點擊查看原文:關於印發《廣州市國資委監管企業數據安全合規管理指南（試行2021年版）》的通知

　　一、制定的必要性

　　近期，隨着《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律相繼頒佈實施，數據安全合規管理已提升到事關國家安全、經濟安全、社會穩定和人民群眾切實合法權益的高度。為加快推動廣州市國資委監管企業全面加強合規管理，規範企業數據處理活動，保障數據安全，保護個人、組織的合法權益，維護國家經濟安全和社會穩定，促進監管企業更高質量、更可持續發展，廣州市國資委印發了《廣州市國資委監管企業數據安全合規管理指南（試行2021年版）》。

　　二、具體內容及亮點

　　本指南分為九章，共計58條，具體內容和亮點有：

　　（一）成為地方國資監管部門首部針對數據合規專項領域的合規操作指南。目前數據安全合規領域相對比較前沿，對於數據安全合規管理相關的定義、概念均與目前最新的立法成果保持一致，使得該指南成為地方國資監管機構首部針對數據安全合規專項領域的合規操作指導性文件。

　　（二）將數據安全合規管理的要求納入現有合規管理組織體系。為確保數據安全合規管理體系落實、落地，避免重復建設，將數據安全合規管理作為監管企業合規管理體系的專項重點領域，納入現有合規管理體系進行專項深化管理。

　　（三）劃分了數據安全合規管理的三道防線。結合監管企業實際情況，明確由企業內承擔數據管理、信息系統管理或IT技術等相關職能的部門及各業務部門作為數據安全合規管理的第一道防線，合規管理牽頭部門作為數據合規管理第二道防線，紀檢、審計部門作為數據合規管理第三道防線，並明確了各自的職能和責任。

　　（四）明確了數據分類分級管控標準和管控要求。要求監管企業要根據所屬行業相關標準對核心業務數據進行分類分級，並通過技術手段落實安全管理要求，定期對新增數據進行梳理，確保所有數據分類及分級管控。同時，應根據相關法律法規或行業標準的變化，及時更新企業內部數據分類分級的相關標準。

　　（五）對重大數據安全合規事項納入“三重一大”事項並實施清單管理。關係國家安全、國民經濟安全、重要民生、重大公共利益等數據需要實施清單管理；對於涉及國家保密範圍的産業規劃、戰略規劃、重大項目、核心技術等數據的交易、出境及共享等業務，應列入企業“三重一大”事項進行管理。

　　（六）引入了數據安全風險評估機制。要求監管企業定期對企業本部及下屬各級全資、控股和實際控制子企業的數據安全風險進行全面評估，根據評估結果可以採取差異化管控措施。

　　（七）重視對數據全生命周期管理。要求監管企業在數據安全合規管理過程中，對數據採集、數據傳輸、數據儲存、數據使用、數據開放共享、數據銷毀等數據全生命周期管理的要素，制定必要的管控措施及標準，防範數據處理的違規風險，確保數據安全合規。

　　（八）加強與商業夥伴合作中的數據保護。要求監管企業加強及規範與商業夥伴合作中的數據安全管理，明確合作方准入、日常管理、數據安全評估、變更及退出等環節的合規管理要求。

　　（九）強化個人信息保護。要求監管企業進一步規範和完善個人信息保護機制，加強企業員工、訪客個人信息的保護。特別針對個人信息分類、個人信息獲取、個人信息儲存、個人信息使用及處理等管理過程中，按法律法規建立相關標準及規範，並滿足相關管理要求。

　　（十）強化責任監督。一是重視消除風險隱患、防患未然。對發現數據處理活動存在較大安全風險的，可以按照規定的權限和程序對有關企業、個人進行約談，並要求有關企業、個人採取措施進行整改，消除隱患；二是對於企業或員工違反法律、行政法規規定，未履行數據安全保護義務、向境外提供重要數據、拒不配合數據調取、未經主管機關批准向外國司法或者執法機構提供數據的，依法承擔相應法律責任。