《网数条例》即将实施,企业该如何调整内部数据合规制度?

文摘   2024-11-07 00:00   上海  
探寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。
点击  "合规社"  > 点击右上角“···” > 设为星标⭐
自2024年9月24日《网络数据安全管理条例》(以下简称“《网数条例》”)发布以来,期间很多公司的法务合规小伙伴来咨询,其中讨论最多的话题之一是:
 
网数条例将于明年1月1日始实施,对企业而言,数据安全、个人信息保护相关制度是否需要重新制现有的制度需要进行哪些调整?



小K关注到许多企业非常重视本公司数据合规制度的建设。小K也了解到诸多企业在此之前,已经依据《网络安全法》《数据安全法》《个人信息保护法》,特别是后两部法律,制定了本企业内部的一套数据合规制度。
以小K协助企业制定的数据合规制度为例,主要包括以下制度(制度名称与实际存在稍许差异,此处仅做示例使用,不代表具体企业的实际情况):

随着《网数条例》的出台,并且即将实施,小K认为前述个人信息保护、数据安全相关内部管理制度应结合企业实际,视情况进行相应修订更新。小K通过对比《网数条例》与三部法律的有关规定,根据不同类别的合规义务,将制度主题进行划分,具体如下:

01

建议更新点1


《数据安全管理规定》中,可考虑修订增加《网数条例》第九条规定的相关内容。

02

建议更新点2


《数据分类分级保护制度》中,可根据企业实际情况考虑增加有关重要数据识别与重点保护的管理要求。
03

建议更新点3


《网络与数据安全事件预案与应急响应制度》中,可考虑修订增加《网数条例》第十条、第十一条规定的有关内容。
04

建议更新点4


《用户个人信息行权操作规范》中,可考虑修订增加《网数条例》第二十三、二十五条规定的有关内容。
在人员安全培训、个保影响评估、个保合规审计等相关制度主题方面,小K未发现《网数条例》新增相关合规要求,因此原先企业制定的制度可沿用。

合规制度的建立与健全是个持续不断的过程。除了关注法律法规等有关规定外,合规人员还需结合自身企业的实际,对企业内部处理数据的情况进行综合分析后,设计并制定适合企业的一套合规管理制度体系。

  本文作者 

律所小K
一家位于上海的律师事务所 资深顾问
知识产权本科,中国政法大学经济法硕士,曾担任上市互联网企业资深法务顾问,头部互联网潮流电商平台合规负责人,金融科技集团、某出行互联网企业法务负责人。
业务领域:企业合规制度体系搭建,互联网产品及业务模式合规,知识产权,网络与数据合规,监管应对,跨境业务数据合规,算法/AIGC等前沿创新业务法律合规。

职业资格:中国注册个人信息保护专业证书CISP-PIP),网络安全审查技术与认证中心数据合规官(CCRC-DCO),工信部个人信息保护工程师(PIPE),上海市通信管理局数据安全工程师;EXIN数据保护官(DPO),IAPP注册信息隐私管理专家(CIPM);同时,是中国信通院数据安全共同体计划在库专家。参与多项信息、数据安全国家标准的研讨与起草工作,包括:《数据安全技术 敏感个人信息处理安全要求》《信息安全技术 大型互联网企业内设个人信息保护监督机构要求》《信息安全技术 基于个人请求的个人信息转移要求》《电信网和互联网未成年人网络保护要求》 《电信网和互联网企业数据安全体系建设指南》等。

扫码可添加作者微信~

合规社
数据安全与隐私保护新知分享平台
 最新文章