就中國企業(yè)而言,數(shù)據(jù)治理的話題無非只包含內(nèi)部治理和外部治理(涉及數(shù)據(jù)跨境)兩個部分�����,其中內(nèi)部治理又包括對數(shù)據(jù)安全的治理和對個人信息保護的治理����,這也是本書要解決的首要問題。此外��,基于互聯(lián)網(wǎng)全球架構(gòu)已逐漸形成互相依賴和關(guān)聯(lián)的趨勢���,數(shù)據(jù)也終將被視為一種全球性的公共品進而被各國所重點關(guān)注�����。因此���,企業(yè)在處理數(shù)據(jù)跨境流動合規(guī)治理的相關(guān)問題時也應(yīng)當不斷加強國際交流與協(xié)作�。
前言
早在2008年6月����,我國的網(wǎng)民數(shù)量就已經(jīng)超越了美國,一舉奪得世界第一��。但互聯(lián)網(wǎng)企業(yè)蓬勃發(fā)展的滾滾車輪���,似乎并沒有推起中國企業(yè)建立數(shù)據(jù)合規(guī)體系的決心和信心����,漠視數(shù)據(jù)安全��,任由個人信息被泄露和濫用的案件比比皆是�。
作為中國最早從事企業(yè)數(shù)據(jù)合規(guī)治理的一批專業(yè)律師,我們在十年前就已經(jīng)開始關(guān)注和認識到上述問題的存在����,并在多處重要場合一再呼吁中國企業(yè)重視自身的數(shù)據(jù)合規(guī)治理工作��。無奈當時我國在數(shù)據(jù)保護領(lǐng)域的立法和實踐幾乎為零,很多企業(yè)即使有所意識�,卻并不知道自己該做些什么,這是那個時代的特有印記�����。
2016年11月7日��,我國《網(wǎng)絡(luò)安全法》正式頒布����,這極大地鼓舞和刺激了中國互聯(lián)網(wǎng)企業(yè)建立自身數(shù)據(jù)合規(guī)體系的目標。自此之后��,我便不斷受邀前往全國各地講授數(shù)據(jù)合規(guī)治理的相關(guān)課程�����。在授課期間�,我經(jīng)常給學(xué)員說:“我國數(shù)據(jù)保護立法的時代即將開啟,企業(yè)的數(shù)據(jù)合規(guī)體系建設(shè)已經(jīng)迫在眉睫�������!痹倩厥祝舱且驗椤毒W(wǎng)絡(luò)安全法》的適用�,開啟了我國企業(yè)如火如荼的數(shù)據(jù)合規(guī)進程。由此可見�����,我們當初的預(yù)判還是非常準確的����。
隨著2020年全球新冠疫情的肆虐,國際帶寬的使用量明顯增加���,人工智能技術(shù)在疫情監(jiān)測和分析等諸多領(lǐng)域開始發(fā)揮舉足輕重的作用���。其中,尤以“智能服務(wù)”“體溫監(jiān)測”“大數(shù)據(jù)分析”等數(shù)據(jù)服務(wù)領(lǐng)域最為突出����,它們在抗擊疫情的不同場景下發(fā)揮了其優(yōu)勢效能。因此����,大量中國企業(yè)的數(shù)字化轉(zhuǎn)型開始逐漸提速,人工智能的產(chǎn)業(yè)規(guī)模也不斷發(fā)展擴大����。在宏觀數(shù)字經(jīng)濟的這一趨勢及大背景下,我國在《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》中響亮地提出了“到2025年����,數(shù)字經(jīng)濟邁向全面擴展期,數(shù)字經(jīng)濟核心產(chǎn)業(yè)增加值占GDP比重達到10%”的宏偉目標�����。同時綜觀全世界�����,聯(lián)合國也在其《2021年數(shù)字經(jīng)濟報告》中指出��,目前全球亟須建立一套新的數(shù)據(jù)合規(guī)體系����,以確保數(shù)據(jù)在國家間的自由流動。由此可見��,數(shù)據(jù)跨境自由流動的全球一體化合作趨勢幾乎已成定局��。
雖然各國在數(shù)據(jù)治理方面的相關(guān)工作正在如火如荼地開展����,但達成長期的國際協(xié)作并非易事���,這是由數(shù)字治理的特殊性所決定的。
第一���,數(shù)字治理的模式仍不統(tǒng)一�。在如何監(jiān)管數(shù)據(jù)跨境自由流動問題上����,世界各國似乎早已陷入了僵局。受大國經(jīng)濟的影響�����,主流的數(shù)據(jù)治理和監(jiān)管模式大致可以分為三類�,分別是以中國為首的“政府控制說”、以美國為首的“市場控制說”��,以及以歐盟為首的“個人控制說”��。其中�����,尤以中國和美國的矛盾最為突出和激烈,兩國在數(shù)字治理中的緊張態(tài)勢使“兩極化”的態(tài)勢越發(fā)嚴重�,這也極大阻礙了數(shù)據(jù)跨境的自由流動。
第二�,數(shù)據(jù)治理的領(lǐng)域較為多元��。以我國為例��,由于數(shù)據(jù)的應(yīng)用場景一般都會涉及國家安全�����、社會價值�、服務(wù)貿(mào)易、個人權(quán)利等方面的內(nèi)容�����,因此數(shù)據(jù)治理勢必不能通過單一法來進行調(diào)整�����,這也就是為何在《網(wǎng)絡(luò)安全法》出臺之后�,我國又接二連三地出臺了《電子商務(wù)法》《數(shù)據(jù)安全法》《個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《網(wǎng)絡(luò)安全審查辦法》《數(shù)據(jù)出境安全評估辦法》等一系列法律法規(guī)來對數(shù)據(jù)合規(guī)進行系統(tǒng)性規(guī)制。雖然數(shù)據(jù)的概念和所有權(quán)權(quán)屬在學(xué)界仍存在廣泛爭議�����,但數(shù)據(jù)的應(yīng)用顯然有別于傳統(tǒng)的商品和服務(wù),我們不能簡單地將“數(shù)字貿(mào)易”與“貨物貿(mào)易”或“服務(wù)貿(mào)易”畫上等號���,也當然不能將傳統(tǒng)的法律思維和原則一股腦地套用在數(shù)據(jù)治理體系之上�����。由此看來�����,學(xué)會正確解讀和適用我國數(shù)據(jù)治理的相關(guān)法律規(guī)定是數(shù)據(jù)合規(guī)專業(yè)人士極其重要的一項工作��。
第三�,數(shù)據(jù)治理的效能受到限制���;ヂ(lián)網(wǎng)的本質(zhì)在于自由和開放,但是各國數(shù)據(jù)治理采用的不同方式顯然與建立和使用互聯(lián)網(wǎng)的初衷并不相對應(yīng)��。一方面����,政府的干預(yù)會阻礙數(shù)據(jù)經(jīng)濟的自由發(fā)展����,影響數(shù)據(jù)跨境的自由流動�;另一方面,監(jiān)管的過度放任又會導(dǎo)致部分企業(yè)形成數(shù)據(jù)壟斷�����,甚至引發(fā)對數(shù)據(jù)的濫用�。如何協(xié)調(diào)其中利弊�����,也是政府�����、企業(yè)和數(shù)據(jù)主體需要進一步思考的問題���。
縱有上述問題存在�,但非��?上驳氖牵陙砦覈髽I(yè)數(shù)據(jù)治理的需求呈現(xiàn)了逐年增長的趨勢���。其實��,只要深刻理解和掌握了我國相關(guān)立法所規(guī)定的規(guī)則����,揣摩立法者的本意��,那么企業(yè)的數(shù)據(jù)合規(guī)體系建設(shè)就并非一件難事���。由于在企業(yè)合規(guī)實務(wù)中����,許多人仍然對我國數(shù)據(jù)合規(guī)法條理解和適用存在一定的誤讀和偏差����,因此為澄清我國數(shù)據(jù)合規(guī)的規(guī)范理解和應(yīng)用,我萌生了編寫此書的想法�����。就中國企業(yè)而言����,數(shù)據(jù)治理的話題無非只包含內(nèi)部治理和外部治理(涉及數(shù)據(jù)跨境)兩個部分����,其中內(nèi)部治理又包括對數(shù)據(jù)安全的治理和對個人信息保護的治理�,這也是本書要解決的首要問題。此外��,基于互聯(lián)網(wǎng)全球架構(gòu)已逐漸形成互相依賴和關(guān)聯(lián)的趨勢���,數(shù)據(jù)也終將被視為一種全球性的公共品進而被各國所重點關(guān)注��。因此,企業(yè)在處理數(shù)據(jù)跨境流動合規(guī)治理的相關(guān)問題時也應(yīng)當不斷加強國際交流與協(xié)作�����。本書也會結(jié)合我的一些涉外實務(wù)經(jīng)驗��,盡可能對歐盟GDPR的數(shù)據(jù)合規(guī)及跨境流動規(guī)范進行解讀���,幫助讀者朋友們試著去理解歐盟監(jiān)管機構(gòu)重點關(guān)注的要素和內(nèi)容�,以此作為國內(nèi)數(shù)據(jù)合規(guī)工作的參考和借鑒�����。在數(shù)據(jù)交易層面,本書也將從律師盡職調(diào)查的角度向讀者展示數(shù)據(jù)交易所在數(shù)據(jù)交易掛牌備案工作中所關(guān)注的重點領(lǐng)域���,為企業(yè)數(shù)據(jù)交易行為的合規(guī)保駕護航���。同時,本書還將從數(shù)據(jù)應(yīng)用角度出發(fā)�����,嘗試通過對不同數(shù)據(jù)要素場景下的合規(guī)應(yīng)用進行解讀����,使讀者能夠更為實際和生動地理解數(shù)據(jù)合規(guī)的場景適用性問題。在這十年來��,作為數(shù)百場法律培訓(xùn)課程的主講人���,我有幸能夠長期與來自互聯(lián)網(wǎng)界及其他領(lǐng)域的企業(yè)家朋友們進行充分交流��,這也讓我能夠隨時轉(zhuǎn)換思路����,更為深刻地理解各類企業(yè)發(fā)展過程中所可能面對的痛點和難點。雖然本書在撰寫過程中�����,參考了大量中外學(xué)者的著作和文章�����,但書中的一些理念和觀點并不敢說毫無瑕疵�����,還請各位海涵��!我真心希望能夠發(fā)揮自身在數(shù)據(jù)合規(guī)領(lǐng)域的專業(yè)特長���,借助本書的出版向讀者朋友們直白且清晰地表達中國企業(yè)在數(shù)據(jù)合規(guī)中到底該做些什么,又該怎么去達成。作為一部法律工具類的書籍���,我還希望本書的出版能夠幫助中國企業(yè)根據(jù)自身狀況建立起符合自身需求的數(shù)據(jù)合規(guī)體系和架構(gòu)����。如果在遇到問題時能夠第一時間想到本書����,并將其奉為一本數(shù)據(jù)合規(guī)類的“圣經(jīng)”��,那我就更加知足了��。
非常感謝我的家人和事務(wù)所同事們對本書出版的大力支持�����,也感謝我的博士生導(dǎo)師華東政法大學(xué)林燕萍教授的悉心指導(dǎo)�����,以及團隊成員卓偉偉�����、劉曦等對本書成稿所付出的努力�����。我衷心希望���,隨著我國互聯(lián)網(wǎng)的蓬勃發(fā)展,本書能夠及時滿足社會各界的需要�����,為廣大創(chuàng)業(yè)者、數(shù)據(jù)合規(guī)從業(yè)者����、高校學(xué)者、投資者��、消費者及對數(shù)據(jù)合規(guī)領(lǐng)域感興趣的各類人士打造互相交流的平臺���,以供業(yè)界前輩��、同行進行深入學(xué)習(xí)和交流����。
李旻
二〇二二年九月十八日
目錄
第一章 數(shù)據(jù)保護的基本介紹
第一節(jié) 中國的數(shù)據(jù)保護
一�����、中國數(shù)據(jù)保護的立法起源
二��、中國數(shù)據(jù)保護的立法興起與發(fā)展
第二節(jié) 數(shù)據(jù)保護的主要參與者和基本法律關(guān)系
一����、數(shù)據(jù)保護的主要參與者
二、數(shù)據(jù)保護的基本法律關(guān)系
第三節(jié) 中國企業(yè)數(shù)據(jù)合規(guī)治理的典型案例
一��、中國企業(yè)數(shù)據(jù)合規(guī)對海外IPO的影響
二���、中國企業(yè)數(shù)據(jù)合規(guī)對境內(nèi)IPO的影響
三����、中國企業(yè)數(shù)據(jù)合規(guī)治理的民事責任
四���、中國企業(yè)數(shù)據(jù)合規(guī)治理的行政責任
五��、中國企業(yè)數(shù)據(jù)合規(guī)治理的刑事責任
第二章 數(shù)據(jù)保護的關(guān)鍵詞
第一節(jié) 個人信息和敏感個人信息
一�、個人信息的理解與適用
二、敏感個人信息的理解與適用
第二節(jié) 數(shù)據(jù)和重要數(shù)據(jù)
一����、數(shù)據(jù)的理解與適用
二、重要數(shù)據(jù)的理解與適用
第三節(jié) 匿名化和去標識化
一�����、匿名化的理解與適用
二�����、去標識化的理解與適用
第四節(jié) 數(shù)據(jù)控制者和數(shù)據(jù)處理者
一�、數(shù)據(jù)控制者的理解與適用
二�、數(shù)據(jù)處理者的理解與適用
第五節(jié) 數(shù)據(jù)的處理
一、數(shù)據(jù)處理的概念
二�����、數(shù)據(jù)處理的理解與適用
第六節(jié) 數(shù)據(jù)主體
一�、數(shù)據(jù)主體的概念
二、數(shù)據(jù)主體的權(quán)利
三�、數(shù)據(jù)主體的理解與適用
第三章 中國企業(yè)的數(shù)據(jù)合規(guī)治理
第一節(jié) 法律概述
一、《網(wǎng)絡(luò)安全法》
二�����、《電子商務(wù)法》
三、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》
四����、《數(shù)據(jù)安全法》
五、《個人信息保護法》
六�����、《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》
第二節(jié) 中國企業(yè)的數(shù)據(jù)處理活動
一�、數(shù)據(jù)的收集
二、數(shù)據(jù)的存儲
三�����、數(shù)據(jù)的使用
四�、數(shù)據(jù)的加工
五、數(shù)據(jù)的傳輸
六�����、數(shù)據(jù)的提供
七����、數(shù)據(jù)的公開
八�����、數(shù)據(jù)的刪除
九���、數(shù)據(jù)的委托處理
十、數(shù)據(jù)的共同處理
第三節(jié) 中國企業(yè)的數(shù)據(jù)合規(guī)治理標準
一��、數(shù)據(jù)處理的原則
二����、數(shù)據(jù)處理的權(quán)利來源
三�、數(shù)據(jù)處理的透明度要求
四、數(shù)據(jù)處理的安全保障措施
第四章 中國企業(yè)的數(shù)據(jù)跨境監(jiān)管
第一節(jié) 法律概述
一���、《國家安全法》
二���、《個人信息保護法》
三、《網(wǎng)絡(luò)安全審查辦法》
四�����、《數(shù)據(jù)出境安全評估辦法》
第二節(jié) 數(shù)據(jù)出境的主要路徑
一���、安全評估
二�、個人信息保護認證
三、標準合同
第三節(jié) 數(shù)據(jù)的本地化存儲
一���、本地存儲制度的理解與適用
二�、本地存儲制度的改革措施
第四節(jié) 數(shù)據(jù)出境的事先審批
一�、事先審批的適用范圍
二、處罰標準
第五節(jié) 數(shù)據(jù)出境的安全評估
一�、安全評估的適用范圍
二、風險自評估
三���、安全評估的重點
四�����、安全評估的申報
第六節(jié) 個人信息保護影響評估
一���、個人信息保護影響評估的適用范圍
二、個人信息保護影響評估的主要內(nèi)容
第五章 歐盟GDPR的數(shù)據(jù)跨境監(jiān)管
第一節(jié) 歐洲的數(shù)據(jù)保護
一�����、歐洲數(shù)據(jù)保護的立法起源
二���、歐洲數(shù)據(jù)保護的立法興起與發(fā)展
第二節(jié) 歐盟GDPR的適用范圍及其例外
一�����、歐盟GDPR的適用范圍
二��、歐盟GDPR的適用例外
第三節(jié) 數(shù)據(jù)控制者和數(shù)據(jù)處理者的責任
一����、適當?shù)募夹g(shù)和組織措施
二、數(shù)據(jù)保護的設(shè)計和默認
三��、數(shù)據(jù)處理活動的記錄
第四節(jié) 歐盟GDPR數(shù)據(jù)跨境傳輸
一��、歐盟數(shù)據(jù)跨境傳輸?shù)姆秶?
二���、歐盟數(shù)據(jù)跨境傳輸?shù)暮戏ㄍ緩?
第五節(jié) 歐盟GDPR的監(jiān)督和問責
一、自律監(jiān)督
二����、公民監(jiān)督
三、行政監(jiān)督
第六章 中國企業(yè)的數(shù)據(jù)交易合規(guī)
第一節(jié) 數(shù)據(jù)交易所
一�����、數(shù)據(jù)交易準入制度
二、數(shù)據(jù)交易的類別
三���、數(shù)據(jù)交易的參與主體
四����、數(shù)據(jù)交易的產(chǎn)品類型
五�、數(shù)據(jù)交易的監(jiān)管
第二節(jié) 數(shù)據(jù)經(jīng)紀人
一、數(shù)據(jù)經(jīng)紀人的功能和作用
二��、數(shù)據(jù)經(jīng)紀人的數(shù)據(jù)處理依據(jù)
三����、數(shù)據(jù)經(jīng)紀人的法律責任
第三節(jié) 數(shù)據(jù)產(chǎn)品的合規(guī)評估
一、數(shù)據(jù)供應(yīng)方背景調(diào)查
二�、數(shù)據(jù)來源的合法性
三、數(shù)據(jù)的可交易性
四�����、數(shù)據(jù)的可流通性
第四節(jié) 企業(yè)并購的數(shù)據(jù)交易合規(guī)
一���、盡職調(diào)查
二���、并購交割
第五節(jié) App收購中的交易風險防范
一���、外商收購的準入
二、知識產(chǎn)權(quán)的轉(zhuǎn)讓
三����、個人信息保護及遷移
四、App運營中的常見問題
第七章 中國企業(yè)的數(shù)據(jù)合規(guī)體系建設(shè)
第一節(jié) 數(shù)據(jù)保護官
一�����、數(shù)據(jù)保護官的指定
二�����、數(shù)據(jù)保護官的職責
三��、數(shù)據(jù)保護官的管理架構(gòu)
第二節(jié) 個人信息保護影響評估
一���、個人信息保護影響評估的具體要求
二、個人信息保護影響評估的工作機制
第三節(jié) 數(shù)據(jù)的分類分級
一����、數(shù)據(jù)的分類分級原則
二、數(shù)據(jù)的分類分級方法
第四節(jié) 企業(yè)數(shù)據(jù)合規(guī)的組織和管理架構(gòu)
一���、企業(yè)數(shù)據(jù)合規(guī)的組織架構(gòu)
二����、企業(yè)數(shù)據(jù)合規(guī)的管理架構(gòu)
三、企業(yè)數(shù)據(jù)合規(guī)的法律文本
第五節(jié) 企業(yè)數(shù)據(jù)合規(guī)的制度建設(shè)
一���、核心管理制度
二���、基本管理制度
三、操作管理制度
第六節(jié) 個人信息出境標準合同
一�、標準合同的主要內(nèi)容
二、標準合同的法律責任
三�、標準合同的無效情形
第七節(jié) 企業(yè)數(shù)據(jù)合規(guī)的法律服務(wù)
一、法律服務(wù)的治理階段
二�����、法律服務(wù)的合規(guī)建議
第八章 不同數(shù)據(jù)要素場景下的合規(guī)應(yīng)用
第一節(jié) 數(shù)據(jù)要素在人工智能中的合規(guī)應(yīng)用
一�、人臉識別的數(shù)據(jù)合規(guī)應(yīng)用
二、智能汽車的數(shù)據(jù)合規(guī)應(yīng)用
三���、金融機構(gòu)的數(shù)據(jù)合規(guī)應(yīng)用
四�、醫(yī)療健康的數(shù)據(jù)合規(guī)應(yīng)用
五、無人機的數(shù)據(jù)合規(guī)應(yīng)用
第二節(jié) 數(shù)據(jù)要素在勞動關(guān)系中的合規(guī)應(yīng)用
一�����、處理員工個人信息的法律依據(jù)
二����、處理員工個人信息的義務(wù)
三、對員工進行合法監(jiān)控
四����、對員工私人設(shè)備的監(jiān)控
五、“吹哨人”計劃
第三節(jié) 數(shù)據(jù)要素在日常監(jiān)控中的合規(guī)應(yīng)用
一�����、通信數(shù)據(jù)的監(jiān)控
第三章 二�、視頻數(shù)據(jù)的監(jiān)控
三、生物特征數(shù)據(jù)的監(jiān)控
四���、位置數(shù)據(jù)的監(jiān)控
第四節(jié) 數(shù)據(jù)要素在商務(wù)營銷中的合規(guī)應(yīng)用
一���、選擇退出的權(quán)利
二��、郵政營銷
三、電話營銷
四����、電子郵件營銷
五、在線行為廣告和Cookie
六���、用戶數(shù)據(jù)畫像的自動化決策
第五節(jié) 數(shù)據(jù)要素在網(wǎng)絡(luò)技術(shù)與通信中的合規(guī)應(yīng)用
一��、移動設(shè)備應(yīng)用技術(shù)
二����、云計算技術(shù)
三�、物聯(lián)網(wǎng)技術(shù)
四、搜索引擎服務(wù)
五��、網(wǎng)絡(luò)社交服務(wù)
附錄一 中國企業(yè)數(shù)據(jù)合規(guī)常用法律法規(guī)清單
附錄二 個人信息出境標準合同
附錄三 歐盟《通用數(shù)據(jù)保護條例》全文翻譯及逐條解讀
書單推薦
