2019年工信部發布《關于開展APP侵害用戶權益專項整治工作》,對APP服務提供者和APP分發服務提供者違規收集、使用用戶信息的行為進行治理。全國各地也相繼對違規收集用戶信息的APP展開整治工作。
2020年國家網信辦、工信部、公安部、國家市場監管總局四部門聯合行動開展新一輪APP治理保護個人信息安全行為。截止到2022年10月,工信部已連續三年共發布25批《關于侵害用戶權益行為的APP通報》,對包括南方航空、春秋航空、看看新聞、愛回收、豆瓣等上千家APP違規索取權限和收集用戶信息的行為進行下架處理。
隨著《個人信息保護法》、《數據安全法》和《數據跨境傳輸安全評估》等法律規范的進一步落地,行政執法機關對企業在數據收集、使用和跨境等方面的監管逐漸趨嚴。一方面,自“十三五”時期,我國大力支持數字經濟發展戰略,2022年3月發改委在“十四五”數字經濟發展規劃中明確提出我國數據要素市場體系已初步建立,到2035年,我國要力爭形成統一公平、競爭有序、成熟完備的數字經濟現代市場體系,數字經濟發展基礎、產業體系發展水平位居世界前列。
另一方面,我國大多數企業在數據合規方面還處于初級階段,無論是從技術還是法律方面,對企業數據的分級分類管理、(跨境)傳輸都尚未完成合規化、體系化建設。對于狂奔近二十多年的互聯網而言,過往的粗放式數據管理已成“基本盤”,如何查漏補缺,精準摸排,重建數據合規地基,已經成為數字經濟時代眾多企業的必考題。
伴隨著監管催生的企業應急式數據合規治理,亟需轉變為常態化工作,那么數據合規要做什么?怎么做?法律具體是怎么適用的?怎樣避免合規“面子工程”?有沒有一個實操手冊可以從頭到尾地針對性指導?有!
北京盈科(上海)律師事務所“數字經濟與金融科技法律服務團隊”負責人劉磊律師攜手算力智庫創始人燕麗聯合力作——《數據合規:實務、技術與法律解碼》,由法律出版社出版,作為盈科全國業務指導委員會系列叢書,本書凝聚兩位作者長期法律研究和實務工作中的總結,緊跟數據保護熱點、難點和重點,拒絕大而虛的說教,只有顆粒度足夠細,實用性足夠強,案例足夠典型的實務操作指引,全書分為“數據篇”,“法治篇”、“技術篇”“市場篇”“合規篇”,五大模塊,結構清晰、體系完整,可使讀者快速建立數據合規工作的全景式認知。
“數據篇”,厘清數據的特殊性、產業概要、數據合規主體要素和相關權利,從認知層面明確數據合規的復雜性和關鍵點在哪兒?
“法治篇”,基于對現行數據立法的框架和法律解讀,及對經典執法案件的分析,來讓讀者掌握《網絡安全法》《數據安全法》《個人信息保護法》等具體法條的規范對象、適用條件、適用范圍及合規要點,及時了解當下的監管態勢和動向。
“技術篇”,盤點數據合規的關鍵技術圖譜,對隱私計算、區塊鏈、聯邦學習等核心技術的作用和場景實例作了重點詳述,幫助客戶了解如何利用技術工具協同互補來賦能數據合規。
“市場篇”,則從整個數據要素市場的角度,對數據產權、數據資產化、定價機制、數據要素市場化的實現路徑、數據交易、公共數據市場化以及數據跨境流動的運作機制、政策動向和管理規范,有個全面深入的介紹,助力企業更好的參與數據要素市場,實現數據資產的變現,捕獲數據紅利。
“合規篇”,對企業合規體系建設、風險識別應對機制、數據規范管理機制及合規要點,及金融、醫療、政務、電信、交通、電子商務等代表性行業的數據合規治理路徑有個全盤梳理,總結了“一個體系,三道防線,十步曲”的合規秘訣。
本書亮點
1、只需“一三十”,解決企業數據合規難題
企業數據合規需求貫穿方方面面。
企業數據資產在企業總資產的占比越來越高,企業數據資產如果存在嚴重不合規問題,可能影響運營和持續發展。
在投融資項目中,數據合規情況結論法律意見可能是企業完成投融資交割的必備文件,將會影響融資成敗。
在企業上市中,數據合規問題從幕后走向前臺,成為上市相關審核部門在企業上市評估及問詢過程中的重點關注。
在企業出海時,數據跨境流通問題和數據本土化的屬地原則,很可能讓企業折戟而歸。
在本書中,從企業數據合規的常見場景和需求出發,無論是上市、投融資目標、跨境出海還是日常經營,幫助企業一摸底,三防線,十步曲。
“一”是以盡職調查為基礎,如何從組織人員層面、制度規范層面、技術層面、產品層面、數據生命周期層面,摸底企業數據處理情況,識別并排查企業存在的數據合規風險,在較短期間內完成整改。
“三”是以主動防范的角度,建立責任機構、風控部門、內外審計部門三道防線,從管控上剔除合規隱患。
“十”是建立合規清單,以十步走的戰略,在合規管理體系、管理制度、合規文化、識別機制、風險應對、監督機制、問責機制、管理評估、數據留存、產品服務等具體的十步上完善合規機制,并且指出合規專員要理解企業的業務或產品邏輯、相關經營活動的商業意圖或交易目標,以及企業的信息技術系統資源等情況,切忌將數據合規工作與業務、管理相割裂。
例如互聯網企業在制定移動應用程序(APP)的個人信息處理規則(隱私政策)時,應當先了解平臺運營者提供的具體服務涉及到的數據來源、類型等,平臺運營者與平臺內經營者、用戶(消費者)、平臺內其他服務方(例如支付、物流、技術服務商等等)之間的業務關系、法律關系,并通過以用戶視角體驗App收集和使用個人信息等數據的全流程、對企業后臺數據管理系統進行核查等方式進行穿行測試,從而正確梳理在互聯網平臺中的各類業務活動所涉及的各項數據處理活動情況,準確判斷平臺內的各方在數據處理活動中的決策、分別享有和承擔何種數據保護權利和義務,才能準確地制定該平臺對應的隱私政策。
2、重點解答企業出海新考題——數據跨境
在國際化背景的大趨勢下,企業紛紛出海以尋求增量,諸如跨境電商、快遞物流、社交媒體都踩在了風口上,而隨之而來的企業對于處理出境數據的需求也在快速攀升,今年9月1日起全面施行的《數據出境安全評估辦法》二十條雖提出了相關指引,但真正放在不同國家地區的跨境復雜場景中,一些具體的實操問題就會出現:
比如如何理解數據出境的”境”?如何判斷企業的業務行為是否屬于“數據出境”?
在數據出境安全評估中,企業該如何自評?
企業實際業務運行中產生的出境數據,應該存儲在境內還是境外?
企業如何合法合規的實現數據跨境,包括國內的數據出境、國外的數據入境、第三國的數據過境?
從技術的角度看,企業出境數據保護最薄弱的環節在哪些方面?
面對市面上眾多的數據出境安全自評估解決方案,企業主該用什么樣的標準去選擇“合適”的方案?
企業如何針對不同國家特有的數據跨境法律制度資源,制定特有的業務規則和模式,真正的實現業務出海?
以上諸此問題,在本書中都會得到重點解答。
3、聚焦六大核心行業的典型案例教科書
數據合規,雖然沒有標準答案可抄,但卻有案例可以參考。
金融、醫療、政務、電信、交通、電子商務作為典型的數據密集型行業,同樣也是監管重點領域,除了三法之外,還有《反電信網絡詐騙法》,《汽車數據安全管理若干規定(試行)》,《個人金融信息保護技術規范》等行業法規和標準都對這些行業的數據處理作出了特別規定,本書精選了這六大核心行業的代表案例,包括中興、浙江移動、滴滴出行、攜程等案件,從其中的法條適用、合規要點和避坑指南,都具有廣泛的參考價值。
作者簡介
劉磊,執業律師,北京盈科(上海)律師事務所高級合伙人。兼任同濟大學人工智能社會治理協同創新中心兼職研究員,甘肅政法大學人工智能法治研究院研究員,北京盈科(上海)律師事務所“數字經濟與金融科技法律服務團隊”負責人;盈科總部“十佳未來之星”;盈科(上海)“新十年十青年”代表,GLG格理集團專家庫成員,專注于金融科技與數據安全類實務工作和研究工作,在實務方面,劉律師為頭部企業提供跨境數據合規及網絡安全審查等法律服務,出具數據安全合規行業報告,對國內外數據跨境、網絡安全審查方面具有豐富經驗。
曾主編著作《數字貨幣與法》、《虛擬貨幣、NFT法律疑難問題之解》(待出版),曾發表《司法實務中私人“數字貨幣”屬性的認定困境及對策分析》《用虛擬貨幣支付的法律思考》《數字貨幣法律屬性的司法判斷與類型化分析》等學術文章。
燕麗,上海交通大學碩士畢業,智能數據與隱私計算研究平臺算力智庫創始人。專注研究智能數據、隱私計算、區塊鏈等技術協同賦能傳統產業數字化改造解決方案與商業模式創新。被和訊選為2019年度“她榜樣”女性人物之一,曾出品國內首本系統性詳錄隱私計算商業模式與應用案例的著作《隱私計算:開啟數據共享新商業模式》。
專家推薦
本書對近年來我國數據合規領域的相關規范、市場、技術進行了實踐經驗的總結,同時站在實務的角度對如何做好企業數據合規進行深入的觀察和思考。此書的出版,希望在更高的水平和更大范圍上促進企業數據的使用和保護的平衡,推動生產要素與市場主體的高效協同,推動數字產業化和產業數字化協同發展,助力我國數字經濟走上增量擴面、提質降本的快車道。
——于改之 武漢大學法學博士,東京大學法學政治學研究科客員研究員。現任上海交通大學凱原法學院教授、博士生導師,兼任中國刑法學研究會副會長,上海市法學會刑法學研究會副會長。
