企业数据合规体系构建
组织架构建设
法定代表人、主要负责人
数据合规部门、负责人
独立于市场、业务、产品部门,不能即当裁判员又当运动员
满足以下条件之一,需要设立专门个人信息保护工作机构:
- 主要业务涉及个人信息处理,且从业人员>200人
- 处理超过100万人个人信息
- 处理超过10万人个人敏感信息
内控制度建设
网络安全管理制度和操作规程
《网络安全法》第二十一条
- 指定内部管理制度、操作流程,确定负责人
- 技术措施,防范病毒、网络攻击等
- 网络日志、运行日志、安全事件日志保留大于6个月
- 做数据分类、重要数据加密和备份
个人信息保护制度
-
分级授权管理机制
《个人金融信息保护技术规范》JR/T 0171-2020 7.2.1 d 建立信息系统分级授权管理机制 -
应急预案
《信息安全技术 个人信息安全规范》GBT 35273-2020 10.1 -
个人信息安全影响评估
《信息安全技术 个人信息安全规范》GBT 35273-2020 11.4
建立用户投诉机制
数据分级治理要点
- 数据分类
- 产品或服务中采集的数据,包括签署的纸质或电子化协议、通过app、h5等采集的电子信息。
- 企业内部系统形成的数据,包括业务数据、经营管理数据,其中业务数据包括交易信息、统计数据等;经营管理数据指经营管理中采集产生的运营数据、技术管理数据、统计分析数据、综合管理数据等。
- 内部办公数据,如日常OA事务处理信息、电子邮件等。
- 其他数据
- 数据定级
影响对象:国家安全、公众权益、个人隐私、企业合法权益;
影响程度:严重损害、一般、轻微、无损害
个人>单位, 身份鉴别信息>个人基本概况信息, 实时性交易数据>低实时性数据 - 数据级别变更
- 数据分级治理机制