企业数据合规体系构建

组织架构建设

法定代表人、主要负责人
数据合规部门、负责人
独立于市场、业务、产品部门，不能即当裁判员又当运动员
满足以下条件之一，需要设立专门个人信息保护工作机构：

• 主要业务涉及个人信息处理，且从业人员>200人
• 处理超过100万人个人信息
• 处理超过10万人个人敏感信息

内控制度建设

网络安全管理制度和操作规程
《网络安全法》第二十一条

1. 指定内部管理制度、操作流程，确定负责人
2. 技术措施，防范病毒、网络攻击等
3. 网络日志、运行日志、安全事件日志保留大于6个月
4. 做数据分类、重要数据加密和备份

个人信息保护制度

• 分级授权管理机制
  《个人金融信息保护技术规范》JR/T 0171-2020 7.2.1 d 建立信息系统分级授权管理机制

• 应急预案
  《信息安全技术 个人信息安全规范》GBT 35273-2020 10.1

• 个人信息安全影响评估
  《信息安全技术 个人信息安全规范》GBT 35273-2020 11.4

建立用户投诉机制

数据分级治理要点

• 数据分类

1. 产品或服务中采集的数据，包括签署的纸质或电子化协议、通过app、h5等采集的电子信息。
2. 企业内部系统形成的数据，包括业务数据、经营管理数据，其中业务数据包括交易信息、统计数据等；经营管理数据指经营管理中采集产生的运营数据、技术管理数据、统计分析数据、综合管理数据等。
3. 内部办公数据，如日常OA事务处理信息、电子邮件等。
4. 其他数据

• 数据定级
  影响对象：国家安全、公众权益、个人隐私、企业合法权益；
  影响程度：严重损害、一般、轻微、无损害
  个人>单位， 身份鉴别信息>个人基本概况信息， 实时性交易数据>低实时性数据
• 数据级别变更
• 数据分级治理机制