近日，上海市首份《企業(yè)數(shù)據(jù)合規(guī)指引》(下稱《指引》)出臺。據(jù)悉，《指引》由上海市楊浦區(qū)檢察院聯(lián)合市信息服務(wù)業(yè)行業(yè)協(xié)會、市數(shù)據(jù)合規(guī)與安全產(chǎn)業(yè)發(fā)展專家工作組、區(qū)工商業(yè)聯(lián)合會制定發(fā)布。

《指引》明確，一般由董事會直接設(shè)立企業(yè)合規(guī)部門，不應(yīng)由法務(wù)部門履行合規(guī)管理職能。企業(yè)最高管理者作為數(shù)據(jù)合規(guī)的第一責(zé)任人，需確保將數(shù)據(jù)合規(guī)落實情況和效果納入企業(yè)內(nèi)部人員績效考核體系。

南都·隱私護衛(wèi)隊注意到，《指引》主要對企業(yè)的數(shù)據(jù)合規(guī)管理架構(gòu)與風(fēng)險識別處理規(guī)范作出了規(guī)定，包括數(shù)據(jù)合規(guī)管理體系、數(shù)據(jù)風(fēng)險識別、數(shù)據(jù)風(fēng)險評估與處置、數(shù)據(jù)合規(guī)運行與保障等內(nèi)容，督促企業(yè)對數(shù)據(jù)進行合規(guī)管理，有效懲治預(yù)防數(shù)據(jù)違法犯罪。

在適用范圍和法律效力方面，《指引》明確提出，其是根據(jù)個人信息保護法、網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法等法律法規(guī)制定，楊浦區(qū)各類所有制企業(yè)進行數(shù)據(jù)處理活動均可參照其開展數(shù)據(jù)合規(guī)管理。不過，《指引》并不具有強制性。

據(jù)南都·隱私護衛(wèi)隊了解，數(shù)據(jù)合規(guī)初期，企業(yè)的法務(wù)部門通常是“主力軍”，近幾年技術(shù)、產(chǎn)品等其他部門人員也陸續(xù)加入。對此，《指引》提出，鼓勵各類企業(yè)設(shè)置專門的數(shù)據(jù)合規(guī)管理部門，而不是由法務(wù)部門履行合規(guī)管理職能。

就具體職責(zé)而言，《指引》要求企業(yè)向數(shù)據(jù)合規(guī)管理部門負責(zé)人提供足夠的授權(quán)、人力、財力來支持數(shù)據(jù)合規(guī)管理體系的運行。一般由董事會直接設(shè)立企業(yè)合規(guī)部門，下設(shè)數(shù)據(jù)合規(guī)管理部門等各類專業(yè)合規(guī)部門。

落實到個人責(zé)任，《指引》提出企業(yè)最高管理者作為數(shù)據(jù)合規(guī)的第一責(zé)任人，除了建立數(shù)據(jù)違規(guī)的舉報、問責(zé)機制等，還需確保將數(shù)據(jù)合規(guī)落實情況和效果納入企業(yè)內(nèi)部人員績效考核體系。

今年1月起施行的《上海市數(shù)據(jù)條例》規(guī)定，在本市商場、超市、公園、景區(qū)、公共文化體育場館、賓館等公共場所，以及居住小區(qū)、商務(wù)樓宇等區(qū)域，安裝圖像采集、個人身份識別設(shè)備，應(yīng)當(dāng)為維護公共安全所必需，遵守國家有關(guān)規(guī)定，并設(shè)置顯著標(biāo)識。不得以圖像采集、個人身份識別技術(shù)作為出入上述場所或者區(qū)域的唯一驗證方式。

《指引》也沿襲了這一規(guī)定，明確要求數(shù)據(jù)處理者利用生物特征進行個人身份認證的，應(yīng)當(dāng)對必要性、安全性進行風(fēng)險評估，不得強制個人同意收集人臉、步態(tài)、指紋、虹膜、聲紋等生物特征信息。

此外，《指引》還對第三方軟件開發(fā)工具包的使用提出了具體要求——企業(yè)可以使用經(jīng)相關(guān)部門審核合規(guī)的開源軟件開發(fā)工具包進行程序開發(fā)活動，不得使用風(fēng)險不可控的開源軟件開發(fā)工具包等工具。

“從制度規(guī)范、準入門檻上設(shè)定明確的指引，讓企業(yè)知道在什么樣的游戲規(guī)則下發(fā)展，引導(dǎo)、幫助數(shù)字經(jīng)濟企業(yè)合法合規(guī)成長。”談及《指引》的指導(dǎo)意義，上海市人大代表、楊浦區(qū)區(qū)長薛侃說。

關(guān)鍵詞： 企業(yè)數(shù)據(jù) 合規(guī)指引 數(shù)據(jù)安全 企業(yè)法務(wù)部