《深圳市企业数据合规指引》

深圳市人民检察院

深圳市互联网信息办公室

深圳市人民检察院

深圳市发展和改革委员会

深圳市司法局

深圳数据交易所

2023年9月11日目录

第一章 总则

第二章 数据合规管理组织体系建设

第三章 数据合规管理制度体系建设

第四章 数据全生命周期合规

第一节 数据收集和使用

第二节 数据存储

第三节 数据传输和提供

第四节 数据交易

第五节 数据删除和销毁

第五章 数据出境合规

第六章 附则

附录：企业可参考的相关法律法规与标准

第一章 总则第一条【目的和依据】为引导企业加强数据合规管理，促进企业数据合规利用，保障企业数据安全，根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》等法律法规，制定本指引。第二条【适用范围和效力】深圳市各类企业进行数据处理活动可参照本指引开展数据合规管理。本指引不具有强制性，法律、法规及有关国家、行业标准另有专门规定的，从其规定。第三条【涉案企业合规从宽】企业参照本指引建立并严格实施数据合规管理制度，履行数据合规义务，积极配合监管，主动采取措施有效减轻、消除危害后果，符合涉案企业合规适用条件的，检察机关可根据具体情况开展合规考察。对于涉案企业合规建设经评估符合有效性标准的，检察机关可以参考评估结论依法作出不批准逮捕、变更强制措施、不起诉的决定，或提出从宽处罚的量刑建议；符合行政处罚法规定条件的，可以向有关主管机关提出从轻或者减轻行政处罚等建议、意见。第四条【数据合规指引的必要性】引导各类企业开展数据合规管理是提高企业数据合规意识，提高数据保护水平，降低企业及其员工涉数据类违法犯罪风险的重要举措。企业可以通过建立完善的数据合规管理体系，有效预防数据安全风险事件。第五条【职责明确原则】企业应当通过建立完善的数据合规管理组织体系和制度体系，明确企业内部各部门数据安全管理职责，落实数据合规主体责任。第六条【合法、正当和诚信原则】企业处理数据应当符合法律、法规和强制性标准的规定，遵循合法、正当和诚信原则，不得从事危害国家安全、公共利益的数据处理活动，不得非法收集、使用、加工、传输、买卖、提供、公开他人个人信息，不得通过误导、欺诈、胁迫等方式处理个人信息。第七条【数据质量保障原则】企业应当采取适当措施保证数据质量，并定期对数据进行更新，避免因数据不准确、不完整、不及时产生的不利影响。第八条【负责原则】企业应当对其数据处理活动负责，并采取必要措施保障所处理数据的安全。第九条【分类分级保护原则】企业应当建立数据分类分级保护制度，按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度进行分类分级，针对不同类别级别的数据采取相应的管理和保护措施。第十条【风险导向原则】企业应当采取必要措施对国家核心数据、重要数据、敏感个人信息等存在较高合规风险的数据予以重点保护，加强合规管理。第十一条【可追溯原则】企业对数据进行修改、查询、导出、删除等处理时，应当记录相应操作，确保操作记录可追溯、可审查。

第二章 数据合规管理组织体系建设第十二条【一般要求】企业开展数据处理活动应当依照法律、法规的规定，建立健全数据合规管理组织体系和常态化沟通协作机制，明确数据合规责任主体，组织开展数据合规教育培训，加强人力资源考核与保障，强化数据合规意识。第十三条【数据合规决策层的职责】数据合规第一负责人由企业法定代表人或主要负责人担任，对数据合规负领导责任。数据合规第一负责人与董事会应当承担以下职责：（一）为企业数据合规管理制度体系的建构和运行提供必要的资源保障和条件支持，确保合规管理制度体系有效运转并持续改进；（二）确立数据合规方针和合规目标，并确保企业战略方向与合规方针和目标保持一致；（三）保障数据合规管理部门具备独立履行职责的能力与权限；（四）审批企业重大数据合规事项；（五）确保将数据合规管理要求融入企业的业务过程；（六）确保建立有效的数据违规举报与惩处机制；（七）引导培育企业数据合规自主性，促成数据合规企业文化。第十四条【数据合规管理层的职责】企业应当设立专门的数据合规管理部门，或由合规管理、法务等相关部门承担数据合规管理职能，并配备数据合规专员。数据合规管理部门在部门负责人的指导下开展工作，承担以下职责：（一）组织制定企业数据合规管理制度规范与合规计划，并推动其有效实施；（二）统筹实施数据合规管理工作，并对数据合规管理情况进行评估与检查；（三）建立数据合规举报与调查机制，对数据合规举报制定调查方案并开展调查；（四）定期组织或协助人事部门开展数据安全合规培训，为企业相关内部职能部门提供数据合规咨询与支持；（五）向数据合规第一负责人与董事会报告数据合规重大风险和数据合规工作落实情况。第十五条【数据合规执行层的职责】企业内部开展数据处理工作的各职能部门负责本部门业务范围内的数据合规工作，并承担以下职责：（一）结合企业数据合规管理制度和合规指引，明确本部门日常数据处理活动的全生命周期合规要求和具体工作机制；（二）确保本部门员工遵守企业合规制度规范，履行数据合规义务；（三）配合数据合规管理负责人和合规管理部门开展合规风险审查、评估、整改等各项合规工作；（四）密切监测日常数据处理工作中的数据安全合规风险，并采取适当的安全保护措施；（五）当发现数据处理活动存在较大合规风险或者发生数据安全事件时，及时向数据合规管理负责人和合规管理部门报告，并配合采取应急处置和整改措施。第十六条【个人信息保护负责人的指定及责任】处理个人信息达到国家网信部门规定数量的企业应当指定专门的个人信息保护负责人，并承担以下职责：（一）统筹实施企业内部的个人信息合规工作；（二）组织制定个人信息合规方面的内部制度和操作规程，并督促落实；（三）组织开展个人信息安全影响评估，督促整改安全隐患；（四）定期组织开展合规审计；（五）及时受理相关投诉、举报；（六）与监管部门保持沟通，通报或报告个人信息保护和事件处置等情况。企业应当公开个人信息保护负责人的姓名、联系方式等情况，并报送履行个人信息保护职责的部门。第十七条【数据合规教育和培训】企业应当定期组织开展数据合规教育培训及考核，确保内部人员充分了解数据法规、数据合规计划、数据合规义务与举报程序等，提升内部人员数据合规意识，促进企业合规守法经营。第十八条【人力资源管理与保障】企业应当在数据合规管理制度规范中明确员工的数据合规义务，鼓励将数据合规落实效果纳入考核体系，作为决定评优评先、职务晋升与薪酬待遇的重要依据。企业应当将遵守数据合规要求和履行数据合规义务作为人员聘用条件。对于数据处理关键岗位的员工应当开展必要的背景调查，了解其犯罪记录，诚信状况等相关信息，并通过签署合规承诺书、保密协议等方式明确其应遵守的数据合规要求和履行的数据合规义务，并建立相应的奖惩机制督促落实。关键岗位员工离岗后，应当按照数据合规管理要求执行离岗交接、审计、脱密等措施。第十九条【合规承诺制度】企业应当建立数据合规承诺制度，明确违反数据合规承诺的后果与问责机制，数据合规第一犬负责人，数据合规管理部门负责人以及其他数据处理关键岗位员工应作出并严格履行数据合规承诺。第二十条【举报与调查机制】企业应当建立内部数据合规举报机制，鼓励、支持内部人员对试图、涉嫌或实际存在的数据不合规行为进行举报，并采取必要措施保护内部举报人信息，不得因此对举报人采取不利措施。收到举报后，数据合规管理部门应当结合举报线索的真实性、有效性及时启动调查程序，确保调查过程的独立性、公正性，形成调查结果报告并采取相应处理和改进措施，持续完善数据合规管理制度体系。第二十一条【文件化信息】企业应当以适当的形式和载体记录数据合规管理体系运行产生的文件化信息。文件化信息应当以清晰、易读和易检索的方式保存，并采取必要措施防止泄密、不当使用或完整性受损。

第三章 数据合规管理制度体系建设第二十二条【一般要求】企业应当依照法律、法规规定，结合自身业务，建立健全覆盖数据全生命周期的数据合规管理制度体系，明确企业内部数据合规管理的相关标准、规范和操作规程，坚持安全和发展并重，确保数据合规管理制度与生产运营、业务发展同步规划、同步建设、同步运行。第二十三条【数据分类分级保护制度】企业应当根据自身业务内容定期对企业数据资产进行全面梳理，并结合所属行业、地区的相关标准，对数据进行分类分级，经数据合规管理部门审批后，形成数据分类分级清单。对无明确分类分级标准的数据，可根据数据的重要程度、对国家安全、公共利益或者个人、组织合法权益造成的危害程度等因素，按照就高从严原则进行分类分级。企业应确立数据分类分级管控标准，明确不同类别级别数据的操作要求和保护措施。同时处理不同级别数据且难以分别采取保护措施的，企业应当按照其中级别最高的要求给予保护。第二十四条【重要数据、核心数据保护制度】企业应当结合相关法律、法规和主管部门、所属行业重要数据具体目录等标准规范，识别和确定自身业务活动中涉及的重要数据与核心数据，形成数据清单。企业应当对重要数据与核心数据实施更加严格的合规管理制度，明确重要数据、核心数据的管理职责、操作规范、审批要求、备案机制等事项，建立重要数据和核心数据的日常记录和容灾备份机制，强化重要数据与核心数据的安全保障。第二十五条【采取安全技术保护措施】企业应当根据数据分类分级情况，采取适当的匿名化、备份、加密、访问控制、入侵防范等数据安全保护措施，加强对数据处理系统、数据传输网络、数据存储环境、数据访问接口等物理和网络环境的安全防护，将数据安全技术保护覆盖到数据处理的全过程。处理重要数据的系统应满足三级以上网络安全等级保护和关键信息基础设施安全保护要求，处理核心数据的系统依照有关规定从严保护。第二十六条【权限控制机制】企业应当按照最小授权原则合理确定数据访问与操作权限，仅在完成职责所需的范围内授予特定人员最小必要的数据操作权限，并采取技术措施，避免出现越权访问、下载、复制、修改数据等行为。针对重要数据和核心数据，企业应当通过设置严格的数据处理权限、配备风险阻断机制、明确安全审计流程、落实访问和操作留痕等方式，实现权限最小化管控。第二十七条【依法申报数据安全审查】鼓励企业主动审查其数据处理活动是否影响或者可能影响国家安全，符合法律法规规定条件的，应当按照国家有关规定，申报网络安全审查。掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。第二十八条【建立合规风险评估机制】企业应当建立数据合规风险评估机制，每年至少开展一次数据合规风险评估，对数据分类分级保护情况、数据安全技术保护措施有效性、关键基础设施安全水平、数据处理合规情况、法律法规变化和监管动态落实情况、数据安全预警和应急事件处置能力、数据安全问题整改和监管执法响应情况等内容进行评估，并形成数据合规风险评估报告。涉及处理重要数据的，还应对重要数据的处理情况作出评估，并向有关主管部门报送风险评估报告。对新上线业务、第三方数据合作业务以及重点存量业务，企业可以不定期开展合规风险评估。企业应当根据数据合规风险评估报告对相关职能部门、岗位员工作出风险提示，并要求其采取相应的风险处置和整改措施，必要时应暂停或取消具有较高合规风险的业务活动。第二十九条【定期合规审计】企业内部应当定期开展数据合规审计，或委托具有相关资质的外部机构进行，并形成、保存相应的数据合规审计报告。对于审计过程中发现的合规问题与安全隐患应及时采取整改措施。企业可以针对风险较高的数据处理行为进行不定期审计，确保及时发现问题隐患并予以改正。第三十条【监测预警与存在安全缺陷、漏洞的补救措施】企业应当建立数据安全风险监测预警机制，及时监测日常数据处理活动中的异常情况和安全风险，并进行预警。当发现数据安全缺陷、漏洞等风险时，应当立即采取预防、补救措施；造成或者可能造成严重后果的，应当及时告知可能受到影响的主体，并向有关主管部门报告。企业应当建立针对数据不合规行为的监测机制，及时发现日常数据处理活动中的不合规行为，采取相应的处置和惩戒措施，并对类似问题进行排查。发生可能对企业带来重大数据合规风险的违规行为时，应当及时向数据合规负责人汇报，并确定相应的解决方案。第三十一条【数据安全应急预案、演练和处置机制】企业应当制定数据安全应急预案，按照危害程度、影响范围等因素对数据安全事件进行分级，并结合分级情况确定应急处置的方针策略、人员职责、具体措施、流程规范、物资保障等事项。企业应当每年至少组织一次应急响应培训和应急预案演练，使相关人员掌握熟悉应急处置策略和规程。当发生数据安全事件时，企业应当按照应急预案及时采取处置措施，防止危害扩大，消除安全隐患，记录事件内容，保留相关证据，并向有关主管部门报告。安全事件对个人、组织造成实质性危害的，企业还应及时以电话、短信、邮件等方式向所涉主体告知安全事件情况、危害后果、已采取的补救措施等信息。无法逐一告知的，可采取公告方式告知。第三十二条【积极配合监管】企业应当建立监管执法配合机制，受到监管部门调查时应立即通知数据合规负责人、数据合规管理部门负责人和相关职能部门负责人等人员，启动必要的内部调查程序并明确监管调查对接人员，必要时应当暂停相应的数据处理活动。企业应当对监管部门的监管执法予以协助、配合，不得拒绝、阻挠，不得提供虚假材料、信息或隐匿、销毁、转移证据。企业积极配合监管并主动开展合规整改采取措施有效减轻、消除危害后果的，可以向监管部门申请酌情从轻或减轻行政处罚。第三十三条【建立监管响应和整改机制】企业应当按照监管部门提出的监管建议及时采取整改措施，优化、更新数据合规管理制度，建立健全数据合规长效机制，有效消除安全隐患。第三十四条【外部投诉机制】企业应当建立便捷的数据合规外部投诉机制，公布受理部门或人员联系方式、受理流程等信息，鼓励受到数据不合规行为影响的主体进行投诉，并在合理时间内向投诉人回复处理情况。

第四章 数据全生命周期合规第一节 数据收集和使用第三十五条【以爬虫等手段抓取数据的合法标准】企业采用网络爬虫等自动化工具收集数据的，应当遵守法律法规、行业自律公约，尊重爬取对象网站的爬虫协议及规则，事前评估对网络服务的性能、功能可能带来的影响，避免干扰网络服务的正常功能或妨碍计算机信息系统正常运行。企业收集涉及他人知识产权、商业秘密或非公开的个人信息的数据，应事前征得所涉主体同意。企业不得以下列不正当的方式获取他人持有的数据：（一）以盗窃、胁迫、欺诈，电子侵入等方式，未经授权或超越授权获取数据；（二）违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统获取数据；（三）以非法获取内部访问、操作权限等方式，未经授权或超越授权获取数据；（四）以提供替代性产品或服务为目的，违反约定或者合理、正当的数据抓取协议，或以其他违反诚实信用和商业道德的方式获取数据；（五）以其他违反法律禁止性规定或可能导致不正当竞争的方式获取数据。第三十六条【以购买、交换等手段收集数据的合法标准】企业通过向第三方购买、交换、共享等方式收集数据的，应当符合法律、法规要求，对第三方的资质以及获取和持有数据的合规性进行必要审查，要求其作出数据来源合法性承诺并提供必要证明。对从第三方获取的数据，企业应当承担与直接收集的数据同等的安全保护责任与合规义务。第三十七条【在提供产品、服务过程中收集数据的合法标准】企业在提供产品、服务过程中收集个人信息，应当符合最小必要原则，仅收集与实现产品或服务的业务功能直接相关的个人信息。不得因个人不同意提供非必要个人信息，而拒绝向其提供基本功能或服务。企业基于开发新型业务功能、提升服务体验等目的，超出必要范围收集用户个人信息的，应当征得个人同意。企业如需使用在提供产品、服务过程中收集到的数据，应当事先获得相关数据主体的授权同意。第三十八条【自动化决策场景的合规义务】企业利用数据进行自动化决策的，应当保证自动化决策的透明度，并以适当方式公示其自动化决策的基本原理、目的意图和主要运行机制等信息。自动化决策的结果可能对个人权益造成显著影响的，应当对此种影响及可能产生的后果予以说明，并为个人提供拒绝自动化决策的选项。通过自动化决策方式进行信息推送、商业营销的，应当同时提供不针对个人特征的选项，并向个人提供便捷的拒绝方式。企业不得利用数据分析，对交易条件相同的交易相对人实施差别待遇，但是有下列情形之一的除外：（一）根据交易相对人的实际需求，且符合正当的交易习惯和行业惯例，实行不同交易条件的；（二）针对新用户在合理期限内开展优惠活动的；（三）基于公平、合理、非歧视规则实施随机性交易的；（四）法律、法规规定的其他情形。前款所称交易条件相同，是指交易相对人在交易安全交易成本、信用状况、交易环节、交易持续时间等方面不存在实质性差别。第三十九条【分类管理】企业应当建立个人信息分类管理制度，结合个人信息的主体属性、具体种类、敏感程度、处理方式、应用场景、对个人权益的影响、可能存在的安全风险等因素明确个人信息分类标准，并分别确定针对不同类型个人信息的处理规则、合规义务和保护标准。敏感个人信息及未成年人个人信息处理规则应当遵循法律、法规的相关规定。第四十条【个人信息保护影响评估】企业应当针对业务中涉及的对个人权益有重大影响的数据处理活动开展个人信息保护影响评估，持续检验、监控个人信息处理活动的合法合规程度、对个人合法权益造成损害的各种风险以及相关保护措施的有效性，形成和保存个人信息保护影响评估报告和处理情况记录，并采取相应改进措施。第四十一条【建立个人信息权利行使的响应机制】企业应当为用户行使《中华人民共和国个人信息保护法》赋予的各项权利提供便捷的申请受理和响应机制，明确合理的响应时限。第二节 数据存储第四十二条【分级分域管理】企业应当根据分类分级等内部规范对不同类型、风险等级和重要、敏感程度的数据进行分级分域管理，对不同数据进行物理隔离或强逻辑隔离，并采取相适应的安全保护措施和访问控制机制，维护数据的完整性、保密性、可用性。企业应当通过加密存储、访问控制、校验技术等措施强化对重要数据和敏感个人信息的保护。第四十三条【数据存储介质管理】企业应当根据数据类型、风险等级和重要、敏感程度等因素选择安全性能、防护级别与安全等级相适应的存储设备和介质，制定数据存储设备和介质清单，建立数据存储设备和介质管理制度，规范存储设备和介质的使用、操作、维修和故障处理，并对传递、使用数据存储设备和介质的行为建立审批和日志记录等管控机制，强化存储设备和介质的物理安全和加密管理。第四十四条【云平台存储】企业使用第三方云平台进行数据存储的，应当要求云服务提供商定期报告云平台运行状态、安全状况等信息，并定期对第三方云平台的稳定性和采取的安全保护措施等进行审计，确保其具备充分的数据安全保护能力。企业终止使用云平台存储服务的，有权取回数据、文档等资料并对其完整性、有效性进行验证。云服务提供商应当按照约定方式删除、销毁云平台存储的数据及副本。第四十五条【技术保护措施：去标识化、匿名化】企业在存储数据时应当采取加密、去标识化、匿名化处理等安全技术措施，降低个人信息被篡改、破坏、泄露或者非法获取、非法利用等风险。经过去标识化处理的个人信息应当与其他个人信息分开存储，并严格控制访问权限。第四十六条【数据备份及恢复】企业应当建立重要数据和个人信息的备份与恢复机制，确定数据备份的范围、频率、方法和流程，并定期对备份数据进行恢复测试和完整性校验，防范数据意外损毁、丢失等风险。第三节 数据传输和提供第四十七条【数据传输的合规要求】企业应当采取加密等安全保护措施确保数据传输介质和环境安全，保障重要数据和敏感个人信息传输过程的安全性，防范未经授权访问和数据泄露。第四十八条【向第三方提供数据的合规要求】企业因业务需要等正当理由向第三方提供或共享、委托处理数据的，应当对数据接收方进行事前资格审查并评估其数据安全保护能力。涉及提供重要数据、敏感数据的，应当留存相应的日志记录。企业应当通过合同等形式与数据接收方约定处理数据的目的、范围、方式、限制与应采取的安全保护措施等事项，明确双方权利和义务，并对数据接收方的处理活动进行必要监督。发现数据接收方违反法律、法规规定或双方约定处理数据的，应当立即要求其停止相关行为并采取必要的补救措施：必要时应当暂停或终止向其提供数据，并监督数据接收方及时返还、删除、销毁已获得的数据。第四十九条【向第三方提供个人信息的合规要求与豁免】企业向第三方提供或共享、委托处理个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并按照法律规定征得个人单独同意。第五十条【共同处理场合下的合规要求】两个以上的企业共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务、应采取的安全保护措施、发生数据安全事件时的补救与应急处置措施以及责任承担等事项。第五十一条【合作方管理】企业应当加强对合作方的合规管理，明确信息系统开发及运维、数据存储、数据处理等合作方的准入标准和资格审查机制，并通过签订合规协议等形式明确双方的权利和义务，以及合作方的数据处理权限、应采取的安全保护措施等事项。企业应当定期对合作方进行合规检查和审计，并结合风险特征对合作方进行合规分级、分类管控，对不同风险级别的合作方采取相适应的合规管理措施。发现合作方存在严重违法、违规、违约行为或发生重大数据安全事故、丧失数据安全保障能力、故意不履行数据安全保护职责等情形的，应及时终止与其合作。第五十二条【第三方接入场景/SDK的合规义务】企业在其产品或服务中接入由第三方提供的软件开发工具包的，应当事前对接入第三方进行安全检测，评估是否存在已知的安全漏洞以及可能引起数据泄露等安全事件的行为，并建立相应的接入第三方合规管理机制，通过签署开发者服务协议等形式明确双方的权利和义务、应采取的安全保护措施、发生数据安全事件时的补救与应急处置措施以及责任承担等事项，并留存第三方接入日志记录。第三方软件开发工具包具备收集、处理个人信息功能的，企业应当要求该第三方如实、完整披露收集、处理个人信息的具体情况，并应将相关情况及时、准确告知所涉个人，并按照法律规定征得个人同意。企业应当对第三方软件开发工具包进行持续安全监测，发现接入第三方存在违反法律、法规规定或双方约定处理数据，或未落实数据安全保护责任造成较大安全风险的，应当及时切断接入，并督促其采取整改措施。对于存在流量劫持、资费消耗、隐私窃取等恶意行为的第三方软件开发工具包应当取消其接入权限。第五十三条【合并、重组、分立、解散、破产场合下的合规要求】企业因兼并、重组、破产等原因需要转移数据的，应当制定数据转移方案，明确数据承接方及其应当履行的数据安全保护责任等事项，并以合适的方式通知受影响的个人。作为数据承接方的企业应当继续承担数据合规义务和数据安全责任。因业务需要等正当理由确需改变数据处理目的、范围、方式的，应当重新征得所涉个人同意。第四节 数据交易第五十四条【数据交易场所的合规义务】数据交易场所应当建立数据来源可确认、使用范围可界定、交易过程可追溯、安全风险可防范的可信数据交易环境，制定平台准入、数据质量评估、交易管理、合规审查、信息披露、自律监管等规则，对场内交易进行管理，交易参与主体应当予以配合。数据交易场所应当对场内交易进行合法性与合规性评估，并履行以下义务：（一）要求数据提供方说明数据来源，并审核相关信息；（二）审核数据交易双方身份和数据交易合同；（三）留存相关审核、交易记录；（四）监督数据交易、结算和交付；（五）采取必要技术手段确保数据交易安全，保护个人信息、个人隐私、商业秘密、保密商务信息和重要数据；（六）法律、法规规定的其他义务。第五十五条【数据来源合规】开展数据交易的企业应当建立针对数据来源的合规审查机制，确保数据获取手段合法合规、数据来源链路清晰，并经过所涉主体明确授权同意，不存在侵犯国家、公共利益或其他组织、个人合法权益的情况。第五十六条【数据内容合规】开展数据交易的企业应当建立针对数据内容的合规审查机制，不得交易含有以下内容的数据产品或服务：（一）含有未经授权的个人信息的；（二）含有侵犯他人知识产权或商业秘密的内容的；（三）含有未经依法开放的公共数据的；（四）含有国家核心数据或国家秘密的；（五）含有法律、法规规定禁止交易的其他数据的。第五十七条【数据质量合规】开展数据交易的企业应当建立必要的数据质量校验机制，提升交易数据的准确性、完整性和及时性，并通过数据复核、交叉验证等方式强化重要数据、敏感数据的质量审查。第五十八条【反馈修改机制】开展数据交易的企业应当建立问题反馈和修改机制，对证明存在错误或侵权的数据及时采取更正、删除等补救措施。第五十九条【交易数据的使用监测】开展数据交易的企业应当通过与交易相对方签订数据使用协议等方式，明确交易数据的使用目的、范围、方式、处理限制与应采取的安全保护措施等事项，以及发生违约、侵权行为时的法律责任，并在合理范围内对数据使用行为进行监督。数据购买方应当按照约定的目的、场景和方式合规使用数据，不得将通过交易获取的数据用于违反法律法规或双方约定的其他用途。第六十条【免责事由/容错机制】开展数据交易的企业对超出其可预见范围和技术控制能力的数据错误等质量瑕疵，在及时采取补救措施后仍造成损失的，应当允许其通过事前约定等方式减轻或免除相应责任，但对损失的发生存在故意或重大过失的除外。开展数据交易的企业参照本指引数据交易合规要求，履行数据合规义务，其销售的交易标的已按照深圳数据交易所的上市合规评估流程完成合法性与合规性评估的，检察机关可视情况适用涉案企业合规程序。第五节数据删除和销毁第六十一条【应当删除、销毁数据的情形】企业应当建立数据存储冗余管理策略，定期对存储数据进行盘点，对于对实现处理目的不再必要的数据，应当及时进行删除或匿名化处理。当出现以下情形时，企业应当对其持有的全部数据或相关数据进行删除、销毁：（一）企业终止运营、解散或破产，且没有数据承接方的；（二）约定的数据存储期限已经届满的，或发生约定的数据删除、销毁事由的；（三）根据法律、法规规定应当删除、销毁数据的其他情形。第六十二条【数据删除与销毁的合规要求】企业应当建立数据删除和销毁的操作规程和管理制度，明确删除和销毁的对象、权限、流程和技术等要求，确保被销毁数据不可恢复，并对相关活动进行记录和留存。企业对数据存储设备和介质进行报废处理的，应当事先采取格式化、重复删除、介质消磁等方式删除其中存储的数据，并采取物理损毁等方式对介质进行彻底销毁。第六十三条【删除个人信息的情形】符合下列情形之一的，企业应当在十五个工作日之内对相关个人信息进行删除或匿名化处理，并遵循可审计原则记录删除时间、操作人、数据内容等相关信息。个人信息处理者未删除的，个人有权请求删除：（一）处理目的已实现、无法实现或者为实现处理目的不再必要；（二）企业停止提供产品或者服务，或者保存期限已届满；（三）个人撤回同意；（四）企业违反法律、行政法规或者违反约定处理个人信息；（五）法律、行政法规规定的其他情形。法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，企业当停止除存储和采取必要的安全保护措施之外的处理。

第五章 数据出境合规第六十四条【适用数据出境安全评估的情形】企业向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：（一）企业向境外提供重要数据；（二）关键信息基础设施运营者和处理100万人以上个人信息的企业向境外提供个人信息；（三）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的企业向境外提供个人信息；（四）国家网信部门规定的其他需要申报数据出境安全评估的情形。第六十五条【数据出境风险自评估的开展】企业在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估以下事项：（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、 公共利益、个人或者组织合法权益带来的风险；（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等是否充分约定了数据安全保护责任义务；（六）其他可能影响数据出境安全的事项。第六十六条【需要重新评估的情形】在数据出境安全评估的结果有效期内出现以下情形之一的，企业当重新申报评估：（一）向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的，或者延长个人信息和重要数据境外保存期限的；（二）境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的；（三）出现影响出境数据安全的其他情形。通过数据出境安全评估的结果有效期为2年，自评估结果出具之日起计算。有效期届满，需要继续开展数据出境活动的，数据处理者应当在有效期届满60个工作日前重新申报评估。第六十七条【明确约定数据安全保护责任义务】企业应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务，至少包括以下内容：（一）数据出境的目的、方式和数据范围，境外接收方处理数据的用途、方式等；（二）数据在境外保存地点、期限，以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施；（三）对于境外接收方将出境数据再转移给其他组织、个人的约束性要求；（四）境外接收方在实际控制权或者经营范围发生实质性变化，或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时，应当采取的安全措施；（五）违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式；（六）出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时，妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。第六十八条【向境外提供个人信息的条件】企业因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照《个人信息保护法》第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的，可以按照其规定执行。企业应当采取必要措施，保障境外接收方处理个人信息的活动达到法律规定的个人信息保护标准。第六十九条【个人数据出境场景下的告知同意要求】企业向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使《个人信息保护法》规定的各项权利的方式和程序等事项，并取得个人的单独同意。第七十条【个人信息出境场景下的个人信息保护影响评估】企业向境外提供个人信息的，应当事前进行个人信息保护影响评估，并对处理情况进行记录。个人信息保护影响评估应当包括下列内容：（一）个人信息的处理目的、处理方式等是否合法、正当、必要；（二）对个人权益的影响及安全风险；（三）所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。第七十一条【适用个人信息保护认证的情形】企业通过经专业机构进行个人信息保护认证的方式向境外提供个人信息的，应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》、GB/T35273《信息安全技术个人信息安全规范》的要求。第七十二条【适用出境标准合同的情形】企业通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：（一）非关键信息基础设施运营者；（二）处理个人信息不满100万人的；（三）自上年1月1日起累计向境外提供个人信息不满10万人的；（四）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。法律、行政法规或者国家网信部门另有规定的，从其规定。企业不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。第七十三条【遵守出口管制要求的合规义务】国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制，企业向境外提供涉及出口管制的数据的，应当依法向有关部门申请出口许可证：可能危害国家安全和利益的，不得向境外提供。第七十四条【境外司法或执法机构调取数据场景下的合规义务】非经中华人民共和国主管机关批准，企业不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

第六章 附则第七十五条【基本概念】本指引所称的概念含义如下：（一）数据，是指任何以电子或者其他方式对信息的记录；（二）个人信息，是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息；（三）敏感个人信息，是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。（四）重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据；（五）国家核心数据，是指关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据：（六）数据处理，包括数据的收集、传输、存储、加工、使用、提供、公开等；（七）数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力；（八）数据合规，是指企业通过采取必要措施，确保其在日常经营活动中的数据处理行为达到个人信息保护、网络安全、数据安全等方面的法律要求的状态：（九）数据合规管理，是指以预防和降低涉数据违法犯罪和数据安全风险为目的，以企业及其员工行为为管理对象，开展的一系列管理活动；（十）自动化决策，是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等，并进行决策的活动；（十一）数据交易场所，是指经深圳市政府批准成立的，组织开展数据交易活动的交易场所。第七十六条【指引的解释】本指引由深圳市人民检察院、深圳市互联网信息办公室、深圳市司法局、深圳市发展和改革委员会、深圳数据交易所负责解释。第七十七条【施行日期】本指引自发布之日起施行。