T/JHX 0001-2023 属地化数据合规管理规范

团体标准

T/JHX0001-2023

属地化数据合规管理规范

Localdatacompliancerequirementsstandards

2023-07-09发布2023-08-01实施

天津市互联网协会发布

目录

前言....................................................................1

引言....................................................................2

属地化数据合规管理规范...................................................1

1范围...............................................................1

2规范性引用文件.....................................................1

3术语和定义.........................................................1

4组织环境...........................................................3

5组织各层级作用.....................................................6

6策划...............................................................9

7支持..............................................................11

8运行..............................................................15

9绩效评价..........................................................21

10改进.............................................................24

参考文献.............................................................26

前言

本文件依据T/CAS1.1—2017《团体标准的结构和编写指南》编写。本文件由天

津市互联网协会、天津朗言安全技术服务有限公司（拟填写企业/组织名称）共同提出。

本文件由天津市互联网协会归口，考虑到本文件中的某些条款可能涉及专利，天

津市互联网协会不负责对任何该类专利的鉴别。

本文件起草单位：天津仁爱学院、中国电建市政集团、北方大数据交易中心、天

津市公共交通集团（控股）有限公司、中海油信息科技有限公司、天津联通产业互联

网研究院、中国移动通信集团天津有限公司、天翼安全科技有限公司、天津朗言安全

技术服务有限公司、中汽数据有限公司、中汽信息科技（天津）有限公司、绿盟科技

集团股份有限公司、天津卓朗科技发展有限公司、中北泽泓（天津）科技有限公司、

天津四方君汇律师事务所。

本文件主要起草人：索华炜、孙凯桐、赵亮、闫崑、丁立莹、王丰、鲁世清、罗

才喜、胡天肖、刘天牧、沈平、李基亮、宫卿、刘洋、赵雅琳、张玉明、刘梦源、张

瑾、冯建媛、栗海辉、麦卓群、张靖、张超、陈璐、张旺、王文斌、武翔宇、陈怀源、

曹靖杰、窦文超、张洁、杨阳、姚粟元、张美珠、张晓辉。

本文件首次制定，在应用过程中如有需要修改与补充的建议，请将相关资料寄送

至天津市互联网协会网络与数据安全专委会，以便随时修订。

I

引言

数字经济正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的

关键力量。十八大以来，我国加快网络强国和数字中国建设，大力发展以数据为生产

要素的数字经济，坚持促进发展和监管规范两手抓、两手都要硬，建立全方位、多层

次、立体化监管体系，规范数字经济发展。

数据合规是数据要素释放潜能的前提和基础，是数据治理的重要组成部分。建立

和完善数据全流程合规和监管规则体系，落实贯穿数据治理全过程的合规要求，提升

组织数据治理与合规运营能力，是促进数字经济高质量发展的重要保障。

本文件以数据相关的法律法规为依据，以落实数据合规义务为目标，以构建数据

合规管理体系为核心，提出组织体系、制度体系、运营体系和保障体系等方面的数据

合规管理要求，对组织及其最高管理者、员工、第三方合作伙伴开展数据处理和安全

管理全流程监测与防控确立了行为规范和边界。

本文件可以作为天津市本地组织开展数据合规管理活动的依据，也可作为天津市

认证机构开展认证、法律从业者开展数据合规业务、组织开展第三方监督评估、政府

开展数据合规治理的参考依据。同时，本文件可以作为天津市数据管理能力成熟度评

估有关数据合规方面的补充要求。

II

属地化数据合规管理规范

1范围

本文件规定了天津市属地化组织有效的建立、实施、运行和持续改进数据合规管理体系的要求。

本文件适用于所有类型的组织，不论其类型、规模、性质，也不论其是公共的、私营的或非营利性的，

可用于组织对数据合规管理体系的自我评价、二方审核和第三方认证。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件；

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T19011-2021管理体系审核指南

GB/T35295-2017信息技术大数据术语

GB/T36073-2018数据管理能力成熟度评估模型

GB/T35770-2022合规管理体系要求及使用指南

3术语和定义

GB/T19011-2021、GB/T35295-2017、GB/T36073-2018、GB/T35770-2022界定的以及下列术语和定

义适用于本文件。

3.1

数据生存周期datalife-cycle

将原始数据转化为可用于行动的知识的一组过程[GB/T35295-2017，定义2.1.2]。

3.2

数据合规文化datacomplianceculture

贯穿整个组织的价值观、道德规范、信仰和行为，并与组织结构和控制系统相互作用，产生有利于数

据合规的行为规范。

注：价值观是组织所崇尚的文化的核心，是组织行为的基本原则。

1

3.3

数据合规团队datacomplianceteam

对数据合规管理体系运行负有责任或享有权限、提供的一组人，应当包括组织负责数据安全的人

员，建议包括第三方的数据安全专业人员、法律专业人员等。数据合规团队的监督往往由管理者牵

头，多人协作完成。

注：最好指定一人负责数据合规管理体系的监督。

3.4

数据合规义务datacomplianceobligations

包括但不限于组织强制性必须遵守的与数据有关的要求，以及组织选择性自愿遵守的与数据有关的要

求。

注1：强制性必须遵守的与数据有关的要求包括但不限于：法律法规；许可、执照或其他形式的授权；监管机构发布

的命令、条例或指南；法院判决或行政决定；条约、公约和协议；强制性标准等。

注2：选择性自愿遵守的与数据有关的要求包括但不限于：与相关方签订的协议；组织的要求，如战略和程序；自愿

的原则或规程；自愿性标志或环境承诺；相关组织的和产业的标准等。

3.5

数据合规风险datacompliancerisk

因未履行组织数据合规义务而发生不合规的可能性及其后果。

3.6

组织Organization

由若干个人或群体所组成的、有共同目标和一定边界的社会实体，此处特指为实现数据安全的目

标，互相协作结合而成的集体或团体。

2

3.7

属地化Territorialization

一切均以所属地区方针、政策为准，即属地管理为原则，或辖地管理为原则，按当地方针、政策

办理。

3.8

数据合规Datacompliance

数据活动需要符合一切国家法律法规、政策标准，以及行业标准及相关行业规则。

3.9

相关方Relatedparties

参与该数据安全工作的个体和组织，或由于数据安全的实施与成功，其利益会直接或间接地受到

正面或负面影响的个人和组织。

4组织环境

4.1理解组织及其环境

a）组织应确定与其宗旨相关的，且影响其实现数据合规管理体系预期结果能力的外部和

内部事项。组织应综合诸多事项，包括但不限于：业务模式，包括组织活动和运行的战略、性

质、规模、复杂性和可持续性；

b）内部结构、战略、过程、程序和资源；

c）系统、工具、平台等技术环境；

d）自身的合规文化；

e）经济状况；

f）与第三方业务关系的性质和范围；

g）社会、文化、环境背景；

h）法律和监管环境。

3

4.2理解相关方的需求和期望

组织应确定：

a）数据合规管理体系的相关方；

b）相关方的有关数据合规方面的需求；

c）将通过数据合规管理体系予以解决的需求。

注：相关方的要求可包括法律、法规要求和合同义务。

4.3数据合规管理体系的建立

组织应确定数据合规管理体系的边界及其适用性，以确立其范围。

数据合规管理体系可分为四层架构，每一层作为上一层的支撑。

第一层是管理总纲，是组织数据合规的战略导向。应明确组织数据合规的目标重点。

第二层是管理制度，是数据合规体系建设导向。应建立数据安全管理制度、组织人员与岗位职责、应

急响应、监测预警、合规评估、检查评价、教育培训等制度。

第三层是操作流程和规范性文件，是组织安全规范导向。作为制度要求下指导数据安全策略落地的指

南。应建立数据分类分级操作指南、技术防护操作规范、数据安全审计规范等指导性文件。

第四层是表单文件，是组织安全执行导向。作为数据安全落地运营过程中产生的执行文件。应建立数

据资产管理台账清单、数据使用申请审批表、安全审计记录表、账号权限配置记录表等。

注：数据合规管理体系的范围旨在阐明组织面临的主要合规风险以及数据合规管理体系将适用的地理或组织边界。

在确定范围时，组织应考虑：

a）4.1中提到的内部和外部事项；

b）4.2、4.5、4.6中提到的要求；

c）组织实施的活动之间的及其与其他组织实施的活动之间的接口和依赖关系。

该范围应形成文件化信息并可获取。

4.4数据合规管理体系

组织应按照本文件的要求，建立、实施、维护和持续改进数据合规管理体系，包括所需的过程以及过

4

程之间的相互作用。数据合规管理体系应结合组织环境（见4.1）反映组织的价值观、战略、目标和数

据合规风险。

4.5数据合规义务

组织应系统识别来源于组织活动、产品和服务过程中所产生的数据合规义务，并评估其对组织运营所

产生的影响。

组织应建立过程以：

a）识别新增及变更的数据合规义务，以保证持续数据合规；

b）评估已识别的新增及变更的数据合规义务所产生的影响，并对数据合规义务管理进行必要的调整。

组织应维护其数据合规义务的文件化信息。

4.6数据合规风险评估

组织应定义并应用数据合规风险评估过程，以：

a）建立并维护数据合规风险准则，包括：

1）数据合规风险接受准则；

2）数据合规风险评估实施准则。

b）确保数据合规风险评估产生一致的、有效的和可比较的结果；

c）识别数据合规风险：

1）应用数据合规风险评估过程，以识别数据合规管理体系范围内与数据保密性、完整性和可用性

有关的风险；

2）识别数据合规义务与组织活动、产品、服务以及运行的相关方面关联风

险。

d）分析数据合规风险：

1）评估4.6.c）中所识别的风险实际发生的可能性；

2）评估4.6.c）中所识别的风险发生后，可能导致的潜在后果；

3）确定风险级别。

e）评价数据合规风险：

1）将风险分析结果与4.6.a）中建立的风险准则进行比较；

5

2）为风险处置排序及确定风险的优先级。

f）组织应评估与外包的和第三方的过程相关的数据合规风险；

g）应定期评估数据合规风险，并在组织环境发生重大变化时进行评估；

h）对于数据出境，应依法评估；

i）应维护有关数据合规风险评估