数据合规为什么重要?
中国已建立了以《个人信息保护法》《数据安全法》《网络安全法》为核心的"三法联动"数据治理体系。违法处理数据可能面临最高5000万元或上一年度营业额5%的罚款,甚至刑事责任。数据合规已从"加分项"变为"必答题"。
个人信息保护合规要点
《个人信息保护法》要求个人信息处理者:
- 告知同意:以显著方式、清晰易懂的语言告知并取得同意
- 最小必要:仅收集与处理目的直接相关的个人信息
- 安全保障:采取技术措施和管理措施保障信息安全
- 权利保障:保障个人的查阅权、更正权、删除权、撤回同意权
- 影响评估:处理敏感个人信息前进行个人信息保护影响评估
- 数据本地化:关键信息基础设施运营者的个人信息应境内存储
数据跨境传输合规
向境外提供个人信息的,应通过以下途径之一:
- 国家网信部门组织的安全评估
- 专业机构进行个人信息保护认证
- 签订标准合同(与境外接收方)
网络安全等级保护
网络安全等级保护(等保2.0)是企业的法定义务。信息系统按重要性分为五个等级,不同等级要求不同的安全保护措施。不履行等保义务的,可处1-10万元罚款;造成危害后果的,处10-100万元罚款。
APP与小程序合规
移动互联网应用程序(APP)和小程序的常见违规情形:强制授权、过度索权、超范围收集个人信息、未经同意推送个性化广告。工信部、网信办持续开展APP整治行动。违规APP面临通报、下架、罚款等处罚。
数据合规FAQ
Q:企业必须设置数据保护官吗?
A:处理大量个人信息的企业(如互联网平台、金融机构、大型企业)应指定数据保护负责人(DPO)。中小企业虽无强制要求,但建议设立数据合规岗位。
Q:数据泄露后企业要承担什么责任?
A:数据泄露后应在72小时内通知用户和监管机构。可能面临行政处罚、民事赔偿甚至刑事责任。企业需证明已采取必要安全措施才能减免责任。
Q:个保法对中小企业有哪些豁免?
A:处理个人信息不足100万人的中小企业,在部分合规义务上有简化安排。但基本合规要求(告知同意、安全保障等)不因规模而豁免。
Q:数据合规怎么做?从哪开始?
A:①数据资产盘点 ②合规差距分析 ③制度体系建设 ④技术措施落实 ⑤员工培训。建议先做合规审计。咨询李茂淑主任18664921865。
Q:数据出境合规怎么办理?
A:首先判断是否属于需要申报安全评估的情形(重要数据/关键信息基础设施/100万人以上个人信息)。如需评估,准备评估报告、法律文件等材料提交网信办。整个过程2-6个月。