企业数据合规义务

（一）企业数据合规义务

在数据收集、存储和跨境传输、使用和加工、提供或公开、删除等数据处理环节承担相应的合规义务。

1. 收集

收集个人信息应当采取合法、正当的方式。首先，应当注意收集时获得处理个人信息的合法基础；其次，除非有特别情况，应当履行告知义务；如果基于个人同意处理个人信息，应按照《个人信息保护法》规定获取个人的有效同意，并在特定场景下单独同意或书面同意。

2. 存储和跨境传输

存储、加工政务数据，应当经过严格的批准程序，并应当接受监督，依照法律、法规的规定和合同约定履行数据安全保护义务。

确需向境外提供的，应当根据国家规定进行安全评估，经专业机构进行个人信息保护认证，向个人告知境外接收方相关事项并取得单独同意。

3. 使用和加工

使用和加工个人信息，应当取得个人同意。如果以个人同意为合法基础处理个人信息，在使用目的、方式和个人信息的种类发生变化的，应当重新取得个人同意。

4. 提供或公开

履行法定告知义务并取得单独同意，约定相关事项并监督个人信息处理过程。

5. 删除

按照要求，确定个人信息保存的最短或最长期限，并进行告知。出现法律法规规定的法定删除情形时，企业应主动履行删除义务，企业未履行的，个人有权要求企业删除。