刘瑛
北京市天元律师事务所合伙人，律师。北京大学法学学士、法学硕士。美国杜克大学(Duke University)法学院访问学者。著有《律师的思维与技能》(法律出版社2006年版)、《重新定 义合同:从商业意图到法律文件》(法律出版社2019年第1版、2020年第2版)以及《互联网平台运营法律实务》(合著，法律出版社2020年版)。刘瑛律师曾从事近十年法律教学工作，律师执业主要从事投资并购、数据合规、企业合规等业务，以及通信及互联网企业运营综合法律服务。
李晓华
北京市天元律师事务所律师。中山大学法学学士，美国威廉玛丽大学(The College of William and Mary)法学硕士(LL.M.) ，美国杜克大学(Duke University)法学与创业学专业法学硕士(LL.M.)。合著有《互联网平台运营法律实务》(法律出版社2020年版)。律师执业领域主要有境内外投资并购、数据合规、通信及互联网企业运营综合法律服务、境外上市等。

本书聚焦企业数据合规实务，以作者作为社会执业律师参与的数据合规工作为例，对于企业运营管理和数据合规体系建设以及上市和投融资两类场景下法律人员的企业数据合规工作进行归纳、总结、提炼，按照数据合规风险识别(数据合规尽职调查) 一数据合规整改(数据合规解决方案)一数据合规结论意见(结论性意见/专项分析意见)的流程，展示法律人员在数据合规领域的工作，解析数据合规领域的热点问题。
围绕数据合规实务，本书除了介绍法律人员可以“做什么”，还与读者分享“怎么做”。为此，书中使用了大量作者在律师执业中的案例和示例。案例旨在介绍数据合规工作的方法，说明数据合规常见问题以及现行法律和监管要求下的重点事项。示例旨在展示工作文件(如数据合规尽职调查清单、尽职调查报告、法律意见书)和工作成果(如合同条款、数据合规行为准则、数据合规整改行动计划)。

目　录
第一章　数据合规尽职调查 1
　　一、数据合规尽职调查内容 3
　　　　（一）了解企业的业务情况 3
　　　　（二）梳理业务经营中的数据处理活动 5
　　　　 1.区分数据的类型 5
　　　　 2.核查数据生命周期全流程 6
　　　　 3.甄别企业在数据处理活动中的角色 16
　　　　（三）了解企业数据合规管理情况 27
　　　　 1.核查企业的数据安全管理组织架构 38
　　　　 2.核查企业的数据安全管理制度 39
　　　　 3.核查企业业务的数据安全技术措施 40
　　　　 4.核查企业的网络信息系统安全等级保护情况 40
　　　　 5.核查企业的数据安全教育培训情况 41
　　　　（四）核查企业涉及的与数据合规相关的争议、诉讼、仲裁或行政处罚等情况 41
　　　　（五）数据合规尽职调查的几个重点核查事项 42
　　　　 1.企业是否属于关键信息基础设施的运营者 42
　　　　 2.企业处理的数据是否属于重要数据、核心数据 44
　　　　 3.企业处理个人信息的规模 45
　　　　 4.企业是否需要进行网络安全审查 46
　　二、数据合规尽职调查方式 47
　　　　（一）核查企业提供的资料 48
　　　　 1.准备数据合规尽职调查资料清单 48
　　　　 2.视情况准备数据合规补充尽职调查清单 67
　　　　（二）进行网络平台穿行测试 70
　　　　（三）访谈相关人员 75
　　　　（四）通过公共查询渠道核查印证 84
　　三、数据合规尽职调查报告 85
　　　　（一）企业上市、投融资项目的数据合规尽职调查报告 85
　　　　 1.《数据合规尽职调查报告》模板示例 85
　　　　 2.《数据合规尽职调查重大法律问题备忘录》示例及简析 101
　　　　（二）企业日常运营项目、数据合规体系建设项目的数据合规尽职调查报告 104

第二章　数据合规解决方案 109
　　一、制订数据合规整改行动计划 111
　　二、落实数据合规整改措施 130
　　　　（一）个人信息处理流程及文本的整改和优化 130
　　　　 1.业务流程的整改优化 133
　　　　 2.个人信息处理规则（隐私政策）的整改和优化 140
　　　　（二）业务或交易等商业合同的整改和优化 160
　　　　 1.场景一：企业作为数据委托方委托合同对方处理个人信息等数据 161
　　　　 2.场景二：企业作为受托方处理合同对方提供的个人信息等数据 163
　　　　 3.场景三：企业与合同相对方共同处理个人信息等数据 165
　　　　 4.场景四：因合并、分立、解散、被宣告破产等原因需要转移个人信息等数据 166
　　　　 5.场景五：企业向合同相对方提供个人信息等数据 168
　　　　（三）建立企业数据合规管理体系 175
　　　　 1.搭建网络和数据合规组织架构 175
　　　　 2.建立和完善网络及数据安全相关制度 178

第三章　数据合规结论性意见 205
　　一、就企业数据合规情况发表结论性法律意见 208
　　二、就数据合规的特定事项出具法律分析意见 225
　　　　（一）关于企业是否属于关键信息基础设施运营者的专项分析意见 226
　　　　（二）关于企业数据分类分级管理的专项分析意见 230
　　　　（三）关于企业是否需要进行网络安全审查的专项分析意见 234
　　　　（四）关于数据出境的专项分析意见 242

案例目录
案例1-1　不同业务模式下的企业数据处理角色 4
案例1-2　“告知—同意”规则履行情况的核查与分析 7
案例1-3　“单独同意”规则履行情况的核查与分析 8
案例1-4　数据来源合法性核查与分析 8
案例1-5　违法使用爬虫或类似自动化技术收集数据与分析 9
案例1-6　数据使用范围是否符合用途的核查与分析 10
案例1-7　个人信息使用范围是否符合用途的核查与分析 10
案例1-8　利用个人信息进行自动化决策是否符合法律规定的核查与分析 11
案例1-9　AI“换脸”软件涉嫌侵权 11
案例1-10　对人脸识别第三方SDK情况的核查与分析 13
案例1-11　关于互联网医院数据存储期限的核查与分析 14
案例1-12　受政府委托处理政务数据行为的核查与分析 14
案例1-13　第三方SDK数据存储境外的核查与分析 15
案例1-14　委托方处理个人信息与受托方签订合同情况的核查与分析 18
案例1-15　委托处理个人信息向个人告知并取得同意情况的核查与分析 18
案例1-16　委托处理个人信息前个人信息影响评估情况的核查与分析 19
案例1-17　受托方按照合同约定处理数据情况的核查与分析 19
案例1-18　受托方在合同中对委托方数据来源合法合规的约定 20
案例1-19　母公司与其子公司共同处理客户信息核查与分析 21
案例1-20　App运营者与SDK提供方共同处理用户个人信息核查与分析 22
案例1-21　数据转移中提供方的告知义务 23
案例1-22　接收方变更原先处理目的应当重新取得个人同意 24
案例1-23　向其他数据处理者提供数据告知个人情况的核查与分析 25
案例1-24　对数据提供方数据来源合法性情况的核查与分析 26
案例1-25　涉及大量个人信息处理活动的企业设置个人信息保护负责人情况的核查与分析 39
案例1-26　关键信息基础设施运营者制定网络服务和产品采购审查相关制度情况的核查与分析 39
案例1-27　网络日志留存期限核查与分析 40
案例1-28　企业网络安全等级定级、备案情况核查与分析 41
案例1-29　未按照整改要求完成整改的核查与分析 42
案例2-1　E公司被网信办约谈事项处理的整改方案 124
案例2-2　关于某App隐私政策授权方式的整改 134
案例2-3　关于某App隐私政策展示方式的整改 135
案例2-4　关于某App敏感个人信息单独同意流程的整改 136
案例2-5　关于某App索取手机相册权限流程的整改 137
案例2-6　关于某App个人信息权利保障路径流程的整改 138
案例2-7　关于某App账号注销功能的整改 139
案例2-8　关于某App隐私政策文本规范性的整改 140
案例2-9　关于儿童隐私政策 152

示例目录
示例1-1　产品合规审查项目的数据尽职调查清单 49
示例1-2　企业数据合规体系建设项目的尽职调查资料清单 53
示例1-3　企业融资项目的尽职调查资料清单 58
示例1-4　补充尽职调查清单 68
示例1-5　App穿行测试核查记录 71
示例1-6　产品合规审查的数据合规尽职调查访谈问卷清单 76
示例1-7　企业赴香港上市项目的数据尽职调查访谈问卷清单 79
示例1-8　数据安全、网络安全、个人信息保护相关诉讼处罚核查情况表 84
示例1-9　《数据合规尽职调查报告》 85
示例1-10　《数据合规尽职调查重大法律问题备忘录》 102
示例1-11　企业日常运营事项、数据合规体系建设项目备忘录 105
示例2-1　某香港上市项目的数据合规整改行动计划 113
示例2-2　某融资项目的数据合规整改行动计划 115
示例2-3　C企业个人信息保护合规整改行动计划 117
示例2-4　D企业某产品合规论证项目 122
示例2-5　互联网平台数据合规整改事项行动清单 130
示例2-6　数据处理合同相关条款（委托方角度） 162
示例2-7　数据处理合同条款（受托方角度） 164
示例2-8　数据处理合同条款（共同处理者角度） 166
示例2-9　因企业分立产生的数据转移 167
示例2-10　某电信运营商向银行提供电信用户个人信息 169
示例2-11　集团内信息共享的相关合同条款 172
示例2-12　关于数据处理的补充协议 173
示例2-13　关于××企业数据合规管理组织架构的方案建议 175
示例2-14　企业《数据合规行为准则》 179
示例2-15　企业《数据安全管理办法》 182
示例2-16　企业《数据分类分级管理制度》 187
示例2-17　儿童个人信息保护制度文件 188
示例3-1　香港上市项目数据合规专项法律意见 209
示例3-2　企业融资项目数据合规专项法律意见书 217
示例3-3　企业日常运营中的数据合规专项法律意见 224
示例3-4　关于某企业是否属于CIIO的分析意见 228
示例3-5　关于某企业数据分类分级工作的分析意见 232
示例3-6　关于某在线职业培训企业是否需要进行网络安全审查的法律意见 236
示例3-7　关于某网约车企业是否需要进行网络安全审查的分析意见 239
示例3-8　关于企业因业务需要而向境外提供相关数据的法律意见 243