新書推薦:
《
万千心理·成人情绪障碍跨诊断治疗的统一方案:应用实例
》
售價:HK$
132.2
《
让孩子更有力量:赋权型家庭教育指南
》
售價:HK$
67.0
《
白夜追凶(上下)
》
售價:HK$
109.8
《
财富、战争与智慧——二战股市风云录
》
售價:HK$
132.2
《
纳特·特纳的自白
》
售價:HK$
84.0
《
低空经济:中国经济发展新引擎
》
售價:HK$
88.5
《
汉字学理与小学汉字教学
》
售價:HK$
89.6
《
即将到来的能源战争
》
售價:HK$
89.4
|
內容簡介: |
本书分为两个部分:
部分:拟IPO企业数据合规50问。
无论企业处于哪个发展阶段,这50问都非常贴合企业的需要。50问就像是体检表的各项内容,无论你是处于青中年还是老年,体检表都适用。不同的是,体检结果的差异对于体检者的紧迫性完全不同,这也取决于CEO临门一脚的目标。
把上市审核机构对拟上市企业的“灵魂拷问”,拆解到企业数据处理生命周期的各个阶段,形成数据合规50问。CEO可以清晰地看到,数据合规在上市视角下的基本要求和应有的标准动作。
特别提示:由于数据合规50问涉及数据处理全生命周期,并对数据合规问题提出有针对性的合规解决方案,因此,本书部分内容是对后续内容提纲挈领的总览,其中提及的数据合规解决方案的部分内容将在本书第二部分展开论述。
第二部分:数据合规管理实操指引
CEO关心的80%的数据合规管理,可以在这里找到答案。第二部分由八章构成,前六章,“5W H”,解决数据合规“引爆点”,第七章以案例应用的形态,帮助CEO理解数据合规管理如何在行业中应用,第八章围绕数据合规的“热点”专题展开讨论。
|
關於作者: |
高亚平,德恒上海律师事务所合伙人、数据与合规业务部负责人,深耕新经济、大数据与互联网行业法律服务,擅长创新业务领域的合规体系模型构建、互联网与数据业务合规、新经济平台业务合规、算法合规、数据出境等细分领域,担任多家头部新经济平台与大数据公司合规法律顾问。
周梦,德恒上海律师事务所高级律师,聚焦投融资与上市审核视角下数据与个人信息合规管理体系建设,擅长IPO数据合规、互联网与数据业务合规、数据出境合规、个人信息保护等领域。
纪倩,德恒上海律师事务所律师,聚焦数据爬取合规、数据出境合规、个人信息保护、互联网平台合规体系构建、境内外上市业务合规等领域。
徐晶,德恒上海律师事务所律师,聚焦新经济平台数据合规治理及个人信息保护、网络安全、算法/个性化推荐合规等领域。
|
目錄:
|
开 篇 一轴全息:数据合规立法
CEO TIPS 010
部分 拟IPO企事业数据合规50问
章 013
数据合规基础10问CEO TIPS 035
第二章 036
IPO数据合规核心40问
节 数据收集合规6问 037
第二节 数据使用合规12问 048
第三节 数据共享合规5问 063
第四节 数据存储合规3问 070
第五节 境外上市/数据出境合规7问 074
第六节 数据安全保障合规7问 082
CEO TIPS 096
第二部分 数据合规管理实操指引
章 099
CEO必知:为什么必须马上行动(Why)
节 全球2022年数据合规处罚案例可视化分析 099
引言 099
一、 全球数据合规处罚典型案例可视化分析 099
二、2022年全球数据合规十大处罚典型案例 101
三、结语 104
第二节 滴滴数据合规“八宗罪”的全案分析 105
一、“八宗罪”:滴滴公司数据违法行为有哪些 105
二、“沼泽地”:互联网平台常见的数据违规行为 106
三、“合规路”:互联网平台如何打造数据安全体系 108
CEO TIPS 110
第二章 111
CEO必知:个人信息的边界是什么(What)
一、个人信息判定难:以IP属地为例 111
二、IP属地是否属于个人信息? 112
三、隐私保护与数据效用的平衡木——个人信息保护影响评估 114
四、结语 115
CEO TIPS 116
第三章 117
CEO必知:谁——数据谁处理、谁保障、谁监管(Who)
节 谁在背后收集个人信息? 117
引言 117
一、各大平台《隐私政策》中关于“我们”的表述 118
二、“我们”不明的合规风险 122
三、结论:《隐私政策》中的“我们”应该是谁? 124
第二节 谁是个人信息保护负责人? 125
一、重赏之下,必有勇夫? 125
二、GDPR“DPO免责”PK《个人信息保护法》“双罚制” 126
三、安全1号位,权责剖析 127
四、结语 129
第三节 谁是个人信息保护的监管人? 130
一、App侵犯个人信息权益后,谁来管?如何管?怎么罚? 131
二、监管趋严,App运营者应如何应对? 137
三、结语 138
CEO TIPS 139
第四章 140
CEO必知:合规死穴(Where)
节 个人信息收集使用主要侵权点的识别 140
一、App收集使用个人信息合规要点梳理 141
二、App个人信息采集侵权风险要点识别 144
三、结语 153
第二节 个人信息权益保护的特别机制:单独同意 153
一、什么是单独同意? 154
二、哪些情形应单独同意? 155
三、单独同意的例外情形 156
四、与个人同意有关的其他情形(默认同意及拒绝权) 156
五、个人信息迁移的优化路径 157
CEO TIPS 159
第五章 160
CEO必知:合规起点是何时(When)
节 保护的起点:个人信息保护影响评估 160
一、定义:什么是个人信息保护影响评估? 161
二、必要性:为什么要做个人信息保护影响评估? 161
三、个人信息保护影响评估的触发条件和责任主体 164
四、结语 168
第二节 个人信息保护影响评估“十情景”“五豁免” 168
一、强制评估“十情景” 169
二、豁免评估“五条件” 171
三、谁来做个人信息保护影响评估? 172
CEO TIPS 173
第六章 174
CEO必知:数据合规管理资源如何配置(How)
节 《个人信息保护法》应对七步攻略 174
一、真的受《个人信息保护法》规制吗?——《个人信息保护法》的法律适用 176
二、真的知晓违规处理个人信息的罚则吗?——5000万元或5%罚则 177
三、真的享有处理个人信息的合法性基础吗?——处理个人信息的依据 177
四、真的知晓怎么合规处理个人信息吗?——处理个人信息的一般原则 178
五、真的依法保障了个人的法定权益吗?——个人信息主体的权利 179
六、跨境提供了个人信息吗?——跨境传输的合规要点 179
七、真的准备好“自证清白”了吗?——举证责任倒置的应对 180
八、结语 181
第二节 个人信息边界判定的合规路径设计 181
一、IP属地 ≠ IP地址 183
二、合法性基础分析 185
三、完善合规之法 186
第三节 实名认证与小必要原则的冲突与融合 187
一、实名认证原则的前世今生 188
二、小必要原则的细化解读 189
三、“拦”在实名认证前的小必要原则 190
四、让“拦路虎”变成“顺风车” 191
五、结语 192
第四节 数据融合场景下的合规路径设计 193
一、集团内部数据融合场景下,各方的角色定位与责任厘清 195
二、《个人信息保护法》5%的顶格罚,落在谁头上? 196
三、结语 197
第五节 “自证清白”的合规体系构建 198
一、《个人信息保护法》明确:个人信息权益受损,适用过错推定 举证责任倒置 199
二、从两起东航个人信息纠纷案例看平台与个人的举证责任分担 200
三、发生个人信息权益受损事件时,平台如何“自证清白”? 202
四、结语 205
第六节 数据报送义务与责任边界 205
一、平台经营者数据及信息报送义务要点梳理 206
二、评述 209
第七节 行政执法部门数据处理的小必要原则 211
一、关于信息种类和范围问题 212
二、关于信息收集的数量、频度问题 212
三、对于储存信息及其期限的必要性而言 213
四、结语 214
CEO TIPS 217
第七章 218
行业/领域的应用:灵活用工平台
节 灵活用工领域面临的主要数据合规问题 218
一、灵活用工平台的数据全生命周期解析 219
二、灵活用工平台主要面临的数据安全及合规问题 221
三、结语 223
第二节 灵活用工平台的数据合规解决方案 223
一、灵活用工平台数据合规路径与解法一——关键环节:开展个人信息保护影响评估 224
二、灵活用工平台数据合规路径与解法二——重要抓手:写好、用好《隐私政策》 225
三、结语 226
第三节 灵活用工平台数据合规与运营模式的冲突 226
一、违法处理个人信息,可罚5000万元或上一年度营业额的5% 227
二、进退两难:灵活用工平台“流水”=营业额? 229
第四节 灵活用工平台如何打造数据合规体系——责任定位 232
一、自查评估:灵活用工平台如何收集处理数据? 232
二、责任厘清:违背数据安全管理义务的法律责任有哪些? 233
三、小结 235
第五节 灵活用工平台如何打造数据合规体系——风险评估与数据制度 236
一、分析风险:个人信息保护影响评估 236
二、制度体系:建立全流程的数据安全管理制度 238
三、小结 243
第六节 灵活用工平台如何打造数据合规体系——责任人 244
一、法定要求:专人落实数据信息的管理保护义务 244
二、稳步升级:灵活用工平台如何设置责任人? 248
三、具体职责:责任人的具体职责范围 250
四、结语 251
CEO TIPS 252
第八章 253
专题:数据合规商业热点
节 算法之治的启程——算法备案 253
一、域外算法备案发展现状 254
二、我国算法备案现状、问题及建议 256
三、结语:积极探索算法治理路径 258
第二节 个性化推荐实践与监管的冲突 259
一、个性化推荐,缘何成为“唐僧肉”? 259
二、“由奢入俭难”,各大平台的割舍现状 260
三、各大平台“忍痛割爱”的法律动因 262
四、各大平台个性化推荐的法律评价 263
五、结语:“用之有度” 265
第三节 爬虫技术的合规风险分析 266
一、爬虫的定义 266
二、爬取个人信息常见侵权行为及法律风险梳理 267
三、爬取个人信息典型案例梳理 269
四、爬取个人信息技术合规法律建议 276
五、小结 277
第四节 爬虫在不正当竞争领域的显著风险 277
一、爬虫行为的反不正当竞争法规制 278
二、爬虫行为构成不正当竞争的判定维度 279
三、应用爬虫行为的风险提示及建议 283
第五节 爬虫在不正当竞争领域的微弱机会 284
一、不正当竞争下,被爬取方与爬取方的证明要点分析 285
二、爬虫双方各自的证明要点 289
三、被认定为不正当竞争的,赔偿额如何主张及认定? 290
四、小结 291
第六节 爬虫责任与ISO37301 293
一、“风险指南”——爬虫技术刑事责任风险 294
二、“脱罪利器”——ISO37301认证工具 297
三、小结 304
第七节 “黑模式”究竟是什么? 304
一、什么是“黑模式”? 305
二、哪些属于“黑模式”? 307
三、“黑模式”的危害 312
四、“黑模式”在域外是否受到监管? 313
五、小结 318
第八节 “黑模式”进行时:平台的下一个数据合规风口 319
一、无处不在的“黑模式”?国内平台“黑模式”现状 319
二、“黑模式”监管进行时:国内立法及执法实践 324
三、“黑模式”未来已至:平台的下一个合规风口 327
四、结语 329
CEO TIPS 330
附录:本书相关法律法规 332
|
內容試閱:
|
序 言
诺贝尔经济学奖得主哈佛大学的罗伯特·默顿认为“数字化时代,信任是一切发展的基础”,我们认为“数据合规是信任构建的基础”。
信任,不能崩塌。
几乎每个CEO都会经历无数次的推销电话,我们的个人信息每天都在被“消费”,由此形成了巨大黑产,据公安部2022年统计,侵犯个人信息刑事案件达1.6万余起。我们认为这个数据也只是冰山一角。
1.有没有想过,你自己公司可能就深陷在这个产业链中,而你根本无从探查,你引以为傲的产品,竟然是开在非法数据来源上的恶树之花。
2.有没有想过,突然有一天,你发现公司的数据被公然卖到了网上,“净网一拉”,天价罚单从天而降,自身安全岌岌可危。
3.有没有想过,公司好不容易挣扎到投资人来,尽调之后,却认为数据非你所有,转身去投奔竞争对手。
4.有没有想过,公司艰难熬到上市边缘,核查小组一就位,数据问题原形毕露,搅黄了后的希望。
我们是谁?
我们在数据合规领域,有四个标签:
1.有数据合规互联网创业经历;
2.互联网企业数据合规管理经验;
3. IPO企业数据合规专项经验;
4. EXIN认证数据保护官及授权讲师。
我们是国内早的互联网法律服务的创业者,2013年创立的lawbingo(law bingo,迄今满意的取名)对标美国上市企业legalzoom——的在线法律服务提供者。
作为德恒上海律师事务所数据与合规业务部的负责人,我有幸成为EXIN(国际信息科学考试学会)在国内个持牌律师的数据保护官(DPO)授权讲师,并推动德恒上海成为EXIN数据保护官的国内律所联合授权认证点。教学相长,CEO学员们的视角启发我去聚焦他们的关注点,思考如何将数据合规管理真正融入企业产品中,让产品更加“性感”。
随着为一线互联网平台提供数据合规服务的经验越发丰富,三个递进层次的体会愈加强烈。层:我称其为对流层,坚守数据合规底线与企业业务发展之间的冲突,就像对流层强烈的上下对流交互运动;第二层:平流层,在这个层面,数据合规管理可以更好地融合其他管理体系,更好地与产品协同,“嵌入式”地进行合规管理;第三层:热层,抵达这个层次,数据合规管理进入良性循环,构建起信任体系,持续创造价值。而目前我们大部分的项目处在层和第二层。
即便是在经办一些独特的IPO数据合规专项,比如数据体量以其产品丰富到几乎每月上新,我们仍面临数据合规管理作为支撑底座时,与业务之间的冲突与拉扯。充分体会到,数据合规管理本身也在平衡中寻找韧性,并努力从、二层向第三层热层跨越。
一、书,向CEO传递什么
1.迫切:不断上演的生死存亡的案例,证实数据合规的重要和迫切。
2.必修:数据合规已然是企业经营的必修课,是一家企业从成功走向成就的“定海神针”。
3.参与:你必须正视并亲自参与,不能全部寄托于你的法务、你的律师和你的产品能解决。
4.指引:数据合规本身并不难,难的是你不知道该怎么做,本书就是你的指引。
二、数据合规管理,目标是什么
我把数据合规管理的工作目标,归结为三个:
目标一:数据不侵权。避免对别人构成侵权——减少资产损失。
目标二:数据安全。避免自身被侵权——减少资产损失。
目标三:数据确权。融入企业产品的资产化过程——增加资产价值。
三、藏在数据合规管理背后的真实意图:让资产增值
数据合规管理能否顺利实现第三个目标,让数据真正转化为资产?作为律师,我们通常过于强调数据的“确权”,但确权仅是工作起点。我们真正的目标应该是,与财务会计准则相适配,设计和构建一整套体系化的数据合规确权和转化为无形资产的流程制度,将尽可能多的数据以无形资产的形态装进资产负债表的资产端。
四、数据合规怎么做,才能助力资本市场
数据合规管理体系已经给出了实践,以ISO 27001信息安全管理体系认证为代表。如果这类认证体系能够在企业中真正被贯彻(请注意,我强调真正被贯彻,实际上我们看到太多的认证停留于表面文档),就能顺利实现CEO关注的上述目标一和目标二,即减少资产损失。
因此CEO面对数据合规管理,只要做好三步:
1.选对路:选取对路的数据合规管理认证体系。
2.捅到底:将认证过程与业务有效结合,且在组织中贯彻得“服服帖帖”。
3.重融合:融合企业中并行的各种认证体系,并发挥协同效应。
当然上述“三步上篮”过程,并不能保证投篮的命中,这只是标准动作的拆解,投篮的命中还需要我们与CEO联手作战,结合本书诸多细节的实践指引,在制度建设、流程设计、岗位配置、权责明确等方面共同努力。
五、数据合规管理80%的工作
经历巨量数据企业的IPO数据合规管理工作之后,我的感触是,当CEO参与度比较低时,将导致数据合规管理工作的推动力不足,并会让管理层对律师形成过度依赖,无法让数据合规管理真正融入企业。
实际上,CEO一旦理解数据合规管理究竟带来什么价值,并且掌握合规管理重点方向,在此基础上结合企业自身产品的特点,将数据合规管理和产品呈现有机结合起来,那么,80%的数据合规工作企业可以自行完成。
六、本书很有特点
1.表达上的特点:有图有真相
我们历来的观点就是,能用表和图说清楚的问题,尽量避免用文字。所以本书会有大量的思维导图、表格以及图片,尽量逻辑清晰地向读者展示要点,甚至可以作为查阅和指引的手册。
2.结构上的特点:总目标 分解动作
我们用IPO数据合规50问串起企业数据合规的主要目标,并在后续章节拆解每一个重要问题。我们以点带面解决问题,在合规与产品的商业诉求之间寻求平衡。
3.内容上的特点:监管视角,抓主要矛盾,定位引爆点
内容上我们不追求大而全,贯彻“二八理论”,解决重点问题。
(1)监管视角,题库思维
上市审核视角让数据合规管理的目标十分清晰具体,这就便于我们找到合规边界,将企业被问询的问题进行加工分析,构建出一套标准“题库”,帮助CEO顺利闯关。
(2)抓主要矛盾
数据合规的主要矛盾是什么?如何构成?本书抓住主要矛盾,比如CEO应该找具备什么样能力的人来负责数据合规管理?找对人,问题将迎刃而解。
(3)定位引爆点
爆破前需要“埋点”,通过引爆埋点,让数据合规管理从难变易,让CEO觉得可以轻松驾驭。
七、书的脉络
本书分为两个部分:
部分:拟IPO企业数据合规50问。
无论企业处于哪个发展阶段,这50问都非常贴合企业的需要。50问就像是体检表的各项内容,无论你是处于青中年还是老年,体检表都适用。不同的是,体检结果的差异对于体检者的紧迫性完全不同,这也取决于CEO临门一脚的目标。
把上市审核机构对拟上市企业的“灵魂拷问”,拆解到企业数据处理生命周期的各个阶段,形成数据合规50问。CEO可以清晰地看到,数据合规在上市视角下的基本要求和应有的标准动作。
特别提示:由于数据合规50问涉及数据处理全生命周期,并对数据合规问题提出有针对性的合规解决方案,因此,本书部分内容是对后续内容提纲挈领的总览,其中提及的数据合规解决方案的部分内容将在本书第二部分展开论述。
第二部分:数据合规管理实操指引
CEO关心的80%的数据合规管理,可以在这里找到答案。第二部分由八章构成,前六章,“5W H”,解决数据合规“引爆点”,第七章以案例应用的形态,帮助CEO理解数据合规管理如何在行业中应用,第八章围绕数据合规的“热点”专题展开讨论。
1. Why:CEO必知“为什么必须马上行动”
通过滴滴案的前车之鉴,识别必知的数据合规风险点。
2. What:CEO必知“个人信息的边界是什么”
识别个人信息边界,影响着企业产品和服务的长相,以及可能触碰哪些底线,方便CEO取舍。
3. Who:CEO必知“谁——数据谁处理、谁保障、谁监管”
集团内业务板块丰富,数据面临融合共享,“谁”是数据的入口,组织内谁来保护这些数据?谁来负责处理这些数据?谁又是外部监管者?外部监管者各自监管什么? 本章一一解答。
4. Where:CEO必知“合规死穴”
数据合规有很多“穴位”,由于企业产品由诸多个人信息的处理环节组成,终的呈现形态丰富多样,但究竟哪些是“死穴”,能否绕道而行,直接影响产品的“卖相”,因此,数据合规风险点识别就是产品呈现的必经之路。
5. When:CEO必知“合规起点是何时”
数据合规管理的起点是评估,评估甚至可以被定义为数据合规管理中重要环节。数据合规管理能走多远、能发挥多少的价值,取决于数据合规的评估工作是否到位。
6. How:CEO必知“数据合规管理资源如何配置”
管理资源配置的核心内容:从被动到主动,让产品“默认式”“嵌入式”地呈现数据合规,这需要CEO选对人、设对岗、建好制、搭好台,终构建数据合规管理体系。
7. 行业/领域的应用:灵活用工平台
选取数据合规利益相关者众多的行业/领域进行分析,通过灵活用工平台案例来剖析数据合规面临的主要问题、解决方案以及合规体系。让CEO清晰看到平台企业如何在人、岗、制度等全流程维度实践数据合规战略。
8. 专题:数据合规商业热点
有算法、个性化推荐、有爬虫、有“黑模式”,如何用数据伦理去做商业上的取舍,如何在处理数据合规和商业利益问题上寻找到平衡。
八、感谢
首先我们需要互相感谢,感谢参与写作的周梦律师、纪倩律师和徐晶律师的辛苦付出,工作之余的写作让你们变得更加强大,梳理、总结、落笔的过程就是逐渐自我发现潜能的过程。
我们更需要感谢团队的李燊律师,其实数据合规管理领域,正是受益于李律师的牵线和执着,才有了EXIN对我们德恒上海DPO授权认证点的合作,并奠定了我们团队在数据合规领域的“国际化”基调。我们同时感谢闫铁钊律师,作为商事诉讼律师的合伙人,对书中不少观点的诉讼视角的讨论,让我们这些非诉律师跨越了盲区。
我们同时感谢完成出色检索工作的优秀实习生们:姚宇鸥、顾鼎年、李逸凡、张燕、陈妤、方令权、姚懿珊、姚闽琴子、王心悦、施怡洁、许佳玮、杨思雪和郝思懿。希望你们的实习经历,能终身受益,让“有图有真相”和“一表解千愁”的画面感呈现方式发扬光大。“千里马常有,而伯乐不常在。”珍惜一些人生中特别“不适”的经历——我们团队以高压著称,在中西合璧的视角下,不断探寻新问题的解决路径。
后感谢家人,感谢先生的支持和鼓励,回想2021年出版本书时我就提及,写作的原动力是先生赋予的,也许是王老师发现,我不仅善于口头表达,更善于通过创新、布局用文字的框架去呈现观点,而且视角和观点往往很独特有趣。
尤其感谢我们家闺女带给我的“喜感”,让我觉得人生丰富多彩,快乐无处不在,哪怕写作和隔离期间,都充满了力量和乐趣。这本书的出版应该可以再次听到小姐姐说:“哇,妈妈你好厉害,你这本书跟书店里卖的书一样!”
由衷地感谢德恒上海沈宏山主任的信任与支持,在沈律师的高度重视之下,才有了德恒数据与合规业务部的设立。深感任重而道远。
感谢身边给予支持的诸多高段位好朋友,反复提醒我,“记住,你是卖书”,必须明确书让谁读,带给读者什么价值。这一层思考,一度让我陷入两难,我到底是要把书变成一种相对通俗的读物,还是应该让自己呈现十足的“专业感”,并终沦落为只有法律专业的同仁才能读懂。
回归初心,书终的目标是希望企业能用得上、能用得好,尤其是实战类的书籍,都是众多项目经验和心血的凝练,充满了我们的坚持和热爱,渗透着我们的价值观、思考方式、工作机制。我们乐于看到企业跟着书中的指引真正实践起来,希望看到书中的精要被组织充分吸收,将实践灵活应用。从这个视角换位来看写作方式,就发现两难其实不存在。如果是希望“隔山打牛”,那就让专业人士去读,然后指导企业去找到解决方案;如果是希望企业“金刚破若”,直接迅速见效,那就让CEO来读,然后统筹规划,自上而下推动。当然,这个自上而下的过程需要有很多细节去支撑,因此我们写作时试图协调“自上而下和自下而上”,当然终呈现给读者的还存在诸多不完美,但已经是我们的“第三张小板凳”,敬请各位同仁批评指正。
|
|