企業(yè)數據合規(guī)全流程指導資料

企業(yè)數據合規(guī)法律服務產品

2020年01（簡）版

【內部學習資料，請勿外傳】

一、企業(yè)數據合規(guī)法律服務內容及流程管理

二、APP違規(guī)收集個人信息之盡職調查清單

三、APP收集個人信息之合規(guī)整改建議

四、收集使用個人信息專項檢查評估表（示例）

五、數據供應商之盡職調查清單

六、企業(yè)上市過程中與數據合規(guī)相關的常見反饋問題

七、數據分類分級規(guī)范（示例）

八、埋點-事件表預置屬性（用戶行為信息收集示例）

九、埋點-用戶表預置屬性（用戶行為信息收集示例）

十、個人信息收集相關的手機權限列表（示例）

十一、第三方共享個人信息情形的合規(guī)審查（示例）

十二、個人信息判定標準（示例）

十三、個人敏感信息判定標準（示例）

十四、數據合規(guī)相關內部制度辦法（示例）

一、企業(yè)數據合規(guī)法律服務內容及流程管理

斯業(yè)務/產品立及

數據合熄內部體系將座

外部鼓撮服務合作

就據有產收界■的

數據合規(guī)需求對接數據跨境評估

上市時臺規(guī)整改

行政監(jiān)管林詞

刑事風險防范等

繪制敝據海全生命周期

ill熾架構及部門設JL

規(guī)章制度及治理規(guī)剜

律師進場盡職調查有所許可及乜三方認i￡

技術林泡應期情況/第一階

軟硬件使用情況

外部數據業(yè)務合作情況

合規(guī)姓風險

政策H風險

平臺規(guī)剜住風險

外部合作風險

刑事法律風險

單部門會議

吟部門會議

敕據合煌青任人設JL

數據合燃治理專H會議

或議原則：

基于具體的業(yè)務場景.煉

合考量商業(yè)利益與合規(guī)成

本.對可覆期的法律風險

進行動為拽制與防篦.

聚:據流全生命周期審查

合規(guī)負貴人定期審查機制

規(guī)章制度及治理規(guī)則制定

外部做報業(yè)善合偉基■謫

第三方定期審色評估

法律法規(guī)臭史斯

政策文件矣史新

技術標也矣更新

敷徐指導塞+好

平臺蠅則具更新

高管合規(guī)管理培調

員工合規(guī)*識培調

dAWW6

"■-Mrtan.

恕華M3

數據合規(guī)法律服務內容，主要分為"定政策"、"設組織"、"融流程"

以及“降風險"，主動融入企業(yè)數據合規(guī)的流程管理及風險把控。

定政策:在數據安全相關的法律法律、政策文件、行業(yè)標準等的基礎上，

制定內部管理規(guī)定、設計管理流程、規(guī)范技術標準、起草技術指引，形

成全套的文件體系。

設組織:調動多部門協(xié)作，落實安全項目管理、安全運營管理、合規(guī)與

風險管理的相關負責人以及內部決策機制，明確相關負責人的職責。

融流程：將數據安全管理融入具體可執(zhí)行的管理流程里，將風險控制、

合規(guī)控制以及績效控制相結合，注重事前合規(guī)與事中合規(guī)，對可預期的

風險進行動態(tài)控制與防范。

降風險：設置相應風險等級預警機制，定期進行風險評估并內部優(yōu)化，

提升員工的風險意識教育以及外部風險承受能力。

具體流程示例

-設組織-融流程-降風險數據安全四層文件體系

數據安全政髓總綱

修理燃定技術標》/段趨

備

運

人

產

怫N

營

員

安

漏

獎

安

安

安

風

法

品

與

洞

事

安

全

全

全

全

除S

恢//

定

件

全

諛

開

運

配

置V

揚

復

口

級

管

計

發(fā)

理?■

議

令

管

!!tl標

理n

理

就

??K現

怵

3標l

準

賤

懣

定

定??

派

準g

ffi

定

tt定

定

詈理類流程/指南技術實指引

R鹿分級指南6t據分級指南

風總評估與處置搭審風膾評估與處置指南

安全事件總息晌應盅程安全事件應急■應源程

交付件模版

0靠分fit分類模質安全自依模版

夕謝。時中抄修

?????，?????＜；????

（-定政策-）

定政策--M流程-降風險數據安至餐理

RMKfBiSMIliS

isi8B4StfilkUi9■g3

Aia/*is.s

支加條加?收

nrouPF

M.?1

；?WM

(an/uii/SKV)

安全開發(fā)生?周**理（SOU

am/R*

V?,SKfi

mmMtC

應2!?富與事件??

夕畬f礙

J”2?.3(，C?M433.

（-設組織-）

定政策-設組織--降風險

風險控制模型全景圖

風險控制

控

戰(zhàn)略規(guī)劃制

矩合規(guī)控制

目標設定陣

績效控制

技能/潛力/誠信

?33，*??a?

定政策-設組織-融流程-1風險一、二、三道防線的祖統(tǒng)體系設計與任

問責記錄、對政策文件的評審記錄'修訂

組織與政策命文件、問貴制度；相對先11的政策文

記錄、審計記錄

件體系，流程

隱私聲明/通知的管理規(guī)定、模版、樓查

航私聲明我；對自檢進行■化.段一展示得分

檢套表自樓我

充分保潼敗據主體的選擇權，■要選項

均需要用戶主的勾選，不執(zhí)行一展子式敷掘主體的冏意，■化管理,可視化或可

選擇/同意

同意；記錄用戶對構私聲明的誨個版本查詢

的同意情況

數媚分皴的政策文件；

數據目錄/分級依據統(tǒng)計與可視化管理

敷據目錄及依更的分鍛分類標識

依據流轉的管理規(guī)定；

流轉審核記錄；

如涉及供應育，具備足取調查記錄、K

鼓摳流轉敗提記錄疑計與可視化管理

據史理協(xié)議（OPA）筌■記錄；如涉及腎

境,具備依據傳*協(xié)議（OTA）的釜■記

錄

設計規(guī)范,⑥查表自檢飴果度■（得分）

隱私設計

檢查賽自檢記錄統(tǒng)計與分析

敷■度■（分類型統(tǒng)計，如銷戶,更正等;

管理冊定、處理流程；

敗據主體請求分業(yè)務線計，各業(yè)務請求敷據）.

處理記錄

二度?（及時完成率等）

風險管理規(guī)定'評估方法、定級標準；自檢結果度■（得分）

風險評估

評估記錄疑計與分析

管理我定（從業(yè)人員資質要求、培訓要

意識教育求）培訓/考試敷據?化與我計分析

培訓/考武記錄

事件管理普理規(guī)定、■件處理流程,處理記錄城計與分析?，一安十〉切

,”!1>1.1,>>??>3T

?

（-降風險-）

定政策-設組織-融流程-數據安全治理能力成熟度橫贊

安全故。安全組跳安全政策

（技術支灣）（靖效運■）（合規(guī)/風險管理）

■于認證/我評、審計，對

具備實際的管理網費（發(fā)?4于認證/需評/審計的

如下黑破設嶂、源粗系統(tǒng)、