岳阳市企业数据合规指引(试行)

岳阳市数据资源治理局岳阳市司法局

岳阳市律师协会

2024年8月1日

目?录

第一章 总则

第二章 数据合规治理组织系统

第三章 数据合规治理造度系统

第四章 数据全性命周期合规

第五章 数据合规运行及保险

第六章 数据跨境流动合规

第七章 附则

第一章总则

第一条【主张和凭据】

为疏导企业规范数据合规治理，两全推动企业数据权利；，保险企业数据安全，凭据《中共中央、国务院关于构建数据基础造度更好阐扬数据身分作用的定见》《推进和规范数据跨境流动划定》等政策文件、《中华人民共和国数据安全法》《中华人民共和国幼我信息；しā贰吨谢嗣窆埠凸绨踩ā返人痉晒，造订本指引。

第二条【数据合规指引的必要性】

疏导各类企业发展数据合规治理是对企业经营活动中依法开发和利用数据资源，守护合法权利的沉要保险，也是降低企业及其员工涉数据类违法违规风险的沉要行动，企业能够通过成立美满的数据合规治理系统，有效预防数据安全事务。

第三条【合用领域和效力】

该指引安身岳阳市企业数据法治需要，对企业数据合规治理组织系统、造度系统，数据全性命周期合规和数据合规运行及保险、数据跨境流通合规等作出领导，岳阳市各类企业，尤其是人为智能、工业互联网、普惠金融、网络货运、民用航空、空天信息、当局采购等领域数据资源丰硕的企业，进行数据处置活动时可参考本指引发展数据合规治理。

本指引由岳阳市数据资源治理局、岳阳市司法局、岳阳市律师协会共同假造，安徽省数字江淮中心参加假造。

本指引不拥有强造性，司法、律例及有关国度、行业尺度还有专门划定的，从其划定。

第四条【合法、正当和诚信准则】

企业发展数据处置活动，行使有关数据权利，该当遵守司法、律例，尊沉社会公德，恳切守信，承担社会责任，不得风险国度安全、公共利益，不得侵害他人合法权利。

第五条【数据权利；ぁ

激励企业依法开发和利用数据资源，；て笠翟谑褂谩⒓庸さ仁荽χ没疃行纬傻姆ǘɑ蛘咴级ǖ牟聘蝗ɡ，以及在数字经济发展中有关数据创新活动获得的合法财富权利。

第六条【数据安全；ぁ

企业该当成立数据安全造度，采取技术措施或其他必要措施，预防数据迷失、毁损、泄露和篡改，确保网络、存储的数据安全，对数据的正确、齐全、实时性掌管。激励企业索求使用人为智能技术；な莅踩。

第七条【数据分级分类造度】

企业该当成立数据分类分级，按对国度安全、公共利益、或者幼我、组织合法权利的影响水平和沉要水平，对数据尝试分类分级；，激励企业成立沉要数据目录。提倡企业通过人为智能技术进行数据自动化和智能化分类分级。

第八条【数据合规治理责任主体】

企业是数据合规治理的责任主体，掌管其数据处置活动和合规治理中各项要求的推动落实，对其数据处置活动、合规治理和运行成效掌管。

第九条【涉第三方数据治理】

企业接受第三方委托或者委托第三方，共同发展数据处置活动，该当切合司法、律例和强造性尺度的划定，明确各方的权势和使命，有效预防数据合作司法关系中的风险。

第十条【数据；び跋炱拦馈

企业应成立事前数据；び跋炱拦阑惚ㄔ於，梳理综合启动事前数据；び跋炱拦赖那榫，有效防备数据安全风险事务。

第十一条【风险导向准则】

企业该当采取必要措施对国度主题数据、沉要数据、敏感幼我信息等存在较高合规风险的数据予以沉点；，加强合规治理。

第十二条【可追忆准则】

企业对数据进行批改、查问、导出、删除等处置时，该当纪录相应操作，确保操作纪录可追忆、可审查。

第二章数据合规治理组织系统

第十三条【通常要求】

为确保企业数据处置活动的合法性与合规性，企业应严格遵循有关司法律规，构建美满的数据合规治理组织系统，明确数据合规责任主体，组织发展数据合规教育培训，加强人力资源查核与保险，加强跨部门合作互换，强化员工数据合规意识。

第十四条【数据合规决策层的职责】

数据合规掌管人由企业重要掌管人担任，对数据合规负辅导责任。数据合规掌管人该当承担以下职责：

(一)为企业数据合规治理造度系统的建构和运行提供必要的资源保险和前提支持；

(二)确立数据合规方针和合规指标，并确保企业战术方向与合规方针和指标维持一致；

(三)确保将数据合规治理要求融入企业的业务过程；

(四)确保合规治理造度系统有效运行并持续改进；

(五)保险数据合规治理部门具备独立推广职责的能力与权限；

(六)确保成立有效的数据违规举报与惩处机造和跨部门合作机造；

(七)审批企业沉大数据合规事项；

(八)疏导造就企业数据合规自主性，促成数据合规企业文化；

(九)对数据合规治理层工作情况进行监督。

第十五条【数据合规治理层的职责】

企业该当设立专门的数据合规治理部门，或由合规治理、法务、审计、监督等有关部门承担该职能，并建设数据合规专员。数据合规治理部门对数据合规决策层掌管，承担以下职责：

(一)确立、对峙并推广数据合规企业文化；

(二)组织造订企业数据合规治理造度规范与合规打算，并推动其有效执行；

(三)两全规划和执行数据合规治理工作，定期对数据合规治理情况进行全面评估与查抄，并造作详尽的书面纪录；

(四)成立数据合规举报与调查机造，对数据合规举报造订调查规划并发展调查；

(五)定期组织或协助人事部门发展数据安全合规培训，为企业有关内部职能部门提供数据合规征询与支持；

(六)推动跨部门合作机造，推进部门间的沟通与合作，确保企业在数据处置各环节均严格遵守有关律例和数据合规治理；

(七)向数据合规掌管人与董事会汇报数据合规沉大风险和数据合规工作情况。

第十六条【数据合规执行层的职责】

企业内部发展数据处置工作的各职能部门掌管本部门业务领域内的数据合规工作，并承担以下职责：

(一)凭据企业数据合规治理造度及有关合规指引，确立并执行一套严谨的数据处置全性命周期合规要求和工作机造；

(二)确保本部门员工遵守企业合规造度规范，推广数据合规使命；

(三)共同数据合规掌管人和合规治理部门发展合规风险审查、评估、整改等各项合规工作；

(四)亲昵监测日常数据处置工作中的数据安全合规风险，并采取适当的安全；ご胧；

(五)当发现数据处置活动存在较大合规风险或者产生数据安全事务时，实时向数据合规掌管人和合规治理部门汇报，并共同采取应急措置和整改措施。

【文件化信息】企业该当以适当的方式和载体，对数据合规治理过程中产生的文档化信息进行纪录。这些文档化信息需以清澈、易懂、易查问的方式贮存，并应执行必要措施，以保险其不被泄露、滥用或粉碎其齐全性。

第十七条【幼我信息；ふ乒苋说闹付霸鹑巍

处置幼我信息达到国度网信部门划定数量的企业该当指定专门的幼我信息；ふ乒苋，并承担以下职责：

(一)两全执行企业内部的幼我信息合规工作；

(二)组织造订幼我信息合规方面的内部造度和操作规程，并督促落实；

(三)组织发展幼我信息安全影响评估，督促整改安全隐患；

(四)定期组织发展合规审计；

(五)实时受理有关投诉、举报；

(六)与监管部门维持沟通，传递或汇报幼我信息；ず褪挛翊胫玫惹榭。

企业该当公开幼我信息；ふ乒苋说男彰⒘捣绞降惹榭，并报送推广幼我信息；ぶ霸鸬牟棵。

第三章数据合规治理造度系统

第十八条【通常要求】

企业该当遵循司法、律例划定，结合自身业务，成立健全覆盖数据全性命周期的数据合规治理造度系统，明确企业内部数据合规治理的有关尺度、规范和操作规程，对峙安全和发展并沉，确保数据合规治理造杜纂出产运营、业务发展同步规划、同步建设、同步运行。

第十九条【数据分类分级；ぴ於取

企业该当成立数据分类分级；ぴ於，凭据所属国度行业、地域的有关尺度，依照数据的沉要水平、对国度或者幼我、组织合法权利的影响水平进行分类分级，形成数据分类分级清单。

企业应凭据数据分类分级清单，造订并执行相应的操作要求和；ご胧。同时处置分歧级别数据且难以别离采取；ご胧┑，企业该当依照其中级别最高的要求赐与；。

企业该当结合有关司法、律例和主管部门、所属行业沉要数据具体目录等尺度规范，沉点鉴别和确定沉要数据和主题数据清单，明确沉要数据和主题数据的治理职责、操作规范、审批要求、登记机造等事项，成立沉要数据和主题数据的日常纪录和容灾备份机造，强化沉要数据和主题数据的安全保险。

第二十条【采取安全技术；ご胧

企业该当凭据数据分类分级情况，采取适当的匿名化、备份、加密、接见节造、入侵防备等数据安全技术；ご胧，加强对数据处置系统、数据传输网络、数据存储环境、数据接见接口等物理和网络环境的安全防护，将数据安全技术；じ哺堑绞荽χ玫娜。

处置沉要数据的系统应满足三级以上网络安全等级；ず凸丶畔⒒∩枋┌踩；ひ，处置主题数据的系统遵循有关划定从严；。

第二十一条【权限节造机造】

企业该当依照最幼授权准则合理确定数据接见与操作权限，仅在实现职责所需的领域内授子特定人员最幼必要的数据操作权限，并通过技术伎俩限度超过权限的操作空间。

针对沉要数据和主题数据，企业该当通过设置严格的数据处置权限、建设风险阻断机造、明确安全审计流程、落实接见和操作留痕等方式，实现权限最幼化管控。

第二十二条【依法申报数据安全审查】

激励企业自主审查其数据处置活动是否影响或者可能影响国度安全。切合司法律规划定前提的，企业该当依照有关划定，申报网络安全审查。

把握超过100万用户幼我信息的网络平台运营者赴国表上市，必须向网络安全审查办公室申报网络安全审查。

第二十三条【成立合规风险评估机造】

企业该当成立数据合规风险评估机造，每年至少发展一次数据合规风险评估，对数据分类分级；で榭觥⑹莅踩际醣；ご胧┯行浴⒐丶∩枋┌踩健⑹荽χ煤瞎媲榭觥⑹莅踩ぞ陀笔挛翊胫媚芰Α⑹莅踩侍庹暮图喙芊上煊η榭龅饶谌萁衅拦，并形成数据合规风险评估汇报。涉及处置沉要数据的，还应对沉要数据的处置情况作出评估，并向有关主管部门报送风险评估汇报。对新上线业务、第三方数据合作业务以及沉点存量业务，企业能够不定期发展合规风险评估。

企业该当凭据数据合规风险评估汇报对有关职能部门、岗位员工作出风险提醒，并要求其采取相应的风险措置和整改措施，必要时应暂；蛉〉抻涤薪细吆瞎娣缦盏囊滴窕疃。

第二十四条【监测预警与存在安全缺点、缝隙的补救措施】

企业该当成立数据安全风险监测预警机造，实时监测日常数据处置活动中的异常情况和安全风险，并进行预警。当发现数据安全缺点、缝隙等风险时，该当立即采取预防、补救措施；造成或者可能造成严沉后果的，该当实时奉告可能受到影响的主体，并向有关主管部门汇报。

企业该当成立针对数据不合规行为的监测机造，实时发现日常数据处置活动中的不合规行为，采取相应的措置和惩戒措施，并对类似问题进行排查。产生可能对企业带来沉大数据合规风险的违规行为时，该当实时向数据合规掌管人汇报，并确定相应的解决规划。

第二十五条【数据安全应急预案、演练和措置机造】

企业该当造订数据安全应急预案，依照风险水平、影响领域等成分对数据安全事务进行分级，并结合分级情况确定应急措置的方针战术、人员职责、具体措施、流程规范、物资保险等事项。企业该当每年至少组织一次应急响应培训和应急预案演练，使有关人怨仄握熟悉应急措置战术和规程。

当产生数据安全事务时，企业该当按响应急预案实时采取措置措施，预防风险扩大，解除安全隐患，纪录事务内容，保留有关证据，并向有关主管部门汇报。安全事务对幼我、组织造成内容性风险的，企业还应实时以电话、短信、邮件等方式向所涉主体奉告安全事务情况、风险后果、已采取的补救措施等信息。无法逐一奉告的，可采取布告方式奉告。

第二十六条【积极共同监管】

企业该当成立监管法律共同机造，受到监管部门调查时应立即通知数据合规掌管人、数据合规治理部门掌管人和有关职能部门掌管人等人员，启动必要的内部调查法式并明确监管调查对接人员，必要时该当暂停相应的数据处置活动。

企业该当对监管部门的监管法律予以协助、共同，不得回绝、反对，不得提供虚伪资料、信息或隐匿、销毁、转移证据。

企业积极共同监管并自动发展合规整改采取措施有效减轻、解除风险后果的，能够向监管部门申请酌情从轻或减轻行政处罚。

第二十七条【成立监管响应和整改机造】

企业该当依照监管部门提出的监管建议实时采取整改措施，优化、更新数据合规治理造度，成立健全数据合规长效机造，有效解除安全隐患。

企业应该凭据司法律规变动和监管动态落实情况动态调整数据合规有关机造和技术伎俩。

第二十八条【表部投诉机造】

企业该当成立便捷的数据合规表部投诉机造，颁布受理部门某人员联系方式、受理流程等信息，激励受到数据不合规行为影响的主体进行投诉，并在合理功夫内向投诉人回复处置情况。

第四章数据全性命周期合规

第一节数据网络

第二十九条【数据网络的通常性划定】

不得以不正当竞争为主张，违反恳切信誉获取数据；不得违法侵入涉密网站和推算机信息系统获取数据；不得以犯法获取内部接见、操作权限等方式，未经授权或超过授权领域获取数据；不得滋扰被接见网站的正常运营或者故障推算机信息系统正常运行；不得以技术破解方式突破网站、推算机信息系统为；な荻柚玫募际醣；ご胧。企业网络涉及他人知识产权、贸易奥秘或非公开的幼我信息的数据，应事前征得所涉主体赞成。

第三十条【以爬虫等伎俩抓取数据的合法尺度】

企业选取网络爬虫等自动化工具网络数据的，该当遵守司法律规、行业自律协议，尊沉爬取对象网站的爬虫和谈及规定，事前评估对网络服务的机能、职能可能带来的影响，预防滋扰网络服务的正常职能或故障推算机信息系统正常运行。

第三十一条【以采办、互换等伎俩网络数据的合法尺度】

企业通过向第三方采办、互换、共享等方式网络数据的，该当切合司法、律例要求，对第三方的资质以及获取和持罕见据的合规性进行必要审查，要求其作出数据起源合法性承诺并提供必要证明。

对从第三方获取的数据，企业该当承担与直接管集的数据一致的安全；ぴ鹑斡牒瞎媸姑。

第三十二条【在提供产品、服务过程中网络数据的合法尺度】

企业在提供产品、服务过程中网络幼我信息，该当切合最幼必要准则，仅网络与实现产品或服务的业务职能直接有关的幼我信息。不得因幼我不赞成提供非必要幼我信息，而回绝向其提供根基职能或服务。

企业基于开发新型业务职能、提升服务履历等主张，超出必要领域网络用户幼我信息的，应倒伧得幼我赞成。

企业如需使用在提供产品、服务过程中网络到的数据，该当事先获得有关数据主体的授权赞成。

第三十三条【分类治理】

企业该当成立幼我信息分类治理造度，结合幼我信息的主体属性、具体种类、敏感水平、处置方式、利用场景、对幼我权利的影响、可能存在的安全风险等成明显确幼我信息分类尺度，并别离确定针对分歧类型幼我信息的处置规定、合规使命和；こ叨。敏感幼我信息及未成年人幼我信息处置规定该当遵循司法、律例的有关划定。

第三十四条【幼我信息；ふ策合规】

企业在网络用户数据前，该当通过弹窗、文本链接、附件、常见问题(FAQs)等简洁显著且易于接见的方式，以清澈易懂的说话奉告用户幼我信息；ふ策，幼我信息；ふ策所奉告的信息该当蕴含有关司法、律例、行业自律协议等划定的内容，所奉告的信息应真实、正确、齐全，且内容应清澈易懂，切合通用的说话习惯，使用尺度化的数字、图示等，预防使用有歧义的说话；幼我信息；ふ策应公开颁布且易于接见。

第二节数据存储

第三十五条【分级分域治理】

企业该当凭据分类分级等内部规范对分歧类型、风险等级和沉要、敏感水平的数据进行分级分域治理，对分歧数据进行物理隔离或强逻辑隔离，确定数据存储的期限、地位，并采取相适应的安全；ご胧┖徒蛹谠旎，守护数据的齐全性、保密性、可用性。

企业该当通过加密存储、接见节造、校验技术等措施强化对沉要数据和敏感幼我信息的；。

第三十六条【数据存储介质治理】

企业该当凭据数据类型、风险等级和沉要、敏感水平等成分选择安全机能、防护级别与安全等级相适应的存储设备和介质，造订数据存储设备和介质清单，成立数据存储设备和介质治理造度，规范存储设备和介质的使用、操作、维建和故障处置，并对传递、使用数据存储设备和介质的行为成立审批和日志纪录等管控机造，强化存储设备和介质的物理安全和加密治理。

第三十七条【云平台存储】

企业使用第三方云平台进行数据存储的，该当要求云服务提供商定期汇报云平台运行状态、安全情况等信息，并定期对第三方云平台的不变性和采取的安全；ご胧┑冉猩蠹，确保其具备充分的数据安全；つ芰。

企业终止使用云平台存储服务的，有权取回数据、文档等资料并对其齐全性、有效性进行验证。云服务提供商该当依照约定方式删除、销毁云平台存储的数据及副本。

第三十八条【技术；ご胧喝ケ晔痘⒛涿

企业在存储数据时该当采取加密、去标识化、匿名化处置等安全技术措施，降低幼我信息被篡改、粉碎、泄露或者犯法获取、犯法利用等风险。经从前标识化处置的幼我信息该当与其他幼我信息分隔存储，并严格节造接见权限。

第三十九条【数据备份及复原】

企业该当成立沉要数据和幼我信息的备份与复原机造，确定数据备份的领域、频率、步骤和流程，并定期对备份数据进行复原测试和齐全性校验，防备数据意表损毁、迷失等风险。

第三节数据传输和提供

第四十条【数据传输加密的合规要求】

企业该当采守信源加密、通路加密等安全；ご胧┤繁Ｊ荽浣橹屎突肪嘲踩，保险沉要数据和敏感幼我信息传输过程的安全性，防备未经授权接见和数据泄露。

第四十一条【向第三方提供数据的合规要求】

企业因业务必要等正当理由向第三方提供或共享、委托处置数据的，该当对数据接管方进行事前资格审查并评估其数据安全；つ芰。涉及提供沉要数据、敏感数据的，该当留存相应的日志纪录。

企业该当通过合一致大局与数据接管方约定处置数据的主张、领域、方式、限杜纂应采取的安全；ご胧┑仁孪，明确双方权势和使命，并对数据接管方的处置活动进行必要监督。发现数据接管方违反司法、律例划定或双方约定处置数据的，该当立即要求其终场有关行为并采取必要的补救措施；必要时该当暂；蛑罩瓜蚱涮峁┦，并监督数据接管方实时返还、删除、销毁已获得的数据。

第四十二条【向第三方提供幼我信息的合规要求与豁免】

企业向第三方提供或共享、委托处置幼我信息的，该当向幼我奉告接管方的名称或者姓名、联系方式、处置主张、处置方式和幼我信息的种类，并依照司律例定征得幼我单独赞成，并留存幼我赞成纪录、提供幼我信息的日志纪录以及共享、买卖、委托处置沉要数据的审批纪录和日志纪录。

第四十三条【共同处置场所下的合规要求】

两个以上的企业共同决定幼我信息的处置主张和处置方式的，该当约定各自的权势和使命、应采取的安全；ご胧⒉莅踩挛袷钡牟咕抛胗贝胫么胧┮约霸鹑纬械５仁孪。

第四十四条【合作方治理】

企业该当加强对合作方的合规治理，明确信息系统开发及运维、数据存储、数据处置等合作方的准入尺度和资格审查机造，并通过签定合规和谈等大局明确双方的权势和使命，以及合作方的数据处置权限、应采取的安全；ご胧┑仁孪。

企业该当定期对合作方进行合规查抄和审计，并结合风险特点对合作方进行合规分级、分类管控，对分歧风险级此外合作方采取相适应的合规治理措施。发现合作方存在严沉违法、违规、违约行为或产生沉大数据安全变乱、失落数据安全保险能力、有意不推广数据安全；ぶ霸鸬惹榫暗，应实时终止与其合作。

第四十五条【第三方接入场景/SDK的合规使命】

企业在其产品或服务中接入由第三方提供的软件开发工具包的，该当事前对接入第三方进行安全检测，评估是否存在已知的安全缝隙以及可能引起数据泄露等安全事务的行为，并成立相应的接入第三方合规治理机造，通过签署开发者服务和谈等大局明确双方的权势和使命、应采取的安全；ご胧⒉莅踩挛袷钡牟咕抛胗贝胫么胧┮约霸鹑纬械５仁孪，并留存第三方接入日志纪录。

第三方软件开发工具包具备网络、处置幼我信息职能的，企业该当要求该第三方如实、齐全披露网络、处置幼我信息的具体情况，并应将有关情况实时、正确奉告所涉幼我，并依照司律例定征得幼我赞成。

企业该当对第三方软件开发工具包进行持续安全监测，发现接入第三方存在违反司法、律例划定或双方约定处置数据，或未落实数据安全；ぴ鹑卧斐山洗蟀踩缦盏，该当实时堵截接入，并督促其采取整改措施。对于流量劫持、资费亏损、隐衷窃取、告白刷量、恶意告白、恶意勒索、虚构币挖矿、远程节造、剪切板劫持等恶意行为的第三方软件开发工具包该当取缔其接入权限。

第四十六条【归并、沉组、分立、遣散、破产场所下的合规要求】

企业因归并、沉组、破产等原因必要转移数据的，该当造订数据转移规划，明确数据承接方及其该当推广的数据安全；ぴ鹑蔚仁孪，并以相宜的方式通知受影响的幼我。

作为数据承接方的企业该当持续承担数据合规使命和数据安全责任。因业务必要等正当理由确需扭转数据处置主张、领域、方式的，该当沉新征得所涉幼我赞成。

第四节数据买卖

第四十七条【数据买卖】

激励数据买卖主体通过数据买卖场所进行买卖。数据买卖主体在买卖前，可凭据有关司法律规的划定对数据产品或服务进行数据资源登记７⒄故萋蚵羰，数据买卖主体该当遵守以下根基要求：

(一)遵守我国关于数据流通与买卖治理的司法律规，尊沉社会公德、贸易路德，接受监督治理；

(二)采取必要措施，做到买卖过程可节造、风险可防备、责任可追忆、合规性可监督；

(三)数据买卖主体该当恳切守信，遵守承诺，全面实时推广合同约定及有关承诺；

(四)数据买卖主体在享罕见据权利的同时，该当推广有关使命，确保数据买卖安全合规。

第四十八条【数据买卖场所的合规使命】

数据买卖场所该当成立数据起源可确认、使用领域可界定、买卖过程可追忆、安全风险可防备的可信数据买卖环境，造订平台准入、数据质量评估、买卖治理、合规审查、信息披露、自律监管等规定，对场内买卖进行治理，买卖参加主体该当予以共同。

数据买卖场所该当对场内买卖进行合法性与合规性评估，并推广以下使命：

(一)要求数据提供方注明数据起源并审核有关信息，必要时要求提供合规评估司法定见书；

(二)审核数据买卖双方身份和数据买卖合同；

(三)留存有关审核、买卖纪录；

(四)监督数据买卖、结算和交付；

(五)采取必要技术伎俩确保数据买卖安全，；び孜倚畔ⅰ⒂孜乙衷、贸易奥秘、保密商务信息和沉要数据；

(六)司法、律例划定的其他使命。

第四十九条【数据起源合规】

发展数据买卖的企业该当成立针对数据起源的合规审查机造，确保数据获取伎俩合法合规、数据起源链路清澈，并经过所涉主体明确授权赞成，不存在加害国度、公共利益或其他组织、幼我合法权利的情况。

第五十条【数据可买卖性】

为保险数据买卖的合法合规，发展数据买卖的企业该当确认其提供的数据产品属于司法律规允许买卖的领域，数据处置切合司律例定，不蕴含不容买卖的数据。该类数据形成的数据产品拥有合法性、可控性、流通性。

第五十一条【数据内容合规】

发展数据买卖的企业该当成立针对数据内容的合规审查机造，不得买卖含有以下内容的数据产品或服务：

(一)含有未经授权的幼我信息的；

(二)含有加害他人知识产权或贸易奥秘的内容的；

(三)含有未经依法盛开的公共数据的；

(四)含有国度主题数据或国度奥秘的；

(五)含有司法、律例划定不容买卖的其他数据的。

第五十二条【数据质量管控】

发展数据买卖的企业该当成立必要的数据质量校验机造，提升买卖数据的正确性、齐全性和实时性，并通过数据复核、交叉验证等方式强化沉要数据、敏感数据的质量审查。

第五十三条【反馈批改机造】

发展数据买卖的企业该当成立问题反馈和批改机造，对证明存在谬误或侵权的数据实时采取更正、删除等补救措施。

第五十四条【数据买卖和谈与监督责任】

发展数据买卖的企业该当通过与买卖相对方签定数据使用和谈等方式，明确买卖数据的使用主张、领域、方式、处置限杜纂应采取的安全；ご胧⒙蚵艏壑怠⒈Ｃ茉级ǖ仁孪，以及产生违约、侵权行为时的司法责任，并在合理领域内对数据使用行为进行监督。

数据采办方该当依照约定的主张、场景和方式合规使用数据，不得将通过买卖获取的数据用于违反司法律规或双方约定的其他用处。

第五十五条【免责事由/容错机造】

发展数据买卖的企业对超出其可预感领域和技术节造能力的数据谬误等质量瑕疵，在实时采取补救措施后仍造成损失的，该当允许其通过事前约定等方式减轻或免去相应责任，但对损失的产生计在有意或沉大错误的之表。

第五节数据的使用

第五十六条【数据处置活动安全；な姑

企业发展数据处置活动该当推广下列安全；な姑

(一)成立健全数据安全防护治理造度；

(二)造订数据安全应急预案，定期发展安全评测、风险评估和应急演练；

(三)采取安全；ぜ际醮胧，预防数据迷失、毁损、泄露和篡改，保险数据安全；

(四)产生沉大数据安全事务时，立即启动应急预案，实时采取补救措施，奉告可能受到影响的用户，并依照划定向有关主管部门汇报；

(五)司法、律例划定的其他安全；な姑。

产生、使用数据的法式、软件、系统和平台，在开发阶段该当进行安全可控建复伎俩的检测，保险数据的安全。

第五十七条【数据使用主张限度】

企业网络的幼我信息必须用于明确、具体、合法的主张，并且使用时应与网络时的主张相符。不得超出原始主张领域与使用期限使用幼我信息。

第五十八条【委托他人处置数据】

企业委托他人处置幼我信息时，该当采取以下措施，确保委托处置行为合规：

(一)进行幼我信息安全影响评估

(二)明确具体的约定委托处置内容

企业委托处置幼我信息的，该当与受托人约定委托处置的主张、期限、处置方式、幼我信息的种类、；ご胧┮约八降娜ㄊ坪褪姑饶谌。幼我信息处置者还该把稳，除非属于无需获得赞成的情景表，委托处置领域不应超过幼我信息主体授权赞成的领域

(三)对受托人处置行为进行监督

企业者应对受托人的处置行为进行监督，方式蕴含通过合一致方式划定受托人的责任和使命、对受托人进行审计等

(四)正的确时纪录委托行为

企业应正确并实时纪录和存储委托处置幼我信息的情况，蕴含受托人名称、联系方式、资质许可、委托处置主张、领域、期限、处置方式、签署的合同文本等内容。

(五)实时采取补救措施

企业发现受托人未依照委托要求处置幼我信息，或未能有效推广幼我信息安全；ぴ鹑蔚，应立即要求受托人终场有关行为并采取有效补救措施，节造或解除幼我信息面对的安全风险。必要时企业应终止与受托人的业务关系，并要求受托人实时删除其获得的幼我信息。

第五十九条【自动化决策场景的合规使命】

企衣符用数据进行自动化决策的，该当保障自动化决策的通明度，并以适当方式公示其自动化决策的根基道理、主张意图和重要运行机造等信息。自动化决策的了局可能对幼我权利造成显著影响的，该当对此种影响及可能产生的后果予以注明，并为幼我提供回绝自动化决策的选项。

通过自动化决策方式进行信息推送、贸易营销的，该当同时提供不针对幼我特点的选项，并向幼我提供便捷的回绝方式。

企业不得利用数据分析，对买卖前提一样的买卖相对人执行差距待遇，但是有下列情景之一的之表：

(一)凭据买卖相对人的现实需要，且切合正当的买卖习惯和行业通例，尝试分歧买卖前提的；

(二)针对新用户在合理期限内发展优惠活动的；

(三)基于平正、合理、非歧视规定执行随机性买卖的；

(四)司法、律例划定的其他情景。

前款所称买卖前提一样，是指买卖相对人在买卖安全、买卖成本、信誉情况、买卖环节、买卖持续功夫等方面不存在内容性差距。

第六十条【幼我信息；び跋炱拦馈

企业应倒仉对业务中涉及的对幼我权利有沉大影响的数据处置活动发展幼我信息；び跋炱拦，持续检验、监控幼我信息处置活动的合法合规水平、对幼我合法权利造成侵害的各类风险以及有关；ご胧┑挠行，形成和保留幼我信息；び跋炱拦阑惚ê痛χ们榭黾吐，并采取相应改进措施。

第六十一条【成立幼我信息权势行使的响应机造】

企业该当为用户行使《中华人民共和国幼我信息；しā犯匙拥母飨钊ㄊ铺峁┍憬莸纳昵胧芾砗拖煊，明确合理的响应时限。

第六节数据删除和销毁

第六十二条【该当删除、销毁数据的情景】

企业该当成立数据存储冗余治理战术，定期对存储数据进行盘点，

对于对实现处置主张不再必要的数据，该当实时进行删除或匿名化处置。

当出现以下情景时，企业该当对其持有的全数数据或有关数据进行删除、销毁：

(一)企业终止运营、遣散或破产，且没罕见据承接方的；

(二)约定的数据存储期限已经届满的，或产生约定的数据删除、销毁事由的；

(三)凭据司法、律例划定该当删除、销毁数据的其他情景。

第六十三条【数据删除与销毁的合规要求】

企业该当成立数据删除和销毁的操作规程和治理造度，明确删除和销毁的对象、权限、流程和技术等要求，确保被销毁数据不成复原，并对有关活动进行纪录和留存。

企业对数据存储设备和介质进行报废处置的，该当事先采取体式化、沉复删除、介质消磁等方式删除其中存储的数据，并采取物理损毁等方式对介质进行彻底销毁。

第六十四条【删除幼我信息的情景】

切合下列情景之一的，企业该当在十五个工作日之内对有关幼我信息进行删除或匿名化处置，并遵循可审计准则纪录删除功夫、操作人、数据内容等有关信息。幼我信息处置者未删除的，幼我有权要求删除：

(一)处置主张已实现、无法实现或者为实现处置主张不再必要；

(二)企业终场提供产品或者服务，或者保留期限已届满；

(三)幼我撤回赞成；

(四)企业违反司法、行政律例或者违反约定处置幼我信息；

(五)司法、行政律例划定的其他情景。

司法、行政律例划定的保留期限未届满，或者删除幼我信息从技术上难以实现的，企业当终场除存储和采取必要的安全；ご胧┲淼拇χ。

第五章数据合规运行及保险

第六十五条【数据合规教育和培训】

企业该当定期组织发展数据合规教育培训，确保内部人员充分相识数据律例、数据合规打算、数据合规使命与举报法式等，提升内部人员数据合规意识。

第六十六条【数据合规治理系统】

激励企业成立健全数据合规治理系统，发展数据合规治理长效机造，激励企业设置数据合规责任人、独立数据治理机构、专门治理造度和数据治理规划、打算，成立企业有关数据合规治理的内表部运行监督评价机造。

第六十七条【合规征询】

企业能够成立数据合规征询机造，治理层和各部门员工在工作中能够向数据合规治理部门征询数据合规问题。

第六十八条【人力资源治理与保险】

企业该当在数据合规治理造度规范中明确员工的数据合规使命，激励将数据合规落实成效纳入查核系统，作为决定评优评先、职务提升与薪酬待遇的沉要凭据。

关键岗位员工离岗后，该当依照数据合规治理要求执行离岗交代、审计、脱密等措施。

第六十九条【合规承诺造度】

企业该当成立数据合规承诺造度，明确违反数据合规承诺的后果与问责机造，数据合规掌管人、数据合规治理部门掌管人以及其他数据处置关键岗位员工应作出并严格推广数据合规承诺。

第七十条【举报与调查机造】

企业该当成立内部数据合规举报机造，激励、支持内部人员对试图、涉嫌或现实存在的数据不合规行为进行举报，并采取必要措施；つ诓烤俦ㄈ诵畔。

企业该当成立表部数据合规举报机造，颁布受理部门某人员联系方式、受理流程等信息，激励受到数据不合规行为影响的主体进行投诉，并采取必要措施；け聿烤俦ㄈ诵畔。

收到举报后，数据合规治理部门该当结合举报线索的真实性、有效性实时启动调查法式，确保调查过程的独立性、公正性，形成调查了局汇报并采取相应处置和改进措施，持续美满数据合规治理造度系统。

第七十一条【跨部门合作机造】

企业应成立跨部门合作机造，确保各部门在数据处置活动中遵循数据合规政策。蕴含但不限于定期召开跨部门会议、分享数据合规最佳实际以及协排解决数据合规问题。

第七十二条【定期合规审计】

为保险企业数据治理的合规性和安全性，企业内部该当定期发展数据合规审计，或委托拥有有关资质的表部机构进行独立审计，企业需确保天生并妥善生活有关的数据合规审计汇报。对于审计过程中发现的合规问题与安全隐患应实时采取整改措施。

第六章数据跨境流动合规

第七十三条【合用数据出境安全评估的情景】

企业向境表提供数据，有下列情景之一的，该当通过地点地省级

网信部门向国度网信部门申报数据出境安全评估：

(一)关键信息基础设施运营者向境表提供幼我信息或者沉要数据；

(二)关键信息基础设施运营者以表的数据处置者向境表提供沉要数据，或者自昔时1月1日起累计向境表提供100万人以上幼我信息(不含敏感幼我信息)或者1万人以上敏感幼我信息。

(三)国度网信部门划定的其他必要申报数据出境安全评估的情景。

第七十四条【数据出境风险自评估的发展】

企业在申报数据出境安全评估前，该当发展数据出境风险自评估，沉点评估以下事项：

(一)数据出境和境表接管方处置数据的主张、领域、方式等的合法性、正当性、必要性；

(二)出境数据的规模、领域、种类、敏感水平，数据出境可能对国度安全、公共利益、幼我或者组织合法权利带来的风险；

(三)境表接管方承诺承担的责任使命，以及推广责任使命的治理和技术措施、能力等能否保险出境数据的安全；

(四)数据出境中和出境后遭到篡改、粉碎、泄露、迷失、转移或者被犯法获取、犯法利用等的风险，幼我信息权利守护的渠路是否畅达等；

(五)与境表接管方拟订立的数据出境有关合同或者其他拥有司法效力的文件等是否充分约定了数据安全；ぴ鹑问姑；

(六)其他可能影响数据出境安全的事项。

第七十五条【必要沉新评估的情景】

通过数据出境安全评估的了局有效期为3年，自评估了局出具之日起推算。在数据出境安全评估的了局有效期内出现以下情景之一的，企业该当沉新申报评估：

(一)向境表提供数据的主张、方式、领域、种类和境表接管方处置数据的用处、方式产生变动影响出境数据安全的，或者耽搁幼我信息和沉要数据境表保留期限的；

(二)境表接管方地点国度或者地域数据安全；ふ策律例和网络安全环境产生变动以及产生其他不成抗力情景、数据处置者或者境表接管方现实节造权产生变动、数据处置者与境表接管方司法文件调换蹬装响出境数据安全的；

(三)出现影响出境数据安全的其他情景。

有效期届满，必要持续发展数据出境活动的，企业该当在有效期届满60个工作日前沉新申报评估。

第七十六条【耽搁评估了局有效期申请】

数据出境安全评估了局有效期届满，必要持续发展数据出境活动且未产生必要沉新申报数据出境安全评估情景的，数据处置者能够在有效期届满前60个工作日内通过地点地省级网信部门向国度网信部门提出耽搁评估了局有效期申请。经国度网信部门核准，能够耽搁评估了局有效期3年。

第七十七条【明确约定数据安全；ぴ鹑问姑

企业该当在与境表接管方订立的司法文件中明确约定数据安全；ぴ鹑问姑，至少蕴含以下内容：

(一)数据出境的主张、方式和数据领域，境表接管方处置数据的用处、方式等；

(二)数据在境表保留地址、期限，以及达到保留期限、实现约定主张或者司法文件终止后出境数据的处置措施；

(三)对于境表接管方将出境数据再转移给其他组织、幼我的约束性要求；

(四)境表接管方在现实节造权或者经营领域产生内容性变动，或者地点国度、地域数据安全；ふ策律例和网络安全环境产生变动以

及产生其他不成抗力情景导致难以保险数据安全时，该当采取的安全措施；

(五)违反司法文件约定的数据安全；な姑牟咕却胧⑽ピ荚鹑魏驼榻饩龇绞；

(六)出境数据遭到篡改、粉碎、泄露、迷失、转移或者被犯法获取、犯法利用等风险时，妥善发展应急措置的要求和保险幼我守护其幼我信息权利的蹊径和方式。

第七十八条【向境表提供幼我信息的前提】

企业因业务等必要，确需向中华人民共和国境表提供幼我信息的，该当具备下列前提之一：

(一)遵循《幼我信息；しā返谒氖醯幕ㄍü韧挪棵抛橹陌踩拦；

(二)依照国度网信部门的划定经专业机构进行幼我信息；と现；

(三)依照国度网信部门造订的尺度合同与境表接管方订立合同，约定双方的权势和使命；

(四)司法、行政律例或者国度网信部门划定的其他前提。

中华人民共和国缔结或者参与的国际协议、协定对向中华人民共和国境表提供幼我信息的前提蹬仔划定的，能够依照其划定执行。

企业该当采取必要措施，保险境表接管方处置幼我信息的活动达到《幼我信息；しā坊ǖ挠孜倚畔⒈；こ叨。

第七十九条【幼我数据出境场景下的奉告赞成要求】

企业向中华人民共和国境表提供幼我信息的，该当向幼我奉告境表接管方的名称或者姓名、联系方式、处置主张、处置方式、幼我信息的种类以及幼我向境表接管方行使《幼我信息；しā坊ǖ母飨钊ㄊ频姆绞胶头ㄊ降仁孪，并获得幼我的单独赞成。

第八十条【幼我信息出境场景下的幼我信息；び跋炱拦馈

企业向境表提供幼我信息的，该当事前进行幼我信息；び跋炱拦，并形成幼我信息；び跋炱拦阑惚，评估汇报和处置情况纪录至少保留三年。

评估汇报应至少蕴含以下事项：

(一)幼我信息处置者和境表接管方处置幼我信息的主张、领域、方式等的合法性、正当性、必要性；

(二)出境幼我信息的规模、领域、种类、敏感水平，幼我信息出境可能对幼我信息权利带来的风险；

(三)境表接管方承诺承担的使命，以及推广使命的治理和技术措施、能力等能否保险出境幼我信息的安全；

(四)幼我信息出境后遭到篡改、粉碎、泄露、迷失、犯法利用等的风险，幼我信息权利守护的渠路是否畅达等；

(五)境表接管方地点国度或者地域的幼我信息；ふ策和律例对尺度合同推广的影响；

(六)其他可能影响幼我信息出境安全的事项。

第八十一条【合用出境尺度合同或幼我信息；と现さ那榫啊

企业向境表提供幼我信息同时切合下列情景的，该当依法与境表接管方订立幼我信息出境尺度合同或者通过幼我信息；と现ぃ

(一)关键信息基础设施运营者以表的数据处置者；

(二)自昔时1月1日起，累计向境表提供10万人以上、不满100万人幼我信息(不含敏感幼我信息)的；

(三)自昔时1月1日起，累计向境表提供不满1万人敏感幼我信息的。

司法、行政律例或者国度网信部门还有划定的，从其划定。

企业不得采取数量拆分等伎俩，将依法该当通过出境安全评估的幼我信息通过订立尺度合同或者通过幼我信息；と现さ姆绞较蚓潮硖峁。

第八十二条【幼我信息；と现す娑ā

企业通过经专业机构进行幼我信息；と现さ姆绞较蚓潮硖峁┯孜倚畔⒌，该当切合TC260-PG-20222A《幼我信息跨境处置活动安全认证规范》、GB/T 35273《信息安全技术幼我信息安全规范》的要求。

认证证书有效期为3年。在有效期内，通过认证机构的获证后监督，维持认证证书的有效性。证书到期需一连使用的，企业该当在有效期届满前6个月内提出认证委托。

第八十三条【出境尺度合同的订立、登记】

企业通过订立尺度合同的方式向境表提供幼我信息的，该当严格依照国度网信部门造订的尺度合同订立，企业能够与境表接管方约定其他条款，但不得与尺度合同相矛盾。尺度合同生效后方可发展幼我信息出境活动。

企业该当在尺度合同生效之日起10个工作日内向地点地省级网信部门登记。

第八十四条【必要沉新登记的情景】

企业在尺度合同有效期内出现下列情景之一的，企业该当沉新发展幼我信息；び跋炱拦，补充或者沉新签定尺度合同，并推广相应登记手续：

(一)向境表提供幼我信息的主张、领域、种类、敏感水平、方式、保留地址或者境表接管方处置幼我信息的用处、方式产生变动，或者耽搁幼我信息境表保留期限的；

(二)境表接管方地点国度或者地域的幼我信息；ふ策和律例产生变动等可能影响幼我信息权利的；

(三)可能影响幼我信息权利的其他情景。

第八十五条【数据和幼我信息出境的出格划定】

企业处置数据和幼我信息，该当凭据数据和幼我信息的起源、沉要性、网络区域等身分进行分析判断，属于《推进与规范数据跨境流动划定》的以下情景之一的，可免予申报数据出境安全评估、订立幼我信息出境尺度合同、通过幼我信息；と现ぃ

(一)国际业务、跨境运输、学术合作、跨国出产造作和市场营销等活动中网络和产生的数据向境表提供，不蕴含幼我信息或者沉要数据的；

(二)在境表网络和产生的幼我信息传输至境内处置后向境表提供，处置过程中没有引入境内幼我信息或者沉要数据的；

(三)为订立、推广幼我作为一方当事人的合同，如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预约、签证办理、考试服务等，确需向境表提供幼我信息的；

(四)依照依法造订的劳动规章造度和依法签定的集体合同执行跨境人力资源治理，确需向境表提供员工幼我信息的；

(五)垂危情况下为；ぬ烊蝗说男悦】岛筒聘话踩，确需向境表提供幼我信息的；

(六)关键信息基础设施运营者以表的数据处置者自昔时1月1日起累计向境表提供不满10万人幼我信息(不含敏感幼我信息)的。

其中(三)至(六)情景所称向境表提供的幼我信息，不蕴含被有关部门、地域奉告或者公开颁布为沉要数据的幼我信息。

司法、行政律例或者国度网信部门还有划定的，从其划定。

第八十六条【遵守出口管造要求的合规使命】

国度对与守护国度安全和利益、推广国际使命有关的属于管造物项的数据依法执行出口管造，企业向境表提供涉及出口管造的数据的，该当依法向有关部门申请出口许可证；可能风险国度安全和利益的，不得向境表提供。

第八十七条【境表司法或法律机构调取数据场景下的合规使命】

非经中华人民共和国主管机关核准，企业不得向表国司法或者法律机构提供存储于中华人民共和国境内的数据。

第七章附则

第八十八条【根基概想】本指引所称的概想寓意如下：

(一)数据，是指任何以电子或者其他方式对信息的纪录；

(二)幼我信息，是指以电子或者其他方式纪录的与已鉴别或者可识此外天然人有关的各类信息，不蕴含匿名化处置后的信息；

(三)敏感幼我信息，是指一旦泄露或者犯法使用，容易导致天然人的人格尊严受到侵害或者人身、财富安全受到风险的幼我信息，蕴含生物鉴别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十周围岁未成年人的幼我信息。

(四)沉要数据，是指一旦遭到篡改、粉碎、泄露或者犯法获取、犯法利用等，可能风险国度安全、经济运杏注社会不变、公共健康和安全等的数据；

(五)国度主题数据，是指关系国度安全、国民经济命脉、沉要民生、沉大公共利益等的数据；

(六)数据处置，蕴含数据的网络、传输、存储、加工、使用、提供、公开等；

(七)数据安全，是指通过采取必要措施，确保数据处于有效；ず秃戏ɡ玫淖刺，以及具备保险持续安全状态的能力；

(八)数据合规，是指企业通过采取必要措施，确保其在日常经营活动中的数据处置行为达到幼我信息；ぁ⑼绨踩⑹莅踩确矫娴乃痉ㄒ蟮淖刺；

(九)数据合规治理，是指以预防和降低涉数据违法犯罪和数据安全风险为主张，以企业及其员工行为为治理对象，发展的一系列治理活动。

(十)自动化决策，是指通过推算机法式自动分析、评估幼我的行为习惯、兴致爱好或者经济、健康、信誉情况等，并进行决策的活动。

(十一)数据买卖场所，是指经省市当局核准成立的，组织发展数据买卖活动的买卖场所。

(十二)企业在中华人民共和国境内和境表从事如下活动属于数据出境行为：

(1)企业将在境内运营中网络和产生的数据传输至境表；

(2)企业网络和产生的数据存储在境内，境表的机构、组织或者幼我能够查问、调取、下载、导出；

(3)企业在境表处置境内天然人幼我信息，以向境内天然人提供产品或者服务；

(4)企业在境表分析、评估境内天然人的行为；

(5)司法、律例划定的认定为数据出境的其他数据处置活动。

第八十九条【指引的诠释】

本指引由岳阳市数据资源治理局、岳阳市司法局掌管诠释。

第九十条【执行日期】

本指引自颁布之日起执行。