ku酷游官网-ku酷游网络股份有限公司

全国服务热线:010-80480367
安全资讯
当前位置: 首页 > 安全资讯
数据合规体系架构
添加时间:2026-07-04
  

  

数据合规体系架构(图1)

  数据合规是个大命题,随着《中华人民共和国网络安全法》(下称“《网络安全法》”)正式生效并逐步深入落实,企业的网络安全及数据保护合规状态成为监管机关的重点关注内容。

  除上述已列明的内容外,公安部于2019年发布的《互联网个人信息安全保护指南》、全国信息安全标准化技术委员会秘书处于2020年7月与9月发布的《网络安全标准实践指南》亦是实践中常被提及和参考的一些文件。

  从上述主要的法规、监管政策发布实施时间来看,自2019年起,数据合规逐渐进入到强监管的时代,上述文件共同构筑了当下数据合规的监管框架。

  实践中谈到数据合规会产生一个误解,认为数据合规就是保护个人信息,保护个人信息就是保护个人隐私,保护个人隐私就是写一份长长的隐私政策。现行法律规定对于数据、个人信息及隐私信息明确如下:

  从上述法律规定中抽离数据、个人信息/数据、隐私的概念之后,我们可以看到三者之间存在着包含和被包含的关系。

  实践中第二个常见的误区,认为数据合规等同于个人信息处理合规。我们理解“数据合规”分出两个概念“数据”与“合规”,产生前述误区的原因,一方面系因对数据和个人信息范围的理解错误,另一方面系因对合规所包含的行为内容理解比较片面。

  现行《中华人民共和国数据安全法》(下称“《数据安全法》”)《中华人民共和国个人信息保护法》(下称“《个人信息保护法》”)均从数据安全与数据处理两个方面分别作出规定,具体见下表。其中,数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力;数据处理,是数据“从生到死”全流程的各个阶段,包括数据的收集、存储、使用、加工、传输、提供、公开及删除等。数据安全与数据处理相互作用,才可构建起完整的数据合规。

  基于当前主要的监管重点、案例焦点以及数据安全方面的内部性,实践大多聚焦于数据处理的合规层面,尤其是数据中的个人数据处理。

  基于上述数据合规领域的主要法规、政策、标准,我们初步梳理了数据合规的基本架构和概念,并且提到一类重要数据——个人信息。因目前数据监管的重点即个人信息,故下文将以个人信息为例,探讨个人信息处理全流程中的合规问题,阐明个人信息从“出生”到“死亡”的整个过程中应当关注的合规要点。1.个人信息生命周期——《中华人民共和国民法典》(下称“《民法典》”)、《数据安全法》及《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释〔2021〕15号)对数据/个人信息处理的具体内容规定高度一致,即包含了“收集、存储、使用、加工、传输、提供、公开”几个阶段,《个人信息保护法》最终稿则在上述几个阶段之外单独增加了“删除”一项,将删除列为一个独立的处理阶段。上述个人信息处理的8个阶段,涵盖了个人信息从“出生”到“死亡”的全过程,我们也称之为个人信息的生命周期。

  2.数据处理核心原则——在整个数据处理活动中,数据处理者都需要遵循一定的原则,在原则的基础之上就各个阶段还应遵守特别的规定。各阶段应当遵守原则,《民法典》第一千零三十五条、《网络安全法》第四十一条、《数据安全法》三十二条可概括为合法、正当、必要,这也是广为流传和接受的数据保护三原则。

  收集是数据处理的源头,易产生风险。个人信息收集是指获得个人信息控制权的行为,对于个人信息收集的要求均涉及合法性、最小必要、公开透明及一般情况下的授权同意等原则。就该阶段:

  1)确保合法性,常见违规表现则是以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺骗、掩饰收集使用个人信息的线)

  。常见违规操作包括:①收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;②因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;③仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;④要求用户一次性同意打开多个可收集个人信息的权限,不同意则无法使用等。——值得一提的是《常见类型移动互联网应用程序必要个人信息范围规定》对常见APP类型、对应的APP基本功能和必要个人信息范围作出列举,用以向社会示例如何理解实现功能所必需的个人信息内容。但有人会忽略了信息与功能目的的强关联性和匹配性,从而误解为只能收集该规定列举的信息。

  。常见的违规操作包括:在APP中没有隐私政策、隐私政策难以访问(点击超过4次)、难以阅读(文字过小、过密、颜色过淡)、未逐一列出APP收集使用个人信息的目的、方式、范围等。4)

  。常见违规操作包括:未提示用户阅读隐私政策、默认勾选同意、征得用户同意前开始收集个人信息或打开可收集个人信息的权限、用户明确表示不同意后,仍收集个人信息或打开收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用、实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围等。

  个人信息的使用是指个人信息收集之后,根据收集目的进行的分析、处理。现行规定中对使用的限制归结为四类:

  、目的限制、用户画像限制、自动化决策的限制限制。相较而言,《个人信息保护法》和《特区条例》重点提出了自动化决策不得对个人在交易价格等交易条件上实行不合理的差别待遇的规定。

  虽然加工和传输作为数据处理的独立阶段出现在各法规和政策之中,但该两部分的内容几乎是空白的。

  。而数据传输,与数据加工类似,我们理解是数据在不同主体或者同一主体的不同部门之间进行传递的一个过程,就这个过程,更多的是技术层面和制度层面的保障,以确保传输过程的安全。

  、共享、转让、跨境提供等。《个人信息保护法》《个人信息安全规范》中均规定了上述几种提供方式下的关键要点,也与企业的业务经营活动息息相关,甚至直接影响到企业商业合同条款的拟定。

  数据处理合规,因这部分内容更贴近用户,与广大消费者的生活直接相关,所以在备受关注的同时也往往会被误解为数据合规的全部。而数据合规的另一部分——

  也非常重要,它更多体现在国家/企业制度层面和技术层面,是数据处理合规的前提和基础。

  对《网络安全法》《数据安全法》《个人信息保护法》相关规定的制度和技术要求进行简化,共性汇总和特性分离后,统计如下:

  基于对上述规定进行共性汇总和特性分离后,可以看出四部法律既规定了一些共同的制度,也规定了针对特殊数据类型或者特定信息处理者的特殊制度,可以说这些制度共同构筑起数据合规领域的基本制度架构。

  数据安全管理和信息保护制度是企业数据安全合规制度的总称,其他各项制度是其具体内容,一般来讲,我们认为应当从

  《数据安全法》主要从国家层面确立了数据分类分级保护制度,同时提出各地区、各部门要制定

  。而《个人信息保护法》直接规定了个人信息处理者应对个人信息实行分类管理。当前来看,虽然相关概念尚不明确,但部分企业基于管理的需要,已经建立了针对自身企业的数据分类分级管理制度。尤其是个人信息处理者,通常将

  建立数据安全应急预案制度首先要求企业制定数据安全事件应急预案,预案的核心是在发生数据泄露事件时,企业需根据

  ,制定处理方案,并决定是否向个人信息主体进行告知及是否向监管部门进行报告。应急预案还应当包括一整套对外的文件,用于通知监督机构和受影响的个人以及通知媒体。以下为应急预案调查环节的部分内容:◎ 泄露的数据是什么

  此外,数据安全制度还包括数据安全应急预案制度以及风险评估制度等内容,此处不再赘述。

  北京时间7月4日,世界杯淘汰赛阿根廷对阵佛得角的比赛正在进行中。上半场凭借梅西的破门,阿根廷1比0领先。下半场比赛阿根廷有所松懈,在比赛第60分钟杜阿尔特右脚破门,1比1扳平比分!随后阿根廷决定换人,阿尔瓦雷斯和冈萨雷斯换上,阿尔马达和劳塔罗换下。

  中国船员在被韩国海警扣押期间死亡,留下家中4个孩子,家属质疑延误黄金救援时间,船员表示曾6次提醒救人

  5月8日晚,一艘载有10名船员的中国渔船,在出海打鱼时,因越界捕捞,遭遇韩国海警扣押。期间,中国籍船员秦帅克被转移到韩方军舰上后死亡。据其同船船友称,其在被扣押前喝了大量白酒,韩方出具的死因报告为“急性酒精中毒”。

  警方通报“15岁少年在家中和同学饮酒后死亡”:认定系一氧化碳中毒死亡,排除刑事案件

  经查,2026年6月20日14时许,群众方某报警称:其子在位于淮南市田家庵区某小区内的家中死亡,屋内有烟雾。

  • 记者7月3日从教育部获悉,《关于做好2026年中小学、幼儿园暑期安全工作的通知》于近日印发,要求各地各校不得以“夏令营”“研学”等名义变相组织考试或测试。

  中央气象台发布暴雨、强对流、台风预警:今早到明天,广西、广东、云南、湖北、湖南、安徽、江苏、辽宁、吉林等地有暴雨,局地雷暴大风

  中央气象台7月4日06时继续发布暴雨橙色预警:预计,7月4日08时至5日08时,广西南部、广东西部、海南岛西部、云南西部和东部、湖北东部、湖南北部、安徽南部、江苏南部以及辽宁北部、吉林中东部、黑龙江南部等地部分地区有暴雨,其中,湖北东部、安徽南部、江苏南部、广西南部、海南岛西部等

  世界杯早参丨梅西再进球,阿根廷半场1比0 埃及点球淘汰澳大利亚,亚足联球队遭团灭 克洛普确认准备执教德国队

  北京时间7月4日上午,2026年美加墨世界杯1/16决赛,阿根廷队迎战佛得角队。上半场梅西破门+屡次打门造险,半场结束,阿根廷队1比0领先佛得角队。

  有“御用恶女”之称的前TVB女演员梁珊于7月1日离世,享年81岁。其儿子Alex对外确认了该消息。Alex表示:“我们最敬爱的珊姐已于昨日(7月1日)与世长辞。十分感谢昨晚各位亲友的慰问与关心。关于珊姐身后事的详细安排,我们之后会再一一告知大家。

  新华社美国迈阿密7月3日电 3日,阿根廷队与佛得角队的美加墨世界杯1/16决赛进行到第59分钟,佛得角球员德罗伊·杜阿尔特近距离破门,为佛得角队将比分扳为1:1。这是佛得角队在世界杯淘汰赛的首粒进球。

  海量财经|167亿“连坐保证书”:盈峰环境把近乎全部家底押给三家子公司

  海报新闻记者 沈童 报道一家上市公司,给三家子公司担保了30亿元,这笔钱,比其中一家子公司全年营收的13倍还多。

  1岁半男童被生父女友踢死案新进展:生父称愿撤销谅解后疑失联;男童生母发声:他(男童生父)说谎太多,没到真正撤销那一刻我都不会相信

  近日,广东一名年仅一岁半的男童珩珩被生父女友脚踢致死一事,持续引发广大网友的关注。7月2日晚,被害男童生母谢女士告诉记者,在孩子生父之前同意撤销出具的谅解书后,迟迟没有下文,“现在孩子的生父不接电话也不回信息。”据此前报道,孩子生父回应称愿意配合“撤销谅解”。

  CIO(首席信息官)必备号 CIO知识平台 CIO交流平台 企业IT人员知识平台(信息化资讯 活动 招聘信息 文档分享 IT应用实践 IT选型 IT实施 分享)

010-80480367
手机:
13968960023
邮箱:
kuyou@chaoshuntong.com
电话:
010-80480367
地址:
北京市怀柔区琉璃庙镇老公营村293号-20室