上海首份企业数据合规指引：鼓励企业设立专门数据合规部门

《指引》由上海市杨浦区检察院联合市信息服务业行业协会、市数据合规与安全产业发展专家工作组、区工商业联合会制定发布。全文共38条，按照合规架构与风险识别处理的逻辑划分为六章，从数据合规管理体系、数据风险识别、数据风险评估与处置、数据合规运行与保障等方面引导企业加强数据合规管理。

《指引》主要对企业的数据合规管理架构与风险识别处理规范作出了规定，包括数据合规管理体系、数据风险识别、数据风险评估与处置、数据合规运行与保障等内容，督促企业对数据进行合规管理，有效惩治预防数据违法犯罪。

《指引》鼓励各类企业设置专门的数据合规管理部门，而不是由法务部门履行合规管理职能。企业应向数据合规管理部门负责人提供足够的授权、人力、财力来支持数据合规管理体系的运行。一般由董事会直接设立企业合规部门，下设数据合规管理部门等各类专业合规部门。

企业在制定合规计划的时候应当全面识别所面临的数据风险，根据这些风险来制定和完善合规计划。《指引》列举了一些常见的数据风险。

例如：数据处理者开展影响或者可能影响国家安全的数据处理活动，应当按照国家有关规定，申报网络安全审查；数据处理者处理个人信息，应当依据《个人信息保护法》的规定遵守八项规则，并在特定情况下删除个人信息或者进行匿名化处理等。

《指引》还特别对数据刑事风险进行了提示。数据处理者在数据处理活动中可能因为存在某些行为被追究包括侵犯公民个人信息罪、破坏计算机信息系统罪、非法侵入计算机信息系统罪等刑事责任。

《指引》还明确要求数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得强制个人同意收集人脸、步态、指纹、虹膜、声纹等生物特征信息。

针对第三方软件开发工具包的使用，《指引》也提出了具体要求：企业可以使用经相关部门审核合规的开源软件开发工具包进行程序开发活动，不得使用风险不可控的开源软件开发工具包等工具。

以下是指引全文及附件：

- End -

2月8日晚8点，大鱼聊天室邀请到福伊特集团亚太区法务总监、斜杠法律人Timini，一起聊聊「斜杠法律人的”折腾“人生」。直播不可回放，欢迎关注视频号，预约直播。

↓↓↓

# 2月小会课表 #

# 推荐阅读 #