2019年工信部发布《关于开展APP侵害用户权益专项整治工作》,对APP服务提供者和APP分发服务提供者违规收集、使用用户信息的行为进行治理。全国各地也相继对违规收集用户信息的APP展开整治工作。
2020年国家网信办、工信部、公安部、国家市场监管总局四部门联合行动开展新一轮APP治理保护个人信息安全行为。截止到2022年10月,工信部已连续三年共发布25批《关于侵害用户权益行为的APP通报》,对包括南方航空、春秋航空、看看新闻、爱回收、豆瓣等上千家APP违规索取权限和收集用户信息的行为进行下架处理。
随着《个人信息保护法》、《数据安全法》和《数据跨境传输安全评估》等法律规范的进一步落地,行政执法机关对企业在数据收集、使用和跨境等方面的监管逐渐趋严。一方面,自“十三五”时期,我国大力支持数字经济发展战略,2022年3月发改委在“十四五”数字经济发展规划中明确提出我国数据要素市场体系已初步建立,到2035年,我国要力争形成统一公平、竞争有序、成熟完备的数字经济现代市场体系,数字经济发展基础、产业体系发展水平位居世界前列。
另一方面,我国大多数企业在数据合规方面还处于初级阶段,无论是从技术还是法律方面,对企业数据的分级分类管理、(跨境)传输都尚未完成合规化、体系化建设。对于狂奔近二十多年的互联网而言,过往的粗放式数据管理已成“基本盘”,如何查漏补缺,精准摸排,重建数据合规地基,已经成为数字经济时代众多企业的必考题。
伴随着监管催生的企业应急式数据合规治理,亟需转变为常态化工作,那么数据合规要做什么?怎么做?法律具体是怎么适用的?怎样避免合规“面子工程”?有没有一个实操手册可以从头到尾地针对性指导?有!
北京盈科(上海)律师事务所“数字经济与金融科技法律服务团队”负责人刘磊律师携手算力智库创始人燕丽联合力作——《数据合规:实务、技术与法律解码》,由法律出版社出版,作为盈科全国业务指导委员会系列丛书,本书凝聚两位作者长期法律研究和实务工作中的总结,紧跟数据保护热点、难点和重点,拒绝大而虚的说教,只有颗粒度足够细,实用性足够强,案例足够典型的实务操作指引,全书分为“数据篇”,“法治篇”、“技术篇”“市场篇”“合规篇”,五大模块,结构清晰、体系完整,可使读者快速建立数据合规工作的全景式认知。
“数据篇”,厘清数据的特殊性、产业概要、数据合规主体要素和相关权利,从认知层面明确数据合规的复杂性和关键点在哪儿?
“法治篇”,基于对现行数据立法的框架和法律解读,及对经典执法案件的分析,来让读者掌握《网络安全法》《数据安全法》《个人信息保护法》等具体法条的规范对象、适用条件、适用范围及合规要点,及时了解当下的监管态势和动向。
“技术篇”,盘点数据合规的关键技术图谱,对隐私计算、区块链、联邦学习等核心技术的作用和场景实例作了重点详述,帮助客户了解如何利用技术工具协同互补来赋能数据合规。
“市场篇”,则从整个数据要素市场的角度,对数据产权、数据资产化、定价机制、数据要素市场化的实现路径、数据交易、公共数据市场化以及数据跨境流动的运作机制、政策动向和管理规范,有个全面深入的介绍,助力企业更好的参与数据要素市场,实现数据资产的变现,捕获数据红利。
“合规篇”,对企业合规体系建设、风险识别应对机制、数据规范管理机制及合规要点,及金融、医疗、政务、电信、交通、电子商务等代表性行业的数据合规治理路径有个全盘梳理,总结了“一个体系,三道防线,十步曲”的合规秘诀。
本书亮点
1、只需“一三十”,解决企业数据合规难题
企业数据合规需求贯穿方方面面。
企业数据资产在企业总资产的占比越来越高,企业数据资产如果存在严重不合规问题,可能影响运营和持续发展。
在投融资项目中,数据合规情况结论法律意见可能是企业完成投融资交割的必备文件,将会影响融资成败。
在企业上市中,数据合规问题从幕后走向前台,成为上市相关审核部门在企业上市评估及问询过程中的重点关注。
在企业出海时,数据跨境流通问题和数据本土化的属地原则,很可能让企业折戟而归。
在本书中,从企业数据合规的常见场景和需求出发,无论是上市、投融资目标、跨境出海还是日常经营,帮助企业一摸底,三防线,十步曲。
“一”是以尽职调查为基础,如何从组织人员层面、制度规范层面、技术层面、产品层面、数据生命周期层面,摸底企业数据处理情况,识别并排查企业存在的数据合规风险,在较短期间内完成整改。
“三”是以主动防范的角度,建立责任机构、风控部门、内外审计部门三道防线,从管控上剔除合规隐患。
“十”是建立合规清单,以十步走的战略,在合规管理体系、管理制度、合规文化、识别机制、风险应对、监督机制、问责机制、管理评估、数据留存、产品服务等具体的十步上完善合规机制,并且指出合规专员要理解企业的业务或产品逻辑、相关经营活动的商业意图或交易目标,以及企业的信息技术系统资源等情况,切忌将数据合规工作与业务、管理相割裂。
例如互联网企业在制定移动应用程序(APP)的个人信息处理规则(隐私政策)时,应当先了解平台运营者提供的具体服务涉及到的数据来源、类型等,平台运营者与平台内经营者、用户(消费者)、平台内其他服务方(例如支付、物流、技术服务商等等)之间的业务关系、法律关系,并通过以用户视角体验App收集和使用个人信息等数据的全流程、对企业后台数据管理系统进行核查等方式进行穿行测试,从而正确梳理在互联网平台中的各类业务活动所涉及的各项数据处理活动情况,准确判断平台内的各方在数据处理活动中的决策、分别享有和承担何种数据保护权利和义务,才能准确地制定该平台对应的隐私政策。
2、重点解答企业出海新考题——数据跨境
在国际化背景的大趋势下,企业纷纷出海以寻求增量,诸如跨境电商、快递物流、社交媒体都踩在了风口上,而随之而来的企业对于处理出境数据的需求也在快速攀升,今年9月1日起全面施行的《数据出境安全评估办法》二十条虽提出了相关指引,但真正放在不同国家地区的跨境复杂场景中,一些具体的实操问题就会出现:
比如如何理解数据出境的”境”?如何判断企业的业务行为是否属于“数据出境”?
在数据出境安全评估中,企业该如何自评?
企业实际业务运行中产生的出境数据,应该存储在境内还是境外?
企业如何合法合规的实现数据跨境,包括国内的数据出境、国外的数据入境、第三国的数据过境?
从技术的角度看,企业出境数据保护最薄弱的环节在哪些方面?
面对市面上众多的数据出境安全自评估解决方案,企业主该用什么样的标准去选择“合适”的方案?
企业如何针对不同国家特有的数据跨境法律制度资源,制定特有的业务规则和模式,真正的实现业务出海?
以上诸此问题,在本书中都会得到重点解答。
3、聚焦六大核心行业的典型案例教科书
数据合规,虽然没有标准答案可抄,但却有案例可以参考。
金融、医疗、政务、电信、交通、电子商务作为典型的数据密集型行业,同样也是监管重点领域,除了三法之外,还有《反电信网络诈骗法》,《汽车数据安全管理若干规定(试行)》,《个人金融信息保护技术规范》等行业法规和标准都对这些行业的数据处理作出了特别规定,本书精选了这六大核心行业的代表案例,包括中兴、浙江移动、滴滴出行、携程等案件,从其中的法条适用、合规要点和避坑指南,都具有广泛的参考价值。
作者简介
刘磊,执业律师,北京盈科(上海)律师事务所高级合伙人。兼任同济大学人工智能社会治理协同创新中心兼职研究员,甘肃政法大学人工智能法治研究院研究员,北京盈科(上海)律师事务所“数字经济与金融科技法律服务团队”负责人;盈科总部“十佳未来之星”;盈科(上海)“新十年十青年”代表,GLG格理集团专家库成员,专注于金融科技与数据安全类实务工作和研究工作,在实务方面,刘律师为头部企业提供跨境数据合规及网络安全审查等法律服务,出具数据安全合规行业报告,对国内外数据跨境、网络安全审查方面具有丰富经验。
曾主编著作《数字货币与法》、《虚拟货币、NFT法律疑难问题之解》(待出版),曾发表《司法实务中私人“数字货币”属性的认定困境及对策分析》《用虚拟货币支付的法律思考》《数字货币法律属性的司法判断与类型化分析》等学术文章。
燕丽,上海交通大学硕士毕业,智能数据与隐私计算研究平台算力智库创始人。专注研究智能数据、隐私计算、区块链等技术协同赋能传统产业数字化改造解决方案与商业模式创新。被和讯选为2019年度“她榜样”女性人物之一,曾出品国内首本系统性详录隐私计算商业模式与应用案例的著作《隐私计算:开启数据共享新商业模式》。
专家推荐
本书对近年来我国数据合规领域的相关规范、市场、技术进行了实践经验的总结,同时站在实务的角度对如何做好企业数据合规进行深入的观察和思考。此书的出版,希望在更高的水平和更大范围上促进企业数据的使用和保护的平衡,推动生产要素与市场主体的高效协同,推动数字产业化和产业数字化协同发展,助力我国数字经济走上增量扩面、提质降本的快车道。
——于改之 武汉大学法学博士,东京大学法学政治学研究科客员研究员。现任上海交通大学凯原法学院教授、博士生导师,兼任中国刑法学研究会副会长,上海市法学会刑法学研究会副会长。
