深圳市企业数据合规指引.pdf

深圳市企业数据合规指引

深圳市人民检察院

深圳市互联网信息办公室

深圳市发展和改革委员会

深圳市司法局

深圳数据交易所

2023年9月11日

目录

第一章总则1

第二章数据合规管理组织体系建设2

第三章数据合规管理制度体系建设6

第四章数据全生命周期合规10

第一节数据收集和使用10

第二节数据存储13

第三节数据传输和提供14

第四节数据交易16

第五节数据删除和销毁18

第五章数据出境合规19

第六章附则24

附录：企业可参考的相关法律法规与标准26

第一章总则

第一条【目的和依据】为引导企业加强数据合规管理，促进企业数据合规利

用，保障企业数据安全，根据《中华人民共和国数据安全法》《中华人民共和国

个人信息保护法》《中华人民共和国网络安全法》等法律法规，制定本指引。

第二条【适用范围和效力】深圳市各类企业进行数据处理活动可参照本指引

开展数据合规管理。

本指引不具有强制性，法律、法规及有关国家、行业标准另有专门规定的，

从其规定。

第三条【涉案企业合规从宽】企业参照本指引建立并严格实施数据合规管理

制度，履行数据合规义务，积极配合监管，主动采取措施有效减轻、消除危害后

果，符合涉案企业合规适用条件的，检察机关可根据具体情况开展合规考察。

对于涉案企业合规建设经评估符合有效性标准的，检察机关可以参考评估结

论依法作出不批准逮捕、变更强制措施、不起诉的决定，或提出从宽处罚的量刑

建议；符合行政处罚法规定条件的，可以向有关主管机关提出从轻或者减轻行政

处罚等建议、意见。

第四条【数据合规指引的必要性】引导各类企业开展数据合规管理是提高企

业数据合规意识，提高数据保护水平，降低企业及其员工涉数据类违法犯罪风险

的重要举措。企业可以通过建立完善的数据合规管理体系，有效预防数据安全风

险事件。

第五条【职责明确原则】企业应当通过建立完善的数据合规管理组织体系和

制度体系，明确企业内部各部门数据安全管理职责，落实数据合规主体责任。

1

第六条【合法、正当和诚信原则】企业处理数据应当符合法律、法规和强制

性标准的规定，遵循合法、正当和诚信原则，不得从事危害国家安全、公共利益

的数据处理活动，不得非法收集、使用、加工、传输、买卖、提供、公开他人个

人信息，不得通过误导、欺诈、胁迫等方式处理个人信息。

第七条【数据质量保障原则】企业应当采取适当措施保证数据质量，并定期

对数据进行更新，避免因数据不准确、不完整、不及时产生的不利影响。

第八条【负责原则】企业应当对其数据处理活动负责，并采取必要措施保障

所处理数据的安全。

第九条【分类分级保护原则】企业应当建立数据分类分级保护制度，按照数

据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度进行分类分

级，针对不同类别级别的数据采取相应的管理和保护措施。

第十条【风险导向原则】企业应当采取必要措施对国家核心数据、重要数据、

敏感个人信息等存在较高合规风险的数据予以重点保护，加强合规管理。

第十一条【可追溯原则】企业对数据进行修改、查询、导出、删除等处理时，

应当记录相应操作，确保操作记录可追溯、可审查。

第二章数据合规管理组织体系建设

第十二条【一般要求】企业开展数据处理活动应当依照法律、法规的规定，

建立健全数据合规管理组织体系和常态化沟通协作机制，明确数据合规责任主

体，组织开展数据合规教育培训，加强人力资源考核与保障，强化数据合规意识。

2

第十三条【数据合规决策层的职责】数据合规第一负责人由企业法定代表人

或主要负责人担任，对数据合规负领导责任。数据合规第一负责人与董事会应当

承担以下职责：

（一）为企业数据合规管理制度体系的建构和运行提供必要的资源保障和条

件支持，确保