《數據合規實務:盡職調查及解決方案》是一本2022年法律出版社出版的圖書,作者是劉瑛,李曉華。
基本介紹
- 中文名:數據合規實務:盡職調查及解決方案
- 作者:劉瑛,李曉華
- 出版社:法律出版社
- 出版時間:2022年6月
- 頁數:248 頁
- 開本:16 開
- 裝幀:平裝
- ISBN:9787519767587
內容簡介,作者簡介,圖書目錄,
內容簡介
本書聚焦企業數據合規實務,以作者作為社會執業律師參與的數據合規工作為例,對於企業運營管理和數據合規體系建設以及上市和投融資兩類場景下法律人員的企業數據合規工作進行歸納、總結、提煉,按照數據合規風險識別(數據合規盡職調查) 一數據合規整改(數據合規解決方案)一數據合規結論意見(結論性意見/專項分析意見)的流程,展示法律人員在數據合規領域的工作,解析數據合規領域的熱點問題。
圍繞數據合規實務,本書除了介紹法律人員可以“做什麼”,還與讀者分享“怎么做”。為此,書中使用了大量作者在律師執業中的案例和示例。案例旨在介紹數據合規工作的方法,說明數據合規常見問題以及現行法律和監管要求下的重點事項。示例旨在展示工作檔案(如數據合規盡職調查清單、盡職調查報告、法律意見書)和工作成果(如契約條款、數據合規行為準則、數據合規整改行動計畫)。
作者簡介
劉瑛
北京市天元律師事務所合伙人,律師。北京大學法學學士、法學碩士。美國杜克大學(Duke University)法學院訪問學者。著有《律師的思維與技能》(法律出版社2006年版)、《重新定 義契約:從商業意圖到法律檔案》(法律出版社2019年第1版、2020年第2版)以及《網際網路平台運營法律實務》(合著,法律出版社2020年版)。劉瑛律師曾從事近十年法律教學工作,律師執業主要從事投資併購、數據合規、企業合規等業務,以及通信及網際網路企業運營綜合法律服務。
李曉華
北京市天元律師事務所律師。中山大學法學學士,美國威廉瑪麗大學(The College of William and Mary)法學碩士(LL.M.) ,美國杜克大學(Duke University)法學與創業學專業法學碩士(LL.M.)。合著有《網際網路平台運營法律實務》(法律出版社2020年版)。律師執業領域主要有境內外投資併購、數據合規、通信及網際網路企業運舉煉碑營綜合法律厚放歡婆服務、境外上市等。
圖書目錄
目 錄
第一章 數據合規盡職調查 1
一、數據合規盡職調查內容 3
(一)了解企業的業務情況 3
(二)梳理業務經營中的數據處理活動 5
1.區分旬凝紋數據的類型 5
2.核查數據生命周期全流程 6
3.甄別企業在數據處理活動中的角色 16
(三)了解企業數據合規管理情況 27
1.核查企業的數據安全管理組織架構 38
2.核查企業的數據安全管理制度 39
3.核查企業業務的數據安全技術措施 40
4.核查企業的網路信息系統安全等級保護情況 40
5.核查企業的數據安全教育培訓情況 41
(四)核查企業涉及的與數據合規相關的爭議、訴訟、仲裁或行政處罰等情況 41
(五)數據合規盡職調查的幾個重點核查事項 42
1.企業是否屬於關鍵信息基礎設施的運營者 42
2.企業處理的數據是否屬於重要數據、核心數據 44
3.企業處理個人信息的規模 45
4.企業是否需要進行網路安全審查 46
二、數據合規盡職調查方式 47
(一)核查企業提供的資料 48
1.準備數據合規盡職調查資料清單 48
2.視情況準備數據合規補充盡職調查清單 67
(二)進行網路平台穿行測試 70
(三)訪談相關人駝槓棗漏員 75
(四)通過公共查詢渠道核查印證 84
三、數據合規盡職調勸剃漿查報告 85
(一)企業上市、投融資項目的數據合規盡職調查報告 85
1.《數據合規盡職調查報告》模板示例 85
2.《數據合規盡職調查重大法律問題備忘錄》示例及簡析 101
(二)企業日常運營項目、數據合規體系建設項目的數據合規盡職調查報告 104
第二章 數據合規解決方案 109
一、制訂數據合規整改行動計畫 111
二、落實數據合規整改措施 130
(一)個人信息處理流程及文本的整改和最佳化 130
1.業務流程的整改最佳化 133
2.個人信息處理規則(隱私政策)的整改和最佳化 140
(二)業務或交易等商業契約的整改和最佳化 160
1.場景一:企業作為數據委託方委託契約對方處理個人信息等數據 161
2.場景二:企業作為受託方處理契約對方提婚腳端供的個人信息等數據 163
3.場景三:企業與契約相對方共同處理個人信息等數據 165
4.場景四:因合併、分立、解散判放、被宣告破產等原因需要轉移個人信息等數據 166
5.場景五:企業向契約相對方提供個人信息等數據 168
(三)建立企業數據合規管理體系 175
1.搭建網路和數據合規組織架構 175
2.建立和完善網路及數據安全相關制度 178
第三章 數據合規結論性意見 205
一、就企業數據合規情況發表結論性法律意見 208
二、就數據合規的特定事項出具法律分析意見 225
(一)關於企業是否屬於關鍵信息基礎設施運營者的專項分析意見 226
(二)關於企業數據分類分級管理的專項分析意見 230
(三)關於企業是否需要進行網路安全審查的專項分析意見 234
(四)關於數據出境的專項分析意見 242
案例目錄
案例1-1 不同業務模式下的企業數據處理角色 4
案例1-2 “告知—同意”規則履行情況的核查與分析 7
案例1-3 “單獨同意”規則履行情況的核查與分析 8
案例1-4 數據來源合法性核查與分析 8
案例1-5 違法使用爬蟲或類似自動化技術收集數據與分析 9
案例1-6 數據使用範圍是否符合用途的核查與分析 10
案例1-7 個人信息使用範圍是否符合用途的核查與分析 10
案例1-8 利用個人信息進行自動化決策是否符合法律規定的核查與分析 11
案例1-9 AI“換臉”軟體涉嫌侵權 11
案例1-10 對人臉識別第三方SDK情況的核查與分析 13
案例1-11 關於網際網路醫院數據存儲期限的核查與分析 14
案例1-12 受政府委託處理政務數據行為的核查與分析 14
案例1-13 第三方SDK數據存儲境外的核查與分析 15
案例1-14 委託方處理個人信息與受託方簽訂契約情況的核查與分析 18
案例1-15 委託處理個人信息向個人告知並取得同意情況的核查與分析 18
案例1-16 委託處理個人信息前個人信息影響評估情況的核查與分析 19
案例1-17 受託方按照契約約定處理數據情況的核查與分析 19
案例1-18 受託方在契約中對委託方數據來源合法合規的約定 20
案例1-19 母公司與其子公司共同處理客戶信息核查與分析 21
案例1-20 App運營者與SDK提供方共同處理用戶個人信息核查與分析 22
案例1-21 數據轉移中提供方的告知義務 23
案例1-22 接收方變更原先處理目的應當重新取得個人同意 24
案例1-23 向其他數據處理者提供數據告知個人情況的核查與分析 25
案例1-24 對數據提供方數據來源合法性情況的核查與分析 26
案例1-25 涉及大量個人信息處理活動的企業設定個人信息保護負責人情況的核查與分析 39
案例1-26 關鍵信息基礎設施運營者制定網路服務和產品採購審查相關制度情況的核查與分析 39
案例1-27 網路日誌留存期限核查與分析 40
案例1-28 企業網路安全等級定級、備案情況核查與分析 41
案例1-29 未按照整改要求完成整改的核查與分析 42
案例2-1 E公司被網信辦約談事項處理的整改方案 124
案例2-2 關於某App隱私政策授權方式的整改 134
案例2-3 關於某App隱私政策展示方式的整改 135
案例2-4 關於某App敏感個人信息單獨同意流程的整改 136
案例2-5 關於某App索取手機相冊許可權流程的整改 137
案例2-6 關於某App個人信息權利保障路徑流程的整改 138
案例2-7 關於某App賬號註銷功能的整改 139
案例2-8 關於某App隱私政策文本規範性的整改 140
案例2-9 關於兒童隱私政策 152
示例目錄
示例1-1 產品合規審查項目的數據盡職調查清單 49
示例1-2 企業數據合規體系建設項目的盡職調查資料清單 53
示例1-3 企業融資項目的盡職調查資料清單 58
示例1-4 補充盡職調查清單 68
示例1-5 App穿行測試核查記錄 71
示例1-6 產品合規審查的數據合規盡職調查訪談問卷清單 76
示例1-7 企業赴香港上市項目的數據盡職調查訪談問卷清單 79
示例1-8 數據安全、網路安全、個人信息保護相關訴訟處罰核查情況表 84
示例1-9 《數據合規盡職調查報告》 85
示例1-10 《數據合規盡職調查重大法律問題備忘錄》 102
示例1-11 企業日常運營事項、數據合規體系建設項目備忘錄 105
示例2-1 某香港上市項目的數據合規整改行動計畫 113
示例2-2 某融資項目的數據合規整改行動計畫 115
示例2-3 C企業個人信息保護合規整改行動計畫 117
示例2-4 D企業某產品合規論證項目 122
示例2-5 網際網路平台數據合規整改事項行動清單 130
示例2-6 數據處理契約相關條款(委託方角度) 162
示例2-7 數據處理契約條款(受託方角度) 164
示例2-8 數據處理契約條款(共同處理者角度) 166
示例2-9 因企業分立產生的數據轉移 167
示例2-10 某電信運營商向銀行提供電信用戶個人信息 169
示例2-11 集團內信息共享的相關契約條款 172
示例2-12 關於數據處理的補充協定 173
示例2-13 關於××企業數據合規管理組織架構的方案建議 175
示例2-14 企業《數據合規行為準則》 179
示例2-15 企業《數據安全管理辦法》 182
示例2-16 企業《數據分類分級管理制度》 187
示例2-17 兒童個人信息保護制度檔案 188
示例3-1 香港上市項目數據合規專項法律意見 209
示例3-2 企業融資項目數據合規專項法律意見書 217
示例3-3 企業日常運營中的數據合規專項法律意見 224
示例3-4 關於某企業是否屬於CIIO的分析意見 228
示例3-5 關於某企業數據分類分級工作的分析意見 232
示例3-6 關於某線上職業培訓企業是否需要進行網路安全審查的法律意見 236
示例3-7 關於某網約車企業是否需要進行網路安全審查的分析意見 239
示例3-8 關於企業因業務需要而向境外提供相關數據的法律意見 243
(五)數據合規盡職調查的幾個重點核查事項 42
1.企業是否屬於關鍵信息基礎設施的運營者 42
2.企業處理的數據是否屬於重要數據、核心數據 44
3.企業處理個人信息的規模 45
4.企業是否需要進行網路安全審查 46
二、數據合規盡職調查方式 47
(一)核查企業提供的資料 48
1.準備數據合規盡職調查資料清單 48
2.視情況準備數據合規補充盡職調查清單 67
(二)進行網路平台穿行測試 70
(三)訪談相關人員 75
(四)通過公共查詢渠道核查印證 84
三、數據合規盡職調查報告 85
(一)企業上市、投融資項目的數據合規盡職調查報告 85
1.《數據合規盡職調查報告》模板示例 85
2.《數據合規盡職調查重大法律問題備忘錄》示例及簡析 101
(二)企業日常運營項目、數據合規體系建設項目的數據合規盡職調查報告 104
第二章 數據合規解決方案 109
一、制訂數據合規整改行動計畫 111
二、落實數據合規整改措施 130
(一)個人信息處理流程及文本的整改和最佳化 130
1.業務流程的整改最佳化 133
2.個人信息處理規則(隱私政策)的整改和最佳化 140
(二)業務或交易等商業契約的整改和最佳化 160
1.場景一:企業作為數據委託方委託契約對方處理個人信息等數據 161
2.場景二:企業作為受託方處理契約對方提供的個人信息等數據 163
3.場景三:企業與契約相對方共同處理個人信息等數據 165
4.場景四:因合併、分立、解散、被宣告破產等原因需要轉移個人信息等數據 166
5.場景五:企業向契約相對方提供個人信息等數據 168
(三)建立企業數據合規管理體系 175
1.搭建網路和數據合規組織架構 175
2.建立和完善網路及數據安全相關制度 178
第三章 數據合規結論性意見 205
一、就企業數據合規情況發表結論性法律意見 208
二、就數據合規的特定事項出具法律分析意見 225
(一)關於企業是否屬於關鍵信息基礎設施運營者的專項分析意見 226
(二)關於企業數據分類分級管理的專項分析意見 230
(三)關於企業是否需要進行網路安全審查的專項分析意見 234
(四)關於數據出境的專項分析意見 242
案例目錄
案例1-1 不同業務模式下的企業數據處理角色 4
案例1-2 “告知—同意”規則履行情況的核查與分析 7
案例1-3 “單獨同意”規則履行情況的核查與分析 8
案例1-4 數據來源合法性核查與分析 8
案例1-5 違法使用爬蟲或類似自動化技術收集數據與分析 9
案例1-6 數據使用範圍是否符合用途的核查與分析 10
案例1-7 個人信息使用範圍是否符合用途的核查與分析 10
案例1-8 利用個人信息進行自動化決策是否符合法律規定的核查與分析 11
案例1-9 AI“換臉”軟體涉嫌侵權 11
案例1-10 對人臉識別第三方SDK情況的核查與分析 13
案例1-11 關於網際網路醫院數據存儲期限的核查與分析 14
案例1-12 受政府委託處理政務數據行為的核查與分析 14
案例1-13 第三方SDK數據存儲境外的核查與分析 15
案例1-14 委託方處理個人信息與受託方簽訂契約情況的核查與分析 18
案例1-15 委託處理個人信息向個人告知並取得同意情況的核查與分析 18
案例1-16 委託處理個人信息前個人信息影響評估情況的核查與分析 19
案例1-17 受託方按照契約約定處理數據情況的核查與分析 19
案例1-18 受託方在契約中對委託方數據來源合法合規的約定 20
案例1-19 母公司與其子公司共同處理客戶信息核查與分析 21
案例1-20 App運營者與SDK提供方共同處理用戶個人信息核查與分析 22
案例1-21 數據轉移中提供方的告知義務 23
案例1-22 接收方變更原先處理目的應當重新取得個人同意 24
案例1-23 向其他數據處理者提供數據告知個人情況的核查與分析 25
案例1-24 對數據提供方數據來源合法性情況的核查與分析 26
案例1-25 涉及大量個人信息處理活動的企業設定個人信息保護負責人情況的核查與分析 39
案例1-26 關鍵信息基礎設施運營者制定網路服務和產品採購審查相關制度情況的核查與分析 39
案例1-27 網路日誌留存期限核查與分析 40
案例1-28 企業網路安全等級定級、備案情況核查與分析 41
案例1-29 未按照整改要求完成整改的核查與分析 42
案例2-1 E公司被網信辦約談事項處理的整改方案 124
案例2-2 關於某App隱私政策授權方式的整改 134
案例2-3 關於某App隱私政策展示方式的整改 135
案例2-4 關於某App敏感個人信息單獨同意流程的整改 136
案例2-5 關於某App索取手機相冊許可權流程的整改 137
案例2-6 關於某App個人信息權利保障路徑流程的整改 138
案例2-7 關於某App賬號註銷功能的整改 139
案例2-8 關於某App隱私政策文本規範性的整改 140
案例2-9 關於兒童隱私政策 152
示例目錄
示例1-1 產品合規審查項目的數據盡職調查清單 49
示例1-2 企業數據合規體系建設項目的盡職調查資料清單 53
示例1-3 企業融資項目的盡職調查資料清單 58
示例1-4 補充盡職調查清單 68
示例1-5 App穿行測試核查記錄 71
示例1-6 產品合規審查的數據合規盡職調查訪談問卷清單 76
示例1-7 企業赴香港上市項目的數據盡職調查訪談問卷清單 79
示例1-8 數據安全、網路安全、個人信息保護相關訴訟處罰核查情況表 84
示例1-9 《數據合規盡職調查報告》 85
示例1-10 《數據合規盡職調查重大法律問題備忘錄》 102
示例1-11 企業日常運營事項、數據合規體系建設項目備忘錄 105
示例2-1 某香港上市項目的數據合規整改行動計畫 113
示例2-2 某融資項目的數據合規整改行動計畫 115
示例2-3 C企業個人信息保護合規整改行動計畫 117
示例2-4 D企業某產品合規論證項目 122
示例2-5 網際網路平台數據合規整改事項行動清單 130
示例2-6 數據處理契約相關條款(委託方角度) 162
示例2-7 數據處理契約條款(受託方角度) 164
示例2-8 數據處理契約條款(共同處理者角度) 166
示例2-9 因企業分立產生的數據轉移 167
示例2-10 某電信運營商向銀行提供電信用戶個人信息 169
示例2-11 集團內信息共享的相關契約條款 172
示例2-12 關於數據處理的補充協定 173
示例2-13 關於××企業數據合規管理組織架構的方案建議 175
示例2-14 企業《數據合規行為準則》 179
示例2-15 企業《數據安全管理辦法》 182
示例2-16 企業《數據分類分級管理制度》 187
示例2-17 兒童個人信息保護制度檔案 188
示例3-1 香港上市項目數據合規專項法律意見 209
示例3-2 企業融資項目數據合規專項法律意見書 217
示例3-3 企業日常運營中的數據合規專項法律意見 224
示例3-4 關於某企業是否屬於CIIO的分析意見 228
示例3-5 關於某企業數據分類分級工作的分析意見 232
示例3-6 關於某線上職業培訓企業是否需要進行網路安全審查的法律意見 236
示例3-7 關於某網約車企業是否需要進行網路安全審查的分析意見 239
示例3-8 關於企業因業務需要而向境外提供相關數據的法律意見 243