企业数据合规·京师律所法律服务蓝皮书.pdf
《企业数据合规·京师律所法律服务蓝皮书.pdf》由会员分享,可在线阅读,更多相关《企业数据合规·京师律所法律服务蓝皮书.pdf(394页珍藏版)》请在咨信网上搜索。
1、声明声明本书由北京市京师北京市京师(上海上海)律师事务所律师事务所支持,以京师上海数据合京师上海数据合规与交易研究中心规与交易研究中心和京师总部数据出境合规法律事务部京师总部数据出境合规法律事务部团队成员为主,进行内容的整理与编著。未经编者许可,任何人不得将本作品应用于任何商业用途,亦不得以任何形式或者通过任何方式复制、转载本作品,否则我们将保留法律追究的权利。本书最终定稿于 2024 年 3 月,其中参考的法律法规、行业案例、司法实践均在此时间节点之前。本书内容仅代表编委会目前所持理论观点,并不排除会因此后法律法规的修改和变更的情况。同时,本书内容仅做交流之用,不代表编委会成员供职机构或其他
2、相关机构的法律/合规意见,所涉内容不构成对任何个案的意见、建议或观点。编委会和所涉发布平台明示,不对任何根据本书内容的作为或不作为所导致的后果承担责任。如您需要法律意见或者其他专家意见,应当与具有法律或其他相关职业资格的专业人士或与我们联系。主编:郭贺依主编:郭贺依副主编:卢鼎亮副主编:卢鼎亮编著委员会主要成员编著委员会主要成员(仅按名字首字母排序,不代表参与程度或存在其他含义):洪燕洪燕、李博文李博文、李思美李思美、缪斌静缪斌静、孙欢孙欢、王巧灵王巧灵、杨振杨振、朱丞贤朱丞贤特别感谢李逸仙律师团队对本书做出的突出贡献。特别感谢李逸仙律师团队对本书做出的突出贡献。支支持持单单位位:上海市计算机
3、行业协会专家顾问:专家顾问:戴龙戴龙中国政法大学国际法学院教授黄振中黄振中京师律所终身荣誉主任、北京师范大学法学院教授、博士生导师张凌霄张凌霄京师律所主任、中国政法大学法硕学院兼职教授党玺党玺浙江理工大学副教授、硕士生导师李梦李梦中国政法大学博士后、华北科技学院副教授靳雨露靳雨露清华大学法学院博士后、智能法治研究院助理研究员商建刚商建刚 上海政法学院副教授、数字法学研究中心主任本本法法律律服服务务团团队队联联系系方方式式:郭郭贺贺依依律律师师T TE EL L:1 13 36 61 11 11 12 29 96 60 07 7E Em ma ai il l:g gu uo oy yi in n
4、g g-e el le ev ve en n f fo ox xm ma ai il l.c co om m1总目录总目录 第一部分第一部分 数 据 合 规 通 论.002/01数据合规体系框架.004/02数据生命周期安全与数据资产梳理.013/03数据合规重点场景.023/04数据资产入表服务方案.054 第二部分第二部分 行业数据合规治理指南.057/01金融行业数据合规治理指南.058/02医疗行业数据合规治理指南白皮书.077/03AIGC 领域数据合规治理指南.113/04电子商务与网络交易合规指南.145/05大数据服务行业合规指南.194/06智能网联汽车行业数据合规治理指南.
5、228/07智能制造行业数据合规治理指南.255/08网络游戏行业数据合规治理指南.277 第三部分第三部分 企业数据相关风险行政监管应对及争议解决方案.324/01数据合规行政监管现状及应对.325/02数据处理中的刑事风险防范.353/03数据处理中民事侵权风险防范.371 第四部分第四部分 团队介绍及服务能力清单.3832第一部分第一部分数据合规通论数据合规通论3目录目录一、数据合规体系框架一、数据合规体系框架.41.1 数据合规的背景.41.2 数据合规的概念.51.3 数据合规的立法沿革和立法体系.61.4 数据合规的内容.71.4.1 建立健全数据安全合规管理组织体系.71.4.2
6、 建立健全数据全流程安全管理制度.81.4.3 定期开展数据合规培训.91.5 数据合规法律服务产品.10二、数据生命周期安全与数据资产梳理二、数据生命周期安全与数据资产梳理.132.1 数据生命周期.132.1.1 数据生命周期的定义.132.2 数据生命周期各阶段的合规风险及应对措施.132.3 数据资产梳理.182.3.1 分类分级的概念及流程.182.3.2 分类分级实践.20三、数据合规重点场景三、数据合规重点场景.233.1 个人信息保护视角下的 APP 数据合规.233.1.1APP 数据合规立法及监管体系.233.1.2APP 收集、处理个人信息的重要原则和规则.253.1.3
7、APP 数据合规高发问题及相应合规建议.303.1.4 隐私政策.343.1.5APP 整改与复架.373.2 数据出境合规.383.2.1 数据出境合规基本法律框架.383.2.2 数据出境概念.393.2.3 数据出境的路径.403.3 企业上市中的数据合规.503.3.1 拟上市企业数据合规问询要点.503.3.2 拟上市合规建议.52四、数据资产入表服务方案四、数据资产入表服务方案.544.1 项目服务流程.544.2 项目周期.544.3 现场主要调研内容.544.3.1 企业概况.544.3.2 数据资源概况.554.3.3 数据产品或应用概况.554.3.4 财务核算现状.564
8、一一、数数据据合合规规体体系系框框架架1 1.1 1 数数据据合合规规的的背背景景(1 1)全全球球互互联联日日益益深深入入,数数据据作作为为新新型型关关键键生生产产要要素素在在我我国国蓬蓬勃勃发发展展互联网自诞生起,便以惊人的速度普及全球,并深刻改变着全球产业、经济、利益、安全等格局以及人们的生产、生活方式。随着云计算、大数据、5G 及区块链等技术的飞速发展,海量数据更是源源不断喷薄而出,我们迎来了数据爆炸的时代,数字技术成为科技革命和产业变革的关键驱动器,数据要素成为关键生产要素和战略资源。自 90 年代以来,我国以数字技术和数据要素为依托,数字经济深度融入实体和生产消费活动全流程,数字经
9、济占 GDP 比重不断增加。数据作为数字经济时代下我国高度重视的核心生产要素之一,正在加速成为经济增长的新动力、新引擎。(2 2)数数据据安安全全保保护护机机制制缺缺位位,境境内内外外数数据据安安全全事事件件频频发发互联网技术日新月异,数据不断升级迭代,并随着被使用次数的增多而创造出无限多的数量。而建立数据安全保护机制及立法本身存在一定滞后性和局限性,容易存在保护缺位,数据安全风险也在同步激增。近年来,境内外数据安全事件频发,无论是信息泄露、内部数据权限转卖等重大数据安全事件,还是各类个人信息买卖案件、App 个人信息侵权事件,在使社会公众信息安全和财产安全面临威胁的同时,也引发了政府和公众对
10、数据安全的思考。数字化时代,企业数据合规迫在眉睫。(3 3)大大众众数数据据安安全全意意识识不不断断强强化化,维维权权行行为为高高发发随着移动互联网兴起和智能手机的普及,促使数字经济的商业主战场向客户京师律所郭贺依律师团队5端转移,移动支付、网络购物、网络游戏等商业模式百花齐放,产生微信、团购、短视频、直播等创新应用,让大众轻松实现一部手机走天下。个人与数据深度绑定,个人信息牵涉用户切身利益。而频发的数据窃取、泄露、滥用、劫持等攻击事件,不断刺痛社会公众的神经,数据安全由此成为近些年热度居高不下的社会话题,大众对个人信息安全与隐私保护重视程度不断提高,随着数据安全保护立法的完善,个人信息民事案
11、件数量明显攀升,同时以检察机关、消费者组织为原告的个人信息公益诉讼,日益发挥处理涉公共利益纠纷的重要作用。(4 4)政政府府密密集集立立法法、大大力力监监管管,全全面面践践行行国国家家安安全全在在数数据据安安全全层层面面的的要要求求自 2016 年以来我国陆续颁布的网络安全法数据安全法个人信息保护法构成了我国网络安全和数据保护领域立法的“三驾马车”,是合规监管所依据的基础性法律。在此基础之上,密集出台配套细则、标准、规范等,对法律的有效实施产生重大影响。数据领域监管力度不断加强,充分说明了监管部门对数据保护相关问题的重视。从政策角度来看,发展数字经济、保护数据安全不断被纳入国家发展计划,作为国
12、策推行。“数据”作为一种新的生产要素写入中央文件,我国成为全球第一个在国家政策层面将数据确立为生产要素的国家。1 1.2 2 数数据据合合规规的的概概念念数据合规是一个实务术语,用于描述确保敏感数据免受丢失、被盗、损坏和滥用的正式标准和实践。具体是指企业及其员工对于数据收集、存储、使用、处理、共享、转让、跨境或非跨境传输、流动、保护的行为需符合国际条约、国内法律法规规章、其他规范性文件、行业准则、商业惯例、社会道德以及企业章程、规章制度的要求。数据合规的概念不应该限缩在狭义范围内,更应从业务实践出发,讨论广义京师律所郭贺依律师团队6的数据合规内涵,以下我们将从主体、范围等方面展开探讨。1 1.
13、3 3 数数据据合合规规的的立立法法沿沿革革和和立立法法体体系系我国对数据的保护,可以追溯到 2012 年全国人大常委会发布的关于加强网络信息保护的决定,此后 4 年,对于数据和个人信息的规定寥寥,直至 2017年,中国第一部全面规范网络空间安全管理的基础性法律网络安全法在万众期待中颁布实施,成为奠定中国网络空间法治建设的重要里程碑。2021 年是我国的数据合规“元年”,数据安全法和个人信息保护法相继出台,与网络安全法一同构筑我国数据合规领域的顶层设计。此外,国家网络管理部门、工信部和其他行业监管部门也根据行业特点出台了行业数据合规行政规章及政策,配套法规和细化规定陆续发布,各行业的纵向标准也
14、接踵而至。除网络安全法数据安全法个人信息保护法三大法以及配套的法律法规外,数据合规还涉及民法典密码法电子商务法等其他法律。总体来看,我国在数据安全治理领域已经形成以法律、行政法规、部门规章、地方性法规,以及相关国家标准、行业标准等相结合的综合性规范体系,不断完善数据安全相关的制度建设。京师律所郭贺依律师团队71 1.4 4 数数据据合合规规的的内内容容随着数字经济的腾飞和数据规模的不断扩张,国家和企业等对数据管理提出了不同层面的要求,数据合规应运而生。自 2016 年以来,随着三大法律陆续出台,相关配套政策、细则等密集发布,数据合规的热度不断攀升,但仍有很多人对数据合规停留在一知半解的程度,发
15、出“数据合规到底是干什么的”灵魂拷问。其实数据合规的内容并无明确规定,但我们可以通过归纳零星分布于三大法中的条款一探究竟。1 1.4 4.1 1 建建立立健健全全数数据据安安全全合合规规管管理理组组织织体体系系数据合规的实现需要制定相应规则并予执行,建立、完善管理组织体系是基本前提。2023 年 9 月,深圳市互联网信息办公室联合深圳市检察院、司法局等发布的 深圳市企业数据合规指引对数据合规管理体系的建设给出了框架性的意见,具有重要的借鉴意义。首先,指引提供了由决策层、管理层、执行层及单设个人信息保护组成的层级架构。在执行层面,建议由法定代表人或主要负责人承担企业数据合规的第一负责人。在实务中
16、有些企业设置由总裁直接领导的合规管理委员会,作为负责合规管理体系运作的最高指导机构,有的企业会设置专门的数据保护合规官,京师律所郭贺依律师团队8领导合规部进行数据保护工作,负责数据合规规则的制定、执行与监督。在管理层面,企业应当设立专门的数据合规管理部门,或由合规管理、法务等相关部门承担数据管理职能,并配合数据合规专员。在执行层面,具体职能部门负责业务范围内的数据合规工作,关注和执行合规政策,落实具体合规要求。对于处理个人信息达到国家网信部规定数量的企业,指引建议单独指定个人信息保护负责人,并承担个人信息安全影响评估等隐私保护职责。1 1.4 4.2 2 建建立立健健全全数数据据全全流流程程安
17、安全全管管理理制制度度(1 1)数数据据生生命命周周期期合合规规在数据各个生命周期阶段,需要根据该阶段特点施行侧重不同的合规策略。如在数据采集阶段,企业需要区分来源于不同地区的数据,以明确目标法域的合规性审查规定及相关要求;在数据存储阶段,企业需要充分了解自身所存储的数据类型,适应主体进出简便化要求,同时允许个人在授权同意后做出变更;在数据分析及数据服务阶段,企业应适配信息处理“去标识化”及数据传输规范化要求。企业需要对敏感数据进行加密和匿名化处理,删除可识别的特定标识等。(2 2)数数据据分分类类分分级级保保护护制制度度数据具有庞杂的特性,需要进行有效梳理,才能更好地加以管理。因此,企业应对
18、自身数据资产进行全面梳理并分类,确立分类分级管控标准,明确不同类别、级别的操作要求和保护措施。难以分类的,建议按照从严原则进行分类与保护。重要、核心数据,应实施更加严格的合规管理制度,并建立日常记录和容灾备份机制。(3 3)安安全全技技术术保保护护措措施施做好数据安全合规体系建设离不开建立完善的数据安全技术体系。企业在进行数据安全技术体系建设时,要考虑数据安全、访问控制以及数据保护三个层面的问题。企业应根据分类情况,采取适当的匿名化、备份、加密、访问控制、入侵防范等数据安全保护措施。处理重要数据的系统应满足三级以上网络安全等级京师律所郭贺依律师团队9保护和关键信息基础设施安全保护要求。(4 4
19、)安安全全审审查查与与风风险险评评估估企业应对数据处理活动存在的风险点进行定期及不定期评估,对数据分类分级保护情况、数据安全技术保护措施有效性、关键基础设施安全水平、数据处理合规情况、法律法规变化和监管动态落实情况、数据安全预警和应急事件处置能力、数据安全问题整改和监管执法响应情况等内容进行评估,并形成数据合规风险评估报告。企业应对发现的各类风险进行分析评估,并制定相应的应对措施。(5 5)监监测测预预警警与与应应急急预预案案企业应当建立风险监测预警机制,当发现数据安全存在缺陷、漏洞等风险时,应当立即采取预防、补救措施。如识别的数据合规风险可承受,则需要建立分级管理机制,针对轻微等级的风险通常
20、只需进行日常合规培训,针对高等级的风险则需要责令限期整改、提交整改方案和报告。必要时,根据制度规定处理违规责任人,修复合规体系和技术漏洞,制定停止服务和消除影响补救方案等应急预案,在违规事件发生后立即实施预案,启动调查、处置和补救措施,并向主管部门报告,积极配合事件调查。同时,企业也应当制定数据安全应急预案,按照危害程度、影响范围等因素对数据安全事件进行分级,并确定应急处置的方针策略、人员职责、具体措施、流程规范、物资保障等事项。安全事件已造成或者可能造成严重后果的,应当及时告知可能受到影响的主体,并向有关主管部门报告。1 1.4 4.3 3 定定期期开开展展数数据据合合规规培培训训数据安全合
21、规治理是多元主体共同参与的过程,其中人员是落实数据安全各项要求有效实施的基石,应通过定期开展培训,将法律法规、标准规范、案例事件等进行宣讲,逐步提升人员对数据安全的价值认识和法律风险识别能力。开展数据培训时,企业可以进行全程电子或书面留痕,采取录像、照片、签到等方式,以证明企业开展数据合规培训的事实,并要求参加培训的员工签署数据合规承诺京师律所郭贺依律师团队10书,承诺严格依照法律法规和授权范围处理数据。1 1.5 5 数数据据合合规规法法律律服服务务产产品品数据合规内容纷繁复杂,企业不仅需要做到对法律规定、监管要求的准确理解和把握,也需要对运营过程中可能涉及的不合规情况进行整改。对一般企业而
22、言,很难在企业内部迅速组建一支专精数据合规事务的团队,且成本极高。鉴于此,团队倾力打造多款数据合规产品,以解企业数据合规之忧,产品清单如下:序序号号服服务务产产品品服服务务内内容容呈呈现现方方式式通通用用服服务务1数据合规法律尽职调查1.完善法律法规库、梳理合规义务清单2.全流程审查、全面了解企业的业务情况3.核查企业数据收集、处理活动的合法、合规性4.出具尽调结果,落实整改建议出具适用法规库合规义务清单尽职调查报告2搭建数据安全合规管理制度1.帮助建立健全数据安全合规管理组织体系2.依据数据全生命周期、数据访问者和场景制定数据安全防护方针和策略3.明确数据资产的分布和使用情况,进行数据分类分
23、级4.进行安全审查与风险评估制定数据安全合规 管 理 组 织 架构、制定数据安全防护方针和策略、出具数据分类分级表3数据合规风险识别1.梳理适用的法规库及监管实践要求2.制作风险要素清单,逐一核查3.对识别的风险点分类分级,确定合规措施优先级和紧急性4.出具合规风险评估报告出具适用法规库及监管要求合规风险要素清单合规风险评估报告4数据合规风险整改1.制定整改计划2.分阶段推进整改计划3.监督客户和外部合作方的合规整改出具数据安全风险合规整改计划1.确定培训对象制作数据合规培京师律所郭贺依律师团队115数据合规培训与考核2.制定、分享培训内容3.制定培训机制4.进行培训考核并形成反馈训课件、建立
24、培训机制、组织培训活动6数据&个人信息相关争议解决1.梳理争议案情2.出具争议解决方案3.跟进、处理案件4.出具诉讼风险防控意见出具争议案件相关法律文书、调查取证、参加庭审、和解或调解场场景景专专项项服服务务1个人信息保护合规审计与规划1.建立审计团队,开展审前调查,评估审计重点和优先级2.收集审计证据,形成工作底稿,对存在重大风险的个人信息处理活动实施特定审计程序3.出具审计报告,汇总上报列示的问题4.帮助制定整改方案出具个人信息安全影响评估审计报告整改方案2APP/小程序上架、备案或整改复架1.熟悉目标 APP,起草调查问卷,关注信息收集环节、是否符合告知同意原则、用户行权实践等2.结合实
25、际情况选择合适的隐私政策框架结构,确立合规基线,确定展示内容要素3.基于实际业务功能与操作情况,细化并完善展示内容出 具 调 查 问卷、梳理公司应遵守的法律合规要点、隐私政策完整文件3数据出境安全评估申报&标准合同1.排查数据出境的场景2.选择数据出境的合规路径3.对标法定监管要求,实施专项整改、补齐短板对跨境流动数据进行风险评估及备案4数据交易合规法律服务1.交易前对交易主体、拟交易数据产品、交易环境进行数据合规尽职调查及评估2.界定数据交易标的,设定交易双方权利义务,确定产品的价格和交付,明确数据权属等3.提示重要的合规风险出具数据合规尽职调查报告及评估数据交易协议境内外上市数1.梳理数据
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 数据 合规 京师 法律服务 蓝皮书
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【宇***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【宇***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。