第四章  网络安全与数据合规管理



              环管控的同时，还要积极复盘与总结，设立有效的绩效评价体系。
                  3. 管理机构、人员及技术的专业性
                  只有保障数据安全合规标准的可操作性，才能真正有效保护数据安全。数据
              处理者的管理机构、人员及技术的专业性直接决定了数据安全合规措施的可操作

              性，因此管理机构、人员及技术的专业性是数据安全合规标准建设的关键要素。
              数据安全合规作为核心合规领域，涉及数据风险识别管控、合规监管评估以及合
              规体系培训等多方面内容，同时也包括企业、用户、第三方监管机构等多方法律
              关系主体。所以，必须设立专门的监管部门，配备充足且专业的法律管理人员组

              成数据安全合规审查组织，并且使用专业的数据处理技术实现对数据安全的全方
              位管控，提升数据合规的专业化和智能化水平。
                  数据安全合规标准应当明确包括数据安全合规部门和数据合规审查委员会两
              个基础组织在内的专门数据监管机构的职责。其中，数据安全合规部门是专业审

              查数据安全风险、制作系统的员工培训手册、及时跟踪数据安全监管情况、做好
              相关风险预警与管控的专业部门；数据合规审查委员会的组成人员应具备过硬的
              专业技能、丰富的实践经验以及良好的沟通谈判能力，自上而下地对数据合规运
              行情况、合规风险管控以及发生的违规情况进行记录和反馈。除此之外，还需要

              聘用专业的数据技术人员防范网络病毒攻击和数据泄漏，并且实时监测网络运行
              状态和对数据的管理情况。
                  4. 对违法行为的及时查处
                  数据安全合规标准应当明确及时查处违法行为的基本要素。当数据遭到人为

              篡改、泄漏、毁损以及因非人为的系统漏洞等毁损灭失时，应尽快调查违法人员，
              修补技术漏洞，必要时还应采取停止服务、消除对用户带来的影响、赔礼道歉等
              补救措施。因个人失误或不可抗力导致数据安全危机的，相关人员应积极主动配
              合调查，履行披露和报告义务。数据处理者在处理违法行为时，不得怠于处理或

              者隐藏毁灭证据，应有效落实企业的算法安全主体责任，最大限度避免违法行为
              发生。
                  （二）数据安全合规标准建设应遵循的原则
                  1. 合法有效原则

                  数据安全合规应当满足的首要条件便是符合法律规范，既要满足法律、行政
              法规的规定，又要符合部门规章和地方性法规。数据处理者在制定数据安全合规


                                                                                     115