“企业数据合规管理指南”专家发言要点

　　7月30日，由北京市知识产权维权援助中心（国家海外知识产权纠纷应对指导中心北京分中心）指导，北京海外知识产权保护联盟、乐知新创（北京）咨询服务有限公司主办，北京软件和信息服务业协会支持的数据合规培训活动（线下+网络直播）成功举办。北京瀛和律师事务所知识产权部主任赵礼杰律师作为授课专家以“企业数据合规管理指南”为题，与大家进行了分享探讨。以下为授课专家发言要点，由北京海外知识产权保护联盟根据授课内容整理。

赵律师分享的内容主要从中国及境外企业数据合规严峻形势、中国数据相关典型法律解读、域外典型国家的数据立法简介、企业数据合规体系构建思路四个方面展开。

一、中国及境外企业数据合规严峻形势

由于“ABC”技术和数字经济迅猛发展、企业对数据合规的重视程度远远不够、懂数据合规的专业人士相对比较匮乏等原因，导致目前全球范围内企业数据合规形势严峻，涌现出了“ZAO用户协议事件、深网视界的数据泄露门、“数据堂”员工转卖个人信息数据刑事案件、脉脉被相关部门要求全面整改、Facebook因数据共享被美国司法调查”等一系列数据合规典型风险事件。

二、中国数据相关典型法律解读

数据合规涉及的主要法律问题包括以下几个方面：隐私和个人信息保护、数据安全、数据权属和数据资产、数据垄断和不正当竞争、个人信息和重要数据出境、征信。

中国数据相关主要立法有《民法典》（将于2021年1月1日施行）、《刑法修正案（九）》、最高人民法院和最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《网络安全法》、工信部《电信和互联网用户个人信息保护规定》、《全国人大常委会关于加强网络信息保护的决定》、信安标委《信息安全技术个人信息安全规范》（GB/T35273-2020，将于10月1日生效）等。

《民法典》对隐私权和个人信息的相关规定主要包括：

1.隐私、隐私权的定义

【第一千零三十二条】 自然人享有隐私权。任何组织或者个人不得以刺探、 侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。

2.侵害隐私权的行为

【第一千零三十条】 除法律另有规定或者权利人明确同意外，任何组织或者个人不得实施下列行为：

（一）以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁；

（二）进入、拍摄、窃听、窥视他人的住宅、宾馆房间等私密空间；

（三）拍摄、窥视、窃听、公开他人的私密活动；

（四）拍摄、窥视他人身体的私密部位；

（五）处理他人的私密信息；

（六）以其他方式侵害他人的隐私权。

3.个人信息的定义

【第一千零三十四条】 自然人的个人信息受法律保护。

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息中的私密，适用有关隐权的规定；没有规定的，适用有关个人信息保护的规定。

4.个人信息处理的原则和条件

【第一千零三十五条】 处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，并符合下列条件：

（一）征得该自然人或者其监护人同意，但是法律、行政法规另有规定的除外；

（二）公开处理信息的规则；

（三）明示处理信息的目的、方式和范围；

（四）不违反法律、行政法规的规定和双方的约定。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

5.处理个人信息的免责事由

【第一千零三十六条】 处理个人信息，有下列情形之一的，行为人不承担民事责任：

（一）在该自然人或者其监护人同意的范围内合理实施行为；

（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人拒绝或者处理该信息侵害其重大利益的除外；

（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。

6.个人信息主体的权利

【第一千零三十七条】 自然人可以依法向信息处理者查阅或者复制其个人信息；发现信息有错误的，有权提出异议并请求及时采取更正等必要措施。

自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。

7.个人信息处理者的义务

【第一千零三十八条】 信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。

信息处理者应当采取技术措施和其他必要，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失；发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施 ，按照规定告知自然人并向有关主管部门报告。

8.国家机关、承担行政职能的法定机构及其工作人员的保密义务

【第一千零三十九条】 国家机关、承担行政职能的法定构及其工作人员对于履行职责过程中知悉的自然人隐私和个信息，应当予以保密，不得泄露或者向他人非法提供。

三、域外典型国家的数据立法简介

1.欧盟数据保护立法状况

欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR）于2018年5月25日正式实施，并取代1995年欧盟发布的数据保护指令(DPD)。

根据GDPR第3条的规定，如下三类企业数据处理行为均受GDPR约束：

-设立于欧盟的企业从事的数据处理活动，无论其处理行为是否位于欧盟范围之内；

-非欧盟企业：在欧盟范围内向数据主体提供商品或服务，而无论是否要求其支付对价；

-非欧盟企业：针对欧盟范围内的数据主体的行为实施监测和追踪。

欧盟数据保护具有“长臂管辖、域外效力”的特点。

2.美国数据保护相关的法案（提案）

四、企业数据合规体系构建思路

1.数据合规不可触碰的刑事红线

A、企业通过黑色渠道购买数据，导致对企业数据形成污染。

B、企业对数据资产管理不严，员工将其进行非法交易或用于违法用途。

C、企业未能把握好技术应用边界，通过如网站攻击、 撞库、钓鱼网站、木马、恶意APP等技术类手段窃取个人信息。

刑法第二百五十三条 【侵犯公民个人信息罪】

违反国家有关规定，向他人出售或者提供公民个信息情节严重的处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的处三年以上七年以下有期徒刑，并处罚金。

2.知情同意、匿名化是数据合规的两条主要路径

3.构建企业数据合规所需的知识架构

熟悉企业业务相关国家的主要立法

熟悉监管架构以及各部门的职能

熟悉企业与数据有关的商业模式

熟悉数据相关技术的基本原理

熟悉数据合规相关的典型案例

4. 数据合规工作开展的主要流程

5.可供参考的合规管理模型

德勤合规体系框架

延伸阅读：【工作动态】北京维权中心举办“走出去”企业数据合规管理培训