數(shù)據(jù)合規(guī)實務(wù)：盡職調(diào)查及解決方案

目　錄
第一章　數(shù)據(jù)合規(guī)盡職調(diào)查 1
　　一、數(shù)據(jù)合規(guī)盡職調(diào)查內(nèi)容 3
　　　?。ㄒ唬┝私馄髽I(yè)的業(yè)務(wù)情況 3
　　　?。ǘ┦崂順I(yè)務(wù)經(jīng)營中的數(shù)據(jù)處理活動 5
　　　　 1.區(qū)分數(shù)據(jù)的類型 5
　　　　 2.核查數(shù)據(jù)生命周期全流程 6
　　　　 3.甄別企業(yè)在數(shù)據(jù)處理活動中的角色 16
　　　?。ㄈ┝私馄髽I(yè)數(shù)據(jù)合規(guī)管理情況 27
　　　　 1.核查企業(yè)的數(shù)據(jù)安全管理組織架構(gòu) 38
　　　　 2.核查企業(yè)的數(shù)據(jù)安全管理制度 39
　　　　 3.核查企業(yè)業(yè)務(wù)的數(shù)據(jù)安全技術(shù)措施 40
　　　　 4.核查企業(yè)的網(wǎng)絡(luò)信息系統(tǒng)安全等級保護情況 40
　　　　 5.核查企業(yè)的數(shù)據(jù)安全教育培訓(xùn)情況 41
　　　?。ㄋ模┖瞬槠髽I(yè)涉及的與數(shù)據(jù)合規(guī)相關(guān)的爭議、訴訟、仲裁或行政處罰等情況 41
　　　?。ㄎ澹?shù)據(jù)合規(guī)盡職調(diào)查的幾個重點核查事項 42
　　　　 1.企業(yè)是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施的運營者 42
　　　　 2.企業(yè)處理的數(shù)據(jù)是否屬于重要數(shù)據(jù)、核心數(shù)據(jù) 44
　　　　 3.企業(yè)處理個人信息的規(guī)模 45
　　　　 4.企業(yè)是否需要進行網(wǎng)絡(luò)安全審查 46
　　二、數(shù)據(jù)合規(guī)盡職調(diào)查方式 47
　　　　（一）核查企業(yè)提供的資料 48
　　　　 1.準(zhǔn)備數(shù)據(jù)合規(guī)盡職調(diào)查資料清單 48
　　　　 2.視情況準(zhǔn)備數(shù)據(jù)合規(guī)補充盡職調(diào)查清單 67
　　　?。ǘ┻M行網(wǎng)絡(luò)平臺穿行測試 70
　　　　（三）訪談相關(guān)人員 75
　　　?。ㄋ模┩ㄟ^公共查詢渠道核查印證 84
　　三、數(shù)據(jù)合規(guī)盡職調(diào)查報告 85
　　　　（一）企業(yè)上市、投融資項目的數(shù)據(jù)合規(guī)盡職調(diào)查報告 85
　　　　 1.《數(shù)據(jù)合規(guī)盡職調(diào)查報告》模板示例 85
　　　　 2.《數(shù)據(jù)合規(guī)盡職調(diào)查重大法律問題備忘錄》示例及簡析 101
　　　　（二）企業(yè)日常運營項目、數(shù)據(jù)合規(guī)體系建設(shè)項目的數(shù)據(jù)合規(guī)盡職調(diào)查報告 104

第二章　數(shù)據(jù)合規(guī)解決方案 109
　　一、制訂數(shù)據(jù)合規(guī)整改行動計劃 111
　　二、落實數(shù)據(jù)合規(guī)整改措施 130
　　　　（一）個人信息處理流程及文本的整改和優(yōu)化 130
　　　　 1.業(yè)務(wù)流程的整改優(yōu)化 133
　　　　 2.個人信息處理規(guī)則（隱私政策）的整改和優(yōu)化 140
　　　?。ǘI(yè)務(wù)或交易等商業(yè)合同的整改和優(yōu)化 160
　　　　 1.場景一：企業(yè)作為數(shù)據(jù)委托方委托合同對方處理個人信息等數(shù)據(jù) 161
　　　　 2.場景二：企業(yè)作為受托方處理合同對方提供的個人信息等數(shù)據(jù) 163
　　　　 3.場景三：企業(yè)與合同相對方共同處理個人信息等數(shù)據(jù) 165
　　　　 4.場景四：因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個人信息等數(shù)據(jù) 166
　　　　 5.場景五：企業(yè)向合同相對方提供個人信息等數(shù)據(jù) 168
　　　?。ㄈ┙⑵髽I(yè)數(shù)據(jù)合規(guī)管理體系 175
　　　　 1.搭建網(wǎng)絡(luò)和數(shù)據(jù)合規(guī)組織架構(gòu) 175
　　　　 2.建立和完善網(wǎng)絡(luò)及數(shù)據(jù)安全相關(guān)制度 178

第三章　數(shù)據(jù)合規(guī)結(jié)論性意見 205
　　一、就企業(yè)數(shù)據(jù)合規(guī)情況發(fā)表結(jié)論性法律意見 208
　　二、就數(shù)據(jù)合規(guī)的特定事項出具法律分析意見 225
　　　?。ㄒ唬╆P(guān)于企業(yè)是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施運營者的專項分析意見 226
　　　?。ǘ╆P(guān)于企業(yè)數(shù)據(jù)分類分級管理的專項分析意見 230
　　　　（三）關(guān)于企業(yè)是否需要進行網(wǎng)絡(luò)安全審查的專項分析意見 234
　　　?。ㄋ模╆P(guān)于數(shù)據(jù)出境的專項分析意見 242

案例目錄
案例1-1　不同業(yè)務(wù)模式下的企業(yè)數(shù)據(jù)處理角色 4
案例1-2　“告知—同意”規(guī)則履行情況的核查與分析 7
案例1-3　“單獨同意”規(guī)則履行情況的核查與分析 8
案例1-4　數(shù)據(jù)來源合法性核查與分析 8
案例1-5　違法使用爬蟲或類似自動化技術(shù)收集數(shù)據(jù)與分析 9
案例1-6　數(shù)據(jù)使用范圍是否符合用途的核查與分析 10
案例1-7　個人信息使用范圍是否符合用途的核查與分析 10
案例1-8　利用個人信息進行自動化決策是否符合法律規(guī)定的核查與分析 11
案例1-9　AI“換臉”軟件涉嫌侵權(quán) 11
案例1-10　對人臉識別第三方SDK情況的核查與分析 13
案例1-11　關(guān)于互聯(lián)網(wǎng)醫(yī)院數(shù)據(jù)存儲期限的核查與分析 14
案例1-12　受政府委托處理政務(wù)數(shù)據(jù)行為的核查與分析 14
案例1-13　第三方SDK數(shù)據(jù)存儲境外的核查與分析 15
案例1-14　委托方處理個人信息與受托方簽訂合同情況的核查與分析 18
案例1-15　委托處理個人信息向個人告知并取得同意情況的核查與分析 18
案例1-16　委托處理個人信息前個人信息影響評估情況的核查與分析 19
案例1-17　受托方按照合同約定處理數(shù)據(jù)情況的核查與分析 19
案例1-18　受托方在合同中對委托方數(shù)據(jù)來源合法合規(guī)的約定 20
案例1-19　母公司與其子公司共同處理客戶信息核查與分析 21
案例1-20　App運營者與SDK提供方共同處理用戶個人信息核查與分析 22
案例1-21　數(shù)據(jù)轉(zhuǎn)移中提供方的告知義務(wù) 23
案例1-22　接收方變更原先處理目的應(yīng)當(dāng)重新取得個人同意 24
案例1-23　向其他數(shù)據(jù)處理者提供數(shù)據(jù)告知個人情況的核查與分析 25
案例1-24　對數(shù)據(jù)提供方數(shù)據(jù)來源合法性情況的核查與分析 26
案例1-25　涉及大量個人信息處理活動的企業(yè)設(shè)置個人信息保護負責(zé)人情況的核查與分析 39
案例1-26　關(guān)鍵信息基礎(chǔ)設(shè)施運營者制定網(wǎng)絡(luò)服務(wù)和產(chǎn)品采購審查相關(guān)制度情況的核查與分析 39
案例1-27　網(wǎng)絡(luò)日志留存期限核查與分析 40
案例1-28　企業(yè)網(wǎng)絡(luò)安全等級定級、備案情況核查與分析 41
案例1-29　未按照整改要求完成整改的核查與分析 42
案例2-1　E公司被網(wǎng)信辦約談事項處理的整改方案 124
案例2-2　關(guān)于某App隱私政策授權(quán)方式的整改 134
案例2-3　關(guān)于某App隱私政策展示方式的整改 135
案例2-4　關(guān)于某App敏感個人信息單獨同意流程的整改 136
案例2-5　關(guān)于某App索取手機相冊權(quán)限流程的整改 137
案例2-6　關(guān)于某App個人信息權(quán)利保障路徑流程的整改 138
案例2-7　關(guān)于某App賬號注銷功能的整改 139
案例2-8　關(guān)于某App隱私政策文本規(guī)范性的整改 140
案例2-9　關(guān)于兒童隱私政策 152

示例目錄
示例1-1　產(chǎn)品合規(guī)審查項目的數(shù)據(jù)盡職調(diào)查清單 49
示例1-2　企業(yè)數(shù)據(jù)合規(guī)體系建設(shè)項目的盡職調(diào)查資料清單 53
示例1-3　企業(yè)融資項目的盡職調(diào)查資料清單 58
示例1-4　補充盡職調(diào)查清單 68
示例1-5　App穿行測試核查記錄 71
示例1-6　產(chǎn)品合規(guī)審查的數(shù)據(jù)合規(guī)盡職調(diào)查訪談問卷清單 76
示例1-7　企業(yè)赴香港上市項目的數(shù)據(jù)盡職調(diào)查訪談問卷清單 79
示例1-8　數(shù)據(jù)安全、網(wǎng)絡(luò)安全、個人信息保護相關(guān)訴訟處罰核查情況表 84
示例1-9　《數(shù)據(jù)合規(guī)盡職調(diào)查報告》 85
示例1-10　《數(shù)據(jù)合規(guī)盡職調(diào)查重大法律問題備忘錄》 102
示例1-11　企業(yè)日常運營事項、數(shù)據(jù)合規(guī)體系建設(shè)項目備忘錄 105
示例2-1　某香港上市項目的數(shù)據(jù)合規(guī)整改行動計劃 113
示例2-2　某融資項目的數(shù)據(jù)合規(guī)整改行動計劃 115
示例2-3　C企業(yè)個人信息保護合規(guī)整改行動計劃 117
示例2-4　D企業(yè)某產(chǎn)品合規(guī)論證項目 122
示例2-5　互聯(lián)網(wǎng)平臺數(shù)據(jù)合規(guī)整改事項行動清單 130
示例2-6　數(shù)據(jù)處理合同相關(guān)條款（委托方角度） 162
示例2-7　數(shù)據(jù)處理合同條款（受托方角度） 164
示例2-8　數(shù)據(jù)處理合同條款（共同處理者角度） 166
示例2-9　因企業(yè)分立產(chǎn)生的數(shù)據(jù)轉(zhuǎn)移 167
示例2-10　某電信運營商向銀行提供電信用戶個人信息 169
示例2-11　集團內(nèi)信息共享的相關(guān)合同條款 172
示例2-12　關(guān)于數(shù)據(jù)處理的補充協(xié)議 173
示例2-13　關(guān)于××企業(yè)數(shù)據(jù)合規(guī)管理組織架構(gòu)的方案建議 175
示例2-14　企業(yè)《數(shù)據(jù)合規(guī)行為準(zhǔn)則》 179
示例2-15　企業(yè)《數(shù)據(jù)安全管理辦法》 182
示例2-16　企業(yè)《數(shù)據(jù)分類分級管理制度》 187
示例2-17　兒童個人信息保護制度文件 188
示例3-1　香港上市項目數(shù)據(jù)合規(guī)專項法律意見 209
示例3-2　企業(yè)融資項目數(shù)據(jù)合規(guī)專項法律意見書 217
示例3-3　企業(yè)日常運營中的數(shù)據(jù)合規(guī)專項法律意見 224
示例3-4　關(guān)于某企業(yè)是否屬于CIIO的分析意見 228
示例3-5　關(guān)于某企業(yè)數(shù)據(jù)分類分級工作的分析意見 232
示例3-6　關(guān)于某在線職業(yè)培訓(xùn)企業(yè)是否需要進行網(wǎng)絡(luò)安全審查的法律意見 236
示例3-7　關(guān)于某網(wǎng)約車企業(yè)是否需要進行網(wǎng)絡(luò)安全審查的分析意見 239
示例3-8　關(guān)于企業(yè)因業(yè)務(wù)需要而向境外提供相關(guān)數(shù)據(jù)的法律意見 243