【中英文对照版】深圳市企业数据合规指引.docx

深圳市企业数据合规指引深圳市人民检察院深圳市互联网信息办公室深圳市发展和改革委员会深圳市司法局深圳市企业数据合规指引GuidelinesofShenzhenMunicipalityforComplianceofEnterpriseData制定机关：深圳市人民检察院深圳市互联网信息办公室深圳市发展和改革委员会深圳市司法局深圳数据交易所公布日期：2023.09.11施行日期：2023.09.11效力位阶：地方司法文件法规类别：企业综合规定Issuingauthority：LocalInstitutionsjGuangdongProvince1OtherInstitutionsofShenzhenCityDateissued：09-11-2023Effectivedate：09-11-20231.evelofAuthority：LocalJudicialDocumentsAreaofLaw：EnterprisesGuidelinesofShenzhenMunicipalityforComplianceofEnterpriseDataPeople,sProcuratorateofShenzhenMunicipalityCyberspaceAffairsOfficeofShenzhenMunicipalityDevelopmentandReformCommissionofShenzhenMunicipalityJusticeBureauofShenzhenMunicipalityShenzhenDataExchangeSeptember11,2023ContentsChapter I GeneralProvisionsChapter II ConstructionofOrganizationalSystemforComplianceManagement深圳数据交易所2023年9月11日目录第一章总则the第二章数据合规管理组织体Data系建设第三章 数据合规管理制度体 系建设Chapter IV Compliance of Data Lifecycle第四章数据全生命周期合规Chapter III ConstructionoftheInstitutionalSystemforDataComplianceManagementSection 1 DatacollectionanduseSection 2 DatastorageSection 3 DatatransmissionandprovisionSection 4 DataexchangeSection 5 DatadeletionanddestructionChapter V DatadeparturecomplianceChapter VI SupplementaryProvisionsAnnex:RelevantReferableLaws,RegulationsandStandardsforEnterprisesChapterIGeneralProvisionsArticle1PurposeandBasisTheseGuidelinesaredevelopedinaccordancewiththeDataSecurityLawofthePeople'sRepublicofChina,thePersonalInformationProtectionLawofthePeople,sRepublicofChina,theCybersecurityLawofthePeople,sRepublicofChinaandotherlawsandregulationsforthepurposesofguidingenterprisestostrengthendatacompliancemanagement,promotethecomplianceandutilizationofenterprisedata,andensurethesecurityofenterprisedata.Article2ApplicationScopeandEffectAllkindsofenterprisesinShenzhenmaycarryoutdatacompliancemanagement,mutatismutandisto,theseGuidelines,whencarryingoutdataprocessingactivities.第一节 数据收集和使用第二节数据存储第三节数据传输和提供第四节数据交易第五节数据删除和销毁第五章数据出境合规第六章附则附录：企业可参考的相关法律法 规与标准第一章总则第一条【目的和依据】为 引导企业加强数据合规管理,促 进企业数据合规利用，保障企业 数据安全，根据中华人民共和 国数据安全法中华人民共和 国个人信息保护法中华人民 共和国网络安全法等法律法 规，制定本指引。第二条【适用范围和效 力】深圳市各类企业进行数据处 理活动可参照本指引开展数据 合规管理。本指引不具有强制性，法律、法 规及有关国家、行业标准另有专 门柳宗的.从苴柳市CTheseGuidelinesarenotmandatory.WherethereareseparatespecialprovisionsintheIaws5regulationsand第三条【涉案企业合规从 宽】企业参照本指引建立并严格 实施数据合规管理制度，履行数 据合规义务，积极配合监管，主 动采取措施有效减轻、消除危害 后果，符合涉案企业合规适用条 件的，检察机关可根据具体情况 开展合规考察。relevantnationalandindustrialstandards,suchprovisionsshallprevail.对于涉案企业合规建设经评估 符合有效性标准的，检察机关可 以参考评估结论依法作出不批 准逮捕、变更强制措施、不起诉 的决定，或提出从宽处罚的量刑 建议；符合行政处罚法规定条件 的，可以向有关主管机关提出从 轻或者减轻行政处罚等建议、意 见。Article3LenientPunishmentsforCompliantEnterprisesInvolvedinCasesAnenterpriseshall,mutatismutandistotheseGuidelines,establishandstrictlyimplementthedatacompliancemanagementsystem,fulfillthedatacomplianceobligations,activelycooperatewithsupervision,andtaketheinitiativetoeffectivelyreduceandeliminateharmfulconsequences.Wheretheapplicableconditionsforcomplianceofenterprisesinvolvedincasesaremet,theprocuratorialauthoritymaycarryoutcomplianceinspectionaccordingtothespecificcircumstances.第四条【数据合规指引的 必要性】引导各类企业开展数据 合规管理是提高企业数据合规 意识，提高数据保护水平，降低 企业及其员工涉数据类违法犯 罪风险的重要举措。企业可以通 过建立完善的数据合规管理体Wherethecomplianceconstructionofanenterpriseinvolvedinacasemeetstheeffectivenessstandardsafterevaluation,theprocuratorialauthoritymaymakeadecisionondisapprovingthearrest,changingthecompulsorymeasures,ornon-prosecutionwithreferencetotheevaluationconclusionsaccordingtothelaw,orputforwardsentencingrecommendationforlenientpunishment;andwheretheconditionsstipulatedintheAdministrativePenaltyLawaremet,suggestionsandopinionsonlighteningormitigatingadministrativepenaltiesmaybeputforwardtothecompetentauthorities.Article4NecessityofGuidelinesforDataComplianceGuidingallkindsofenterprisestocarryoutdatacompliancemanagementisanimportantmeasuretoimprovetheawarenessofdatacomplianceofenterprises,improvethelevelofdataprotection,andreducentornricocandthoiramnlnv/ooc*rickcCf系，有效预防数据安全风险事 件。第五条【职责明确原则】 企业应当通过建立完善的数据 合规管理组织体系和制度体系， 明确企业内部各部门数据安全 管理职责，落实数据合规主体责 任。dataviolationsandcrimes.Anenterprisemayeffectivelypreventdatasecurityriskeventsbyestablishingasounddatacompliancemanagementsystem.第六条【合法、正当和诚 信原则】企业处理数据应当符合 法律、法规和强制性标准的规 定,遵循合法、正当和诚信原则, 不得从事危害国家安全、公共利 益的数据处理活动，不得非法收 集、使用、加工、传输、买卖、 提供、公开他人个人信息，不得 通过误导、欺诈、胁迫等方式处 理个人信息。Article5PrincipleofClearResponsibilitiesAnenterpriseshallspecifythedatasecuritymanagementresponsibilitiesofitsinternaldepartmentsbyestablishingasoundorganizationalsystemandinstitutionalsystemfordatacompliancemanagement,andimplementtheprimaryresponsibilitiesfordatacompliance.Article6PrinciplesofLegality,LegitimacyandGoodFaithAnenterpriseshallprocessdatainaccordancewiththeprovisionsoflaws,regulationsandmandatorystandardsandundertheprinciplesoflegality,legitimacyandgoodfaith,andshallnotcarryoutdataprocessingactivitiesthatendangernationalsecurityandpublicinterests,illegallycollect,use,process,transmit,trade,provideordiscloseothers*personalinformation,orprocesspersonalinformationbymisleading,fraudulent,coercive,andothermeans.第七条【数据质量保障原 则】企业应当采取适当措施保证 数据质量，并定期对数据进行更 新,避免因数据不准确、不完整、 不及时产生的不利影响。第八条【负责原则】企业 应当对其数据处理活动负责，并 采取必要措施保障所处理数据 的安全。Article7PrincipleofDataQualityAssuranceAnenterpriseshalltakeappropriatemeasurestoensuredataqualityandupdatedataonaregularbasistoavoidadverseeffectscausedbyinaccurate,incompleteanduntimelydata.Article8PrincipleofResponsibilityAnenterpriseshallberesponsibleforitsdataprocessingactivitiesandtakenecessarymeasurestoensurethesecurityofthedataprocessed.Article9PrincipleofClassifiedandHierarchalProtectionAnenterpriseshallestablishadataclassificationandgradingprotectionsystem,classifyandgradedataaccordingtotheimpactandimportanceofdataonnationalsecurity,publicinterestsorthelegitimaterightsandinterestsofindividualsandorganizations,andtakecorrespondingmanagementandprotectionmeasuresfordifferentcategoriesandgradesofdata.Article10Risk-OrientedPrincipleAnenterpriseshalltakenecessarymeasurestofocusonprotectingnationalcoredata,importantdata,sensitivepersonalinformationandotherdatawithrelativelyhighcompliancerisks,andstrengthencompliancemanagement.Article11TraceabilityPrincipleWhenmodifying,querying,exporting,deletingandhandlingdatabyothermeans,anenterpriseshallrecordcorrespondingoperationstoensurethattheoperationrecordsmaybetracedandreviewed.ChapterIlConstructionoftheOrganizationalSystemforDataComplianceManagement第九条【分类分级保护原 则】企业应当建立数据分类分级 保护制度，按照数据对国家安 全、公共利益或者个人、组织合 法权益的影响和重要程度进行 分类分级，针对不同类别级别的 数据采取相应的管理和保护措 施。第十条【风险导向原则】 企业应当采取必要措施对国家 核心数据、重要数据、敏感个人 信息等存在较高合规风险的数 据予以重点保护，加强合规管 理。第十一条 【可追溯原则】 企业对数据进行修改、查询、导 出、删除等处理时，应当记录相 应操作，确保操作记录可追溯、 可审查。第二章数据合规管理组织体 系建设第十二条 【一般要求】企 业开展数据处理活动应当依照 法律、法规的规定，建立健全数 据合规管理组织体系和常态化 沟通协作机制，明确数据合规责 任主体，组织开展数据合规教育 培训，加强人力资源考核与保 障，强化数据合规意识。Article12GeneralRequirementsAnenterprisecarryingoutdataprocessingactivitiesshall,inaccordancewiththeprovisionsoflawsandregulations,establishandimprovetheorganizationalsystemfordatacompliancemanagementandtheregularcommunicationandcooperationmechanism,specifytheentitiesresponsiblefordatacompliance,organizeandcarryoutdatacomplianceeducationandtraining,strengthentheCcoecmontnHmiorontaonfhimn第十三条【数据合规决策 层的职责】数据合规第一负责人 由企业法定代表人或主要负责 人担任，对数据合规负领导责 任。数据合规第一负责人与董事 会应当承担以下职责：resources,andstrengthentheawarenessofdatacompliance.（一）为企业数据合规管理制度 体系的建构和运行提供必要的 资源保障和条件支持,确保合规 管理制度体系有效运转并持续 改进；Article13ResponsibilitiesofDataComplianceDecision-MakingLevelThefirstpersoninchargeofdatacomplianceshallbethelegalrepresentativeortheprimarypersoninchargeoftheenterprise,andassumetheleadershipresponsibilityfordatacompliance.ThefirstpersoninchargeofdatacomplianceandtheBoardofDirectorsshallundertakethefollowingresponsibilities:（二）确立数据合规方针和合规 目标，并确保企业战略方向与合 规方针和目标保持一致；(1) Providingnecessaryresourceguaranteeandconditionsupportfortheconstructionandoperationoftheenterprise'sdatacompliancemanagementsystem,andensuringtheeffectiveoperationandcontinuousimprovementofthecompliancemanagementsystem.（三）保障数据合规管理部门具 备独立履行职责的能力与权限；(2) Determiningthedatacompliancepolicyandcomplianceobjectives,andensuringthatthecorporatestrategicdirectionisconsistentwiththecompliancepolicyandobjectives.(3) Ensuringthatthedatacompliancemanagementdepartmenthastheabilityandauthoritytoindependentlyperformduties.（四）审批企业重大数据合规事 项；(4) Examiningandapprovingmajordatacompliancemattersoftheenterprise.（五）确保将数据合规管理要求 融入企业的业务过程；（六）确保建立有效的数据违规 举和当征力卜和.(5) Ensuringthattherequirementsfordatacompliancemanagementareintegratedintothebusinessprocessoftheenterprise.(6) Ensuringtheestablishmentofaneffectivedataviolationtip-offand（七）引导培育企业数据合规自 主性，促成数据合规企业文化。punishmentmechanism.第十四条【数据合规管理 层的职责】企业应当设立专门的 数据合规管理部门，或由合规管 理、法务等相关部门承担数据合 规管理职能，并配备数据合规专 员o数据合规管理部门在部门负 责人的指导下开展工作，承担以 下职责：(7) Guidingandcultivatingtheautonomyofenterprisedatacomplianceandpromotingtheenterprisecultureofdatacompliance.（一）组织制定企业数据合规管 理制度规范与合规计划，并推动 其有效实施；Article14ResponsibilitiesoftheDataComplianceManagementAnenterpriseshallsetupaspecialdatacompliancemanagementdepartment,orthecompliancemanagement,legalaffairsandotherrelevantdepartmentsshallassumethedatacompliancemanagementfunction,andappointdatacompliancespecialists.TheDataComplianceManagementDepartmentshallcarryoutworkundertheguidanceofthepersoninchargeofthedepartmentandassumethefollowingresponsibilities:（二）统筹实施数据合规管理工 作，并对数据合规管理情况进行 评估与检查；(1) Organizingthedevelopmentoftheenterprise'sdatacompliancemanagementsystemspecificationsandcomplianceplans,andpromotingtheireffectiveimplementation.(2) Coordinatingtheimplementationofthedatacompliancemanagement,andevaluatingandinspectingthedatacompliancemanagement.（三）建立数据合规举报与调查 机制，对数据合规举报制定调查 方案并开展调查；（四）定期组织或协助人事部门 开展数据安全合规培训I,为企业 相关内部职能部门提供数据合 规咨询与支持；(3) Establishingadatacompliancetip-offandinvestigationmechanism,developinginvestigationplansfordatacompliancetip-offandcarryingoutinvestigations.(4) Regularlyorganizingorassistingthehumanresourcesdepartmentincarryingoutdatasecuritycompliancetraining,andprovidingdatacomplianceconsultationandsupportforrelevantinternalfunctionaldepartmentsoftheenterprise.（五）向数据合规第一负责人与 董事会报告数据合规重大风险 和数据合规工作落实情况。第十五条【数据合规执行 层的职责】企业内部开展数据处 理工作的各职能部门负责本部 门业务范围内的数据合规工作， 并承担以下职责：(5) ReportingtothefirstpersoninchargeofdatacomplianceandtheBoardofDirectorsthemajorrisksofdatacomplianceandtheimplementationofdatacompliancework.（一）结合企业数据合规管理制 度和合规指引，明确本部门日常 数据处理活动的全生命周期合 规要求和具体工作机制；Article15ResponsibilitiesoftheDataComplianceImplementationLayerAllinternalfunctionaldepartmentsofanenterprisecarryingoutdataprocessingshallberesponsibleforthedatacomplianceworkwithintheirbusinessscope,andassumethefollowingresponsibilities:（二）确保本部门员工遵守企业 合规制度规范，履行数据合规义 务；(1) Inconsiderationoftheenterprisedatacompliancemanagementsystemandcomplianceguidelines,specifyingthedepartment'sfulllifecyclecompliancerequirementsandspecificworkingmechanismsforroutinedataprocessingactivities.（三）配合数据合规管理负责人 和合规管理部门开展合规风险 审查、评估、整改等各项合规工 作；(2) Ensuringthatemployeesofthedepartmentcomplywiththeenterprise'scompliancesystemspecificationsandfulf川thedatacomplianceobligations.（四）密切监测日常数据处理工 作中的数据安全合规风险，并采 取适当的安全保护措施；(3) Cooperatingwiththepersoninchargeofdatacompliancemanagementandthecompliancemanagementdepartmentincarryingoutcomplianceriskreview,assessment,rectificationandothercompliancework.(4) Closelymonitoringdatasecuritycompliancerisksinroutinedataprocessingwork,andtakingappropriatesecurityprotectionmeasures.（五）当发现数据处理活动存在 较大合规风险或者发生数据安 仝事件时.总时向物捉合柳笞理(5) Intheeventofrelativelylargecomplianceriskindataprocessingactivitiesoradatasecurityincident,reportingtothepersoninchargeofdatacompliancemanagementandthecompliancemanagementdepartmentinatimelymanner,andcooperatingintakingemergencydisposalandrectificationmeasures.负责人和合规管理部门报告，并配合采取应急处置和整改措施。Article16DesignationandResponsibilityofPersoninChargeofPersonalInformationProtectionAnenterprisethatprocessespersonalinformationtotheamountspecifiedbythenationalcyberspaceaffairsdepartmentshalldesignateaspecialpersoninchargeofpersonalinformationprotection,andassumethefollowingresponsibilities:第十六条【个人信息保护负责人的指定及责任】处理个人信息达到国家网信部门规定数量的企业应当指定专门的个人信息保护负责人，并承担以下职责：(1)Coordinatingtheimplementationofpersonalinformationcomplianceintheenterprise.（一）统筹实施企业内部的个人信息合规工作；(2)Organizingthedevelopmentofinternalsystemsandoperatingproceduresforpersonalinformationcompliance,andsupervisingtheimplementation.（二）组织制定个人信息合规方面的内部制度和操作规程，并督促落实；(3)Organizingthepersonalinformationsecurityimpactassessment,andurgingtherectificationofsecurityrisks.（三）组织开展个人信息安全影响评估，督促整改安全隐患；(4)Organizingandcarryingoutcomplianceauditonaregularbasis.（四）定期组织开展合规审计;(5)Acceptingrelevantcomplaintsandtip-offsinatimelymanner.（五）及时受理相关投诉、举报;(6)Maintainingcommunicationwithregulatorydepartments,andnotifyingorreportingpersonalinformationprotectionandincidenthandling.（六）与监管部门保持沟通，通报或报告个人信息保护和事件处置等情况。Anenterpriseshalldisclosethename,contactmethodandotherinformationonth0nrcnnCharCQCfnnrcnnl企业应当公开个人信息保护负责人的姓名、联系方式等情况,并报送履行个人信息保护职责 的部门。第十七条【数据合规教育 和培训I】企业应当定期组织开展 数据合规教育培训及考核，确保 内部人员充分了解数据法规、数 据合规计划、数据合规义务与举 报程序等，提升内部人员数据合 规意识，促进企业合规守法经 营。第十八条【人力资源管理 与保障】企业应当在数据合规管 理制度规范中明确员工的数据 合规义务,鼓励将数据合规落实 效果纳入考核体系，作为决定评 优评先、职务晋升与薪酬待遇的 重要依据。企业应当将遵守数据合规要求 和履行数据合规义务作为人员 聘用条件。对于数据处理关键岗 位的员工应当开展必要的背景 调查，了解其犯罪记录、诚信状 况等相关信息，并通过签署合规 承诺书、保密协议等方式明确其 应遵守的数据合规要求和履行 的数据合规义务，并建立相应的 奖惩机制督促落实。关键岗位员 工离岗后，应当按照数据合规管 理要求执行离岗交接、审计、脱 密等措施。informationprotection,andsubmitthemtothedepartmentthatperformsthedutyofpersonalinformationprotection.Article17DataComplianceEducationandTrainingAnenterpriseshallorganizedatacomplianceeducation,trainingandassessmentonaregularbasistoensurethatinternalpersonnelfullyunderstanddataregulations,datacomplianceplans,datacomplianceobligationsandreportingprocedures,etc.,enhanceinternalpersonnesawarenessofdatacompliance,andpromotecompliantandlaw-abidingoperationofenterprises.Article18HumanResourceManagementandSecurityAnenterpriseshallspecifythedatacomplianceobligationsofemployeesinthedatacompliancemanagementsystemspecifications,andencourageincorporatingtheeffectsofimplementationofdatacomplianceintotheassessmentsystemasanimportantbasisfordecidingontheevaluationofexcellence,jobpromotionandsalarytreatment.Anenterpriseshallcomplywithdatacompliancerequirementsandfulfilldatacomplianceobligationsasaconditionofemployment.Foremployeesholdingkeypositionsofdataprocessing,necessarybackgroundinvestigationsshallbecarriedouttounderstandtheircriminalrecords,integritystatusandotherrelevantinformation,thedatacompliancerequirementsanddatacomplianceobligationsshallbespecifiedbysigningcompliancecommitments,confidentialityagreementsandothermeans,andcorrespondingrewardandpunishmentmnhniemcchllhQctahlichodtn第十九条【合规承诺制 度】企业应当建立数据合规承诺 制度，明确违反数据合规承诺的 后果与问责机制，数据合规第一 负责人、数据合规管理部门负责 人以及其他数据处理关键岗位 员工应作出并严格履行数据合 规承诺。supervisetheimplementation.Afteremployee