第四章  网络安全与数据合规管理



                  1. 数据保护合规政策的完善
                  合规政策是面向客户、第三方、被并购企业的外向型规则，员工手册则是针
              对企业高管、员工、分支机构的内部守则。制定数据保护合规政策和员工手册要
              穷尽数据保护法律的禁止性和义务性条款，并与数据合规风险和特定业务场景相

              结合，实现“风险导向”和“场景细化”。例如，中兴公司建立了包括政策、手
              册、原则性规范、场景化指引的四级数据保护合规规则架构。首先，员工手册分
              为总册和业务领域分册，尤其强调引入运营商业务、政企业务、消费者业务等具
              体业务场景后对总册进行细化。其次，在原则性规范方面，中兴公司分别制定《数

              据保护合规管理规范》等管理体系类政策、《隐私通知及设置规范》等通用要求
              类政策、《个人数据泄露响应规范》等专项治理类政策、《供应商数据保护合规
              管理规范》等相关方管理类政策。最后，场景化指引是原则性规范结合业务实际
              场景而形成的具体指导书，明确单个业务活动中整个数据生命周期的流转和具体

              的风险及管控点，使得一线员工能够清晰了解合规要求和具体的合规动作，在遇
              到具体的合规问题时有据可依，实现规则的透明化、可视化，保障规则的及时性
              和可落地性。
                  2. 数据保护合规管理流程的完善

                  其一，数据保护合规组织体系一般包括数据合规管理委员会、首席数据合规
              官、数据保护合规部、每个业务单元中的数据保护合规专员等四级架构。在数据
              合规管理实践中，中兴通讯公司成立了由总裁直接领导的合规管理委员会，作为
              负责合规管理体系运作的最高指导机构，听取数据保护合规重大事项汇报并进行

              指导。在其领导下，各业务单位、合规专业部门与合规稽查部各司其职，协调配
              合，构成中兴公司合规风险管理的三道防线。其中，由数据保护合规官领导的数
              据保护合规部是进行数据保护工作的专业部门，负责数据保护合规策略和合规规
              则的规划、制定、执行与监督，对具体业务流程的合规风险进行评估和审查；业

              务单元的数据保护合规专员关注合规政策的可落地性以及管理成本的最优化，推
              动合规政策落地，并评估合规政策的合理性；合规稽查部门关注规则盲点以及风
              控与管理的平衡问题，考察合规风险是否得到有效治理，验证合规体系的有效性。
                  其二，数据保护合规防范体系由合规风险评估、合规尽职调查、合规培训三

              大板块构成。数据保护合规风险评估制度又称数据保护 / 个人信息保护影响评估，
              企业对数据处理活动存在的风险点进行定期评估，并保存评估报告和处理情况的


                                                                                     145