360数科发布数据安全制度“顶层设计” 七大原则夯实合规治理

近日，360数科向公司全员发布《360数科个人信息保护与数据治理基本政策》（以下简称：基本政策），作为公司个人信息保护，数据安全及合规管理制度、规范、指引的总则，基本政策扮演着数据治理制度体系顶层设计之纲领，全面统领公司内个人信息保护与数据安全处理规范，明确提出正当、合法、最小必要等七大基本原则，覆盖数据处理活动全生命周期、各环节的合规要求，进一步健全和规范公司数据治理制度体系建设，体系化地落实个人信息保护与数据安全管理的企业义务。该政策已于今年1月1日在全公司施行并生效。

2021年以来，伴随着《数据安全法》和《个人信息保护法》的陆续推出和施行，360数科内部效率安全部、合规部、公共事务部、公关部、产品部等业务线共同成立专项工作小组，统筹推动公司内部数据安全管理和数据安全法规制度落地，并陆续制定了《360数科数据安全管理制度》、《360数科数据分类分级管理制度》、《360数科第三方系统接入管理规定》等一系列数据安全管理制度，建立健全公司数据安全和个人信息保护合规制度体系。2022年伊始，《360数科个人信息保护与数据治理基本政策》在公司的发布和施行，以“总则”的高度为已发布和待发布的10余项数据管理制度构筑了“顶层设计”，全面统领和规范了公司数据处理活动，进一步健全和规范公司数据治理制度体系建设，《基本政策》适用于公司内开展的数据处理活动，将包括对个人信息及数据的收集、存储、使用、加工等全生命周期过程纳入有效制度管理。

遵循《数据安全法》和《个人信息保护法》相关数据活动规范原则的基础上，《基本政策》提出了正当、合法、最小必要、目的限定、公开透明、权责一致、保证数据质量7大基本原则，其中“权责一致““保证数据质量“原则结合了360数科实际业务和经营管理，进一步丰富了规范数据活动的基本原则，做到有法可依，将法落地，与法对齐。与7大基本原则一同写入第一章总则的还有”分类分级“和”合规遵从“两大基本要求，根据公司相关规定，指引，参照数据安全相关的法律法规，及适用的标准、执法与行业实践，对数据实行分类分级管理，其中，公司结合实际运营情况，根据业务模块，按照数据的安全属性等不同维度对数据进行再分类分级。

《基本政策》对数据收集、存储、访问控制、去标识化和匿名化处理、使用等数据全周期各环节处理活动均进行了针对性、详细的规范，并关联相应的管理制度或业务指南。在合规管理方面，360数科同时对数据保护安全措施、数据安全审计、年度合规审计，供应商及合作伙伴管理等明确了合规要求，全面对齐国家法律、监管部门对个人信息保护与数据管理的最新指引。

去年11月，国家互联网信息办公室发布了《网络数据安全管理条例（征求意见稿）》，该条例为规范网络空间的数据处理活动，在《数据安全法》的基础上，融入了《个人信息保护法》等监管思想，将平台数据安全与用户信息权益保护两轨纳入统一监管，对互联网平台运营者提出了更明确的义务要求，360数科制定的《基本政策》作为公司数据治理制度体系顶层设计，在规范业务侧的数据处理活动的同时，重点关注对数据主体权利的响应，包括权利类型、响应机构、响应时限和处理机制，做到数据安全和信息保护的协同统一。