本书是国内首部将数据合规法律规范、前沿技术与典型实务案例深度融合的专业教材,由长期活跃于数据合规一线的专家团队联合编著。
本书以“理论解析+实务操作+工具模板”为核心框架,深入浅出地解析数据跨境流动、个人信息保护、算法合规等前沿议题,结合金融、医疗、互联网等重点行业的典型案例,通过“案例导入-规则解析-操作指引”的结构化设计,系统阐释数据合规风险识别、评估与应对的全流程实务技能。书中特别收录百余套标准化文件模板,涵盖数据处理协议、隐私政策、合规审计清单等核心文件,并附以详尽的法律要点标注与实务操作指南,为读者提供可直接复用的工作范本。
全书采用“法规梳理+实操要点+典型案例”的三维编排体例,章末设置高质量思考题引导深化理解,既适合作为高校数字法学专业教材,亦是企业合规官、法务人员、政府监管者及司法实务工作者应对数字化转型法律挑战的实用工具书。
李昊【主编】【中国】【现当代】
———
法学博士、博士后。现任中南财经政法大学法学院教授、博士生导师,湖北省楚天学者,数字法治研究院执行院长。兼任德国奥格斯堡大学法学院客座教授、中国法学会民法学研究会理事、中国法学会网络与信息法学研究会理事、北京市物权法学研究会副会长、上海法院特聘教授,北京仲裁委员会/北京国际仲裁中心和苏州仲裁委员会仲裁员。其著有《纯经济上损失赔偿制度研究》、《交易安全义务论——德国侵权行为法结构变迁的一种解读》、《危险责任的动态体系论》等多部书稿。在《法学研究》等期刊和集刊发表论文六十余篇。主持“法律人进阶译丛”“欧洲法与比较法前沿译丛” “麦读私法译丛”等多部译丛,主编“法律人进阶丛书”,联合主编“新坐标法学教科书”系列,主编《燕大法学教室》。
彭凯【主编】【中国】【现当代】
———
法律硕士,现任北京大成(上海)律师事务所合伙人,执业领域主要涉及网络安全与数据合规、金融科技、人工智能、公司治理与合规。同时担任中南财经政法大学法律硕士校外合作导师,上海市互联网金融行业协会理事,合规专业人士协会(ACCP)理事,公众号“数据的朋友”主理人。曾连续获得钱伯斯大中华区指南2023-2025通信媒体:数据保护与隐私领域领先个人称号。
第一编
数据合规的基础理论篇001
第一章中国数据合规法律新秩序003
第一节持续演进中的中国数据合规法规体系003
一、数据合规法规体系演变003
二、法律007
三、行政法规与地方性法规009
四、部门规章与规范性文件012
五、司法解释019
六、标准与指南020
第二节日趋成熟的中国数据合规监管生态体系023
一、数据合规监管格局的现状与挑战023
二、数据合规领域统筹管理部门026
三、数据合规专项与行业监管机构035
四、数据合规领域技术工作组织038
五、数据合规领域相关自律组织039
第二章数据合规组织架构043
第一节法律法规对数据合规组织架构的要求043
一、《网络安全法》的相关要求043
二、《数据安全法》的相关要求044
三、《个人信息保护法》的相关要求045
四、其他部门规章、地方性法规等的相关要求046
五、域外法律法规的相关要求048
第二节数据合规部门机构设置054
一、网络安全部门054
二、数据安全部门056
三、个人信息保护机构058
四、可能涉及数据合规的其他各部门061
第三节数据合规岗位与人员设置066
一、领导决策层068
二、管理沟通层069
三、实际执行层071
四、监督审计层072
第三章创建数据保护合规制度074
第一节创建数据保护合规制度的必要性074
一、法律规范与企业义务074
二、数据保护合规制度的商业价值076
第二节数据保护合规制度的设计与内容078
一、法规要求与制度文本的对应078
二、制度设计的基本考量090
三、制度文本的结构与内容092
第三节数据保护合规制度的制定与实施104
一、制度的制定与发布104
二、制度的执行、评估与持续改进109
第四章撰写数据合规文件112
第一节数据合规文件与数据合规治理112
一、关于数据合规文件112
二、数据合规文件的纲领作用113
三、数据合规文件的约束作用115
四、数据合规文件的补强作用116
第二节数据合规文本的分类与示例118
一、C端对客文本118
二、B端第三方合作125
三、数据合规报告133
第三节如何撰写数据合规文件142
一、现状梳理的“详”与“疏”142
二、明确需求的“表”与“里”144
三、维护文件的“横”与“纵”145
CHAPTER2第二编
数据的全生命周期合规及其技术保障147
第一章数据的全生命周期合规149
第一节数据全生命周期概览149
一、数据全生命周期的定义149
二、数据全生命周期各环节的定义150
第二节数据全生命周期的合规要点151
一、数据处理前的合规要点151
二、数据收集环节的合规要点168
三、数据存储环节的合规要点169
四、数据使用环节的合规要点175
五、数据传输/提供环节的合规要点176
六、数据公开环节的合规要点180
七、数据删除环节的合规要点181
第三节数据全生命周期技术合规保障182
一、数据收集的技术合规保障182
二、数据存储的技术合规保障242
三、数据传输的技术合规保障244
四、数据处理的技术合规保障247
五、数据删除的技术合规保障250
六、数据生命周期安全管理合规体系252
第四节数据全生命周期管理示例253
一、互联网行业——App处理个人信息253
二、人力资源管理——用人单位处理雇员个人信息257
三、金融行业——金融数据生命周期管理259
第二章数据合规的技术保障261
第一节数据安全防护措施介绍261
一、 网络安全防护措施介绍261
二、主机安全防护措施介绍265
三、 数据库安全防护措施介绍268
四、 应用安全防护措施介绍270
五、 数据安全检测工具介绍271
六、网络安全检测工具介绍273
七、 网络安全等级保护介绍275
八、 数据安全生命周期管理介绍277
第二节数据处理技术介绍280
一、数据脱敏280
二、数据加密282
三、个人信息去标识化286
四、个人信息匿名化292
五、隐私计算293
CHAPTER3第三编
场景化的数据合规297
第一章个人信息保护合规299
第一节个人信息保护影响评估实践299
一、序言300
二、触发场景301
三、制定评估流程与实施评估304
第二节个人信息保护合规审计314
一、个人信息保护合规审计的要求316
二、个人信息保护合规审计的方法320
三、个人信息保护合规审计的流程322
第三节个人信息保护中的第三方管理327
一、个人信息保护中的第三方管理327
二、第三方风险管理实践(以委托处理为例)338
第四节个人信息主体行权响应实践345
一、个人权利体系347
二、各项权利的响应要点348
三、建立响应流程356
第五节个人信息安全事件应急预案与处置358
一、法律法规解读359
二、个人信息安全事件应急预案363
三、个人信息安全事件应急处置365
第二章数据确权与数据流通交易合规371
第一节数据确权与数据流通交易合规概述371
一、基础概念介绍371
二、数据财产权的立法现状375
三、数据确权的纷争与必要性383
四、数据交易的现状与难点387
第二节“数据二十条”视角下的数据要素实践探索390
一、数据财产权的“三权分置”390
二、个人数据——以保障个人信息权益为前提392
三、企业数据——以入表推动企业挖掘数据价值394
四、公共数据——以开放为主流,以授权运营为
补充397
五、数据产权与数据知识产权登记的实践探索405
第三节数据流通交易的风险控制414
一、数据流通交易的风险特征414
二、数据流通交易的主要风险问题417
三、以合规控安全——数据流通交易风险化解新
进路421
第四节数据流通交易合规实务424
一、数据交易主体合规424
二、数据交易标的合规432
三、数据交易流通合规442
第三章网络与数据领域的竞争规制448
第一节数据时代的竞争448
一、数据在市场竞争中的价值448
二、竞争政策在数字市场的作用454
三、小结456
第二节数据不正当竞争及规制457
一、我国数据领域不正当竞争案件的实证分析458
二、我国对数据竞争的法律规制461
三、境外数据不正当竞争法律规制与典型案例465
四、小结468
第三节网络与数据垄断及规制468
一、数据垄断的表现形式469
二、我国对互联网与数据垄断的规制471
三、海外对互联网与数据垄断的规制478
四、小结485
第四章数据和个人信息出境的法律实务486
第一节数据出境基本背景486
一、中国数据出境法律法规框架与位阶486
二、中国数据出境制度的沿革和演进487
第二节国际组织数据跨境规制构建491
一、经济合作与发展组织491
二、亚太经济合作组织493
三、东盟496
四、《数字经济伙伴关系协定》(DEPA)500
第三节数据出境的基本概念识别与合规要求梳理502
一、何谓“数据出境”502
二、如何识别重要数据和个人信息508
三、数据本地化存储513
四、数据出境必要性分析514
五、数据处理者的权利义务515
六、境外接收方的权利义务520
七、数据出境场景识别523
第四节数据出境三种路径合规解析525
一、数据出境三大路径的法律渊源526
二、数据出境三大路径简析529
三、境外常见个人信息跨境传输路径550
第五节数据出境监管和处罚552
一、数据出境监管模式554
二、违规数据出境行为的监管措施和处罚564
第六节数据和个人信息出境案例568
一、数据出境安全评估案例568
二、个人信息出境标准合同备案案例571
三、个人信息保护认证案例572
第五章APP专项治理合规573
第一节APP设计阶段的合规要求573
一、合规样本573
二、APP设计阶段的合规要求实务573
三、章节要点578
第二节开发阶段的合规保障579
一、合规样本579
二、开发阶段的合规保障实务580
三、章节要点585
第三节用户权限和数据访问586
一、合规样本586
二、用户权限和数据访问实务586
三、章节要点591
第四节用户数据的管理和保护592
一、合规样本592
二、用户数据的管理和保护实务592
三、章节要点597
第五节合规性检查598
一、合规样本598
二、合规性检查实务599
三、章节要点603
第六节用户教育和透明度604
一、合规样本604
二、用户教育和透明度实务604
三、章节要点610
第七节数据泄露和事故响应611
一、合规样本611
二、数据泄露和事故响应实务611
三、章节要点617
第八节持续监控和改进618
一、合规样本618
二、持续监控和改进实务619
三、章节要点622
第九节个人信息保护合规审计623
一、审计流程623
二、个人信息合规审计实务623
三、章节要点628
第六章人工智能和算法的数据合规629
第一节概述629
一、人工智能的简介629
二、人工智能、数据与算法632
三、人工智能合规监管逻辑634
四、中国的人工智能监管体系636
第二节人工智能中的数据问题638
一、数据源来源概述638
二、爬取数据用于人工智能训练的合规性639
三、采买数据用于人工智能训练的合规性641
四、平台用户数据用于人工智能训练的合规性642
五、开源数据集用于人工智能训练的合规性644
第三节人工智能中的算法问题647
一、算法的风险647
二、算法监管框架650
第四节余论:人工智能与算法的其他合规思考669
第七章特定行业或场景数据合规的特别要求674
第一节金融行业特有的数据合规监管要求674
一、金融数据全生命周期保护674
二、金融数据分类分级696
三、金融机构处理个人信息的其他合法性基础703
四、各金融细分行业的数据合规场景707
第二节“互联网+医疗健康”行业数据合规745
一、“互联网+医疗健康”当前数据合规监管体系
概述745
二、“互联网+医疗健康”典型场景数据合规问题
分析749
第三节智能网联汽车行业的数据合规766
一、序言772
二、《汽车数据安全管理若干规定(试行)》要点
分析773
三、智能网联汽车领域重点概念777
四、智能网联汽车数据合规的特殊要求783
五、后续的讨论与思考786
第四节劳动与人力资源领域的个人信息保护788
一、劳动者个人信息保护的特殊性及其立法发展790
二、人力资源管理中处理个人信息的合规要点793
三、余论:劳动者个人信息保护的合规思考848
书单推荐
