(二)构建数据合规管理体系
数据合规管理体系的构建可以参考如下的流程开展:
1. 识别风险:明确数据合规义务,并结合企业当前的数据合规管理实践评估合规差距。
2. 审视数据资产:对企业的数据资产进行审视,对数据资产进行分类,用于评估数据安全风险等级、制定相应数据合规管理措施等。把控数据业务中的整个生命周期可能存在的风险。
3. 布局数据合规管理架构:部署数据合规管理组织,明确决策层、执行层与管理层,并明确相关人员的职责。
4. 制定/完善数据合规管理制度:制定相应的数据安全管理措施,完善数据合规管理制度。
5. 数据合规培训:培训对象包括企业员工、第三方合作伙伴等,培训主题可参考具体业务流程中的典型案例。
6. 数据合规监控与审计:数据合规完成度、潜在风险等内容数据化、指标化,用于对数据合规管理体系的运作情况的日常监控与审计。
7. 持续改进
(三)数据合规管理负责人
1. 网络安全负责人:建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;制定本单位应急预案,定期开展应急演练,处置网络安全事件;认定网络安全关键岗位,组织开展网络安全工作考核;组织网络安全教育、培训;履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;按照规定报告网络安全事件和重要事项。
2.数据安全负责人:组织制定数据安全保护工作计划并督促落实;制定、签发、实施、更新数据保护相关原则、流程、指引;制定、签发、实施、更新风险评估方法、开展风险评估、提出和落实风险应对措施;协同各部门建立、维护、更新组织所持有的数据清单和授权访问策略等;组织开展员工培训,提出组织数据合规能力与意识;组织产品或服务上线前检测,防止风险脱控;公布联系方式并受理投诉举报;定期进行内部数据安全合规审计或引入外部审计;与主管监管部门、行业组织、管理部门保持良好沟通,报告数据安全保护情况并提出应对或改进意见。
3. 个人信息保护负责人:全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;组织制定个人信息保护工作计划并督促落实;制定、签发、实施、定期更新个人信息保护政策和相关规定;建立、维护和更新组织所持有的个人信息清单和授权访问策略;开展个人信息安全培训;在产品或服务上线前进行检测,避免未知的个人信息收集、使用、共享等处理行为;公布投诉、举报方式等信息受理投诉举报;进行安全审计;与主管监管部门、行业组织、管理部门保持良好沟通,报告数据安全保护情况并提出应对或改进意见。
(四)数据合规培训工作的开展
首先,指定特定的部门、人员或工作小组负责统筹企业数据合规培训工作,指定年度数据合规培训计划,明确培训主题、频率、参与培训的部门及人员、培训方式、培训材料的留存、培训效果的检验方式等;
其次,可自行开展,也可委托外部专业机构进行培训,合规义务、合规管理措施等;
再次,培训的方式可多种多样,线下会议或课程,线上直播或录播课程,宣传册、海报、宣传片,定期发布内联网内容,电子邮件或其他宣传材料等,培训数据合规意识,宣贯良好的数据合规实践案例。
(五)数据合规审计
我国的数据合规审计,以自行审计为原则,以强制审计为补充。审计类型分为两种,一种是为控制和避免企业及员工因数据处理不合规,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性而开展的定期自行审计;另一种是当风险事件发生时,企业监管机构要求或履行风险应急管理义务而启动的专项审计。
定期和全面的审计工作可以规避企业在收集、存储和使用个人信息时出现数据合规风险。《个人信息保护法》要求企业定期对其处理个人信息遵守法律法规情况进行合规审计。同时监管机构在履职时发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按要求委托专业机构开展合规审计。
数据合规审计的要点应当至少包括:
常见的数据处理风险场景及企业的应对措施;
数据合规管理架构的运营情况及问责制;
企业开展数据合规培训的情况和员工的意识;
对数据合作伙伴的管理;
数据保护影响评估和风险管理等。
网友评论