《企业个人信息保护合规管理体系指南.docx》由会员分享,可在线阅读,更多相关《企业个人信息保护合规管理体系指南.docx(26页珍藏版)》请在优知文库上搜索。
1、ICS1.团体标准T/ISCXXXXXXXX企业个人信息保护合规管理体系指南GuidelinesforComplianceManagementSystemofPersonalInformationProtectiononEnterprises(征求意见稿)XXXX-XX-XX发布XXXX-XX-XX实施中国互联网协会发布目次前言II引言III1范围12规范性引用文件13术语和定义14原则24.1有效性原则24.2全面性原则24.3独立性原则24.4动态性原则24. 5可查证原则25所处环境34.1 合规管理体系35. 2合规义务识别36. 3合规风险评价36机构职责46.1领导作用和承诺46.
2、 2合规方针47. 3组织机构与职责46.4合规管理沟通与协作67运行机制68. 1过程和程序67.2提出疑虑67.3合规调查77.4奖惩措施78保障机制78.1聘用管理78.2合规培训78.3合规文化78.4合规咨询88.5合规管理信息化建设88.6文件化信息8附录A企业个人信息保护合规义务清单9附录B企业个人信息保护合规义务履行指引13本标准按照GB/TL1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国互联网协会归口。本标准主要起草单位:本标准主要起草人:在大数据、云计算、万物互联的时代,基于数据的应用日益广泛,个人信息
3、保护问题日渐凸显。过度收集、非法买卖个人信息等侵犯个人信息权益的乱象时有发生。为了保护个人信息权益,规范个人信息处理活动,同时促进个人信息合理利用,我国先后颁布了网络安全法民法典数据安全法个人信息保护法等法律法规,逐步构建起个人信息保护的基础制度体系1合规管理是企业积极应对不断变化的内、外部环境,传统与非传统风险的有效途径。有效的企业合规管理体系能够表明企业在经营管理过程中遵守相关法律法规、政府监管要求、行业守则、良好的治理标准、社会一般道德和对期望的承诺。为全面遵守个人信息保护法律和政策要求,提升个人信息保护水平,助力企业高质量全面发展,根据个人信息保护法合规管理体系要求及使用指南及相关法律
4、法规、标准,制定本文件。本文件旨在从企业合规管理的角度细化并落实个人信息保护的义务和要求,助力企业开展个人信息保护合规管理工作。T/ISCXXXXXXXX企业个人信息保护合规管理体系指南1范围本文件规定了企业建立、实施、评估、维护及改进个人信息保护合规管理体系的总体指南。本文件适用于开展个人信息保护合规管理相关工作的企业。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T35770-2022/IS037301:2021合规管理体系要求及使用指南T/ISC0023-2
5、023信息通信及互联网行业企业合规管理体系指南3术语和定义下列术语和定义适用于本文件。3. 1合规compliance履行组织的全部合规义务。来源:GB/T35770-2022/IS037301:2021,3.263.2合规义务complianceobligations组织强制性地必须遵守的要求,以及组织自愿选择遵守的要求。来源:GB/T35770-2022/IS037301:2021,3.253.3合规风险compliancerisk因未遵守组织合规义务而发生不合规的可能性及其后果。来源:GB/T35770-2022/IS037301:2021,3.243.4合规管理compliancema
6、nagement以有效防控合规风险为目的,开展包括体系构建、制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。来源:T/ISC0023-2023,3.33.5个人信息保护影响评估personalinformationprotectionimpactassessment企业采用访谈、检查、测试等评估方法,按照评估必要性分析、评估准备工作、风险源识别、个人权益影响分析、安全风险综合分析、评估报告、风险处置和持续改进等流程,在处理个人信息前,评估其个人信息的处理目的、处理方式等是否合法、正当、必要,对个人权益的影响及安全风险(如是否会危害人身和财产安全、
7、损害个人名誉和身心健康、导致差别性待遇等),所采取的保护措施是否合法、有效并与风险程度相适应等内容。个人信息保护影响评估报告和处理情况记录至少保存三年。3.6个人信息保护法定特别机构specializedstatutoryagenciesforprotectionofpersonalinformation企业处理个人信息在数量、跨境、主体资格等方面符合相关法定情形时,根据法律法规要求建立的相应机构,包括个人信息保护负责人、境内专门机构或者指定代表、由外部成员组成的独立机构等。4原则4.1有效性原则企业个人信息保护合规管理制度宜有效嵌入到经营业务的具体环节当中,与法律风险防范、审计监察、内控及风
8、险管理等工作相统筹、相衔接,并建立全员合规责任制,明确管理人员和各岗位员工的合规责任并督促有效落实,确保合规管理闭环。4. 2全面性原则企业个人信息保护合规管理的范围宜覆盖收集、存储、使用、加工、传输、提供、公开、删除等处理行为;合规工作宜覆盖业务涉及的研发、生产、销售、对外合作、投资推广、招投标及采购等各个环节,贯穿决策、执行、监督全流程,并确保所有与个人信息保护相关的业务、部门和人员均已纳入合规工作体系。4. 3独立性原则企业个人信息保护合规职能部门的运行宜不受任何不当的干扰和压力:合规职能部门应严格依照法律法规及企业相关制度等对企业和员工行为进行客观评价和处理;承担合规管理职责的人员应独
9、立履行职责,不受其他部门和人员的干涉。5. 4动态性原则企业个人信息保护合规工作宜与企业经营范围、组织结构和业务规模相适应,合规工作宜根据企业内外部环境的变化适时进行调整和完善,企业经营管理中存在的合规风险问题,要能够得到及时反馈、纠正和改进。4. 5可查证原则企业个人信息保护合规工作宜有明确的操作文档作为依据,确保企业合规管理有迹可循、有证可查。5所处环境5.1合规管理体系企业个人信息保护合规管理,是企业通过履行个人信息保护合规义务,证明其规范生产经营的一种公司管理能力,是在履行合规义务的框架之下,为实现最佳经营业绩的一种公司治理方式,也是企业实现可持续发展,承担社会责任,开展自我监督的有效
10、方式。企业宜正确认识和理解个人信息保护合规管理体系:a)企业个人信息保护合规管理体系是一个框架,该框架是方针、流程和行为的有机结合;b)企业个人信息保护合规管理体系无法完全避免不合规的发生,但相应的过程能够确保对不合规做出适当的反应和补救;c)企业宜确定个人信息保护合规管理体系的范围,包括地理和/或组织边界。d)企业个人信息保护合规管理体系宜结合企业环境,反映企业的价值观、方针和合规风险。5.2合规义务识别5. 2.1合规义务个人信息保护合规义务是企业建立、开发、实施、评价、维护和改进合规管理体系的基础。通常,个人信息保护合规义务来源于两个方面,必须要遵守的要求和自愿选择遵守的承诺。企业必须要
11、遵守的个人信息保护要求包括:法律法规;一一监管机构发布的命令、条例或者指南;行政决定;一一法院判决;一一条约、公约和协议。企业资源选择遵守的个人信息保护承诺包括一一与社会团体等非政府组织签订的协议;一一与客户和公共权力机构签订的协议;一相关产业的标准;一一企业内部制度、公开承诺等。5. 2.2合规义务分析企业宜系统梳理来源于其活动、产品和服务的个人信息保护合规义务。企业宜识别新增及变更的个人信息保护合规义务,确保持续合规。企业宜评价变更的个人信息保护合规义务对合规管理体系产生的影响,并对个人信息保护合规义务管理实施必要的调整。5.3合规风险评价5. 3.1合规风险企业宜通过将其个人信息保护合规
12、义务与活动、产品、服务以及运行的相关方面关联,来分析个人信息保护合规风险。企业宜对个人信息合规风险进行分级,企业宜评估与个人信息处理外包和第三方相关的合规风险。企业宜定期或在企业环境发生重大变化时进行个人信息保护合规风险评估。5. 3.2合规风险提示企业在评估个人信息保护合规风险内容的基础上,可根据自身经营规模、组织体系、业务内容以及市场环境,分析和评估个人信息保护合规风险的来源、发生的可能性、后果的严重性等,并对个人信息保护合规风险进行分级。个人信息保护合规管理部门宜根据风险评估结果对不同职级、不同工作范围的管理层与员工进行风险提示,降低管理层和员工的违法犯罪风险。5. 3.3安全事件处置当
13、发生个人信息泄露、篡改、丢失等个人信息安全事件时,企业宜按照应急预案及时采取处置措施,防止危害扩大,消除安全隐患,记录事件内容,保留相关证据,并向有关主管部门报告。安全事件对个人、组织造成实质性危害的,宜及时以电话、短信、邮件等方式向所涉主体告知安全事件情况、危害后果、已采取的补救措施等信息。无法逐一告知的,可采取公告方式告知。6机构职责5.1 领导作用和承诺企业管理层的直接领导和积极承诺对顺利开展个人信息保护合规管理至关重要,保隙资源可获取、强调沟通的重要性、支持人员做出贡献。领导作用在个人信息保护合规管理体系的作用体现在以下几个方面:a)管理者以身作则支持合规;b)分配合规职能,提供充分资
14、源;c)支持持续改进。5.2 合规方针企业宜确立个人信息保护合规管理方针,该方针可包括:a)个人信息保护合规宣言;b)个人信息保护总体方针;c)个人信息保护合规责任和资源的分配。5.3 组织机构与职责6. 3.1组织体系企业开展个人信息处理活动宜建立健全个人信息保护合规管理组织机构和常态化沟通协作机制,强化个人信息保护合规意识。企业可以根据业务规模、合规风险等因素组建合规管理队伍,设置由企业的最高管理者、个人信息保护合规管理部门和法定特殊机构组成的个人信息保护合规管理组织体系。6. 3.2第一责任人企业主要负责人是个人信息保护合规的第一责任人,宜承担以下职责:a)分配足够和适当的资源来建立、发
15、展、实施、评估、维护和改进个人信息保护合规管理体系;b)确保建立举报个人信息保护违规的有效机制;c)确保战略和运营目标与履行个人信息保护合规义务之间的一致性;d)建立和维护问责机制,包括纪律处分和后果;e)确保将个人信息保护合规落实情况和效果纳入企业内部人员绩效考核体系;f)规划个人信息保护合规管理体系建设工作,研究合规管理重大事项并提出指导意见;g)统筹协调重大个人信息保护合规风险事件的处理。6.3.3个人信息保护合规管理部门企业宜设置专门的个人信息保护合规管理部门,一般由董事会直接设立企业合规部门、下设个人信息保护合规管理部门等各类专业合规部门。主要负责人宜向个人信息保护合规管理部门负责人提供足够的授权、人力、财力来支持个人信息保护合规管理体系的运行。合规管理部门主要负责:a)具体起草本企业个人信息保护合规管理计划和管理制度;b)组织开展或