(二)構建數據合規管理體系
數據合規管理體系的構建可以參考如下的流程開展:
1. 識別風險:明確數據合規義務,並結合企業當前的數據合規管理實踐評估合規差距。
2. 審視數據資產:對企業的數據資產進行審視,對數據資產進行分類,用於評估數據安全風險等級、制定相應數據合規管理措施等。把控數據業務中的整個生命週期可能存在的風險。
3. 佈局數據合規管理架構:部署數據合規管理組織,明確決策層、執行層與管理層,並明確相關人員的職責。
4. 制定/完善數據合規管理制度:制定相應的數據安全管理措施,完善數據合規管理制度。
5. 數據合規培訓:培訓對象包括企業員工、第三方合作伙伴等,培訓主題可參考具體業務流程中的典型案例。
6. 數據合規監控與審計:數據合規完成度、潛在風險等內容數據化、指標化,用於對數據合規管理體系的運作情況的日常監控與審計。
7. 持續改進
(三)數據合規管理負責人
1. 網絡安全負責人:建立健全網絡安全管理、評價考覈制度,擬訂關鍵信息基礎設施安全保護計劃;組織推動網絡安全防護能力建設,開展網絡安全監測、檢測和風險評估;制定本單位應急預案,定期開展應急演練,處置網絡安全事件;認定網絡安全關鍵崗位,組織開展網絡安全工作考覈;組織網絡安全教育、培訓;履行個人信息和數據安全保護責任,建立健全個人信息和數據安全保護制度;對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理;按照規定報告網絡安全事件和重要事項。
2.數據安全負責人:組織制定數據安全保護工作計劃並督促落實;制定、簽發、實施、更新數據保護相關原則、流程、指引;制定、簽發、實施、更新風險評估方法、開展風險評估、提出和落實風險應對措施;協同各部門建立、維護、更新組織所持有的數據清單和授權訪問策略等;組織開展員工培訓,提出組織數據合規能力與意識;組織產品或服務上線前檢測,防止風險脫控;公佈聯繫方式並受理投訴舉報;定期進行內部數據安全合規審計或引入外部審計;與主管監管部門、行業組織、管理部門保持良好溝通,報告數據安全保護情況並提出應對或改進意見。
3. 個人信息保護負責人:全面統籌實施組織內部的個人信息安全工作,對個人信息安全負直接責任;組織制定個人信息保護工作計劃並督促落實;制定、簽發、實施、定期更新個人信息保護政策和相關規定;建立、維護和更新組織所持有的個人信息清單和授權訪問策略;開展個人信息安全培訓;在產品或服務上線前進行檢測,避免未知的個人信息收集、使用、共享等處理行爲;公佈投訴、舉報方式等信息受理投訴舉報;進行安全審計;與主管監管部門、行業組織、管理部門保持良好溝通,報告數據安全保護情況並提出應對或改進意見。
(四)數據合規培訓工作的開展
首先,指定特定的部門、人員或工作小組負責統籌企業數據合規培訓工作,指定年度數據合規培訓計劃,明確培訓主題、頻率、參與培訓的部門及人員、培訓方式、培訓材料的留存、培訓效果的檢驗方式等;
其次,可自行開展,也可委託外部專業機構進行培訓,合規義務、合規管理措施等;
再次,培訓的方式可多種多樣,線下會議或課程,線上直播或錄播課程,宣傳冊、海報、宣傳片,定期發佈內聯網內容,電子郵件或其他宣傳材料等,培訓數據合規意識,宣貫良好的數據合規實踐案例。
(五)數據合規審計
我國的數據合規審計,以自行審計爲原則,以強制審計爲補充。審計類型分爲兩種,一種是爲控制和避免企業及員工因數據處理不合規,引發法律責任、受到相關處罰、造成經濟或聲譽損失以及其他負面影響的可能性而開展的定期自行審計;另一種是當風險事件發生時,企業監管機構要求或履行風險應急管理義務而啓動的專項審計。
定期和全面的審計工作可以規避企業在收集、存儲和使用個人信息時出現數據合規風險。《個人信息保護法》要求企業定期對其處理個人信息遵守法律法規情況進行合規審計。同時監管機構在履職時發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以按要求委託專業機構開展合規審計。
數據合規審計的要點應當至少包括:
常見的數據處理風險場景及企業的應對措施;
數據合規管理架構的運營情況及問責制;
企業開展數據合規培訓的情況和員工的意識;
對數據合作伙伴的管理;
數據保護影響評估和風險管理等。