企业数据合规体系构建

组织架构建设

法定代表人、主要负责人
数据合规部门、负责人
独立于市场、业务、产品部门,不能即当裁判员又当运动员
满足以下条件之一,需要设立专门个人信息保护工作机构:

  • 主要业务涉及个人信息处理,且从业人员>200人
  • 处理超过100万人个人信息
  • 处理超过10万人个人敏感信息

内控制度建设

网络安全管理制度和操作规程
《网络安全法》第二十一条

  1. 指定内部管理制度、操作流程,确定负责人
  2. 技术措施,防范病毒、网络攻击等
  3. 网络日志、运行日志、安全事件日志保留大于6个月
  4. 做数据分类、重要数据加密和备份

个人信息保护制度

  • 分级授权管理机制
    《个人金融信息保护技术规范》JR/T 0171-2020 7.2.1 d 建立信息系统分级授权管理机制

  • 应急预案
    《信息安全技术 个人信息安全规范》GBT 35273-2020 10.1

  • 个人信息安全影响评估
    《信息安全技术 个人信息安全规范》GBT 35273-2020 11.4

建立用户投诉机制

数据分级治理要点

  • 数据分类
  1. 产品或服务中采集的数据,包括签署的纸质或电子化协议、通过app、h5等采集的电子信息。
  2. 企业内部系统形成的数据,包括业务数据、经营管理数据,其中业务数据包括交易信息、统计数据等;经营管理数据指经营管理中采集产生的运营数据、技术管理数据、统计分析数据、综合管理数据等。
  3. 内部办公数据,如日常OA事务处理信息、电子邮件等。
  4. 其他数据
  • 数据定级
    影响对象:国家安全、公众权益、个人隐私、企业合法权益;
    影响程度:严重损害、一般、轻微、无损害
    个人>单位, 身份鉴别信息>个人基本概况信息, 实时性交易数据>低实时性数据
  • 数据级别变更
  • 数据分级治理机制

posted on 2024-02-11 19:42  肥兔子爱豆畜子  阅读(42)  评论(0编辑  收藏  举报

导航