大數(shù)據(jù)時代背景下數(shù)據(jù)合規(guī)的體系構(gòu)建

1、針對中國商業(yè)的法律解決方案大數(shù)據(jù)時代背景下數(shù)據(jù)合規(guī)的體系構(gòu)建 2021 年 9 月 27日 目 錄2數(shù)字經(jīng)濟時代的合規(guī)監(jiān)管新趨勢 1.1 企業(yè)數(shù)據(jù)合規(guī)的重要性1.2 中國數(shù)據(jù)合規(guī)制度概覽 第一部分數(shù)據(jù)安全 VS 合規(guī)管理的認知再出發(fā)第二部分數(shù)據(jù)安全合規(guī)的熱點與難點第三部分數(shù)據(jù)安全合規(guī)體系構(gòu)建標準與實踐 第四部分數(shù)據(jù)安全合規(guī)團隊的基本素質(zhì)要求第五部分21民事訴訟風險：中國裁判文書網(wǎng)顯示，民法典生效后侵犯公民個人信息罪的民事判決達 82 起。2刑事訴訟風險：最近一年侵犯公民個人信息罪的刑事判決數(shù)量 1586 起，最近三年侵犯公民個人信息罪的刑事判決數(shù)量高達 6626 起。3APP治理持續(xù)嚴管態(tài)勢：

2、工業(yè)和信息化部開啟了侵害用戶權(quán)益專項整治行動。截至2021年9月，App 侵害用戶權(quán)益專項整治行動共檢查 117 萬 款 App，對 4116 款違規(guī) App 提出了整改要求，公開通報 1532 款整改不到位的 App，組織下架 444 款拒不整改的 App。4數(shù)據(jù)合規(guī)調(diào)查：7月2日，國家網(wǎng)信辦官網(wǎng)發(fā)布公告，對“滴滴出行”實施網(wǎng)絡(luò)安全審查，審查期間“滴滴出行”停止新用戶注冊，或因被審查影響，7月2日滴滴股價開盤跌幅近11%。僅三日后，國家網(wǎng)信辦官網(wǎng)又對“運滿滿”“貨車幫”“BOSS直聘”實施網(wǎng)絡(luò)安全審查，停止新用戶注冊。5審核機關(guān)對擬上市企業(yè)問詢回復的審查：審核機關(guān)針對數(shù)據(jù)合規(guī)的問詢更加具體、

3、有針對性，發(fā)審委將針對企業(yè)回復中不明晰的闡述持續(xù)追問，為準確回答該等問詢問題，擬上市企業(yè)需對企業(yè)數(shù)據(jù)進行全面和準確的風險識別并落實相應(yīng)合規(guī)措施。1.1 企業(yè)數(shù)據(jù)合規(guī)的重要性3數(shù)字經(jīng)濟時代，各行業(yè)都需敲響警鐘，做好數(shù)據(jù)合規(guī)工作，否則可能面臨各種潛在風險1994計算機信息系統(tǒng)安全保護條例國家信息化領(lǐng)導小組關(guān)于加強信息安全工作的意見20072017信息安全等級保護管理辦法全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定100 部法律法規(guī)或國家標準20 部草案或征求意見稿（2019以來）2020民法典、網(wǎng)絡(luò)安全審查辦法、個人金融信息保護技術(shù)規(guī)范等420211.2.1 中國數(shù)據(jù)合規(guī)制度概覽：立法進程網(wǎng)絡(luò)安全法2

4、017.06.01實施 數(shù)據(jù)安全法2021.09.01 實施個人信息保護法即將實施2021.11.01互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定（征求意見稿）汽車數(shù)據(jù)安全管理若干規(guī)定 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定 網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）數(shù)據(jù)安全管理辦法（征求意見稿）常見 APP 必要個人信息范圍規(guī)定 個人信息出境安全評估辦法（征求意見稿）個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）網(wǎng)絡(luò)安全漏洞管理規(guī)定（征求意見稿）App違法違規(guī)收集使用個人信息行為認定方法（征求意見稿）全國信息安全標準化技術(shù)委員會（TC2

5、60）主管業(yè)務(wù)指導統(tǒng)籌協(xié)調(diào)中央網(wǎng)絡(luò)安全和信息化委員會國家互聯(lián)網(wǎng)信息辦公室行業(yè)主管部門（銀保監(jiān)會、人行、交通運輸部、密碼管理局）工信部門數(shù)據(jù)跨境關(guān)鍵信息基礎(chǔ)設(shè)施個人信息保護網(wǎng)絡(luò)產(chǎn)品與服務(wù)網(wǎng)絡(luò)安全等級保護公安部門密碼產(chǎn)品應(yīng)急響應(yīng)制度市場監(jiān)管部門1.2.2 中國數(shù)據(jù)合規(guī)制度概覽：執(zhí)法機構(gòu)第1部分：中國數(shù)據(jù)合規(guī)制度概覽 執(zhí)法機構(gòu) 5三階層監(jiān)管體系國家網(wǎng)信部門：統(tǒng)籌協(xié)調(diào)國務(wù)院有關(guān)部門：各司其職縣級以上地方人民政府有關(guān)部門：依規(guī)履行網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)的監(jiān)督管理職責5網(wǎng)絡(luò)內(nèi)容管理和實名制個人信息保護網(wǎng)絡(luò)產(chǎn)品與服務(wù)應(yīng)急響應(yīng)機制關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全等級保護數(shù)據(jù)跨境網(wǎng)絡(luò)安全法數(shù)據(jù)安全法個人信息保護法1.2.3

6、 中國數(shù)據(jù)合規(guī)制度概覽：執(zhí)法概況工信部：工業(yè)和通信業(yè)行業(yè)管理視角執(zhí)法公安部：公安工作視角執(zhí)法市場監(jiān)管局：市場綜合監(jiān)督管理視角執(zhí)法常見執(zhí)法機構(gòu)各部委聯(lián)合執(zhí)法行動成立專案小組開展執(zhí)法執(zhí)法機構(gòu)專案調(diào)查常見執(zhí)法模式個人信息保護網(wǎng)絡(luò)內(nèi)容管理和實名制數(shù)據(jù)跨境應(yīng)急響應(yīng)機制（安全風險或安全事件）重點執(zhí)法領(lǐng)域第1部分：中國數(shù)據(jù)合規(guī)制度概覽 執(zhí)法概況 6金融行業(yè)數(shù)字媒體行業(yè)交通運輸行業(yè)醫(yī)療行業(yè)重點執(zhí)法行業(yè)6目 錄7數(shù)字經(jīng)濟時代的合規(guī)監(jiān)管新趨勢 第一部分第二部分數(shù)據(jù)安全合規(guī)的熱點與難點第三部分數(shù)據(jù)安全合規(guī)體系構(gòu)建標準與實踐 第四部分數(shù)據(jù)安全合規(guī)團隊的基本素質(zhì)要求第五部分數(shù)據(jù)安全 VS 合規(guī)管理的認知再出發(fā)2.1 數(shù)

7、據(jù)安全保護義務(wù)2.2 正確認識數(shù)據(jù)合規(guī)2.3 建立有效數(shù)據(jù)合規(guī)體系的必要性 72.1 數(shù)據(jù)安全保護義務(wù)網(wǎng)絡(luò)安全法第59條，違反網(wǎng)絡(luò)安全保護義務(wù)的，最高可罰100萬元，直接負責人最高可罰10萬元。第62條，未按規(guī)定開展認證、檢測、評估等工作的，最高可罰10萬元，并責令停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)許可或執(zhí)照，直接負責人最高可罰5萬元。第63條，從事危害網(wǎng)絡(luò)安全活動的，沒收違法所得，單位和直接負責人最高可處10日拘留，罰款100萬元。個人信息保護法第66條，違法處理個人信息的，最高處100萬元以下罰款，直接負責人最高可罰10萬元，記入信用檔案。情節(jié)嚴重的，處5000萬元以下或者上一年度營業(yè)額百分之五

8、以下罰款，可以責令停業(yè)整頓、吊銷相關(guān)許可或執(zhí)照；直接負責人最高可罰100，并禁止其在一定期限內(nèi)擔任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員和個人信息保護負責人 。數(shù)據(jù)安全法第45條，違反數(shù)據(jù)安全保護義務(wù)的，最高可罰200萬元，直接負責人最高可罰20萬元，危害國家安全的最高可罰1000萬元。第46條，違法跨境提供數(shù)據(jù)的，視嚴重程度最高可罰1000萬元，直接負責人最高可罰100萬元。第47條，違法從事數(shù)據(jù)交易中介服務(wù)的，最高處違法所得十倍或100萬元以下罰款，直接負責人最高可罰10萬元。 刑法第253條之一【侵犯公民個人信息罪】，處五年以下有期徒刑、拘役、管制或者剝奪政治權(quán)利，并處罰金；情節(jié)嚴重的，處五

9、年以上有期徒刑，并處罰金或者沒收財產(chǎn)；“情節(jié)嚴重”？非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息五十條以上的；非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息五百條以上的； 關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋第二部分：數(shù)據(jù)安全 VS 合規(guī)管理的認知再出發(fā) 數(shù)據(jù)安全保護義務(wù) 88數(shù)據(jù)，絕非僅僅狹義上的存放在數(shù)據(jù)庫里或電子表格里的數(shù)據(jù)，而是廣義上的企業(yè)在生產(chǎn)經(jīng)營過程中涉及到的一切數(shù)據(jù)。從數(shù)據(jù)對象上，既有客戶的，也有企業(yè)員工的，還有第三方的；從數(shù)據(jù)形態(tài)上，既有靜態(tài)的，也有動態(tài)的；從數(shù)據(jù)結(jié)構(gòu)上，既有結(jié)構(gòu)化

10、的，也有非結(jié)構(gòu)化的；從數(shù)據(jù)內(nèi)容上，既有原始的，也有加工過的；從數(shù)據(jù)存儲上，既有落地的，也有流動的。像客戶行為、應(yīng)用日志、視頻錄像、電話錄音等等都應(yīng)屬于數(shù)據(jù)合規(guī)關(guān)注的數(shù)據(jù)范疇。國家核心數(shù)據(jù)第二部分：數(shù)據(jù)安全 VS 合規(guī)管理的認知再出發(fā) 正確認識數(shù)據(jù)數(shù)據(jù)合規(guī)體系 92.2 正確認識數(shù)據(jù)合規(guī)體系理解企業(yè)數(shù)據(jù)合規(guī)，首先要重新認識企業(yè)數(shù)據(jù)合規(guī)里的“數(shù)據(jù)”。 右圖所示的數(shù)據(jù)合規(guī)的重點領(lǐng)域，不僅涉及到管理問題，還有較為專業(yè)的技術(shù)問題。結(jié)合公司的業(yè)務(wù)范圍和實踐情況，確定現(xiàn)階段重點關(guān)注、重點強化、重點推進的數(shù)據(jù)合規(guī)管理領(lǐng)域 網(wǎng)絡(luò)安全審查網(wǎng)絡(luò)安全等級保護數(shù)據(jù)出境關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全個人信息保護數(shù)據(jù)交易網(wǎng)絡(luò)產(chǎn)品

11、與服務(wù)監(jiān)測預警與應(yīng)急處理網(wǎng)絡(luò)平臺義務(wù)降低風險和損失法律規(guī)定的合規(guī)義務(wù) 應(yīng)對監(jiān)管執(zhí)法和訴訟 提高企業(yè)合規(guī)效率2.3 建立有效數(shù)據(jù)合規(guī)體系的必要性我國網(wǎng)絡(luò)安全法數(shù)據(jù)安全法和個人信息保護法，以及GDPR、CPPA/CPRA等眾多境外數(shù)據(jù)保護法規(guī)均明確要求企業(yè)建立數(shù)據(jù)合規(guī)制度。有效的數(shù)據(jù)合規(guī)體系可以提高企業(yè)內(nèi)部的合規(guī)效率，降低合規(guī)成本。企業(yè)的數(shù)據(jù)合規(guī)體系可以助力企業(yè)有效應(yīng)對監(jiān)管執(zhí)法和訴訟抗辯，以證明企業(yè)已充分盡到數(shù)據(jù)保護的義務(wù)。數(shù)據(jù)不合規(guī)可能會為企業(yè)帶來重大的經(jīng)濟和聲譽損失，包括政府罰金、訴訟賠償、用戶流失等。10保護企業(yè)聲譽 數(shù)據(jù)不合規(guī)引發(fā)的媒體負面報道將會影響公司商譽。 提升用戶信任度和市場競爭力

12、 用戶越來越重視隱私和個人信息的保護，企業(yè)的數(shù)據(jù)合規(guī)程度將成為企業(yè)重要競爭力的體現(xiàn) 。目 錄11數(shù)字經(jīng)濟時代的合規(guī)監(jiān)管新趨勢 第一部分第二部分第三部分數(shù)據(jù)安全合規(guī)體系構(gòu)建標準與實踐 第四部分數(shù)據(jù)安全合規(guī)團隊的基本素質(zhì)要求第五部分數(shù)據(jù)安全 VS 合規(guī)管理的認知再出發(fā)企業(yè)數(shù)據(jù)安全合規(guī)的熱點與難點3.1 個人信息保護義務(wù)3.2 數(shù)據(jù)安全保護義務(wù)3.3 網(wǎng)絡(luò)安全保護義務(wù)11個人信息主體權(quán)利個人信息處理具體規(guī)則個人信息跨境提供個人信息處理基本原則個人信息范圍個人信息保護法個人信息處理者義務(wù)個人信息敏感個人信息個人信息處理合法、正當、必要、誠信原則目的明確和直接相關(guān)原則公開透明原則準確性原則數(shù)據(jù)安全原則禁

13、止非法處理原則協(xié)同治理原則處理個人信息的合法理由個人同意機制告知-同意規(guī)則豁免告知的法定情形利用個人信息進行自動化決策公共場所采集圖像規(guī)則處理敏感個人信息規(guī)則知情權(quán)決定權(quán)限制權(quán)拒絕權(quán)查閱、復制權(quán)可攜帶權(quán)更正、補充權(quán)刪除權(quán)規(guī)則解釋權(quán)重要互聯(lián)網(wǎng)平臺的個人信息保護責任個人跨境提供的前提規(guī)則跨境合作標準合同機制個人數(shù)據(jù)管制和反制3.1. 個人信息保護義務(wù)第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 個人信息保護義務(wù) 1212告知同意機制一般性機制：告知+同意+可撤回特別機制單獨同意機制向他人提供其處理的個人信息公開其處理的個人信息處理敏感個人信息重新同意機制個人信息種類、處理目的、處理方式變更撤回同意機制3.1

14、.1 不同類型的個人同意：如何理解單獨同意、重新同意、撤回同意同意告知撤回同意權(quán)重新獲得同意個人信息處理者向他人提供其處理的個人信息的個人信息處理者公開其處理的個人信息基于個人同意處理敏感個人信息個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更法律、行政法規(guī)規(guī)定應(yīng)取得單獨同意的單獨同意同意告知重新獲得同意第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 個人信息保護義務(wù) 13133.1.2 特殊個人信息的處理規(guī)則01敏感個人信息0203死者的個人信息行權(quán)主體：近親屬目的：為了自身的合法、正當利益權(quán)利內(nèi)容：查閱、復制、更正、刪除等權(quán)利限制：死者生前另有安排的除外不滿十四周歲的未成年信息取得監(jiān)護人的同意

15、制定專門的個人信息處理規(guī)則視同敏感個人信息進行處理敏感個人信息的概念一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息。包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。處理敏感個人信息的前提具有特定的目的和充分的必要性采取嚴格保護措施進行特別告知向個人告知處理敏感個人信息的必要性告知對個人權(quán)益的影響第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 個人信息保護義務(wù) 14143.1.3 個人信息的存儲期限第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 個人信息保護義務(wù) 15第19條 除法律、行政法規(guī)另有規(guī)定外，個人信息的保存

16、期限應(yīng)當為實現(xiàn)處理目的所必要的最短時間。法律法規(guī)的部分列舉網(wǎng)絡(luò)安全法第21條，網(wǎng)絡(luò)運營者應(yīng)當采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月。電子商務(wù)法第31條，商品服務(wù)信息和交易信息的保存時間自交易完成之日起不少于三年。反洗錢法第19條，客戶身份資料在業(yè)務(wù)關(guān)系結(jié)束后，客戶交易信息在交易結(jié)束后應(yīng)當至少保存五年。證券法第153條，證券登記結(jié)算機構(gòu)應(yīng)當妥善保存登記、存管和結(jié)算的原始憑證及有關(guān)文件和資料，其保存期限不得少于二十年。醫(yī)療機構(gòu)管理條例實施細則第53條，醫(yī)療機構(gòu)的門診病歷的保存期不得少于十五年；住院病歷的保存期不得少于三十年。網(wǎng)絡(luò)餐飲服務(wù)食品安全

17、監(jiān)督管理辦法第15條，網(wǎng)絡(luò)餐飲服務(wù)第三方平臺提供者和自建網(wǎng)站餐飲服務(wù)提供者應(yīng)當履行記錄義務(wù)，如實記錄網(wǎng)絡(luò)訂餐的訂單信息，包括食品的名稱、下單時間、送餐人員、送達時間以及收貨地址，信息保存時間不得少于六個月。153.1.4 個人信息的跨境提供第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 個人信息保護義務(wù) 16關(guān)鍵信息基礎(chǔ)設(shè)施運營者境內(nèi)儲存境外提供則應(yīng)通過網(wǎng)信安全評估外國司法執(zhí)法機構(gòu)請求提供儲存在境內(nèi)的個人信息必須經(jīng)中國主管機關(guān)批準否則個人信息處理者不得提供特別規(guī)定163.1.5 域外司法協(xié)助第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 個人信息保護義務(wù) 17司法協(xié)助根據(jù)有關(guān)法律和中國締結(jié)或者參加的國際條約、協(xié)定按照

18、平等互惠原則外國請求批準制度處理依據(jù)非經(jīng)中國主管機關(guān)批準，個人信息處理者不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中國境內(nèi)的個人信息處理外國司法或者執(zhí)法機構(gòu)請求提供存儲于中國境內(nèi)的個人信息交通銀行：拒絕美國法院向其調(diào)取客戶信息2019年6月25日，交通銀行回應(yīng)“有中國的銀行有可能面臨美方的限制措施”的報道：注意到美國華盛頓郵報相關(guān)報道，相關(guān)案件涉及美國法院向中資商業(yè)銀行調(diào)取存放在美國境外的客戶信息，屬于跨境調(diào)查取證的司法協(xié)助范疇。根據(jù)國際刑事司法協(xié)助法等中國法律相關(guān)規(guī)定，司法協(xié)助應(yīng)當依據(jù)中美刑事司法協(xié)助協(xié)定規(guī)定方式進行。交行始終堅持穩(wěn)健發(fā)展理念，走國際化、綜合化發(fā)展道路，積極主動遵循中國和海外機構(gòu)所

19、在地的法律、監(jiān)管規(guī)則，依法合規(guī)開展經(jīng)營活動，目前沒有受到任何因涉嫌違反制裁法律的調(diào)查，沒有依法應(yīng)對外披露的相關(guān)信息。 173.1.6 個人信息自動化決策第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 個人信息保護義務(wù) 18自動化決策基本原則保證決策的透明度和結(jié)果公平、公正不得對個人交易條件上實行不合理的差別待遇個人信息保護機制商業(yè)營銷信息推送作出對個人權(quán)益有重大影響的決定提供不針對其個人特征進行商業(yè)營銷、信息推送的選項或者提供便捷的拒絕方式個人可要求處理者予以說明有權(quán)拒絕處理者僅通過自動化決策的方式作出決定處理者自我合規(guī)評估個人信息保護影響記錄個人信息處理情況自動化決策通過計算機程序自動分析、評估個人的行

20、為習慣、興趣愛好或者經(jīng)濟、健康、信用狀況等，并進行決策的活動。飛豬旅行：旅游住宿APP183.1.7 重要互聯(lián)網(wǎng)平臺的特殊義務(wù)第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 個人信息保護義務(wù) 19重要互聯(lián)網(wǎng)平臺的特殊義務(wù)主體特征提供重要互聯(lián)網(wǎng)平臺服務(wù) 用戶數(shù)量巨大 業(yè)務(wù)類型復雜特殊義務(wù)外部：按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督 內(nèi)部：遵循公開、公平、公正的原則，制定平臺規(guī)則，明確平臺內(nèi)產(chǎn)品或者服務(wù)提供者處理個人信息的規(guī)范和保護個人信息的義務(wù) 責任：對嚴重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務(wù)提供者，停止提供服務(wù) 監(jiān)督：定期發(fā)

21、布個人信息保護社會責任報告，接受社會監(jiān)督 重要互聯(lián)網(wǎng)平臺的個人信息處理者是特殊的處理者類型。在具體界定上，個保法采取了“三大特征”界定法，且與二審稿相比，最終稿將“基礎(chǔ)性互聯(lián)網(wǎng)平臺服務(wù)”修改為“重要互聯(lián)網(wǎng)平臺服務(wù)”，在文義上標準的降低，可能導致事實上擴大了可能被認定為“重要互聯(lián)網(wǎng)平臺”的主體范圍。歐盟數(shù)字服務(wù)法也對數(shù)字服務(wù)平臺要求高透明度并設(shè)置了嚴格的問責機制，用戶達到4500萬或以上的“超大型平臺”必須履行風險管理義務(wù)、外部風險審計和公共問責等更嚴格法律義務(wù)。19目 錄20數(shù)字經(jīng)濟時代的合規(guī)監(jiān)管新趨勢 第一部分第二部分第三部分數(shù)據(jù)安全合規(guī)體系構(gòu)建標準與實踐 第四部分數(shù)據(jù)安全合規(guī)團隊的基本素質(zhì)

22、要求第五部分數(shù)據(jù)安全 VS 合規(guī)管理的認知再出發(fā)企業(yè)數(shù)據(jù)安全合規(guī)的熱點與難點3.1 個人信息保護義務(wù)3.2 數(shù)據(jù)安全保護義務(wù)3.3 網(wǎng)絡(luò)安全保護義務(wù)20數(shù)據(jù)安全法第21條“國家建立數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實行分類分級保護?！薄皣覕?shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，加強對重要數(shù)據(jù)的保護。”明確了由國家建立數(shù)據(jù)分類分級制度、由主管部門制定重要數(shù)據(jù)目錄并加強保護。 “關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核

23、心數(shù)據(jù)，實行更加嚴格的管理制度”。核心數(shù)據(jù)作為數(shù)據(jù)安全法提出的全新概念，重要程度及保護力度比重要數(shù)據(jù)的要求更高 重要數(shù)據(jù)國家核心數(shù)據(jù)凸顯了以維護國家安全和網(wǎng)絡(luò)空間主權(quán)為根本的基調(diào)。第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 數(shù)據(jù)安全法保護義務(wù) 213.2.1 “數(shù)據(jù)分類分級保護制度”與“國家核心數(shù)據(jù)”管理制度 針對已經(jīng)存在數(shù)據(jù)分類分級指南指引的行業(yè)，企業(yè)可以根據(jù)業(yè)務(wù)實際情況并結(jié)合相關(guān)指南指引的要求，部署內(nèi)部數(shù)據(jù)的分類分級。針對尚未出臺專門分類分級指引的行業(yè)，企業(yè)應(yīng)首先根據(jù)不同的業(yè)務(wù)線、業(yè)務(wù)板塊，全面系統(tǒng)地梳理數(shù)據(jù)資產(chǎn)，將不同性質(zhì)的數(shù)據(jù)進行分別的歸類管理和保護。 針對數(shù)據(jù)分類，實踐中已有科學數(shù)據(jù)、健康醫(yī)

24、療大數(shù)據(jù)、證券期貨業(yè)數(shù)據(jù)、工業(yè)數(shù)據(jù)、金融數(shù)據(jù)、汽車數(shù)據(jù)等分類標準 。金融業(yè)、工業(yè)、電信業(yè)等行業(yè)主管部門先前均出臺過相關(guān)的規(guī)章或行業(yè)標準等。21CIIO在境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理應(yīng)適用 “一般情形+例外規(guī)定”：CIIO因業(yè)務(wù)需要，確需向境外提供重要數(shù)據(jù)的，一般情況下應(yīng)由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估，法律、行政法規(guī)另有規(guī)定的則從其規(guī)定。 非經(jīng)中華人民共和國主管機關(guān)批準，境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)。違反規(guī)定，未經(jīng)批準提供數(shù)據(jù)的，由有關(guān)主管部門給予警告，可以并處十萬元以上一百萬元以下罰款，對直接負責的主管人員

25、和其他直接責任人員可以處一萬元以上十萬元以下罰款；造成嚴重后果的，處一百萬元以上五百萬元以下罰款，并可以責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照，對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款?！标P(guān)鍵信息基礎(chǔ)設(shè)施運營者“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者（CIIO）在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用中華人民共和國網(wǎng)絡(luò)安全法的規(guī)定；其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定?！?數(shù)據(jù)安全法第36、48條數(shù)據(jù)安全法第31條 3.2.2 重要數(shù)據(jù)出境安全管理和域外

26、司法協(xié)助 網(wǎng)絡(luò)安全法第37條 域外司法協(xié)助第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 數(shù)據(jù)安全法保護義務(wù) 2222從事數(shù)據(jù)交易中介服務(wù)的機構(gòu)提供服務(wù)，應(yīng)當要求數(shù)據(jù)提供方說明數(shù)據(jù)來源，審核交易雙方的身份，并留存審核、交易記錄。 數(shù)據(jù)安全法第33條 3.2.3 數(shù)據(jù)服務(wù)的資質(zhì)和合規(guī)經(jīng)營第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 數(shù)據(jù)安全法保護義務(wù) 23數(shù)據(jù)安全法第34條 提供數(shù)據(jù)處理相關(guān)服務(wù)應(yīng)當取得行政許可的，服務(wù)提供者應(yīng)當依法取得許可。對于數(shù)據(jù)處理服務(wù)的市場準入并非新設(shè)資質(zhì)要求，而是在既有的電信監(jiān)管框架下重申了相應(yīng)的資質(zhì)牌照要求。目前企業(yè)日常運營過程中數(shù)據(jù)處理活動非常普遍，對于企業(yè)而言，尤其是專門提供數(shù)據(jù)處理服

27、務(wù)的企業(yè)應(yīng)當結(jié)合數(shù)據(jù)處理活動性質(zhì)、服務(wù)內(nèi)容及業(yè)務(wù)模式判斷所提供的服務(wù)是否落入電信監(jiān)管等行政許可審批范圍，及時辦理相應(yīng)牌照?？梢灶A見，關(guān)于數(shù)據(jù)處理涉及的電信牌照申請及管理將是未來行業(yè)監(jiān)管及審查的重點解讀解讀在數(shù)據(jù)交易中介服務(wù)市場高速發(fā)展的今天，強調(diào)中介服務(wù)機構(gòu)在其中應(yīng)盡的數(shù)據(jù)及交易雙方身份的審核義務(wù)，表明了國家對于數(shù)據(jù)交易中介服務(wù)市場的管理決心及方式，值得企業(yè)重點關(guān)注。233.2.4 明確數(shù)據(jù)處理活動不應(yīng)排除、限制競爭 竊取或者以其他非法方式獲取數(shù)據(jù)，開展數(shù)據(jù)處理活動排除、限制競爭，或者損害個人、組織合法權(quán)益的，依照有關(guān)法律、行政法規(guī)的規(guī)定處罰。 反壟斷法明確禁止經(jīng)營者在其經(jīng)營活動中排除、限制市

28、場競爭 關(guān)于平臺經(jīng)濟領(lǐng)域的反壟斷指南明確提及了經(jīng)營者利用數(shù)據(jù)或算法排除、限制競爭的多種行為模式：壟斷協(xié)議：經(jīng)營者通過數(shù)據(jù)、算法、平臺規(guī)則或者其他方式實質(zhì)上達成協(xié)調(diào)一致的行為；濫用市場支配地位限定交易：經(jīng)營者通過平臺規(guī)則、數(shù)據(jù)、算法、技術(shù)等方面的實際設(shè)置限制或者障礙的方式限定交易；濫用市場支配地位實施差別待遇：濫用基于大數(shù)據(jù)和算法，根據(jù)交易相對人的支付能力、消費偏好、使用習慣等，實行差異性交易價格或者其他交易條件；此外，平臺經(jīng)營者掌握的數(shù)據(jù)情況對于認定經(jīng)營者市場支配地位具有重要意義，指南明確提及，判斷相關(guān)平臺是否構(gòu)成其他經(jīng)營者進入相關(guān)市場的“必需設(shè)施”時，需要綜合考慮該平臺占有數(shù)據(jù)的情況和其他情

29、況。與反不正當競爭法、反壟斷法等法律法規(guī)的規(guī)定相結(jié)合第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 數(shù)據(jù)安全法保護義務(wù) 24數(shù)據(jù)安全法第51條 24對政務(wù)數(shù)據(jù)質(zhì)量提出科學性、準確性和時效性要求第37條對政務(wù)數(shù)據(jù)的采集和使用作出合規(guī)性規(guī)定第38條對建立政務(wù)數(shù)據(jù)安全管理制度作出強調(diào)第39條提出對政務(wù)數(shù)據(jù)加工、存儲等外包服務(wù)要制定嚴格的審批流程第40條提出政務(wù)數(shù)據(jù)開放的規(guī)范性要求第41、42條3.2.5 政務(wù)數(shù)據(jù)的相關(guān)規(guī)定 數(shù)據(jù)安全法設(shè)立專章“政務(wù)數(shù)據(jù)安全與開放”何為“政務(wù)數(shù)據(jù)”第43條：“法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織為履行法定職責開展數(shù)據(jù)處理活動，適用本章規(guī)定?！?依據(jù)北京、上海、浙江等地公共數(shù)

30、據(jù)管理相關(guān)政策的規(guī)定，各級行政機關(guān)以及具有公共管理和服務(wù)職能的事業(yè)單位在依法履行公共管理和服務(wù)職責過程中，產(chǎn)生、處理的各類數(shù)據(jù)為“公共數(shù)據(jù)”。 第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 數(shù)據(jù)安全法保護義務(wù) 2525目 錄26數(shù)字經(jīng)濟時代的合規(guī)監(jiān)管新趨勢 第一部分第二部分第三部分數(shù)據(jù)安全合規(guī)體系構(gòu)建標準與實踐 第四部分數(shù)據(jù)安全合規(guī)團隊的基本素質(zhì)要求第五部分數(shù)據(jù)安全 VS 合規(guī)管理的認知再出發(fā)企業(yè)數(shù)據(jù)安全合規(guī)的熱點與難點3.1 個人信息保護義務(wù)3.2 數(shù)據(jù)安全保護義務(wù)3.3 網(wǎng)絡(luò)安全保護義務(wù)263.3.1 網(wǎng)絡(luò)安全等級保護制度網(wǎng)絡(luò)安全法第21條國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級

31、保護制度的要求，履行安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 網(wǎng)絡(luò)安全法保護義務(wù) 27公安部、國家保密局、國家密碼管理局、國務(wù)院信息工作辦公室信息安全等級保護管理辦法1-定級2-備案3-等級測評4-安全建設(shè)整改5-監(jiān)督檢查網(wǎng)絡(luò)運營者根據(jù)網(wǎng)絡(luò)安全等級保護定級指南初步確定網(wǎng)安保護等級，組織召開專家評審會，對初步定級合理性進行評審，出具評審意見，初步定級結(jié)果上報行業(yè)主管部門審核。網(wǎng)絡(luò)運營者將網(wǎng)絡(luò)定級材料向公安機關(guān)備案，公安機關(guān)對定級準確、符合要求的網(wǎng)絡(luò)發(fā)放備案證明。網(wǎng)絡(luò)運營者選擇符合國家規(guī)定條件的測評機構(gòu)，對第三級以

32、上網(wǎng)絡(luò)每年開展等級測評，查找發(fā)現(xiàn)問題隱患，提出整改意見。網(wǎng)絡(luò)運營者根據(jù)網(wǎng)絡(luò)的安全保護等級，按照國家標準開展安全建設(shè)整改。公安機關(guān)每年對網(wǎng)絡(luò)運營者開展網(wǎng)絡(luò)安全等級保護工作的情況和網(wǎng)絡(luò)的安全狀況實施執(zhí)法檢查。273.3.2 CII / CIIO認定標準網(wǎng)絡(luò)安全法第31條第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 網(wǎng)絡(luò)安全法保護義務(wù) 28國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護辦

33、法由國務(wù)院制定。國務(wù)院關(guān)鍵信息基礎(chǔ)設(shè)施保護條例 保護工作部門結(jié)合本行業(yè)、本領(lǐng)域?qū)嶋H，制定關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則，并報國務(wù)院公安部門備案。制定認定規(guī)則應(yīng)當主要考慮下列因素：（一）網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等對于本行業(yè)、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度；（二）網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來的危害程度；（三）對其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響 保護工作部門根據(jù)認定規(guī)則負責組織認定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施，及時將認定結(jié)果通知運營者，并通報國務(wù)院公安部門。關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生較大變化，可能影響其認定結(jié)果的，運營者應(yīng)當及時將相關(guān)情況報告保護工作部門。保護工作部門自收到報告之日起3個

34、月內(nèi)完成重新認定，將認定結(jié)果通知運營者，并通報國務(wù)院公安部門。要判定一個主體是否構(gòu)成CIIO，則應(yīng)先判斷該主體的運營/業(yè)務(wù)內(nèi)容是否為CII。CII由各行業(yè)、各領(lǐng)域的保護工作部門具體認定，但主體運營者也有自查報告義務(wù)，當CII發(fā)生較大變化，可能影響其認定結(jié)果時，運營者應(yīng)當及時報告保護工作部門，由保護工作部門重新認定。28關(guān)鍵信息基礎(chǔ)設(shè)施運營者開展的影響或可能影響國家安全的“采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)”的活動網(wǎng)絡(luò)安全審查適用主體擴展至“數(shù)據(jù)處理者”1“數(shù)據(jù)處理者”開展的“數(shù)據(jù)處理活動”原有新增包括開展數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、交易和公開等活動的網(wǎng)絡(luò)運營者覆蓋對象十分廣泛數(shù)據(jù)處理者將證監(jiān)會納

35、入依職權(quán)啟動審查的成員單位2運營者自行申報網(wǎng)絡(luò)安全審查網(wǎng)信辦、發(fā)改委、工信部、國安部等十二家部委證監(jiān)會網(wǎng)絡(luò)安全審查啟動機制網(wǎng)絡(luò)安全審查工作機制成員單位依職權(quán)啟動原辦法草案新增3.3.3 網(wǎng)絡(luò)安全審查制度2021年7月10日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布通知，公開征求網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）意見，修訂要點如下：第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 網(wǎng)絡(luò)安全法保護義務(wù) 2929上市申報門檻：百萬個人信息3掌握超過100萬用戶個人信息的數(shù)據(jù)處理者赴國外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查。新增條款“掌握”的含義有待明確境外用戶數(shù)量是否應(yīng)當納入計算有待明確用戶數(shù)量何為“上市”應(yīng)作廣義

36、理解包括境內(nèi)公司在國外的IPO、SPAC、RTO，還可能包括已上市公司的股票增發(fā)以及發(fā)債等一系列融資行為。Q：“赴港上市”是否需要申請網(wǎng)絡(luò)安全審查？香港上市應(yīng)屬于境外上市而非國外上市，從文義解釋的角度，企業(yè)赴香港上市并不在必須主動申報網(wǎng)絡(luò)安全審查范圍之內(nèi)。香港上市必然涉及到數(shù)據(jù)的跨境傳輸問題，也屬于可能影響國家安全的“數(shù)據(jù)處理活動”，有可能因此而落入監(jiān)管機構(gòu)依職權(quán)發(fā)起網(wǎng)絡(luò)安全審查的范疇。3.3.3 網(wǎng)絡(luò)安全審查制度（續(xù)）2021年7月10日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布通知，公開征求網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）意見，修訂要點如下：第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 網(wǎng)絡(luò)安全法保護義務(wù) 3

37、030數(shù)據(jù)處理活動及國外上市的國家安全風險納入審查重點評估對象4網(wǎng)絡(luò)安全審查重點評估對象采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)帶來的國家安全風險采購活動、數(shù)據(jù)處理活動以及國外上市可能帶來的國家安全風險擴大新增評估國家安全風險的因素核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險；國外上市后關(guān)鍵信息基礎(chǔ)設(shè)施，核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被國外政府影響、控制、惡意利用的風險；其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國家數(shù)據(jù)安全的因素。重點：維護企業(yè)的全生命周期數(shù)據(jù)安全Q：已在國外上市并掌握大量用戶個人信息的企業(yè)是否需要網(wǎng)絡(luò)安全審查？已在國外上市并掌握大量用戶個人信息的企業(yè)如進行股票增發(fā)或發(fā)行債

38、券等活動，是否屬于應(yīng)主動申報網(wǎng)絡(luò)安全審查的范疇，尚未明確。但是，依據(jù)征求意見稿的規(guī)定，相關(guān)監(jiān)管部門可依職權(quán)對已上市并掌握大量用戶個人信息、日常開展數(shù)據(jù)處理活動的中概股公司開展網(wǎng)絡(luò)安全審查，已有的案例包括滴滴、Boss直聘、滿幫。3.3.3 網(wǎng)絡(luò)安全審查制度（續(xù)）2021年7月10日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布通知，公開征求網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）意見，修訂要點如下：第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 網(wǎng)絡(luò)安全法保護義務(wù) 3131網(wǎng)絡(luò)產(chǎn)品和服務(wù)中新增“重要通信產(chǎn)品”5特別審查程序的時限延長6通信產(chǎn)品包括無線通信產(chǎn)品和有限通信產(chǎn)品，諸如路由器、交換機等產(chǎn)品。通信產(chǎn)品通信產(chǎn)品對于數(shù)據(jù)處理

39、活動的安全性、完整性和可用性有著重要意義。新增原因監(jiān)管部門在信息傳輸?shù)男诺缹用婕訌姳O(jiān)管，從各個維度對于可能影響國家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)進行審查。分析結(jié)論特別審查程序的時限從45日修改為3個月，情況復雜的還可延長時限延長一般情形下的網(wǎng)絡(luò)安全審查： 60個工作日（45日+15日）進入特別審查程序： 5個月（45+15日+3個月） 甚至更長網(wǎng)絡(luò)安全審查辦公室要求提交補充材料的時間不計入審查時間相應(yīng)結(jié)果2021年7月10日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布通知，公開征求網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）意見，修訂要點如下：3.3.3 網(wǎng)絡(luò)安全審查制度（續(xù)）第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 網(wǎng)絡(luò)安全法保護

40、義務(wù) 3232從業(yè)務(wù)流、資金流及實際控制等角度，WFOE可能被穿透認定為法律意義上的數(shù)據(jù)處理者，進而涉及相關(guān)法律、政策明確禁止外資處理特定數(shù)據(jù)（如地圖數(shù)據(jù)、人遺數(shù)據(jù)）的合規(guī)風險。境外股東行使知情權(quán)、查閱權(quán)等，以及境外監(jiān)管、司法機構(gòu)行使監(jiān)管、司法權(quán)力時，還可能會觸發(fā)數(shù)據(jù)違規(guī)出境的法律風險。由于需要WFOE為VIE提供技術(shù)支持、業(yè)務(wù)外包等服務(wù)，以及WFOE為實現(xiàn)通過控制協(xié)議約定的事實上的“股東權(quán)利”，往往VIE會將收集的數(shù)據(jù)提供給WFOE。數(shù)據(jù)合規(guī)缺陷在于VIE沒有獲得數(shù)據(jù)主體的有效授權(quán)，或者采取“集團”等模糊描述處理方式違規(guī)披露，或者提供行為不符合必要性，或者提供行為未經(jīng)/無法通過官方批準等等。

41、模式1：業(yè)務(wù)重心在WFOE模式2：以VIE實體作為業(yè)務(wù)重心第三部分：企業(yè)數(shù)據(jù)合規(guī)的熱點與難點 網(wǎng)絡(luò)安全法保護義務(wù) 333.3.3 網(wǎng)絡(luò)安全審查制度（續(xù)）VIE結(jié)構(gòu)下的數(shù)據(jù)合規(guī)風險33目 錄34數(shù)字經(jīng)濟時代的合規(guī)監(jiān)管新趨勢 第一部分第二部分第三部分數(shù)據(jù)安全合規(guī)體系構(gòu)建標準與實踐4.1 三法聯(lián)動構(gòu)建合規(guī)框架4.2 合規(guī)體系的實施與落地第四部分數(shù)據(jù)安全合規(guī)團隊的基本素質(zhì)要求第五部分數(shù)據(jù)安全 VS 合規(guī)管理的認知再出發(fā)企業(yè)數(shù)據(jù)安全合規(guī)的熱點與難點34三法適用范圍（各有側(cè)重）個人信息處理“最小必要+知情同意”原則信息泄露報告制度數(shù)據(jù)境內(nèi)存儲義務(wù)數(shù)據(jù)跨境流動與司法協(xié)助評估制度負責人制度統(tǒng)一工作協(xié)調(diào)與統(tǒng)籌機

42、制4.1 三法聯(lián)動構(gòu)建合規(guī)框架數(shù)據(jù)安全法個人信息保護法網(wǎng)絡(luò)安全法35網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)的“三駕馬車”4.1.1 三法的適用范圍36網(wǎng)絡(luò)安全法2017年6月1日實施網(wǎng)絡(luò)安全等級保護制度關(guān)鍵信息基礎(chǔ)設(shè)施安全保護網(wǎng)絡(luò)安全審查制度網(wǎng)絡(luò)產(chǎn)品與服務(wù)網(wǎng)絡(luò)信息安全監(jiān)測預警與應(yīng)急處置數(shù)據(jù)安全法2021年9月1日生效數(shù)據(jù)分類分級制度數(shù)據(jù)安全風險評估機制數(shù)據(jù)風險應(yīng)急處理機制數(shù)據(jù)活動的安全審查制度數(shù)據(jù)安全保護義務(wù)數(shù)據(jù)交易和在線數(shù)據(jù)處理活動數(shù)據(jù)跨境流動監(jiān)管個人信息保護法2021年11月1日生效個人信息范圍個人信息處理的基本原則個人信息處理的具體規(guī)則個人信息跨境提供的規(guī)則個人信息主體的權(quán)利個人信息處理者的義務(wù)網(wǎng)安法保護網(wǎng)

43、絡(luò)安全，就網(wǎng)絡(luò)空間的整體安全、合規(guī)、有序發(fā)展制定了總綱領(lǐng)；數(shù)安法以數(shù)據(jù)安全為核心，重點保護重要數(shù)據(jù)和國家核心數(shù)據(jù)；個保法聚焦個人信息保護，個人信息是指以電子或者其他方式能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息。4.1.2 國家安全保護先行37網(wǎng)安法和數(shù)安法則分別建立了國家安全審查制度框架下的網(wǎng)絡(luò)安全審查制度和數(shù)據(jù)安全審查制度。網(wǎng)安法明確規(guī)定，相關(guān)部門對CIIO采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的行為有權(quán)進行網(wǎng)絡(luò)安全審查；而數(shù)安法明確規(guī)定，相關(guān)部門對影響或者可能影響國家安全的數(shù)據(jù)處理活動有權(quán)進行數(shù)據(jù)安全審查。這兩方面制度也體現(xiàn)在近期出臺的網(wǎng)絡(luò)安全審查制度（修訂草案征求意見稿）中 。個保法數(shù)安法網(wǎng)安

44、法國家安全保護審查從事?lián)p害公民個人信息權(quán)益或國家安全、公共利益的個人信息處理活動的境外組織或個人，國家網(wǎng)信部門可以將其列入限制或者禁止個人信息提供清單并予以公告，對于境內(nèi)從事危害國家安全、公共利益的個人信息處理活動的組織和個人可以進行處罰 。國家建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。依法作出的安全審查決定為最終決定。 關(guān)鍵信息基礎(chǔ)設(shè)施的運營者（“CIIO”）采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。CIIO：采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)其他可能影響國家安全的處理活動4.1.3 個人信息處理“最小必要+知情同

45、意”原則38個保法數(shù)安法網(wǎng)安法數(shù)據(jù)/信息處理原則處理個人信息應(yīng)當具有明確、合理的目的，并應(yīng)當限于實現(xiàn)處理目的所必要的最小范圍、采取對個人權(quán)益影響的最小方式，不得進行與處理目的無關(guān)的個人信息處理。處理個人信息的同意，應(yīng)當由個人在充分知情的前提下自愿、明確作出。任何組織、個人收集數(shù)據(jù)，應(yīng)當采取合法、正當?shù)姆绞?，不得竊取或者以其他非法方式獲取數(shù)據(jù)。法律、行政法規(guī)對收集、使用數(shù)據(jù)的目的、范圍有規(guī)定的，應(yīng)當在法律、行政法規(guī)規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù)。 網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)運營者

46、不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。在個人信息處理的環(huán)節(jié)中， “最小必要+知情同意”原則，相較于網(wǎng)安法中“收集和使用信息應(yīng)當合法、正當、必要、公開并經(jīng)被收集者同意”的規(guī)定、以及數(shù)安法中收集數(shù)據(jù)應(yīng)“采取合法、正當?shù)姆绞健钡囊?，這一原則更加明確、具體。 “最小必要+知情同意”原則要求企業(yè)在處理個人信息時，應(yīng)當限于實現(xiàn)處理目的所必要的最小范圍、采取對個人權(quán)益影響最小的方式，并要求個人在充分知情的前提下自愿、明確作出同意，處理者方可處理個人信息的決定。4.1.4 個人信息泄露報告制度39個保法網(wǎng)安法信息泄露通知報告 個人信息處理者發(fā)現(xiàn)個人信息泄露、篡改、丟

47、失的，應(yīng)立即采取補救措施，并通知履行個人信息保護職責的部門和個人。個人信息處理者能夠采取措施有效避免信息泄露造成損害的，可以不通知個人；但是有關(guān)部門認為可能對個人造成損害的，有權(quán)要求個人信息處理者通知個人。 在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應(yīng)當立即采取補救措施，按照規(guī)定及時通知用戶并向有關(guān)主管部門報告 。 在個人信息泄露報告制度方面，個保法沿襲和補充了網(wǎng)安法的規(guī)定。網(wǎng)安法規(guī)定，個人信息泄露、毀損、丟失時，應(yīng)立即采取補救措施，及時通知用戶并向有關(guān)主管部門報告；個保法沿襲這一制度，并對個人信息發(fā)生“泄露、篡改、丟失”情形的處理措施進行了細化，規(guī)定處理者能夠采取措施有效避免信息泄

48、露造成損害的可以不通知個人，以減輕信息處理者的負擔。 規(guī)則的進步4.1.5 數(shù)據(jù)的境內(nèi)存儲與司法協(xié)助40境內(nèi)境外CIIO處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的處理者 為數(shù)據(jù)境內(nèi)存儲義務(wù)主體，應(yīng)將在中國境內(nèi)收集和產(chǎn)生的個人信息和重要數(shù)據(jù)存儲在境內(nèi)。非經(jīng)許可不得對外提供，若確有需要對外提供的應(yīng)進行安全評估。 OrderRequest for personal information or other important data stored within the territory of China for judicial assistance.外國司法或者執(zhí)法機構(gòu) 個保法第四十一條和數(shù)安法第

49、三十六條均為我國提供了應(yīng)對外國機構(gòu)長臂管轄的封阻法令，所有向外國司法或者執(zhí)法機構(gòu)提供境內(nèi)存儲的包括個人信息在內(nèi)的數(shù)據(jù)的行為，應(yīng)當經(jīng)國內(nèi)主管機關(guān)批準。 NO！4.1.6 數(shù)據(jù)跨境流動41個保法數(shù)安法網(wǎng)安法數(shù)據(jù)跨境流動對于CIIO和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的處理者，應(yīng)當通過國家網(wǎng)信部門組織的安全評估。對于其他處理者，應(yīng)當至少具備以下其中一個條件：（1）通過國家網(wǎng)信部門的安全評估；（2）經(jīng)專業(yè)機構(gòu)進行個人信息保護認證；（3）按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立達到本法規(guī)定的個人信息保護標準合同；（4）法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。如我國締結(jié)或者參加的國際條約、協(xié)

50、定對于跨境提供個人信息有規(guī)定的，可以按照其規(guī)定執(zhí)行 。個人信息處理者應(yīng)當采取必要措施，保障境外接收方處理個人信息的活動也應(yīng)達到個保法的保護標準，加重了境內(nèi)數(shù)據(jù)的提供者的后續(xù)監(jiān)督義務(wù)。 對屬于管制物項的數(shù)據(jù)依法實施出口管制。（如商務(wù)部海關(guān)總署發(fā)布的兩用物項和技術(shù)進出口許可證管理目錄中的商用密碼、部分軟件或加密密鑰代碼等；2020年中國禁止出口限制出口技術(shù)目錄中也涵蓋人工智能算法成果、5G通訊技術(shù)、航空航天技術(shù)等先進領(lǐng)域）CIIO境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用網(wǎng)安法規(guī)定。其他數(shù)據(jù)處理者的出境安全管理辦法由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定 。 CIIO應(yīng)當按照國家網(wǎng)信部門會同國

51、務(wù)院有關(guān)部門制定的辦法進行安全評估 。4.1.7 數(shù)據(jù)評估制度42個保法數(shù)安法網(wǎng)安法數(shù)據(jù)評估制度處理者在特定活動中需自行進行事前個人信息保護影響評估，特定活動包括：（1）處理敏感個人信息（2）利用個人信息進行自動化決策（3）委托處理個人信息（4）向他人提供個人信息、公開個人信息（5）向境外提供個人信息（6）其他對個人權(quán)益有重大影響的處理活動個人信息保護影響評估報告和處理情況記錄應(yīng)當至少保存三年。重要數(shù)據(jù)的處理者應(yīng)自行對數(shù)據(jù)處理活動定期開展風險評估，并報送主管部門 。 CIIO應(yīng)當自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風險每年至少進行一次檢測評估，并報送主管部門 。評估機制在三

52、法中都具有重要地位，針對不同場景設(shè)置不同評估要求。 目 錄43數(shù)字經(jīng)濟時代的合規(guī)監(jiān)管新趨勢 第一部分第二部分第三部分數(shù)據(jù)安全合規(guī)體系構(gòu)建標準與實踐4.1 三法聯(lián)動構(gòu)建合規(guī)框架4.2 合規(guī)體系的實施與落地第四部分數(shù)據(jù)安全合規(guī)團隊的基本素質(zhì)要求第五部分數(shù)據(jù)安全 VS 合規(guī)管理的認知再出發(fā)企業(yè)數(shù)據(jù)安全合規(guī)的熱點與難點43常態(tài)化數(shù)據(jù)安全管控需要相關(guān)的機制作為保障，包括安全培訓機制、安全補救機制、應(yīng)急處置機制和風險評估機制四類 。管理制度可以基于數(shù)據(jù)活動進行制定，考慮事前、事中、事后三個維度，明確角色和義務(wù)，落實到人。內(nèi)部排查整改類主要包括合理性、業(yè)務(wù)完善、自查違規(guī)三個方面。該類的工作主要是排查自身業(yè)務(wù)

53、是否存在違法違規(guī)的情況，主要應(yīng)對手段是業(yè)務(wù)的整改和應(yīng)用功能的整改。 外部技術(shù)支持類可分為技術(shù)措施建設(shè)和風險監(jiān)測能力建設(shè)，技術(shù)措施根據(jù)實際數(shù)據(jù)活動情況，采取相應(yīng)的技術(shù)措施即可，比較常用的技術(shù)措施有動態(tài)脫敏技術(shù)、訪問控制、電子認證技術(shù)、數(shù)據(jù)加密存儲技術(shù)和敏感數(shù)據(jù)發(fā)現(xiàn)技術(shù) 。4.2 合規(guī)體系的實踐與落地 44外部技術(shù)支持內(nèi)部排查整改規(guī)范合規(guī)管理完善機制建設(shè) 結(jié)合自身的數(shù)據(jù)處理活動特性及機構(gòu)組織特點，建立健全包括數(shù)據(jù)收集、傳輸、存儲、共享在內(nèi)的全流程數(shù)據(jù)安全管理制度。一般而言，企業(yè)的數(shù)據(jù)安全制度應(yīng)當從安全責任組織管理、員工訪問權(quán)限管理、信息系統(tǒng)安全管理、應(yīng)急事件管理等多個維度全面規(guī)范企業(yè)日常經(jīng)營流程，

54、根據(jù)自身實際設(shè)立針對數(shù)據(jù)安全事件的監(jiān)測、預警機制、應(yīng)對數(shù)據(jù)安全事件的應(yīng)急響應(yīng)、報告機制，以及日常數(shù)據(jù)安全培訓、演練機制，提高自身數(shù)據(jù)安全能力。 目 錄45數(shù)字經(jīng)濟時代的合規(guī)監(jiān)管新趨勢 第一部分第二部分第三部分數(shù)據(jù)安全合規(guī)體系構(gòu)建標準與實踐第四部分數(shù)據(jù)安全合規(guī)團隊的基本素質(zhì)要求5.1 法定要求5.2 以一帶二，雙線合規(guī)5.3 中倫網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)領(lǐng)域法律服務(wù)第五部分數(shù)據(jù)安全 VS 合規(guī)管理的認知再出發(fā)企業(yè)數(shù)據(jù)安全合規(guī)的熱點與難點4546數(shù)據(jù)安全法第27條 重要數(shù)據(jù)的處理者應(yīng)當明確數(shù)據(jù)安全負責人和管理機構(gòu)，落實數(shù)據(jù)安全保護責任。網(wǎng)絡(luò)安全法第21條第21條 制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)

55、安全負責人，落實網(wǎng)絡(luò)安全保護責任。第34條 CIIO還應(yīng)設(shè)置專門安全管理機構(gòu)和安全管理負責人，并對該負責人和關(guān)鍵崗位的人員進行安全背景審查 。5.1 法定要求個人信息保護法第52條 處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監(jiān)督。個人信息處理者應(yīng)當公開個人信息保護負責人的聯(lián)系方式，并將個人信息保護負責人的姓名、聯(lián)系方式等報送履行個人信息保護職責的部門。網(wǎng)絡(luò)數(shù)據(jù)安全專員個人信息保護專員125.2 以一帶二，雙線合規(guī)數(shù)據(jù)合規(guī)官DPO或首席數(shù)據(jù)官CDO 企業(yè)還可以與專業(yè)的數(shù)據(jù)合規(guī)團隊合作：制定業(yè)務(wù)版?zhèn)€人信息保護指引；

56、對內(nèi)部數(shù)據(jù)合規(guī)工作進行全面梳理；對相關(guān)工作人員及時開展個人信息保護和數(shù)據(jù)合規(guī)方面的培訓；增強合規(guī)負責人員與各業(yè)務(wù)和行政職能部門的協(xié)同。法務(wù)團隊提供政策解讀 IT團隊提供技術(shù)支持 第五部分：數(shù)據(jù)安全合規(guī)團隊的基本素質(zhì)要求 以一帶二，雙線合規(guī) 4747中倫團隊協(xié)助客戶進行 ：企業(yè)數(shù)據(jù)管理體系建設(shè)、隱私政策、公司數(shù)據(jù)管理規(guī)范、個人信息主體請求響應(yīng)規(guī)則、數(shù)據(jù)處理協(xié)議等數(shù)據(jù)的文件起草與修訂、數(shù)據(jù)本地化和跨境傳輸處理、數(shù)據(jù)分類分級管理、數(shù)據(jù)跨境傳輸?shù)陌踩u估、個人信息安全影響評估、數(shù)據(jù)泄漏安全事件應(yīng)急處理。數(shù)據(jù)安全與隱私保護協(xié)助企業(yè)進行GDPR適用分析；制定保障數(shù)據(jù)主體各項權(quán)利的技術(shù)措施和組織措施；數(shù)據(jù)跨

57、境傳輸?shù)穆窂椒治龊驮O(shè)計；就DPO任命和歐盟代表任命提供意見；數(shù)據(jù)泄露事件的應(yīng)對。中倫提供自動駕駛、物聯(lián)網(wǎng)、人工智能業(yè)務(wù)開展建議及合規(guī)審查互聯(lián)網(wǎng)地圖服務(wù)，數(shù)據(jù)合規(guī)框架設(shè)計，車聯(lián)網(wǎng)、物聯(lián)網(wǎng)市場準入及綜合性解決方案。自動駕駛/人工智能/物聯(lián)網(wǎng)中倫網(wǎng)絡(luò)安全和數(shù)據(jù)保護團隊是國內(nèi)此領(lǐng)域業(yè)務(wù)的開拓者和領(lǐng)先團隊，在網(wǎng)絡(luò)安全、隱私與數(shù)據(jù)保護等多項業(yè)務(wù)上具有非常豐富的實務(wù)經(jīng)驗。團隊合伙人長期參與本領(lǐng)域的立法和學術(shù)活動，參與了網(wǎng)絡(luò)安全法關(guān)鍵信息基礎(chǔ)設(shè)施保護條例（征求意見稿）數(shù)據(jù)安全法（草案）個人信息保護法（草案）等法律法規(guī)的制定和研討工作。中倫與世界范圍的數(shù)據(jù)合規(guī)專家建立了深入合作，具有為客戶提供全球數(shù)據(jù)合規(guī)一站式

58、服務(wù)的能力。中倫團隊具有豐富的項目處理實戰(zhàn)經(jīng)驗，并形成了獨特的數(shù)據(jù)合規(guī)方法論，在實踐中，對于精準營銷、人臉識別、互聯(lián)網(wǎng)支付、車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等積累了豐富的經(jīng)驗，可以協(xié)助客戶在復雜的法律和監(jiān)管框架下有效應(yīng)對法律的挑戰(zhàn)。中倫的客戶所涉及行業(yè)包括金融、IT與互聯(lián)網(wǎng)、電信、移動支付、智能網(wǎng)聯(lián)汽車、大數(shù)據(jù)、生命科學與大健康、傳媒、能源、航空、化工和制造等多個領(lǐng)域。GDPR合規(guī)485.3.1 中倫數(shù)據(jù)合規(guī)領(lǐng)域法律服務(wù)為聯(lián)想集團大數(shù)據(jù)項目提供法律服務(wù)；為英特爾（lntel）在中國境內(nèi)數(shù)據(jù)收集和處理問題提供合規(guī)服務(wù)；為雅培中國提供健康醫(yī)療數(shù)據(jù)合規(guī)、個人健康數(shù)據(jù)出境、網(wǎng)絡(luò)安全合規(guī)

59、法律服務(wù)；為沃爾瑪提供數(shù)據(jù)安全和隱私保護專項調(diào)查法律服務(wù)；為中數(shù)智匯大數(shù)據(jù)公司上市提供數(shù)據(jù)合規(guī)及體系搭建服務(wù)；為雅思旗下一款人工智能語言學習app起草隱私政策、用戶協(xié)議等相關(guān)文件，并提供跨境數(shù)據(jù)傳輸相關(guān)的咨詢；為康明斯（Cummins）某App項目提供證照許可、數(shù)據(jù)合規(guī)等方面的法律服務(wù)； 為之寶（Zippo）提供網(wǎng)站隱私政策、跨境數(shù)據(jù)傳輸?shù)确矫娴姆勺稍兎?wù)；為MSCI的數(shù)據(jù)及網(wǎng)絡(luò)安全合規(guī)事宜提供法律服務(wù)，包括個人信息收集、跨境數(shù)據(jù)傳輸、金融信息服務(wù)許可辦理等方面； 為美國新思科技的數(shù)據(jù)及網(wǎng)絡(luò)安全合規(guī)事宜提供法律服務(wù)，包括個人信息收集、跨境數(shù)據(jù)傳輸?shù)确矫妫?為穆迪的反壟斷及網(wǎng)絡(luò)安全合規(guī)事宜提供

60、法律服務(wù)，包括個人信息跨境傳輸、縱向協(xié)議限制等方面；為一家跨國汽車企業(yè)在某起大規(guī)模個人信息泄露事件中，提供法律風險評估、應(yīng)急事件應(yīng)對、整改計劃、監(jiān)管機構(gòu)溝通等全方位法律服務(wù)； 為某交通運輸領(lǐng)域平臺企業(yè)的數(shù)據(jù)及網(wǎng)絡(luò)安全合規(guī)事宜提供法律咨詢服務(wù)；為某頭部互聯(lián)網(wǎng)企業(yè)提供包括數(shù)據(jù)及網(wǎng)絡(luò)安全合規(guī)在內(nèi)的全面合規(guī)法律咨詢服務(wù)；為一家跨國醫(yī)藥公司在合規(guī)調(diào)查中跨境傳輸個人信息的需求提供法律咨詢服務(wù)； 為一家跨國快消品公司在一個潛在并購中涉及的數(shù)據(jù)盡調(diào)和數(shù)據(jù)傳輸合規(guī)問題提供法律咨詢服務(wù)；為一家跨國高端制造業(yè)公司擬收購某高科技公司的并購項目提供數(shù)據(jù)安全盡職調(diào)查服務(wù)； 處理多家國內(nèi)外公司在與日常經(jīng)營相關(guān)的網(wǎng)絡(luò)安全合規(guī)