)自身的經(jīng)營范圍、行業(yè)特征、監(jiān)管政策、風險識別等多種因素后制定，并根據(jù)企業(yè)內(nèi)部環(huán)境和外部環(huán)境的變化不斷調(diào)整。

二、數(shù)據(jù)風險識別

公司應對建議：

一、準確識別數(shù)據(jù)風險

示例：常見數(shù)據(jù)風險包括有未授權(quán)訪問、數(shù)據(jù)濫用、數(shù)據(jù)泄漏等數(shù)據(jù)生命周期中存在的風險，以及侵犯個人信息、非法獲取計算機信息系統(tǒng)數(shù)據(jù)、傳播違法信息、侵犯知識產(chǎn)權(quán)、非法跨境提供數(shù)據(jù)等刑事犯罪風險。

二、規(guī)范使用第三方軟件開發(fā)工具包

示例：使用第三方軟件開發(fā)工具包時，應當通過合同等形式明確第三方的數(shù)據(jù)安全責任義務。使用經(jīng)相關(guān)部門審核合規(guī)的開源軟件開發(fā)工具包進行程序開發(fā)活動。

三、數(shù)據(jù)風險評估與處置

公司應對建議：

一、 建立數(shù)據(jù)風險評估機制

示例：企業(yè)要在識別數(shù)據(jù)風險的基礎(chǔ)上，分析和評估數(shù)據(jù)風險的來源、發(fā)生的可能性、后果的嚴重性等，并對數(shù)據(jù)風險進行分級，并根據(jù)風險評估結(jié)果對不同職級、工作范圍的管理層與員工進行風險提示，以便實現(xiàn)事前預防的效果。

二、建立健全數(shù)據(jù)安全事件應急預案與風險處置機制

示例：發(fā)生個人信息等數(shù)據(jù)泄露、郝改、丟失等事件的,數(shù)據(jù)處理者應當立即采取補救措施，并通知所在地區(qū)的數(shù)據(jù)監(jiān)管部門。安全事件涉嫌犯罪的，應當及時向公安機關(guān)報案。

三、建立便捷的數(shù)據(jù)安全投訴舉報渠道

示例：允許員工實名或匿名通過內(nèi)部系統(tǒng)舉報數(shù)據(jù)違規(guī)行為，并嚴格保護實名舉報者和匿名舉報者不受打擊和報復，尤其是保護匿名舉報者的個人信息安全。該措施可以動員企業(yè)員工**參與數(shù)據(jù)合規(guī)的監(jiān)督工作，盡可能減少企業(yè)自我監(jiān)督時的漏洞與死角。

四、數(shù)據(jù)合規(guī)運行與保障

一、建立數(shù)據(jù)合規(guī)的咨詢機制

示例：管理層和各部門員工在工作中可以向數(shù)據(jù)合規(guī)管理部門咨詢數(shù)據(jù)合規(guī)問題。數(shù)據(jù)合規(guī)管理部門應當不斷學習、提升合規(guī)管理水平，也可以同外部機構(gòu)開展數(shù)據(jù)合規(guī)咨詢合作。

二、建立發(fā)現(xiàn)機制

示例：可以通過設(shè)置日常的流程監(jiān)控、內(nèi)部審核、重點核查以及定期評審等方式發(fā)現(xiàn)企業(yè)及員工的違規(guī)行為，并及時按照合規(guī)計劃采取相應的處置措施。數(shù)據(jù)合規(guī)管理部門應定期向合規(guī)負責人匯報數(shù)據(jù)合規(guī)管理情況，當發(fā)生可能給企業(yè)帶來重大數(shù)據(jù)合規(guī)風險的違規(guī)行為時，應當及時向合規(guī)負責人匯報，并提出相應的解決方案。

三、建立考核機制

示例：數(shù)據(jù)合規(guī)考核結(jié)果作為企業(yè)績效考核的重要依據(jù)，與員工的評優(yōu)評先、職務任免、職務晉升以及薪酬待遇等掛鉤。

四、建立培訓機制

示例：數(shù)據(jù)合規(guī)管理部門定期為管理層、員工培訓數(shù)據(jù)合規(guī)，使其充分了解數(shù)據(jù)法規(guī)、數(shù)據(jù)合規(guī)計劃、崗位角色與職責等。鼓勵企業(yè)管理層和其他員工作出并履行明確、公開的數(shù)據(jù)合規(guī)承諾，內(nèi)容主要是知悉、愿意遵守數(shù)據(jù)合規(guī)計劃，愿意承擔違反數(shù)據(jù)合規(guī)承諾的后果。

《指引》還特別對數(shù)據(jù)刑事風險進行了提示。數(shù)據(jù)處理者在數(shù)據(jù)處理活動中可能因為存在某些行為被追究包括侵犯公民個人信息罪、破壞計算機信息系統(tǒng)罪、非法侵入計算機信息系統(tǒng)罪等刑事責任。

想要了解更多《企業(yè)數(shù)據(jù)合規(guī)指引》詳情，可點擊原文鏈接查看：www.shyangpu.jcy.gov.cn/ypjc/jcdt/79471.jhtml