政府信息公开 规章库

广州市人民政府国有资产监督管理委员会政府信息公开

索引号: 1144010077119611XL/2021-00167 分类:
发布机构: 广州市人民政府国有资产监督管理委员会 成文日期: 2021-12-20
名称: 关于印发《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》的通知
文号: 发布日期: 2021-12-20
主题词:
【打印】 【字体:    

关于印发《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》的通知

发布日期:2021-12-20  浏览次数:-

  穗国资法〔2021〕13号

  关于印发《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》的通知

各监管企业,各受托监管部门:

  为加快推动监管企业全面加强合规管理,有效提升监管企业全面加强数据安全合规管理,规范监管企业数据处理活动,保障企业数据安全,促进企业健康发展,保护个人、组织的合法权益,维护国家经济安全和社会稳定,我委制定了《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》,现印发给你们,请结合实际,认真遵照执行。工作中的问题和建议请及时反馈。

  特此通知。

  广州市人民政府国有资产监督管理委员会

  2021年12月20日

  广州市国资委监管企业数据安全合规管理指南

  (试行2021年版)

  第一章  总  则

  第一条 为推动广州市国资委监管企业全面加强数据安全合规管理,规范监管企业数据处理活动,保障企业数据安全,促进企业健康发展,保护个人、组织的合法权益,维护国家经济安全和社会稳定,提升监管企业数据治理能力及数据安全保护水平,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《广州市市属企业合规管理指引(试行)》等有关法律法规规定,制定本指南。

  第二条 本指南适用于广州市人民政府国有资产监督管理委员会(以下简称“市国资委”)直接履行出资人职责的国有及国有控股企业、国有实际控制企业(以下称“监管企业”)。

  第三条 市国资委负责监督指导监管企业数据安全合规管理工作。

  第四条监管企业应当对本企业工作中收集和产生的数据和数据安全承担主体责任。

  数据安全合规管理是合规管理体系的专项重点领域,已建立合规管理体系的监管企业,应在现有合规管理体系的基础上,进行专项深化管理。

  数据安全风险较高的监管企业,必须将数据安全合规作为重点领域进行专项管理。达到以下条件之一的,视为数据安全风险较高:

  (一)主要业务涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和重要领域的;

  (二)主要业务涉及个人信息处理,且从业人员规模大于200人;

  (三)处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;

  (四)处理超过10万人的个人敏感信息的;

  (五)从事国家秘密载体制作、复制、维修、销毁,涉密信息系统集成或者武器装备科研生产等涉及国家秘密的业务的;

  (六)法律法规规定的其他情形。

  第五条 监管企业应当按照以下原则提升数据安全合规管理:

  (一)高度重视。数据是重要的战略性资源,监管企业要将数据安全合规管理提升到事关国家安全、经济安全、社会稳定和人民群众切实合法权益的高度,始终把国家主权、安全、发展利益放在首位,加强安全能力建设,重视企业、员工、股东及合作方数据安全及个人信息保护,以发展促安全、以安全保发展。

  (二)推进落实。监管企业要坚持将数据安全合规要求逐步覆盖各业务领域,各部门,各级全资、控股或实际控制的子企业、分支机构及其员工。数据应当全面包括电子或其他方式对信息的记录。数据安全合规管控措施及技术应用覆盖所有数据资产及数据处理全流程。

  (三)强化责任。监管企业要切实加强对数据安全合规管理的组织领导,明确职责,建立健全分工负责、协作配合的工作机制,明确管理人员和各岗位员工的数据合规责任并督促有效落实。

  (四)协同融合。监管企业认真贯彻落实数据安全合规的相关要求,将数据安全合规工作纳入企业数字化转型整体布局中,将数据安全合规管理通过企业数字化技术的应用及升级进行有效落地。

  第二章管理职责

  第六条监管企业应将数据安全合规管理的职责纳入现有合规管理组织体系。通过建立专项制度或文件的形式,在原有合规管理组织体系合规职责范围内,进一步细化及明确各层级合规管理机构及相关部门的数据安全合规管理职责。

  第七条 董事会合规委员会或承担合规管理职责的专业委员会应在职责范围内推动企业数据安全合规管理,以完善企业合规管理体系,合理配置数据安全合规管理工作所需的相关资源和奖惩机制,审批重大数据安全合规事项,确保工作有效推行及落地。

  第八条 经理层及合规管理负责人应在原有合规管理职责的范围内,指导及监督企业数据安全合规管理相关制度规范建设、相关管理措施的设计与执行、数据安全技术应用等,确保企业数据安全合规。

  第九条监管企业承担数据管理、信息系统管理或IT技术等部门和其它各职能部门分别作为各业务范围内数据安全合规管理的责任部门,作为数据安全合规管理的第一道防线,主要职责包括:

  (一)制定企业数据管理的相关标准,包括数据分类分级、权限管理等工作;

  (二)制定企业数据管理的相关制度及规范,包括数据全生命周期管理的相关制度;

  (三)负责统一规范企业数据收集、存储、使用、加工、传输、提供、公开等工作机制;

  (四)负责数据安全技术的应用及更新;

  (五)负责数据管理能力建设;

  (六)其他规章制度规定的数据管理工作。

  第十条 监管企业各职能部门负责本领域的日常数据安全合规管理工作,规范数据收集、存储、使用、加工、传输、提供、公开等工作,妥善应对数据安全合规风险事件,组织或配合进行违规问题调查并及时整改。

  第十一条 监管企业合规管理牵头部门作为数据合规管理第二道防线,在数据安全合规管理方面的职责包括:

  (一)参与对企业涉及数据安全事项的合规审查;

  (二)对数据安全合规管理的情况进行评估与检查;

  (三)组织或协助数据安全合规责任部门、人事部门开展数据安全合规培训,为公司其他部门提供数据安全合规咨询与支持;

  (四)合规委员会或合规管理负责人交办的其他工作。

  第十二条监管企业可视情况通过建立联合的数据合规管理办公室或工作组,开展数据安全合规管理标准、制度及规范的建立工作,可由相关业务、信息系统、技术、合规、风险管理、内部审计等部门人员组成,在经理层及合规管理负责人的领导下,有效推动数据安全合规管理工作的开展及实施。

  第十三条 内部审计部门负责定期对数据安全进行审计,可根据风险评估和审计资源铺排,在审计工作中涵盖数据安全合规的内容,并出具相关审计报告,为公司数据安全风险管理的有效性提供合理保障。

  纪检监察部门负责职权范围内的违规事件的监督、执纪、问责等工作。

  第三章 制度规范建设

  第十四条 监管企业应建立健全数据安全合规管理的相关标准、制度和规范,建立重大数据安全合规审批清单、数据分类分级管理、权限管理、数据安全合规风险评估及审计、重大数据安全合规风险事件报告、应急处置机制、教育培训等管理事项,并根据法律法规变化和监管动态,及时将外部合规要求落实到内部规章制度。

  第十五条监管企业重大数据安全合规事项实施清单管理。由数据安全合规管理的责任部门牵头编制本企业重大数据安全合规事项清单,提交党委会审议通过后,由董事会合规委员会或承担合规管理职责的专业委员会负责审批清单涉及的重大数据合规事项。

  数据安全合规管理的责任部门应根据法律法规及企业的实际运营情况的变化进行及时更新清单。

  第十六条 监管企业应建立数据分类分级管控标准和管控要求。企业应优先根据所属行业相关标准对核心业务数据进行分类分级,无明确标准的企业可自行建立相关分类及分级标准。其中数据分级标准应参考及遵循国家数据安全等相关法律法规。

  关系国家安全、国民经济命脉、重要民生、重大公共利益等数据需要实施更加严格的管理制度,包括涉及国家保密范围的产业规划、战略规划、重大项目、核心技术等,应根据相关法律法规的具体要求进行重点保护和管理。上述相关数据的交易、出境及共享等业务,应列入企业“三重一大”事项进行管理,不得向境外司法或执法机构提供存储于境内的数据。

  监管企业应根据标准对现有数据进行全面分类分级,并通过技术手段落实安全管理要求,定期对新增数据进行梳理,确保所有数据分类及分级管控。同时,应根据相关法律法规或行业标准的变化,及时更新企业内部数据分类分级的相关标准。

  第十七条监管企业应规范数据处理的权限管理,建立适当的用户权限管理机制,根据岗位设置相关账户权限,明确相关数据所涉及的账户管理流程,减少数据滥用情况,提高数据安全合规水平。

  第十八条  数据安全风险较高的监管企业,应建立数据安全合规评估及审计机制,应自行或委托有相关信息安全检查评估资质的机构,每年至少进行一次全面的网络安全监测和风险评估,定期或不定期对企业整体数据使用情况、数据全生命周期安全及合规性、基础安全等情况进行评估及审计,并对发现的问题及时整改。

  第十九条 数据安全风险较高的监管企业,应建立数据安全应急响应机制,明确数据安全事故管理和应急响应职责,制定各类数据安全事故的处置流程及应急预案,并定期进行演练,对各类安全事件进行及时响应和处置,降低企业因数据安全事故而引发的损失。

  第二十条数据安全风险较高的监管企业,应建立重大数据安全合规风险事件报告制度,对影响或可能影响国家安全的数据处理活动,发现数据安全威胁时,应按规定向公安机关、国家安全机关报告,可能关系到重大经营风险的应同步及时向市国资委报告,并积极采取措施防止危害,减少损失。

  第二十一条监管企业应积极配合公安机关、国家安全机关依法维护国家安全或者侦查犯罪需要及时配合提供相关数据。

  第二十二条监管企业应建立有效的管控模式,对其下属全资、控股和实际控制子企业在数据安全合规工作内容和职责分工,可根据实际情况,分批推进各单位数据安全合规管理工作,并结合集团合规管理管控模式进行差异化管理。

  第二十三条监管企业应全面评估企业本部及下属各级全资、控股和实际控制子企业的数据安全风险。针对数据安全风险较高的企业应尽快开展数据安全合规管理相关工作,建立数据安全合规的相关标准、制度及规范。监管企业可根据相关子企业的工作成果及经验,逐步在其他子企业进行推广及实施。

  第二十四条数据安全风险较高的监管企业,可基于企业的原有的战略规划、IT规划等制定本企业的数据安全三年滚动工作规划,确保监管企业按照既定路线达成数据安全合规目标,并在执行过程中,根据数据安全合规和企业IT战略目标下不断优化、提升数据安全合规管理的各项制度和信息系统。

  第四章 数据安全合规管理措施

  第二十监管企业在数据安全合规管理过程中,应对数据采集、数据传输、数据储存、数据使用、数据开放共享、数据销毁等数据全生命周期管理的要素,制定必要的管控措施及标准,依法保护企业数据基础设施免受攻击、侵入、干扰和破坏,防范数据处理的违规风险,确保数据安全合规。

  第二十 规范数据采集的管理,明确数据采集渠道,确定数据格式标准,制定各类数据采集流程及方式,定期开展数据采集合规性审查,确保数据采集合法合规。

  第二十 加强数据传输安全管理,划分企业网络系统安全域,区分域内、域间等不同数据传输场景,明确数据传输安全策略和操作规程。

  第二十 监管企业应梳理数据出境情况的业务,建立企业内部数据出境合规审查的流程及规范,针对境外并购、赴境外上市等情况,应充分评估数据出境的相关风险,按相关规定进行内部审核审批,并根据法律法规要求,履行监管机构数据出境的审查申报。非经相关部门批准,不得向外国司法或执法机构提供存储与中华人民共和国境内的数据

  监管企业境外分支机构在当地设立服务器,并通过该服务器储存及使用监管企业数据的,应按数据出境的管理要求实施数据安全管理。境外分支机构通过远程访问使用数据的,应加强访问权限控制及数据传输安全管理,确保数据安全。

  第二十规范并加强数据储存的管理,加强对数据储存介质的管理,包括提升对服务器及离线储存介质的物理安全及加密管理,规范带数据储存功能的可移动设备的管控,加强对本地数据储存系统平台接入移动储存介质的管控,实施对储存在第三方云平台数据的风险评估,对数据下载到本地终端行为进行审核及日志记录等管控措施,提升数据储存的安全性。

  三十规范数据使用的管理,根据不同类别、级别的数据,明确不同场景的数据使用审批流程,制定数据脱敏处理规则,提升数据使用的安全性;建立数据开发利用的相关流程及规范,完善数据开发利用的风险评估机制。

  具有数据交易相关业务的监管企业,应按国家相关法律法规的相关要求进行交易,法律法规尚未规定的,应进行充分的风险评估,确保数据安全。

  第三十 加强数据开放及共享的管理,根据数据使用目的、共享对象,明确数据可进行开放及共享的范围,建立数据共享的申请及授权审批的流程及权限设置,明确数据共享过程的传输方式。

  第三十 针对企业向外部单位共享数据的情况,监管企业应充分评估相关数据安全风险,涉及重大敏感的数据提供要按审批权限逐级审批。并在相关合同中明确数据安全及保密义务,明确相关违约责任,必要时可单独签订保密协议。相关事项结束后,应进行内部总结汇报,对数据共享情况进行说明,加强数据共享的管理。监管企业应尽量依托国资国企信息安全“云”监管平台,积极支持配合国资国企一体化网络安全信息大数据平台的建立,促进数据安全信息联动和能力共享。

  第三十建立员工数据安全合规行为规范,针对员工日常工作中数据储存、数据处理、数据传输、数据共享等事项明确相关合规管理要求。

  第三十 规范数据销毁的过程管理,建立数据销毁的申请审批机制及流程,规范数据销毁过程的监督及记录,明确存储介质销毁策略及操作规范,委托第三方进行数据销毁的,应委托具有相关资质的单位,确保数据销毁的安全可靠。

  第五章 与商业伙伴合作中的数据保护

  第三十监管企业应加强及规范与商业伙伴合作中的数据安全管理,明确合作方准入、日常管理、数据安全评估、变更及退出等环节的合规管理要求。

  第三十监管企业应明确信息系统开发及运维、数据储存、数据处理等数据服务相关合作方的准入标准,并在合作方选择时进行资格审查。同等条件下应优先采购境内安全可信的网络产品和数据服务。必要时,应对数据服务的合作方进行数据安全合规方面的尽职调查。

  第三十对于合作方能接触到企业非公开数据的合作项目,监管企业应加强合同管理,通过制定相应的示范文本在相关合同中明确数据安全合规相关条款。

  对于为企业提供数据服务的合作方,企业应结合实际情况将服务标准、数据备份和恢复、数据泄露预防、业务连续性计划等内容在合同中进行明确。

  涉及委托处理个人信息的合作方,企业应结合实际情况将委托处理的目的、期限、处理方式、个人信息种类、保护措施以及双方的权利和义务等内容在合同中进行明确,并对合作方的个人信息处理活动进行监督。

  第三十监管企业应明确与合作方对接部门的数据安全管理责任。涉及公司资料及数据分享的,应按实现合作目的最小数据获取原则,对部分非必要数据进行脱敏,并对数据分享过程进行记录。

  涉及合作方提供驻场服务,链接企业信息系统,或直接接触重要数据的,相关项目负责人应采取适当措施对其合作方的工作进行管控,确保数据安全。

  第三十监管企业应建立数据服务合作方定期的数据安全监测、检测和评估机制,明确数据安全监测、检测和评估的范围及具体内容,并将相关评估结果与合作方的变更及退出进行挂钩,发现合作方存在数据滥用、盗卖数据、预留“后门”等违法违规行为的,应及时终止合作永久禁止合作,并按合同约定进行索赔。确保合作方数据安全合规。

  第六章 个人信息保护

  四十 监管企业应进一步规范及完善个人信息保护机制,加强企业员工、访客个人信息的保护。

  监管企业应梳理集团本部及下属各级全资、控股或实际控制子企业涉及大规模处理个人信息的业务,加强及完善相关部门及企业个人信息保护的管理,针对个人信息分类、个人信息获取、个人信息储存、个人信息使用及处理等管理过程中,按法律法规建立相关标准及规范,并满足下述相关管理要求。

  第四十 建立企业内部个人信息分类标准,明确个人敏感信息定义范围及处理规则,明确处理不满十四周岁未成年人个人信息处理规则。个人敏感信息及未成年人个人信息处理规则应遵循法律法规的相关规定。

  第四十 个人信息的收集应满足法定的相关原则,不得过度收集个人信息,确保个人信息采集及处理前取得个人同意。优化取得个人同意的方式,确保由个人在充分知情的前提下自愿、明确作出同意。针对法定要求需取得个人单独同意的情形,确保取得个人的单独同意。并且当个人信息的处理目的、处理方式和处理的个人信息种类发生变更时,可以及时有效重新取得个人同意,同时能够为个人提供便捷的撤回同意的方式。

  第四十 建立个人信息储存的相关规范,明确个人信息的保存期限,结合个人信息删除的相关机制,确保信息保存期限为实现处理目的所必要的最短时间。同时完善相关技术应用,采取使用加密及去标识化等安全技术措施,确保个人信息的储存安全。

  第四十梳理内部进行个人信息处理的各类场景,对于向他人提供企业处理的个人信息,利用个人信息进行自动化决策,在公共场所安装图像采集、个人身份识别设备、针对法定要求需取得个人单独同意的情形,等情形,应依据相关法律法规的要求,明确处理流程并制定规范要求。

  第四十建立完善的个人信息处理规则,确保在处理个人信息前,按照相关法律法规的要求,向个人告知个人信息处理者的名称或者姓名和联系方式,个人信息的处理目的、处理方式,处理的个人信息种类、保存期限,个人行使法定权利的方式和程序等内容,并建立便捷的个人行使权利的申请受理和处理机制。并且当上述内容有变更的,能够及时将变更部分告知个人。

  建立个人信息处理事前影响评估机制,监管企业应结合实际情况根据法律法规要求梳理须进行事前个人信息保护影响评估的具体场景,制定评估的标准及规范,明确个人信息保护影响评估报告及处理情况记录保存的相关要求。

  建立个人信息主动删除的相关机制,明确个人信息删除的流程及规范,确保当个人信息处理目的已实现、无法实现或者为实现处理目的不再必要,企业停止提供产品或者服务,或者保存期限已届满,以及个人撤回同意时,相关个人信息得到及时删除。

  第四十属于相关主管部门认定为关键信息基础设施运营者的监管企业,应依法依规履行关键信息基础设施安全保护的责任义务。提供重要互联网平台服务、用户数量巨大、业务类型复杂的监管企业,应对其个人数据信息处理活动负责,并应通过制定及优化内部管理,履行基础互联网平台的法定合规义务,包括建立独立的监督机构、制定平台个人信息保护规则及定期发布个人信息保护社会责任报告等相关事项。

  第七章 数据安全技术应用

  第四十监管企业应通过相关技术的应用及更新,提升企业在数据识别、敏感信息保护、数据操作审计、接口安全管理、数据防泄露等方面的技术能力,提升数据安全保障能力。

  第四十监管企业可采用定期数据资产扫描,脱敏效果验证等技术,深入到具体业务场景,精准识别重要敏感数据、敏感人群、特权操作等,持续提升企业数据识别能力,从数据检测能力维度保障企业数据能够按照既定的分类标准及规则进行处理,确保企业数据分类分级安全合规。

  第四十监管企业应通过加强个人信息去标识化、数据关键字段隐藏、扰乱等技术的应用,提升个人敏感信息保护能力,保障大规模个人数据在储存及传输过程中的安全。采用校验或加密技术保证重要数据在传输过程中的完整性和安全性,采用密码技术保证重要数据在存储过程中的保密性。

  五十监管企业应通过对涉及储存、处理个人敏感信息和企业重要数据系统平台的防泄漏技术的应用,提升数据防泄露的能力,防范数据泄露风险,确保数据安全。

  第五十监管企业可通过数据操作审计系统的部署应用,实现对企业重要敏感业务系统的数据操作实施监控及审计,防范操作性风险。

  第五十监管企业可通过建立面向互联网及合作方数据接口的安全认证机制及加强数据接口安全监控技术的应用,对数据出口进行集中化管理,提升接口安全管理的能力,防范数据传输合规风险。

  第八章 责任与监督

  第五十 市国资委对监管企业数据安全合规管理情况进行监督检查,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关企业、个人进行约谈,并要求有关企业、个人采取措施进行整改,消除隐患。

  第五十监管企业在日常数据处理中,企业或员工违反法律、行政法规规定,窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,除依法承担相应法律责任外,市国资委应视情况启动对相关企业的合规调查,责令相关企业整改,并监督其完善数据安全合规管理。

  第五十监管企业在日常数据处理中,企业或员工违反法律、行政法规规定,未履行数据安全保护义务、向境内外调查咨询和中介机构提供重要数据、拒不配合数据调取、未经主管机关批准向外国司法或者执法机构提供数据的,依法承担相应法律责任。

  属于关键信息基础设施运营者的监管企业违法违规向境外提供重要数据的,依法承担相应法律责任。

  监管企业因违反相关法律法规受到责令整改、警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照、追究刑事责任的,市国资委应视情况对相关企业及主要负责人进行违规问责。

  其中出现属于关键信息基础设施运营者的监管企业违法违规向境内外调查咨询和中介机构提供重要数据,或监管企业拒不配合数据调取、未经主管机关批准向外国司法或者执法机构提供数据的情形,市国资委应立即启动相应的违规问责,并监督相关企业实施整改。

  第九章 附则

  第五十 监管企业应根据本指南,结合实际制定数据安全合规管理制度或在现有数据管理制度中增加数据安全合规的相关内容。

  委托监管企业的数据安全合规管理工作,参照本指南操作。

  第五十 本指南将结合相关领域立法更新情况变更和调整。

  第五十八条 本指南市国资委负责解释。

  第五十 本指南自公布之日起施行。

  点击查看政策解读:关于《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》的政策解读