数据合规 | 2024年企业数据合规实务指引系列之：数据合规管理体系建设篇

（一）设置完善数据合规管理组织架构

1. 数据合规管理责任人

《网络安全法》第二十一条第（一）项规定了网络运营者应当确定网络安全负责人，落实网络安全保护责任。《数据安全法》第二十七条第三款规定了重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。《个人信息保护法》第五十二条也规定了处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。企业的最高管理者是数据合规管理的第一责任人。

2. 数据合规管理部门

《数据安全法》第二十七条第三款规定了重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。鼓励企业设置专门的数据合规管理部门，或者将数据合规管理职能融入现有的企业合规管理体系之中。企业应当向数据合规管理部门提供足够的授权、人力、财力来支持数据合规管理体系的运行。一般由董事会直接设立企业合规部门，下设数据合规管理部门等各类专业合规部门。

3. 数据合规BP岗位

数据合规BP岗位是运行整个数据管理合规体系的关键。数据合规BP是企业数据治理的多面手，既具备数据处理技能，也具备法律、合规管理等技能，通过技术手段从源头规避风险，开展个人信息处理合规、数据安全管理工作；通过与业务部门合作，将数据合规工作真正融入到业务发展之中。

·上述数据合规管理责任人、数据合规管理部门、数据合规BP岗位分别应履行的职责如下：

（二）建立规范数据合规管理制度

1. 数据分类分级保护制度

《数据安全法》第二十一条第三款规定，各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。《个人信息保护法》第五十一条第（二）项同样也规定了个人信息处理者要对个人信息实行分类管理。分门别类是管理的基础，没有分类也就没有管理。构建数据分类分级管理制度是数据合规管理体系中的重要一环。

企业应根据行业规范和业务特性设计数据分级分类体系，对数据分类打标，梳理数据字段对应分类规则并进行调优；根据行业规范和业务特性设计分级体系，梳理数据字段对应分级规则，并对敏感数据识别打标，并根据实际情况对数据等级进行变更维护。企业建立初步可视化的数据分类分级清单，形成数据分类分级报表、形成分类分级全景图、分类分级信息管理机制，为数据安全保护做准备。

目前，在互联网技术、车联网、金融、医疗健康等领域已经出台相应的数据分级分类技术标准，不同行业的企业可以根据行业特点和企业自身情况，参照适用。

·数据分级分级技术标准

医疗健康数据分类分级示例

2. 数据全生命周期管理制度

根据《数据安全法》第三条第二款规定，数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。因而数据生命周期的过程包括数据收集、数据存储、数据的访问与使用，数据共享传输及跨境流动（包括处理、共享、转让、披露等等），最终数据删除。《数据安全法》第二十七条第一款规定了开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，采取相应的技术措施和其他必要措施，保障数据安全。《民法典》第一千零三十八条同样规定了信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。信息处理者应当采取技术措施和其他必要措施，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失。因此，企业需要对数据从采集、存储与传输、使用到销毁的全生命周期行为进行有效合规管控，并建立相关数据管理行为控制措施及规范制度。

·医疗健康数据全生命周期管理示例

3. 数据安全事件应急预案制度

《个人信息保护法》第五十一条第（五）项规定了个人信息处理者应制定并组织实施个人信息安全事件应急预案。《数据安全法》第二十九条也规定了开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。《网络安全法》第二十五条同样规定了网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

应急预案是面对突发事件的应急管理、指挥和救援计划。在数据安全领域，当发现数据安全缺陷、漏洞等风险时，应当立即采取预防、补救措施，并按照规定向有关主管部门报告。企业应构建数据安全事件应急预案制度，建立数据安全事件应急处置工作机制，制定专门的流程和预案，定期开展应急演练，降低网络安全、数据安全事件发生带来的损失和风险。

·XXX数据安全事件报告单示例

4. 数据合规风险评估制度

《数据安全法》第三十条规定，重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。《个人信息保护法》第五十五条也规定了在符合该条规定的五种情形下，个人信息处理者应当事前进行个人信息保护影响评估。个人信息保护影响评估报告和处理情况记录应当至少保存三年。《网络安全法》第三十八条同样规定了关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

企业的数据合规风险评估工作需要业务部门配合进行开展，各业务流程责任人组织本领域相关人员识别需要进行个人信息保护影响评估（PIA）的场景，并在流程中进行落地。对于难以判断的场景，建议增加数据合规BP评审环节，确保本流程涉及的业务场景开展前完成PIA评估，保证业务合规运行。

·隐私影响度评估（PIA）操作指导示例

（三）组织开展数据合规管理教育培训

《数据安全法》第二十七条规定了开展数据处理活动的主体应当组织开展数据安全教育培训。《个人信息保护法》第五十一条第（四）项也规定了个人信息者应定期对从业人员进行安全教育和培训。《网络安全法》第三十四条同样规定了关键信息基础设施的运营者应当定期对从业人员进行网络安全教育、技术培训和技能考核。

数据合规管理部门应当建立培训机制，定期为管理层、员工培训数据合规，使其充分了解数据法规、数据合规计划、岗位角色与职责等。

·数据合规管理教育培训示例

（四）持续改进数据合规管理体系

数据合规管理体系不是一成不变的，而是根据内外部环境的变化在运行过程中不断优化改进。企业应定期根据公司的合规战略目标，提出流程梳理和优化的方案。建议企业建立数据合规管理体系持续改进工作台账，台账的内容包括数据合规内审报告、数据合规管理体系管理评审记录、数据合规举报与合规异常报告信息、数据合规环境、利益相关方、业务活动、数据合规义务和企业战略发生变化情况、社会舆情出现的数据不合规事件等。

·数据合规整改清单示例

（一）ISO 37301合规管理体系认证

2021年，国际标准化组织（ISO）发布了ISO 37301:2021《合规管理体系 要求及使用指南》，为各类组织规范合规治理、强化合规管理和加强合规文化建设提供了更具先进性、权威性、普适性和战略性的工具和方法论，也为各种组织的合规管理提供了通过第三方认证获得全球广泛认可的机会和途径。

ISO 37301合规管理体系标准是国际标准化组织（ISO）颁布的合规管理体系认证标准，代表了合规管理领域的最新理念和成果，采用 Plan（计划）-Do（实施）-Check（检查）-Act（改进）（“PDCA”）理念，完整覆盖了合规管理体系建立、运行、保持和改进的全流程。企业可以选择单项产品数据合规体系认证，通过ISO 37301合规管理体系的系统方法论从而促进数据合规管理体系真正落地。

（二）ISO/IEC 27001 : 2013 信息安全管理体系

2005年，国际标准化组织（ISO）和国际电工委员会（IEC）联合发布了国际标准ISO/IEC 27001《信息技术-安全技术-信息安全管理体系-要求》，旨在为所有类型的组织，包括政府、银行、电讯、研究机构、外包服务企业、软件服务企业等，在建立、实施、运行、监视、评审、保持和改进信息安全管理体系时提供模型，通过一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作，并规定了为适应不同组织或其部门的需要而制定安全控制措施的实施要求。

ISO/IEC 27001针对信息安全领域，不仅包含资产管理、数据处理以及信息管理等技术层面要求，还涉及法律法规、人员管理、权限管理等诸多方面，对信息安全、隐私保护管理提出了非常具体的要求和标准。该标准通过14个安全控制域、114项控制措施的选择和落实，实现了对信息安全的全面保障。企业可以选择该认证标准模型加强管理信息安全系统。

（三）ISO/IEC 27701 : 2019 隐私信息管理体系

2019年，国际标准化组织（ISO）和国际电工委员会（IEC）正式对外发布ISO/IEC 27701隐私信息管理体系标准。ISO/IEC 27701作为ISO/IEC 27001与ISO/IEC 27002在管理上的延伸标准，其目标是通过新增的要求来增强现有信息安全管理体系（ISMS）,以便建立、实施、维护和不断改进隐私信息管理体系（PIMS），标准概述了适用于个人身份信息（PII）控制者和PII处理者的框架，用于隐私控制管理，以降低对个人隐私的各种风险。

ISO/IEC 27701通过对隐私保护的控制对ISO/IEC 27001进行补充，有效协助组织对隐私风险进行识别、分析、采取措施，确保符合高级别的隐私保护合规要求，将风险降到可接受水平并维持该水平，最终帮助组织建立完善的隐私信息管理体系，实现有效的隐私管理。企业可以选择该标准认证，将隐私保护的原则、理念和方法，融入到信息安全保护体系中，进一步强化隐私保护。

（四）ISO/IEC38505-1：2017数据治理安全管理体系认证

2017年，国际标准化组织（ISO）和国际电工委员会（IEC）发布了ISO/IEC 38505-1《基于ISO/IEC 38500的数据治理》。ISO/IEC38505-1数据治理安全认证是全球首个针对企业数据安全治理的管理体系认证，代表了数据治理安全的国际通行要求。它通过对数据管理、数据安全、数据质量等方面进行全面评估，为企业提供一套完整的解决方案，帮助企业提升数据处理能力，降低风险，提高竞争力。

ISO/IEC38505-1明确了数据治理的意义、治理主体的职责、数据治理的监督机制；

在ISO/IEC 38500的基础上，进一步明确数据治理的“E (评估)-D(指导) -M(监督)”方法论以及ISO/IEC 38500治理模型的应用方法；提出了数据采集、存储、报告、决策、发布、处置相关的治理任务；明确 “责任、战略、获取、绩效、合规、人员行为”六大原则应用到数据治理中等。企业可以选择该标准认证，提升数据质量和保护数据安全。

（一）中国华润电力集团的数据管理实践

华润电力集团设立网络安全和信息化领导小组，由总裁担任组长，负责公司网络安全及信息化领域重大工作的顶层设计、总体布局、统筹协调、整体推进、督促落实。从制度建设、风险防控、信息安全保护与培训等方面扎实推进信息安全体系建设，夯实网络和信息安全管理基础。

1. 完善制度体系

华润电力集团不断健全网络与信息安全管理制度，制定《工业控制系统网络安全防护指引》等制度文件，规范工业控制系统的网络安全管理等流程，保障公司信息系统的安全稳定运行。

2. 防范网络安全风险

华润电力集团持续推进网络安全建设与风险防范工作，不断提升信息系统的安全防御能力，筑牢数据安全防线。2022年，华润电力集团未发生网络安全事故和IT系统事故，主要是采取了以下有效措施：（1）制定防勒索病毒应急预案。建立网络安全突发事件的应急组织体系和管理机制，加强防勒索病毒攻击应对统筹管理，开展防勒索病毒专项应急演练，提升公司网络安全实战能力。（2）加固网络安全防护。开展网络安全隐患排查和修补，及时更新系统、软件、硬件等漏洞补丁，加固网络安全“堤坝”。（3）做好数据储存备份。分类分级对文件和数据进行存储，定期进行数据备份，充分保障数据安全。

3. 信息安全保护

华润电力集团坚持与全体员工、客户、供应商做好网络安全责任书、保密协议书的签订工作，明确界定保密事项范围以及各相关方的责任和义务，切实保护各相关方信息安全。华润电力集团严格遵循客户信息安全防护原则，依据《售电业务106短信平台管理办法》等客户信息管理制度，明确信息保密安全条例和信息安全责任，规范售电云平台使用人员授权管理，对客户关键信息和合同信息进行隐藏，确保客户信息的保密性。2022年，华润电力集团未发生客户个人信息安全违规事故。

4. 网络安全培训

华润电力集团注重员工网络与信息安全意识的培养与强化，面向全体员工组织开展网络安全宣传周相关活动和课程，促进员工网络安全意识的提升。2022年，公司各级单位开展各类网络安全培训超50场次，覆盖超2万人次。

（二）日本株式会社资生堂的数据管理实践

1. 信息安全方针

株式会社资生堂为了保护所有集团事业所持有的重要信息资产，建立和维持坚固的信息安全，制定了以资生堂全体员工为对象的《资生堂信息安全政策》，在资生堂整体一贯的基本方针下，致力于管理和运用各种信息资产。

2. 信息安全管理体制

（1）组织体制

株式会社资生堂设置了最高信息安全负责人（Chief Information Security Officer，以下简称“CISO”），完善了信息安全管理体制。CISO对信息资产和信息系统的处理承担全面责任，在信息安全战略的计划和措施中，与管理层沟通协作推进。另外，CISO在资生堂各公司完善和运行保密信息管理、信息系统管理、信息安全对策相关规章、实施安全对策、监督教育培训等实践情况。任命业务单位、部门、关联公司的负责人为信息管理负责人，负责各部门实施有关信息安全的各项措施。另外，在海外地区总公司配置了信息安全窗口负责人，通过与CISO和总公司信息安全部门的定期沟通，持续维持、提高株式会社资生堂整体的信息安全举措。（如下面资生堂信息安全管理系统图）

（2）完善政策、规则

在构建信息安全管理体制时，株式会社资生堂参考了风险管理的国际标准ISO31000、信息安全相关的国际认证标准ISO27001、NIST（美国国立标准技术研究所）的NIST Cyber Security Framework、Center for Internet Security的CIS Controls、经济产业省的网络安全经营指南等指导方针和既定的最佳实践。此外，株式会社资生堂制定了前述的《资生堂信息安全政策》（参照下图）以及信息资产的运用管理、信息系统开发运用管理的相关规定，作为全球具体的活动指导方针和规则，在海外业务活动中推广遵守。针对公司外部客户，在《资生堂供应商行为准则》中，明确记载了保密信息、个人信息的保护，并予以遵守，同时针对委托重要事项的客户，在确认客户信息安全管理体制的基础上缔约合同，采取适当的安全管理措施。

3. 提高信息安全的具体措施

（1）教育培训员工

株式会社资生堂定期对员工开展e-learning和小组会议研修活动，以提高员工的信息安全意识和知识。对新职员和中途招聘职员也开展入职教育，传达信息安全的重要性。并且，通过公司内部门户网站的公告板告知有关信息安全的最新信息等，适当更新信息。

（2）推行双设计

株式会社资生堂为了在新业务和服务中保障数据信息安全，在企划、设计阶段纳入个人信息保护对策，信息安全部门和法律治理部门从一开始就负责完善公司内部体制和流程。

（3）监控活动

株式会社资生堂为了确认信息资产的适当使用以及信息系统开发运用管理中合适的信息安全对策，根据风险对信息系统及相关业务流程进行评估，监督改善检测出的纠正事项。另外，为了诊断信息系统中的脆弱性，定期对信息系统基础和应用程序实施脆弱性诊断，对检测到的脆弱性改善。此外，经常利用外部情报信息安全监测。对于委托重要事项的客户，合同签订后，也会定期确认信息安全管理体制和实施情况。

（4）信息安全相关事故和紧急应对

株式会社资生堂将信息安全部门作为与信息安全相关事故的应对窗口，根据事故的影响程度，与风险管理部门和信息系统部门等合作，实施事故应对。信息安全部门定期进行事故应对训练（每年2次以上），意识到的改善措施反映在事故应对手册中，努力提高事故应对能力。

（5）第三方评估

株式会社资生堂为了确保信息安全措施适当和推进体制，由外部安全专家进行安全评估。检测出的需改善、强化事项，反映在信息安全战略、措施计划中。

【参考文献】

[1] 2023年9月11日，深圳市人民检察院、深圳市互联网信息办公室、深圳市司法局、深圳市发展和改革委员会、深圳数据交易所联合发布了《深圳市企业数据合规指引》。

[2] 2022年1月27日，上海市杨浦区人民检察院、上海市杨浦区工商业联合会、上海市信息服务业行业协会，以及上海数据合规与安全产业发展专家工作组联合发布了《企业数据合规指引》。

[3] 华润电力控股有限公司官网：https://www.cr-power.com/index/

[4] 株式会社资生堂官网：https://corp.shiseido.com/jp/sustainability/compliance/