近日，上海市首份《企业数据合规指引》(下称《指引》)出台。据悉，《指引》由上海市杨浦区检察院联合市信息服务业行业协会、市数据合规与安全产业发展专家工作组、区工商业联合会制定发布。

《指引》明确，一般由董事会直接设立企业合规部门，不应由法务部门履行合规管理职能。企业最高管理者作为数据合规的第一责任人，需确保将数据合规落实情况和效果纳入企业内部人员绩效考核体系。

南都·隐私护卫队注意到，《指引》主要对企业的数据合规管理架构与风险识别处理规范作出了规定，包括数据合规管理体系、数据风险识别、数据风险评估与处置、数据合规运行与保障等内容，督促企业对数据进行合规管理，有效惩治预防数据违法犯罪。

在适用范围和法律效力方面，《指引》明确提出，其是根据个人信息保护法、网络安全法、数据安全法等法律法规制定，杨浦区各类所有制企业进行数据处理活动均可参照其开展数据合规管理。不过，《指引》并不具有强制性。

据南都·隐私护卫队了解，数据合规初期，企业的法务部门通常是“主力军”，近几年技术、产品等其他部门人员也陆续加入。对此，《指引》提出，鼓励各类企业设置专门的数据合规管理部门，而不是由法务部门履行合规管理职能。

就具体职责而言，《指引》要求企业向数据合规管理部门负责人提供足够的授权、人力、财力来支持数据合规管理体系的运行。一般由董事会直接设立企业合规部门，下设数据合规管理部门等各类专业合规部门。

落实到个人责任，《指引》提出企业最高管理者作为数据合规的第一责任人，除了建立数据违规的举报、问责机制等，还需确保将数据合规落实情况和效果纳入企业内部人员绩效考核体系。

今年1月起施行的《上海市数据条例》规定，在本市商场、超市、公园、景区、公共文化体育场馆、宾馆等公共场所，以及居住小区、商务楼宇等区域，安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著标识。不得以图像采集、个人身份识别技术作为出入上述场所或者区域的唯一验证方式。

《指引》也沿袭了这一规定，明确要求数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得强制个人同意收集人脸、步态、指纹、虹膜、声纹等生物特征信息。

此外，《指引》还对第三方软件开发工具包的使用提出了具体要求——企业可以使用经相关部门审核合规的开源软件开发工具包进行程序开发活动，不得使用风险不可控的开源软件开发工具包等工具。

“从制度规范、准入门槛上设定明确的指引，让企业知道在什么样的游戏规则下发展，引导、帮助数字经济企业合法合规成长。”谈及《指引》的指导意义，上海市人大代表、杨浦区区长薛侃说。

关键词： 企业数据 合规指引 数据安全 企业法务部