数据合规：入门、实战与进阶

本书的作者都有多年从事个人信息保护的一线经验，书中从实务场景入手，把对法律的解读落地到具体的实务工作中，对大家很有帮助。《个人信息保护法》和每个人的生活息息相关，我们需要把它的要求落到具体的数据处理活动中，才能让这部法律更有生命力。

—— 周汉华，中国社会科学院研究生院教授、博士生导师

《个人信息保护法（专家建议稿）》主要起草人之一

本书结构清晰、体系完整，可使读者快速获得数据合规工作的全景式认知。

开篇 明确了企业数据合规工作的基本工作范围和避坑红线。

入门篇 梳理了我国及美欧的数据保护立法体系与监管情况，作为入门必备。

进阶篇 介绍了企业数据合规工作的必备通用场景，如个保法落地、隐私政策开发、账号注销、员工个人信息保护等。

高阶篇 讲解企业数据合规工作中的高难复杂场景，如个性化推荐、数据共享、生物识别信息使用、出海业务的跨境传输、企业上市中的数据合规问题等，并展望了数据合规律师向数据保护官转变的跨越式发展路径和能力要求。

附 录 提供了一线数据合规工作的实用工具，如常用法条清单、数据本地存储的要求汇总等。

孟洁，现任北京市环球律师事务所合伙人，主要执业领域为网络安全、个人信息与隐私保护。曾在多家知名企业担任法务负责人和数据保护官，任IAPP中国区知识社区主席，被钱伯斯、Ｔhe Legal 500、LEGALBAND等知名法律评级机构评为 “TMT领域领军人物”“数据保护领域领军人物”“Fintech领域头部律师”等，被北京市律协评为全国千名涉外专家律师。

薛颖，长期在互联网集团担任数据合规与知识产权总监。在外企、世界五百强公司等从事过多年数据隐私合规工作，拥有丰富的互联网场景一线经验。持有CIPP/E、CIPP/U认证，当选ALB中国知识产权法务15强并带领团队获得过《商法》年度“数据合规”优秀团队等奖项。

朱玲凤，现任知名互联网公司隐私及数据合规专家，曾任小米安全与隐私委员会隐私副主席。多年从事数据隐私合规研究和实务工作，深入参与国内信息安全相关标准拟定和重要法律研讨等，在全球隐私法律研究、隐私保护设计、隐私安全技术应用与管理以及App、物联网、人工智能等领域有丰富的实践经验。

自　序

开篇　小白入职“数据合规”

法务岗位，一头雾水怎么办

第一章　“数据合规”都管哪些事儿  3

第一节　这些数据很重要：用户数据、个人信息、隐私  3

第二节　要管理的数据处理活动太多了：覆盖数据全生命周期  9

第三节　数据合规工作面面观：政策研究、合规评估、管理体系、技术措施  12

小结  17

第二章　数据合规之避坑预警  19

第一节　避坑点之产品端在线协议  19

第二节　避坑点之内部管控  22

小结  25

入门篇　对症下药，

小白必知的合规要求

第三章　我国数据合规立法体系与监管要求  29

第一节　现行数据合规立法体系  29

第二节　多重监管要求的对比分析  39

第三节　数据合规违法案例  44

小结  50

第四章　如何让《个人信息保护法》在业务中落地  51

第一节　摸排场景：识别个人信息和主体身份  52

第二节　遵循个人信息处理的基本规则和通用义务  56

第三节　遵循个人信息处理的特殊义务  60

第四节　个人信息主体的权利及其他  65

小结  69

第五章　欧盟数据保护立法体系与监管要求  70

第一节　欧盟数据保护立法概况  70

第二节　欧盟数据保护监管案例  82

小结  87

第六章　美国数据保护立法体系及监管要求  88

第一节　美国数据保护立法概况  88

第二节　美国数据保护监管案例  98

小结  102

进阶篇　不得不知，

小白最常遇到的普通场景

第七章　“告知同意”就是用户“点击同意隐私政策”吗  105

第一节　“告知同意”法典化概况  106

第二节　“告知”规则的适用要求  108

第三节　获取个人的有效“同意”  111

小结  118

第八章　隐私政策不能抄！那该怎么办  121

第一节　用户同意的隐私政策是合同吗  122

第二节　隐私政策的合规要求  126

第三节　隐私政策的开发路径  132

小结  135

第九章　账号注销，落实起来不容易  137

第一节　账号注销，这事儿必须做  138

第二节　账号注销需要哪些流程才能完成  141

第三节　用户注销账号之后，企业还需要做什么  147

小结  152

第十章　员工个人信息保护，这事儿不能忘  153

第一节　雇用中国籍员工的注意事项  153

第二节　雇用外国籍员工的注意事项  158

第三节　境外分支机构雇用员工的注意事项  162

小结  162

高阶篇　见招拆招，小白化身

数据合规专家应对高难场景

第十一章　更懂你的精准营销和个性化推荐  167

第一节　为什么广告是为我量身定做的：精准营销  167

第二节　为什么互联网产品总能“猜你喜欢”：个性化推荐  184

第三节　解开算法中的你和我  189

小结  197

第十二章　数据要素效能发挥：数据共享与交易  198

第一节　数据共享与交易的困境  198

第二节　平台企业有数据垄断“原罪”吗  210

小结  219

第十三章　生物识别技术的发展：人脸识别的恐慌与合规  220

第一节　辨析人脸识别技术及其应用场景  220

第二节　映射人脸识别的数据合规要点  224

小结  231

第十四章　出海业务中如何跨境传输数据才不碰雷  233

第一节　第一道雷：数据本地化  233

第二节　第二道雷：跨境传输合规机制  235

第三节　避雷指南：出海业务跨境传输合规三步走  245

小结  247

第十五章　企业上市中的数据合规：全面布局  248

第一节　证监会上市要求洞察与分析  248

第二节　拟上市企业的前期准备  250

第三节　企业上市后的合规保健  264

小结  265

第十六章　月薪10万元是个小目标：职业跨越式发展  266

第一节　从数据合规律师到数据保护官  266

第二节　数字化转型时代对数据保护官的进一步要求  272

后记  275

附录  277

附录A　名词解释  278

附录B　与数据保护相关的常用法规、规章与规范性文件  281

附录C　数据保护领域单行专项法律  284

附录D　综合性法律中的数据保护专条  285

附录E　关于数据本地化和出境要求的规范汇总  293

开　　本：16开