企業(yè)數(shù)據(jù)合規(guī)白皮書

2021年9月見證質(zhì)量技術(shù)白皮書(2021年)版權(quán)聲明中國軟件評測中心”。違反上述說明的，本單位將追究其相關(guān)法 (一)金融科技行業(yè)數(shù)據(jù)合規(guī)現(xiàn)狀分析 (二)金融科技行業(yè)數(shù)據(jù)合規(guī)要點 (三)金融科技行業(yè)數(shù)據(jù)合規(guī)治理方案 (四)金融科技行業(yè)數(shù)據(jù)合規(guī)法律法規(guī)焦點 二、智能汽車行業(yè)數(shù)據(jù)合規(guī) (一)智能汽車行業(yè)數(shù)據(jù)合規(guī)現(xiàn)狀分析 (二)智能汽車行業(yè)數(shù)據(jù)合規(guī)要點 (三)智能汽車行業(yè)數(shù)據(jù)合規(guī)治理方案 (四)智能汽車行業(yè)數(shù)據(jù)合規(guī)法律法規(guī)焦點 三、在線教育行業(yè)數(shù)據(jù)合規(guī) (一)在線教育行業(yè)數(shù)據(jù)合規(guī)現(xiàn)狀分析 參研單位：(按筆畫排序)上海觀安信息技術(shù)股份有限公司公安部第一研究所中國電信集團有限公司中國電信股份有限公司研究院中國聯(lián)合網(wǎng)絡(luò)通信有限公司中國移動通信集團有限公司中國科學(xué)院信息工程研究所中核核信信息技術(shù)(北京)有限公司北京大學(xué)信息管理系北京梆梆安全科技有限公司北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司北京安瑞科技有限公司北京知人善用信息技術(shù)有限公司北京軟件和信息服務(wù)業(yè)協(xié)會西安郵電大學(xué)西安千喜網(wǎng)絡(luò)科技有限公司全球能源互聯(lián)網(wǎng)研究院有限公司遠江盛邦(北京)網(wǎng)絡(luò)安全科技股份有限公司啟明星辰信息技術(shù)集團股份有限公司國家互聯(lián)網(wǎng)應(yīng)急中心奇安信科技集團股份有限公司陜西澤眾維密信息技術(shù)有限公司綠盟科技集團股份有限公司聯(lián)通數(shù)字科技有限公司新華三信息安全技術(shù)有限公司薔薇大樹科技有限公司薔薇聚信(北京)科技有限公司ISC2北京分會行、全員參與的全方位、跨部門的數(shù)據(jù)協(xié)同管理體系：(1)頂層支持。數(shù)據(jù)合規(guī)負責(zé)人應(yīng)具有足夠高的層級和管理權(quán)限，以保障和推動機構(gòu)整體對數(shù)據(jù)合規(guī)問題自上而下的嚴肅、積合規(guī)培訓(xùn)、數(shù)據(jù)合規(guī)文化建設(shè)等方面加強全體員工的數(shù)據(jù)合規(guī)意識；事中可在業(yè)務(wù)前期即參與產(chǎn)品創(chuàng)新、業(yè)務(wù)流程設(shè)計，減少事后糾錯帶來的內(nèi)部抵觸、成本浪費；關(guān)注事后排查，定期抽檢，確認既定措施是否有效落實或是否存在技術(shù)故障導(dǎo)致合規(guī)瑕疵。據(jù)合規(guī)部門應(yīng)和業(yè)務(wù)部門、技術(shù)部門協(xié)同合作，建立合理的數(shù)據(jù)處理機制，保障合規(guī)底線與數(shù)據(jù)可用性。(4)物質(zhì)保障。數(shù)據(jù)合規(guī)的落地需要資金、技術(shù)、人員等多方面的支持，金融科技機構(gòu)需給予合理的保障。2外部治理要點金融科技機構(gòu)數(shù)據(jù)合規(guī)治理除了做好自身內(nèi)部建設(shè)外，外部建設(shè)亦很重要，主要包括監(jiān)管、交易方、第三方機構(gòu)三個方面。(1)擁抱監(jiān)管、有效合規(guī)。如前所述，擁機構(gòu)的數(shù)據(jù)合規(guī)路徑。在擁抱監(jiān)管的同時，更為重要的是在監(jiān)管框架下進行有效的合規(guī)建設(shè)，既不能不滿足監(jiān)管要求，也要避免用力過猛。比如在等保認定方面，要結(jié)合自身系統(tǒng)和業(yè)務(wù)的實際情況，合理認定等保級別，認定級別過低，將造成企業(yè)在網(wǎng)安層局和交易結(jié)構(gòu)影響較大，對科技平臺的科技和數(shù)據(jù)實力要求更高；后者則面臨客戶體驗較差、再次被監(jiān)管禁止等風(fēng)險。相比較，前需要注意的是，本次斷直連僅涉及個人信息，主要針對消費金融，暫不涉及企業(yè)征信信息。但考慮到《征信業(yè)務(wù)管理辦法》正在征求意見，其對企業(yè)征信信息、企業(yè)征信業(yè)務(wù)的范圍作了較大范圍的擴充，一旦通過，企業(yè)征信斷直連亦非不可能。建議B端機構(gòu)早做打算，盡早研究征信機構(gòu)合作業(yè)務(wù)模式，或者依業(yè)務(wù)情況申請企業(yè)征信備案。2網(wǎng)絡(luò)安全審查辦法修訂對金融科技資本側(cè)的影響《網(wǎng)絡(luò)安全審查辦法》修訂特別增加了超百萬用戶的運營者在國外上市需網(wǎng)絡(luò)安全審查的規(guī)定，且近期亦有消息指證監(jiān)會擬將所有紅籌VIE架構(gòu)納入監(jiān)管。如果上述措施落地，金融科技企業(yè)美國上市之路將難度大增。針對此項變化，業(yè)界普遍的看法是香港上市是備選答案之一，但是，考慮到港股上市條件較美股嚴格，仍會有部分企業(yè)既難以在美國上市又不能達到港股上市要求，相關(guān)企業(yè)仍需盡早規(guī)劃融資路徑。今年8月初，港交所前行政總裁李小加創(chuàng)辦的連接中國小微企業(yè)和全球資本的投資平臺“滴灌通”正式啟動，擬建立以公司現(xiàn)金流或收益權(quán)為標的的交易市場，也許可以期待這種無需改變股權(quán)結(jié)構(gòu)、無需搭建VIE架構(gòu)的全新融資模式能為金融科技創(chuàng)業(yè)企業(yè)的境外融資打開一個新的大門。行政公益訴訟案中，2016年7月，甲培訓(xùn)機構(gòu)總經(jīng)理孟某購買中小學(xué)在校學(xué)生個人信息23萬余條，并將上述信息用于其培訓(xùn)機構(gòu)電話招生。2018年7月，孟某向王某出售、向乙培訓(xùn)機構(gòu)總的，處三年以上七年以下有期徒刑，并處罰金”,企業(yè)竊取個人信息或未經(jīng)允許向第三方買賣個人信息都構(gòu)成侵犯公民個人信1)制定內(nèi)部管理制度和操作規(guī)程，對個人信息實行分類2)采取相應(yīng)的加密、去標識化等安全技術(shù)措施；3)合理確定個人信息處理的操作權(quán)限，并定期對從業(yè)人員進行安全教育和培訓(xùn)；4)制定并組織實施個人信息安全事件應(yīng)急預(yù)案；中國軟件評測中心網(wǎng)絡(luò)空間安全測評工程技術(shù)中心致力于信各方同仁批評指正!中國軟件評測中心非常期待能夠與各行業(yè)、各項標準。行業(yè)數(shù)據(jù)安全管理和新技術(shù)新業(yè)務(wù)安全評估工作。2020年工業(yè)和信息化部召開了2020年基礎(chǔ)企業(yè)安全責(zé)任考核數(shù)據(jù)安全管理和新技術(shù)新業(yè)務(wù)安全評估抽查工作部署會，會議要求結(jié)合考核要點內(nèi)容抽查企業(yè)數(shù)據(jù)安全合規(guī)性評估報告和新技術(shù)新業(yè)務(wù)安全評估報告。(四)電信和互聯(lián)網(wǎng)行業(yè)法律法規(guī)焦點問題依據(jù)《數(shù)據(jù)安全法》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)，行業(yè)主管部門采取遠程檢測、現(xiàn)場檢查、專項檢查等方式開展監(jiān)督檢查，其中，企業(yè)數(shù)據(jù)安全責(zé)任落實情況及合規(guī)性評估落實情況被作為重點內(nèi)容，納入網(wǎng)絡(luò)信息安全“雙隨機一公開”檢查和基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責(zé)任考核檢查。數(shù)據(jù)安全事件的監(jiān)測跟蹤和執(zhí)法調(diào)查力度空前加大，對違法違規(guī)行為采取約談、公開通報、行政處罰等措施，并將處罰結(jié)果納入電信業(yè)務(wù)經(jīng)營不良名單或失信名單。數(shù)據(jù)安全投訴、舉報機制也在逐(二)在線教育行業(yè)案例及數(shù)據(jù)合規(guī)要點 (三)在線教育行業(yè)數(shù)據(jù)合規(guī)治理方案 (四)在線教育行業(yè)數(shù)據(jù)合規(guī)法律法規(guī)焦點問題 (一)電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)合規(guī)現(xiàn)狀分析 (二)電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)合規(guī)要點 (三)電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)合規(guī)治理方案 (四)電信和互聯(lián)網(wǎng)行業(yè)法律法規(guī)焦點問題 2021年6月10日，第十三屆全國人民代表大會常務(wù)委員會第二十據(jù)安全法》)。該法已于2021年9月1日起施行?！稊?shù)據(jù)安全法》中國軟件評測中心(工業(yè)和信息化部軟件與集成電路促進中心),簡稱“中國評測”,是工業(yè)和信息化部直屬單位，創(chuàng)立于1990年。成立30年來，中國評測秉承“誠信、擔當、唯實、創(chuàng)先”的核心價值觀和“專業(yè)就是實力”的宗旨，先后承擔了10萬余款軟硬件產(chǎn)品和1萬余項信息系統(tǒng)工程的測試任務(wù)，已成為國內(nèi)權(quán)威的中國評測的業(yè)務(wù)網(wǎng)絡(luò)覆蓋全國500多個城市，出具的測試報告在61包括美國、日本、韓國、印度等在內(nèi)的十幾個國家為打通歐盟立法產(chǎn)生的數(shù)據(jù)壁壘，與其已經(jīng)達成或正在談判以達成數(shù)據(jù)傳輸保護協(xié)議。另一方面，以美國為首的多個國家通過單方面主張域外管轄權(quán)獲取境外數(shù)據(jù)，意圖創(chuàng)建打破數(shù)據(jù)本地化政策的全新規(guī)則框架，但又以網(wǎng)絡(luò)自由原則和人權(quán)保護為理由，對外國政府調(diào)取數(shù)據(jù)均以自身利益為先加以制衡。在數(shù)字經(jīng)濟全球化的當下，迫使包括中國在內(nèi)的數(shù)據(jù)治理主體在數(shù)據(jù)相關(guān)戰(zhàn)略部署，及中國企業(yè)在內(nèi)的跨境數(shù)據(jù)運營主體在業(yè)務(wù)合規(guī)過程中，必須考慮、評估國際政策法律環(huán)境的約束和實際影響力。二、數(shù)據(jù)合規(guī)法律環(huán)境(一)國內(nèi)法律環(huán)境國內(nèi)數(shù)據(jù)合規(guī)政策、立法多頭并進，數(shù)據(jù)治理迎來新格局。2015年7月1日，《中華人民共和國國家安全法》頒布并施行，同日，國務(wù)院辦公廳印發(fā)《關(guān)于運用大數(shù)據(jù)加強對市場主體服務(wù)和監(jiān)管的若干意見》,提出充分運用大數(shù)據(jù)先進理念、技術(shù)和資源，加強對市場主體的服務(wù)和監(jiān)管，推進簡政放權(quán)和政府職能轉(zhuǎn)變，提高政府治理能力。2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》正式施行，其中對個人信息保護作出明確規(guī)定。2018年8月31日，我國《電子商務(wù)法》公開頒布，除了對個人信息總則一、數(shù)據(jù)合規(guī)價值觀(一)國內(nèi)價值觀(二)國際價值觀多國家或組織通過強制數(shù)據(jù)本地化存儲、強制性反加密制度(如2019年5月28日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《數(shù)據(jù)安全管理辦法(征求意見稿)》,對利用網(wǎng)絡(luò)開展數(shù)據(jù)收集、存儲、傳詳細規(guī)定。6月13日，發(fā)布《個人信息出境安全評估辦法(征求意見稿)》,目前兩項公開征求意見工作已完成。10月1日，由國施行。12月1日，等保2.0正式將大數(shù)據(jù)安全納入監(jiān)管體系。2020年1月1日，《中華人民共和國密碼法》正式施行。1月17日至18日，中央政法工作會議強調(diào)，要把大數(shù)據(jù)安全作為損壞數(shù)據(jù)安全、竊取數(shù)據(jù)秘密等違法犯罪活動。3月30日，中共整合和安全保護。4月27日，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、國家安全部等12部門聯(lián)合制定發(fā)布《網(wǎng)絡(luò)安全審查辦法》,明確網(wǎng)絡(luò)安全審查重點毀損的風(fēng)險。5月28日，十三屆全國人大三次會議表決通過《中華人民共和國民法典》,其中專設(shè)了“隱私權(quán)與個人信息保護”2020年6月28日，我國第一部在數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律《中華人民共和國數(shù)據(jù)安全法(草案)》在第十三屆全國人大常委會第二十次會議通過審議，并于7月3日在中國人大網(wǎng)公開實踐提供全面保障。2020年7月，我國對外公布了《數(shù)據(jù)安全法2021年6月7日，為促進國家數(shù)字經(jīng)濟的發(fā)展，維護國家共和國數(shù)據(jù)安全法》,并自2021年9月1日起施行。該法是繼(二)國際法律環(huán)境月27日，歐盟發(fā)布2016/679號條例《通用數(shù)據(jù)保護條例》GDPR),取代95/46/EC號指令(歐盟數(shù)據(jù)保護指令)。條例制定了個人數(shù)據(jù)保護的一般規(guī)范，為歐盟內(nèi)外個人數(shù)據(jù)的自由流動提供了確定性保護，開啟了其成員國新一輪數(shù)據(jù)立法，是歐盟新形勢下數(shù)據(jù)治理的里程碑事件。7月6日，首部網(wǎng)絡(luò)安全相關(guān)法律《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》(NISD)頒布，旨在加強基礎(chǔ)服務(wù)運營商、數(shù)字服務(wù)提供商的網(wǎng)絡(luò)與信息系統(tǒng)安全，并要求成員國及時轉(zhuǎn)化為國內(nèi)立法，與GDPR分別從安全和基本權(quán)利保障兩個層面實現(xiàn)其網(wǎng)絡(luò)治理戰(zhàn)略意圖。2018年10月23日，第2018/1725號條例《聯(lián)盟機構(gòu)個人數(shù)據(jù)處理保護條例》發(fā)布，其作為GDPR的補充，對歐盟機構(gòu)在處理個人數(shù)據(jù)時對自然人的保護提出基本要求，明確了數(shù)據(jù)主體的權(quán)利范圍及主要監(jiān)管機關(guān)的職能和義務(wù)。為保障非個人數(shù)據(jù)在歐盟境內(nèi)自由流動，更大程度地激發(fā)和釋放數(shù)據(jù)價值，2018/18條例《非個人數(shù)據(jù)自由流動條例》于11月14日發(fā)布，該條例對數(shù)據(jù)本地化要求、主管當局的數(shù)據(jù)獲取及跨境合作、專業(yè)用戶的數(shù)據(jù)遷移等問題作出了具體規(guī)定，并考慮了服務(wù)提供商負擔過度及市場扭曲等問題，進一步完善了歐盟數(shù)據(jù)治理框架。歐洲數(shù)據(jù)保護委員會的統(tǒng)計數(shù)據(jù)顯示，在GDPR實施的第一年里，成員國共報告28100多例GDPR違規(guī)案件，罰款總額達55,955,871歐元(其中5000萬歐元為對谷歌的罰款)。另根據(jù)GDPR執(zhí)法追蹤網(wǎng)站()的統(tǒng)計，截至2020年9月，歐盟成員國共開出362張與GDPR相關(guān)的罰單，總罰款金額高達2019年4月17日，第2019/881號條例《關(guān)于ENISA和信網(wǎng)絡(luò)和信息安全署(ENISA)為永久性歐盟網(wǎng)絡(luò)安全機構(gòu)，確立歐盟認為歐美長達15年的《安全港協(xié)議》不足以保護歐盟公民隱私。2016年2月2日，美國與歐盟達成新的隱私盾(PrivacyShield)協(xié)議，新協(xié)議要求美國企業(yè)履行更加嚴格的義務(wù)以保護與此同時，歐盟為AI數(shù)據(jù)采集立法，開創(chuàng)個人隱私保護監(jiān)管先河。歐盟委員會于2020年4月21日正式發(fā)布一項針對AI的法律監(jiān)管框架。這份長達81頁的立法草案指出，歐盟將禁止2020年11月4日，歐盟推出與美國共享數(shù)據(jù)的合規(guī)條款。歐盟委員會發(fā)布更新的標準合同條款(SCC),概述公司和組織如與美國和其他第三方國家/地區(qū)交換數(shù)據(jù)提供了一種法律機制，將使得歐洲組織能明確在什么情況下進行跨境數(shù)據(jù)傳輸是合法2020年11月25日，歐盟發(fā)布《數(shù)據(jù)治理法》的提案，旨在通過增加對數(shù)據(jù)中介機構(gòu)的信任并通過加強整個歐盟的數(shù)據(jù)共2021年7月22日，荷蘭數(shù)據(jù)保護局以侵犯兒童隱私為由，決定對字節(jié)跳動旗下短視頻社交平臺TikTok(“抖音”國際版)處以75萬歐元的罰款。這一事件意味著歐盟《通用數(shù)據(jù)保護條的海外平臺)第一次因違反GDPR相關(guān)條款而遭受處罰，具有一定標志性意義。歐盟的數(shù)據(jù)安全相關(guān)政策法律視圖如圖1所示：圖1:歐盟的數(shù)據(jù)安全相關(guān)法律政策視圖《通用數(shù)據(jù)保護條例》《通用數(shù)據(jù)保護條例》《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》《聯(lián)盟機構(gòu)個人數(shù)據(jù)處理保護條例》《非個人數(shù)據(jù)自由流動條例》《關(guān)于ENISA和信息通信技術(shù)網(wǎng)絡(luò)安全認證的條例》《數(shù)據(jù)開放指令》《數(shù)據(jù)治理法》美國多點式進行數(shù)據(jù)立法，捍衛(wèi)其多元化社會利益。目前美國尚無聯(lián)邦層面的、正式的綜合性數(shù)據(jù)安全立法，但美國從聯(lián)邦層面多次強調(diào)將數(shù)據(jù)作為執(zhí)法優(yōu)先項，并于2019年底相繼提交《國家安全和個人數(shù)據(jù)保護法提案》《數(shù)據(jù)保護法提案》。2018年6月28日，美國在州層面通過第一部數(shù)據(jù)隱私法案《加利福尼亞州消費者隱私保護法》(CCPA),并于2020年1月1日正式生效。法案強化了數(shù)據(jù)主體對個人信息的控制權(quán)，規(guī)范了企業(yè)收集處理數(shù)據(jù)的方式。此前，在2018年1月，特朗普簽署了《外國情報監(jiān)視法案修正案》第702條的更新授權(quán)，延續(xù)其霸權(quán)形式的互聯(lián)網(wǎng)監(jiān)視及情報收集計劃，同意授權(quán)美國國家安全局(NSA)監(jiān)聽境外目標人員并收集其相關(guān)數(shù)據(jù)情報。2018年3月2020年12月，美國頒布《外國公司問責(zé)法》,要求在美上市息安全事件應(yīng)急響應(yīng)制度。3扎實推進數(shù)據(jù)對外提供合規(guī)智能汽車企業(yè)在數(shù)據(jù)處理過程中，不可避免地要對外提供數(shù)數(shù)據(jù)跨境傳輸?shù)炔煌瑘鼍?。?shù)據(jù)委托處理場景下，數(shù)據(jù)合規(guī)及安全責(zé)任主要由控制者承擔，受托方需嚴格按照與控制者的協(xié)議約定，在控制者的指示下處理數(shù)據(jù)；數(shù)據(jù)共享場景下，雙方互為數(shù)據(jù)控制者并共同對數(shù)據(jù)主體承擔責(zé)任，雙方需在合作協(xié)議中理清彼此的數(shù)據(jù)合規(guī)義務(wù)。對于智能汽車相關(guān)數(shù)據(jù)的跨境傳輸，按照《網(wǎng)絡(luò)安全法》規(guī)定，涉及個人信息及重要數(shù)據(jù)的，需在完成安全評估并報相關(guān)機構(gòu)備無論是何種場景，建議智能汽車企業(yè)應(yīng)在數(shù)據(jù)對外提供前，充分審查合作方的數(shù)據(jù)安全管理能力，并與合作方通過協(xié)議等形式，要求合作方作為數(shù)據(jù)接收方應(yīng)在約定目的范圍內(nèi)使用數(shù)據(jù)，并承擔保密、信息安全保障等義務(wù)。4深入管控第三方的數(shù)據(jù)合規(guī)對于智能汽車企業(yè)而言，在汽車的制造過程中，不可避免地會用到大量的第三方服務(wù)，如：音頻、視頻服務(wù)，導(dǎo)航服務(wù)，自成為了智能汽車企業(yè)不得不面對的棘手問題。智能汽車企業(yè)應(yīng)當對第三方服務(wù)的數(shù)據(jù)合規(guī)問題進行嚴格管控。相關(guān)管控工作應(yīng)當至少包括如下兩個方面的內(nèi)容：一個方相關(guān)政策法律視圖如圖2所示：圖2:美國的數(shù)據(jù)安全相關(guān)政策法律視圖《國家安全《國家安全和個人數(shù)據(jù)《外國情報監(jiān)視法案修美國《加利福尼私保護法》《數(shù)據(jù)保護3其他國家以及國際組織國際數(shù)據(jù)治理情緒高漲，配套政策出臺密集。2017年5月30日，日本《個人信息保護法》修訂版全面施行。2018年2月其監(jiān)護人的單獨同意。對于客觀上無法有效獲得用戶同意的業(yè)務(wù)形態(tài)，建議智能汽車企業(yè)暫緩開通相關(guān)功能，已經(jīng)開通的，建議考慮下線相關(guān)功能，以防控數(shù)據(jù)合規(guī)風(fēng)險。例如：某些智能汽車試圖通過車內(nèi)攝像頭采集乘客的人臉信息以用于某些業(yè)務(wù)，但是，由于乘客自身通常沒有智能汽車管理相關(guān)的App,無法明確單獨同意智能汽車企業(yè)采集其人臉信息。對于這種情況，如果智能汽車企業(yè)擅自采集智能汽車內(nèi)的乘客人臉信息，將給自身帶來嚴重的數(shù)據(jù)合規(guī)風(fēng)險。2積極采取數(shù)據(jù)安全管理措施對于智能汽車企業(yè)而言，個人信息和重要數(shù)據(jù)的信息安全管理，是其數(shù)據(jù)合規(guī)的重點工作之一。對于智能汽車相關(guān)的數(shù)據(jù)安全措施，應(yīng)當主要包括如下內(nèi)容：a)建立數(shù)據(jù)管理制度。應(yīng)當建立健全企業(yè)的數(shù)據(jù)安全管理制度，使得制度覆蓋信息安全和數(shù)據(jù)管理全生命周期。b)設(shè)置數(shù)據(jù)管理機構(gòu)。企業(yè)應(yīng)當設(shè)置專門的數(shù)據(jù)安全管理機構(gòu)，例如企業(yè)信息安全部門，以從技術(shù)角度科學(xué)推進數(shù)據(jù)安全管理。c)采取數(shù)據(jù)存儲、傳輸及訪問權(quán)限安全措施。數(shù)據(jù)應(yīng)存儲在中國境內(nèi)的服務(wù)器；數(shù)據(jù)的存儲和傳輸應(yīng)當加密；此外，還應(yīng)當嚴格設(shè)置數(shù)據(jù)訪問權(quán)限及訪問數(shù)據(jù)的范圍；對于生物特征識別數(shù)據(jù)，原則上不存儲和傳輸原始數(shù)據(jù)，可采取必要的脫敏措施。此外，企業(yè)還應(yīng)當建立信息安全事件響應(yīng)機制，設(shè)置應(yīng)對信2《個人信息保護法》息處理活動負責(zé)，并采取必要措施保障所處理的個人信息的安3《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》四、電信和互聯(lián)網(wǎng)行業(yè)領(lǐng)域數(shù)據(jù)合規(guī)(一)電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)合規(guī)現(xiàn)狀分析8月14日，巴西批準了《通用數(shù)據(jù)保護法》。11月5日，加拿大《個人信息保護和電子文件法》修正案生效，增加了強制性數(shù)據(jù)泄露通知報告要求。2019年12月4日，印度內(nèi)閣通過《個人數(shù)據(jù)保護法案》,引入了更為廣泛的數(shù)據(jù)本地化要求，對包括互聯(lián)網(wǎng)行業(yè)在內(nèi)的多個行業(yè)帶來全面沖擊。2020年5月14日，新加坡通信信息部和個人數(shù)據(jù)保護委員會聯(lián)合發(fā)布《個人數(shù)據(jù)保護法(修訂)》草案，是規(guī)范個人數(shù)據(jù)的收集、使用和披露的綜合性立法。為配合該法更好執(zhí)行，當?shù)剡€配套出臺了特定領(lǐng)域(如電信、房地產(chǎn)、教育、醫(yī)療、社會公益服務(wù)等行業(yè))的個人數(shù)據(jù)保美國主導(dǎo)下的亞太隱私數(shù)據(jù)跨境體系(APECCBPRs)在經(jīng)歷沉寂期后迎來實質(zhì)性進展。2018年3月，新加坡加入CBPRs體系；11月，澳大利亞和中國臺北的加入申請也同時獲得APEC批準。截至目前，在APEC21個經(jīng)濟體中，已有美國、日本、加拿大、韓國、新加坡等8個經(jīng)濟體加入CBPRs體系。ODCE經(jīng)合組織也在繼2013年7月發(fā)布《隱私及個人數(shù)據(jù)跨境流動保護指引》后，于2019年11月，發(fā)布《公共部門如何實現(xiàn)數(shù)據(jù)驅(qū)動》的報告，以促進公共部門采用更多數(shù)據(jù)驅(qū)動的方法來制定政策、提供服務(wù)，并提出關(guān)于建設(shè)數(shù)據(jù)驅(qū)動型公共部門的建議。2020年6月12日、6月30日、7月3日、9月2日，歐盟、丹麥、英國和法國分別啟動針對TikTok涉嫌違反GDPR的調(diào)查。越來越多的國家對數(shù)據(jù)保護實行嚴格監(jiān)管，這是我國企業(yè)跨國運車輛識別代碼等),車輛輔助或自動駕駛軟硬件的數(shù)據(jù)，車輛外部數(shù)據(jù)，車載導(dǎo)航數(shù)據(jù)以及服務(wù)于自動駕駛的高精度地圖定位數(shù)在智能汽車的用戶相關(guān)數(shù)據(jù)和車輛相關(guān)數(shù)據(jù)中，大量數(shù)據(jù)屬于駕駛員等的個人信息，也有不少數(shù)據(jù)屬于國家嚴格管控的重要數(shù)據(jù)。在對這些數(shù)據(jù)進行處理時，應(yīng)當嚴格遵守國家相關(guān)法律法規(guī)及部門規(guī)章等的規(guī)定。(二)智能汽車行業(yè)數(shù)據(jù)合規(guī)要點基于上述的行業(yè)現(xiàn)狀，結(jié)合中國智能汽車企業(yè)的數(shù)據(jù)處理實踐，對中國智能汽車企業(yè)在面臨的數(shù)據(jù)合規(guī)要點進行梳理發(fā)現(xiàn)，中國智能汽車企業(yè)的數(shù)據(jù)合規(guī)問題主要來自以下幾個方面：1個人信息處理征得同意根據(jù)《民法典》的規(guī)定，對于智能汽車企業(yè)而言，除法律、行政法規(guī)另有規(guī)定外，在處理駕駛員、乘客等的個人信息前應(yīng)當征得該自然人或其監(jiān)護人的同意。根據(jù)《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》第二條，對于智能汽車企業(yè)而言，在處理駕駛員、乘客等的人臉信息前，除了按照法律、行政法規(guī)的規(guī)定征得自然人或者其監(jiān)護人的書面同意的情形外，應(yīng)當征得該自然人或者其監(jiān)護人的單獨同意。營所面臨的“頭號麻煩”。面對數(shù)據(jù)保護處罰的威脅，不愿或無力承擔合規(guī)成本的企業(yè)往往選擇退出“高風(fēng)險”的市場，而選擇堅守的企業(yè)則采取積極的應(yīng)對措施降低違規(guī)風(fēng)險。一些在境外運營的中資互聯(lián)網(wǎng)企業(yè)使用第三方云服務(wù)提供商(符合GDPR安全標準)對用戶數(shù)據(jù)進行存儲和管理，并與企業(yè)分擔合規(guī)責(zé)任。根據(jù)字節(jié)跳動與甲骨文于2020年9月13日達成的關(guān)于TikTok美國業(yè)務(wù)的協(xié)議，甲骨文正式作為TikTok可信賴的數(shù)據(jù)安全合規(guī)合作伙伴，有權(quán)對TikTok美國的源代碼進行安全檢查，從而代表美國政府解決美國國家安全問題的意志。日益嚴格的數(shù)據(jù)保護已對跨境投資造成了負面影響。德勤會計師事務(wù)所發(fā)布的《2020并購趨勢報告》指出，在歐盟GDPR和美國加州CCPA相繼實施、生效的背景下，70%的受訪企業(yè)代表認為對并購的數(shù)字資產(chǎn)的保護是個值得關(guān)注的問題；數(shù)據(jù)安全的合規(guī)要求對企業(yè)并購的盡職調(diào)查和并購整合而言都構(gòu)成潛在的風(fēng)險。美國伊利諾伊技術(shù)學(xué)院JianJia等人于2019年12月發(fā)表了論文《GDPR與風(fēng)險投資的本地化》,分析了GDPR實施一年以來歐盟外部和歐盟內(nèi)部的風(fēng)險投資變動情況。結(jié)果顯示，歐盟外部對歐盟的風(fēng)險投資、歐盟內(nèi)部成員之間的風(fēng)險投資、同一歐盟國家內(nèi)部的風(fēng)險投資的平均單筆交易美元金額分別下降41.89%、35.77%和28.02%,交易數(shù)量分別減少26.29%、20.71%和13.67%。例如，(2017)渝0231刑初425號劉川謝福祥侵犯公民個人信息罪一案中，2017年4月，被告人謝福祥、劉川共同成立了重招商網(wǎng)站收集或者通過QQ群購買包含公民聯(lián)系方式等數(shù)據(jù)的信息。其中，被告人謝福祥在與被告人劉川共同成立公司以前，還單獨向他人多次出售公民個人信息。2017年2月至7月期間，被告人謝福祥、劉川通過出售公民個人信息分別獲款61812元、25940元。根據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理侵犯第(七)項“違法所得五千元以上的”、第二款第(一)項“數(shù)量或者數(shù)額達到前款第三項至第八項規(guī)定標準十倍以上的”,構(gòu)成引發(fā)數(shù)據(jù)安全風(fēng)險的風(fēng)險源可能是機器故障、內(nèi)部人員的惡意行為或失誤操作，也可能是外部黑客的惡意攻擊；而惡意攻擊途徑又有不同，包括采用惡意軟件、安全漏洞、社會工程學(xué)等手段或多種手段的組合；發(fā)起數(shù)據(jù)安全攻擊的動機也不盡相同，單純的炫技、商業(yè)或經(jīng)濟利益、軍事或政治利益等。這為數(shù)據(jù)安全風(fēng)險的防范帶來一定難度。此外，隨著行業(yè)網(wǎng)絡(luò)形態(tài)不斷演化，新技術(shù)新應(yīng)用場景的日漸復(fù)雜，衍生出新的數(shù)據(jù)類型、數(shù)據(jù)生產(chǎn)方式、數(shù)據(jù)處理方式和終端形式等，引發(fā)了新一輪的數(shù)據(jù)安全事件爆發(fā)，而對于新型安全風(fēng)險的研究和防范能力目前還有待提升，安全挑戰(zhàn)不斷加劇。再者，數(shù)字化的加速推進促進了復(fù)雜網(wǎng)絡(luò)中的數(shù)據(jù)流通，極大的模糊了傳統(tǒng)數(shù)據(jù)安全的邊界，使得行業(yè)基于邊界或網(wǎng)元的防護體系不再能滿足當前跨組織的數(shù)據(jù)流通安全風(fēng)險管理、聯(lián)動規(guī)范的接口管控、風(fēng)險管控追蹤等數(shù)據(jù)安全治理需求。多方面因素導(dǎo)致數(shù)據(jù)安全治理難度持續(xù)升級。(二)電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)合規(guī)要點2019年，工信部部署全國基礎(chǔ)電信企業(yè)(含專業(yè)公司)、50余家重點互聯(lián)網(wǎng)企業(yè)及400余款A(yù)PP運營者，結(jié)合重點業(yè)務(wù)類型和場景，依托互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)安全評估機制，對標《2019年基礎(chǔ)電信企業(yè)數(shù)據(jù)安全合規(guī)性評估要點》和《2019年互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全合規(guī)性評估指引》,全面開展網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)性評估，并將其作為重點工作內(nèi)容納入年度網(wǎng)絡(luò)信息安全“雙隨機一分則一、金融科技行業(yè)數(shù)據(jù)合規(guī)(一)金融科技行業(yè)數(shù)據(jù)合規(guī)現(xiàn)狀分析一觀點并非突然而降，央行、銀保監(jiān)會在此之前(公開信息可以追溯至2017年)便多次提及。站在今天的時點，談及金融科技1中國金融科技發(fā)展、監(jiān)管史支付清算技術(shù)建國至改開初期，是全國手工聯(lián)行的手工操作階段。2000年后，大小額支付系統(tǒng)等的上線運行，開啟中國現(xiàn)代化支付系統(tǒng)(CNAPS)一代時期，中國的支付清算技術(shù)從一窮二白逐步進入世界先列；隨著國家隊CNAPS一代的上線和中國電子商務(wù)的發(fā)展，第三方線上、線下支付技術(shù)自2005相比傳統(tǒng)的普通汽車，智能汽車具有如下的特點：(1)駕乘功能的智能化。智能汽車最大的特點在于駕乘功能汽車具有了諸多智能化的功能，如：輔助駕駛、自動駕駛、智能泊車、智能大燈、智能車門等功能。芯片，實時收集各種車內(nèi)外的信息，與傳統(tǒng)汽車不同的是，智能汽車與人的行為以及出行環(huán)境的結(jié)合更為緊密，功能更為全面，因而需要收集的數(shù)據(jù)類型也更為豐富、數(shù)據(jù)量也更為巨大。實際上，智能汽車駕乘功能智能化和娛樂功能多樣化的特點，也奠定了智能汽車的數(shù)據(jù)處理海量化的特點。而這其中的數(shù)據(jù)，既涉及個人信息，也可能涉及各種重要數(shù)據(jù)，因此智能汽車企業(yè)需要嚴2智能汽車涉及的數(shù)據(jù)類型相關(guān)數(shù)據(jù)，另一類是車輛相關(guān)數(shù)據(jù)。用戶相關(guān)數(shù)據(jù)主要包括：用戶主動提供的身份信息數(shù)據(jù)(如：姓名、證件類型及號碼、年齡、性別、職業(yè)、工作單位、地址、宗教信仰、民族、國籍、電話號碼等),使用車輛時產(chǎn)生的用戶行為數(shù)據(jù)(如：駕駛及行車安全服務(wù)信息、生活服務(wù)信息、聯(lián)系人信息、用戶操作日志等),以及語音、人臉圖像等數(shù)據(jù)。車輛相關(guān)數(shù)據(jù)主要包括：車輛基本資料(如：車輛類型、品年開始，進入了快速發(fā)展，支付寶、微信支付、網(wǎng)銀在線、2010年，網(wǎng)上支付跨行清算系統(tǒng)(超級網(wǎng)銀)率先上2013年CNAPS二代正式切換上線(大小額支付系統(tǒng)升級二代，清算賬戶管理系統(tǒng)、支付管理信息系統(tǒng)、公共管理控制系統(tǒng)上線，相關(guān)系統(tǒng)配套改革升級),中國的支付清算技術(shù)發(fā)式發(fā)展后，“跨過銀聯(lián)直連銀行”“超大規(guī)模備付金風(fēng)險”被監(jiān)管關(guān)注，第三方支付開始進入嚴監(jiān)管階段，監(jiān)管推出“非銀行支付機構(gòu)網(wǎng)絡(luò)支付清算平臺(網(wǎng)聯(lián)平臺)”,并于2019年實現(xiàn)第三方支付全面接入網(wǎng)聯(lián)、備付金集中存征信技術(shù)1997年，央行籌建銀行信貸登記咨詢系統(tǒng)，企業(yè)征信技術(shù)起步；1999年，上海資信有限公司開始個人征信試點，個2004年，《建設(shè)企業(yè)和個人征信體系總體方案專題報告》發(fā)布，征信業(yè)建設(shè)頂層設(shè)計完成2005年，全國集中統(tǒng)一的企業(yè)信用信息基礎(chǔ)數(shù)據(jù)庫建成；2006年，個人信用信息基礎(chǔ)數(shù)據(jù)庫正式運行，同年，中國人民銀行征信中心成立，企業(yè)信用信息基礎(chǔ)數(shù)據(jù)庫、個人信用信息基礎(chǔ)數(shù)據(jù)庫共同構(gòu)成金融信用信息基礎(chǔ)數(shù)據(jù)庫(“一代”征信系統(tǒng))2013-2017年，監(jiān)管進行了個人征信民營試點，但最終宣布八家試點全不合格；同期，監(jiān)管還進行了企業(yè)征信機構(gòu)備案，總數(shù)最高到200余家。2018年開始，個人征信業(yè)務(wù)重歸監(jiān)管，目前僅有2家持牌個人征信機構(gòu)：百行征信(2018)、樸道征信(2020);同期，企業(yè)征信機構(gòu)備案也處于半封閉狀態(tài)，新獲備案的企業(yè)2020年1月，二代征信系統(tǒng)上線，豐富了基本信息和信貸信息內(nèi)容、改進了信息展示形式、提升了信息更新效率、強化了系統(tǒng)安全防護能力；同期，隨著數(shù)據(jù)安全和合規(guī)的監(jiān)管其他金融科技20世紀90年代起，招行、工行便開始了虛擬銀行、現(xiàn)代化聯(lián)網(wǎng)機構(gòu)結(jié)合，開啟了金融渠道網(wǎng)絡(luò)化時代；這一時期，P2P的興起、亂象、清理之路，為我們理解金融科技發(fā)展和應(yīng)用于金融產(chǎn)品創(chuàng)新、經(jīng)營方式改變、業(yè)務(wù)流程優(yōu)化，金融科技已從支撐業(yè)務(wù)向引領(lǐng)業(yè)務(wù)方向發(fā)展，金融數(shù)據(jù)的價值將行業(yè)信息系統(tǒng)的建設(shè)、運營、大數(shù)據(jù)中心搭建、教育機構(gòu)門戶運維等工程中支持國內(nèi)研發(fā)的產(chǎn)品應(yīng)用，為大數(shù)據(jù)關(guān)鍵技術(shù)發(fā)展提供更穩(wěn)定安全的環(huán)境。2健全數(shù)據(jù)安全保護制度體系針對教育行業(yè)個人信息保護工作不佳，數(shù)據(jù)泄露事件時有發(fā)生的情況，應(yīng)當從立法、立標、樹規(guī)、貫標等方面對信息安全技術(shù)防護體系進行管理上的補充，提升“三分靠技術(shù)，七分靠管理”目前數(shù)據(jù)安全與個人信息保護相關(guān)法規(guī)已經(jīng)出臺，數(shù)據(jù)安全合規(guī)性需求將進一步加大。針對數(shù)據(jù)安全保護、信息泄露事件的監(jiān)管將進入法制時代，基礎(chǔ)法規(guī)的頒布需要行業(yè)領(lǐng)域內(nèi)制定具體的標準規(guī)范進行貫徹，通過國家標準或行業(yè)標準對教育行業(yè)關(guān)鍵處理數(shù)據(jù)、存儲數(shù)據(jù)、傳輸數(shù)據(jù)和銷毀數(shù)據(jù)提供技術(shù)上和操作上的規(guī)范要求。對于關(guān)系到教育行業(yè)發(fā)展以及系統(tǒng)用戶個人信息的重要數(shù)據(jù)，需嚴格控制其存儲位置、傳輸和使用方式。3增強數(shù)據(jù)安全保護思想意識在教育行業(yè)中的數(shù)據(jù)保護方面，尤其需要增強用戶的網(wǎng)絡(luò)信一是針對受教育群體而言，他們是教育信息系統(tǒng)、在線教育平臺、App、微服務(wù)等應(yīng)用程序的前端用戶，需要提升應(yīng)用使用安全意識，形成安全習(xí)慣。一是針對企業(yè)內(nèi)部數(shù)據(jù)管理人員，他們是數(shù)據(jù)的管理者，同更加凸顯。也是在這一階段，監(jiān)管開始從金融信息安全、金融消費者保護、征信合規(guī)監(jiān)管、App違法違規(guī)治理等多方面融科技(FinTech)委員會成立，職責(zé)包括金融科技發(fā)展戰(zhàn)略規(guī)劃與政策指引、建立健全適合我國國情的金融科技創(chuàng)新管理機制、強化監(jiān)管科技(RegTech)應(yīng)用實踐。2020年3月金融標準化技術(shù)委員會發(fā)布《個人金融信息保護技術(shù)規(guī)范》、2020年9月央行《金融消費者權(quán)益保護實施辦法》通過，標志著央行以個人金融數(shù)據(jù)為首發(fā)陣地拉開了金融數(shù)據(jù)治理與監(jiān)管落地的序幕?？v觀中國金融科技的發(fā)展和監(jiān)管史，監(jiān)管層對金融科技創(chuàng)新但同時，對于行業(yè)發(fā)展亂象、金融風(fēng)險過分集聚也毫不手軟。我們認為，未來金融科技數(shù)據(jù)合規(guī)監(jiān)管的趨勢將包括以下特點：(1)穿透監(jiān)管，經(jīng)營資質(zhì)將成為重金融屬性金融科技機構(gòu)數(shù)據(jù)合規(guī)的壓艙石。機構(gòu)如果不僅開發(fā)、輸出金融科技，還利用相關(guān)技術(shù)向客戶直接提供金融性質(zhì)服務(wù)，比如支付、征信、信貸等，那么持有相應(yīng)經(jīng)營資質(zhì)則是數(shù)據(jù)合規(guī)的基本前提，沒有相應(yīng)經(jīng)營資質(zhì)，即便在技術(shù)、制度、運營方面全面達到了其他數(shù)據(jù)安全要求，也仍是非合規(guī)經(jīng)營。(2)審慎監(jiān)管，善用技術(shù)、良好行業(yè)實踐將成為細分行業(yè)可持續(xù)發(fā)展的數(shù)據(jù)合規(guī)路標。網(wǎng)貸行業(yè)以技術(shù)促進融資效率的初衷并不壞，但后期平臺違規(guī)自融、買賣或違規(guī)使用客戶數(shù)據(jù)、高杠桿對接金融市場等一系列壞操作，最終導(dǎo)致了行業(yè)的整體清理。第三方支付行業(yè)整體將技術(shù)用于促進商業(yè)發(fā)展，集聚的風(fēng)險尚可化解，最后得以規(guī)范整頓后持續(xù)發(fā)展。兩個行業(yè)監(jiān)管的前車之鑒，明確傳達了細分行業(yè)是否能夠持續(xù)發(fā)展需要大部分參與者的良(3)監(jiān)管科技，尊重、擁抱監(jiān)管將是金融科技機構(gòu)的數(shù)路徑。從中國金融科技的發(fā)展史可以看出，金融科技基本運行體二代，征信系統(tǒng)，銀聯(lián)、網(wǎng)聯(lián))均是監(jiān)管層主導(dǎo)下發(fā)生的，市場主體的金融科技大繁榮均得益于此。市場主體需對中國監(jiān)管層在金融科技方面的了解度、前瞻性、管理思路有正確的認識和充分的尊重。在監(jiān)管過程中，監(jiān)管層對于某一行業(yè)暫時的未監(jiān)管，有可能是在給予行業(yè)自由發(fā)展的空間，也有可能是監(jiān)管緊迫度暫時靠后，但當監(jiān)管風(fēng)向已經(jīng)吹向自己時，擁抱監(jiān)管、主動合規(guī)將是息保護法》等通用法律法規(guī)的同時，金融數(shù)據(jù)處理者還需要特別關(guān)注金融監(jiān)管機構(gòu)關(guān)于金融數(shù)據(jù)特別是個人金融信息處理的合規(guī)要求。在此種監(jiān)管背景下，金融行業(yè)基于存款實名制等強制性義務(wù)收集的個人金融信息，將成為一種“沉默數(shù)據(jù)”;金融科技企業(yè)在處理金融數(shù)據(jù)時，需要通過充分分析數(shù)據(jù)性質(zhì)、改良數(shù)據(jù)授權(quán)鏈等多種方式，激活沉默數(shù)據(jù)、盤活數(shù)據(jù)資產(chǎn)、擁抱大數(shù)據(jù)(二)金融科技行業(yè)數(shù)據(jù)合規(guī)要點1取得相關(guān)經(jīng)營資質(zhì)(1)金融類許可或備案，除了金融許可證外，常見的還有支付許可、個人征信許可、企業(yè)征信備案、小貸許可、信用評級備案(2)電信類許可，常見的有ICP許可、EDI許可等。2安全等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施認定對于有信息系統(tǒng)運行的金融科技機構(gòu)而言，合理地進行安全等級保護備案、及時地確定是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施，既是數(shù)據(jù)合規(guī)義務(wù)，也是數(shù)據(jù)合規(guī)工作正確開展的基礎(chǔ)。3建立數(shù)據(jù)合規(guī)制度和運行管理體制金融科技機構(gòu)可以從制度制定、人員配備、體制運行等方面建立適合業(yè)務(wù)實際的數(shù)據(jù)合規(guī)體系，以做到數(shù)據(jù)合規(guī)有人管、有制度保障、有體系運行。4數(shù)據(jù)資產(chǎn)管理(1)數(shù)據(jù)分類分級。金融機構(gòu)已經(jīng)有了明確的數(shù)據(jù)分類分級標準，其他金融科技機構(gòu)可以參照標準對自己的數(shù)據(jù)資產(chǎn)進行分類分級，既方便確定合適的數(shù)據(jù)安全策略，也方便與各類金融機構(gòu)合作過程中對于數(shù)據(jù)對接和通過合作機構(gòu)準入的數(shù)據(jù)合規(guī)審有措施確保境外機構(gòu)的保密/刪除、案件協(xié)查義務(wù)等。由于業(yè)務(wù)特性，金融科技機構(gòu)及其處理的數(shù)據(jù)很容易進入關(guān)鍵信息基礎(chǔ)設(shè)施運營者、重要數(shù)據(jù)的范圍，隨著《數(shù)據(jù)安全法》《個人信息保護法》的正式發(fā)布與陸續(xù)施行，金融科技機構(gòu)在處理各類數(shù)據(jù)跨境時，均應(yīng)當關(guān)注相關(guān)安全評估、備案或批準要求。息、兒童信息有更為嚴格和特殊的保護要求，金融科技機構(gòu)在處理相關(guān)信息時應(yīng)注意遵守。另外，ToB金融科技機構(gòu)需要注意，由于個人信息與企業(yè)信息中高管、董事、股東信息的界定或者說分類邊界并不清晰，且企業(yè)征信業(yè)務(wù)管理的相關(guān)規(guī)范還在征求意見中并未定稿，在處理相關(guān)信息時要格外注意合規(guī)問題，不能簡單的以B端業(yè)務(wù)為由帶過具體問題的分析處理。(4)App合規(guī)管理。金融科技機構(gòu)在打造自有App或輸出App產(chǎn)品時，要注意遵守App治理的相關(guān)明文規(guī)范，避免出現(xiàn)明確列目前的監(jiān)管趨勢也是參照適用、逐步納入，建議與App產(chǎn)品統(tǒng)一(三)金融科技行業(yè)數(shù)據(jù)合規(guī)治理方案1內(nèi)部治理要點數(shù)據(jù)合規(guī)在法律層面、技術(shù)層面、運營管理層面均面臨不同的挑戰(zhàn)和難點，需要自上而下的有效協(xié)同，僅僅作為單一主體 (DPO、CDO或CCO等)或部門(法律合規(guī)部、IT運維部門或數(shù)據(jù)合規(guī)部等)的責(zé)任很難達到機構(gòu)的共同完善和整體合規(guī)。因僅會承擔過高的等保義務(wù)，在等保與CIIO認定標準存在一定相(2)交易方合規(guī)管控。數(shù)據(jù)合規(guī)需從取得到流轉(zhuǎn)全流程均盡(四)金融科技行業(yè)數(shù)據(jù)合規(guī)法律法規(guī)焦點問題1個人征信數(shù)據(jù)“斷直連”對金融科技市場側(cè)的影響今年7月，央行征信管理局要求平臺、金融機構(gòu)就個人信息一是通過個人直傳(比如H5直跳銀行界面)。前者對現(xiàn)有市場格二、智能汽車行業(yè)數(shù)據(jù)合規(guī)自2020年2月國家發(fā)展改革委、中央網(wǎng)信辦、工業(yè)和信息化部等多部委聯(lián)合印發(fā)《智能汽車創(chuàng)新發(fā)展戰(zhàn)略》以來，我國智能企業(yè)產(chǎn)業(yè)越來越受到國家和社會各界的重視和關(guān)注。智能汽車是汽車產(chǎn)業(yè)發(fā)展的戰(zhàn)略方向，在汽車智能化、網(wǎng)聯(lián)化發(fā)展給人們帶來便利的同時，也會產(chǎn)生諸如未經(jīng)授權(quán)的個人信息和重要數(shù)據(jù)采集、利用等數(shù)據(jù)問題，網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全問題。因此，無論是智能汽車企業(yè)、廣大消費者，還是國家有關(guān)監(jiān)管部門，都越來越重視智能汽車行業(yè)的數(shù)據(jù)合規(guī)問題。為幫助中國廣大智能汽車企業(yè)系統(tǒng)了解相關(guān)法律法規(guī)等對智能汽車行業(yè)的數(shù)據(jù)合規(guī)要求，本文特對中國智能汽車企業(yè)的數(shù)據(jù)合規(guī)要點進行系統(tǒng)性梳理，希望能夠?qū)χ袊鴱V大智能汽車企業(yè)以及整個智能汽車行業(yè)的數(shù)據(jù)合規(guī)工作有所幫助。(一)智能汽車行業(yè)數(shù)據(jù)合規(guī)現(xiàn)狀分析1智能汽車的特點智能汽車是集環(huán)境感知、規(guī)劃決策、多等級輔助駕駛等功能于一體，集中運用了計算機、現(xiàn)代傳感、信息融合、通訊、人工智能及自動控制等技術(shù)的智能化交通車輛。目前對智能汽車的研究主要致力于提高汽車的安全性、舒適性，以及提供優(yōu)良的人車交互界面。智能汽車己經(jīng)成為世界車輛工程領(lǐng)域研究的熱點和汽車工業(yè)增長的新動力，很多發(fā)達國家都將其納入到各自重點發(fā)展時也是數(shù)據(jù)的守護者。在企業(yè)內(nèi)部應(yīng)大力開展數(shù)據(jù)安全保護意識活動，宣傳安全意識，定期舉辦數(shù)據(jù)安全教育培訓(xùn)，制定管理人員操作數(shù)據(jù)的詳細規(guī)定，定期評估內(nèi)部人員操作數(shù)據(jù)行為是否規(guī)(四)在線教育行業(yè)數(shù)據(jù)合規(guī)法律法規(guī)焦點問題隨著《數(shù)據(jù)安全法》《個人信息保護法》以及具體管理規(guī)定的不斷出臺，規(guī)定了國家及中央國家安全領(lǐng)導(dǎo)機構(gòu)、各地區(qū)各部門各行業(yè)主管部門的監(jiān)管職責(zé)，同時也明確了在線教育機構(gòu)作為數(shù)據(jù)管理者應(yīng)切實履行數(shù)據(jù)保護義務(wù)，要加強組織領(lǐng)導(dǎo)，明確數(shù)據(jù)安全責(zé)任部門和責(zé)任人，建立全生命周期的數(shù)據(jù)安全管理體系和機制，采取相應(yīng)的技術(shù)措施開展風(fēng)險監(jiān)測和應(yīng)急處置，加強重要數(shù)據(jù)安全風(fēng)險評估和出境管理?，F(xiàn)行相關(guān)法律法規(guī)可以分為兩個方面，一是根據(jù)新情況修改現(xiàn)行立法并細化相關(guān)解釋，二是全面保護個人信息，填補新興領(lǐng)域立法空白。1《數(shù)據(jù)安全法》第二十七條“開展數(shù)據(jù)處理活動應(yīng)當依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全”,第三十條“重要數(shù)據(jù)的處理者應(yīng)當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估，并向有關(guān)主管部門報送風(fēng)險評估報告”,第三十二條“任何組織、個人收集數(shù)據(jù)，應(yīng)當采取合法、正當?shù)姆绞?，不?)企業(yè)非經(jīng)批準不得將個人信息提供給境外的司法/執(zhí)法機構(gòu)。2關(guān)于對未成年人個人信息的特別保護與隱私政策關(guān)于2018年，F(xiàn)acebook旗下的聊天工具“Messenger少兒版”被指未遵守美國保護青少年隱私的法律法規(guī)COPPA,在家長未授權(quán)條件下，采集不到十歲的少兒隱私信息。后Facebook又爆發(fā)了泄露5000萬用戶隱私信息的事件，可能面臨歐盟16億美元2020年1月以來，“App個人信息舉報平臺”關(guān)于疫情期間在線教育類收集個人信息被舉報的數(shù)量占比超過了80%,30%左右的App沒有公開隱私政策等收集使用個人信息的規(guī)則，另有15%左右的App雖提供了隱私政策，但是屬于格式文本，沒有詳細說明收集個人信息的目的、方式、范圍。這導(dǎo)致用戶不知個人信息去向，而未經(jīng)用戶允許向第三方提供其個人信息屬于侵權(quán)。1)與家長和其監(jiān)護的兒童的權(quán)益(可能)密切相關(guān)的重要條款，采用加粗字體來特別提醒；2)在收集到兒童個人信息后，通過技術(shù)手段及時對數(shù)據(jù)進行匿名化處理；3)若企業(yè)對于兒童的個人信息用于除政策列明之外的目的、范圍或與使用于數(shù)據(jù)收集不一致的傳輸方式時，企業(yè)應(yīng)當通知兒童監(jiān)護人并取得監(jiān)護人的同意；安全標準體系包括基礎(chǔ)共性、關(guān)鍵技術(shù)、安全管理和重點領(lǐng)域等標準。其中，基礎(chǔ)共性標準包括術(shù)語定義、數(shù)據(jù)安全框架、數(shù)據(jù)分類分級等，為各類標準提供基礎(chǔ)支撐。關(guān)鍵技術(shù)標準從數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀等全生命周期維度，對數(shù)據(jù)安全關(guān)鍵技術(shù)進行規(guī)范。安全管理標準包括數(shù)據(jù)安全規(guī)范、數(shù)據(jù)安全評估、監(jiān)測預(yù)警與處置、應(yīng)急響應(yīng)與災(zāi)難備份、安全能力認證等。重點領(lǐng)域標準主要是結(jié)合相關(guān)領(lǐng)域的實際情況和具體要求，指導(dǎo)行業(yè)有效開展重點領(lǐng)域數(shù)據(jù)安全保護工作?！吨改稀诽岢隽穗娦藕突ヂ?lián)網(wǎng)行業(yè)數(shù)據(jù)安全標準體系建設(shè)目標，到2021年，研制數(shù)據(jù)安全行業(yè)標準20項以上，初步建立電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全標準體系，有效落實數(shù)據(jù)安全管理要求，基本滿足行業(yè)數(shù)據(jù)安全保護需要，推動標準在重點領(lǐng)域中的應(yīng)用；到2023年，研制數(shù)據(jù)安全行業(yè)標準50項以上，健全完善電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全標準體系，標準的技術(shù)水平、應(yīng)用效果和國際化程度顯著提高，有力支撐行業(yè)數(shù)據(jù)安全保護能力提升。行業(yè)數(shù)據(jù)安全標準貫徹工作。為貫徹落實《工業(yè)和信息化部辦公廳關(guān)于印發(fā)<2021年基礎(chǔ)電信企業(yè)行業(yè)數(shù)據(jù)安全標準貫標工作方案>的通知》(工信廳網(wǎng)安函〔2021〕132號),宣貫解讀相關(guān)標準，工業(yè)和信息化部網(wǎng)絡(luò)安全管理局于6月28日召開電視電話會議，解讀《2021年基礎(chǔ)電信企業(yè)行業(yè)數(shù)據(jù)安全標準貫標工作方案》并宣貫《基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級方法》《基礎(chǔ)電信企業(yè)重要數(shù)據(jù)識別指南》《電信和互聯(lián)網(wǎng)數(shù)據(jù)安全評估規(guī)范》三息處理行為及其規(guī)則，個人能夠獨立于其他個人信息處理行為及規(guī)則，做出自主的意思表示。單獨同意，目的在于對特定個人信息處理行為和特定個人信息類型提供增強式保護，讓個人更加充分地參與到個人信息處理的決策之中。智能汽車企業(yè)要處理海量的個人信息數(shù)據(jù)，如何保證數(shù)據(jù)處理滿足征得同意的相關(guān)規(guī)定，也就成為了智能汽車企業(yè)在產(chǎn)品和業(yè)務(wù)設(shè)計過程中需要格外關(guān)注的問題。此外，《汽車數(shù)據(jù)安全管理若干規(guī)定(征求意見稿)》等尚未生效的法律規(guī)范，對于個人信息的處理規(guī)定了更為嚴苛的條款，如：要求每次個人信息處理需要每次征得同意、僅對每次駕駛行為有效等。這些規(guī)定與常見的一次授權(quán)、長期有效的授權(quán)模式完全不同，導(dǎo)致用戶體驗差。智能汽車企業(yè)也需要在產(chǎn)品設(shè)計時考慮如何應(yīng)對類似的實操層面的合規(guī)困境。2個人信息及數(shù)據(jù)的安全智能汽車提供的多元的功能、服務(wù)和界面(例如網(wǎng)頁、RFID、Wi-Fi)增加了攻擊面，因此增加了潛在網(wǎng)絡(luò)漏洞的數(shù)量，這些漏洞可能會危及個人信息和重要數(shù)據(jù)的安全。與多數(shù)物聯(lián)網(wǎng)設(shè)備不同，智能汽車是關(guān)鍵系統(tǒng)，安全漏洞可能會危及駕駛員、乘客和車輛周圍人的生命財產(chǎn)安全。因此，做好個人信息和重要數(shù)據(jù)的信息安全保護，解決黑客試圖利用聯(lián)網(wǎng)車輛漏洞的風(fēng)險尤為重要?！睹穹ǖ洹返谝磺Я闳藯l第2款也明確規(guī)定，信息處理者應(yīng)當采取技術(shù)措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失。由此可見，對于智能汽3數(shù)據(jù)的存儲、出境合規(guī)者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要例如，據(jù)國家互聯(lián)網(wǎng)信息辦公室2021年7月2日消息，為但在很大程度上智能汽車企業(yè)面臨著與共享汽車出行企業(yè)類似的數(shù)據(jù)合規(guī)特別是存儲和跨境問題。4第三方服務(wù)的數(shù)據(jù)合規(guī)第三方服務(wù)問題，在智能汽車中凸顯。第三方服務(wù)是指在智能汽車上為汽車用戶提供服務(wù)的除智能汽車企業(yè)外的其他模塊、產(chǎn)品或服務(wù)提供商等第三方提供的服務(wù)。第三方服務(wù)的內(nèi)容通常包括：音頻、視頻服務(wù)，導(dǎo)航服務(wù)，自動駕駛服務(wù)，廣告及信息推服務(wù)等。對于智能汽車的需要通過第三方服務(wù)商為用戶提供的服務(wù)，通常就會涉及到第三方服務(wù)商的數(shù)據(jù)合規(guī)法律問題。對于相關(guān)的第三方服務(wù)，到底應(yīng)當由誰(是智能汽車企業(yè)，還是第三方服務(wù)商)來承擔數(shù)據(jù)合規(guī)責(zé)任?對于相關(guān)服務(wù)是否顯示第三方服務(wù)商的不同情況，數(shù)據(jù)合規(guī)責(zé)任的承擔主體是否有所不同?這些都是智能汽車廠商正在面臨但當前相關(guān)法律又無明5汽車地理信息數(shù)據(jù)合規(guī)智能汽車的常見功能之一是外部攝像頭的影像獲取功能，通過外部攝像頭，智能汽車的運營者可以獲取汽車周圍的環(huán)境信息、道路標示圖像信息等信息。這些圖像信息與地理信息、地圖位置信息的結(jié)合，可以形成更為精準的地圖信息，為智能汽車的輔助駕駛、自動駕駛等功能提供更高質(zhì)量的地圖引導(dǎo)。理要素或者地表人工設(shè)施的形狀、大小、空間位置及其屬性等進行測定、采集、表述，以及對獲取的數(shù)據(jù)、信息、成果進行處理和提供的活動?！敝悄芷囋趽碛懈呔ㄎ患夹g(shù)的情況下，采集a)測繪行為在我國實行的是資質(zhì)準入，需要持有測繪資質(zhì)才能夠進行測繪行為。b)測繪地理信息屬于外資禁入的負面清單，外資的智能汽車企業(yè)可能無法從事相關(guān)業(yè)務(wù)。(三)智能汽車行業(yè)數(shù)據(jù)合規(guī)治理方案智能汽車的數(shù)據(jù)合規(guī)應(yīng)當覆蓋智能汽車相關(guān)數(shù)據(jù)的全生命周期，覆蓋數(shù)據(jù)的收集、存儲、使用、內(nèi)部管理、對外提供等全部環(huán)節(jié)。下文將根據(jù)中國有關(guān)法律法規(guī)的基本要求，結(jié)合數(shù)據(jù)全生命周期管理的要求，為智能企業(yè)的數(shù)據(jù)合規(guī)工作的開展提供便1嚴格落實數(shù)據(jù)處理授權(quán)合規(guī)數(shù)據(jù)對于智能汽車行業(yè)而言是不可或缺的重要基礎(chǔ)設(shè)施。為保證自身業(yè)務(wù)的安全性，智能汽車企業(yè)在數(shù)據(jù)合規(guī)方面首先要解決的就是數(shù)據(jù)處理(包括但不限于收集、存儲、使用、加工、傳輸、提供、公開等)的授權(quán)問題。在智能汽車的研發(fā)過程中，應(yīng)當科學(xué)規(guī)劃數(shù)據(jù)處理的授權(quán)合規(guī)問題，包括但不限于：在處理駕駛員、乘客等的個人信息前，應(yīng)當通過App彈窗等形式征得該自然人或其監(jiān)護人的同意。而對于人臉信息，則應(yīng)當通過App彈窗等形式征得該自然人或者面是，應(yīng)當通過合同等形式明確約定應(yīng)用于智能汽車中的第三方服務(wù)的數(shù)據(jù)合規(guī)責(zé)任主體。從成本控制、利于管理等維度考慮，建議爭取約定為由第三方服務(wù)商承擔相應(yīng)的數(shù)據(jù)合規(guī)責(zé)任。另一個方面是，應(yīng)當要求第三方服務(wù)商建立完善的數(shù)據(jù)合規(guī)管理制度。只有切實建立起數(shù)據(jù)合規(guī)管理制度，第三方服務(wù)商才有可能將相關(guān)服務(wù)的數(shù)據(jù)合規(guī)工作落到實處。5及時跟進數(shù)據(jù)立法執(zhí)法動態(tài)鑒于我國目前網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)領(lǐng)域立法不斷發(fā)展，執(zhí)法活動呈現(xiàn)頻密化趨勢，建議智能汽車企業(yè)及時關(guān)注中國國內(nèi)的立法、執(zhí)法最新趨勢，尤其是國家頂層立法及行業(yè)主管部門制定的專項法規(guī)要求，與時俱進地調(diào)整企業(yè)內(nèi)部數(shù)據(jù)合規(guī)管理制度，防范由于數(shù)據(jù)合規(guī)管理不到位而給企業(yè)帶來的各種負面影響。例如，對于智能汽車采集自然地理信息的行為是否受《測繪法》等現(xiàn)行法規(guī)制的問題，智能汽車企業(yè)就應(yīng)當實時關(guān)注國家相關(guān)的立法和執(zhí)法情況，以相應(yīng)制度進行應(yīng)對。并且，智能汽車企業(yè)還可以考慮通過適當?shù)姆绞?，將自身的立法建議反饋給有關(guān)主管部門，以爭取使得相關(guān)立法向有利于產(chǎn)業(yè)的方向發(fā)展。此外，智能汽車企業(yè)應(yīng)重視對本行業(yè)發(fā)生的數(shù)據(jù)合規(guī)相關(guān)的案例、投訴、處罰等進行跟蹤，并及時相應(yīng)針對自身業(yè)務(wù)存在的相關(guān)問題采取彌補、優(yōu)化等管理措施，從而提升自身的數(shù)據(jù)合規(guī)管理水平。(四)智能汽車行業(yè)數(shù)據(jù)合規(guī)法律法規(guī)焦點問題開展智能汽車企業(yè)數(shù)據(jù)合規(guī)工作，首先要了解智能汽車企業(yè)所在國家以及業(yè)務(wù)所涉及的國家的數(shù)據(jù)合規(guī)相關(guān)法律法規(guī)。本文截至目前，中國已生效的與智能汽車企業(yè)的數(shù)據(jù)合規(guī)相關(guān)的據(jù)安全法》(2021年9月1日起施行)、《個人信息保護法》(2021年11月1日起施行)、《刑法修正案(九)》《最高人民法院最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》《GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范》此外，對于智能汽車相關(guān)的法律法規(guī)，在歐盟主要包括《通用數(shù)據(jù)保護條例》《聯(lián)網(wǎng)車輛和交通相關(guān)應(yīng)用程序中處理個人數(shù)據(jù)的指南》等法律法規(guī)，在美國主要包括《加州消費者隱私保護對于在中國境內(nèi)從事數(shù)據(jù)處理的智能汽車企業(yè)而言，首先，應(yīng)當遵守《民法典》第一千零三十四條至第一千零三十八條關(guān)于個人信息的規(guī)定，此規(guī)定給中國境內(nèi)的數(shù)據(jù)合規(guī)特別是個人信息《數(shù)據(jù)安全法》等法律，工信部以及網(wǎng)信辦等部門的相關(guān)部門規(guī)還應(yīng)當參考信安標委《GB/T35273-2020信息安全技術(shù)個三、在線教育行業(yè)數(shù)據(jù)合規(guī)正影響著各行各業(yè)變革和人們的日常生活。截至2020年12月，我國在線教育用戶規(guī)模達3.42億，占網(wǎng)民整體的34.6%;手機在線教育用戶規(guī)模達3.41億，占手機網(wǎng)民的34.6%。下半線教育用戶規(guī)?；芈?，但較疫情之前(2019年6月)仍增長了(一)在線教育行業(yè)數(shù)據(jù)合規(guī)現(xiàn)狀分析其中，中國數(shù)據(jù)量增速最為迅猛，預(yù)計2025年將增至48.6ZB,占全球數(shù)據(jù)圈的27.8%,平均每年的增長速度比全球快3%,中國據(jù)集合)。數(shù)字經(jīng)濟帶來了前所未有的紅利，吸引著更多的投資問題，從投資者層面來說，從事在線教育行業(yè)的企業(yè)良莠不齊，需要對投資的企業(yè)開展風(fēng)險防控。去年7月起，教育部等六部門注銷，意味著在線教育野蠻生長時代的結(jié)束。今年1月18日，1在線教育數(shù)據(jù)要素的特點(1)依托互聯(lián)網(wǎng)和大數(shù)據(jù)，具有多種媒體學(xué)習(xí)資源和資源教育行業(yè)各類新模式、新技術(shù)、新業(yè)態(tài)紛紛涌現(xiàn)。(2)非K12的職業(yè)教育增勢迅猛。2021上半年，在線教育職業(yè)教育增勢迅猛，用戶規(guī)模翻一番同比增長120%;中國在線職業(yè)教育市場發(fā)展空間巨大，市場規(guī)模穩(wěn)定增長，預(yù)計2021年，職業(yè)教育市場規(guī)模將超3000億元；體制內(nèi)就業(yè)的吸引力不斷上升，考公成為“風(fēng)潮”,考公類培訓(xùn)App規(guī)模增長；短視頻+職業(yè)教育前景良好，未來或?qū)⒊蔀樵诰€職業(yè)教育的標配。教育部于6月15日宣布成立校外教育培訓(xùn)監(jiān)管司，承擔面向中小學(xué)生(含幼兒園兒童)的校外教育培訓(xùn)管理工作等，推動面臨著教育模式創(chuàng)新和轉(zhuǎn)型升級的考驗?；ハ喙泊妫舜酥萍s，安全與發(fā)展成為在線教育數(shù)據(jù)要素的新的挑戰(zhàn)。(二)在線教育行業(yè)案例及數(shù)據(jù)合規(guī)要點1關(guān)于個人信息保護在線教育所涉及的個人信息可分為以下四類：注冊信息，即用戶在首次使用在線教育平臺或App時錄入的信息；在線教學(xué)信息，是指在線教育平臺發(fā)布的信息以及用戶在平臺上的相關(guān)使用和存儲信息；系統(tǒng)安全及客服信息，是指平臺系統(tǒng)運營方面的有關(guān)信息及客服的聯(lián)絡(luò)和服務(wù)信息；其他功能所涉信息等等。最高人民檢察院發(fā)布11件檢察機關(guān)個人信息保護公益訴訟典型案例之四：江蘇省無錫市人民檢察院督促保護學(xué)生個人信息4)只共享必要的兒童個人信息，且受本隱私政策中所聲明目的的約束；5)服務(wù)中的部分功能可能需要兒童在設(shè)備中開啟特定的訪問權(quán)限(例如攝像頭、相冊、麥克風(fēng)及或日歷),以實現(xiàn)這些權(quán)限所涉及信息的收集和使用，當兒童和監(jiān)護人需要關(guān)閉該功能時，大多數(shù)移動設(shè)備都會支持該項需求。3關(guān)于數(shù)據(jù)處理過程中不同類別的數(shù)據(jù)處理關(guān)系單獨收集控制，是指在線教育企業(yè)自己收集控制用戶個人信息，沒有第三方參與，僅僅是用戶與企業(yè)的雙向聯(lián)系，例如各大委托收集控制，是指在線教育企業(yè)通過第三方平臺收集控制用戶個人信息，第三方成為企業(yè)和用戶之間的媒介，典型的是不同企業(yè)或個人之間的數(shù)據(jù)買賣和數(shù)據(jù)共享。例如(2020)皖0504刑初123號《孫成詐騙罪》一案中，被告人孫成利用其皖江職業(yè)教育中心學(xué)校在編教師、六安市金寨職業(yè)教育中心學(xué)校支教教師、借調(diào)馬鞍山市教育局工作的身份，獲得在校學(xué)生等人員信任，為填補2016年前擅自進行提升學(xué)歷招生，并用報名費進行投資理財欠下的高額資金缺口，在皖江學(xué)校、金寨學(xué)校進入相關(guān)班級，以幫助他人完成學(xué)歷提升為由，夸大或隱瞞相關(guān)招生信息，以高升專6400元/人、專升本7800元/人的自定價格向報名學(xué)生收費，另孫成隨機向報名學(xué)生額外收取200元/人的報名考試費，詐騙數(shù)額總計人民幣1251000元。(2015)萬刑初字第00062號張初兵、原勇剛、朱鵬歐、譚年3月以來，被告人譚正求以張貼小廣告的方式聯(lián)系購買假證、假印章的客戶并收集其信息，或由鄧某、王某(已判刑)以張貼小廣告的方式將收集到的客戶信息通過QQ郵箱發(fā)送給被告人告人張初兵偽造并出售各類證件50余份，通過被告人原勇剛偽造并出售各類印章7枚、身份證4張，獲利8000余元。1)受托方應(yīng)當按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息；2)委托合同不生效、無效、被撤銷或者終止的，受托方應(yīng)當將個人信息返還個人信息處理者或者予以刪除，3)未經(jīng)個人信息處理者同意，受托方不得轉(zhuǎn)委托他人處理個人信息。4關(guān)于網(wǎng)絡(luò)和數(shù)據(jù)安全技術(shù)其五是內(nèi)鬼的層出不窮。相關(guān)數(shù)據(jù)顯示，當前超過85%的網(wǎng)(三)在線教育行業(yè)數(shù)據(jù)合規(guī)治理方案1提升數(shù)據(jù)安全保護技術(shù)能力運營重要信息系統(tǒng)，掌握大量教育數(shù)據(jù)的機構(gòu)(如教育主管資源庫、其他教育數(shù)據(jù)中心等)可提升以數(shù)據(jù)安全為核心的防護1行業(yè)數(shù)據(jù)主要分類(1)基于行業(yè)特點劃分行業(yè)基礎(chǔ)網(wǎng)絡(luò)數(shù)據(jù)。主要指用戶及企業(yè)在使用電信基礎(chǔ)網(wǎng)絡(luò)設(shè)施過程中所產(chǎn)生的基礎(chǔ)數(shù)據(jù)，包括了個人及設(shè)備的標識數(shù)據(jù)、位置及行為的日志數(shù)據(jù)等，依據(jù)對電信基礎(chǔ)網(wǎng)絡(luò)的調(diào)研結(jié)果，可■基礎(chǔ)信息類數(shù)據(jù)■日志類數(shù)據(jù)■結(jié)果類數(shù)據(jù)■輔助類數(shù)據(jù)行業(yè)基礎(chǔ)業(yè)務(wù)數(shù)據(jù)。行業(yè)的數(shù)據(jù)資產(chǎn)結(jié)構(gòu)主要與其開展的業(yè)務(wù)相關(guān)，目前較突出的是社交數(shù)據(jù)、電商數(shù)據(jù)、游戲數(shù)據(jù)、用戶■社交數(shù)據(jù)主要包括關(guān)系鏈數(shù)據(jù)、用戶間的互動數(shù)據(jù)、用戶自己產(chǎn)生的圖文和視頻內(nèi)容、用戶的位置信息等；■游戲數(shù)據(jù)主要包括大型網(wǎng)游數(shù)據(jù)、網(wǎng)頁游戲數(shù)據(jù)、手機游戲數(shù)據(jù)，及游戲活躍行為數(shù)據(jù)和付費行為數(shù)據(jù)；■電商數(shù)據(jù)主要包括商品瀏覽、搜索、點擊、收藏、購買、■用戶行為數(shù)據(jù)主要包括社交行為數(shù)據(jù)、訪問瀏覽數(shù)據(jù)、搜■用戶身份數(shù)據(jù)主要包括了用戶自然人身份標識和證明或■用戶服務(wù)內(nèi)容數(shù)據(jù)主要包括了對用戶提供的電信和互聯(lián)■用戶服務(wù)衍生數(shù)據(jù)主要包括了服務(wù)訂購數(shù)據(jù)、行為數(shù)據(jù)、位置數(shù)據(jù)、征信或違規(guī)數(shù)據(jù)等用戶衍生數(shù)據(jù)以及用戶設(shè)■企業(yè)管理數(shù)據(jù)主要包括企業(yè)內(nèi)部管理數(shù)據(jù)，如發(fā)展戰(zhàn)略■企業(yè)公開披露和