第四章  网络安全与数据合规管理



              其次，数据主体权利响应制度要求企业针对相应数据主体的权利请求建立便捷的
              申请受理和处理机制，在产品服务端口和企业内部构建受理请求、处理请求、反
              馈结果的完整机制。最后，企业必须采取必要的技术和管理安全措施以保障数据
              信息安全，包括防范计算机病毒和网络攻击、检测记录网络运行状态和网络安全

              事件、数据分类、重要数据备份和加密、去标识化等技术安全措施以及体系化的
              合规管理流程措施。
                  数据安全投诉、举报制度要求企业实行 24 小时举报机制，搭建专门的举报
              平台，开放并公布电话举报、网络举报等途径，并对举报人进行严格保护和高额

              奖励。
                  合规审计要求对数据信息处理活动进行专项审计和定期审计，发挥合规监控
              作用。企业应定期对其遵守法律法规的情况进行合规审计，监管部门有权要求企
              业委托专业机构进行审计。合规审计的对象主要是数据保护政策以及安全措施的

              有效性，审计过程中发现的个人信息违法收集、违规使用、怠于管理等情况应及
              时进行处理。对审计过程和结果应形成完整记录并妥善留存，确保能对安全事件
              的处置、应急响应和事后调查提供支撑。
                  合规报告要求企业进行定期和专项报告，通过合规组织体系自下而上地将合

              规计划运行情况、合规风险、发生的违规行为报告给最高管理层。重要数据处理
              企业应将定期风险评估报告报送有关主管部门，重要互联网平台企业还应定期发
              布个人信息保护社会责任报告，接受社会监督。
                  其四，数据保护合规应对体系是指违规行为发生后的反应机制。当违规行为

              发生或者被发现后，企业就要受到外部监管和执法机构的调查，此时需要建立内
              部的专业反应机制，如果盲目应对，或者采取毁灭、伪造证据等错误方式，就会
              面临更加严厉的调查和处罚。针对违规行为的应对体系包含四项要求：首先是及
              时进行合规内部调查；其次是尽快处理违规员工和第三方；再次是尽快发现合规

              体系漏洞并进行整改；最后是要积极配合调查，主动进行报告披露。
                  中国数据保护法律尤其注重数据安全事件应急预案的制定和实施以及违规事
              件发生后的补救措施和通报机制。围绕应对体系的四项要求，企业应针对个人信
              息泄露、毁损、丢失以及系统漏洞、计算机病毒、网络攻击、网络侵入等引发的

              网络安全事件，制定内部调查细则、违规责任人处理办法、合规体系和技术漏洞
              修复措施、停止服务和消除影响补救方案等应急预案，在违规事件发生后立即实


                                                                                     147