我们非常重视您的个人隐私,当您访问我们的网站时,请同意使用的所有cookie。有关个人数据处理的更多信息可访问《隐私条款》

上正恒泰·威科先行 | 数据合规实务指引(2024)重磅发布

发布时间 2024.03.07 作者 杨澜波 李琦



作者丨杨澜波、李琦

机构丨上正恒泰律师事务所

威科先行首发文章,未经授权谢绝转载

开篇语


数据,是指任何以电子或者其他方式对信息的记录。数据作为新型生产要素,是国家的基础性和战略性资源,数据安全不仅关乎个人、单位切身利益,更关乎国家安全和公共安全。身处大数据时代,以电子形式记录的数据(也即网络数据)已然成为主流,因此数据保护也与网络安全密切相关。企业在经营过程中离不开数据合规,不可避免会涉及对数据的收集、存储、使用、加工、传输、提供、公开等处理活动。


威科先行携手上正恒泰律师事务所合伙人杨澜波律师及团队发布《数据合规实务指引(2024版)》,本指引作者曾协助客户整体评估数据合规情况,并为其开展个人信息出境的标准合同备案提供配套法律服务;还为客户提供包括数据出境合规、个人信息处理合规在内的法律服务。基于已有的实务经验撰写本指引,希望为企业提供一定的帮助。


因此本指引将从以下四个方面切入,为企业的数据合规提供专业指引:


第一章,介绍我国数据立法和执法的概况,使企业直观、全面地了解当下的数据监管情况。


第二章,对目前监管较为严格的数据出境要求以及未来可能的监管趋势作详细介绍,以帮助企业识别自身是否涉及数据出境场景,从而确定需要满足的相应要求,并介绍数据本地化存储与数据出境的区别。


第三章,针对企业日常会涉及的各类个人信息处理场景,以“告知和同意”为重点,从不同角度全面介绍个人信息处理的各项合规要求。


第四章,介绍与数据安全密切相关的网络安全等级保护的相关要求。



需本指引PDF版本,欢迎长按并识别二维码提供您的姓名、就职单位、职务、公司邮箱及手机号,以便我们及时发送给您。


指引目录


第一章  数据立法与执法概览

本章将对我国数据相关的重要法律予以介绍,在理解整体监管框架、明确执法框架和执法重点的基础上,通过典型执法案例来解读当前数据合规的监管态势,为企业明确合规的主要方向。


一、相关法律法规概览 
中国关于数据合规的现行法律架构可以概括为 “1+3+N”体系,本部分将对这一体系进行介绍。

二、执法机构及重点
本部分将介绍数据相关的整体执法框架,并通过典型执法案例的分类阐述,对所涉的执法重点予以总结,以明确当前数据合规监管的执法趋势。
1. 执法部门
2. 重大典型案例
2.1 滴滴网络安全审查相关行政处罚
2.2 知网网络安全审查相关行政处罚
2.3 首例涉及高铁运行安全的危害国家安全类案件
3. 网信部门的典型执法案例
4. 公安部门的典型执法案例
4.1 网络安全相关违法典型案例
4.2 数据安全相关违法典型案例
4.3 个人信息相关违法典型案例

三、中国的数据安全合规趋势


第二章 数据出境合规

本章分为四部分,首先,我们对数据出境的定义和场景予以介绍;其次,在此基础上我们对三种数据出境路径的适用情形、相关要求分别予以介绍,并对不同路径的特点予以比较,帮助企业对数据出境路径有全局把握;再次,我们将结合经验对个人信息出境路径之一的标准合同作进一步介绍;最后,我们还会结合国家互联网信息办公室于2023年9月28日发布的《规范和促进数据跨境流动规定(征求意见稿)》(“《数据跨境规定(征求意见稿)》”)等文件分享我们对目前数据出境活动监管趋势观察。


一、数据出境行为和具体场景
1. 数据出境行为
2. 数据出境的具体场景

二、3种数据出境路径
1. 关于数据出境安全评估
1.1 必须进行安全评估的情形
  • 关于“重要数据”

  • 关于人类遗传资源是否属于“重要数据”

  • 关于“关键信息基础设施运营者(CIIO)

1.2 安全评估流程和评估要求
  • 程序和时间

  • 申报资料和自评估

  • 自评估和个人信息保护影响评估(PIA)

2. 关于标准合同
2.1 适用情形
2.2 程序和要求
3. 关于认证
3.1 适用情形
3.2 程序和要求


三、3种出境路径的选择和比较
1. 安全评估与其他两种出境路径的选择和比较
2. 标准合同和认证的选择和比较
3. 三种出境路径下的不同评估要求

四、标准合同出境路径的实务
1. 整体安排
2. 标准合同的填写要点
3. PIA报告的准备思路

五、数据出境监管的新动向

六、数据的本地化存储


第三章 个人信息处理的合规要求

2021年11月1日,《中华人民共和国个人信息保护法》(“《个保法》”)正式实施,对个人信息处理活动的各个方面提出了要求,标志着国家对个人信息的保护又提升到一个新的高度。本章第一部分重点讨论告知和同意,第二部分介绍企业在一些通用的个人信息处理场景下如何履行告知和同意,第三部分总结个人信息处理所涉及的其他各项合规要求,最后第四部分提示企业可能涉及承担的法律责任。


一、告知和同意
1.个人信息概述
1.1 个人信息的含义  
1.2 个人信息的类型 
2. 告知和同意的关系及适用情形
2.1告知和同意的关系  
2.2 告知和同意的适用情形 
3. 告知和同意实施的基本要求
3.1 如何履行告知和取得同意 
3.2 单独同意和增强告知


二、个人信息处理场景
企业日常经营中可能涉及处理内外部人员的个人信息,包括处理员工、劳务派遣人员或外包人员的个人信息,处理企业客户/供应商联系人以及企业网络和网站的访问人员的个人信息,还可能涉及与第三方处理个人信息,以及境外主体直接收集境内个人信息的情形。针对不同的场景,企业在履行告知和取得个人同意时,应注意哪些事项呢?
1. 关于员工、派遣/外包人员
1.1 如何履行告知和取得同意
1.2 个人信息与个人隐私
1.3 用人单位安装调取监控注意事项 
1.4 用人单位安装电脑监控软件注意事项
2. 关于企业客户联系人等
2.1 企业客户/供应商联系人
2.2 企业网络和网站的访问人员  
3. 涉及第三方处理个人信息的情
4. 境外主体直接收集境内个人信息的情形


三、其他合规要求
1. 采取个人信息保护措施   
2. 设置个人信息保护负责人   
3. 个人信息处理合规审计   
4. 保存个人信息的期限   
5. 个人信息保护影响评估

四、法律责任
1. 行政处罚   
2. 民事侵权责任  
3. 刑事责任


第四章 网络安全等级保护

《网络安全法》施行后,围绕网络安全等级保护制度,各项国家标准也随即展开更新或起草。2019年5月16日,公安部召开“网络安全等级保护制度2.0国家标准宣贯会”,标志着国家网络安全等级保护工作步入2.0时代。《网络安全法》要求网络运营者按照网络安全等级保护制度的要求,履行相关安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,保障网络数据的完整性、保密性、可用性。网络运营者还需根据等保相关的国家标准来开展等保工作。


一、相关法律法规
二、定级与备案
三、定级后程序

四、法律责任