数据合规组织建设
输入“/”快速插入内容
数据合规组织建设
数据合规组织建设
飞书用户9832024年6月20日修改
😁
记录关于数据合规组织架构建设的笔记
重要性
一个组织内开展数据合规治理的第一步就是构建相应的组织框架
法律要求
法律要求:法律明确规定了数据合规组织架构搭建的要求,体现在了个保法52、53条,数安法27条,网安法34条,关基条例16条等规定。海外GDPR等法律也有类似的规定。除了法律规定,合理有效的数据合规组织架构也是数据合规管理的自身要求。
•
个人信息保护法
◦
第五十二条
▪
处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
▪
个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
◦
第五十三条
▪
本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
•
数据安全法
◦
第二十七条
▪
开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
▪
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
•
网络安全法
◦
第三十四条
▪
除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
▪
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
•
关键信息基础设施安全保护条例
◦
第十六条
▪
运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。
合理有效的组织架构特点
•
在集团层面,一般会有统一的虚拟组织统筹集团整体数据合规工作,由几个实际部门统筹协调开展集团的数据合规工作
•
高层与基层的信息沟通应该是顺畅的,所有相关部门都能参与其中
•
与原有的合规组织架构是接洽的,一般情况下不宜与原组织架构差距过大
•
每个部门成员应各司其职且职责清晰,合规部门作为赋能统筹协调部门,其他业务职能部门负责自身领域的数据合规工作。
•
各业务职能部门可设置相应的数据合规对接人。如果集团规模较大,可以设置各BG/BU的数据合规BP
•
有稳定的运行和考核机制。
三种组织类型
数据组织架构通常可分为三种类型:集中、分散和混合。
•
集中式:
◦
在这种模型中,规划和决策通常由一个数据合规团队进行,在规模不是太大的组织中较为适用
•
分散式:
◦
分散式架构将决策权下放至组织的较低层级,控制范围广,高层领导将大部分决策权下放至组织的低层级,促进了组织的扁平化。
•
混合式:
◦
混合式架构兼具集中和分散式管理的优点。通常,一个核心团队或部门负责制定政策和指导,并向其他部门发布。然后,这些政策和指导由各地区或本地实体实施和支持。这种模型既允许组织在全球范围内运作,又保持了统一的使命和目标。
举例
图源:中兴合规白皮书
图中所示数据合规组织架构包含在整体的合规组织架构中,合规管理委员会进行决策,数据保护合规部统筹和赋能各BU,各BU有自己的数据合规团队,其负责人作为数据合规第一责任人,定期开展例会以及考核。
画板
某跨国通讯集团数据合规组织
画板
某互联网金融公司数据合规组织