围绕数据合规实务,本书除了介绍法律人员可以“做什么”,还与读者分享“怎么做”。为此,书中使用了大量作者在律师执业中的案例和示例(38个专业案例和36个工作示例)。
▣案例旨在介绍数据合规工作的方法,说明数据合规常见问题以及现行法律和监管要求下的重点事项。
▣示例旨在展示工作文件(如数据合规尽职调查清单、尽职调查报告、法律意见书)和工作成果(如合同条款、数据合规行为准则、数据合规整改行动计划)。
▣本文为刘瑛律师特别为《数据合规实务:尽职调查及解决方案》一书付梓上市所写,旨在为屏幕前的读者诸君介绍数据合规在实务领域中的前沿动态。更多内容推荐参阅纸质书。
2021年,中国数据保护发展迈进新里程。这一年,《数据安全法》和《个人信息保护法》相继出台并施行,个人信息保护、互联网平台、网络安全审查等重点领域的立法频出,监管要求日趋精细化,执法呈常态化趋势。这些对企业网络安全、数据安全和个人信息保护(以下统称“数据合规”)的治理及合规管理提出了越来越高、越来越细的要求。网络已经深度融入社会经济生活的各个方面,网络安全的重要性日益凸显。
随着数字经济的发展,数据已成为新的生产要素,数据所蕴含的巨大商业价值也愈发被市场发现和认可。企业数据资产在企业总资产的占比越来越高。企业数据资产如果存在严重不合规问题,可能影响运营和持续发展。在投融资项目中,数据合规问题被投资人关注。在企业上市中,数据合规问题更是从幕后走向前台,成为上市相关审核部门在企业上市评估及问询过程中的重点关注话题。为保障公司业务的合规经营、促进上市计划的顺利实施,企业开始建立数据合规体系,布局数据合规治理工作,应对数据合规挑战。
伴随着监管催生的企业应急式数据合规治理,企业数据合规工作也逐渐融入企业的日常经营和企业管理活动,呈现出常态化的趋势。
社会执业律师、公司律师或企业内部法律顾问等法律专业人士(统称“法律人员”)能够整体理解法律监管体系,谙熟法律规则的适用,在数据合规工作中起着非常重要性的作用。数据合规常态化下,法律人员可以做什么、怎样做,是大多数法律人员亟需了解和掌握的问题。
▣数据合规法律实务,做什么?
企业在数据合规方面的服务需求是多方面的,与企业的业务活动、企业的发展阶段、合规管理要求、监管动态等等相关。下图呈现目前阶段企业在数据合规方面的常见需求:
我们将以上大致归纳在三类场景中:
一是企业运营管理、商业交易中的数据合规。企业日常运营中,无论是用户数据、还是员工个人信息的保护,无论是业务产品的合法合规性论证、还是用户个人信息处理规则以及数据处理合同等交易文件的准备,都越来越多地需要法律人员从数据合规角度审视和考量。特别是对于涉及大数据、网络安全、云计算服务以及互联网平台等业务的企业,在对产品和服务进行可行性分析及制定解决方案时,更是必须考虑数据合规。企业处理和应对网络安全事件或案件,也离不开法律人员的专业支撑。
二是企业合规体系建设中的数据合规。从企业合规体系建设看,无论是企业数据合规管理机构和“三道防线”的设置、还是数据合规制度和规范建立、数据安全管理措施的实施,以及为员工提供数据安全合规培训等,都需要法律人员提供专业支撑。
三是企业上市、投融资等重大经营事项中的数据合规。上市、投融资等重大交易活动中,企业的网络安全及数据安全、个人信息保护合规情况是证券监管机构/投资人关注的重点。特别是对于科技企业和互联网企业,数据是企业资产价值评估的重点,数据处理全流程合法合规情况也成为上市审核的核心要素。数据合规已经从幕后走向前台,成为上市相关审核部门和投资人重点关注的事项。
为实现上市、投融资目标,满足上市监管规则/投资人的要求,企业亟需法律人员专业支撑,排查数据合规风险,并在相对较短期限内完成整改。法律人员通过对企业网络安全和数据处理情况的调查了解,结合对法律法规和监管要求的理解判断,识别企业数据合规风险,提供整改方案,与企业业务、信息安全等各专业条线一同落实整改措施,防范交易风险、促进交易的安全实现。
▣数据合规法律实务,怎样做?
与其他领域中的合规工作类似,法律人员提供数据合规支撑通常都需经过数据合规风险识别(数据合规尽职调查)一数据合规整改(数据合规解决方案)一数据合规结论意见(结论性意见/专项分析意见)的流程。
数据合规工作需要以尽职调查为基础,通过尽职调查摸底企业数据处理情况,识别企业存在的数据合规问题。通过数据合规尽职调查,了解了企业的数据合规状况,识别出存在或潜在的数据合规问题和风险,法律人员对于需要整改的事项和整改工作方向有了基本判断,进而进入整改环节,为企业的数据合规整改工作提供专业支撑。
企业完成数据合规整改工作后,通常需要法律人员(特别是社会执业律师)对企业的数据合规情况发表结论性意见。在上市、投融资项目中,数据合规情况结论法律意见可能是企业申请上市或完成投融资交割的必备文件。
在企业日常运营、合规体系建设项目中,企业也需要律师发表法律意见,作为对企业数据合规相关工作成效的“认证”或“背书”。
与其他领域中的合规工作相比,数据合规工作有其特点。专业、高效、务实的数据合规工作要求法律人员既要熟悉数据合规法律规则和监管要求,又要理解企业业务和企业管理。
首先,法律人员需要熟悉数据合规法律规则和监管要求。
数据合规话题中最为典型的、且引起社会关注的领域是个人信息保护。但是,数据合规远不止个人信息保护。
2021年相继出台和施行的《数据安全法》和《个人信息保护法》,与早在2017年已生效实施的《网络安全法》共同构建了中国网络安全、数据安全和个人信息保护的法律框架体系。这三部法律以《国家安全法》所代表的国家总体安全观为统一指引,以维护国家安全、网络安全、数据安全和保护个人信息权益为宗旨,为网络安全、数据安全和个人信息保护合规管理体系建设奠定重要法治基础。
除《网络安全法》《数据安全法》和《个人信息保护法》外,《民法典》《刑法》《密码法》《消费者权益保护法》《电子商务法》等也对网络安全、数据安全和个人信息保护有相关规定。为配套网络安全、数据安全和个人信息保护法律的落地实施,行政法规、规范性文件、司法解释、部门规章、地方性法规以及技术标准逐步出台、修订,其侧重点不同,分别规定各自领域内的具体规则。
法律人员开展数据合规工作,必须了解并正确把握网络安全、数据安全和个人信息保护三者之间的关系,谙熟并掌握《网络安全法》《数据安全法》和《个人信息保护法》与其他部门法以及相关行政法规、规范性文件、司法解释、部门规章、地方性法规以及技术标准的适用关系和具体规则要求。
其次,法律人员需要理解企业的业务和管理。
数据活动产生于经营和管理活动,法律人员开展数据合规工作需要理解企业的业务和管理,包括但不限于理解企业的业务或产品逻辑、相关经营活动的商业意图或交易目标,以及企业的信息技术系统资源等情况。切忌将数据合规工作与业务、管理相割裂,仅考虑“数据合规”而不考虑业务实质和管理实际。
例如,法律人员需要起草一个电子商务平台的移动应用程序(App)的个人信息处理规则(隐私政策)时,需要先了解该平台中平台运营者的角色,平台运营者与平台内经营者、用户(消费者)、平台内其他服务方(例如支付、物流、技术服务商等等)之间的业务关系、法律关系,并且通过以用户视角体验App收集和使用个人信息等数据的全流程、对企业后台数据管理系统进行核查等方式进行穿行测试,从而正确梳理在电子商务平台中的各类业务活动所涉及的各项数据处理活动情况,准确判断平台内的各方在数据处理活动中的决策、分别享有和承担何种数据保护权利和义务,才能准确地草拟该平台对应的隐私政策。如果复制、粘贴其他企业的隐私政策或套用、照搬各类模板,将出现与业务实际情况不相符的情形。这样不但不能满足法律和监管规定的要求,而且平台在处理涉及个人信息争议纠纷时,上述模板隐私政策将无法为平台提供合法有效的抗辩。
又如,在法律人员对企业的数据合规管理体系建设提供法律支撑时,除需要了解法律和监管要求外,还需要了解企业所在的行业、企业战略、业务发展、组织结构、信息技术系统基础等现有资源以及企业整体合规治理安排,综合考虑从而提出贴合企业实际情况、切实可行的数据合规管理方案。否则,法律人员形成的企业数据合规管理的有关制度、文件,可能因不具有可操作性而被束之高阁,无法发挥其价值。
▣《数据合规实务:尽职调查及解决方案》——工作说明与实例展示
《数据合规实务:尽职调查及解决方案》一书聚焦企业数据合规实务,以作者作为社会执业律师参与的数据合规工作为例,围绕着数据合规法律实务,深入介绍法律人员可以“做什么”、“怎么做”。
书中使用了大量源于作者在律师执业中的实例,介绍数据合规法律工作方法,说明数据合规常见问题以及现行法律和监管要求下的重点事项,并通过工作文件(例如数据合规尽职调查清单、尽职调查报告、法律意见书)和工作成果(例如合同条款、数据合规行为准则、数据合规整改行动计划)示例,直观地说明或帮助法律人员理解数据合规风险识别(数据合规尽职调查)一数据合规整改(数据合规解决方案)一数据合规结论意见(结论性意见/专项分析意见)的工作流程,以期为法律人员快速了解和掌握数据合规常态下的法律工作提供参考。
━ ━ ━
(目录是一本书的精华)
━ ━ ━━━
第一章数据合规尽职调查
一、数据合规尽职调查内容
(一)了解企业的业务情况
(二)梳理业务经营中的数据处理活动
1.区分数据的类型
2.核查数据生命周期全流程
3.甄别企业在数据处理活动中的角色
(三)了解企业数据合规管理情况
1.核查企业的数据安全管理组织架构
2.核查企业的数据安全管理制度
3.核查企业业务的数据安全技术措施
4.核查企业的网络信息系统安全等级保护情况
5.核查企业的数据安全教育培训情况
(四)核查企业涉及的与数据合规相关的争议、诉讼、仲裁或行政处罚等情况
(五)数据合规尽职调查的几个重点核查事项
1.企业是否属于关键信息基础设施的运营者
2.企业处理的数据是否属于重要数据、核心数据
3.企业处理个人信息的规模
4.企业是否需要进行网络安全审查
二、数据合规尽职调查方式
(一)核查企业提供的资料
1.准备数据合规尽职调查资料清单
2.视情况准备数据合规补充尽职调查清单
(二)进行网络平台穿行测试
(三)访谈相关人员
(四)通过公共查询渠道核查印证
三、数据合规尽职调查报告
(一)企业上市、投融资项目的数据合规尽职调查报告
1.《数据合规尽职调查报告》模板示例
2.《数据合规尽职调查重大法律问题备忘录》示例及简析
(二)企业日常运营项目、数据合规体系建设项目的数据合规尽职调查报告
第二章数据合规解决方案
一、制订数据合规整改行动计划
二、落实数据合规整改措施
(一)个人信息处理流程及文本的整改和优化
1.业务流程的整改优化
2.个人信息处理规则(隐私政策)的整改和优化
(二)业务或交易等商业合同的整改和优化
1.场景一:企业作为数据委托方委托合同对方处理个人信息等数据
2.场景二:企业作为受托方处理合同对方提供的个人信息等数据
3.场景三:企业与合同相对方共同处理个人信息等数据
4.场景四:因合并、分立、解散、被宣告破产等原因需要转移个人信息等数据
5.场景五:企业向合同相对方提供个人信息等数据
(三)建立企业数据合规管理体系
1.搭建网络和数据合规组织架构
2.建立和完善网络及数据安全相关制度
第三章数据合规结论性意见
一、就企业数据合规情况发表结论性法律意见
二、就数据合规的特定事项出具法律分析意见
(一)关于企业是否属于关键信息基础设施运营者的专项分析意见
(二)关于企业数据分类分级管理的专项分析意见
(三)关于企业是否需要进行网络安全审查的专项分析意见
(四)关于数据出境的专项分析意见
案例目录
案例1-1不同业务模式下的企业数据处理角色
案例1-2“告知—同意”规则履行情况的核查与分析
案例1-3“单独同意”规则履行情况的核查与分析
案例1-4数据来源合法性核查与分析
案例1-5违法使用爬虫或类似自动化技术收集数据与分析
案例1-6数据使用范围是否符合用途的核查与分析
案例1-7个人信息使用范围是否符合用途的核查与分析
案例1-8利用个人信息进行自动化决策是否符合法律规定的核查与分析
案例1-9AI“换脸”软件涉嫌侵权
案例1-10对人脸识别第三方SDK情况的核查与分析
案例1-11关于互联网医院数据存储期限的核查与分析
案例1-12受政府委托处理政务数据行为的核查与分析
案例1-13第三方SDK数据存储境外的核查与分析
案例1-14委托方处理个人信息与受托方签订合同情况的核查与分析
案例1-15委托处理个人信息向个人告知并取得同意情况的核查与分析
案例1-16委托处理个人信息前个人信息影响评估情况的核查与分析
案例1-17受托方按照合同约定处理数据情况的核查与分析
案例1-18受托方在合同中对委托方数据来源合法合规的约定
案例1-19母公司与其子公司共同处理客户信息核查与分析
案例1-20App运营者与SDK提供方共同处理用户个人信息核查与分析
案例1-21数据转移中提供方的告知义务
案例1-22接收方变更原先处理目的应当重新取得个人同意
案例1-23向其他数据处理者提供数据告知个人情况的核查与分析
案例1-24对数据提供方数据来源合法性情况的核查与分析
案例1-25涉及大量个人信息处理活动的企业设置个人信息保护负责人情况的核查与分析
案例1-26关键信息基础设施运营者制定网络服务和产品采购审查相关制度情况的核查与分析
案例1-27网络日志留存期限核查与分析
案例1-28企业网络安全等级定级、备案情况核查与分析
案例1-29未按照整改要求完成整改的核查与分析
案例2-1E公司被网信办约谈事项处理的整改方案
案例2-2关于某App隐私政策授权方式的整改
案例2-3关于某App隐私政策展示方式的整改
案例2-4关于某App敏感个人信息单独同意流程的整改
案例2-5关于某App索取手机相册权限流程的整改
案例2-6关于某App个人信息权利保障路径流程的整改
案例2-7关于某App账号注销功能的整改
案例2-8关于某App隐私政策文本规范性的整改
案例2-9关于儿童隐私政策
示例目录
示例1-1产品合规审查项目的数据尽职调查清单
示例1-2企业数据合规体系建设项目的尽职调查资料清单
示例1-3企业融资项目的尽职调查资料清单
示例1-4补充尽职调查清单
示例1-5App穿行测试核查记录
示例1-6产品合规审查的数据合规尽职调查访谈问卷清单
示例1-7企业赴香港上市项目的数据尽职调查访谈问卷清单
示例1-8数据安全、网络安全、个人信息保护相关诉讼处罚核查情况表
示例1-9《数据合规尽职调查报告》
示例1-10《数据合规尽职调查重大法律问题备忘录》
示例1-11企业日常运营事项、数据合规体系建设项目备忘录
示例2-1某香港上市项目的数据合规整改行动计划
示例2-2某融资项目的数据合规整改行动计划
示例2-3C企业个人信息保护合规整改行动计划
示例2-4D企业某产品合规论证项目
示例2-5互联网平台数据合规整改事项行动清单
示例2-6数据处理合同相关条款(委托方角度)
示例2-7数据处理合同条款(受托方角度)
示例2-8数据处理合同条款(共同处理者角度)
示例2-9因企业分立产生的数据转移
示例2-10某电信运营商向银行提供电信用户个人信息
示例2-11集团内信息共享的相关合同条款
示例2-12关于数据处理的补充协议
示例2-13关于××企业数据合规管理组织架构的方案建议
示例2-14企业《数据合规行为准则》
示例2-15企业《数据安全管理办法》
示例2-16企业《数据分类分级管理制度》
示例2-17儿童个人信息保护制度文件
示例3-1香港上市项目数据合规专项法律意见
示例3-2企业融资项目数据合规专项法律意见书
示例3-3企业日常运营中的数据合规专项法律意见
示例3-4关于某企业是否属于CIIO的分析意见
示例3-5关于某企业数据分类分级工作的分析意见
示例3-6关于某在线职业培训企业是否需要进行网络安全审查的法律意见
示例3-7关于某网约车企业是否需要进行网络安全审查的分析意见
示例3-8关于企业因业务需要而向境外提供相关数据的法律意见
限时特惠:本站每日持续更新海内外内部创业教程,一年会员只需88元,全站资源免费下载点击查看详情。
站长微信:nnxmw123
