新書推薦:
《
希腊人(伊恩·莫里斯文明史系列)
》
售價:HK$
185.9
《
亚马逊六页纸 如何高效开会、写作、完成工作
》
售價:HK$
76.8
《
世界巨变:严复的角色(王中江著作系列)
》
售價:HK$
110.0
《
塔西佗(全二册)(二十世纪人文译丛)
》
售價:HK$
396.0
《
(棱镜精装人文译丛)思想的假死
》
售價:HK$
63.8
《
当代精神分析新论
》
售價:HK$
94.6
《
宋初三先生集(中国思想史资料丛刊)
》
售價:HK$
217.8
《
定言命令式:康德道德哲学研究(政治哲学名著译丛)
》
售價:HK$
129.8
內容簡介:
本书聚焦企业数据合规实务,以作者作为社会执业律师参与的数据合规工作为例,对于企业运营管理和数据合规体系建设以及上市和投融资两类场景下法律人员的企业数据合规工作进行归纳、总结、提炼,按照数据合规风险识别(数据合规尽职调查) 一数据合规整改(数据合规解决方案)一数据合规结论意见(结论性意见/专项分析意见)的流程,展示法律人员在数据合规领域的工作,解析数据合规领域的热点问题。
围绕数据合规实务,本书除了介绍法律人员可以“做什么”,还与读者分享“怎么做”。为此,书中使用了大量作者在律师执业中的案例和示例。案例旨在介绍数据合规工作的方法,说明数据合规常见问题以及现行法律和监管要求下的重点事项。示例旨在展示工作文件(如数据合规尽职调查清单、尽职调查报告、法律意见书)和工作成果(如合同条款、数据合规行为准则、数据合规整改行动计划)。
關於作者:
刘瑛
北京市天元律师事务所合伙人,律师。北京大学法学学士、法学硕士。美国杜克大学(Duke University)法学院访问学者。著有《律师的思维与技能》(法律出版社2006年版)、《重新定 义合同:从商业意图到法律文件》(法律出版社2019年第1版、2020年第2版)以及《互联网平台运营法律实务》(合著,法律出版社2020年版)。刘瑛律师曾从事近十年法律教学工作,律师执业主要从事投资并购、数据合规、企业合规等业务,以及通信及互联网企业运营综合法律服务。
李晓华
北京市天元律师事务所律师。中山大学法学学士,美国威廉玛丽大学(The College of William and Mary)法学硕士(LL.M.) ,美国杜克大学(Duke University)法学与创业学专业法学硕士(LL.M.)。合著有《互联网平台运营法律实务》(法律出版社2020年版)。律师执业领域主要有境内外投资并购、数据合规、通信及互联网企业运营综合法律服务、境外上市等。
目錄 :
第一章 数据合规尽职调查 1
一、数据合规尽职调查内容 3
(一)了解企业的业务情况 3
(二)梳理业务经营中的数据处理活动 5
1.区分数据的类型 5
2.核查数据生命周期全流程 6
3.甄别企业在数据处理活动中的角色 16
(三)了解企业数据合规管理情况 27
1.核查企业的数据安全管理组织架构 38
2.核查企业的数据安全管理制度 39
3.核查企业业务的数据安全技术措施 40
4.核查企业的网络信息系统安全等级保护情况 40
5.核查企业的数据安全教育培训情况 41
(四)核查企业涉及的与数据合规相关的争议、诉讼、仲裁或行政处罚等情况 41
(五)数据合规尽职调查的几个重点核查事项 42
1.企业是否属于关键信息基础设施的运营者 42
2.企业处理的数据是否属于重要数据、核心数据 44
3.企业处理个人信息的规模 45
4.企业是否需要进行网络安全审查 46
二、数据合规尽职调查方式 47
(一)核查企业提供的资料 48
1.准备数据合规尽职调查资料清单 48
2.视情况准备数据合规补充尽职调查清单 67
(二)进行网络平台穿行测试 70
(三)访谈相关人员 75
(四)通过公共查询渠道核查印证 84
三、数据合规尽职调查报告 85
(一)企业上市、投融资项目的数据合规尽职调查报告 85
1.《数据合规尽职调查报告》模板示例 85
2.《数据合规尽职调查重大法律问题备忘录》示例及简析 101
(二)企业日常运营项目、数据合规体系建设项目的数据合规尽职调查报告 104
第二章 数据合规解决方案 109
一、制订数据合规整改行动计划 111
二、落实数据合规整改措施 130
(一)个人信息处理流程及文本的整改和优化 130
1.业务流程的整改优化 133
2.个人信息处理规则(隐私政策)的整改和优化 140
(二)业务或交易等商业合同的整改和优化 160
1.场景一:企业作为数据委托方委托合同对方处理个人信息等数据 161
2.场景二:企业作为受托方处理合同对方提供的个人信息等数据 163
3.场景三:企业与合同相对方共同处理个人信息等数据 165
4.场景四:因合并、分立、解散、被宣告破产等原因需要转移个人信息等数据 166
5.场景五:企业向合同相对方提供个人信息等数据 168
(三)建立企业数据合规管理体系 175
1.搭建网络和数据合规组织架构 175
2.建立和完善网络及数据安全相关制度 178
第三章 数据合规结论性意见 205
一、就企业数据合规情况发表结论性法律意见 208
二、就数据合规的特定事项出具法律分析意见 225
(一)关于企业是否属于关键信息基础设施运营者的专项分析意见 226
(二)关于企业数据分类分级管理的专项分析意见 230
(三)关于企业是否需要进行网络安全审查的专项分析意见 234
(四)关于数据出境的专项分析意见 242
案例目录
案例1-1 不同业务模式下的企业数据处理角色 4
案例1-2 “告知—同意”规则履行情况的核查与分析 7
案例1-3 “单独同意”规则履行情况的核查与分析 8
案例1-4 数据来源合法性核查与分析 8
案例1-5 违法使用爬虫或类似自动化技术收集数据与分析 9
案例1-6 数据使用范围是否符合用途的核查与分析 10
案例1-7 个人信息使用范围是否符合用途的核查与分析 10
案例1-8 利用个人信息进行自动化决策是否符合法律规定的核查与分析 11
案例1-9 AI“换脸”软件涉嫌侵权 11
案例1-10 对人脸识别第三方SDK情况的核查与分析 13
案例1-11 关于互联网医院数据存储期限的核查与分析 14
案例1-12 受政府委托处理政务数据行为的核查与分析 14
案例1-13 第三方SDK数据存储境外的核查与分析 15
案例1-14 委托方处理个人信息与受托方签订合同情况的核查与分析 18
案例1-15 委托处理个人信息向个人告知并取得同意情况的核查与分析 18
案例1-16 委托处理个人信息前个人信息影响评估情况的核查与分析 19
案例1-17 受托方按照合同约定处理数据情况的核查与分析 19
案例1-18 受托方在合同中对委托方数据来源合法合规的约定 20
案例1-19 母公司与其子公司共同处理客户信息核查与分析 21
案例1-20 App运营者与SDK提供方共同处理用户个人信息核查与分析 22
案例1-21 数据转移中提供方的告知义务 23
案例1-22 接收方变更原先处理目的应当重新取得个人同意 24
案例1-23 向其他数据处理者提供数据告知个人情况的核查与分析 25
案例1-24 对数据提供方数据来源合法性情况的核查与分析 26
案例1-25 涉及大量个人信息处理活动的企业设置个人信息保护负责人情况的核查与分析 39
案例1-26 关键信息基础设施运营者制定网络服务和产品采购审查相关制度情况的核查与分析 39
案例1-27 网络日志留存期限核查与分析 40
案例1-28 企业网络安全等级定级、备案情况核查与分析 41
案例1-29 未按照整改要求完成整改的核查与分析 42
案例2-1 E公司被网信办约谈事项处理的整改方案 124
案例2-2 关于某App隐私政策授权方式的整改 134
案例2-3 关于某App隐私政策展示方式的整改 135
案例2-4 关于某App敏感个人信息单独同意流程的整改 136
案例2-5 关于某App索取手机相册权限流程的整改 137
案例2-6 关于某App个人信息权利保障路径流程的整改 138
案例2-7 关于某App账号注销功能的整改 139
案例2-8 关于某App隐私政策文本规范性的整改 140
案例2-9 关于儿童隐私政策 152
示例目录
示例1-1 产品合规审查项目的数据尽职调查清单 49
示例1-2 企业数据合规体系建设项目的尽职调查资料清单 53
示例1-3 企业融资项目的尽职调查资料清单 58
示例1-4 补充尽职调查清单 68
示例1-5 App穿行测试核查记录 71
示例1-6 产品合规审查的数据合规尽职调查访谈问卷清单 76
示例1-7 企业赴香港上市项目的数据尽职调查访谈问卷清单 79
示例1-8 数据安全、网络安全、个人信息保护相关诉讼处罚核查情况表 84
示例1-9 《数据合规尽职调查报告》 85
示例1-10 《数据合规尽职调查重大法律问题备忘录》 102
示例1-11 企业日常运营事项、数据合规体系建设项目备忘录 105
示例2-1 某香港上市项目的数据合规整改行动计划 113
示例2-2 某融资项目的数据合规整改行动计划 115
示例2-3 C企业个人信息保护合规整改行动计划 117
示例2-4 D企业某产品合规论证项目 122
示例2-5 互联网平台数据合规整改事项行动清单 130
示例2-6 数据处理合同相关条款(委托方角度) 162
示例2-7 数据处理合同条款(受托方角度) 164
示例2-8 数据处理合同条款(共同处理者角度) 166
示例2-9 因企业分立产生的数据转移 167
示例2-10 某电信运营商向银行提供电信用户个人信息 169
示例2-11 集团内信息共享的相关合同条款 172
示例2-12 关于数据处理的补充协议 173
示例2-13 关于××企业数据合规管理组织架构的方案建议 175
示例2-14 企业《数据合规行为准则》 179
示例2-15 企业《数据安全管理办法》 182
示例2-16 企业《数据分类分级管理制度》 187
示例2-17 儿童个人信息保护制度文件 188
示例3-1 香港上市项目数据合规专项法律意见 209
示例3-2 企业融资项目数据合规专项法律意见书 217
示例3-3 企业日常运营中的数据合规专项法律意见 224
示例3-4 关于某企业是否属于CIIO的分析意见 228
示例3-5 关于某企业数据分类分级工作的分析意见 232
示例3-6 关于某在线职业培训企业是否需要进行网络安全审查的法律意见 236
示例3-7 关于某网约车企业是否需要进行网络安全审查的分析意见 239
示例3-8 关于企业因业务需要而向境外提供相关数据的法律意见 243
內容試閱 :
序 言
2021年是中国数据保护发展进程中具有里程碑意义的一年。这一年,《数据安全法》《个人信息保护法》相继出台并施行,个人信息保护、互联网平台、网络安全审查等重点领域的立法频出,监管要求日趋精细化,执法呈常态化趋势。这些对企业网络安全、数据安全和个人信息保护的治理及合规管理(本书统称数据合规)提出了越来越高、越来越细的要求。
对于企业来说,无论是日常运营活动,还是上市、投融资等重大经营事项,都可能涉及数据处理,需要保护个人信息、保障数据安全、规范数据处理活动。网络已经深度融入社会经济生活的各个方面,网络安全的重要性日益凸显。数据合规已成为企业合规管理体系的重点领域之一。
社会执业律师、公司律师或企业内部法律顾问等法律专业人士(本书统称法律人员)能够整体理解法律监管体系,谙熟法律规则的适用,在数据合规工作中起非常重要的作用。
法律人员的数据合规工作大致可以归纳为两大类场景:
一是企业运营管理、合规体系建设中的数据合规。
数据合规已经成为企业合规管理的重点领域之一,数据合规工作逐渐融入企业的日常合规管理,呈现常态化的趋势。
企业日常运营中,无论是用户数据,还是员工个人信息的保护,无论是业务产品的合法合规性论证,还是用户个人信息处理规则以及数据处理合同等交易文件的准备,都越来越多地需要从数据合规角度审视和考量。特别是对于涉及大数据、网络安全、云计算服务以及互联网平台等业务的企业,在对产品和服务进行可行性分析及制订解决方案时,更是必须考虑数据合规。企业处理和应对网络安全事件或案件,也离不开法律人员的专业支撑。
从企业合规体系建设看,无论是企业数据合规管理机构和“三道防线”的设置,还是数据合规制度和规范建立、数据安全管理措施的实施,以及为员工提供数据安全合规培训等,都需要法律人员提供专业支撑。
二是企业上市、投融资等重大经营事项中的数据合规。
上市、投融资等重大交易活动中,企业的网络安全及数据安全、个人信息保护合规情况是证券监管机构、投资人关注的重点。特别是对于科技企业和互联网企业,数据是企业资产价值评估的重点,数据处理全流程合法合规情况也成为上市审核的核心要素。数据合规已经从幕后走向前台,成为上市相关审核部门和投资人重点关注的事项。
为实现上市、投融资目标,满足上市监管规则/投资人的要求,企业亟须专业人员支撑,排查数据合规风险,并在相对较短期限内完成整改。法律人员通过对企业网络安全和数据处理情况的调查了解,结合对法律法规和监管要求的理解判断,识别企业数据合规风险,提供整改方案,与企业业务、信息安全等各专业条线一同落实整改措施,防范交易风险、促进交易的安全实现。
与其他领域中的合规工作类似,法律人员提供数据合规支撑通常都需经过发现识别问题—提供解决方案—发表结论意见等工作流程。专业、高效、务实的数据合规支撑,除了要求法律人员熟悉相关法律规则和监管要求外,还需要理解企业的商业意图或交易目标,了解企业的业务或产品逻辑以及企业的信息技术系统资源等情况。
本书聚焦企业数据合规实务,以作者作为社会执业律师参与的数据合规工作为例,对于企业运营管理和数据合规体系建设以及上市和投融资两类场景下法律人员的企业数据合规工作进行归纳、总结、提炼,按照数据合规风险识别(数据合规尽职调查)—数据合规整改(数据合规解决方案)—数据合规结论意见(结论性意见/专项分析意见)的流程,展示法律人员在数据合规领域的工作,解析数据合规领域的热点问题。
围绕数据合规实务,本书除了介绍法律人员可以“做什么”,还与读者分享“怎么做”。为此,书中使用了大量作者在律师执业中的实例(已经做隐去客户信息和交易信息的匿名化处理)。其中,所使用的案例旨在介绍数据合规工作的方法,说明数据合规常见问题以及现行法律和监管要求下的重点事项;所使用的示例旨在展示工作文件(如数据合规尽职调查清单、尽职调查报告、法律意见书)和工作成果(如合同条款、数据合规行为准则、数据合规整改行动计划)。这些案例和示例有其特定项目、特定交易背景,只是为了直观地说明或帮助读者理解“做什么”以及“怎么做”,而无意给读者“范例”或“范本”,也不是作者作为执业律师的专业意见。本书仅为作者的观点,不代表作者所在的执业机构的意见和观点。
北京市天元律师事务所郭云鹤律师协助整理了本书的相关案例和示例,对此表示感谢。
数据合规是律师执业的新领域,囿于作者水平,书中难免疏漏、不妥之处,请广大读者批评指正。
刘瑛
2022年5月