目 錄
第一章 總則
第二章 數據合規管理組織體系
第三章 數據合規管理制度體系
第四章 數據全生命周期合規
第五章 數據合規運行及保障
第六章 數據跨境流動合規
第七章 附則
第一章總則
第一條【目的和依據】
為引導企業規范數據合規管理,統籌推進企業數據權益保護,保障企業數據安全,依據《中共中央、國務院關于構建數據基礎制度更好發揮數據要素作用的意見》《促進和規范數據跨境流動規定》等政策文件、《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國網絡安全法》等法律法規,制定本指引。
第二條【數據合規指引的必要性】
引導各類企業開展數據合規管理是對企業經營活動中依法開發和利用數據資源,維護合法權益的重要保障,也是降低企業及其員工涉數據類違法違規風險的重要舉措,企業可以通過建立完善的數據合規管理體系,有效預防數據安全事件。
第三條【適用范圍和效力】
該指引立足合肥市企業數據法治需求,對企業數據合規管理組織體系、制度體系,數據全生命周期合規和數據合規運行及保障、數據跨境流通合規等作出指導,合肥市各類企業,尤其是人工智能、工業互聯網、普惠金融、網絡貨運、民用航空、空天信息、政府采購等領域數據資源豐富的企業,進行數據處理活動時可參考本指引開展數據合規管理。
本指引由合肥市數據資源管理局、合肥市司法局、合肥市律師協會共同編制,安徽省數字江淮中心參與編制。
本指引不具有強制性,法律、法規及有關國家、行業標準另有專門規定的,從其規定。
第四條【合法、正當和誠信原則】
企業開展數據處理活動,行使相關數據權益,應當遵守法律、法規,尊重社會公德,誠實守信,承擔社會責任,不得危害國家安全、公共利益,不得損害他人合法權益。
第五條【數據權益保護】
鼓勵企業依法開發和利用數據資源,保護企業在使用、加工等數據處理活動中形成的法定或者約定的財產權益,以及在數字經濟發展中有關數據創新活動取得的合法財產權益。
第六條【數據安全保護】
企業應當建立數據安全制度,采取技術措施或其他必要措施,防止數據丟失、毀損、泄露和篡改,確保收集、存儲的數據安全,對數據的準確、完整、及時性負責。鼓勵企業探索運用人工智能技術保護數據安全。
第七條【數據分級分類制度】
企業應當建立數據分類分級,按對國家安全、公共利益、或者個人、組織合法權益的影響程度和重要程度,對數據實行分類分級保護,鼓勵企業建立重要數據目錄。倡導企業通過人工智能技術進行數據自動化和智能化分類分級。
第八條【數據合規管理責任主體】
企業是數據合規管理的責任主體,負責其數據處理活動和合規管理中各項要求的推進落實,對其數據處理活動、合規管理和運行效果負責。
第九條【涉第三方數據管理】
企業接受第三方委托或者委托第三方,共同開展數據處理活動,應當符合法律、法規和強制性標準的規定,明確各方的權利和義務,有效預防數據合作法律關系中的風險。
第十條【數據保護影響評估】
企業應建立事前數據保護影響評估報告制度,梳理歸納啟動事前數據保護影響評估的情形,有效防范數據安全風險事件。
第十一條【風險導向原則】
企業應當采取必要措施對國家核心數據、重要數據、敏感個人信息等存在較高合規風險的數據予以重點保護,加強合規管理。
第十二條【可追溯原則】
企業對數據進行修改、查詢、導出、刪除等處理時,應當記錄相應操作,確保操作記錄可追溯、可審查。
第二章數據合規管理組織體系
第十三條【一般要求】
為確保企業數據處理活動的合法性與合規性,企業應嚴格遵循相關法律法規,構建完善的數據合規管理組織體系,明確數據合規責任主體,組織開展數據合規教育培訓,加強人力資源考核與保障,加強跨部門合作交流,強化員工數據合規意識。
第十四條【數據合規決策層的職責】
數據合規負責人由企業主要負責人擔任,對數據合規負領導責任。數據合規負責人應當承擔以下職責:
(一)為企業數據合規管理制度體系的建構和運行提供必要的資源保障和條件支持;
(二)確立數據合規方針和合規目標,并確保企業戰略方向與合規方針和目標保持一致;
(三)確保將數據合規管理要求融入企業的業務過程;
(四)確保合規管理制度體系有效運轉并持續改進;
(五)保障數據合規管理部門具備獨立履行職責的能力與權限;
(六)確保建立有效的數據違規舉報與懲處機制和跨部門合作機制;
(七)審批企業重大數據合規事項;
(八)引導培育企業數據合規自主性,促成數據合規企業文化;
(九)對數據合規管理層工作情況進行監督。
第十五條【數據合規管理層的職責】
企業應當設立專門的數據合規管理部門,或由合規管理、法務、審計、監督等相關部門承擔該職能,并配備數據合規專員。數據合規管理部門對數據合規決策層負責,承擔以下職責:
(一)確立、堅持并推廣數據合規企業文化;
(二)組織制定企業數據合規管理制度規范與合規計劃,并推動其有效實施;
(三)統籌規劃和實施數據合規管理工作,定期對數據合規管理情況進行全面評估與檢查,并制作詳盡的書面記錄;
(四)建立數據合規舉報與調查機制,對數據合規舉報制定調查方案并開展調查;
(五)定期組織或協助人事部門開展數據安全合規培訓,為企業相關內部職能部門提供數據合規咨詢與支持;
(六)推動跨部門合作機制,促進部門間的溝通與協作,確保企業在數據處理各環節均嚴格遵守相關法規和數據合規管理;
(七)向數據合規負責人與董事會報告數據合規重大風險和數據合規工作情況。
第十六條【數據合規執行層的職責】
企業內部開展數據處理工作的各職能部門負責本部門業務范圍內的數據合規工作,并承擔以下職責:
(一)根據企業數據合規管理制度及相關合規指引,確立并執行一套嚴謹的數據處理全生命周期合規要求和工作機制;
(二)確保本部門員工遵守企業合規制度規范,履行數據合規義務;
(三)配合數據合規負責人和合規管理部門開展合規風險審查、評估、整改等各項合規工作;
(四)密切監測日常數據處理工作中的數據安全合規風險,并采取適當的安全保護措施;
(五)當發現數據處理活動存在較大合規風險或者發生數據安全事件時,及時向數據合規負責人和合規管理部門報告,并配合采取應急處置和整改措施。
【文件化信息】企業應當以適當的方式和載體,對數據合規管理過程中產生的文檔化信息進行記錄。這些文檔化信息需以清晰、易懂、易查詢的方式儲存,并應實施必要措施,以保障其不被泄露、濫用或破壞其完整性。
第十七條【個人信息保護負責人的指定及責任】
處理個人信息達到國家網信部門規定數量的企業應當指定專門的個人信息保護負責人,并承擔以下職責:
(一)統籌實施企業內部的個人信息合規工作;
(二)組織制定個人信息合規方面的內部制度和操作規程,并督促落實;
(三)組織開展個人信息安全影響評估,督促整改安全隱患;
(四)定期組織開展合規審計;
(五)及時受理相關投訴、舉報;
(六)與監管部門保持溝通,通報或報告個人信息保護和事件處置等情況。
企業應當公開個人信息保護負責人的姓名、聯系方式等情況,并報送履行個人信息保護職責的部門。
第三章數據合規管理制度體系
第十八條【一般要求】
企業應當依照法律、法規規定,結合自身業務,建立健全覆蓋數據全生命周期的數據合規管理制度體系,明確企業內部數據合規管理的相關標準、規范和操作規程,堅持安全和發展并重,確保數據合規管理制度與生產運營、業務發展同步規劃、同步建設、同步運行。
第十九條【數據分類分級保護制度】
企業應當建立數據分類分級保護制度,根據所屬國家行業、地區的相關標準,按照數據的重要程度、對國家或者個人、組織合法權益的影響程度進行分類分級,形成數據分類分級清單。
企業應根據數據分類分級清單,制定并執行相應的操作要求和保護措施。同時處理不同級別數據且難以分別采取保護措施的,企業應當按照其中級別最高的要求給予保護。
企業應當結合相關法律、法規和主管部門、所屬行業重要數據具體目錄等標準規范,重點識別和確定重要數據和核心數據清單,明確重要數據和核心數據的管理職責、操作規范、審批要求、備案機制等事項,建立重要數據和核心數據的日常記錄和容災備份機制,強化重要數據和核心數據的安全保障。
第二十條【采取安全技術保護措施】
企業應當根據數據分類分級情況,采取適當的匿名化、備份、加密、訪問控制、入侵防范等數據安全技術保護措施,加強對數據處理系統、數據傳輸網絡、數據存儲環境、數據訪問接口等物理和網絡環境的安全防護,將數據安全技術保護覆蓋到數據處理的全過程。
處理重要數據的系統應滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求,處理核心數據的系統依照有關規定從嚴保護。
第二十一條【權限控制機制】
企業應當按照最小授權原則合理確定數據訪問與操作權限,僅在完成職責所需的范圍內授子特定人員最小必要的數據操作權限,并通過技術手段限制超越權限的操作空間。
針對重要數據和核心數據,企業應當通過設置嚴格的數據處理權限、配備風險阻斷機制、明確安全審計流程、落實訪問和操作留痕等方式,實現權限最小化管控。
第二十二條【依法申報數據安全審查】
鼓勵企業自主審查其數據處理活動是否影響或者可能影響國家安全。符合法律法規規定條件的,企業應當按照有關規定,申報網絡安全審查。
掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。
第二十三條【建立合規風險評估機制】
企業應當建立數據合規風險評估機制,每年至少開展一次數據合規風險評估,對數據分類分級保護情況、數據安全技術保護措施有效性、關鍵基礎設施安全水平、數據處理合規情況、數據安全預警和應急事件處置能力、數據安全問題整改和監管執法響應情況等內容進行評估,并形成數據合規風險評估報告。涉及處理重要數據的,還應對重要數據的處理情況作出評估,并向有關主管部門報送風險評估報告。對新上線業務、第三方數據合作業務以及重點存量業務,企業可以不定期開展合規風險評估。
企業應當根據數據合規風險評估報告對相關職能部門、崗位員工作出風險提示,并要求其采取相應的風險處置和整改措施,必要時應暫停或取消具有較高合規風險的業務活動。
第二十四條【監測預警與存在安全缺陷、漏洞的補救措施】
企業應當建立數據安全風險監測預警機制,及時監測日常數據處理活動中的異常情況和安全風險,并進行預警。當發現數據安全缺陷、漏洞等風險時,應當立即采取預防、補救措施;造成或者可能造成嚴重后果的,應當及時告知可能受到影響的主體,并向有關主管部門報告。
企業應當建立針對數據不合規行為的監測機制,及時發現日常數據處理活動中的不合規行為,采取相應的處置和懲戒措施,并對類似問題進行排查。發生可能對企業帶來重大數據合規風險的違規行為時,應當及時向數據合規負責人匯報,并確定相應的解決方案。
第二十五條【數據安全應急預案、演練和處置機制】
企業應當制定數據安全應急預案,按照危害程度、影響范圍等因素對數據安全事件進行分級,并結合分級情況確定應急處置的方針策略、人員職責、具體措施、流程規范、物資保障等事項。企業應當每年至少組織一次應急響應培訓和應急預案演練,使相關人員掌握熟悉應急處置策略和規程。
當發生數據安全事件時,企業應當按照應急預案及時采取處置措施,防止危害擴大,消除安全隱患,記錄事件內容,保留相關證據,并向有關主管部門報告。安全事件對個人、組織造成實質性危害的,企業還應及時以電話、短信、郵件等方式向所涉主體告知安全事件情況、危害后果、已采取的補救措施等信息。無法逐一告知的,可采取公告方式告知。
第二十六條【積極配合監管】
企業應當建立監管執法配合機制,受到監管部門調查時應立即通知數據合規負責人、數據合規管理部門負責人和相關職能部門負責人等人員,啟動必要的內部調查程序并明確監管調查對接人員,必要時應當暫停相應的數據處理活動。
企業應當對監管部門的監管執法予以協助、配合,不得拒絕、阻撓,不得提供虛假材料、信息或隱匿、銷毀、轉移證據。
企業積極配合監管并主動開展合規整改采取措施有效減輕、消除危害后果的,可以向監管部門申請酌情從輕或減輕行政處罰。
第二十七條【建立監管響應和整改機制】
企業應當按照監管部門提出的監管建議及時采取整改措施,優化、更新數據合規管理制度,建立健全數據合規長效機制,有效消除安全隱患。
企業應該根據法律法規變化和監管動態落實情況動態調整數據合規相關機制和技術手段。
第二十八條【外部投訴機制】
企業應當建立便捷的數據合規外部投訴機制,公布受理部門或人員聯系方式、受理流程等信息,鼓勵受到數據不合規行為影響的主體進行投訴,并在合理時間內向投訴人回復處理情況。
第四章數據全生命周期合規
第一節數據收集
第二十九條【數據收集的一般性規定】
不得以不正當競爭為目的,違反誠實信用獲取數據;不得違法侵入涉密網站和計算機信息系統獲取數據;不得以非法獲取內部訪問、操作權限等方式,未經授權或超越授權范圍獲取數據;不得干擾被訪問網站的正常運營或者妨礙計算機信息系統正常運行;不得以技術破解方式突破網站、計算機信息系統為保護數據而設置的技術保護措施。企業收集涉及他人知識產權、商業秘密或非公開的個人信息的數據,應事前征得所涉主體同意。
第三十條【以爬蟲等手段抓取數據的合法標準】
企業采用網絡爬蟲等自動化工具收集數據的,應當遵守法律法規、行業自律公約,尊重爬取對象網站的爬蟲協議及規則,事前評估對網絡服務的性能、功能可能帶來的影響,避免干擾網絡服務的正常功能或妨礙計算機信息系統正常運行。
第三十一條【以購買、交換等手段收集數據的合法標準】
企業通過向第三方購買、交換、共享等方式收集數據的,應當符合法律、法規要求,對第三方的資質以及獲取和持有數據的合規性進行必要審查,要求其作出數據來源合法性承諾并提供必要證明。
對從第三方獲取的數據,企業應當承擔與直接收集的數據同等的安全保護責任與合規義務。
第三十二條【在提供產品、服務過程中收集數據的合法標準】
企業在提供產品、服務過程中收集個人信息,應當符合最小必要原則,僅收集與實現產品或服務的業務功能直接相關的個人信息。不得因個人不同意提供非必要個人信息,而拒絕向其提供基本功能或服務。
企業基于開發新型業務功能、提升服務體驗等目的,超出必要范圍收集用戶個人信息的,應當征得個人同意。
企業如需使用在提供產品、服務過程中收集到的數據,應當事先獲得相關數據主體的授權同意。
第三十三條【分類管理】
企業應當建立個人信息分類管理制度,結合個人信息的主體屬性、具體種類、敏感程度、處理方式、應用場景、對個人權益的影響、可能存在的安全風險等因素明確個人信息分類標準,并分別確定針對不同類型個人信息的處理規則、合規義務和保護標準。敏感個人信息及未成年人個人信息處理規則應當遵循法律、法規的相關規定。
第三十四條【個人信息保護政策合規】
企業在收集用戶數據前,應當通過彈窗、文本鏈接、附件、常見問題(FAQs)等簡潔明顯且易于訪問的方式,以清晰易懂的語言告知用戶個人信息保護政策,個人信息保護政策所告知的信息應當包含相關法律、法規、行業自律公約等規定的內容,所告知的信息應真實、準確、完整,且內容應清晰易懂,符合通用的語言習慣,使用標準化的數字、圖示等,避免使用有歧義的語言;個人信息保護政策應公開發布且易于訪問。
第二節數據存儲
第三十五條【分級分域管理】
企業應當根據分類分級等內部規范對不同類型、風險等級和重要、敏感程度的數據進行分級分域管理,對不同數據進行物理隔離或強邏輯隔離,確定數據存儲的期限、位置,并采取相適應的安全保護措施和訪問控制機制,維護數據的完整性、保密性、可用性。
企業應當通過加密存儲、訪問控制、校驗技術等措施強化對重要數據和敏感個人信息的保護。
第三十六條【數據存儲介質管理】
企業應當根據數據類型、風險等級和重要、敏感程度等因素選擇安全性能、防護級別與安全等級相適應的存儲設備和介質,制定數據存儲設備和介質清單,建立數據存儲設備和介質管理制度,規范存儲設備和介質的使用、操作、維修和故障處理,并對傳遞、使用數據存儲設備和介質的行為建立審批和日志記錄等管控機制,強化存儲設備和介質的物理安全和加密管理。
第三十七條【云平臺存儲】
企業使用第三方云平臺進行數據存儲的,應當要求云服務提供商定期報告云平臺運行狀態、安全狀況等信息,并定期對第三方云平臺的穩定性和采取的安全保護措施等進行審計,確保其具備充分的數據安全保護能力。
企業終止使用云平臺存儲服務的,有權取回數據、文檔等資料并對其完整性、有效性進行驗證。云服務提供商應當按照約定方式刪除、銷毀云平臺存儲的數據及副本。
第三十八條【技術保護措施:去標識化、匿名化】
企業在存儲數據時應當采取加密、去標識化、匿名化處理等安全技術措施,降低個人信息被篡改、破壞、泄露或者非法獲取、非法利用等風險。經過去標識化處理的個人信息應當與其他個人信息分開存儲,并嚴格控制訪問權限。
第三十九條【數據備份及恢復】
企業應當建立重要數據和個人信息的備份與恢復機制,確定數據備份的范圍、頻率、方法和流程,并定期對備份數據進行恢復測試和完整性校驗,防范數據意外損毀、丟失等風險。
第三節數據傳輸和提供
第四十條【數據傳輸加密的合規要求】
企業應當采取信源加密、通道加密等安全保護措施確保數據傳輸介質和環境安全,保障重要數據和敏感個人信息傳輸過程的安全性,防范未經授權訪問和數據泄露。
第四十一條【向第三方提供數據的合規要求】
企業因業務需要等正當理由向第三方提供或共享、委托處理數據的,應當對數據接收方進行事前資格審查并評估其數據安全保護能力。涉及提供重要數據、敏感數據的,應當留存相應的日志記錄。
企業應當通過合同等形式與數據接收方約定處理數據的目的、范圍、方式、限制與應采取的安全保護措施等事項,明確雙方權利和義務,并對數據接收方的處理活動進行必要監督。發現數據接收方違反法律、法規規定或雙方約定處理數據的,應當立即要求其停止相關行為并采取必要的補救措施;必要時應當暫停或終止向其提供數據,并監督數據接收方及時返還、刪除、銷毀已獲得的數據。
第四十二條【向第三方提供個人信息的合規要求與豁免】
企業向第三方提供或共享、委托處理個人信息的,應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,并按照法律規定征得個人單獨同意,并留存個人同意記錄、提供個人信息的日志記錄以及共享、交易、委托處理重要數據的審批記錄和日志記錄。
第四十三條【共同處理場合下的合規要求】
兩個以上的企業共同決定個人信息的處理目的和處理方式的,應當約定各自的權利和義務、應采取的安全保護措施、發生數據安全事件時的補救與應急處置措施以及責任承擔等事項。
第四十四條【合作方管理】
企業應當加強對合作方的合規管理,明確信息系統開發及運維、數據存儲、數據處理等合作方的準入標準和資格審查機制,并通過簽訂合規協議等形式明確雙方的權利和義務,以及合作方的數據處理權限、應采取的安全保護措施等事項。
企業應當定期對合作方進行合規檢查和審計,并結合風險特征對合作方進行合規分級、分類管控,對不同風險級別的合作方采取相適應的合規管理措施。發現合作方存在嚴重違法、違規、違約行為或發生重大數據安全事故、喪失數據安全保障能力、故意不履行數據安全保護職責等情形的,應及時終止與其合作。
第四十五條【第三方接入場景/SDK的合規義務】
企業在其產品或服務中接入由第三方提供的軟件開發工具包的,應當事前對接入第三方進行安全檢測,評估是否存在已知的安全漏洞以及可能引起數據泄露等安全事件的行為,并建立相應的接入第三方合規管理機制,通過簽署開發者服務協議等形式明確雙方的權利和義務、應采取的安全保護措施、發生數據安全事件時的補救與應急處置措施以及責任承擔等事項,并留存第三方接入日志記錄。
第三方軟件開發工具包具備收集、處理個人信息功能的,企業應當要求該第三方如實、完整披露收集、處理個人信息的具體情況,并應將相關情況及時、準確告知所涉個人,并按照法律規定征得個人同意。
企業應當對第三方軟件開發工具包進行持續安全監測,發現接入第三方存在違反法律、法規規定或雙方約定處理數據,或未落實數據安全保護責任造成較大安全風險的,應當及時切斷接入,并督促其采取整改措施。對于流量劫持、資費消耗、隱私竊取、廣告刷量、惡意廣告、惡意勒索、虛擬幣挖礦、遠程控制、剪切板劫持等惡意行為的第三方軟件開發工具包應當取消其接入權限。
第四十六條【合并、重組、分立、解散、破產場合下的合規要求】
企業因兼并、重組、破產等原因需要轉移數據的,應當制定數據轉移方案,明確數據承接方及其應當履行的數據安全保護責任等事項,并以合適的方式通知受影響的個人。
作為數據承接方的企業應當繼續承擔數據合規義務和數據安全責任。因業務需要等正當理由確需改變數據處理目的、范圍、方式的,應當重新征得所涉個人同意。
第四節數據交易
第四十七條【數據交易】
鼓勵數據交易主體通過數據交易場所進行交易。數據交易主體在交易前,可根據相關法律法規的規定對數據產品或服務進行數據資源登記。開展數據交易時,數據交易主體應當遵守以下基本要求:
(一)遵守我國關于數據流通與交易管理的法律法規,尊重社會公德、商業道德,接受監督管理;
(二)采取必要措施,做到交易過程可控制、風險可防范、責任可追溯、合規性可監督;
(三)數據交易主體應當誠實守信,恪守承諾,全面及時履行合同約定及相關承諾;
(四)數據交易主體在享有數據權益的同時,應當履行相關義務,確保數據交易安全合規。
第四十八條【數據交易場所的合規義務】
數據交易場所應當建立數據來源可確認、使用范圍可界定、交易過程可追溯、安全風險可防范的可信數據交易環境,制定平臺準入、數據質量評估、交易管理、合規審查、信息披露、自律監管等規則,對場內交易進行管理,交易參與主體應當予以配合。
數據交易場所應當對場內交易進行合法性與合規性評估,并履行以下義務:
(一)要求數據提供方說明數據來源并審核相關信息,必要時要求提供合規評估法律意見書;
(二)審核數據交易雙方身份和數據交易合同;
(三)留存相關審核、交易記錄;
(四)監督數據交易、結算和交付;
(五)采取必要技術手段確保數據交易安全,保護個人信息、個人隱私、商業秘密、保密商務信息和重要數據;
(六)法律、法規規定的其他義務。
第四十九條【數據來源合規】
開展數據交易的企業應當建立針對數據來源的合規審查機制,確保數據獲取手段合法合規、數據來源鏈路清晰,并經過所涉主體明確授權同意,不存在侵犯國家、公共利益或其他組織、個人合法權益的情況。
第五十條【數據可交易性】
為保障數據交易的合法合規,開展數據交易的企業應當確認其提供的數據產品屬于法律法規允許交易的范圍,數據處理符合法律規定,不包含禁止交易的數據。該類數據形成的數據產品具有合法性、可控性、流通性。
第五十一條【數據內容合規】
開展數據交易的企業應當建立針對數據內容的合規審查機制,不得交易含有以下內容的數據產品或服務:
(一)含有未經授權的個人信息的;
(二)含有侵犯他人知識產權或商業秘密的內容的;
(三)含有未經依法開放的公共數據的;
(四)含有國家核心數據或國家秘密的;
(五)含有法律、法規規定禁止交易的其他數據的。
第五十二條【數據質量管控】
開展數據交易的企業應當建立必要的數據質量校驗機制,提升交易數據的準確性、完整性和及時性,并通過數據復核、交叉驗證等方式強化重要數據、敏感數據的質量審查。
第五十三條【反饋修改機制】
開展數據交易的企業應當建立問題反饋和修改機制,對證明存在錯誤或侵權的數據及時采取更正、刪除等補救措施。
第五十四條【數據交易協議與監督責任】
開展數據交易的企業應當通過與交易相對方簽訂數據使用協議等方式,明確交易數據的使用目的、范圍、方式、處理限制與應采取的安全保護措施、交易價格、保密約定等事項,以及發生違約、侵權行為時的法律責任,并在合理范圍內對數據使用行為進行監督。
數據購買方應當按照約定的目的、場景和方式合規使用數據,不得將通過交易獲取的數據用于違反法律法規或雙方約定的其他用途。
第五十五條【免責事由/容錯機制】
開展數據交易的企業對超出其可預見范圍和技術控制能力的數據錯誤等質量瑕疵,在及時采取補救措施后仍造成損失的,應當允許其通過事前約定等方式減輕或免除相應責任,但對損失的發生存在故意或重大過失的除外。
第五節數據的使用
第五十六條【數據處理活動安全保護義務】
企業開展數據處理活動應當履行下列安全保護義務:
(一)建立健全數據安全防護管理制度;
(二)制定數據安全應急預案,定期開展安全評測、風險評估和應急演練;
(三)采取安全保護技術措施,防止數據丟失、毀損、泄露和篡改,保障數據安全;
(四)發生重大數據安全事件時,立即啟動應急預案,及時采取補救措施,告知可能受到影響的用戶,并按照規定向有關主管部門報告;
(五)法律、法規規定的其他安全保護義務。
產生、使用數據的程序、軟件、系統和平臺,在開發階段應當進行安全可控修復手段的檢測,保障數據的安全。
第五十七條【數據使用目的限制】
企業收集的個人信息必須用于明確、具體、合法的目的,并且使用時應與收集時的目的相符。不得超出原始目的范圍與使用期限使用個人信息。
第五十八條【委托他人處理數據】
企業委托他人處理個人信息時,應當采取以下措施,確保委托處理行為合規:
(一)進行個人信息安全影響評估
(二)明確具體的約定委托處理內容
企業委托處理個人信息的,應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等內容。個人信息處理者還應注意,除非屬于無需獲得同意的情形外,委托處理范圍不應超過個人信息主體授權同意的范圍
(三)對受托人處理行為進行監督
企業者應對受托人的處理行為進行監督,方式包括通過合同等方式規定受托人的責任和義務、對受托人進行審計等
(四)準確及時記錄委托行為
企業應準確并及時記錄和存儲委托處理個人信息的情況,包括受托人名稱、聯系方式、資質許可、委托處理目的、范圍、期限、處理方式、簽署的合同文本等內容。
(五)及時采取補救措施
企業發現受托人未按照委托要求處理個人信息,或未能有效履行個人信息安全保護責任的,應立即要求受托人停止相關行為并采取有效補救措施,控制或消除個人信息面臨的安全風險。必要時企業應終止與受托人的業務關系,并要求受托人及時刪除其獲得的個人信息。
第五十九條【自動化決策場景的合規義務】
企業利用數據進行自動化決策的,應當保證自動化決策的透明度,并以適當方式公示其自動化決策的基本原理、目的意圖和主要運行機制等信息。自動化決策的結果可能對個人權益造成顯著影響的,應當對此種影響及可能產生的后果予以說明,并為個人提供拒絕自動化決策的選項。
通過自動化決策方式進行信息推送、商業營銷的,應當同時提供不針對個人特征的選項,并向個人提供便捷的拒絕方式。
企業不得利用數據分析,對交易條件相同的交易相對人實施差別待遇,但是有下列情形之一的除外:
(一)根據交易相對人的實際需求,且符合正當的交易習慣和行業慣例,實行不同交易條件的;
(二)針對新用戶在合理期限內開展優惠活動的;
(三)基于公平、合理、非歧視規則實施隨機性交易的;
(四)法律、法規規定的其他情形。
前款所稱交易條件相同,是指交易相對人在交易安全、交易成本、信用狀況、交易環節、交易持續時間等方面不存在實質性差別。
第六十條【個人信息保護影響評估】
企業應當針對業務中涉及的對個人權益有重大影響的數據處理活動開展個人信息保護影響評估,持續檢驗、監控個人信息處理活動的合法合規程度、對個人合法權益造成損害的各種風險以及相關保護措施的有效性,形成和保存個人信息保護影響評估報告和處理情況記錄,并采取相應改進措施。
第六十一條【建立個人信息權利行使的響應機制】
企業應當為用戶行使《中華人民共和國個人信息保護法》賦子的各項權利提供便捷的申請受理和響應機制,明確合理的響應時限。
第六節數據刪除和銷毀
第六十二條【應當刪除、銷毀數據的情形】
企業應當建立數據存儲冗余管理策略,定期對存儲數據進行盤點,
對于對實現處理目的不再必要的數據,應當及時進行刪除或匿名化處理。
當出現以下情形時,企業應當對其持有的全部數據或相關數據進行刪除、銷毀:
(一)企業終止運營、解散或破產,且沒有數據承接方的;
(二)約定的數據存儲期限已經屆滿的,或發生約定的數據刪除、銷毀事由的;
(三)根據法律、法規規定應當刪除、銷毀數據的其他情形。
第六十三條【數據刪除與銷毀的合規要求】
企業應當建立數據刪除和銷毀的操作規程和管理制度,明確刪除和銷毀的對象、權限、流程和技術等要求,確保被銷毀數據不可恢復,并對相關活動進行記錄和留存。
企業對數據存儲設備和介質進行報廢處理的,應當事先采取格式化、重復刪除、介質消磁等方式刪除其中存儲的數據,并采取物理損毀等方式對介質進行徹底銷毀。
第六十四條【刪除個人信息的情形】
符合下列情形之一的,企業應當在十五個工作日之內對相關個人信息進行刪除或匿名化處理,并遵循可審計原則記錄刪除時間、操作人、數據內容等相關信息。個人信息處理者未刪除的,個人有權請求刪除:
(一)處理目的已實現、無法實現或者為實現處理目的不再必要;
(二)企業停止提供產品或者服務,或者保存期限已屆滿;
(三)個人撤回同意;
(四)企業違反法律、行政法規或者違反約定處理個人信息;
(五)法律、行政法規規定的其他情形。
法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,企業當停止除存儲和采取必要的安全保護措施之外的處理。
第五章數據合規運行及保障
第六十五條【數據合規教育和培訓】
企業應當定期組織開展數據合規教育培訓,確保內部人員充分了解數據法規、數據合規計劃、數據合規義務與舉報程序等,提升內部人員數據合規意識。
第六十六條【數據合規管理體系】
鼓勵企業建立健全數據合規管理體系,開展數據合規管理長效機制,鼓勵企業設置數據合規責任人、獨立數據管理機構、專門管理制度和數據管理規劃、計劃,建立企業有關數據合規管理的內外部運行監督評價機制。
第六十七條【合規咨詢】
企業可以建立數據合規咨詢機制,管理層和各部門員工在工作中可以向數據合規管理部門咨詢數據合規問題。
第六十八條【人力資源管理與保障】
企業應當在數據合規管理制度規范中明確員工的數據合規義務,鼓勵將數據合規落實效果納入考核體系,作為決定評優評先、職務晉升與薪酬待遇的重要依據。
關鍵崗位員工離崗后,應當按照數據合規管理要求執行離崗交接、審計、脫密等措施。
第六十九條【合規承諾制度】
企業應當建立數據合規承諾制度,明確違反數據合規承諾的后果與問責機制,數據合規負責人、數據合規管理部門負責人以及其他數據處理關鍵崗位員工應作出并嚴格履行數據合規承諾。
第七十條【舉報與調查機制】
企業應當建立內部數據合規舉報機制,鼓勵、支持內部人員對試圖、涉嫌或實際存在的數據不合規行為進行舉報,并采取必要措施保護內部舉報人信息。
企業應當建立外部數據合規舉報機制,公布受理部門或人員聯系方式、受理流程等信息,鼓勵受到數據不合規行為影響的主體進行投訴,并采取必要措施保護外部舉報人信息。
收到舉報后,數據合規管理部門應當結合舉報線索的真實性、有效性及時啟動調查程序,確保調查過程的獨立性、公正性,形成調查結果報告并采取相應處理和改進措施,持續完善數據合規管理制度體系。
第七十一條【跨部門合作機制】
企業應建立跨部門協作機制,確保各部門在數據處理活動中遵循數據合規政策。包括但不限于定期召開跨部門會議、分享數據合規最佳實踐以及協調解決數據合規問題。
第七十二條【定期合規審計】
為保障企業數據管理的合規性和安全性,企業內部應當定期開展數據合規審計,或委托具有相關資質的外部機構進行獨立審計,企業需確保生成并妥善保管相關的數據合規審計報告。對于審計過程中發現的合規問題與安全隱患應及時采取整改措施。
第六章數據跨境流動合規
第七十三條【適用數據出境安全評估的情形】
企業向境外提供數據,有下列情形之一的,應當通過所在地省級
網信部門向國家網信部門申報數據出境安全評估:
(一)關鍵信息基礎設施運營者向境外提供個人信息或者重要數據;
(二)關鍵信息基礎設施運營者以外的數據處理者向境外提供重要數據,或者自當年1月1日起累計向境外提供100萬人以上個人信息(不含敏感個人信息)或者1萬人以上敏感個人信息。
(三)國家網信部門規定的其他需要申報數據出境安全評估的情形。
第七十四條【數據出境風險自評估的開展】
企業在申報數據出境安全評估前,應當開展數據出境風險自評估,重點評估以下事項:
(一)數據出境和境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性;
(二)出境數據的規模、范圍、種類、敏感程度,數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險;
(三)境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全;
(四)數據出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險,個人信息權益維護的渠道是否通暢等;
(五)與境外接收方擬訂立的數據出境相關合同或者其他具有法律效力的文件等是否充分約定了數據安全保護責任義務;
(六)其他可能影響數據出境安全的事項。
第七十五條【需要重新評估的情形】
通過數據出境安全評估的結果有效期為3年,自評估結果出具之日起計算。在數據出境安全評估的結果有效期內出現以下情形之一的,企業應當重新申報評估:
(一)向境外提供數據的目的、方式、范圍、種類和境外接收方處理數據的用途、方式發生變化影響出境數據安全的,或者延長個人信息和重要數據境外保存期限的;
(二)境外接收方所在國家或者地區數據安全保護政策法規和網絡安全環境發生變化以及發生其他不可抗力情形、數據處理者或者境外接收方實際控制權發生變化、數據處理者與境外接收方法律文件變更等影響出境數據安全的;
(三)出現影響出境數據安全的其他情形。
有效期屆滿,需要繼續開展數據出境活動的,企業應當在有效期屆滿60個工作日前重新申報評估。
第七十六條【延長評估結果有效期申請】
數據出境安全評估結果有效期屆滿,需要繼續開展數據出境活動且未發生需要重新申報數據出境安全評估情形的,數據處理者可以在有效期屆滿前60個工作日內通過所在地省級網信部門向國家網信部門提出延長評估結果有效期申請。經國家網信部門批準,可以延長評估結果有效期3年。
第七十七條【明確約定數據安全保護責任義務】
企業應當在與境外接收方訂立的法律文件中明確約定數據安全保護責任義務,至少包括以下內容:
(一)數據出境的目的、方式和數據范圍,境外接收方處理數據的用途、方式等;
(二)數據在境外保存地點、期限,以及達到保存期限、完成約定目的或者法律文件終止后出境數據的處理措施;
(三)對于境外接收方將出境數據再轉移給其他組織、個人的約束性要求;
(四)境外接收方在實際控制權或者經營范圍發生實質性變化,或者所在國家、地區數據安全保護政策法規和網絡安全環境發生變化以
及發生其他不可抗力情形導致難以保障數據安全時,應當采取的安全措施;
(五)違反法律文件約定的數據安全保護義務的補救措施、違約責任和爭議解決方式;
(六)出境數據遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險時,妥善開展應急處置的要求和保障個人維護其個人信息權益的途徑和方式。
第七十八條【向境外提供個人信息的條件】
企業因業務等需要,確需向中華人民共和國境外提供個人信息的,應當具備下列條件之一:
(一)依照《個人信息保護法》第四十條的規定通過國家網信部門組織的安全評估;
(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;
(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務;
(四)法律、行政法規或者國家網信部門規定的其他條件。
中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的,可以按照其規定執行。
企業應當采取必要措施,保障境外接收方處理個人信息的活動達到《個人信息保護法》規定的個人信息保護標準。
第七十九條【個人數據出境場景下的告知同意要求】
企業向中華人民共和國境外提供個人信息的,應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使《個人信息保護法》規定的各項權利的方式和程序等事項,并取得個人的單獨同意。
第八十條【個人信息出境場景下的個人信息保護影響評估】
企業向境外提供個人信息的,應當事前進行個人信息保護影響評估,并形成個人信息保護影響評估報告,評估報告和處理情況記錄至少保存三年。
評估報告應至少包括以下事項:
(一)個人信息處理者和境外接收方處理個人信息的目的、范圍、方式等的合法性、正當性、必要性;
(二)出境個人信息的規模、范圍、種類、敏感程度,個人信息出境可能對個人信息權益帶來的風險;
(三)境外接收方承諾承擔的義務,以及履行義務的管理和技術措施、能力等能否保障出境個人信息的安全;
(四)個人信息出境后遭到篡改、破壞、泄露、丟失、非法利用等的風險,個人信息權益維護的渠道是否通暢等;
(五)境外接收方所在國家或者地區的個人信息保護政策和法規對標準合同履行的影響;
(六)其他可能影響個人信息出境安全的事項。
第八十一條【適用出境標準合同或個人信息保護認證的情形】
企業向境外提供個人信息同時符合下列情形的,應當依法與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證:
(一)關鍵信息基礎設施運營者以外的數據處理者;
(二)自當年1月1日起,累計向境外提供10萬人以上、不滿100萬人個人信息(不含敏感個人信息)的;
(三)自當年1月1日起,累計向境外提供不滿1萬人敏感個人信息的。
法律、行政法規或者國家網信部門另有規定的,從其規定。
企業不得采取數量拆分等手段,將依法應當通過出境安全評估的個人信息通過訂立標準合同或者通過個人信息保護認證的方式向境外提供。
第八十二條【個人信息保護認證規則】
企業通過經專業機構進行個人信息保護認證的方式向境外提供個人信息的,應當符合TC260-PG-20222A《個人信息跨境處理活動安全認證規范》、GB/T 35273《信息安全技術個人信息安全規范》的要求。
認證證書有效期為3年。在有效期內,通過認證機構的獲證后監督,保持認證證書的有效性。證書到期需延續使用的,企業應當在有效期屆滿前6個月內提出認證委托。
第八十三條【出境標準合同的訂立、備案】
企業通過訂立標準合同的方式向境外提供個人信息的,應當嚴格按照國家網信部門制定的標準合同訂立,企業可以與境外接收方約定其他條款,但不得與標準合同相沖突。標準合同生效后方可開展個人信息出境活動。
企業應當在標準合同生效之日起10個工作日內向所在地省級網信部門備案。
第八十四條【需要重新備案的情形】
企業在標準合同有效期內出現下列情形之一的,企業應當重新開展個人信息保護影響評估,補充或者重新簽訂標準合同,并履行相應備案手續:
(一)向境外提供個人信息的目的、范圍、種類、敏感程度、方式、保存地點或者境外接收方處理個人信息的用途、方式發生變化,或者延長個人信息境外保存期限的;
(二)境外接收方所在國家或者地區的個人信息保護政策和法規發生變化等可能影響個人信息權益的;
(三)可能影響個人信息權益的其他情形。
第八十五條【數據和個人信息出境的特別規定】
企業處理數據和個人信息,應當根據數據和個人信息的來源、重要性、收集區域等要素進行分析判斷,屬于《促進與規范數據跨境流動規定》的以下情形之一的,可免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證:
(一)國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中收集和產生的數據向境外提供,不包含個人信息或者重要數據的;
(二)在境外收集和產生的個人信息傳輸至境內處理后向境外提供,處理過程中沒有引入境內個人信息或者重要數據的;
(三)為訂立、履行個人作為一方當事人的合同,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個人信息的;
(四)按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的;
(五)緊急情況下為保護自然人的生命健康和財產安全,確需向境外提供個人信息的;
(六)關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的。
其中(三)至(六)情形所稱向境外提供的個人信息,不包括被相關部門、地區告知或者公開發布為重要數據的個人信息。
法律、行政法規或者國家網信部門另有規定的,從其規定。
第八十六條【遵守出口管制要求的合規義務】
國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制,企業向境外提供涉及出口管制的數據的,應當依法向有關部門申請出口許可證;可能危害國家安全和利益的,不得向境外提供。
第八十七條【境外司法或執法機構調取數據場景下的合規義務】
非經中華人民共和國主管機關批準,企業不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。
第七章附則
第八十八條【基本概念】本指引所稱的概念含義如下:
(一)數據,是指任何以電子或者其他方式對信息的記錄;
(二)個人信息,是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息;
(三)敏感個人信息,是指一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
(四)重要數據,是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等,可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據;
(五)國家核心數據,是指關系國家安全、國民經濟命脈、重要民生、重大公共利益等的數據;
(六)數據處理,包括數據的收集、傳輸、存儲、加工、使用、提供、公開等;
(七)數據安全,是指通過采取必要措施,確保數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力;
(八)數據合規,是指企業通過采取必要措施,確保其在日常經營活動中的數據處理行為達到個人信息保護、網絡安全、數據安全等方面的法律要求的狀態;
(九)數據合規管理,是指以預防和降低涉數據違法犯罪和數據安全風險為目的,以企業及其員工行為為管理對象,開展的一系列管理活動。
(十)自動化決策,是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,并進行決策的活動。
(十一)數據交易場所,是指經省市政府批準成立的,組織開展數據交易活動的交易場所。
(十二)企業在中華人民共和國境內和境外從事如下活動屬于數據出境行為:
(1)企業將在境內運營中收集和產生的數據傳輸至境外;
(2)企業收集和產生的數據存儲在境內,境外的機構、組織或者個人可以查詢、調取、下載、導出;
(3)企業在境外處理境內自然人個人信息,以向境內自然人提供產品或者服務;
(4)企業在境外分析、評估境內自然人的行為;
(5)法律、法規規定的認定為數據出境的其他數據處理活動。
第八十九條【指引的解釋】
本指引由合肥市數據資源管理局、合肥市司法局負責解釋。
第九十條【施行日期】
本指引自發布之日起施行。
