企业数据合规体系构建
组织架构建设
法定代表人、主要负责人
数据合规部门、负责人
独立于市场、业务、产品部门,不能即当裁判员又当运动员
满足以下条件之一,需要设立专门个人信息保护工作机构:
- 主要业务涉及个人信息处理,且从业人员>200人
- 处理超过100万人个人信息
- 处理超过10万人个人敏感信息
内控制度建设
网络安全管理制度和操作规程
《网络安全法》第二十一条
- 指定内部管理制度、操作流程,确定负责人
- 技术措施,防范病毒、网络攻击等
- 网络日志、运行日志、安全事件日志保留大于6个月
- 做数据分类、重要数据加密和备份
个人信息保护制度
-
分级授权管理机制
《个人金融信息保护技术规范》JR/T 0171-2020 7.2.1 d 建立信息系统分级授权管理机制 -
应急预案
《信息安全技术 个人信息安全规范》GBT 35273-2020 10.1 -
个人信息安全影响评估
《信息安全技术 个人信息安全规范》GBT 35273-2020 11.4
建立用户投诉机制
数据分级治理要点
- 数据分类
- 产品或服务中采集的数据,包括签署的纸质或电子化协议、通过app、h5等采集的电子信息。
- 企业内部系统形成的数据,包括业务数据、经营管理数据,其中业务数据包括交易信息、统计数据等;经营管理数据指经营管理中采集产生的运营数据、技术管理数据、统计分析数据、综合管理数据等。
- 内部办公数据,如日常OA事务处理信息、电子邮件等。
- 其他数据
- 数据定级
影响对象:国家安全、公众权益、个人隐私、企业合法权益;
影响程度:严重损害、一般、轻微、无损害
个人>单位, 身份鉴别信息>个人基本概况信息, 实时性交易数据>低实时性数据 - 数据级别变更
- 数据分级治理机制
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· 实操Deepseek接入个人知识库
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· 【.NET】调用本地 Deepseek 模型
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库
2018-02-11 Javassist简介