本书结构清晰、体系完整,可使读者快速获得数据合规工作的全景式认知。
开篇明确了企业数据合规工作的基本工作范围和避坑红线。
入门篇梳理了我国及美欧的数据保护立法体系与监管情况,作为入门。
进阶篇介绍了企业数据合规工作的通用场景,如个保法落地、隐私政策开发、账号注销、员工个人信息保护等。
高阶篇讲解企业数据合规工作中的高难复杂场景,如个性化推荐、数据共享、生物识别信息使用、出海业务的跨境传输、企业上市中的数据合规问题等,并展望了数据合规律师向数据保护官转变的跨越式发展路径和能力要求。
附录提供了一线数据合规工作的实用工具,如常用法条清单、数据本地存储的要求汇总等。
资深律师 & 企业法务的多年一线数据合规经验的系统总结!实务经验干货!
全书以白小萌萌作为数据合规律师的进阶轨迹为主线,从企业数据合规工作整体认知入手,梳理数据保护法律全景,生动具体地介绍了企业数据合规工作中十二个常见业务场景的实操经验,从日常工作的隐私政策如何写到出海和上市的数据合规风险,展望了数据保护官的多维能力,可谓是数据合规前行道路上的工作指引。
掐指算来,这些年我们作为企业法务和律师,其中很长时间都是从事一线数据合规工作,加起来也有将近20年的数据合规工作经历了。那时我们都还年轻(当然,现在热爱学习的心也依然),对这个领域无知且无畏,那时没有《网络安全法》,也没有GDPR(暴露年龄了),那时我们看到数据处理条款和同意要求都还很懵圈,那时我们作为中国律师在这个领域没有发言权,需要跟随域外法律从头学起……时光荏苒,一晃已经过去了好多年。
后来我们不知不觉在这个领域一路走下来,不断成长,也不断收获,平时对一线数据合规治理工作有了些心得体会,就赶紧写下来。细壤不拒,细流不择,慢慢有了初10万字的积累,再后来就有了体系化、做成书,以总结传承的想法。然而,每每汇总整理时,却又都重重受阻,不是新法更新太快,就是日常工作太忙。其实,归根结底还是内心忐忑,不知成书是真的能够帮助大家,还是贻笑大方。
赶上我国《个人信息保护法》的制定、颁布和生效,也算是从事数据合规工作遇到了一个里程碑。我们决定以此为动力,督促自己一定把这本书终写完。
本书将以一位数据合规法务或律师白晓萌萌的成长之路为脉络,分别从入门篇、进阶篇、高阶篇逐步介绍数据合规领域专业人士一路成长过程中会遇到的各类业务场景和风险点,探讨梳理各场景下的数据合规治理解决方案,为希望了解、从事或喜欢数据合规这个领域的法务或律师们拨开云雾,提供数据合规治理的门径与指引,并展望这一专业领域的职业前景和蓝图规划。
写这样一本书并不是任务,也没有指标,更无关奖酬,就是为了提醒、督促、鉴证自己在数据合规这个枯燥而又生动的领域不懈努力、不忘初心。其实说起来,在这个领域坚持下来的初心真就以下两个,虽看起来有些太过诗与远方,却不惮于读者诸君窃笑无知狂妄而分享于此。
一是从小处着手,希望在一线业务场景中实现Law is Code。多年前初见劳伦斯·莱斯格教授的金句Code is Law,并无甚感觉,然而在一线互联网或物联网场景从事隐私保护设计工作多年下来,对此经典判断颇感认同,并有了进一步的化用和体会,还希望Law is Code,乃至Code is Code在应然状态下,良好的隐私保护设
计方式确保软件代码与法律规范要求(法律侧代码,另一种Code)一致,让技术和法律两种Code协同实现业务功能,落实法律对个人信息与数据保护的要求。例如,在用户做出同意之前,不能触发SDK来收集用户个人信息,避免不必要地高频读取用户终端地理位置,可以便利地关闭App的访问权限……这些细致具体的数据合规工作落地到一线场景,就是需要让法律规范要求限制技术代码,而不是让技术代码自行其是地获取数据,做出任意处理;同时,也要借助技术手段来高效实现法律对个人信息和重要数据等法益的保护。
这些工作初始可以自己做,随后带动团队做,再后来多方一起努力,影响一条业务线、一家企业,甚至一个行业参与其中。写书不失为一种有效的方式影响更多人关注和投入这个领域。
二是从大处着眼,希望能为推动数据治理规则更加完善献上一份微薄之力。数据合规的治理规则是数字化时代全社会治理规则体系不可缺失,甚至越来越重要的组成部分。时下热议的数字经济、人工智能、元宇宙等的发展背后都离不开数据伦理和数据处理规则。良善治理和共同富裕的美好社会使普通人受益于数据使用带来的安全、便利和更多福祉,同时,亦无须无限制地让渡个人信息保护和隐私,当然也会避免由资本裹挟技术推动数据使用的无限扩张。
只有在法律的治理与规则的约束下,个人信息、重要数据、大数据和人工智能等与数据相关的要素和资源才会被确保用于做好的事情。在AI还不能自主生成法律规则之前,我们还可以抓紧时间探索和制定愈加成熟的、推动技术向善发展的规则体系。如果说,在以前这是重要而不迫切的事情,那么随着个人信息收集使用、大数据算法和人工智能越来越广泛运用,这件事已经变得重要且迫切了。正如苹果公司CEO库克在2021年1月的一次演讲中提到的:如果我们接受生活中的一切都可以被汇总和出售,并且认为这是正常的、不可避免的,那么我们失去的不仅仅是数据,而是失去了做人的自由。
当然,为个人信息保护和数据使用设立规则并非为了阻碍数据的利用,而是为了促进数据被合法有效地利用,真正让个人、企业和社会都能得到保护,实现各方利益共赢,达到并保持有效保护与合法使用的可持续状态。
近代以来的法治精神始终贯穿着尊重人之为人的思想,如果法律人能够做一点点事情,推动完善数据治理的规则,以避免把人异化为可以被随意处理的数据字段,使得大数据时代下的人仍然可以保有隐私与尊严,维持人格独立,享有思想自由,这也算是法律人在大数据和人工智能时代回应时代命题的价值和使命吧。
在极其忙碌的日常工作之外,还要坚持不懈地自虐码字,又不揣粗陋成书出版,只愿为我们这个时代的数据保护和治理水平之提升尽绵薄之力。无论是解决一个个具体的代码场景,还是有利于整个社会的数据治理规则完善,我们作为有幸处在这个变革时代的个体,感受着数据为我们的生活带来的变化,总想着要为此做些事情。
星辰大海虽远,然心向往之并孜孜以求,正是怕什么真理无穷,进一寸有进一寸的欢喜。
是以为序。
作者
2022年1月 北京冬日暖阳
孟洁,现任北京市环球律师事务所合伙人,主要执业领域为网络安全、个人信息与隐私保护。曾在多家知名企业担任法务负责人和数据保护官,任IAPP中国区知识社区主席,被钱伯斯、The Legal 500、LEGALBAND等知名法律评级机构评为 TMT领域领军人物数据保护领域领军人物Fintech领域头部律师等,被北京市律协评为全国千名涉外专家律师。
薛颖,长期在互联网集团担任数据合规与知识产权总监。在外企、世界五百强公司等从事过多年数据隐私合规工作,拥有丰富的互联网场景一线经验。持有CIPP/E、CIPP/U认证,当选ALB中国知识产权法务15强并带领团队获得过《商法》年度数据合规优秀团队等奖项。
朱玲凤,现任知名互联网公司隐私及数据合规专家,曾任小米安全与隐私委员会隐私副主席。多年从事数据隐私合规研究和实务工作,深入参与国内信息安全相关标准拟定和重要法律研讨等,在全球隐私法律研究、隐私保护设计、隐私安全技术应用与管理以及App、物联网、人工智能等领域有丰富的实践经验。
自 序
开篇 小白入职数据合规
法务岗位,一头雾水怎么办
章 数据合规都管哪些事儿 3
节 这些数据很重要:用户数据、个人信息、隐私 3
第二节 要管理的数据处理活动太多了:覆盖数据全生命周期 9
第三节 数据合规工作面面观:政策研究、合规评估、管理体系、技术措施 12
小结 17
第二章 数据合规之避坑预警 19
节 避坑点之产品端在线协议 19
第二节 避坑点之内部管控 22
小结 25
入门篇 对症下药,
小白必知的合规要求
第三章 我国数据合规立法体系与监管要求 29
节 现行数据合规立法体系 29
第二节 多重监管要求的对比分析 39
第三节 数据合规违法案例 44
小结 50
第四章 如何让《个人信息保护法》在业务中落地 51
节 摸排场景:识别个人信息和主体身份 52
第二节 遵循个人信息处理的基本规则和通用义务 56
第三节 遵循个人信息处理的特殊义务 60
第四节 个人信息主体的权利及其他 65
小结 69
第五章 欧盟数据保护立法体系与监管要求 70
节 欧盟数据保护立法概况 70
第二节 欧盟数据保护监管案例 82
小结 87
第六章 美国数据保护立法体系及监管要求 88
节 美国数据保护立法概况 88
第二节 美国数据保护监管案例 98
小结 102
进阶篇 不得不知,
小白常遇到的普通场景
第七章 告知同意就是用户点击同意隐私政策吗 105
节 告知同意法典化概况 106
第二节 告知规则的适用要求 108
第三节 获取个人的有效同意 111
小结 118
第八章 隐私政策不能抄!那该怎么办 121
节 用户同意的隐私政策是合同吗 122
第二节 隐私政策的合规要求 126
第三节 隐私政策的开发路径 132
小结 135
第九章 账号注销,落实起来不容易 137
节 账号注销,这事儿必须做 138
第二节 账号注销需要哪些流程才能完成 141
第三节 用户注销账号之后,企业还需要做什么 147
小结 152
第十章 员工个人信息保护,这事儿不能忘 153
节 雇用中国籍员工的注意事项 153
第二节 雇用外国籍员工的注意事项 158
第三节 境外分支机构雇用员工的注意事项 162
小结 162
高阶篇 见招拆招,小白化身
数据合规专家应对高难场景
第十一章 更懂你的精准营销和个性化推荐 167
节 为什么广告是为我量身定做的:精准营销 167
第二节 为什么互联网产品总能猜你喜欢:个性化推荐 184
第三节 解开算法中的你和我 189
小结 197
第十二章 数据要素效能发挥:数据共享与交易 198
节 数据共享与交易的困境 198
第二节 平台企业有数据垄断原罪吗 210
小结 219
第十三章 生物识别技术的发展:人脸识别的恐慌与合规 220
节 辨析人脸识别技术及其应用场景 220
第二节 映射人脸识别的数据合规要点 224
小结 231
第十四章 出海业务中如何跨境传输数据才不碰雷 233
节 道雷:数据本地化 233
第二节 第二道雷:跨境传输合规机制 235
第三节 避雷指南:出海业务跨境传输合规三步走 245
小结 247
第十五章 企业上市中的数据合规:全面布局 248
节 证监会上市要求洞察与分析 248
第二节 拟上市企业的前期准备 250
第三节 企业上市后的合规保健 264
小结 265
第十六章 月薪10万元是个小目标:职业跨越式发展 266
节 从数据合规律师到数据保护官 266
第二节 数字化转型时代对数据保护官的进一步要求 272
后记 275
附录 277
附录A 名词解释 278
附录B 与数据保护相关的常用法规、规章与规范性文件 281
附录C 数据保护领域单行专项法律 284
附录D 综合性法律中的数据保护专条 285
附录E 关于数据本地化和出境要求的规范汇总 293