數據合規實務指引

該書具有以下鮮明特色：

一是聚焦數據合規。在數字經濟中，通常認為數據監管是相關部門合規監管的抓手，數字經濟監管體系是以數據為基礎的監管體系。可以說，數據合規是企業合規的大廈之基。基於此，該書聚焦數據合規的體系搭建與套用指引，以數據合規體系的科學運行支撐企業合規。

二是內容豐富、體系完整。該書對既有數據合規立法與實踐的整合梳理，有助於讀者了解我國內地及港澳特區以及其他國家與地區數據合規的立法與實踐情況；對數據合規基礎制度的體系化設計，有助於為企業數據合規建設提供程式與實體的框架式指引；以各領域和新業態相結合的二維視野為數據合規提供了翔實的可操作性指導。

三是緊跟規則步伐。在編寫過程中，大量數據合規政策相繼出台，相關部門規章、行業指引等規範陸續發布，該書緊跟規則變化，第一時間進行吸收與解讀，並及時回應商業實踐的突破與創新，大大提高了該書的實務參考價值。

四是堅持問題導向。針對企業數據合規中的痛點、難點，以問題為導向而非規則呈現的邏輯展開全書的寫作，尤其是在數據合規基本原理的解讀部分，重點針對企業數據合規中的核心問題展開分析，特別進行了數據全生命周期保護的全面解讀，讓有數據合規需求的企業“拿來即用”。

第一編　數據合規立法與實踐概覽

第一章　數據合規的意義

　第一節　數據合規對國家的意義

一、推進國家治理體系和治理能力現代化

二、維護國家安全

　第二節　數據合規對社會的意義

一、維護社會的和諧穩定

二、促進數字經濟繁榮發展

　第三節　數據合規對企業的意義

一、降低企業運營風險

二、增強企業競爭力

　第四節　數據合規對個人的意義

一、維護人格尊嚴

二、保護個人安全

三、便利個人生活

　本章小結

第二章　我國數據合規的現狀及問題

　第一節　我國數據合規立法及規範現狀

一、四部“主導”法律

二、其他法律、法規、規章

三、國家標準

　第二節　數據合規監管現狀

一、行政監管主體

二、行政執法行為及特點

三、主要行政部門執法概況

　第三節　企業數據實踐合規現狀

一、企業數據合規意識不強

二、內部：企業仍需構建完善的合規體系

三、外部：外部監督機製作用有待加強

　本章小結

第三章　我國港澳地區數據合規和立法實踐

　第一節　我國香港特別行政區

一、基本立法

二、境內企業赴我國香港特別行政區上市數據合規要求

　第二節　我國澳門特別行政區

一、基本立法

二、主要機構

　本章小結

第四章　國外數據立法與合規實踐

　第一節　歐洲數據立法與合規實踐

一、歐盟

二、英國

　第二節　亞太地區國家數據立法與合規實踐

一、美國

二、日本

三、韓國

四、新加坡

　第三節　“一帶一路”沿線國家立法與合規實踐

一、馬來西亞

二、泰國

三、印度

　第四節　其他國家數據立法與合規實踐

一、加拿大

二、澳大利亞

三、紐西蘭

　本章小結

第二編　數據合規基礎制度

第五章　組織架構搭建

　第一節　建立數據合規部門和確立負責人的必要性

一、法律規定部分企業應建立數據合規部門並確立負責人

二、企業應自主建立數據合規部門並確立負責人

　第二節　數據合規部門的職能機構

一、運營維穩機構

二、風險控制機構

三、檢查監督機構

　第三節　配套管理制度

一、員工培訓

二、保密協定

　本章小結

第六章　數據全生命周期保護

　第一節　前提：網路安全

一、遵循網路安全等級保護要求

二、進行數據安全檢測評估與認證

三、建立數據安全應急處置制度

　第二節　數據收集合規

一、應遵循“知情同意”原則

二、應遵循必要性原則

三、應遵循分類分級保護原則

四、應建立雙清單制度

　第三節　數據存儲合規

一、數據存儲制度

二、數據刪除制度

　第四節　數據使用與加工

一、目的與範圍限制

二、訪問控制

　第五節　數據交易制度

一、交易流程

二、交易場所

三、交易價格

四、禁止交易的情形

　第六節　數據的公開制度

一、個人信息公開

二、政務數據公開

　第七節　數據的跨境傳輸

一、概念界定

二、我國數據跨境傳輸制度的演進

三、企業在數據跨境傳輸中的合規要點

　本章小結

第三編　各領域數據合規

第七章　國企、央企數據合規

　第一節　國企、央企數據合規管理的基本遵循

一、堅持黨管數據

二、遵循專門規範

三、承擔社會責任

四、強調保密工作

　第二節　國企、央企數據合規管理措施

一、合規欲啟，體系先行

二、三道防線，職責明晰

三、合規要求，嵌入業務

　第三節　政府與企業的數據合作模式

一、公共屬性數據的識別

二、公共屬性數據開放的合規建議

　本章小結

第八章　網際網路服務平台企業數據合規

　第一節　隱私政策與用戶協定

　第二節　Cookie使用機制

一、Cookie概述

二、Cookie同意規則

三、網際網路服務平台企業Cookie使用的合規要求

　第三節　平台數據內容審查

一、平台數據內容審查的規範基礎

二、平台數據內容審查的合規要求

　第四節　平台投訴舉報機制

一、平台投訴舉報機制的規範基礎

二、平台投訴舉報機制合規建議

　本章小結

第九章　電子商務企業數據合規

　第一節　電商數據收集、處理規則

一、電商數據的收集規則

二、電商數據的處理規則

　第二節　隱私政策與用戶協定

一、隱私政策的內涵、性質及合規要求

二、用戶協定的內涵、性質及合規要求

　第三節　平台對第三方供應商審查

一、平台對業務合作方數據提供的合規審查

二、電商平台對第三方SDK提供者的合規審查

　第四節　電子商務中的消費者信息保護

一、《消費者權益保護法》中的消費者信息保護

二、《電子商務法》中的消費者信息保護

三、電商企業對消費者信息保護的其他合規審查

　本章小結

第十章　金融企業數據合規

　第一節　金融企業數據合規的必要性

　第二節　金融企業數據合規的基礎性要求

一、保密要求

二、資質要求

　第三節　金融企業全流程的數據合規建議

一、數據收集

二、數據傳輸

三、數據存儲

四、數據使用

五、數據刪除

六、數據銷毀

　第四節　金融企業數據合規的重點

一、個人金融信息保護

二、數據分類分級管理

三、電子銀行業務數據安全

　本章小結

第十一章　車聯網交通企業數據合規

　第一節　智慧型網聯背景中的汽車數據合規

一、車聯網數據分類分級

二、車聯網數據全周期合規建議

　第二節　汽車數據中的個人信息保護

一、車聯網用戶個人信息分類分級

二、車聯網個人信息合規建議

　第三節　交通類App數據合規

一、交通類App個人信息保護

二、交通類App中的國家安全審查

　第四節　汽車數據出境合規

一、汽車數據出境類型梳理

二、汽車數據出境合規建議

　本章小結

第十二章　網路遊戲企業數據合規

　第一節　網路遊戲數據處理

一、網路遊戲行業數據保護特點

二、網路遊戲違規處理數據的情形及處罰

三、現行數據處理規定對網路遊戲企業的影響

四、網路遊戲數據收集範圍合規建議

　第二節　未成年人遊戲流程合規

一、未成年人數據處理合規

二、未成年人遊戲設定合規

三、遊戲內容合規及網路欺凌治理合規

　第三節　遊戲數據出境合規

一、個人信息保護要求

二、當地（境外）合規要求

　本章小結

第十三章　醫療健康企業數據合規

　第一節　健康醫療數據的分類分級

一、健康醫療數據分類要點

二、健康醫療數據分級要點

　第二節　健康醫療數據處理合規

一、健康醫療數據處理合規原則

二、健康醫療數據處理合規建議

　第三節　健康醫療數據出境合規要求

一、個人敏感數據出境合規

二、健康醫療數據分類分級出境合規

三、健康醫療數據出境合規具體要求

　本章小結

第十四章　教育培訓企業數據合規

　第一節　教育培訓領域個人信息保護

一、信息收集

二、信息使用

三、信息共享

　第二節　教育培訓企業數據安全保障

一、制定落實信息安全等級保護制度

二、落實網路安全預警通報制度

　第三節　未成年人個人信息保護

一、未成年人的識別及合規要點

二、兒童信息保護

　本章小結

第十五章　工業企業數據合規

　第一節　工業數據的分類分級

一、數據分類

二、數據分級

　第二節　工業企業數據合規要點

一、數據分類分級的備案與管理

二、網路安全分類分級與管理

三、數據全生命周期安全管理

　第三節　數據安全監測預警、應急管理與安全評估

一、開展數據安全風險監測

二、數據安全風險信息上報與共享

三、回響數據安全事件應急預案

四、開展數據安全評估管理

　本章小結

第十六章　政府政務數據合規

　第一節　政務數據處理及套用的特殊性

一、政務數據處理及套用流程概述

二、政務數據處理及套用的原則遵循

　第二節　政務數據合規風險分析

一、政務數據的採集階段

二、政務數據存儲階段

三、政務數據共享開放階段

　第三節　政務數據合規建議

一、組織機構架設

二、合規制度建設

三、處理流程規範

　本章小結

第四編　新業態數據合規

第十七章　App數據保護

　第一節　App數據合規主要問題和立法、監管現狀

一、主要問題

二、App數據合規立法動態

三、App數據監管動態

　第二節　SDK的使用與數據合規風險

一、SDK概述

二、SDK數據安全技術標準

三、SDK存在的數據合規風險

四、合規要求和合規建議

　第三節　未成年人保護

一、App未成年人個人信息保護立法

二、App開發者和運營者未成年人數據保護合規要點

　本章小結

第十八章　直播和短視頻行業相關數據保護

　第一節　直播和短視頻行業數據合規概述

一、網路直播和短視頻行業概述

二、網路直播平台和短視頻App所收集信息的類型

　第二節　直播和短視頻行業App數據合規風險

一、違規收集面部特徵信息

二、就特色功能收集信息缺乏明確性和必要性

三、因用戶未提供某類信息而拒絕提供特定業務功能服務

　第三節　直播和短視頻行業App數據合規要點

一、面部信息識別

二、明示須就特色功能收集必要信息

三、拒絕提供某種服務的正當性

　本章小結

第十九章　NFT平台與數字藏品數據保護

　第一節　NFT與數字藏品定義

　第二節　用戶信息保護

一、保證用戶的知情權

二、保證用戶的同意權

三、依法合規使用、儲存、刪除用戶信息

　第三節　平台數據保護措施

一、建立並完善數據安全管理制度

二、依法依規處理NFT數據

　第四節　數據安全保障要求

一、建立健全平台數據安全保障系統

二、做好數字藏品運營中的風險預防

　本章小結

第二十章　社交和社區平台數據保護

　第一節　社交和社區平台隱私政策存在的問題和風險

一、個人信息存儲情況說明不完善

二、未明示向個人信息收集使用以及向第三方提供的規則

三、個人信息的刪除

　第二節　社交和社區平台數據合規建議

一、完善內部數據存儲和訪問制度

二、提高隱私政策可獲取性和可讀性

三、用戶被遺忘權保護

　本章小結

第二十一章　自動化決策與算法合規

　第一節　自動化決策的規範要求與合規建議

一、自動化決策的規範要求

二、自動化決策的合規建議

　第二節　算法推薦服務的合規建議

一、算法推薦服務的定義

二、算法推薦服務的合規建議

　本章小結

目　錄

第一編　數據合規立法與實踐概覽

第一章　數據合規的意義

　第一節　數據合規對國家的意義

一、推進國家治理體系和治理能力現代化

二、維護國家安全

　第二節　數據合規對社會的意義

一、維護社會的和諧穩定

二、促進數字經濟繁榮發展

　第三節　數據合規對企業的意義

一、降低企業運營風險

二、增強企業競爭力

　第四節　數據合規對個人的意義

一、維護人格尊嚴

二、保護個人安全

三、便利個人生活

　本章小結

第二章　我國數據合規的現狀及問題

　第一節　我國數據合規立法及規範現狀

一、四部“主導”法律

二、其他法律、法規、規章

三、國家標準

　第二節　數據合規監管現狀

一、行政監管主體

二、行政執法行為及特點

三、主要行政部門執法概況

　第三節　企業數據實踐合規現狀

一、企業數據合規意識不強

二、內部：企業仍需構建完善的合規體系

三、外部：外部監督機製作用有待加強

　本章小結

第三章　我國港澳地區數據合規和立法實踐

　第一節　我國香港特別行政區

一、基本立法

二、境內企業赴我國香港特別行政區上市數據合規要求

　第二節　我國澳門特別行政區

一、基本立法

二、主要機構

　本章小結

第四章　國外數據立法與合規實踐

　第一節　歐洲數據立法與合規實踐

一、歐盟

二、英國

　第二節　亞太地區國家數據立法與合規實踐

一、美國

二、日本

三、韓國

四、新加坡

　第三節　“一帶一路”沿線國家立法與合規實踐

一、馬來西亞

二、泰國

三、印度

　第四節　其他國家數據立法與合規實踐

一、加拿大

二、澳大利亞

三、紐西蘭

　本章小結

第二編　數據合規基礎制度

第五章　組織架構搭建

　第一節　建立數據合規部門和確立負責人的必要性

一、法律規定部分企業應建立數據合規部門並確立負責人

二、企業應自主建立數據合規部門並確立負責人

　第二節　數據合規部門的職能機構

一、運營維穩機構

二、風險控制機構

三、檢查監督機構

　第三節　配套管理制度

一、員工培訓

二、保密協定

　本章小結

第六章　數據全生命周期保護

　第一節　前提：網路安全

一、遵循網路安全等級保護要求

二、進行數據安全檢測評估與認證

三、建立數據安全應急處置制度

　第二節　數據收集合規

一、應遵循“知情同意”原則

二、應遵循必要性原則

三、應遵循分類分級保護原則

四、應建立雙清單制度

　第三節　數據存儲合規

一、數據存儲制度

二、數據刪除制度

　第四節　數據使用與加工

一、目的與範圍限制

二、訪問控制

　第五節　數據交易制度

一、交易流程

二、交易場所

三、交易價格

四、禁止交易的情形

　第六節　數據的公開制度

一、個人信息公開

二、政務數據公開

　第七節　數據的跨境傳輸

一、概念界定

二、我國數據跨境傳輸制度的演進

三、企業在數據跨境傳輸中的合規要點

　本章小結

第三編　各領域數據合規

第七章　國企、央企數據合規

　第一節　國企、央企數據合規管理的基本遵循

一、堅持黨管數據

二、遵循專門規範

三、承擔社會責任

四、強調保密工作

　第二節　國企、央企數據合規管理措施

一、合規欲啟，體系先行

二、三道防線，職責明晰

三、合規要求，嵌入業務

　第三節　政府與企業的數據合作模式

一、公共屬性數據的識別

二、公共屬性數據開放的合規建議

　本章小結

第八章　網際網路服務平台企業數據合規

　第一節　隱私政策與用戶協定

　第二節　Cookie使用機制

一、Cookie概述

二、Cookie同意規則

三、網際網路服務平台企業Cookie使用的合規要求

　第三節　平台數據內容審查

一、平台數據內容審查的規範基礎

二、平台數據內容審查的合規要求

　第四節　平台投訴舉報機制

一、平台投訴舉報機制的規範基礎

二、平台投訴舉報機制合規建議

　本章小結

第九章　電子商務企業數據合規

　第一節　電商數據收集、處理規則

一、電商數據的收集規則

二、電商數據的處理規則

　第二節　隱私政策與用戶協定

一、隱私政策的內涵、性質及合規要求

二、用戶協定的內涵、性質及合規要求

　第三節　平台對第三方供應商審查

一、平台對業務合作方數據提供的合規審查

二、電商平台對第三方SDK提供者的合規審查

　第四節　電子商務中的消費者信息保護

一、《消費者權益保護法》中的消費者信息保護

二、《電子商務法》中的消費者信息保護

三、電商企業對消費者信息保護的其他合規審查

　本章小結

第十章　金融企業數據合規

　第一節　金融企業數據合規的必要性

　第二節　金融企業數據合規的基礎性要求

一、保密要求

二、資質要求

　第三節　金融企業全流程的數據合規建議

一、數據收集

二、數據傳輸

三、數據存儲

四、數據使用

五、數據刪除

六、數據銷毀

　第四節　金融企業數據合規的重點

一、個人金融信息保護

二、數據分類分級管理

三、電子銀行業務數據安全

　本章小結

第十一章　車聯網交通企業數據合規

　第一節　智慧型網聯背景中的汽車數據合規

一、車聯網數據分類分級

二、車聯網數據全周期合規建議

　第二節　汽車數據中的個人信息保護

一、車聯網用戶個人信息分類分級

二、車聯網個人信息合規建議

　第三節　交通類App數據合規

一、交通類App個人信息保護

二、交通類App中的國家安全審查

　第四節　汽車數據出境合規

一、汽車數據出境類型梳理

二、汽車數據出境合規建議

　本章小結

第十二章　網路遊戲企業數據合規

　第一節　網路遊戲數據處理

一、網路遊戲行業數據保護特點

二、網路遊戲違規處理數據的情形及處罰

三、現行數據處理規定對網路遊戲企業的影響

四、網路遊戲數據收集範圍合規建議

　第二節　未成年人遊戲流程合規

一、未成年人數據處理合規

二、未成年人遊戲設定合規

三、遊戲內容合規及網路欺凌治理合規

　第三節　遊戲數據出境合規

一、個人信息保護要求

二、當地（境外）合規要求

　本章小結

第十三章　醫療健康企業數據合規

　第一節　健康醫療數據的分類分級

一、健康醫療數據分類要點

二、健康醫療數據分級要點

　第二節　健康醫療數據處理合規

一、健康醫療數據處理合規原則

二、健康醫療數據處理合規建議

　第三節　健康醫療數據出境合規要求

一、個人敏感數據出境合規

二、健康醫療數據分類分級出境合規

三、健康醫療數據出境合規具體要求

　本章小結

第十四章　教育培訓企業數據合規

　第一節　教育培訓領域個人信息保護

一、信息收集

二、信息使用

三、信息共享

　第二節　教育培訓企業數據安全保障

一、制定落實信息安全等級保護制度

二、落實網路安全預警通報制度

　第三節　未成年人個人信息保護

一、未成年人的識別及合規要點

二、兒童信息保護

　本章小結

第十五章　工業企業數據合規

　第一節　工業數據的分類分級

一、數據分類

二、數據分級

　第二節　工業企業數據合規要點

一、數據分類分級的備案與管理

二、網路安全分類分級與管理

三、數據全生命周期安全管理

　第三節　數據安全監測預警、應急管理與安全評估

一、開展數據安全風險監測

二、數據安全風險信息上報與共享

三、回響數據安全事件應急預案

四、開展數據安全評估管理

　本章小結

第十六章　政府政務數據合規

　第一節　政務數據處理及套用的特殊性

一、政務數據處理及套用流程概述

二、政務數據處理及套用的原則遵循

　第二節　政務數據合規風險分析

一、政務數據的採集階段

二、政務數據存儲階段

三、政務數據共享開放階段

　第三節　政務數據合規建議

一、組織機構架設

二、合規制度建設

三、處理流程規範

　本章小結

第四編　新業態數據合規

第十七章　App數據保護

　第一節　App數據合規主要問題和立法、監管現狀

一、主要問題

二、App數據合規立法動態

三、App數據監管動態

　第二節　SDK的使用與數據合規風險

一、SDK概述

二、SDK數據安全技術標準

三、SDK存在的數據合規風險

四、合規要求和合規建議

　第三節　未成年人保護

一、App未成年人個人信息保護立法

二、App開發者和運營者未成年人數據保護合規要點

　本章小結

第十八章　直播和短視頻行業相關數據保護

　第一節　直播和短視頻行業數據合規概述

一、網路直播和短視頻行業概述

二、網路直播平台和短視頻App所收集信息的類型

　第二節　直播和短視頻行業App數據合規風險

一、違規收集面部特徵信息

二、就特色功能收集信息缺乏明確性和必要性

三、因用戶未提供某類信息而拒絕提供特定業務功能服務

　第三節　直播和短視頻行業App數據合規要點

一、面部信息識別

二、明示須就特色功能收集必要信息

三、拒絕提供某種服務的正當性

　本章小結

第十九章　NFT平台與數字藏品數據保護

　第一節　NFT與數字藏品定義

　第二節　用戶信息保護

一、保證用戶的知情權

二、保證用戶的同意權

三、依法合規使用、儲存、刪除用戶信息

　第三節　平台數據保護措施

一、建立並完善數據安全管理制度

二、依法依規處理NFT數據

　第四節　數據安全保障要求

一、建立健全平台數據安全保障系統

二、做好數字藏品運營中的風險預防

　本章小結

第二十章　社交和社區平台數據保護

　第一節　社交和社區平台隱私政策存在的問題和風險

一、個人信息存儲情況說明不完善

二、未明示向個人信息收集使用以及向第三方提供的規則

三、個人信息的刪除

　第二節　社交和社區平台數據合規建議

一、完善內部數據存儲和訪問制度

二、提高隱私政策可獲取性和可讀性

三、用戶被遺忘權保護

　本章小結

第二十一章　自動化決策與算法合規

　第一節　自動化決策的規範要求與合規建議

一、自動化決策的規範要求

二、自動化決策的合規建議

　第二節　算法推薦服務的合規建議

一、算法推薦服務的定義

二、算法推薦服務的合規建議

　本章小結