就中国企业而言，数据治理的话题无非只包含内部治理和外部治理(涉及数据跨境)两个部分，其中内部治理又包括对数据安全的治理和对个人信息保护的治理，这也是本书要解决的首要问题。此外，基于互联网全球架构已逐渐形成互相依赖和关联的趋势，数据也终将被视为一种全球性的公共品进而被各国所重点关注。因此，企业在处理数据跨境流动合规治理的相关问题时也应当不断加强国际交流与协作。

前言

早在2008年6月，我国的网民数量就已经超越了美国，一举夺得世界第一。但互联网企业蓬勃发展的滚滚车轮，似乎并没有推起中国企业建立数据合规体系的决心和信心，漠视数据安全，任由个人信息被泄露和滥用的案件比比皆是。

作为中国最早从事企业数据合规治理的一批专业律师，我们在十年前就已经开始关注和认识到上述问题的存在，并在多处重要场合一再呼吁中国企业重视自身的数据合规治理工作。无奈当时我国在数据保护领域的立法和实践几乎为零，很多企业即使有所意识，却并不知道自己该做些什么，这是那个时代的特有印记。

2016年11月7日，我国《网络安全法》正式颁布，这极大地鼓舞和刺激了中国互联网企业建立自身数据合规体系的目标。自此之后，我便不断受邀前往全国各地讲授数据合规治理的相关课程。在授课期间，我经常给学员说：“我国数据保护立法的时代即将开启，企业的数据合规体系建设已经迫在眉睫。”再回首，也正是因为《网络安全法》的适用，开启了我国企业如火如荼的数据合规进程。由此可见，我们当初的预判还是非常准确的。

随着2020年全球新冠疫情的肆虐，国际带宽的使用量明显增加，人工智能技术在疫情监测和分析等诸多领域开始发挥举足轻重的作用。其中，尤以“智能服务”“体温监测”“大数据分析”等数据服务领域最为突出，它们在抗击疫情的不同场景下发挥了其优势效能。因此，大量中国企业的数字化转型开始逐渐提速，人工智能的产业规模也不断发展扩大。在宏观数字经济的这一趋势及大背景下，我国在《“十四五”数字经济发展规划》中响亮地提出了“到2025年，数字经济迈向全面扩展期，数字经济核心产业增加值占GDP比重达到10%”的宏伟目标。同时综观全世界，联合国也在其《2021年数字经济报告》中指出，目前全球亟须建立一套新的数据合规体系，以确保数据在国家间的自由流动。由此可见，数据跨境自由流动的全球一体化合作趋势几乎已成定局。

虽然各国在数据治理方面的相关工作正在如火如荼地开展，但达成长期的国际协作并非易事，这是由数字治理的特殊性所决定的。

第一，数字治理的模式仍不统一。在如何监管数据跨境自由流动问题上，世界各国似乎早已陷入了僵局。受大国经济的影响，主流的数据治理和监管模式大致可以分为三类，分别是以中国为首的“政府控制说”、以美国为首的“市场控制说”，以及以欧盟为首的“个人控制说”。其中，尤以中国和美国的矛盾最为突出和激烈，两国在数字治理中的紧张态势使“两极化”的态势越发严重，这也极大阻碍了数据跨境的自由流动。

第二，数据治理的领域较为多元。以我国为例，由于数据的应用场景一般都会涉及国家安全、社会价值、服务贸易、个人权利等方面的内容，因此数据治理势必不能通过单一法来进行调整，这也就是为何在《网络安全法》出台之后，我国又接二连三地出台了《电子商务法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等一系列法律法规来对数据合规进行系统性规制。虽然数据的概念和所有权权属在学界仍存在广泛争议，但数据的应用显然有别于传统的商品和服务，我们不能简单地将“数字贸易”与“货物贸易”或“服务贸易”画上等号，也当然不能将传统的法律思维和原则一股脑地套用在数据治理体系之上。由此看来，学会正确解读和适用我国数据治理的相关法律规定是数据合规专业人士极其重要的一项工作。

第三，数据治理的效能受到限制。互联网的本质在于自由和开放，但是各国数据治理采用的不同方式显然与建立和使用互联网的初衷并不相对应。一方面，政府的干预会阻碍数据经济的自由发展，影响数据跨境的自由流动；另一方面，监管的过度放任又会导致部分企业形成数据垄断，甚至引发对数据的滥用。如何协调其中利弊，也是政府、企业和数据主体需要进一步思考的问题。

纵有上述问题存在，但非常可喜的是，近年来我国企业数据治理的需求呈现了逐年增长的趋势。其实，只要深刻理解和掌握了我国相关立法所规定的规则，揣摩立法者的本意，那么企业的数据合规体系建设就并非一件难事。由于在企业合规实务中，许多人仍然对我国数据合规法条理解和适用存在一定的误读和偏差，因此为澄清我国数据合规的规范理解和应用，我萌生了编写此书的想法。就中国企业而言，数据治理的话题无非只包含内部治理和外部治理（涉及数据跨境）两个部分，其中内部治理又包括对数据安全的治理和对个人信息保护的治理，这也是本书要解决的首要问题。此外，基于互联网全球架构已逐渐形成互相依赖和关联的趋势，数据也终将被视为一种全球性的公共品进而被各国所重点关注。因此，企业在处理数据跨境流动合规治理的相关问题时也应当不断加强国际交流与协作。本书也会结合我的一些涉外实务经验，尽可能对欧盟GDPR的数据合规及跨境流动规范进行解读，帮助读者朋友们试着去理解欧盟监管机构重点关注的要素和内容，以此作为国内数据合规工作的参考和借鉴。在数据交易层面，本书也将从律师尽职调查的角度向读者展示数据交易所在数据交易挂牌备案工作中所关注的重点领域，为企业数据交易行为的合规保驾护航。同时，本书还将从数据应用角度出发，尝试通过对不同数据要素场景下的合规应用进行解读，使读者能够更为实际和生动地理解数据合规的场景适用性问题。在这十年来，作为数百场法律培训课程的主讲人，我有幸能够长期与来自互联网界及其他领域的企业家朋友们进行充分交流，这也让我能够随时转换思路，更为深刻地理解各类企业发展过程中所可能面对的痛点和难点。虽然本书在撰写过程中，参考了大量中外学者的著作和文章，但书中的一些理念和观点并不敢说毫无瑕疵，还请各位海涵！我真心希望能够发挥自身在数据合规领域的专业特长，借助本书的出版向读者朋友们直白且清晰地表达中国企业在数据合规中到底该做些什么,又该怎么去达成。作为一部法律工具类的书籍，我还希望本书的出版能够帮助中国企业根据自身状况建立起符合自身需求的数据合规体系和架构。如果在遇到问题时能够第一时间想到本书，并将其奉为一本数据合规类的“圣经”，那我就更加知足了。

非常感谢我的家人和事务所同事们对本书出版的大力支持，也感谢我的博士生导师华东政法大学林燕萍教授的悉心指导，以及团队成员卓伟伟、刘曦等对本书成稿所付出的努力。我衷心希望，随着我国互联网的蓬勃发展，本书能够及时满足社会各界的需要，为广大创业者、数据合规从业者、高校学者、投资者、消费者及对数据合规领域感兴趣的各类人士打造互相交流的平台，以供业界前辈、同行进行深入学习和交流。

李旻

二〇二二年九月十八日

李旻，华东政法大学法学博士，英国赫特福德大学LLM法学硕士，上海汉盛律师事务所高级合伙人，伦敦国际仲裁院、斯德哥尔摩商会仲裁院、维也纳国际仲裁中心、墨西哥仲裁中心仲裁库成员，上市公司独立董事资格，上海市浦东新区十大杰出青年律师。兼任国际隐私专业协会注册信息隐私专家（CIPP/E），最*人民检察院民事、行政案件咨询专家，上海市律协规划与规则委员会、社会责任促进委员会、互联网与信息技术业务委员会委员，浦东律师团委书记、青联副会长，浦东法院首批特邀律师调解员，上海电视台特邀嘉宾等职。

擅长公司治理、互联网法律与数据合规、国际贸易与并购投资、重大商事争议解决及国际仲裁等。深耕数据合规领域，具有十逾年的法律工作经验，先后为涉及金融证券、贸易零售、建筑房产、网络游戏、电商平台、餐饮医药、文化传媒、在线教育、新能源汽车等领域的三十余家企业提供专业法律服务。

著有专著《P2P网贷平台的法律合规及实务》，并参与编写《中国电子商务发展报告2016-2017》《上海市电子商务研究报告2017》《大数据商业应用与法律实务》《资本与证券法律实务》等书籍。在《中国流通经济》《新金融》等CSSCI和国内多家核心期刊发表多篇专业论文，其执业事迹及时事评论多次被央视网、新华社等八十余家报刊、媒体进行采访和报道。

目录

第一章 数据保护的基本介绍

第一节 中国的数据保护

一、中国数据保护的立法起源

二、中国数据保护的立法兴起与发展

第二节 数据保护的主要参与者和基本法律关系

一、数据保护的主要参与者

二、数据保护的基本法律关系

第三节 中国企业数据合规治理的典型案例

一、中国企业数据合规对海外IPO的影响

二、中国企业数据合规对境内IPO的影响

三、中国企业数据合规治理的民事责任

四、中国企业数据合规治理的行政责任

五、中国企业数据合规治理的刑事责任

第二章 数据保护的关键词

第一节 个人信息和敏感个人信息

一、个人信息的理解与适用

二、敏感个人信息的理解与适用

第二节 数据和重要数据

一、数据的理解与适用

二、重要数据的理解与适用

第三节 匿名化和去标识化

一、匿名化的理解与适用

二、去标识化的理解与适用

第四节 数据控制者和数据处理者

一、数据控制者的理解与适用

二、数据处理者的理解与适用

第五节 数据的处理

一、数据处理的概念

二、数据处理的理解与适用

第六节 数据主体

一、数据主体的概念

二、数据主体的权利

三、数据主体的理解与适用

第三章 中国企业的数据合规治理

第一节 法律概述

一、《网络安全法》

二、《电子商务法》

三、《关键信息基础设施安全保护条例》

四、《数据安全法》

五、《个人信息保护法》

六、《关于构建数据基础制度更好发挥数据要素作用的意见》

第二节 中国企业的数据处理活动

一、数据的收集

二、数据的存储

三、数据的使用

四、数据的加工

五、数据的传输

六、数据的提供

七、数据的公开

八、数据的删除

九、数据的委托处理

十、数据的共同处理

第三节 中国企业的数据合规治理标准

一、数据处理的原则

二、数据处理的权利来源

三、数据处理的透明度要求

四、数据处理的安全保障措施

第四章 中国企业的数据跨境监管

第一节 法律概述

一、《国家安全法》

二、《个人信息保护法》

三、《网络安全审查办法》

四、《数据出境安全评估办法》

第二节 数据出境的主要路径

一、安全评估

二、个人信息保护认证

三、标准合同

第三节 数据的本地化存储

一、本地存储制度的理解与适用

二、本地存储制度的改革措施

第四节 数据出境的事先审批

一、事先审批的适用范围

二、处罚标准

第五节 数据出境的安全评估

一、安全评估的适用范围

二、风险自评估

三、安全评估的重点

四、安全评估的申报

第六节 个人信息保护影响评估

一、个人信息保护影响评估的适用范围

二、个人信息保护影响评估的主要内容

第五章 欧盟GDPR的数据跨境监管

第一节 欧洲的数据保护

一、欧洲数据保护的立法起源

二、欧洲数据保护的立法兴起与发展

第二节 欧盟GDPR的适用范围及其例外

一、欧盟GDPR的适用范围

二、欧盟GDPR的适用例外

第三节 数据控制者和数据处理者的责任

一、适当的技术和组织措施

二、数据保护的设计和默认

三、数据处理活动的记录

第四节 欧盟GDPR数据跨境传输

一、欧盟数据跨境传输的范围

二、欧盟数据跨境传输的合法途径

第五节 欧盟GDPR的监督和问责

一、自律监督

二、公民监督

三、行政监督

第六章 中国企业的数据交易合规

第一节 数据交易所

一、数据交易准入制度

二、数据交易的类别

三、数据交易的参与主体

四、数据交易的产品类型

五、数据交易的监管

第二节 数据经纪人

一、数据经纪人的功能和作用

二、数据经纪人的数据处理依据

三、数据经纪人的法律责任

第三节 数据产品的合规评估

一、数据供应方背景调查

二、数据来源的合法性

三、数据的可交易性

四、数据的可流通性

第四节 企业并购的数据交易合规

一、尽职调查

二、并购交割

第五节 App收购中的交易风险防范

一、外商收购的准入

二、知识产权的转让

三、个人信息保护及迁移

四、App运营中的常见问题

第七章 中国企业的数据合规体系建设

第一节 数据保护官

一、数据保护官的指定

二、数据保护官的职责

三、数据保护官的管理架构

第二节 个人信息保护影响评估

一、个人信息保护影响评估的具体要求

二、个人信息保护影响评估的工作机制

第三节 数据的分类分级

一、数据的分类分级原则

二、数据的分类分级方法

第四节 企业数据合规的组织和管理架构

一、企业数据合规的组织架构

二、企业数据合规的管理架构

三、企业数据合规的法律文本

第五节 企业数据合规的制度建设

一、核心管理制度

二、基本管理制度

三、操作管理制度

第六节 个人信息出境标准合同

一、标准合同的主要内容

二、标准合同的法律责任

三、标准合同的无效情形

第七节 企业数据合规的法律服务

一、法律服务的治理阶段

二、法律服务的合规建议

第八章 不同数据要素场景下的合规应用

第一节 数据要素在人工智能中的合规应用

一、人脸识别的数据合规应用

二、智能汽车的数据合规应用

三、金融机构的数据合规应用

四、医疗健康的数据合规应用

五、无人机的数据合规应用

第二节 数据要素在劳动关系中的合规应用

一、处理员工个人信息的法律依据

二、处理员工个人信息的义务

三、对员工进行合法监控

四、对员工私人设备的监控

五、“吹哨人”计划

第三节 数据要素在日常监控中的合规应用

一、通信数据的监控

第三章 二、视频数据的监控

三、生物特征数据的监控

四、位置数据的监控

第四节 数据要素在商务营销中的合规应用

一、选择退出的权利

二、邮政营销

三、电话营销

四、电子邮件营销

五、在线行为广告和Cookie

六、用户数据画像的自动化决策

第五节 数据要素在网络技术与通信中的合规应用

一、移动设备应用技术

二、云计算技术

三、物联网技术

四、搜索引擎服务

五、网络社交服务

附录一 中国企业数据合规常用法律法规清单

附录二 个人信息出境标准合同

附录三 欧盟《通用数据保护条例》全文翻译及逐条解读