上海首份《企业数据合规指引》发布 鼓励企业设立数据合规部

上海市首份《企业数据合规指引》（下称《指引》）日前出台。《指引》明确，应该由董事会直接设立企业合规部门，不建议由法务部门履行合规管理职能。企业最高管理者作为数据合规的第一责任人，需确保将数据合规落实情况和效果纳入企业内部人员绩效考核体系。

《指引》全文共38条，按照合规架构与风险识别处理的逻辑划分为六章，从数据合规管理体系、数据风险识别、数据风险评估与处置、数据合规运行与保障等方面引导企业加强数据合规管理。

《指引》鼓励各类企业设置专门的数据合规管理部门，且不由法务部门履行合规管理职能。企业应向数据合规管理部门负责人提供足够的授权、人力、财力来支持数据合规管理体系的运行。一般由董事会直接设立企业合规部门，下设数据合规管理部门等各类专业合规部门。

《指引》强调，数据合规管理部门应履行以下职责：制定数据合规管理整体方针策略，协调建立数据合规技术保障措施，牵头做好数据风险识别、风险评估、风险处置等工作；制定、完善数据合规计划，并推动其有效实施；审核评估企业的经营管理和业务行为，确保企业与供应商、代理商、经销商、关联企业、分支机构的业务活动，以及处理个人信息等活动符合数据法规的要求，并制定数据风险应对措施；组织或协助管理部门、业务部门等开展数据合规教育培训，并向管理层和各部门员工提供数据合规咨询；建立数据合规举报记录台账，对数据合规举报制定调查方案并开展调查；推动将数据合规责任纳入企业岗位职责和员工绩效考核评价体系，培养数据合规文化；持续关注国内和业务所涉国家（地区）数据法规的发展动态，及时提供数据合规建议。

《指引》指出，数据合规管理部门应加强与业务部门的分工协作。相关业务部门应主动进行日常数据合规管理工作，识别业务范围内的合规要求，制定并落实业务管理制度和风险防范措施，配合数据合规管理部门进行合规风险审查、评估和调查、处置、整改工作。并与其他具有合规管理职能的监督部门（如法务部门、审计部门、监察部门等）建立明确的合作和信息交流机制，加强协调配合。同时，企业应积极与数据监管部门建立沟通渠道，了解数据监管部门期望的数据合规体系，并制定符合其要求的数据合规制度；对于复杂或专业性强且存在重大数据风险的事项，可以向数据监管部门咨询；面对数据监管部门的调查，企业应积极沟通并予以配合。

此外，《指引》明确，企业在制定合规计划的时候应当全面识别所面临的数据风险，根据这些风险来制定和完善合规计划。《指引》列举了一些常见的数据风险。例如：数据处理者开展影响或者可能影响国家安全的数据处理活动，应当按照国家有关规定，申报网络安全审查；数据处理者处理个人信息，应当依据《个人信息保护法》的规定遵守八项规则，并在特定情况下删除个人信息或者进行匿名化处理等。

（穆青风）