公司律师服务（企业数据合规律师业务操作指引）

企业数据合规律师业务操作指引

湖南省律师协会

二0二一年十一月

目录

第一章 总则

第一条 本指引宗旨

第二条 企业数据合规的主要内涵

第三条 企业数据合规业务的定义及内容

第二章 企业数据合规体系的建立

第四条 企业数据合规体系的建立

第三章 数据全生命周期合规要求

第五条 数据全生命周期

第六条 数据收集合规要求

第七条 数据传输合规要求

第八条 数据存储合规要求

第九条 数据使用合规要求

第十条 数据共享合规要求

第十一条 数据删除和销毁合规要求

附录：企业数据合规相关法律法规、政策文件

第一章 总则

第一条 本指引宗旨

为指导律师承办企业数据合规业务，规范律师执业行为，保障律师依法履行职责，提高律师的法律服务质量和水平，防范职业风险，充分发挥律师在企业数据合规中的作用，依据《中华人民共和国民法典》、《中华人民共和国数据安全法》、《中华人民共和国网络安全法》等法律及相关行政法规、司法解释、部门规章、部门规范性文件，制定本指引。

第二条 企业数据合规的主要内涵

（一）数据是指任何以电子或者其他方式对信息的记录。

数据合规的主要内涵包括三个方面，数据处理、数据安全、个人信息保护。

1.数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

2.数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

3.个人信息保护是指对以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等进行保护，达到保密要求和安全使用。

（二）企业数据合规指企业对于数据的收集、存储、使用、加工、传输、提供、公开、删除与数据所在地区的法律、行业规则相符合，既包括形式上使用数据合规，也包括数据内容本身的实质合规。

（三）企业开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。

（四）企业应当按照我国网络安全等级保护制度的要求，履行安全保障义务，保障网络免受干扰、破坏或者未经授权的访问，使网络处于稳定可靠运行的状态，以及保障企业数据的完整性、保密性、可用性，并防止数据泄露或者被窃取、篡改。

第三条 律师企业数据合规业务的定义及内容

（一）律师企业数据合规业务定义

律师承办企业数据合规业务是指律师接受客户委托，为目标企业数据合规体系的建立和完善提供法律服务的执业行为。

（二）企业数据合规业务的内容

律师的企业数据合规业务主要包括有效数据合规体系的打造、合规调查、行政监管和刑事调查的应对业务等板块。

1.有效企业数据合规体系的打造。相关业务形式可以包括两种：一是从无到有帮助企业制定数据合规计划，二是协助企业补充完善已有的数据合规计划。

2.企业数据合规调查是指企业数据合规尽职调查、合规内部调查、反舞弊调查，其最终所形成的合规尽职调查报告、合规内部调查报告、反舞弊调查报告就成为律师提供数据合规服务的产品终端。

3.行政监管和刑事调查的应对业务。该项业务集中于两个环节，一是企业因数据合规问题而导致的行政监管以及处罚时的代理业务，二是公安机关介入后的刑事案件辩护业务。

第二章 企业数据合规体系的建立

第四条 企业数据合规体系的建立

（一）一个有效的企业数据合规体系一般包含合规组织体系、合规政策、数据分级管理与保护制度。

（二）合规组织体系

企业应根据自身数据收集、存储、使用等数据处理状况，考量数据安全问题、数据不合规使用等情形给数据主体造成的损害，设置企业内部的合规组织系统，采取必要的保障措施，以便符合数据安全、个人信息保护相关法律法规的要求以保障数据主体的权利。

1.建立企业数据合规组织体系，通常指企业按照规模、层级设置的合规委员会、首席合规官、合规部门、合规人员，以及明确部门与相关岗位的职责和总体要求。

2.企业合规负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任，参与有关个人信息处理活动的重要决策直接向企业法定代表人或主要负责人报告企业数据合规工作。

3.企业内部应当对从事企业数据合规岗位相关人员进行下列特殊规定：

(1)应与从事企业数据处理特别是个人信息处理岗位上的相关人员签署保密协议，对大量接触个人敏感信息的人员事先进行背景审查，以了解其犯罪记录、诚信状况等，同时在其调离岗位或终止劳动合同时，也应要求事后继续履行保密义务；

(2)应明确内部涉及企业数据处理不同岗位的安全职责，建立发生安全事件的处罚机制；

(3)应建立相应的内部制度和政策对员工提出企业数据合规的指引和要求；

(4)应定期或在数据合规政策发生重大变化时，对企业数据处理岗位上的相关人员开展企业数据安全专业化培训和考核，确保相关人员能熟练掌握随时变化的数据合规政策。

（三）合规政策设计

企业应根据法律、行政法规、司法解释、部门规章、部门规范性文件的规定，制定数据处理、个人信息保护、网络安全的合规政策，制定员工行为准则，清晰地界定企业经营行为的法律边界，表明企业对违法违规数据处理行为的禁止态度。

企业数据合规政策的制定主要以合规管理指引和员工手册的形式，针对不同的合规风险点和合规风险领域建立不同的行为准则，以及依据特定行业中企业经常发生的违规行为而确定企业数据合规的高风险爆发点以及重点风险领域。

对于企业数据合规重点风险领域则需要根据企业的重点岗位、重点人员、重点业务加以确定，且对每个风险领域和风险点都需要设置相应的管理规范和行为准则，为企业和员工划定行为的规范和边界。

（四）数据分级管理与保护制度

企业应当建立数据分类分级保护制度，根据数据的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、社会公共利益或者企业自身、个人、其他组织合法权益造成的危害程度，对数据实行分类分级保护。

1.确立数据分级的目标和原则；

2.明确数据分级工作涉及的角色、部门及相关职责；

3.明确数据分级的方法和具体要求；

4.确立数据分级的日常管理流程和操作规程，以及分级结果的确定、评审、批准、发布和变更机制；

5.制定数据分级管理相关绩效考核和评价机制；

第三章 数据全生命周期合规要求

第五条 数据全生命周期

数据全生命周期，是指数据从产生，经过数据收集、数据传输、数据存储、数据使用（包括计算、分析、可视化等）、数据交换，直至数据销毁等各种生存形态的演变过程。

第六条 数据收集合规要求

（一）数据收集是收集者获得数据控制权的行为，包括由数据主体主动提供、通过与数据主体交互或记录数据主体的行为等自动收集行为，以及通过共享、购买、收集公开信息等间接方式收集数据等行为。

（二）数据收集的主要方式

1.收集者通过与数据主体交互或记录数据主体行为而直接、主动地收集数据，此种方式常见于企业通过App采集和web端采集收集个人用户的数据，包括个人身份信息、交易信息、财产信息、地理位置信息、健康信息、行踪信息等。

2.数据收集者从公开或半公开的互联网平台收集数据，使用该种方式收集数据主要是通过爬虫技术或API等方式从公开或半公开的互联网平台收集数据。

3.数据收集者通过与第三方共享、购买的方式收集数据。应当审查第三方对数据是否具有所有权，以及审查第三方收集数据的方式是否合法、合规。

（三）数据收集的基本原则

1.合法、知情同意、必要、安全、禁止泄漏原则。

2.企业收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。

3.企业应当向数据主体公开收集数据的规则，明示收集数据的目的、用途、方式、范围、采集源、采集渠道等内容，且应获得数据主体的同意和授权，。

4.企业不应收集与提供产品、服务无关的数据，不应当超范围收集数据。

5.企业应保障所收集数据的安全，并落实相应数据安全等级保护要求。

6.数据收集者应对所收集的数据严格保密，不得泄露、篡改、损毁，不得擅自出售或者非法向他人提供。

第七条 数据传输合规要求

（一）加密传输

做好传输接口管控和监测，并对涉敏数据进行加密传输。

（二）制度流程

建立数据传输安全管理规范，明确数据传输安全要求，确定需要对数据传输加密的场景。由于加密技术的实现都依赖密钥，所以需要建立密钥管理安全规范，明确密钥生成、分发、存取、更新、备份和销毁的流程和要求。

第八条 数据存储合规要求

（一）重要数据境内存储

关键信息基础设施的企业在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

（二）存储期限

1.根据《网络安全法》、《互联网安全保护技术措施规定》、《互联网信息服务管理办法》、《互联网电子邮件服务管理办法》、《网络出版服务管理规定》等规定，企业应当保留网络日志至少6个月。

2.企业对于从用户、第三方、公开渠道获得的与用户相关的个人信息、数据进行处理的，应当在事前进行风险评估，并对处理情况进行记录，风险评估报告和处理情况记录应当至少保存三年。

（三）存储合规要求

1.建立数据存储的安全策略；

2.建立企业内部数据存储安全管理制度；

3.建立加密系统；

4.数据丢失预防，建立备份和恢复制度；

5.关注企业网络安全性。

第九条 数据使用合规要求

（一）数据访问控制措施

1.对被授权访问数据的人员，严格遵循数据处理最小化、必要原则，明确数据的处理和使用规范。对数据进行操作时，应做好去标识化处理，明确数据脱敏的业务场景和统一使用适合的脱敏技术。

2.对数据的重要操作设置内部审批流程，特别是进行批量修改、拷贝、下载等重要操作。

（二）个人信息展示

涉及通过界面展示个人信息的（如显示屏幕、纸面），个人信息控制者宜对需展示的个人信息采取去标识化处理等措施，降低个人信息在展示环节的泄露风险。例如，在个人信息展示时，防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。

（三）用户画像

1. 对个人信息主体的特征描述不应：

(1)包含淫秽、色情、赌博、迷信、恐怖、暴力的内容；

(2)表达对民族、种族、宗教、残疾、疾病歧视的内容。

2.在业务运营或对外业务合作中使用不应：

(1)侵害公民、法人和其他组织的合法权益；

(2)危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序。

3.除为实现个人信息主体授权同意的使用目的所必需外，使用个人信息时应消除明确身份指向性，避免精确定位到特定个人。

第十条 数据共享合规要求

（一）建立数据共享规范，共享前应进行严格的审批并存档，同时开展个人信息安全影响评估。

（二）共享前开展风险评估（记录留存3年），与共享的接口调用方签订合作协议。

（三）开展共享监测和审计，数据导入导出应进行严格的审批和监控，建立数据交换、共享审核流程和监管平台，以确保数据对于数据共享的所有操作和行为进行日志记录，并对高危行为进行风险识别和管控。

第十一条 数据删除和销毁合规要求

（一）数据删除和销毁

“个人信息删除”是指：在实现日常业务功能所涉及的系统中去除个人信息的行为，使其保持不可被检索、访问的状态。

“数据销毁”的定义：数据销毁标准用于规范数据销毁和介质销毁的安全机制和技术要求，确保存储数据永久删除、不可恢复，主要包括数据销毁、介质销毁等标准。

（二）数据删除合规要求

1.企业应当删除存在如下两种情形的个人信息：

(1)企业违反法律、行政法规的规定处理个人信息的；

(2)企业违反与自然人之间的约定处理个人信息的。

2.符合以下情形，个人信息主体要求删除的，企业也应及时删除个人信息：

(1)企业违反法律法规规定，收集、使用个人信息的；

(2)企业违反与个人信息主体的约定，收集、使用个人信息的。

(3)企业违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息，且个人信息主体要求删除的，企业应立即停止共享、转让的行为，并通知第三方及时删除。

(4)企业违反法律法规规定或违反与个人信息主体的约定，公开披露个人信息，且个人信息主体要求删除的，企业应立即停止公开披露的行为，并发布通知要求相关接收方删除相应的信息。

（三）数据或介质销毁合规要求

应建立数据销毁机制，明确存储介质删除方法，数据销毁需由企业领导审批，同时采用可靠的技术手段，确保被删除和销毁的用户个人数据不能被再次还原。针对不同的存储介质和设备有其不可逆的销毁技术及流程，建立销毁监察机制，严防数据销毁阶段可能出现的数据泄露问题。

数据销毁包含物理层面和逻辑层面的销毁，按照处理成本、复杂性和安全性由低到高的顺序，将数据销毁方式分为以下三个级别：

1.数据覆盖

数据残留可以通过数据覆盖来进行消除，由于数据覆盖可以由软件完成，企业可以有选择地部分或全部数据残留。

2.消磁

消磁是指删除或减少存储磁盘或驱动器的磁场。

3.物理破坏数据及其存储介质

存在多种方式对数据进行物理销毁，例如磁盘粉碎、熔化或任何其他导致物理存储介质不可用和不可读的方法。

附录：企业数据合规相关法律法规、政策文件