《苏州企业数据合规管理指引》

第一章 总则

第一条  为提升数据资源开发利用水平，促进数据高效流通，规范数据处理活动，保障数据安全合规，引导企业合规有序开展数据交易，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《苏州市数据条例》等法律法规，并结合苏州大数据交易所数据交易实际情况，制定本指引。

第二条  苏州市各类企业进行数据处理活动可参照本指引开展数据合规管理。本指引作为苏州大数据交易所针对进场交易企业合规审查标准的组成部分。

本指引不具有强制性，法律、法规及有关国家、行业标准另有专门规定的，从其规定。

第三条 企业应当通过建立完善的数据合规管理组织体系和制度体系，明确企业内部数据安全管理职责，落实数据合规主体责任。

第四条  企业处理数据应当符合法律、法规和强制性标准的规定，遵循合法、正当和诚信原则，不得从事危害国家安全、公共利益的数据处理活动，不得非法收集、使用、加工、传输、买卖、提供、公开他人个人信息，不得通过误导、欺诈、胁迫等方式处理个人信息。

第二章 数据合规管理组织体系建设

第五条 企业应当根据自身数据量及数据应用场景等特征，考量数据泄露、数据不合规使用等情形可能给数据主体造成的损害，搭建企业内部的组织架构，采取必要的保障措施，以符合数据保护的要求。

第六条 企业应当明确法定代表人或主要负责人对数据安全负全面领导责任，包括为数据安全工作提供人力、财力、物力保障等，确保将数据合规管理要求融入企业的业务过程。

第七条 企业应当明确数据合规负责人和数据合规工作机构，数据合规负责人参与有关数据处理活动的重要决策。

第八条  对于法律、法规有特别规定的，企业还应当设立专职的个人信息保护负责人和个人信息保护工作机构，负责个人信息安全工作。

第三章 数据合规管理制度体系建设

第九条 为降低数据流通风险，企业应当积极履行数据安全保护义务，建立健全数据全生命周期安全管理制度，针对不同类型和级别数据，实施数据收集、存储、使用、加工、传输、提供、公开、销毁等环节的保护与管理，保障数据的保密性、完整性、可用性和合规性。

第十条  企业应当根据自身业务内容定期对企业数据资产进行全面梳理，并结合所属行业、地区的相关标准，对数据进行分类分级，形成数据分类分级清单。对无明确分类分级标准的数据，可根据数据的重要程度、对国家安全公共利益或者个人、组织合法权益可能造成的危害程度等因素，按照就高从严原则进行分类分级。

第十一条  企业应当结合相关法律、法规和主管部门、所属行业重要数据具体目录等标准规范，识别和确定自身业务活动中涉及的重要数据与核心数据，形成数据清单。

企业应当对重要数据与核心数据实施更加严格的合规管理制度，明确重要数据、核心数据的管理职责、操作规范、审批要求、备案机制等事项，建立重要数据和核心数据的日常记录和容灾备份机制，强化重要数据与核心数据的安全保障。重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

第十二条  企业应当根据数据分类分级情况，采取适当的匿名化、备份、加密、访问控制、入侵防范等数据安全保护措施，加强对数据处理系统、数据传输网络、数据存储环境、数据访问接口等物理和网络环境的安全防护，将数据安全技术保护覆盖数据处理的全过程。

第十三条 企业应当按照最小授权原则合理确定数据访问与操作权限，仅在完成职责所需的范围内授予特定人员最小必要的数据操作权限，并采取技术措施，避免出现越权访问、下载、复制、修改数据等行为。

针对重要数据和核心数据，企业应当通过设置严格的数据处理权限、配备风险阻断机制、明确安全审计流程、落实访问和操作留痕等方式，实现权限最小化管控。

第十四条 企业应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。

第十五条   企业应当建立针对数据不合规行为的监测机制，及时发现日常数据处理活动中的不合规行为，采取相应的处置和惩戒措施，并对类似问题进行定期排查。发生可能对企业带来重大数据合规风险的违规行为时，应当及时向数据合规负责人汇报，并确定相应的解决方案。

第十六条  企业应当制定数据安全应急预案，按照危害程度、影响范围等因素对数据安全事件进行分级，并结合分级情况确定应急处置的方针策略、人员职责、具体措施、流程规范、物资保障等事项。

第四章  数据交易合规

第十七条   数据交易是指以数据产品作为交易标的，以货币或货币等价物交换数据产品的行为。

数据产品是指经实质性加工或创新性劳动形成的，可满足用户需要的数据集、数据服务及数据应用。

第十八条  开展数据交易的企业应当建立针对数据来源的合规审查机制，审核交易方的身份，并留存审查、交易记录，确保数据获取手段合法合规、数据来源链路清晰，并经过所涉主体明确授权同意,不存在侵犯国家、公共利益或其他组织、个人合法权益的情况。

第十九条   开展数据交易的企业应当建立针对数据产品的合规审查机制，有下列情形之一的，不得交易:

(一)危害国家安全、公共利益，侵害个人隐私、个人信息，侵犯他人合法权益的;

(二)未经合法权利人授权同意的;

(三)法律、法规规定禁止交易的其他情形。

第二十条  数据交易双方应当签署数据交易协议，确保协议内容合法合规，不侵犯他人合法权益，并应当至少包含以下条款:交易数据的用途、使用范围、交付方式、使用期限、安全义务、交易价格、保密约定、争议解决等。

第四章 数据出境合规

第二十一条   企业向境外提供数据的，应当遵守法律、法规的规定，履行数据安全保护义务，采取技术措施和其他必要措施，保障数据出境安全。发生或者可能发生数据安全事件的，应当采取补救措施，及时向省级以上网信部门和其他有关主管部门报告。

第二十二条   企业向境外提供数据，符合下列条件之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:

(一)企业作为关键信息基础设施运营者向境外提供个人信息或者重要数据;

(二)企业作为非关键信息基础设施运营者向境外提供重要数据，或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。

法律、法规和国家网信部门另有规定的，从其规定。

第二十三条   企业作为非关键信息基础设施运营者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的，应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。

法律、法规和国家网信部门规定另有规定的，从其规定。

第二十四条   国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制，企业向境外提供涉及出口管制的数据的，应当依法向有关部门申请出口许可证;可能危害国家安全和利益的，不得向境外提供。

第二十五条   非经中华人民共和国主管机关批准，企业不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

第五章 合规指引机制

第二十六条   苏州大数据交易所联合苏州互联网法庭、苏州数据资源法庭共同设立苏州数据安全合规工作站(以下简称合规工作站)，可以为企业开展数据安全合规管理体系建设、数据产品研发以及数据交易流通等数据处理活动提供安全合规指引。

第二十七条   合规工作站组建专家委员会，为企业数据合规管理、应用场景合规论证、数据交易流通等事项提供专业指导意见。

第二十八条   合规工作站成立工作专班，收集企业数据合规管理相关法律需求，组织开展专项研讨活动，联合专家开展数据合规风险防范指导，为企业在苏州大数据交易所规范有序进行数据交易提供服务。

第七章附则

第二十九条 本指引根据法律、法规等变化进行更新修订。

第三十条   本指引自发布之日起施行。