82.数据合规基础要求和持续改进指南

公示材料数据合规基础要求和持续改进指南一、标准名称：数据合规基础要求和持续改进指南二、项目提出单位：上海市经济和信息化委员会三、起草单位：上海智慧城市发展研究院、上海信投数字科技有限公司、上海数字产业（集团）有限公司、中国工商银行股份有限公司上海市分行、上海瀛泰律师事务所。四、立项理由（一）符合国家和地方政策与规划需要。随着数字经济的快速发展，个人数据的保护和隐私成为了全球关注的焦点。近年来，数据保护法律法规也越来越完善和严格。企业需要遵守相关的数据保护法规和合规要求，以避免违法行为和可能的法律风险。通过建立企业数据合规指引，能够帮助企业规范和管理自身的数据处理流程，保护和管理好核心数据资源，避免数据丢失、泄露或非法使用，进而保护企业的商业机密和核心利益。（二）推动和引导数据合规产业有序发展。数据合规产业是数据产业中的一部分，有着广阔的发展前景。随着数字经济社会的不断完善，数据合规产业将成为发展数字经济、推进数字化转型的重要领域，也是数字时代未来经济发展趋势。上海拥有产业最适合发展的氛围及沃土，跨前一步推进企业数据合规，抢占数字经济合规产业发展新高地。对进一步提升城市营商环境、促进企业之间的合作和信息共享，推动数字经济的发展意义重大。（三）进一步保障国家安全和经济社会发展。数据安全是国家安全的重要组成部分。通过制定数据合规指引，能够更好地管理和保护企业和个人的数据，加强国家信息安全防护和网络安全，促进和支持国家的经济发展和创新能力。建立和遵守数据合规指引不仅是企业应尽的责任和义务，也是推动企业可持续发展和国家整体发展的需要。（四）进一步探索创新企业数据合规标准。目前整个行业主要基于《网络安全法》、《数据安全法》、《个人信息保护法》的基础上开展企业数据合规评估业务。上海作为建设数据要素产业创新高地，拥有数量众多的互联网企业、大型国有企业，我们应该率先在市级层面形成面向企业的数据合规指引，通过建立一套管理体系，以确保各类各项合规性（技术）要求能够得到完整的执行，引导和推动整个行业的数据合规性。本文件的立项具有针对性、前瞻性和引领性，以数据相关的法律法规和国家标准为依据，以落实数据合规义务为目标，以构建数据合规管理体系为核心，规定了组织有效的建立、实施、运行和持续改进数据合规管理体系的要求，指导该标准的使用者为保证其所持有、加工处理或使用数据的合规性而建立一套有效的执行体系。通过建立这样一套管理体系，以确保各类各项合规性（技术）要求能够得到完整的执行。本标准强调的是所有组织应遵守最基本的数据合规管理体系要求，从而最大限度帮助组织规避合规风险。五、主要内容本文件规定了组织有效的建立、实施、运行和持续改进数据合规管理体系的要求。主要内容包括提出组织体系、制度体系、运行体系、评估体系和保障体系等方面，具体说明如下：（1）组织体系：组织应确定数据合规管理体系范围、数据合规管理体系、数据合规义务、数据合规风险评估等。（2）制度体系：组织应明确数据合规管理战略、数据合规文化、数据合规治理、制度建设及相关岗位、职责和权限等。（3）运行体系：组织应策划好应对风险和机会的措施、做好支持、运行等。（4）评估体系：科学开展企业数据合规评估，明确评估过程，充分反应企业数据合规水平，以确保实现合规目标。（5）保障体系：组织应持续改进数据合规管理的适宜性、充分性和有效性，并有计划地实施。并对评估对象的数据合规管理的改进和按期执行情况进