企业数据安全合规体系建设

来源：蔡燕律师  时间:2022-08-30

       2021年6月10日，中华人民共和国第十三届全国人民代表大会常务委员会二十九次会议通过了《中华人民共和国数据法》，并自2021年9月1日起施行。

      企业应根据自身数据及数据应用场景等特征，考量数据泄露、数据不合规适用等情形给数据主体造成的损害，搭建企业内部的组织架构，采取必要的保障措施，以便符合数据保护、个人信息保护相关法律法规的要求以及保护数据主体的权利。

      (一) 建立健全数据合规管理组织体系

      1、制定内部管理制度和操作规程。建立个人信息保护组织架构，明确机构各层级内设部门与相关岗位的职责与总体要求

      2、确定网络负责人，落实网络保护责任。任命个人信息保护负责人或相关工作机构参与有关个人信息处理活动的重要决策，并向组织主要负责人报告工作。

      3、制定信息应急预案。发生信息事件后，根据以下应急预案处置：

     ①记录事件内容：

     ②评估事件影响

     ③按照《国家网络事件应急预案》等有关规定及时上报

      4、建立用户投诉机制。建设相关网络信息投诉通道，制定举报制度，公布投诉、举报方式信息并及时受理、处理，给予反馈。

      (二) 建立完善的数据技术体系

      1. 数据梳理。即对重要数据进行统计，并对接触、处理数据的权限进行管理。

      2. 风险防控。建立、检查数据库防护系统，防护外部攻击，定期检查漏洞，防止违规、非法入侵。

      3. 数据监管。建立内部数据合规监管体系，从产生、使用等各环节进行定期、定项监控。

    （三）建立数据分类分级保护体系

      企业应对数据进行分级管理，明确数据分级的目标、原则和范围，明确数据定级的要素、规则。

       1、数据分类 

       数据类别大致可以分为:

      ①提供产品或服务过程中采集的数据

      ②企业内部系统形成的数据

      ③企业内部办公网络与办公设备产生、归档的数据

      ④其他数据

      2、数据定级的考虑因素

      依据影响对象角度划分为：①公众权益②个人隐私③企业合法权益

      依据影响程度划分为：严重损害、一般损害、轻微损害、无损害

      综上，企业应当依法建立健全数据管理制度，采取相应技术措施保障数据，建立数据分级分类体系。通过加强数据的自我监管，数据有序使用。

      陕西威能律师事务所擅长各类刑事,婚姻问题,劳动争议,交通事故争议,企业问题,债务问题,法律咨询,行政等方面的业务,同时也被很多大型及中小微企业聘请为企业法律顾问。