专栏名称: 威科先行法律信息库

提供及时、准确的法律专业资讯。

【重磅】企业数据合规体检十大要点解析丨威科先行

威科先行法律信息库 · 公众号 · · 2024-10-11 18:05

正文

威科先行携手上海至融至泽律师事务所陈嘉伟、张功俐律师推出《企业数据合规体检十大要点解析》专题，本专题通过总结企业数据合规体检的重点与要点，希望帮助企业内部人员明确实务中数据合规工作到底需要做什么，以及需要做到什么程度，为企业提供开展数据合规核查及整改工作的指引。

要点一：外部监管手续

要点二：数据合规组织架构设置

要点三：数据合规制度建设

要点四：内部安全管理措施

要点五：技术措施

要点六：线上产品合规

要点七：数据全生命周期

要点八：员工个人信息处理

要点九：合作方管理

要点十：网络信息内容治理等要求

本报告现已上线

威科先行-网络安全合规模块-实务指南栏目

欢迎扫描二维码免费获取试用机会

内容概览

要点一：外部监管手续

本部分主要介绍数据合规工作所涉外部监管手续，包括与数据合规工作相关、企业需获取的各类资质证书、需履行的各类备案/报告等手续。外部监管手续的办理通常较为耗时，且涉及与主管监管部门的互动，其重要性不言而喻。

当前企业需重点关注的外部监管手续主要包括：

一、网络安全审查
二、数据出境监管手续
三、信息安全等级保护备案（等保）
四、通信网络单元备案（通保）
五、重要数据目录备案
六、关键信息基础设施运营者的认定
七、互联网信息服务算法备案
八、互联网信息服务安全评估
九、移动互联网应用程序备案
十、生成式人工智能（大语言模型）上线备案

要点二：数据合规组织架构设置

本部分主要介绍数据合规组织架构设置要求。数据合规相关组织架构设置系指企业内部需设立相关部门和人员，负责数据合规相关工作。 数据合规组织架构的搭建需满足法律法规要求，并考虑企业的实际情况。良好有效的组织架构是企业开展数据合规治理工作的重要一步，对于保护企业数据资产、维护企业声誉和遵守法律法规至关重要。

一、法规要求
二、数据合规组织架构类型
三、个人信息保护负责人

要点三：数据合规管理制度建设

前两部分我们梳理了外部监管的各项要求，以及企业内部如何建立数据合规组织架构，满足了对“人”的要求，接下来，如何将数据合规监管要求落实于企业的日常经营管理中，就需要充分发挥制度建设的作用。目前关于数据合规制度建设的要求多分散在不同的法律、法规及行业标准中，如何体系性的建立制度规范对企业来说也是不小的挑战。基于此，我们结合法律法规要求及实践经验，就数据合规管理制度建设提出如下总结和思考，希望给企业提供一些有益参考和建议。

一、数据合规管理制度建设的法律法规要求
二、数据合规重点管理制度概览
三、数据合规制度体系建设

要点四：内部安全管理措施

继第三篇关于企业内部数据合规管理制度建设基础上，本篇主要介绍企业需采取的各项安全管理措施，并就实操中企业较为关注的定期安全教育培训、数据分类分级和个人信息保护影响评估工作的重点和难点进行解析。

一、安全管理措施概览

要点五：技术措施

本部分重点聚焦企业需采取的数据合规相关技术措施。

一、常见技术措施类型概览
二、技术措施应用的关注要点

要点六：线上产品合规

本部分重点聚焦企业线上产品合规要求。线上产品合规工作是针对企业的网站、APP、小程序、公众号等线上产品进行数据合规核查。 近年来国内APP个人信息保护监管执法趋势日益严格，监管部门建立了“事前（备案）-事中（检查）-事后（通报）”的全流程监管路径，重点治理APP违规收集和使用个人信息的行为，如APP涉及违法违规处理个人信息的，则存在被通报、下架的风险。而随着监管执法的深入，第三方SDK、小程序、网页等轻量化产品预计也将受到更多关注。同时，监管部门也加强了对应用分发平台的监管，从多途径管控线上产品合规工作。本篇内容将梳理归纳企业线上产品核查的相关合规要点，并对其中部分常见问题点进行详细分析。

一、合规要点概述
二、常见问题点分析及合规建议

要点七：数据全生命周期管理

本部分主要探讨企业数据全生命周期管理过程中的合规要求。数据全生命周期包括了数据收集和使用、数据存储、数据传输、数据共享和委托处理、数据公开、数据删除和销毁等全流程，其中部分合规要求已在前几篇章节内容中有所体现，但此前更多从不同板块的合规视角出发进行阐述，如在线上产品合规模块中也会涉及对数据收集和使用的相关要求。而 数据全生命周期管理则是一套法律与技术结合的系统方法论，旨在从“数据流”视角帮助企业落地数据处理的法律法规要求和行业最佳实践。 实操中，数据的全生命周期管理离不开数据的分类分级，最佳实践应当在分类分级基础上，针对不同类别、不同级别的数据制定全生命周期管理要求。此外，随着数据资产的重要性愈发受到关注，数据全生命周期管理也可为数据资产价值挖掘提供保障。

本部分将从合规视角出发，梳理数据处理全生命周期过程中的重点合规要求。 企业在落地数据全生命周期治理要求时，建议需先梳理了解企业的数据处理场景，不同的数据处理安排面临不同的合规要求，例如同样是数据收集，但直接面向数据主体收集数据和从数据供应商处间接获取数据所关注的合规要点也不一致。

一、数据收集和使用
二、数据存储
三、数据传输和提供
四、数据删除和销毁

要点八：员工个人信息处理

本篇系本专题第八篇，重点聚焦员工个人信息处理问题。 在企业劳动用工场景下，从招聘、入职、日常管理到离职等全流程中，企业不可避免地需要处理员工的各类个人信息，但过往大多企业并未重视员工个人信息处理的合规要求。随着当前实践中，因违法处理员工个人信息而引发的纠纷等事件日益增多，员工个人信息处理将成为企业数据合规工作的一个重要方面。本文将对员工个人信息处理下的合规要点进行分析，并针对性提出相应实务建议，以协助企业合法合规地处理员工个人信息，保障员工的个人信息权利。

一、员工个人信息处理的合法性基础

二、员工个人信息处理的合规建议

要点九：合作方管理

本部分聚焦合作方管理问题。数据合规领域，合作方管理是一个重点环节，企业在与外部第三方开展涉数据处理相关合作时，首先要考虑与合作方之间的数据处理关系，不同的数据处理关系下，对企业的合规要求也不一致。本文将在梳理合规要求的基础上，协助企业构建数据处理合作方的全流程管理机制。

一、数据合作方管理要求概览
二、数据合作方管理机制的建立

要点十：网络信息内容治理等要求

在完成前九项工作的基础上，企业的数据合规治理已处于相对完善的状态。接下来根据企业所处行业以及业务类型等，企业还需关注如网络信息内容治理等其他数据合规相关要求，故本部分将对数据合规工作中其他常见重点合规项进行分析。其中部分涉及监管手续的合规要求我们已在“外部监管手续”篇中予以分析，本篇中不再赘述。

一、网络信息内容治理
二、互联网用户账号信息管理
三、互联网弹窗信息推送服务管理
四、互联网信息服务算法推荐管理
五、生成式人工智能服务管理
六、科技伦理审查管理

内容节选

下述内容节选自 要点六：线上产品合规

一、合规要点概述

网站、APP、小程序、公众号等不同线上产品，其对应的合规点、合规水位也不尽相同，其中又以APP的合规要求较为严格，故本次分析我们主要以APP合规要求展开，但其总体合规思路也可为网站、小程序等其他类型线上产品的问题发现及整改工作提供指导。APP的合规要点相对多且杂，但总体而言，可归纳为 “协议文件”、“前端交互”以及“后端处理” 三部分内容。

其中 “协议文件” 部分的合规要求，重点关注产品中是否按要求制作并展示隐私政策、用户协议、个人信息授权书等法定协议、文件，其内容和形式等是否符合法律法规规定。常见问题如产品中无隐私政策，或隐私政策内容与实际处理个人信息情况不一致等。 “前端交互” 部分侧重从交互角度核查产品个人信息处理的合规情况，例如产品权限申请是否合规、是否存在强制获取用户个人信息情况、是否默认同意收集个人信息、是否设置个性化推荐开关、是否设置用户权利行使渠道等，往往可通过体验产品全流程的方式发现合规问题点。 “后端处理” 相对于前端交互而言，通常指无法直接通过体验产品流程的方式发现的问题点，如超范围收集个人信息、后台静默收集个人信息、嵌入的SDK收集个人信息未明示等。该部分问题通常需要通过技术检测方式发现产品中可能存在的违法违规处理个人信息情况。

围绕上述三部分核查内容，每一部分项下又有其具体合规要求。企业在梳理合规点时，可着重参考相关法律法规、国家标准及规范性文件中的要求，包括但不限于《个人信息保护法》、《信息安全技术个人信息安全规范》（GB/T 35273-2020）、《App违法违规收集使用个人信息自评估指南》、《App违法违规收集使用个人信息行为认定方法》、《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》、《工业和信息化部关于开展信息通信服务感知提升行动的通知》、《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》。

此外， 建议关注网信部门、工信部及各地通管局不定期发布的关于存在侵害用户权益行为的APP通报 ，其中列明的所涉问题点也可为APP合规工作提供参考。近期工信部发布的通报中所涉APP的主要问题点包括：

1、信息窗口未提供关闭或退出标识

2、信息窗口乱跳转，误导用户

3、超范围收集个人信息

4、违规收集/使用个人信息

5、APP强制、频繁、过度索取权限

6、强制用户使用定向推送功能

7、欺骗误导强迫用户

8、应用分发平台上的APP信息明示不到位

9、APP频繁自启动和关联启动等

二、常见问题点分析及合规建议

以下我们将就部分实操中的常见问题点进行分析，并提供相应合规建议。

1、隐私政策内容不完整、不准确： 隐私政策未完整列举出产品收集个人信息的各项业务功能、个人信息字段；隐私政策中描述的个人信息收集情况与产品实际交互不一致，如隐私政策描述收集A字段，实际交互页面展示收集B字段。

合规建议： 梳理产品实际业务功能及处理个人信息情况，修改隐私政策内容，完整准确地列明各项业务功能及对应处理的个人信息字段。

2、收集敏感个人信息，未同步告知目的： 典型如用户进入产品中特定服务入口，页面要求用户填写身份证号，但未同步告知收集身份证号的目的。

合规建议： 在收集敏感个人信息的界面，通过弹窗、页面文字说明等方式，同步告知收集敏感个人信息的目的及其必要性。

3、强制收集非必要个人信息： 典型如强制要求用户同意隐私政策，否则无法进入APP使用相关服务。

合规建议： 结合产品实际情况，设置仅浏览模式或游客模式等，若用户不同意隐私政策，仍可以使用浏览等基本功能服务。

4、申请打开与当前业务功能无关的权限： 典型如用户进入APP首页后，自动弹窗申请用户位置信息，但实际用户此时尚未主动触发位置权限相关功能。

合规建议： 避免提前申请与当前业务功能无关的权限，如仅当用户主动点击触发“定位”“查看周边店铺”等相关功能时，方可弹窗申请位置权限。

5、超出必要频率收集个人信息： 典型如用户每点击一次设置功能，收集一次用户设备信息，但实际业务场景并不需要每次都收集用户设备信息。

合规建议： 避免超出合理必要范围，频繁收集用户个人信息，特别是APP处于后台模式下时，应格外关注避免违反该项要求。

6、未完整准确列出产品中嵌入的第三方 SDK 处理的个人信息字段： 典型如SDK隐私政策与企业隐私政策披露的信息不一致，SDK自身隐私政策披露需收集A和B字段，但企业自身隐私政策披露SDK需收集A和C字段。

合规建议： 完整、准确列明产品中嵌入的SDK处理的个人信息字段，通常SDK运营方也会在其官网等渠道发布其SDK处理个人信息情况的说明，企业可参考进行列明。

7、征得同意前即开始收集个人信息： 典型问题如APP首次运行时，向用户提示阅读隐私政策并征得同意前，即开始收集设备信息或弹窗申请可收集个人信息权限等。

合规建议： 通过技术检测、调整交互链路等方式，避免在向用户提示及征得用户对隐私政策的同意前，即收集个人信息或申请可申请个人信息权限。

8、以默认同意等非明示方式征求用户同意： 典型如交互页面上设置默认勾选同意隐私政策，未让用户通过主动勾选、主动点击等作为方式表明同意隐私政策。

合规建议： 交互上避免设置默认同意。此外，建议尽可能避免让用户通过逻辑关系不清晰的作为方式同意隐私政策，如“点击下一步表示同意隐私政策”等，应当要求用户通过主动勾选或主动点击同意等方式表明对隐私政策的自愿、明确的同意。

9、频繁弹窗申请可收集个人信息权限： 用户明确拒绝打开可收集个人信息权限后，APP仍频繁弹窗索要相应权限。

【重磅】企业数据合规体检十大要点解析丨威科先行

正文

请到「今天看啥」查看全文