本書結構清晰、體系完整,可使讀者快速獲得數據合規工作的全景式認知。
開篇明確了企業數據合規工作的基本工作范圍和避坑紅線。
入門篇梳理了我國及美歐的數據保護立法體系與監管情況,作為入門。
進階篇介紹了企業數據合規工作的通用場景,如個保法落地、隱私政策開發、賬號注銷、員工個人信息保護等。
高階篇講解企業數據合規工作中的高難復雜場景,如個性化推薦、數據共享、生物識別信息使用、出海業務的跨境傳輸、企業上市中的數據合規問題等,并展望了數據合規律師向數據保護官轉變的跨越式發展路徑和能力要求。
附錄提供了一線數據合規工作的實用工具,如常用法條清單、數據本地存儲的要求匯總等。
資深律師 & 企業法務的多年一線數據合規經驗的系統總結!實務經驗干貨!
全書以白小萌萌作為數據合規律師的進階軌跡為主線,從企業數據合規工作整體認知入手,梳理數據保護法律全景,生動具體地介紹了企業數據合規工作中十二個常見業務場景的實操經驗,從日常工作的隱私政策如何寫到出海和上市的數據合規風險,展望了數據保護官的多維能力,可謂是數據合規前行道路上的工作指引。
掐指算來,這些年我們作為企業法務和律師,其中很長時間都是從事一線數據合規工作,加起來也有將近20年的數據合規工作經歷了。那時我們都還年輕(當然,現在熱愛學習的心也依然),對這個領域無知且無畏,那時沒有《網絡安全法》,也沒有GDPR(暴露年齡了),那時我們看到數據處理條款和同意要求都還很懵圈,那時我們作為中國律師在這個領域沒有發言權,需要跟隨域外法律從頭學起……時光荏苒,一晃已經過去了好多年。
后來我們不知不覺在這個領域一路走下來,不斷成長,也不斷收獲,平時對一線數據合規治理工作有了些心得體會,就趕緊寫下來。細壤不拒,細流不擇,慢慢有了初10萬字的積累,再后來就有了體系化、做成書,以總結傳承的想法。然而,每每匯總整理時,卻又都重重受阻,不是新法更新太快,就是日常工作太忙。其實,歸根結底還是內心忐忑,不知成書是真的能夠幫助大家,還是貽笑大方。
趕上我國《個人信息保護法》的制定、頒布和生效,也算是從事數據合規工作遇到了一個里程碑。我們決定以此為動力,督促自己一定把這本書終寫完。
本書將以一位數據合規法務或律師白曉萌萌的成長之路為脈絡,分別從入門篇、進階篇、高階篇逐步介紹數據合規領域專業人士一路成長過程中會遇到的各類業務場景和風險點,探討梳理各場景下的數據合規治理解決方案,為希望了解、從事或喜歡數據合規這個領域的法務或律師們撥開云霧,提供數據合規治理的門徑與指引,并展望這一專業領域的職業前景和藍圖規劃。
寫這樣一本書并不是任務,也沒有指標,更無關獎酬,就是為了提醒、督促、鑒證自己在數據合規這個枯燥而又生動的領域不懈努力、不忘初心。其實說起來,在這個領域堅持下來的初心真就以下兩個,雖看起來有些太過詩與遠方,卻不憚于讀者諸君竊笑無知狂妄而分享于此。
一是從小處著手,希望在一線業務場景中實現Law is Code。多年前初見勞倫斯·萊斯格教授的金句Code is Law,并無甚感覺,然而在一線互聯網或物聯網場景從事隱私保護設計工作多年下來,對此經典判斷頗感認同,并有了進一步的化用和體會,還希望Law is Code,乃至Code is Code在應然狀態下,良好的隱私保護設
計方式確保軟件代碼與法律規范要求(法律側代碼,另一種Code)一致,讓技術和法律兩種Code協同實現業務功能,落實法律對個人信息與數據保護的要求。例如,在用戶做出同意之前,不能觸發SDK來收集用戶個人信息,避免不必要地高頻讀取用戶終端地理位置,可以便利地關閉App的訪問權限……這些細致具體的數據合規工作落地到一線場景,就是需要讓法律規范要求限制技術代碼,而不是讓技術代碼自行其是地獲取數據,做出任意處理;同時,也要借助技術手段來高效實現法律對個人信息和重要數據等法益的保護。
這些工作初始可以自己做,隨后帶動團隊做,再后來多方一起努力,影響一條業務線、一家企業,甚至一個行業參與其中。寫書不失為一種有效的方式影響更多人關注和投入這個領域。
二是從大處著眼,希望能為推動數據治理規則更加完善獻上一份微薄之力。數據合規的治理規則是數字化時代全社會治理規則體系不可缺失,甚至越來越重要的組成部分。時下熱議的數字經濟、人工智能、元宇宙等的發展背后都離不開數據倫理和數據處理規則。良善治理和共同富裕的美好社會使普通人受益于數據使用帶來的安全、便利和更多福祉,同時,亦無須無限制地讓渡個人信息保護和隱私,當然也會避免由資本裹挾技術推動數據使用的無限擴張。
只有在法律的治理與規則的約束下,個人信息、重要數據、大數據和人工智能等與數據相關的要素和資源才會被確保用于做好的事情。在AI還不能自主生成法律規則之前,我們還可以抓緊時間探索和制定愈加成熟的、推動技術向善發展的規則體系。如果說,在以前這是重要而不迫切的事情,那么隨著個人信息收集使用、大數據算法和人工智能越來越廣泛運用,這件事已經變得重要且迫切了。正如蘋果公司CEO庫克在2021年1月的一次演講中提到的:如果我們接受生活中的一切都可以被匯總和出售,并且認為這是正常的、不可避免的,那么我們失去的不僅僅是數據,而是失去了做人的自由。
當然,為個人信息保護和數據使用設立規則并非為了阻礙數據的利用,而是為了促進數據被合法有效地利用,真正讓個人、企業和社會都能得到保護,實現各方利益共贏,達到并保持有效保護與合法使用的可持續狀態。
近代以來的法治精神始終貫穿著尊重人之為人的思想,如果法律人能夠做一點點事情,推動完善數據治理的規則,以避免把人異化為可以被隨意處理的數據字段,使得大數據時代下的人仍然可以保有隱私與尊嚴,維持人格獨立,享有思想自由,這也算是法律人在大數據和人工智能時代回應時代命題的價值和使命吧。
在極其忙碌的日常工作之外,還要堅持不懈地自虐碼字,又不揣粗陋成書出版,只愿為我們這個時代的數據保護和治理水平之提升盡綿薄之力。無論是解決一個個具體的代碼場景,還是有利于整個社會的數據治理規則完善,我們作為有幸處在這個變革時代的個體,感受著數據為我們的生活帶來的變化,總想著要為此做些事情。
星辰大海雖遠,然心向往之并孜孜以求,正是怕什么真理無窮,進一寸有進一寸的歡喜。
是以為序。
作者
2022年1月 北京冬日暖陽
孟潔,現任北京市環球律師事務所合伙人,主要執業領域為網絡安全、個人信息與隱私保護。曾在多家知名企業擔任法務負責人和數據保護官,任IAPP中國區知識社區主席,被錢伯斯、The Legal 500、LEGALBAND等知名法律評級機構評為 TMT領域領軍人物數據保護領域領軍人物Fintech領域頭部律師等,被北京市律協評為全國千名涉外專家律師。
薛穎,長期在互聯網集團擔任數據合規與知識產權總監。在外企、世界五百強公司等從事過多年數據隱私合規工作,擁有豐富的互聯網場景一線經驗。持有CIPP/E、CIPP/U認證,當選ALB中國知識產權法務15強并帶領團隊獲得過《商法》年度數據合規優秀團隊等獎項。
朱玲鳳,現任知名互聯網公司隱私及數據合規專家,曾任小米安全與隱私委員會隱私副主席。多年從事數據隱私合規研究和實務工作,深入參與國內信息安全相關標準擬定和重要法律研討等,在全球隱私法律研究、隱私保護設計、隱私安全技術應用與管理以及App、物聯網、人工智能等領域有豐富的實踐經驗。
自 序
開篇 小白入職數據合規
法務崗位,一頭霧水怎么辦
章 數據合規都管哪些事兒 3
節 這些數據很重要:用戶數據、個人信息、隱私 3
第二節 要管理的數據處理活動太多了:覆蓋數據全生命周期 9
第三節 數據合規工作面面觀:政策研究、合規評估、管理體系、技術措施 12
小結 17
第二章 數據合規之避坑預警 19
節 避坑點之產品端在線協議 19
第二節 避坑點之內部管控 22
小結 25
入門篇 對癥下藥,
小白必知的合規要求
第三章 我國數據合規立法體系與監管要求 29
節 現行數據合規立法體系 29
第二節 多重監管要求的對比分析 39
第三節 數據合規違法案例 44
小結 50
第四章 如何讓《個人信息保護法》在業務中落地 51
節 摸排場景:識別個人信息和主體身份 52
第二節 遵循個人信息處理的基本規則和通用義務 56
第三節 遵循個人信息處理的特殊義務 60
第四節 個人信息主體的權利及其他 65
小結 69
第五章 歐盟數據保護立法體系與監管要求 70
節 歐盟數據保護立法概況 70
第二節 歐盟數據保護監管案例 82
小結 87
第六章 美國數據保護立法體系及監管要求 88
節 美國數據保護立法概況 88
第二節 美國數據保護監管案例 98
小結 102
進階篇 不得不知,
小白常遇到的普通場景
第七章 告知同意就是用戶點擊同意隱私政策嗎 105
節 告知同意法典化概況 106
第二節 告知規則的適用要求 108
第三節 獲取個人的有效同意 111
小結 118
第八章 隱私政策不能抄!那該怎么辦 121
節 用戶同意的隱私政策是合同嗎 122
第二節 隱私政策的合規要求 126
第三節 隱私政策的開發路徑 132
小結 135
第九章 賬號注銷,落實起來不容易 137
節 賬號注銷,這事兒必須做 138
第二節 賬號注銷需要哪些流程才能完成 141
第三節 用戶注銷賬號之后,企業還需要做什么 147
小結 152
第十章 員工個人信息保護,這事兒不能忘 153
節 雇用中國籍員工的注意事項 153
第二節 雇用外國籍員工的注意事項 158
第三節 境外分支機構雇用員工的注意事項 162
小結 162
高階篇 見招拆招,小白化身
數據合規專家應對高難場景
第十一章 更懂你的精準營銷和個性化推薦 167
節 為什么廣告是為我量身定做的:精準營銷 167
第二節 為什么互聯網產品總能猜你喜歡:個性化推薦 184
第三節 解開算法中的你和我 189
小結 197
第十二章 數據要素效能發揮:數據共享與交易 198
節 數據共享與交易的困境 198
第二節 平臺企業有數據壟斷原罪嗎 210
小結 219
第十三章 生物識別技術的發展:人臉識別的恐慌與合規 220
節 辨析人臉識別技術及其應用場景 220
第二節 映射人臉識別的數據合規要點 224
小結 231
第十四章 出海業務中如何跨境傳輸數據才不碰雷 233
節 道雷:數據本地化 233
第二節 第二道雷:跨境傳輸合規機制 235
第三節 避雷指南:出海業務跨境傳輸合規三步走 245
小結 247
第十五章 企業上市中的數據合規:全面布局 248
節 證監會上市要求洞察與分析 248
第二節 擬上市企業的前期準備 250
第三節 企業上市后的合規保健 264
小結 265
第十六章 月薪10萬元是個小目標:職業跨越式發展 266
節 從數據合規律師到數據保護官 266
第二節 數字化轉型時代對數據保護官的進一步要求 272
后記 275
附錄 277
附錄A 名詞解釋 278
附錄B 與數據保護相關的常用法規、規章與規范性文件 281
附錄C 數據保護領域單行專項法律 284
附錄D 綜合性法律中的數據保護專條 285
附錄E 關于數據本地化和出境要求的規范匯總 293
新書資訊