R   企业合规管理体系建设研究
                esearch on the Construction of Enterprise Compliance Management System



             记录，以便发现处理敏感个人信息、利用个人信息进行自动化决策、委托处理个
             人信息、向第三方提供个人信息、向境外提供个人信息等过程中的合规风险点。
             数据保护影响评估包括三项内容，首先是个人信息的处理目的、处理方式等是否
             合法、正当、必要，其次是信息处理活动对个人的影响及风险程度，最后是所采

             取的安全保护措施是否合法、有效并与风险程度相适应。
                 合规尽职调查针对客户、第三方商业伙伴、被并购方，其具有三大目的：发
             现合规风险、诊断商业模式和经营模式、让被调查企业接受合规管理并建立退出
             机制。首先，企业运用公开信息检索、调查问卷、背景调查、文件审阅、管理层

             访谈、现场调查等方式展开合规风险评估。其次，如果风险在承受范围之内，则
             需要建立分级管理机制，针对轻微风险等级的第三方只需进行日常合规培训，针
             对高风险等级的第三方则需要责令限期整改、提交整改方案和报告。最后，建立
             退出机制。一旦客户不按照要求进行合规整改，就可以责令退出、解除合同；第

             三方交易伙伴存在违法违规历史和隐患，未建立数据保护合规体系，拒绝进行合
             规整改，则立即结束合作。企业在合同中应设立合规条款或者单独签署合规协议
             书，实践中常见的方式是与第三方单独签署一份融入合规条款的数据处理协议，
             在协议中记载授权范围等事项的同时，注明本公司的合规政策、合规管控措施和

             退出机制。
                 数据安全和个人信息保护教育培训的内容主要是数据保护合规政策和员工手
             册，企业要进行全程电子或书面留痕，采取录像、照片、签到本等方式，以证明
             公司开展合规培训的事实，并要求参加培训的员工签署合规承诺书，承诺严格依

             照法律法规和授权范围处理数据，员工仍然实施违规行为时责任自负，公司企业
             无需承担责任。
                 其三，数据保护合规监控体系是对违法违规行为进行实时监测和识别的管理
             体系，包含全流程合规监控、合规审计、违规行为举报、合规报告四项具体流程。

                 全流程合规监控要求企业在产品制造、销售、服务等生产经营全流程，针对
             数据全生命周期，采取必要的技术安全和管理安全措施，保障数据的有效保护和
             合法利用，对存在违规行为的环节实行合规一票否决制。首先，设计和默认数据
             保护制度要求在产品和服务的设计之初以及全流程贯彻数据保护要求，确保仅在

             目的范围内收集和处理个人数据、保证各项数据的质量和准确性、采取相关措施
             以实现数据最小化的要求、数据处理活动后会及时删除数据或进行去标识化处理。


             146