数据合规风险排查清单模板.docxVIP

数据合规风险排查清单模板

本清单适用于全行业所有经营主体开展常态化数据合规风险排查工作，覆盖个人信息、重要数据、核心数据全类别全生命周期处理流程，常规排查周期为每90天1次，金融、医疗、互联网、关键信息基础设施运营主体常规排查周期为每30天1次，重大公共活动前7天需追加专项排查，发生数据安全事件后24小时内启动回溯排查，监管部门下达整改通知后3个工作日内完成全量覆盖排查。所有排查工作由至少3人组成的专项小组开展，小组配置要求为1名持有数据安全治理工程师证书的技术人员、1名熟悉对应业务全流程的业务人员、1名熟悉合规条款的法务人员，排查前所有成员需完成不少于8学时的专项培训，培训内容覆盖《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》全部核心条款，所有排查记录留存时间不少于3年，不得随意销毁，留存介质需做AES-256加密处理，访问权限仅限合规负责人2人以内授权开放。

第一章排查分级与结果落地管理要求

一、风险分级判定规则

（一）一级极高风险判定标准

直接触发50万元以上行政处罚、停业整顿、吊销相关资质的风险项，具体包含未经许可大规模出境重要数据、大规模泄露10万人以上敏感个人信息、非法向境外提供核心数据三类情况，该类风险一旦核实需第一时间启动最高等级应急响应。

（二）二级高风险判定标准

触发10-50万元区间行