第四章  网络安全与数据合规管理



              选择。
                  （四）全流程数据合规原则
                  全流程数据合规原则要求企业的数据保护合规体系既要涵盖收集、存储、使
              用、加工、传输、提供、公开、删除等数据全生命周期，也要贯彻研发、设计、

              生产、销售、服务等业务全流程。企业打造专项合规计划时面临的巨大挑战，是
              如何将有效合规计划标准和要素嵌入企业生产经营活动的每一道流程，使合规计
              划由纸面文本顺利落地，在商业实践的各个业务环节发挥全方位风险防范和监测
              的作用。

                  全流程数据合规原则最为典型的立法仍是欧盟《通用数据保护条例》规定的
              设计和默认数据保护制度（Data protection by design and by default），即在产品
              和服务的设计之初以及业务开展全流程贯彻数据保护要求，遵守数据全生命周期
              处理规则和管理流程。一方面，在设计之初直至所有业务环节确保数据信息采集、

              存储、使用等处理活动符合合法、正当、必要、诚信、目的限制、公开透明、数
              据质量等基本原则和政策性规则。例如，在开展数据处理前明确数据的范围和处
              理方式，履行告知义务，用数据最小化原则来尽量减少个人信息的处理，并且仅
              处理实现目的所必需的数据。另一方面，在业务全流程中建立数据保护合规管理

              流程，设置数据合规官，对个人信息采取分级分类管理，开展数据保护影响评估
              和第三方尽职调查，采取去标识化处理等技术安全措施，等等。
                  （五）数据合规技术原则
                  数据保护合规体系具有显著的技术依赖性，数据合规技术原则要求数据保护

              合规深入技术、利用技术、创新技术。
                  首先，数据保护合规体系需要深入技术。数据与技术相伴而生，数据作为生
              产要素，需要通过技术手段打造成为产品和服务，方能投入市场经营。因此，数
              据保护合规政策的制定和管理流程的落实都必须深入技术内部，对业务活动开展

              所依托的网络爬虫、人工智能、区块链等技术环节实施合规管控。
                  其次，数据保护合规体系需要利用技术。中国数据保护法律在合规流程性条
              款中将技术措施与管理措施并列，成为数据保护合规管理流程的重要组成部分。
              这些技术措施主要包括：第一，对数据进行匿名化或去标识化处理；第二，对数

              据进行分级分类，进行物理或逻辑隔离存储；第三，采用身份认证、进程监控、
              日志分析和安全审计等技术手段，对数据存取情况进行监测记录等。


                                                                                     141