迎接个人信息保护法的正式生效:《数据出境安全评估办法(征求意见稿)》规则解读
引言
根据国家互联网信息办公室(以下简称“国家网信办”)官方网站发布的消息,自10月29日起的一个月内,《数据出境安全评估办法(征求意见稿)》( “《办法》”)正式向社会公开征求意见。《办法》在第一条中开宗明义,明确表示了其出台的目的与价值,即“为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。”
数据出境的安全管理与评估,自《网络安全法》以来一直成为数据合规领域中的关键性话题。此次《办法》制定的上位法依据,也十分鲜明地将《中华人民共和国网络安全法》(“《网安法》”)、《中华人民共和国数据安全法》(“《数安法》”)和《中华人民共和国个人信息保护法》(“《个人信息保护法》”)这三部当下构成我国网络空间治理框架性规则的基础法律(详细解读可以参见团队此前文章:《横看成岭侧成峰——从《个信法》和《数安法》等看网络空间治理的中国方案》),作为了自身的立规授权来源和上位法依据。尤其是,作为三部基础法律中与个人信息权益最为密切相关的法律,《个人信息保护法》将于后天(2021年11月1日)正式生效施行,这意味着,在我国迎来网络空间治理规范集中完善、更新浪潮,形成顺应信息时代的系统法律设计的时代节点上,《办法》将成为网络空间治理框架性法律正式成型后,在数据出境安全管理系列规范中具有关键意义和地位的配套规则。
本文下述将对《办法》的规则理解和适用,以及相应的合规理念和价值进行初步解读,以期数据处理者在面临数据出境安全评估与管理问题时,对《办法》的规则适用的框架和原理初步树立基本的出境数据安全意识与合规理念。
一、理解《办法》的适用对象和范围
根据《办法》第二条:“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当按照本办法的规定进行安全评估;法律、行政法规另有规定的,依照其规定。”对该条的解读,应该至少从《办法》的“适用对象”和“适用范围”等层面进行对应解读。
(一)谁是应当依据《办法》进行评估的行为主体?
在对需要履行数据出境安全评估的行为或业务主体的规定上,《办法》要求“数据处理者”将境内所涉数据向境外提供的场景中,应当进行安全评估。使用“数据处理者”来进行规则约束主体的描述,在此前国家网信办出台的《汽车数据安全管理若干规定(试行)》中已经存在类似做法。但从法律规则的沿革上来看,需要进行出境安全评估的主体,随着对数据出境安全客观风险的认识不断加深,存在一个外延扩展的过程。
一般认为,《网安法》第三十七条首次明确向关键信息基础设施的运营者提出了个人信息和重要数据出境安全评估的法定要求,即“在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”可见,数据出境安全评估制度最初的适用主体一般仅限于关键信息基础设施的运营者。这是因为《网安法》所规制的对象范围是在境内建设、运营、维护和使用网络的运营者,从网络安全的重要性角度出发,《网安法》要求关键信息基础设施的运营者这一特殊类型的“网络运营者”履行数据出境安全评估义务。但考虑到目前大量的数据跨境传输活动可能并非由关键信息基础设施的运营者执行,而且大量的非关键信息基础设施的运营者的数据跨境传输同样可能面临着潜在或者现实的安全风险,因此,原本限定于关键信息基础设施的运营者的评估义务适用对象客观上需要扩张。而自《数安法》以来,随着数据安全义务履行主体的延展,《办法》将“数据处理者”作为适用的主体对象便有了相应的法律基础。不过,由于《数安法》本身未对“数据处理者”这一概念进行法律界定,其是否可以沿用或者借鉴《个人信息保护法》下的“个人信息处理者”的定义还有待进一步探讨。
总体上,《数安法》在立法规范设计的思路上系针对“数据处理”的行为约束法,虽未专门定义“数据处理者”(详细解读可以参见团队此前文章:《利刃出鞘:<数据安全法>下中国数据保护路径解读》),但在第三十一条中承接了《网安法》第三十七条规定中关键信息基础设施的运营者的出境安全评估要求;同时也进一步通过相关规定,扩充了负有数据出境安全评估的法律义务主体,即“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”而《个人信息保护法》第三十八条和第四十条紧接着规定了“处理个人信息达到国家网信部门规定数量的个人信息处理者”应该在向境外提供个人信息时的通过国家网信部门组织的安全评估的法定义务。至此,通过《网安法》《数安法》和《个人信息保护法》在法律条文规则上的相互支撑与补充,为《办法》中要求“数据处理者”履行数据出境安全评估义务提供了全面而完整的上位法基础。
(二)如何理解“向境外提供”所涵盖的地域范围?
依据国内法律法规(典型如《中华人民共和国出境入境管理法》)和规范性文件对于“境外”的通常用法,除做特殊说明外,一般理解“境外”应当同时包含国外(地区)以及我国的港澳台地区。(具体分析亦可参见团队此前文章:《八问八答——<网络安全审查办法(修订草案征求意见稿)>重点解读》)因此,向国外国家或者地区、我国的港澳台地区提供重要数据和个人信息的数据处理者,如果满足《办法》规定的相应条件,应当主动向主管部门申请开展数据出境安全评估。
上述问题延伸出的进一步思考可能主要在于:今年7月由国家网信办公开向社会征求意见的《网络安全审查办法(修订草案征求意见稿)》中规定:“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”而《办法》同样对处理个人信息达到100万人的个人信息处理者向境外提供个人信息时,提出了申报和开展数据出境安全评估的法定义务。在制度运行上,虽然两条规定的约束对象分别是“运营者”和“个人信息处理者”,两者不完全等同,但在实践中也有可能存在身份的重合。例如,某掌握了超过100万用户并处理其个人信息的互联网科技公司,在赴海外上市的过程中,由于上市活动需要,将不可避免地存在向境外中介机构、监管部门提供诸如董事、高管的个人信息,以及公司在接受尽职调查中将对客营业的业务数据中可能包含客户信息等情况。而根据上述规定,这种数据的跨境提供行为,也将分别纳入到网络安全审查和出境安全评估的制度监管体系之下。由此,在可能同时涉及数据出境的场景下,网络安全审查制度与数据出境安全评估制度如何得以衔接或者协调适用?
我们原则上认同这样的观点:在《网络安全审查办法(征求意见稿)》的前提下,其所规定的“网络安全审查制度”与此次《办法》中规定的“数据出境安全评估制度”在“维护国家安全”这一规范价值点上存在交叉重叠,但在制度构建的原理和规范目的上并不完全相同,所以应当认为两者属于并行和独立的制度关系。但我们同时也认可,在前述“处理个人信息超过100万人的运营者赴国外上市”的特殊场景中,必不可免地将同时启动运行两个制度。此时,在“维护国家安全”这一规范价值点的共同指引下,网络安全审查制度中所主要考虑的因素之一“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”,可能与数据出境安全评估制度中所需要的各项重点评估事项,呈现出法定要求相似乃至一致的密切关系。在目前未有官方解释或者声明的前提下,虽然不排除需要同时进行两次申报的可能,但就两个制度的理念内核和运行价值均是高度一致的,至于在具体情形下如何做好两个申报制度之间的协调、衔接,以实现监管效率最大化,需要数据处理者接受有关主管部门的进一步指导。
二、领会《办法》的评估原则与价值
《办法》第三条规定的是数据出境安全评估的原则与价值。
首先,“坚持事前评估和持续监督相结合、风险自评估与安全评估相结合”。事前评估与持续监督相结合的原则,事实上贯穿的是数据出境全生命周期管理和风险全链条控制的理念。事前监督可以体现为《办法》中设立或者细化的“风险自评估”和特定情形下的“安全评估”制度;而持续监督,集中体现在《办法》第二十条,即“数据出境评估结果两年有效期”的规定。类似规定最早可见于2019年《个人信息出境安全评估办法(征求意见稿)》。此外,根据《办法》,如在有效期内出现特定变化,则数据处理者需要重新申报评估。
《办法》中也体现了在确保安全的前提下,保障数据流动自由的规范价值。此前,在《个人信息保护法(草案一次审议稿)》就曾使用“保障个人信息依法有序自由流动”相关表述作为总则第一条。而此次《办法》中将“促进数据跨境安全、自由流动”作为立规目标,彰显了在涉及数据出境安全管理的监管取向,即调动一切以安全为前提和保障下的数据有序、自由流通的价值。
三、申报数据出境安全评估的条件与流程
作为《办法》的主要规定事项以及影响《网安法》《数安法》和《个人信息保护法》中关于数据出境安全管理的关键环节,如何申报和开展数据出境安全评估,成为数据处理者应当重点关注的内容。
事实上,在此次《办法》出台之前,有关国家部门分别在2017年和2019年分别就个人信息和重要数据、个人信息的出境安全评估办法起草相应条款并征求意见。此外,2017年全国信息安全标准化技术委员会也曾发布《信息安全技术 数据出境安全评估指南(征求意见稿)》,以期对相关方开展数据出境安全的评估工作提供内容和流程上的指引。正如本文开篇言及,相关的规范性文件草拟和征求意见,体现出了人们对于数据出境安全风险本身和管理方法认识的逐步深化。
(一)如何认定申报数据出境安全评估的触发情形?
首先,可以在《办法》解读中得到明确的一点是,并非所有的数据处理者向境外提供数据都需要通过国家网信部门组织的安全评估。这一点在《个人信息保护法》中体现得比较明确,根据《个人信息保护法》第三十八条,“通过国家网信部门组织的安全评估”仅是不涉及《个人信息保护法》第四十条规定的情形时,个人信息处理者因业务需要确需向境外提供个人信息应当具备的三个主要条件之任一。
其次,此前分散规定在《网安法》《数安法》和《个人信息保护法》下必须通过有关主管部门的出境安全评估的情形,在此次《办法》的第四条规定中得到了集中体现。从立法法的角度,《办法》作为上述三部上位法的配套性规范,发挥着对数据处理者可能触发申报数据出境安全评估的情形进行梳理、整合规定的重要作用。
总体而言,触发数据出境安全评估申报的条件,判断的关键因素在于数据处理者是否属于“特定身份”和出境数据是否存在“敏感性和规模”的特定情形,以及是否属于国家网信部门规定的其他情形。绘制表格以更为清晰地示意:
具体而言:
情形1:“关键信息基础设施的运营者收集和产生的个人信息和重要数据”
该触发情形直接来源于《网安法》第三十七条,也即“数据出境安全评估制度”来源的情形。《数安法》第三十一条中再次强调,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《网安法》的规定。但我们同时注意到,相比于《网安法》第三十七条,该款对个人信息和重要数据的描述中省略了“在中华人民共和国境内运营中收集和产生的”这一用作限定范围的定语短句。
对这一变化的理解,至少在文义解释上存在两个维度:其一是,条款在此处仅是作表述省略,并无实质差异。理由是上位法《网安法》和《数安法》,以及《办法》本身在第二条中均明确要求了“在境内运营中收集和产生的”这一限定性条件,《办法》作为配套性规范,如果将这一限定性条件删除,将可能带来解释上的不当扩张;其二是,条款在此处删除“在境内收集和产生的”这一限定性条件,考虑到部分关键信息基础设施的运营者在向境外提供产品和服务过程中同样可能收集到(至少是)个人信息,而《办法》将此部分收集的个人信息再重新向境外提供的过程纳入数据出境安全评估的监管范畴之内。基于谨慎合规的立场,我们建议已经被相关主管部门认定为“关键信息基础设施的运营者”的数据处理者,在向境外提供个人信息和重要数据前,将申报安全评估作为数据出境的前提为宜。
情形2:出境数据中包含重要数据
该情形下的触发条件,主要基于出境数据的敏感程度,即包含重要数据。根据《数安法》,一般从“数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”等角度来对数据进行分类分级。在前述基础上,各地区、各部门将确定本地区、本部门以及相关行业、领域的重要数据具体目录。而对于列入目录的重要数据,依据此次《办法》,应当严格落实数据出行安全评估申报义务。关于重要数据的定义解读以及其出境安全管理的理解,可参见团队此前文章:《新起点、新征程:<数据安全法>时代下的数据安全与发展》。目前较为典型的是在汽车行业内对“汽车重要数据”的官方定义和列举说明,具体分析可参见团队此前文章:《道路千万条,数说十九条:<汽车数据安全管理若干规定(试行)>重点解读》。
此外,值得数据处理者注意的是,虽然此触发情形中仅说明了“重要数据”,但根据《数安法》相关规定,如果在出境数据中包含了关系国家安全、国民经济命脉、重要民生、重大公共利益等的“国家核心数据”,则根据“举轻以明重”的基本法律逻辑,自然更需要申报并通过安全评估,并不可避免地将面临极为严格的审查。而如工信部在不久前发布的《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》中更是明确规定“核心数据不得出境” 。
情形3:处理个人信息达到一百万人的个人信息处理者向境外提供个人信息
情形4:累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息
这两个情形主要规定的是个人信息(包括敏感个人信息)的出境安全评估申报触发条件。根据《个人信息保护法》第四十条,处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
显然,《办法》中规定的个人信息出境安全评估申报规则来源于《个人信息保护法》第四十条。由此,理解这两项触发条件的关键在于如何理解该条中的“处理个人信息达到国家网信部门规定数量”。从《办法》的规定来看,其应该包含两层不同的含义:其一是,在向境外提供个人信息前需申报出境安全评估的个人信息处理者,其本身即掌握、存储、拥有,或者对多达一百万人的个人信息的处理握有事实上的控制权。如前所述,这是基于个人信息处理者身份的特殊性,其从事的个人信息跨境传输活动即意味着事实推定上的高风险;其二是,在个人信息处理者向境外提供的个人信息达到了涉及十万人以上的程度,或者对外提供的敏感个人信息达到了影响一万人以上的规模。相对而言,这是基于个人信息跨境提供活动带来的客观风险而要求的评估情形。顺带而言,理解其中的“以上”一般包含了“十万人”和“一万人”本数,即分别达到了十万人和一万人规模的个人信息和敏感个人信息出境,便意味着需申报安全评估。
理解上述条件中的两层含义其实并不困难,《个人信息保护法》也将个人信息的“存储”和“向境外提供”作为个人信息的处理进行定义,从文义解释而言,情形3和情形4均应作为个人信息、敏感个人信息出境安全评估申报的触发条件。但联系企业的一般实践,我们理解囿于个人信息处理者本身掌握用户基础和跨境传输活动的业务需求,上述触发条件可能会比较常见,因而对于这部分企业而言,意味着进行安全评估申报将属于“规定动作”,而考虑到评估本身的流程性要求,也因此不可避免地将带来更高的合规成本,数据本地化可能将成为长远来看缓解合规压力的替代性方案。
(二)如何理解数据出境安全评估重点评估事项及内容?
《办法》中的相关条款进一步细化说明和补充了进行数据出境安全评估的重点评估事项和审查要点,从而提升了数据出境安全评估制度的落地执行力,加强了相关规范的实践指导意义。
首先,从风险预防的立规思路出发,《办法》第八条表明:“数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险。”并且具体从以下事项展开:
1. 数据出境的目的、范围、方式等的合法性、正当性、必要性;
2. 境外接收方所在国家或者地区的数据安全保护政策法规及网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规规定和强制性国家标准的要求;
3. 出境数据的数量、范围、种类、敏感程度,出境中和出境后泄露、篡改、丢失、破坏、转移或者被非法获取、非法利用等风险;
4. 数据安全和个人信息权益是否能够得到充分有效保障;
5. 数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务;
6. 遵守中国法律、行政法规、部门规章情况;
7. 国家网信部门认为需要评估的其他事项。
不难发现,综合上述事项中,为了达成客观全面的评估结果,需要数据处理者就数据出境的全生命周期流程进行尽可能完整的披露。对于数据出境的合法、正当和必要要求,如评估是否属于法律法规明令禁止的,是否符合我国政府与其他国家、地区签署的关于数据出境条约、协议;基于个人信息主体同意跨境传输时是否已经获得其单独同意,以及还需评估的关键事项,即“是否为从事正常业务活动所必需”(即是否为确需向境外提供数据的情况)。
与此同时,数据出境安全评估不仅需要关注数据传输方的出境动因、传输方式以及数据范围,还需要关注境外的数据接收方所在国家或地区的政治法律环境,以及在境外数据接收方环境中发生数据安全事件、导致数据泄露等不良后果的可能性。此外,一些管理性要求(如数据跨境传输协议)也成为了评估跨境风险的必需事项。
其次,《办法》进一步细化了如何评估上述重点事项中的第五项:“数据处理者与境外接收方订立的合同中是否充分约定了数据安全保护责任义务”。具体而言,应当包括但不限于以下内容:
1. 数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;
2. 数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者合同终止后出境数据的处理措施;
3. 限制境外接收方将出境数据再转移给其他组织、个人的约束条款;
4. 境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区法律环境发生变化导致难以保障数据安全时,应当采取的安全措施;
5. 违反数据安全保护义务的违约责任和具有约束力且可执行的争议解决条款;
6. 发生数据泄露等风险时,妥善开展应急处置,并保障个人维护个人信息权益的通畅渠道。
上述六项应当成为数据跨境传输协议中的必需条款和约定内容。其中,除目前可能已经为数据处理者之间普遍认识并采纳的常规条款之外,需要注意的是,《办法》对限制境外接收方将出境数据进行再次转移提出了特定要求,以及可能需要约定实现前述约束的具体方式。而对于此前常常提及的应当在协议中明确约定双方数据安全保护权利义务关系,也进一步细化于“特殊情况下(接收方变更经营性质或者范围、所在司法辖区发生法律环境变化)采取的数据安全措施”“数据安全违约追责与争端解决条款的可执行性”和“保障个人信息权益响应方式和渠道”以及其他更多方面。
(三)如何认识数据出境安全评估的基本流程和可能结果?
《办法》在相关条款中明确了申报数据出境安全评估的基本流程,同时也在程序性规定的基础上,对于数据处理者申报可能产生的结果(包括程序性结果和实体性结果)做到了可执行落地的细致规定。本文对相关流程性规范和评估可能结果进行绘图示意,以更为清晰地展现。
图:数据安全出境安全评估基本流程与可能结果示意
四、数据出境风险自评估
与在触发特定条件下向有关主管部门申报数据出境安全评估不同,根据《办法》第五条,数据处理者在向境外提供数据前,事先开展数据出境风险自评估成为一项法定义务。
首先,就重要数据出境而言,根据《数安法》第三十一条,数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。由此,作为该条款中“出境安全管理办法”规范的一部分,风险自评估成为网信办规定下来的一项管理性的强制要求。
其次,就个人信息出境而言,根据《个人信息保护法》第五十五条规定,个人信息处理者在向境外提供个人信息时,应当事前进行个人信息保护影响评估。我们理解,此处的个人信息出境前的风险自评估制度,与法律中规定应当事先开展的“个人信息保护影响评估”存在同时触发、交叠执行的现实情况。但与上述同时触发监管部门的安全审查或者评估情况不同,考虑到个人信息出境前的风险自评估和个人信息保护影响评估均为企业“自律”行为,因此,从提升数据合规效率一并节约合规成本的角度考虑,企业在进行专门针对出境业务场景下的个人信息保护影响评估制度设计时,可以将《办法》中规定的个人信息出境前风险自评估视作特殊场景下的个人信息保护影响评估,并考虑将《办法》中着重规定的下述评估要求,与个人信息保护影响评估的要求进行糅合,交由负责个人信息保护合规的部门和同事负责执行。
最后,《办法》明确要求,数据处理者在向境外提供数据前,应事先开展数据出境风险自评估,重点评估以下事项:
1. 数据出境及境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;
2. 出境数据的数量、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;
3. 数据处理者在数据转移环节的管理和技术措施、能力等能否防范数据泄露、毁损等风险;
4. 境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;
5. 数据出境和再转移后泄露、毁损、篡改、滥用等的风险,个人维护个人信息权益的渠道是否通畅等;
6. 与境外接收方订立的数据出境相关合同是否充分约定了数据安全保护责任义务。
与由有关主管部门执行的数据出境安全评估相比,所关注的重点事项和风险基本保持了一致。由此我们认为,数据处理者内部的数据出境风险自评估并没有降低评估的要求、水准,也没有过多地减少必要的评估事项,或是减轻自评估的义务与责任。对于日常业务中涉及数据跨境传输的企业而言,严格遵循相关法律法规要求,建立内部数据出境安全管理制度,成为一个不容忽视的关键合规任务。
五、违反《办法》的相关法律责任
《办法》第十七条以指示性规定条款,强调了数据处理违反数据出境安全评估制度时的法律责任。具体条文为:“违反本办法规定的,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。”
我们理解,《网安法》《数安法》和《个人信息保护法》中关于违反数据出境安全和不履行网络安全、数据安全和个人信息保护义务的相关罚则条款将得到适用。具体梳理如下:
(点击查看大图)
除上述外,不容忽视的是,关于法律责任的条款还不仅局限于上述三部主要法律,在特定的场景下,还可能包含《消费者权益保护法》《治安管理处罚法》乃至《刑法》的适用;此外,由于上述法律责任所指示的范围还包括“法规”,因此这意味着将来随着我国网络安全与数据合规相关法律法规体系的逐步完善,一系列专门规范(如《关键信息基础设施保护条例》)和特定部门、行业的法规要求也将得到更好地适用。
结语
无疑,这是个特殊的节点。自2017年6月1日,《网络安全法》正式施行已逾三年有余;自2021年9月1日,《数据安全法》正式生效并展现出执行力;2021年11月1日,后天,《个人信息保护法》将作为影响力巨大的新法,开始生效实施。我们正在亲历并见证我国网络安全、数据安全与个人信息保护的这座大厦,正在从最初的夯实地基,到如今搭建起房梁支柱,再到如今日之所见与将来之预期,诸如《数据出境安全评估办法》等一系列配套法律法规和规范性文件,将成为一步步落实国家总体安全观下的网络空间治理的智慧。
而就数据出境安全管理的中国模式,我们在此前的文章《“不畏浮云遮望眼,风物长宜放眼量”——全球视域下的中国数据跨境流动规则探析》中进行了一定程度的探寻。结合《办法》相关条款和规定,我们在本文中也写下了相应问题的思考。总体而言,作为数据出境安全管理制度的重要一环,安全评估制度的建立和严格落实,将更好地把控其中的潜在风险,不过,如何更好地设置制度运行的触发机制,以平衡安全和发展的两大主题价值,依然是往后值得社会各方碰撞观点、建言献策的不变话题。
在愈发紧锣密鼓的规范出台之际,数据处理者在积极准备相关合规举措落地,迎接全面的网络数据安全与个人信息保护新时期时,还需要关注数据全生命周期管理中每一个环节、每一处细节的合规风险管控,实时关注着来自技术发展与监管趋势所带来的新矛盾和新要求,在数据驱动的经营理念中树立起合规价值的根本性认知。所谓,我们之所为与所在,即为我们的时代。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
姚敏侣
律师助理
合规业务部
陈虹吕
律师助理
合规业务部
责任编辑:魏雪婷
人工智能:
积跬步,至千里——算法治理之互联网信息服务算法推荐管理 2021-08
算法治理系列之——智能时代的算法治理 2021-06
算无遗策,画无失理?——算法合规在平台经济反垄断中的应用 2020-11
AI与大数据的“理想城”:智慧城市合规的基础要点 2020-02
2020年“AI”应有大爱 2020-01
人工智能系列之人脸识别信息的内涵与合规难题 2019-11
数据合规:
知我者,当谓我心忧:个人信息自动化决策的法律规制与合规要求 2021-09
斯人已逝,生者如斯—浅析死者个人信息权利 2021-09
数中有术、术中有数——数据权益理论与司法实践探析(下篇)2021-08
数中有术、术中有数——数据权益理论与司法实践探析(上篇)2021-07
利刃出鞘:《数据安全法》下中国数据保护路径解读 2021-06
个人信息保护立法效果、理念及价值平衡 ——欧盟GDPR生效实施三周年比较与前瞻 2021-5
数字征信时代的重要信号——征信业务新规草案解读 2021-1
成年人要看的利弊——互联网数据商业化的模式变局 2020-12
Personal Information Protection Law (Draft): A New Data Regime 2020-11
“道阻且长,行则将至” --从《个人信息保护法(草案)》看中国个人信息保护的思路和数字经济发展策略 2020-10
六个月倒计时!《生物安全法》中的数据合规赛道 2020-10
敢为天下先——特区培育数据要素市场的契机与合规要点 2020-10
“以人为本”——聚焦央行消费者金融信息保护新规 2020-09
变化纵横出新意——民法典中个人信息的定位及影响 2020-06
问答精选-解读《个人金融信息技术保护规范》2020-02
解读《信息安全技术 个人信息告知同意指南(征求意见稿)》2020-02
疫情防控 | 数据资源流转与公开 2020-02
疫情防控|同舟共济——不同场景下健康医疗数据流转的合规路径 2020-02
宜未雨而绸缪——企业上市关注的重点数据合规问题 2020-01
“数”年快乐——万字长文说“数据融合” 2020-01
平安夜里说平安——“数据资产”的误区与合规条件 2019-12
按图索骥——图示移动APP个人信息保护的重点 2019-11
大一统而慎始也——新型信用监管机制问答 2019-10
竹杖芒鞋轻胜马:医疗大数据发展和合规管理并重 2019-09
星光奉献给长夜——儿童个人信息保护的亮点和启示 2019-08
投资出行领域,数据是金矿还是烫手山芋?2019-07
Development Of PrcRegulations On Cross Border Data Transfer 2019-06
数据监管新要求,电子商务法时代跨境电商将走向何方? 2018-11
你的“饼干”安全吗?——Cookie 与个人信息保护 2018-08
“明者因时而变,知者随事而制” ——《个人信息安全规范》实务探讨 2018-02
谨于言而慎于行:互联网信息内容服务管理新规出台 2017-08
No “Data”, No “Internet of Vehicles” 2017-07
布局“自动驾驶”:此时不为,更待何时?2017-07
Putting an “Invisibility Cloak” over Personal Information —— A discussion on “invisible waybills” introduced by express industry 2017-07
图解“车联网” 2017-06
无“数据”,怎“车联”?——“车联网”数据类核心业务法律监管刍议 2017-05
为个人信息披上一件“隐形衣”——从快递行业推行“隐形面单”说开去 2017-05
欲善其事,先利其器——解读《互联网信息内容管理行政执法程序规定》 2017-05
你的数据,能不能走出国门? 2017-04
中国推进个人信息保护 2017-04
2017年,大数据合规离我们有多远? 2017-01
隔耳有“墙”——从美国FCC新规则谈个人信息保护新趋势 2016-12
个人信息保护的百万罚单时代来了? 2016-11
网络安全:
新起点、新征程:《数据安全法》时代下的数据安全与发展 2021-09
Innovations & New Developments of Cybersecurity Review Measures 2020-05
“柳暗花明又一村”——金融产业链的困局及破局思路 2020-03
“云深不知处”——企业远程办公的网络安全常见问题及建议 2020-02
“管中窥豹”——《生物安全法》前瞻及现行生物安全相关监管体系回顾 2020-02
博观而约取,厚积而薄发:《密码法》要点评析及企业合规路径 2019-11
亡羊补牢未为迟:如何应对网络安全勒索事件 2019-06
“欲穷千里目,更上一层楼”——国际新形势下的等保2.0 2019-05
叶上初生并蒂莲——最新出台的《电子商务法》与《网络安全法》之比较 2018-09
《网安法》生效后不得不知的N件大事 2017-08
“新”电信业务办法:更简、更活、更规范 2017-07
必将婴城固守,皆为金城汤池——看《关键信息基础设施安全保护条例(征求意见稿)》 2017-07
Petya来袭,网络安全事件应急预案正当其时 2017-07
图解安全评估流程——互联网业务安全不可因“新”而废“管” 2017-06
《网络安全法》及其部分配套规定今起实施 2017-06
“一带一路”背景下中国企业境外并购的网络安全和数据合规问题 2017-06
十三五“新常态”下企业营商的合规挑战 2017-05
开启互联网新闻监管新时代——《互联网新闻信息服务管理规定》述评 2017-05
画龙画虎先画骨 ——解读《网络产品和服务安全审查办法(试行)》 2017-05
热点解读:网信办连续颁布三项重磅新规 2017-05
我知道你 在看 哦