R   企业合规管理体系建设研究
                esearch on the Construction of Enterprise Compliance Management System



                 （二）数据安全合规标准的完善措施
                 1. 数据分级分类管理
                 应根据不同业务类型和数据用途，对数据进行不同层级的分类，从而归纳出
             不同的合规标准。例如，对于需要收集大量核心数据或敏感数据的医院、求职软

             件等类型企业，应当提出更高更严厉的数据安全合规标准。对于龙头企业作出高
             标准严要求，也可以为其他同类型企业提供数据安全合规整改的参考。按照数据
             对经济社会发展的作用以及当数据被篡改、遭到泄漏或被不正当利用之后，对国
             家安全、公共法益或者个人、组织的合法利益造成的危害程度。或是根据数据对

             政治、经济、文化等构成威胁的程度，将数据分为一般数据、重要数据和核心数
             据。按照数据所涉不同领域，可以将数据分为国家数据、社会数据以及个人数据。
             对于个人信息数据还可以根据数据的来源、内容、传播等性质进一步分为一般个
             人数据、敏感个人数据。敏感个人数据可以分为一般敏感数据、敏感数据和高度

             敏感数据。从经济市场的不同领域来看，可以将数据分为生产数据、经营数据、
             管理数据等。只有对数据处理者的层级和数据类型分别进行明确清晰界定，才能
             正确合理地划分不同数据安全合规标准，从而制定有效的数据安全合规措施。
                 2. 完善数据被收集者授权管理机制

                 数据被收集者作为数据的直接供给方有必要也有权利知悉数据处理者收集、
             存储、使用数据的具体细节信息，也只有取得数据被收集者在充分知情情况下作
             出的自愿且明确的同意时，数据处理者才能继续对数据进行处理运用。根据个人
             信息保护法，可以对用户的同意授权作出不同的分类：首先，初次同意，当数据

             处理者首次向用户征集数据信息时，必须在取得其同意的情况下进行。其次，重
             复同意，当数据处理者后续仍需向用户反复收集个人信息，存在变更收集目的、
             方式或者范围的情况时，必须向用户及时反馈，使其知悉。因数据处理者合并、
             分立等原因需要向第三方转移用户数据时，也需要重新取得数据被收集者的同意

             和授权。最后，撤回同意，用户同意授权之后因同意授权的基础发生变化或遇到
             其他不可抗力时，用户有权撤回之前的同意。只有明确界定用户的同意类型，才
             能针对不同模式制订有效的数据安全合规措施。
                 3. 建立健全行政和刑事激励制度

                 除了凭借国家政府或者第三方监管机构的力量监督数据安全合规之外，数据
             处理者还应从自身出发，主动积极调整和落实数据安全合规政策。但因为数据安


             118