|
深圳市人民檢察院 深圳市互聯(lián)網(wǎng)信息辦公室 深圳市人民檢察院 深圳市發(fā)展和改革委員會 深圳市司法局 深圳數(shù)據(jù)交易所 2023年9月11日目錄 第一章 總則 第二章 數(shù)據(jù)合規(guī)管理組織體系建設 第三章 數(shù)據(jù)合規(guī)管理制度體系建設 第四章 數(shù)據(jù)全生命周期合規(guī) 第一節(jié) 數(shù)據(jù)收集和使用 第二節(jié) 數(shù)據(jù)存儲 第三節(jié) 數(shù)據(jù)傳輸和提供 第四節(jié) 數(shù)據(jù)交易 第五節(jié) 數(shù)據(jù)刪除和銷毀 第五章 數(shù)據(jù)出境合規(guī) 第六章 附則 附錄:企業(yè)可參考的相關(guān)法律法規(guī)與標準 第一章 總則第一條【目的和依據(jù)】為引導企業(yè)加強數(shù)據(jù)合規(guī)管理���,促進企業(yè)數(shù)據(jù)合規(guī)利用���,保障企業(yè)數(shù)據(jù)安全,根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《中華人民共和國網(wǎng)絡安全法》等法律法規(guī)�,制定本指引。第二條【適用范圍和效力】深圳市各類企業(yè)進行數(shù)據(jù)處理活動可參照本指引開展數(shù)據(jù)合規(guī)管理�����。本指引不具有強制性��,法律�����、法規(guī)及有關(guān)國家�����、行業(yè)標準另有專門規(guī)定的�,從其規(guī)定。第三條【涉案企業(yè)合規(guī)從寬】企業(yè)參照本指引建立并嚴格實施數(shù)據(jù)合規(guī)管理制度��,履行數(shù)據(jù)合規(guī)義務����,積極配合監(jiān)管,主動采取措施有效減輕�����、消除危害后果���,符合涉案企業(yè)合規(guī)適用條件的�,檢察機關(guān)可根據(jù)具體情況開展合規(guī)考察。對于涉案企業(yè)合規(guī)建設經(jīng)評估符合有效性標準的�����,檢察機關(guān)可以參考評估結(jié)論依法作出不批準逮捕�����、變更強制措施���、不起訴的決定�,或提出從寬處罰的量刑建議���;符合行政處罰法規(guī)定條件的��,可以向有關(guān)主管機關(guān)提出從輕或者減輕行政處罰等建議��、意見�����。第四條【數(shù)據(jù)合規(guī)指引的必要性】引導各類企業(yè)開展數(shù)據(jù)合規(guī)管理是提高企業(yè)數(shù)據(jù)合規(guī)意識��,提高數(shù)據(jù)保護水平���,降低企業(yè)及其員工涉數(shù)據(jù)類違法犯罪風險的重要舉措。企業(yè)可以通過建立完善的數(shù)據(jù)合規(guī)管理體系�����,有效預防數(shù)據(jù)安全風險事件�。第五條【職責明確原則】企業(yè)應當通過建立完善的數(shù)據(jù)合規(guī)管理組織體系和制度體系,明確企業(yè)內(nèi)部各部門數(shù)據(jù)安全管理職責����,落實數(shù)據(jù)合規(guī)主體責任。第六條【合法�����、正當和誠信原則】企業(yè)處理數(shù)據(jù)應當符合法律�����、法規(guī)和強制性標準的規(guī)定,遵循合法�、正當和誠信原則,不得從事危害國家安全���、公共利益的數(shù)據(jù)處理活動���,不得非法收集�、使用�、加工、傳輸���、買賣�����、提供��、公開他人個人信息,不得通過誤導��、欺詐�����、脅迫等方式處理個人信息���。第七條【數(shù)據(jù)質(zhì)量保障原則】企業(yè)應當采取適當措施保證數(shù)據(jù)質(zhì)量,并定期對數(shù)據(jù)進行更新���,避免因數(shù)據(jù)不準確��、不完整�����、不及時產(chǎn)生的不利影響��。第八條【負責原則】企業(yè)應當對其數(shù)據(jù)處理活動負責����,并采取必要措施保障所處理數(shù)據(jù)的安全。第九條【分類分級保護原則】企業(yè)應當建立數(shù)據(jù)分類分級保護制度����,按照數(shù)據(jù)對國家安全、公共利益或者個人�、組織合法權(quán)益的影響和重要程度進行分類分級,針對不同類別級別的數(shù)據(jù)采取相應的管理和保護措施����。第十條【風險導向原則】企業(yè)應當采取必要措施對國家核心數(shù)據(jù)、重要數(shù)據(jù)����、敏感個人信息等存在較高合規(guī)風險的數(shù)據(jù)予以重點保護,加強合規(guī)管理����。第十一條【可追溯原則】企業(yè)對數(shù)據(jù)進行修改、查詢����、導出、刪除等處理時,應當記錄相應操作�,確保操作記錄可追溯、可審查�。 第二章 數(shù)據(jù)合規(guī)管理組織體系建設第十二條【一般要求】企業(yè)開展數(shù)據(jù)處理活動應當依照法律、法規(guī)的規(guī)定��,建立健全數(shù)據(jù)合規(guī)管理組織體系和常態(tài)化溝通協(xié)作機制�����,明確數(shù)據(jù)合規(guī)責任主體����,組織開展數(shù)據(jù)合規(guī)教育培訓����,加強人力資源考核與保障,強化數(shù)據(jù)合規(guī)意識�����。第十三條【數(shù)據(jù)合規(guī)決策層的職責】數(shù)據(jù)合規(guī)第一負責人由企業(yè)法定代表人或主要負責人擔任�����,對數(shù)據(jù)合規(guī)負領(lǐng)導責任�����。數(shù)據(jù)合規(guī)第一負責人與董事會應當承擔以下職責:(一)為企業(yè)數(shù)據(jù)合規(guī)管理制度體系的建構(gòu)和運行提供必要的資源保障和條件支持,確保合規(guī)管理制度體系有效運轉(zhuǎn)并持續(xù)改進�;(二)確立數(shù)據(jù)合規(guī)方針和合規(guī)目標,并確保企業(yè)戰(zhàn)略方向與合規(guī)方針和目標保持一致��;(三)保障數(shù)據(jù)合規(guī)管理部門具備獨立履行職責的能力與權(quán)限����;(四)審批企業(yè)重大數(shù)據(jù)合規(guī)事項;(五)確保將數(shù)據(jù)合規(guī)管理要求融入企業(yè)的業(yè)務過程����;(六)確保建立有效的數(shù)據(jù)違規(guī)舉報與懲處機制;(七)引導培育企業(yè)數(shù)據(jù)合規(guī)自主性��,促成數(shù)據(jù)合規(guī)企業(yè)文化�。第十四條【數(shù)據(jù)合規(guī)管理層的職責】企業(yè)應當設立專門的數(shù)據(jù)合規(guī)管理部門,或由合規(guī)管理����、法務等相關(guān)部門承擔數(shù)據(jù)合規(guī)管理職能,并配備數(shù)據(jù)合規(guī)專員��。數(shù)據(jù)合規(guī)管理部門在部門負責人的指導下開展工作,承擔以下職責:(一)組織制定企業(yè)數(shù)據(jù)合規(guī)管理制度規(guī)范與合規(guī)計劃����,并推動其有效實施;(二)統(tǒng)籌實施數(shù)據(jù)合規(guī)管理工作����,并對數(shù)據(jù)合規(guī)管理情況進行評估與檢查;(三)建立數(shù)據(jù)合規(guī)舉報與調(diào)查機制��,對數(shù)據(jù)合規(guī)舉報制定調(diào)查方案并開展調(diào)查�;(四)定期組織或協(xié)助人事部門開展數(shù)據(jù)安全合規(guī)培訓,為企業(yè)相關(guān)內(nèi)部職能部門提供數(shù)據(jù)合規(guī)咨詢與支持��;(五)向數(shù)據(jù)合規(guī)第一負責人與董事會報告數(shù)據(jù)合規(guī)重大風險和數(shù)據(jù)合規(guī)工作落實情況��。第十五條【數(shù)據(jù)合規(guī)執(zhí)行層的職責】企業(yè)內(nèi)部開展數(shù)據(jù)處理工作的各職能部門負責本部門業(yè)務范圍內(nèi)的數(shù)據(jù)合規(guī)工作���,并承擔以下職責:(一)結(jié)合企業(yè)數(shù)據(jù)合規(guī)管理制度和合規(guī)指引,明確本部門日常數(shù)據(jù)處理活動的全生命周期合規(guī)要求和具體工作機制���;(二)確保本部門員工遵守企業(yè)合規(guī)制度規(guī)范��,履行數(shù)據(jù)合規(guī)義務����;(三)配合數(shù)據(jù)合規(guī)管理負責人和合規(guī)管理部門開展合規(guī)風險審查、評估�、整改等各項合規(guī)工作;(四)密切監(jiān)測日常數(shù)據(jù)處理工作中的數(shù)據(jù)安全合規(guī)風險�����,并采取適當?shù)陌踩Wo措施�����;(五)當發(fā)現(xiàn)數(shù)據(jù)處理活動存在較大合規(guī)風險或者發(fā)生數(shù)據(jù)安全事件時����,及時向數(shù)據(jù)合規(guī)管理負責人和合規(guī)管理部門報告,并配合采取應急處置和整改措施����。第十六條【個人信息保護負責人的指定及責任】處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的企業(yè)應當指定專門的個人信息保護負責人,并承擔以下職責:(一)統(tǒng)籌實施企業(yè)內(nèi)部的個人信息合規(guī)工作����;(二)組織制定個人信息合規(guī)方面的內(nèi)部制度和操作規(guī)程,并督促落實����;(三)組織開展個人信息安全影響評估�����,督促整改安全隱患��;(四)定期組織開展合規(guī)審計���;(五)及時受理相關(guān)投訴、舉報�����;(六)與監(jiān)管部門保持溝通��,通報或報告?zhèn)€人信息保護和事件處置等情況���。企業(yè)應當公開個人信息保護負責人的姓名�、聯(lián)系方式等情況���,并報送履行個人信息保護職責的部門。第十七條【數(shù)據(jù)合規(guī)教育和培訓】企業(yè)應當定期組織開展數(shù)據(jù)合規(guī)教育培訓及考核�,確保內(nèi)部人員充分了解數(shù)據(jù)法規(guī)�、數(shù)據(jù)合規(guī)計劃����、數(shù)據(jù)合規(guī)義務與舉報程序等,提升內(nèi)部人員數(shù)據(jù)合規(guī)意識�����,促進企業(yè)合規(guī)守法經(jīng)營���。第十八條【人力資源管理與保障】企業(yè)應當在數(shù)據(jù)合規(guī)管理制度規(guī)范中明確員工的數(shù)據(jù)合規(guī)義務����,鼓勵將數(shù)據(jù)合規(guī)落實效果納入考核體系����,作為決定評優(yōu)評先、職務晉升與薪酬待遇的重要依據(jù)��。企業(yè)應當將遵守數(shù)據(jù)合規(guī)要求和履行數(shù)據(jù)合規(guī)義務作為人員聘用條件�����。對于數(shù)據(jù)處理關(guān)鍵崗位的員工應當開展必要的背景調(diào)查��,了解其犯罪記錄,誠信狀況等相關(guān)信息����,并通過簽署合規(guī)承諾書、保密協(xié)議等方式明確其應遵守的數(shù)據(jù)合規(guī)要求和履行的數(shù)據(jù)合規(guī)義務�,并建立相應的獎懲機制督促落實。關(guān)鍵崗位員工離崗后��,應當按照數(shù)據(jù)合規(guī)管理要求執(zhí)行離崗交接����、審計、脫密等措施���。第十九條【合規(guī)承諾制度】企業(yè)應當建立數(shù)據(jù)合規(guī)承諾制度���,明確違反數(shù)據(jù)合規(guī)承諾的后果與問責機制,數(shù)據(jù)合規(guī)第一犬負責人�����,數(shù)據(jù)合規(guī)管理部門負責人以及其他數(shù)據(jù)處理關(guān)鍵崗位員工應作出并嚴格履行數(shù)據(jù)合規(guī)承諾���。第二十條【舉報與調(diào)查機制】企業(yè)應當建立內(nèi)部數(shù)據(jù)合規(guī)舉報機制����,鼓勵��、支持內(nèi)部人員對試圖�、涉嫌或?qū)嶋H存在的數(shù)據(jù)不合規(guī)行為進行舉報,并采取必要措施保護內(nèi)部舉報人信息�,不得因此對舉報人采取不利措施。收到舉報后����,數(shù)據(jù)合規(guī)管理部門應當結(jié)合舉報線索的真實性、有效性及時啟動調(diào)查程序��,確保調(diào)查過程的獨立性���、公正性���,形成調(diào)查結(jié)果報告并采取相應處理和改進措施,持續(xù)完善數(shù)據(jù)合規(guī)管理制度體系��。第二十一條【文件化信息】企業(yè)應當以適當?shù)男问胶洼d體記錄數(shù)據(jù)合規(guī)管理體系運行產(chǎn)生的文件化信息���。文件化信息應當以清晰�����、易讀和易檢索的方式保存��,并采取必要措施防止泄密�����、不當使用或完整性受損�����。 第三章 數(shù)據(jù)合規(guī)管理制度體系建設第二十二條【一般要求】企業(yè)應當依照法律�、法規(guī)規(guī)定,結(jié)合自身業(yè)務���,建立健全覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)合規(guī)管理制度體系���,明確企業(yè)內(nèi)部數(shù)據(jù)合規(guī)管理的相關(guān)標準、規(guī)范和操作規(guī)程����,堅持安全和發(fā)展并重,確保數(shù)據(jù)合規(guī)管理制度與生產(chǎn)運營、業(yè)務發(fā)展同步規(guī)劃�、同步建設、同步運行�。第二十三條【數(shù)據(jù)分類分級保護制度】企業(yè)應當根據(jù)自身業(yè)務內(nèi)容定期對企業(yè)數(shù)據(jù)資產(chǎn)進行全面梳理��,并結(jié)合所屬行業(yè)���、地區(qū)的相關(guān)標準���,對數(shù)據(jù)進行分類分級,經(jīng)數(shù)據(jù)合規(guī)管理部門審批后�,形成數(shù)據(jù)分類分級清單。對無明確分類分級標準的數(shù)據(jù)�,可根據(jù)數(shù)據(jù)的重要程度、對國家安全�����、公共利益或者個人�����、組織合法權(quán)益造成的危害程度等因素���,按照就高從嚴原則進行分類分級����。企業(yè)應確立數(shù)據(jù)分類分級管控標準,明確不同類別級別數(shù)據(jù)的操作要求和保護措施����。同時處理不同級別數(shù)據(jù)且難以分別采取保護措施的,企業(yè)應當按照其中級別最高的要求給予保護�。第二十四條【重要數(shù)據(jù)、核心數(shù)據(jù)保護制度】企業(yè)應當結(jié)合相關(guān)法律�����、法規(guī)和主管部門���、所屬行業(yè)重要數(shù)據(jù)具體目錄等標準規(guī)范����,識別和確定自身業(yè)務活動中涉及的重要數(shù)據(jù)與核心數(shù)據(jù)����,形成數(shù)據(jù)清單。企業(yè)應當對重要數(shù)據(jù)與核心數(shù)據(jù)實施更加嚴格的合規(guī)管理制度�����,明確重要數(shù)據(jù)、核心數(shù)據(jù)的管理職責��、操作規(guī)范����、審批要求�����、備案機制等事項�,建立重要數(shù)據(jù)和核心數(shù)據(jù)的日常記錄和容災備份機制,強化重要數(shù)據(jù)與核心數(shù)據(jù)的安全保障����。第二十五條【采取安全技術(shù)保護措施】企業(yè)應當根據(jù)數(shù)據(jù)分類分級情況,采取適當?shù)哪涿?�、備份�、加密、訪問控制�、入侵防范等數(shù)據(jù)安全保護措施,加強對數(shù)據(jù)處理系統(tǒng)����、數(shù)據(jù)傳輸網(wǎng)絡����、數(shù)據(jù)存儲環(huán)境���、數(shù)據(jù)訪問接口等物理和網(wǎng)絡環(huán)境的安全防護����,將數(shù)據(jù)安全技術(shù)保護覆蓋到數(shù)據(jù)處理的全過程�����。處理重要數(shù)據(jù)的系統(tǒng)應滿足三級以上網(wǎng)絡安全等級保護和關(guān)鍵信息基礎設施安全保護要求����,處理核心數(shù)據(jù)的系統(tǒng)依照有關(guān)規(guī)定從嚴保護。第二十六條【權(quán)限控制機制】企業(yè)應當按照最小授權(quán)原則合理確定數(shù)據(jù)訪問與操作權(quán)限�,僅在完成職責所需的范圍內(nèi)授予特定人員最小必要的數(shù)據(jù)操作權(quán)限,并采取技術(shù)措施�����,避免出現(xiàn)越權(quán)訪問���、下載��、復制���、修改數(shù)據(jù)等行為�����。針對重要數(shù)據(jù)和核心數(shù)據(jù)�����,企業(yè)應當通過設置嚴格的數(shù)據(jù)處理權(quán)限、配備風險阻斷機制�、明確安全審計流程、落實訪問和操作留痕等方式��,實現(xiàn)權(quán)限最小化管控����。第二十七條【依法申報數(shù)據(jù)安全審查】鼓勵企業(yè)主動審查其數(shù)據(jù)處理活動是否影響或者可能影響國家安全,符合法律法規(guī)規(guī)定條件的�,應當按照國家有關(guān)規(guī)定,申報網(wǎng)絡安全審查��。掌握超過100萬用戶個人信息的網(wǎng)絡平臺運營者赴國外上市,必須向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查�����。第二十八條【建立合規(guī)風險評估機制】企業(yè)應當建立數(shù)據(jù)合規(guī)風險評估機制����,每年至少開展一次數(shù)據(jù)合規(guī)風險評估,對數(shù)據(jù)分類分級保護情況�、數(shù)據(jù)安全技術(shù)保護措施有效性、關(guān)鍵基礎設施安全水平���、數(shù)據(jù)處理合規(guī)情況��、法律法規(guī)變化和監(jiān)管動態(tài)落實情況�、數(shù)據(jù)安全預警和應急事件處置能力��、數(shù)據(jù)安全問題整改和監(jiān)管執(zhí)法響應情況等內(nèi)容進行評估��,并形成數(shù)據(jù)合規(guī)風險評估報告���。涉及處理重要數(shù)據(jù)的�����,還應對重要數(shù)據(jù)的處理情況作出評估�����,并向有關(guān)主管部門報送風險評估報告�。對新上線業(yè)務、第三方數(shù)據(jù)合作業(yè)務以及重點存量業(yè)務��,企業(yè)可以不定期開展合規(guī)風險評估��。企業(yè)應當根據(jù)數(shù)據(jù)合規(guī)風險評估報告對相關(guān)職能部門�����、崗位員工作出風險提示�,并要求其采取相應的風險處置和整改措施��,必要時應暫?�;蛉∠哂休^高合規(guī)風險的業(yè)務活動����。第二十九條【定期合規(guī)審計】企業(yè)內(nèi)部應當定期開展數(shù)據(jù)合規(guī)審計,或委托具有相關(guān)資質(zhì)的外部機構(gòu)進行��,并形成、保存相應的數(shù)據(jù)合規(guī)審計報告�����。對于審計過程中發(fā)現(xiàn)的合規(guī)問題與安全隱患應及時采取整改措施��。企業(yè)可以針對風險較高的數(shù)據(jù)處理行為進行不定期審計���,確保及時發(fā)現(xiàn)問題隱患并予以改正��。第三十條【監(jiān)測預警與存在安全缺陷�、漏洞的補救措施】企業(yè)應當建立數(shù)據(jù)安全風險監(jiān)測預警機制�,及時監(jiān)測日常數(shù)據(jù)處理活動中的異常情況和安全風險,并進行預警���。當發(fā)現(xiàn)數(shù)據(jù)安全缺陷�����、漏洞等風險時��,應當立即采取預防�、補救措施���;造成或者可能造成嚴重后果的����,應當及時告知可能受到影響的主體,并向有關(guān)主管部門報告�����。企業(yè)應當建立針對數(shù)據(jù)不合規(guī)行為的監(jiān)測機制�����,及時發(fā)現(xiàn)日常數(shù)據(jù)處理活動中的不合規(guī)行為���,采取相應的處置和懲戒措施���,并對類似問題進行排查。發(fā)生可能對企業(yè)帶來重大數(shù)據(jù)合規(guī)風險的違規(guī)行為時���,應當及時向數(shù)據(jù)合規(guī)負責人匯報,并確定相應的解決方案���。第三十一條【數(shù)據(jù)安全應急預案���、演練和處置機制】企業(yè)應當制定數(shù)據(jù)安全應急預案��,按照危害程度�����、影響范圍等因素對數(shù)據(jù)安全事件進行分級��,并結(jié)合分級情況確定應急處置的方針策略�、人員職責��、具體措施�、流程規(guī)范、物資保障等事項�。企業(yè)應當每年至少組織一次應急響應培訓和應急預案演練,使相關(guān)人員掌握熟悉應急處置策略和規(guī)程����。當發(fā)生數(shù)據(jù)安全事件時,企業(yè)應當按照應急預案及時采取處置措施����,防止危害擴大,消除安全隱患,記錄事件內(nèi)容�����,保留相關(guān)證據(jù)��,并向有關(guān)主管部門報告���。安全事件對個人����、組織造成實質(zhì)性危害的�,企業(yè)還應及時以電話、短信���、郵件等方式向所涉主體告知安全事件情況�����、危害后果��、已采取的補救措施等信息���。無法逐一告知的����,可采取公告方式告知�。第三十二條【積極配合監(jiān)管】企業(yè)應當建立監(jiān)管執(zhí)法配合機制����,受到監(jiān)管部門調(diào)查時應立即通知數(shù)據(jù)合規(guī)負責人、數(shù)據(jù)合規(guī)管理部門負責人和相關(guān)職能部門負責人等人員����,啟動必要的內(nèi)部調(diào)查程序并明確監(jiān)管調(diào)查對接人員,必要時應當暫停相應的數(shù)據(jù)處理活動���。企業(yè)應當對監(jiān)管部門的監(jiān)管執(zhí)法予以協(xié)助����、配合���,不得拒絕���、阻撓,不得提供虛假材料�、信息或隱匿����、銷毀����、轉(zhuǎn)移證據(jù)。企業(yè)積極配合監(jiān)管并主動開展合規(guī)整改采取措施有效減輕���、消除危害后果的�����,可以向監(jiān)管部門申請酌情從輕或減輕行政處罰�����。第三十三條【建立監(jiān)管響應和整改機制】企業(yè)應當按照監(jiān)管部門提出的監(jiān)管建議及時采取整改措施��,優(yōu)化����、更新數(shù)據(jù)合規(guī)管理制度�����,建立健全數(shù)據(jù)合規(guī)長效機制,有效消除安全隱患�。第三十四條【外部投訴機制】企業(yè)應當建立便捷的數(shù)據(jù)合規(guī)外部投訴機制,公布受理部門或人員聯(lián)系方式����、受理流程等信息��,鼓勵受到數(shù)據(jù)不合規(guī)行為影響的主體進行投訴��,并在合理時間內(nèi)向投訴人回復處理情況�。 第四章 數(shù)據(jù)全生命周期合規(guī)第一節(jié) 數(shù)據(jù)收集和使用第三十五條【以爬蟲等手段抓取數(shù)據(jù)的合法標準】企業(yè)采用網(wǎng)絡爬蟲等自動化工具收集數(shù)據(jù)的,應當遵守法律法規(guī)��、行業(yè)自律公約�,尊重爬取對象網(wǎng)站的爬蟲協(xié)議及規(guī)則,事前評估對網(wǎng)絡服務的性能����、功能可能帶來的影響,避免干擾網(wǎng)絡服務的正常功能或妨礙計算機信息系統(tǒng)正常運行�����。企業(yè)收集涉及他人知識產(chǎn)權(quán)�、商業(yè)秘密或非公開的個人信息的數(shù)據(jù)����,應事前征得所涉主體同意���。企業(yè)不得以下列不正當?shù)姆绞将@取他人持有的數(shù)據(jù):(一)以盜竊���、脅迫、欺詐�,電子侵入等方式,未經(jīng)授權(quán)或超越授權(quán)獲取數(shù)據(jù)����;(二)違反國家規(guī)定,侵入國家事務�����、國防建設��、尖端科學技術(shù)領(lǐng)域的計算機信息系統(tǒng)獲取數(shù)據(jù)��;(三)以非法獲取內(nèi)部訪問���、操作權(quán)限等方式�����,未經(jīng)授權(quán)或超越授權(quán)獲取數(shù)據(jù)���;(四)以提供替代性產(chǎn)品或服務為目的���,違反約定或者合理、正當?shù)臄?shù)據(jù)抓取協(xié)議���,或以其他違反誠實信用和商業(yè)道德的方式獲取數(shù)據(jù);(五)以其他違反法律禁止性規(guī)定或可能導致不正當競爭的方式獲取數(shù)據(jù)�����。第三十六條【以購買�、交換等手段收集數(shù)據(jù)的合法標準】企業(yè)通過向第三方購買、交換����、共享等方式收集數(shù)據(jù)的,應當符合法律�、法規(guī)要求,對第三方的資質(zhì)以及獲取和持有數(shù)據(jù)的合規(guī)性進行必要審查�,要求其作出數(shù)據(jù)來源合法性承諾并提供必要證明���。對從第三方獲取的數(shù)據(jù),企業(yè)應當承擔與直接收集的數(shù)據(jù)同等的安全保護責任與合規(guī)義務����。第三十七條【在提供產(chǎn)品、服務過程中收集數(shù)據(jù)的合法標準】企業(yè)在提供產(chǎn)品�、服務過程中收集個人信息,應當符合最小必要原則���,僅收集與實現(xiàn)產(chǎn)品或服務的業(yè)務功能直接相關(guān)的個人信息����。不得因個人不同意提供非必要個人信息�����,而拒絕向其提供基本功能或服務��。企業(yè)基于開發(fā)新型業(yè)務功能�、提升服務體驗等目的,超出必要范圍收集用戶個人信息的�����,應當征得個人同意。企業(yè)如需使用在提供產(chǎn)品�、服務過程中收集到的數(shù)據(jù),應當事先獲得相關(guān)數(shù)據(jù)主體的授權(quán)同意�。第三十八條【自動化決策場景的合規(guī)義務】企業(yè)利用數(shù)據(jù)進行自動化決策的,應當保證自動化決策的透明度�����,并以適當方式公示其自動化決策的基本原理�����、目的意圖和主要運行機制等信息����。自動化決策的結(jié)果可能對個人權(quán)益造成顯著影響的�����,應當對此種影響及可能產(chǎn)生的后果予以說明��,并為個人提供拒絕自動化決策的選項�。通過自動化決策方式進行信息推送、商業(yè)營銷的����,應當同時提供不針對個人特征的選項�����,并向個人提供便捷的拒絕方式����。企業(yè)不得利用數(shù)據(jù)分析�����,對交易條件相同的交易相對人實施差別待遇���,但是有下列情形之一的除外:(一)根據(jù)交易相對人的實際需求�,且符合正當?shù)慕灰琢晳T和行業(yè)慣例��,實行不同交易條件的�����;(二)針對新用戶在合理期限內(nèi)開展優(yōu)惠活動的���;(三)基于公平��、合理�����、非歧視規(guī)則實施隨機性交易的�;(四)法律、法規(guī)規(guī)定的其他情形����。前款所稱交易條件相同,是指交易相對人在交易安全交易成本����、信用狀況、交易環(huán)節(jié)�����、交易持續(xù)時間等方面不存在實質(zhì)性差別�。第三十九條【分類管理】企業(yè)應當建立個人信息分類管理制度����,結(jié)合個人信息的主體屬性、具體種類、敏感程度����、處理方式、應用場景���、對個人權(quán)益的影響��、可能存在的安全風險等因素明確個人信息分類標準����,并分別確定針對不同類型個人信息的處理規(guī)則�����、合規(guī)義務和保護標準���。敏感個人信息及未成年人個人信息處理規(guī)則應當遵循法律����、法規(guī)的相關(guān)規(guī)定��。第四十條【個人信息保護影響評估】企業(yè)應當針對業(yè)務中涉及的對個人權(quán)益有重大影響的數(shù)據(jù)處理活動開展個人信息保護影響評估���,持續(xù)檢驗����、監(jiān)控個人信息處理活動的合法合規(guī)程度、對個人合法權(quán)益造成損害的各種風險以及相關(guān)保護措施的有效性�,形成和保存?zhèn)€人信息保護影響評估報告和處理情況記錄,并采取相應改進措施����。第四十一條【建立個人信息權(quán)利行使的響應機制】企業(yè)應當為用戶行使《中華人民共和國個人信息保護法》賦予的各項權(quán)利提供便捷的申請受理和響應機制,明確合理的響應時限���。第二節(jié) 數(shù)據(jù)存儲第四十二條【分級分域管理】企業(yè)應當根據(jù)分類分級等內(nèi)部規(guī)范對不同類型���、風險等級和重要、敏感程度的數(shù)據(jù)進行分級分域管理���,對不同數(shù)據(jù)進行物理隔離或強邏輯隔離�,并采取相適應的安全保護措施和訪問控制機制�,維護數(shù)據(jù)的完整性、保密性�、可用性�。企業(yè)應當通過加密存儲���、訪問控制、校驗技術(shù)等措施強化對重要數(shù)據(jù)和敏感個人信息的保護��。第四十三條【數(shù)據(jù)存儲介質(zhì)管理】企業(yè)應當根據(jù)數(shù)據(jù)類型���、風險等級和重要�����、敏感程度等因素選擇安全性能�����、防護級別與安全等級相適應的存儲設備和介質(zhì)�����,制定數(shù)據(jù)存儲設備和介質(zhì)清單���,建立數(shù)據(jù)存儲設備和介質(zhì)管理制度,規(guī)范存儲設備和介質(zhì)的使用�����、操作、維修和故障處理���,并對傳遞�����、使用數(shù)據(jù)存儲設備和介質(zhì)的行為建立審批和日志記錄等管控機制�,強化存儲設備和介質(zhì)的物理安全和加密管理��。第四十四條【云平臺存儲】企業(yè)使用第三方云平臺進行數(shù)據(jù)存儲的�����,應當要求云服務提供商定期報告云平臺運行狀態(tài)���、安全狀況等信息��,并定期對第三方云平臺的穩(wěn)定性和采取的安全保護措施等進行審計���,確保其具備充分的數(shù)據(jù)安全保護能力。企業(yè)終止使用云平臺存儲服務的����,有權(quán)取回數(shù)據(jù)����、文檔等資料并對其完整性��、有效性進行驗證���。云服務提供商應當按照約定方式刪除、銷毀云平臺存儲的數(shù)據(jù)及副本�����。第四十五條【技術(shù)保護措施:去標識化����、匿名化】企業(yè)在存儲數(shù)據(jù)時應當采取加密、去標識化��、匿名化處理等安全技術(shù)措施���,降低個人信息被篡改�����、破壞���、泄露或者非法獲取�、非法利用等風險��。經(jīng)過去標識化處理的個人信息應當與其他個人信息分開存儲�,并嚴格控制訪問權(quán)限。第四十六條【數(shù)據(jù)備份及恢復】企業(yè)應當建立重要數(shù)據(jù)和個人信息的備份與恢復機制���,確定數(shù)據(jù)備份的范圍�����、頻率�����、方法和流程�����,并定期對備份數(shù)據(jù)進行恢復測試和完整性校驗����,防范數(shù)據(jù)意外損毀、丟失等風險���。第三節(jié) 數(shù)據(jù)傳輸和提供第四十七條【數(shù)據(jù)傳輸?shù)暮弦?guī)要求】企業(yè)應當采取加密等安全保護措施確保數(shù)據(jù)傳輸介質(zhì)和環(huán)境安全�����,保障重要數(shù)據(jù)和敏感個人信息傳輸過程的安全性,防范未經(jīng)授權(quán)訪問和數(shù)據(jù)泄露�。第四十八條【向第三方提供數(shù)據(jù)的合規(guī)要求】企業(yè)因業(yè)務需要等正當理由向第三方提供或共享、委托處理數(shù)據(jù)的�����,應當對數(shù)據(jù)接收方進行事前資格審查并評估其數(shù)據(jù)安全保護能力��。涉及提供重要數(shù)據(jù)���、敏感數(shù)據(jù)的�,應當留存相應的日志記錄�。企業(yè)應當通過合同等形式與數(shù)據(jù)接收方約定處理數(shù)據(jù)的目的、范圍��、方式��、限制與應采取的安全保護措施等事項,明確雙方權(quán)利和義務�,并對數(shù)據(jù)接收方的處理活動進行必要監(jiān)督。發(fā)現(xiàn)數(shù)據(jù)接收方違反法律��、法規(guī)規(guī)定或雙方約定處理數(shù)據(jù)的���,應當立即要求其停止相關(guān)行為并采取必要的補救措施:必要時應當暫?����;蚪K止向其提供數(shù)據(jù)��,并監(jiān)督數(shù)據(jù)接收方及時返還�、刪除�����、銷毀已獲得的數(shù)據(jù)��。第四十九條【向第三方提供個人信息的合規(guī)要求與豁免】企業(yè)向第三方提供或共享��、委托處理個人信息的���,應當向個人告知接收方的名稱或者姓名�����、聯(lián)系方式���、處理目的��、處理方式和個人信息的種類�,并按照法律規(guī)定征得個人單獨同意�。第五十條【共同處理場合下的合規(guī)要求】兩個以上的企業(yè)共同決定個人信息的處理目的和處理方式的,應當約定各自的權(quán)利和義務�、應采取的安全保護措施���、發(fā)生數(shù)據(jù)安全事件時的補救與應急處置措施以及責任承擔等事項��。第五十一條【合作方管理】企業(yè)應當加強對合作方的合規(guī)管理�����,明確信息系統(tǒng)開發(fā)及運維���、數(shù)據(jù)存儲、數(shù)據(jù)處理等合作方的準入標準和資格審查機制����,并通過簽訂合規(guī)協(xié)議等形式明確雙方的權(quán)利和義務�����,以及合作方的數(shù)據(jù)處理權(quán)限�����、應采取的安全保護措施等事項���。企業(yè)應當定期對合作方進行合規(guī)檢查和審計,并結(jié)合風險特征對合作方進行合規(guī)分級�����、分類管控��,對不同風險級別的合作方采取相適應的合規(guī)管理措施�。發(fā)現(xiàn)合作方存在嚴重違法、違規(guī)�、違約行為或發(fā)生重大數(shù)據(jù)安全事故、喪失數(shù)據(jù)安全保障能力����、故意不履行數(shù)據(jù)安全保護職責等情形的��,應及時終止與其合作��。第五十二條【第三方接入場景/SDK的合規(guī)義務】企業(yè)在其產(chǎn)品或服務中接入由第三方提供的軟件開發(fā)工具包的�,應當事前對接入第三方進行安全檢測�����,評估是否存在已知的安全漏洞以及可能引起數(shù)據(jù)泄露等安全事件的行為���,并建立相應的接入第三方合規(guī)管理機制���,通過簽署開發(fā)者服務協(xié)議等形式明確雙方的權(quán)利和義務、應采取的安全保護措施����、發(fā)生數(shù)據(jù)安全事件時的補救與應急處置措施以及責任承擔等事項�����,并留存第三方接入日志記錄�。第三方軟件開發(fā)工具包具備收集、處理個人信息功能的����,企業(yè)應當要求該第三方如實��、完整披露收集��、處理個人信息的具體情況�����,并應將相關(guān)情況及時�、準確告知所涉?zhèn)€人�����,并按照法律規(guī)定征得個人同意���。企業(yè)應當對第三方軟件開發(fā)工具包進行持續(xù)安全監(jiān)測���,發(fā)現(xiàn)接入第三方存在違反法律、法規(guī)規(guī)定或雙方約定處理數(shù)據(jù)����,或未落實數(shù)據(jù)安全保護責任造成較大安全風險的,應當及時切斷接入����,并督促其采取整改措施��。對于存在流量劫持�、資費消耗��、隱私竊取等惡意行為的第三方軟件開發(fā)工具包應當取消其接入權(quán)限�����。第五十三條【合并��、重組��、分立���、解散��、破產(chǎn)場合下的合規(guī)要求】企業(yè)因兼并、重組����、破產(chǎn)等原因需要轉(zhuǎn)移數(shù)據(jù)的,應當制定數(shù)據(jù)轉(zhuǎn)移方案�,明確數(shù)據(jù)承接方及其應當履行的數(shù)據(jù)安全保護責任等事項����,并以合適的方式通知受影響的個人��。作為數(shù)據(jù)承接方的企業(yè)應當繼續(xù)承擔數(shù)據(jù)合規(guī)義務和數(shù)據(jù)安全責任��。因業(yè)務需要等正當理由確需改變數(shù)據(jù)處理目的����、范圍、方式的�,應當重新征得所涉?zhèn)€人同意。第四節(jié) 數(shù)據(jù)交易第五十四條【數(shù)據(jù)交易場所的合規(guī)義務】數(shù)據(jù)交易場所應當建立數(shù)據(jù)來源可確認����、使用范圍可界定、交易過程可追溯���、安全風險可防范的可信數(shù)據(jù)交易環(huán)境�����,制定平臺準入�、數(shù)據(jù)質(zhì)量評估�、交易管理��、合規(guī)審查���、信息披露、自律監(jiān)管等規(guī)則���,對場內(nèi)交易進行管理�,交易參與主體應當予以配合����。數(shù)據(jù)交易場所應當對場內(nèi)交易進行合法性與合規(guī)性評估,并履行以下義務:(一)要求數(shù)據(jù)提供方說明數(shù)據(jù)來源��,并審核相關(guān)信息�����;(二)審核數(shù)據(jù)交易雙方身份和數(shù)據(jù)交易合同��;(三)留存相關(guān)審核����、交易記錄��;(四)監(jiān)督數(shù)據(jù)交易、結(jié)算和交付���;(五)采取必要技術(shù)手段確保數(shù)據(jù)交易安全���,保護個人信息、個人隱私����、商業(yè)秘密、保密商務信息和重要數(shù)據(jù)�;(六)法律、法規(guī)規(guī)定的其他義務�����。第五十五條【數(shù)據(jù)來源合規(guī)】開展數(shù)據(jù)交易的企業(yè)應當建立針對數(shù)據(jù)來源的合規(guī)審查機制�����,確保數(shù)據(jù)獲取手段合法合規(guī)�、數(shù)據(jù)來源鏈路清晰,并經(jīng)過所涉主體明確授權(quán)同意����,不存在侵犯國家�、公共利益或其他組織�、個人合法權(quán)益的情況。第五十六條【數(shù)據(jù)內(nèi)容合規(guī)】開展數(shù)據(jù)交易的企業(yè)應當建立針對數(shù)據(jù)內(nèi)容的合規(guī)審查機制����,不得交易含有以下內(nèi)容的數(shù)據(jù)產(chǎn)品或服務:(一)含有未經(jīng)授權(quán)的個人信息的;(二)含有侵犯他人知識產(chǎn)權(quán)或商業(yè)秘密的內(nèi)容的�;(三)含有未經(jīng)依法開放的公共數(shù)據(jù)的;(四)含有國家核心數(shù)據(jù)或國家秘密的����;(五)含有法律、法規(guī)規(guī)定禁止交易的其他數(shù)據(jù)的�。第五十七條【數(shù)據(jù)質(zhì)量合規(guī)】開展數(shù)據(jù)交易的企業(yè)應當建立必要的數(shù)據(jù)質(zhì)量校驗機制,提升交易數(shù)據(jù)的準確性��、完整性和及時性�,并通過數(shù)據(jù)復核、交叉驗證等方式強化重要數(shù)據(jù)�、敏感數(shù)據(jù)的質(zhì)量審查。第五十八條【反饋修改機制】開展數(shù)據(jù)交易的企業(yè)應當建立問題反饋和修改機制��,對證明存在錯誤或侵權(quán)的數(shù)據(jù)及時采取更正����、刪除等補救措施�����。第五十九條【交易數(shù)據(jù)的使用監(jiān)測】開展數(shù)據(jù)交易的企業(yè)應當通過與交易相對方簽訂數(shù)據(jù)使用協(xié)議等方式,明確交易數(shù)據(jù)的使用目的��、范圍�、方式、處理限制與應采取的安全保護措施等事項��,以及發(fā)生違約�、侵權(quán)行為時的法律責任,并在合理范圍內(nèi)對數(shù)據(jù)使用行為進行監(jiān)督��。數(shù)據(jù)購買方應當按照約定的目的�、場景和方式合規(guī)使用數(shù)據(jù),不得將通過交易獲取的數(shù)據(jù)用于違反法律法規(guī)或雙方約定的其他用途�。第六十條【免責事由/容錯機制】開展數(shù)據(jù)交易的企業(yè)對超出其可預見范圍和技術(shù)控制能力的數(shù)據(jù)錯誤等質(zhì)量瑕疵,在及時采取補救措施后仍造成損失的��,應當允許其通過事前約定等方式減輕或免除相應責任�����,但對損失的發(fā)生存在故意或重大過失的除外。開展數(shù)據(jù)交易的企業(yè)參照本指引數(shù)據(jù)交易合規(guī)要求���,履行數(shù)據(jù)合規(guī)義務�����,其銷售的交易標的已按照深圳數(shù)據(jù)交易所的上市合規(guī)評估流程完成合法性與合規(guī)性評估的����,檢察機關(guān)可視情況適用涉案企業(yè)合規(guī)程序����。第五節(jié)數(shù)據(jù)刪除和銷毀第六十一條【應當刪除、銷毀數(shù)據(jù)的情形】企業(yè)應當建立數(shù)據(jù)存儲冗余管理策略�����,定期對存儲數(shù)據(jù)進行盤點�,對于對實現(xiàn)處理目的不再必要的數(shù)據(jù),應當及時進行刪除或匿名化處理��。當出現(xiàn)以下情形時��,企業(yè)應當對其持有的全部數(shù)據(jù)或相關(guān)數(shù)據(jù)進行刪除�、銷毀:(一)企業(yè)終止運營�、解散或破產(chǎn)�����,且沒有數(shù)據(jù)承接方的�����;(二)約定的數(shù)據(jù)存儲期限已經(jīng)屆滿的��,或發(fā)生約定的數(shù)據(jù)刪除���、銷毀事由的;(三)根據(jù)法律��、法規(guī)規(guī)定應當刪除�、銷毀數(shù)據(jù)的其他情形。第六十二條【數(shù)據(jù)刪除與銷毀的合規(guī)要求】企業(yè)應當建立數(shù)據(jù)刪除和銷毀的操作規(guī)程和管理制度�,明確刪除和銷毀的對象、權(quán)限�����、流程和技術(shù)等要求��,確保被銷毀數(shù)據(jù)不可恢復,并對相關(guān)活動進行記錄和留存�����。企業(yè)對數(shù)據(jù)存儲設備和介質(zhì)進行報廢處理的�����,應當事先采取格式化�、重復刪除、介質(zhì)消磁等方式刪除其中存儲的數(shù)據(jù)����,并采取物理損毀等方式對介質(zhì)進行徹底銷毀。第六十三條【刪除個人信息的情形】符合下列情形之一的���,企業(yè)應當在十五個工作日之內(nèi)對相關(guān)個人信息進行刪除或匿名化處理���,并遵循可審計原則記錄刪除時間、操作人���、數(shù)據(jù)內(nèi)容等相關(guān)信息���。個人信息處理者未刪除的�����,個人有權(quán)請求刪除:(一)處理目的已實現(xiàn)���、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要;(二)企業(yè)停止提供產(chǎn)品或者服務����,或者保存期限已屆滿;(三)個人撤回同意�;(四)企業(yè)違反法律�����、行政法規(guī)或者違反約定處理個人信息��;(五)法律��、行政法規(guī)規(guī)定的其他情形����。法律、行政法規(guī)規(guī)定的保存期限未屆滿����,或者刪除個人信息從技術(shù)上難以實現(xiàn)的���,企業(yè)當停止除存儲和采取必要的安全保護措施之外的處理。 第五章 數(shù)據(jù)出境合規(guī)第六十四條【適用數(shù)據(jù)出境安全評估的情形】企業(yè)向境外提供數(shù)據(jù)���,有下列情形之一的����,應當通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估:(一)企業(yè)向境外提供重要數(shù)據(jù)�����;(二)關(guān)鍵信息基礎設施運營者和處理100萬人以上個人信息的企業(yè)向境外提供個人信息����;(三)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的企業(yè)向境外提供個人信息;(四)國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形�。第六十五條【數(shù)據(jù)出境風險自評估的開展】企業(yè)在申報數(shù)據(jù)出境安全評估前,應當開展數(shù)據(jù)出境風險自評估��,重點評估以下事項:(一)數(shù)據(jù)出境和境外接收方處理數(shù)據(jù)的目的�����、范圍、方式等的合法性����、正當性、必要性�;(二)出境數(shù)據(jù)的規(guī)模、范圍��、種類�、敏感程度,數(shù)據(jù)出境可能對國家安全�����、 公共利益�����、個人或者組織合法權(quán)益帶來的風險�;(三)境外接收方承諾承擔的責任義務�,以及履行責任義務的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全�;(四)數(shù)據(jù)出境中和出境后遭到篡改、破壞�����、泄露、丟失����、轉(zhuǎn)移或者被非法獲取、非法利用等的風險�,個人信息權(quán)益維護的渠道是否通暢等;(五)與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件等是否充分約定了數(shù)據(jù)安全保護責任義務��;(六)其他可能影響數(shù)據(jù)出境安全的事項�����。第六十六條【需要重新評估的情形】在數(shù)據(jù)出境安全評估的結(jié)果有效期內(nèi)出現(xiàn)以下情形之一的�,企業(yè)當重新申報評估:(一)向境外提供數(shù)據(jù)的目的、方式���、范圍��、種類和境外接收方處理數(shù)據(jù)的用途����、方式發(fā)生變化影響出境數(shù)據(jù)安全的,或者延長個人信息和重要數(shù)據(jù)境外保存期限的��;(二)境外接收方所在國家或者地區(qū)數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形�、數(shù)據(jù)處理者或者境外接收方實際控制權(quán)發(fā)生變化、數(shù)據(jù)處理者與境外接收方法律文件變更等影響出境數(shù)據(jù)安全的����;(三)出現(xiàn)影響出境數(shù)據(jù)安全的其他情形。通過數(shù)據(jù)出境安全評估的結(jié)果有效期為2年��,自評估結(jié)果出具之日起計算�。有效期屆滿,需要繼續(xù)開展數(shù)據(jù)出境活動的�,數(shù)據(jù)處理者應當在有效期屆滿60個工作日前重新申報評估。第六十七條【明確約定數(shù)據(jù)安全保護責任義務】企業(yè)應當在與境外接收方訂立的法律文件中明確約定數(shù)據(jù)安全保護責任義務����,至少包括以下內(nèi)容:(一)數(shù)據(jù)出境的目的、方式和數(shù)據(jù)范圍���,境外接收方處理數(shù)據(jù)的用途���、方式等����;(二)數(shù)據(jù)在境外保存地點�、期限�����,以及達到保存期限����、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施;(三)對于境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織�、個人的約束性要求;(四)境外接收方在實際控制權(quán)或者經(jīng)營范圍發(fā)生實質(zhì)性變化�,或者所在國家、地區(qū)數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡安全環(huán)境發(fā)生變化以及發(fā)生其他不可抗力情形導致難以保障數(shù)據(jù)安全時���,應當采取的安全措施���;(五)違反法律文件約定的數(shù)據(jù)安全保護義務的補救措施、違約責任和爭議解決方式�;(六)出境數(shù)據(jù)遭到篡改、破壞���、泄露��、丟失�����、轉(zhuǎn)移或者被非法獲取���、非法利用等風險時���,妥善開展應急處置的要求和保障個人維護其個人信息權(quán)益的途徑和方式。第六十八條【向境外提供個人信息的條件】企業(yè)因業(yè)務等需要���,確需向中華人民共和國境外提供個人信息的�����,應當具備下列條件之一:(一)依照《個人信息保護法》第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估���;(二)按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證;(三)按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同���,約定雙方的權(quán)利和義務��;(四)法律���、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。中華人民共和國締結(jié)或者參加的國際條約�����、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的����,可以按照其規(guī)定執(zhí)行。企業(yè)應當采取必要措施�����,保障境外接收方處理個人信息的活動達到法律規(guī)定的個人信息保護標準�����。第六十九條【個人數(shù)據(jù)出境場景下的告知同意要求】企業(yè)向中華人民共和國境外提供個人信息的����,應當向個人告知境外接收方的名稱或者姓名、聯(lián)系方式�、處理目的、處理方式�、個人信息的種類以及個人向境外接收方行使《個人信息保護法》規(guī)定的各項權(quán)利的方式和程序等事項���,并取得個人的單獨同意。第七十條【個人信息出境場景下的個人信息保護影響評估】企業(yè)向境外提供個人信息的����,應當事前進行個人信息保護影響評估,并對處理情況進行記錄�。個人信息保護影響評估應當包括下列內(nèi)容:(一)個人信息的處理目的、處理方式等是否合法���、正當���、必要;(二)對個人權(quán)益的影響及安全風險�����;(三)所采取的保護措施是否合法���、有效并與風險程度相適應���。個人信息保護影響評估報告和處理情況記錄應當至少保存三年。第七十一條【適用個人信息保護認證的情形】企業(yè)通過經(jīng)專業(yè)機構(gòu)進行個人信息保護認證的方式向境外提供個人信息的�,應當符合TC260-PG-20222A《個人信息跨境處理活動安全認證規(guī)范》�、GB/T35273《信息安全技術(shù)個人信息安全規(guī)范》的要求��。第七十二條【適用出境標準合同的情形】企業(yè)通過訂立標準合同的方式向境外提供個人信息的��,應當同時符合下列情形:(一)非關(guān)鍵信息基礎設施運營者�����;(二)處理個人信息不滿100萬人的����;(三)自上年1月1日起累計向境外提供個人信息不滿10萬人的���;(四)自上年1月1日起累計向境外提供敏感個人信息不滿1萬人的�。法律���、行政法規(guī)或者國家網(wǎng)信部門另有規(guī)定的���,從其規(guī)定。企業(yè)不得采取數(shù)量拆分等手段���,將依法應當通過出境安全評估的個人信息通過訂立標準合同的方式向境外提供�。第七十三條【遵守出口管制要求的合規(guī)義務】國家對與維護國家安全和利益、履行國際義務相關(guān)的屬于管制物項的數(shù)據(jù)依法實施出口管制��,企業(yè)向境外提供涉及出口管制的數(shù)據(jù)的�,應當依法向有關(guān)部門申請出口許可證:可能危害國家安全和利益的,不得向境外提供�。第七十四條【境外司法或執(zhí)法機構(gòu)調(diào)取數(shù)據(jù)場景下的合規(guī)義務】非經(jīng)中華人民共和國主管機關(guān)批準,企業(yè)不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)�。 第六章 附則第七十五條【基本概念】本指引所稱的概念含義如下:(一)數(shù)據(jù),是指任何以電子或者其他方式對信息的記錄����;(二)個人信息,是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息�����,不包括匿名化處理后的信息�����;(三)敏感個人信息���,是指一旦泄露或者非法使用����,容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息�����,包括生物識別����、宗教信仰��、特定身份���、醫(yī)療健康����、金融賬戶�����、行蹤軌跡等信息�,以及不滿十四周歲未成年人的個人信息。(四)重要數(shù)據(jù)�,是指一旦遭到篡改、破壞����、泄露或者非法獲取�����、非法利用等�,可能危害國家安全����、經(jīng)濟運行、社會穩(wěn)定���、公共健康和安全等的數(shù)據(jù)�����;(五)國家核心數(shù)據(jù)����,是指關(guān)系國家安全��、國民經(jīng)濟命脈���、重要民生����、重大公共利益等的數(shù)據(jù):(六)數(shù)據(jù)處理,包括數(shù)據(jù)的收集����、傳輸、存儲����、加工、使用���、提供、公開等���;(七)數(shù)據(jù)安全���,是指通過采取必要措施,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)���,以及具備保障持續(xù)安全狀態(tài)的能力�����;(八)數(shù)據(jù)合規(guī)����,是指企業(yè)通過采取必要措施,確保其在日常經(jīng)營活動中的數(shù)據(jù)處理行為達到個人信息保護�、網(wǎng)絡安全、數(shù)據(jù)安全等方面的法律要求的狀態(tài):(九)數(shù)據(jù)合規(guī)管理�����,是指以預防和降低涉數(shù)據(jù)違法犯罪和數(shù)據(jù)安全風險為目的����,以企業(yè)及其員工行為為管理對象,開展的一系列管理活動�����;(十)自動化決策�,是指通過計算機程序自動分析、評估個人的行為習慣�����、興趣愛好或者經(jīng)濟、健康��、信用狀況等�����,并進行決策的活動�����;(十一)數(shù)據(jù)交易場所�����,是指經(jīng)深圳市政府批準成立的�����,組織開展數(shù)據(jù)交易活動的交易場所����。第七十六條【指引的解釋】本指引由深圳市人民檢察院���、深圳市互聯(lián)網(wǎng)信息辦公室�、深圳市司法局、深圳市發(fā)展和改革委員會�、深圳數(shù)據(jù)交易所負責解釋。第七十七條【施行日期】本指引自發(fā)布之日起施行���。  
|
