数据安全合规干货合集:新法新规解读,企业实务干货,专家视点观察
发布于 2021-09-08 13:05
合集
一、新法新规
重磅全文+对照表!《数据安全法》正式颁布,不得向外国司法或执法机构提供存储于中国境内的数据
全文发布!中华人民共和国个人信息保护法(附历次审议报告及对照表)
9.1生效!国务院《关键信息基础设施安全保护条例》公布!
9月1日《网络产品安全漏洞管理规定》正式实施!
最高院发布人脸识别新规:宾馆、商场、银行等经营场所滥用人脸识别属侵权
二、新规解读
9.1即将生效,《数据安全法》提出的“分类分级制度”“重要数据”等,企业应做到什么程度?
【数据安全法焦点解读】首设核心数据管理制度,最高罚一千万!
首部个人信息保护法!11月1日实施,个性化推送可选择,敏感信息需个人单独同意!(一图详解)
解读|个人信息保护法十大亮点
官方回应实录:《关键信息基础设施安全保护条例》例行吹风会
解读 I《关键信息基础设施安全保护条例》给关基设施运营者规定9大义务
新规12问:关于人脸识别司法解释你需要知道的12个问题
解读人脸识别最新司法解释:如何明确举证责任,开展面向诉讼的合规?
三、实务干货
合规清单丨《数据安全法》下全流程数据安全管理制度构建要点
内部调查勿踩雷!跨境场景下,《个人信息保护法》对公司内部调查的影响
新法出台,大合规时代个人信息管理的“三大纪律”与“八项注意”
数据合规操作指引:企业交易数据合规风险防范与合规体系建设
企业数据合规监管有哪些要点?如何建设企业数据合规体系?
赴国外IPO,数据信托能否成为网络安全审查的“免检认证”?
焦点漫谈 | 企业如何进行网络安全风险排查?未来执法趋势是怎样的?
焦点漫谈 | 新规下企业隐私政策更新需要做什么?
“人脸识别”400+行政处罚案件分析及合规指引
人脸识别合法适用的边界在哪里?什么情况下刑法可以介入?
精选
#1
网络安全审查
未来执法趋势
问:今年数据安全新法新规的出台,对于企业数据全生命周期的安全合规管理提出了哪些挑战?
答:几乎每一个企业都面临一个共同的挑战:如何进行数据治理?传统的商业治理模式已经无法满足这个数据爆炸时代的公司治理要求,传统认知中并未将数据作为生产要素或者资产纳入到企业管理链条中,因此企业首先应当树立数据治理观念,并尽快从对外数据交互、第三方数据合作、内部数据合规制度与流程等多方面开展数据全生命周期的安全合规治理。
问:企业如何加强网络安全风险隐患排查,做好行业关键信息基础设施安全防护?
答:网络安全合规风险防控应当遵循如下合规流程:
1.预判国家安全风险识别,并履行相应申报义务;
2.明确合规目标,主要是可控性、保密性、可用性三个方面;
3.针对网络关键设备和网络安全专用产品,以及网络产品和服务供应商开展供应链安全合规尽职调查;
4.注意对网络产品和服务供应商的协议约束;
5.落实运营中供应链的保护措施
问:在您看来,关于企业数据安全的执法监管,其未来趋势将是怎样的?
答:未来执法与监管趋势可能体现为如下几个特点:
1.在数安法生效后,各地执法与监管频次与力度将有明显的增加;
3.一段时间内监管对于特定商业模式与技术的理解可能存在差异与不确定性;
4.执法与监管手段与措施将更加专业高效。
更多阅读:焦点漫谈 | (课件速递)企业如何进行网络安全风险排查?未来执法趋势是怎样的?
#2
新规背景下
企业隐私政策注意要点
数据安全与隐私保护执法风暴席卷而来,企业数字化转型背景下,数据驱动业务、赋能企业创新的同时,企业数据安全与隐私保护合规迫在眉睫。对话大成律师事务所合伙人江苗律师,在他的视线中,企业合规、新法新规、热点焦点以怎样的形态呈现。
问:《个人信息保护法》《数据安全法》等新规出台,对于企业隐私政策有何影响?
问:企业针对用户/消费者的隐私政策相较以往需要作出哪些修改?
答:如果企业涉及使用用户画像进行定向推送、处理敏感个人信息、对外提供数据、跨境传输数据等,均需要根据新规进行调整和完善。例如当企业有基于自动化决策的业务时,则应当在隐私政策中具体说明为此需要收集的信息种类,以及用户/消费者可以通过何种方式拒绝。
问:剧透!大会您将带来哪些重点分享?
答:本次大会我会主要围绕数据跨境传输中的重要数据、关键信息基础设施运营者等重要概念,如何构成数据跨境,以及新规下数据跨境传输的限制进行解析,并为企业在实施数据跨境传输如何履行相应的合规义务提供可落地实施的具体建议。
更多阅读:焦点漫谈 | 新规下企业隐私政策更新需要做什么?(含大会剧透)
#3
”算法向善“
企业尽职调查要点
企业数据安全合规的背后牵涉诸多权衡与博弈,由此延申出的各项尽职调查更是对企业的重大挑战。共同对话金诚同达律师事务所高级合伙人彭凯律师,准确把握企业应对尽职调查新基调,倾听彭凯律师对于近期数据安全合规热点的独家观点。
#4
人脸识别司法解释12问
企业具体应对建议
2021年7月28日,最高人民法院公开发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释〔2021〕15号,以下简称“《规定》”),人脸识别领域迎来首部专门的司法解释。需要指出的是,7月28日仅为《规定》的公开发布日期,其正式发布日期为2021年7月27日,生效日期为2021年8月1日。
《规定》全文共十六条,条文数量不多,但信息量极其丰富。为了帮助大家快速理解《规定》的重点内容,彭凯律师团队梳理了与《规定》有关的十二个重点问题,供读者参考。
对于企业而言,应立即对照《规定》,迅速、深入、有效开展人脸信息的合规安排,以减少因违法违规处理人脸信息侵犯自然人人格权益而引起相关纠纷,更好地迎接《个人信息保护法》的到来。
具体应对建议主要包括:
更多阅读:TA来了!新规12问:关于人脸识别司法解释你需要知道的12个问题
#5
跨境场景下
个保法对内部调查的影响
1.就出境在内的个人信息识别和处理活动制定内部管理制度和操作规程
内部调查是公司尤其是跨国公司日常合规管理工作中的常见动作,除非内部调查全部在境内完成,相关员工个人信息的出境可能在所难免。此外,公司运营的其他场景中(例如跨国商业谈判和业务合作等)也常常涉及员工个人信息的出境。因此,制定员工个人信息识别和处理的管理政策和标准流程,有利于从顶层制度的层面管控包括出境在内的个人信息处理活动的违规风险,也有助于构建和强化全体公司员工的数据合规意识。此外,此类内部制度的制定还应当遵守劳动法的相关规定,例如经过公司内部的民主程序等。
2.为内部调查处理个人信息的活动务必合法合规
不仅仅是个人信息的出境,公司在收集内部调查所需的个人信息,以及在后续使用此类个人信息以查明调查事项,支持调查结论的过程中,一定要合法合规地处理个人信息。
我们注意到近期上海某法院审理的一起劳动合同纠纷案件中,法院认为虽然案涉公司享有案涉员工工作手机的所有权,但就案涉公司对工作手机中的数据进行恢复后提取电话录音的行为,未事先取得员工同意,涉及窃听他人私密活动、处理他人私密信息,因此法院对于该录音证据的合法性不予认可。可见如果公司在内部调查中基于不合规手段获取的此类信息得出不利于员工的判断并对员工采取处罚措施,在员工后续提起劳动仲裁/民事诉讼的情况下,相关证据存在不被支持和认可的风险。(在《个保法》生效后,如公司从实施人力资源管理的抗辩角度出发,类似案件是否仍会沿用该案审判思路值得观察。)
3.尽量取得员工就内部调查场景下个人信息出境的单独同意
《个保法》对于信息出境取得个人同意的要求是“单独同意”,但目前《个保法》和数据安全相关法规尚未对“单独同意”作出具体解释,我们理解如果仅在公司政策(如员工手册、行为指南)中加入类似“员工同意为内部调查之目的向境外相关方提供个人信息”的条款,然后取得员工对于该政策规定事宜的一揽子同意,可能不足以达到“单独同意”所要求的程度。因此我们建议公司可以采取更为稳妥的做法,例如要求员工签署个人信息出境同意书,在Document Hold Notice 中加入出境条款,考虑在员工访谈前再次告知等。
4.满足安全评估/个人信息保护认证等出境的必备要件
如上述分析,公司需要对照安全评估、个人信息保护认证、签署标准合同或法律法规或国家网信部门规定的其他条件,满足其中至少一项要求。
特别对于处理个人信息达到国家网信部门规定数量的个人信息处理者,原则上应当将在境内收集和产生的个人信息存储在境内,如果确需出境,则应当通过安全评估。因此不仅限于内部调查引发个人信息出境需求的情形,在公司的日常运营中,也有必要持续监控和定期评估处理数量,以确定公司运营中是否能与总部联网或是应当尽可能将个人信息存储在境内,并依据《个保法》规定在应当进行安全评估的情形下及时完成评估。
根据《关键信息基础设施安全保护条例》,该条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(“保护工作部门”)。保护工作部门负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。因此建议公司与保护工作部门保持良好沟通,以及时了解自身是否被定性为CIIO从而应遵守相应的法规要求。
5.虽然匿名化存在现实困境,但应尽量做到个人信息的高度去标识化
针对员工个人信息的高度去标识化,首先在遵守个人信息保护相关法规要求的基础上,可以充分利用公司制定的个人信息处理操作规程;同时,考虑到不同的内部调查中拟出境的个人信息的类型和载体往往千变万化,因此公司可以考虑设置专门的内部文件审阅人员或是聘请外部第三方,协助公司完成个人信息的去标识化工作。
6.如有可能,尽量在境内完成内部调查或简化向境外提供的个人信息
结合我们办理内部调查案件的经验,境外公司总部或者总部聘请的外国律师在内部调查中根据不同的情况担任不同的角色,有时仅仅是进行指导和监督,而在另一些情形下可能会实质参与,特别是涉及到外国法的适用和处罚。但由于《个保法》在内的相关法规所体现的中国个人信息保护趋严的趋势,公司需要考虑是否应主要在境内完成内部调查。对于向总部汇报调查结果中所涉及的个人信息出境问题,可以采取尽量简化或转述证明材料的方式,同时高度去标识化其中包含的个人信息,以减弱信息出境的不合规风险。
7.如涉及向外国执法或司法机构提供个人信息需主管机关事先批准
更多阅读:内部调查勿踩雷!跨境场景下,《个人信息保护法》对公司内部调查的影响
#6
企业数据交易风险防范
合规体系建设
第一部分:企业数据安全合规体系建设
一、数据安全合规总体要求
二、企业数据安全合规体系建立路径
(一) 建立健全数据安全合规管理组织体系
(二) 建立数据分类分级保护体系
(三) 建立完善的数据安全技术体系
第二部分:企业交易数据合规风险防范
一、交易行为中的数据合规风险
二、数据合规尽调方式
企业在进行涉数据交易前,认真开展数据合规尽调,摸底合作方、交易方、拟并购方的数据合规情况,做到“知己知彼”,才能防患于未然。数据合规尽调具体来说该怎么做呢?主要包括如下工作:
首先是对交易对手方的基本信息、数据处理、业务运营等情况进行初步了解,搜集相关基础文件,并对数据合规相关的IT、HR、法务、运营等关键部门、关键人员进行访谈,对交易对手方数据搜集、使用、内外部流转的基本情况建立认识。
尽调工作的核心内容是对交易对手方从数据收集、存储、使用、传输(包括跨境传输)、共享、披露等数据处理的各环节的合法合规性进行调查。该工作需要结合交易对手方的业务情况及与企业自身的关系来针对性设计方案,一般应包含对以下问题的调查:
1. 数据的来源,主要是数据通过何种渠道收集;
3. 数据的存储,包括对存储地点,是存储在本地服务器存储或存放在第三方云等问题进行明确;
4. 数据内部的流转、使用情况,包括可被哪些部门及人员访问和处理、用于哪些目的等;
5. 数据对外流转情况及其目的,如传输给关联公司、合作伙伴、供应商等;
6. 向中国境外传输数据的情况及其目的,例如向哪些国家传输;
7. 数据删除、销毁、冷藏处理的情况等。
具体尽调工作的开展会从组织、制度、技术等层面考虑数据处理活动的合法性和合规性。
组织层面,需要对目前的组织架构、相关人员(如数据保护官)设置情况及其职责、权限进行考察。比如是否明确了董事会、监事会、管理层等在数据合规方面的监管责任;是否任命了数据保护官(或同类职责人员),并确定其在企业中的角色和职责;是否会定期或不定期对管理层、数据保护官、隐私保护负责人及其他员工进行数据保护相关培训或考核等。
制度层面,需要对交易对手的数据安全相关政策、文件进行审查。主要从这些方面进行审查:是否具有整体性的数据合规政策;是否在关键领域建立并实施了操作性文件,以确保数据收集和使用行为合法合规,例如隐私政策、员工个人信息同意函、数据接收/共享协议等;是否采取了数据分类、分级存储制度,是否明确了不同类型数据的管理规则;是否具有记录制度,以确保数据处理活动有迹可循;是否建立了与业务开展需求匹配的数据分级访问控制制度,对企业内部可以访问相关数据的人员分级权限设置;对外提供数据,是否建立了相应的约束机制,以确保数据传输的安全性以及不被未经授权地使用;是否建立了跨境传输制度,以确保数据的跨境传输符合相关法律法规规定以及行业主管部门的要求;是否建立了数据安全事件应急预案等。
技术层面,律师主要是从法律的角度考察是否采取了技术措施,以及其落实情况。至于技术实际的有效性、安全性等问题,需要相关技术公司和专业人员进行审查核验。一般来说,技术层面数据安全尽调工作需要考察的内容包括但不限于:是否采取了数据分类、重要数据备份和加密等措施;是否会定期及不定期对数据设施和系统进行安全检查;是否采取了防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;是否采取了监测、记录网络运行状态、网络安全事件的技术措施;采购第三方信息系统产品或服务时,是否已通过尽调等方式对第三方的网络安全能力进行考察,或通过合同或其他方式对供应商的相关责任义务进行明确;是否进行了网络安全等级保护备案;是否取得了网络安全相关认证等。
更多阅读:干货 | 数据合规操作指引:企业交易数据合规风险防范与合规体系建设
明天!安拓数据大会
本文来自网络或网友投稿,如有侵犯您的权益,请发邮件至:aisoutu@outlook.com 我们将第一时间删除。
相关素材