为建立深圳企业合规地方标准，为深圳企业提供标准化指引，进一步加快合规示范区建设，2022年7月7日深圳市司法局发布公开征求《企业合规管理体系（征求意见稿）》意见的通告，各有关单位和社会各界人士可以在2022年8月7日前提出相关意见。

《征求意见稿》提到：

6.3.8 网络与数据安全

6.3.8.1.1 经营者应遵守适用的法律法规。应采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，保障网络数据的完整性、保密性、可用性：

a) 在运营过程中宜开展数据识别，建立数据保护目录并及时更新；

b) 依据相关标准，对识别数据开展分级分类管理；

c) 开展风险防控，建立数据安全责任和评价考核制度，制定数据安全保护计划并开展定期安全风险评估；

d) 开展审计追溯，对数据处理全周期进行文件化记录。

6.3.8.1.2 保障信息资产的安全，加强信息数据的收集、使用、存储、共享、传输等重点环节的管控，防范信息安全事件的发生，降低突发事件对信息系统的影响，提升信息系统的高可用性：

a) 信息数据的收集：

1) 制定和公开个人信息保护政策并严格遵守；

2) 搜集个人信息，应向个人信息主体明示个人信息保护政策并获得同意；

3) 搜集不满十四岁未成年人个人信息前，应取得未成年人父母或其他监护人的单独同意；

4) 自个人信息主体以外的其他途径搜集个人信息，应知晓个人信息来源及个人信息提供者已获得个人信息处理授权同意范围，并依据相关法律法规要求履行安全保护义务。

b) 信息数据的存储：

1) 应依据重要数据和个人信息主体约定的存储期限或者个人信息主体授权同意的有效期存

储重要数据和个人信息；

2) 应根据相关法律法规规定存储个人生物特征识别信息；

3) 应按照要求采取安全措施并以合同等形式进行约定。

c) 信息数据的使用：

1) 经营者提供定向推送或信息合成服务时，应显著区分定向推送和非定向推送内容，应去标识化；

2) 经营者在开展数据加工活动时，当得知可能危害国家安全、公共安全、经济安全和社会稳定的，应立即要求停止加工活动。

d) 信息数据的传输：

1) 向接收方传输数据时，应按法律要求采取安全技术措施并进行合同约定；

2) 向境外传输重要数据和个人信息等敏感数据，应遵守相关法律法规规定。

e) 信息数据的共享：共享、转让重要数据，应明确双方的数据安全保护责任和义务，并采取加密、去标识化和匿名化等安全技术措施。

f) 投诉、举报受理处置：应建立投诉、举报受理处置制度，并对查实的投诉举报依法采取停止传输等处理措施。

g) 事件应急处置：应建立事件应急处置机制，宜对数据安全事件分级，配备应急响应所需的资源以确保应急响应机制有效实施

6.3.9 个人信息保护

6.3.9.1 经营者应严格遵守有关法律法规和规章，按照权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与的原则，制定个人信息保护合规方案，建立和实施技术控制、实施控制、监控控制，保证个人信息的收集、存储、处理、报告中的数据安全及合规。

6.3.9.2 经营者应针对个人信息最小化管理，应遵循数据搜集最小化、权限控制最小化、存储时间最小化原则。

6.3.9.3 经营者应制定并执行个人信息安全应急处理机制，在发生或可能发生个人信息泄露、篡改、丢失时，应立即采取补救措施，并通知履行个人信息保护职责的部门和个人。

6.3.9.4 经营者应采取数据加密、去标识化和匿名化等安全技术措施保障个人信息安全。

以下为《征求意见稿》全文：

来源：深圳市司法局

END