Privacy

In Practice Views: Valine:

谨慎搜集及使用数据，保护用户隐私。

Why

21世纪，我们被各种各样的数字强盗所困扰，从身份窃贼到跟踪者，再到公司和政府间谍，再到骚扰者。我们没有办法保护自己。

为了安全起见，你必须与军阀结盟。苹果、谷歌、Facebook、微软和其他一些军阀已经建立了防御要塞的庞大堡垒，金钱可以买到的最凶猛的网络雇佣兵时刻都在攻击他们的堡垒。他们将为你防御所有攻击者，但是如果他们想获取你的信息，你将毫无防备。
– 《数字安全的封建时代》

OVH 主机公司的一个法国机房3月10日发生严重火灾，所有服务器都被烧毁。这件事情的启示是，如果你的数据和数据备份在同一个机房，那么一旦机房没了，你的数据将彻底丢失。

我认为，对人工智能的恐惧，大多数情况下，就是对资本主义的恐惧。我们担心资本主义将如何通过技术来利用我们。
现在，技术与资本主义息息相关，已经很难区分两者了。
– Ted Chiang，美国科幻小说作家

我们需要保护隐私的十个理由

隐私需要不需要保护，对于这个问题大部分人的答案肯定是需要。但随着科技的进步，我们常常发现，一些科技应用在增加生活便利的时候，也需要我们牺牲某些隐私，这时你会怎么选择呢？

但这封信我想和你讲一个观点，就是我们应该更重视对隐私的保护。几年前，一家互联网巨头的创始人在一个论坛上讲：“中国人对隐私问题没有那么敏感，很多情况下愿意用隐私交换便利。”我认为这种说法很没有道理，中国人的隐私和世界任何其他国家的人的隐私一样重要，应当得到尊重和保护。

为什么隐私很重要，我们需要保护好它？这封信我写了一个清单，从十个方面和你谈一谈隐私对我们的重要性。

第一，隐私是人的基本安全。

谈论隐私话题的时候，常常有人会说“不做亏心事，不怕鬼敲门”，说只要自己没做坏事，被别人知道隐私也没什么关系。但中国还有一句俗话“不怕贼偷，就怕贼惦记”。近年来我们看到的很多诈骗新闻，案件的起点都是个人隐私信息的泄露。

保留自己的隐私，某种程度上就是让自己不要在人群中轻易地被辨识出来，否则容易成为他人侵害的目标。人在什么地方最安全呢？就是混在一群人之中。这就如同我们的祖先混在丛林中不让野兽发现一样。

暴露隐私会让我们置身于一种缺少保护的状态中，这与我们自己的行为无关，暴露本身就意味着风险，减少了安全，提升了受到伤害的几率。

第二，隐私关系到对人的基本尊重。

人总是充满好奇心，但有时，人满足自己好奇心的方式是去打探他人的隐私。这是一种很无礼的做法，这就好像是在说，“我关心我的利益，但我不在乎你的利益”。

现代社会的价值观是平等和尊重，对他人的隐私有过度的好奇心，与现代社会的价值观是相冲突的。如果自己对自己的隐私都不在乎，随意暴露给别人，是对自己的不尊重，而不尊重自己的人也很难得到别人的尊重。因此，很多人问我一些诸如“你大选投了谁的票”之类的问题，我一概不回答，因为这属于我的隐私。

第三，隐私是声誉管理最重要的部分。

别人对我们的评价，会对我们的生活造成各种复杂的影响，包括可能得到的机会、和朋友的友谊等等。一个人的公共声誉看似是一个客观问题，但公共声誉其实是在许多他人对这个人的主观评价中形成的。

因此，我们必须具有一定的能力来保护我们的声誉免遭不公正的损害。保护声誉不仅需要防止虚假信息的传播，也要避免某些私人的信息被传播到公共环境里，以免引起别人的误解。

一个人的私生活大多数情况下都与他人无关，我们去了解一个人私生活的某些侧面，很多时候并不是让我们更理解他人，而是会引发更多的误解和偏见。这对他人是不公平的，放到我们自己身上，对自己的声誉管理常常也是有害的。

第四，隐私是一种社交距离。

在现代社会中，人和人需要保持一些社交距离，这个距离既是物理上的，也是信息上的。中国还有一句俗话，叫做“远香近臭，远亲近仇”。我们和他人的关系，并不是越近越好。

一个人朋友的数量是有限的，我们一生中认识的人，绝大多数交情只会停留在泛泛之交的层面。如果有具体事务上的合作关系，保持恰当的距离，更有利于彼此之间相对客观地、就事论事地交往。

举个例子，假设有一位女士，你们是工作上的同事，这位女士人品性格都很好，待人接物非常友善，但她有一个隐私，就是多年之前曾经和一名有妇之夫有来往。就同事关系而言，这件事情和工作其实没什么关系，但知道了这件事，同事就不得不对她做出一种判断，因为否则好像就丧失了自己的某种立场，那么接下来同事关系就必然会受到影响。这位女士的隐私被暴露，对她本人当然很不利，对同事关系其实也没什么好处。

保护隐私有助于减少我们在生活中遇到的社会摩擦，让我们在一个相对放松的环境中交往。保护好自己的隐私，就是维持信息上的社交距离。我们和人物理距离太近——比如在公交车上紧紧挤在一起——就会觉得不舒服；同样的道理，信息距离如果太近，也可能会感到不舒适。

第五，保护好隐私，是对信任关系的保护。

一个人会拥有很多的职业关系、商业关系、社会关系，其中，许多关系都依赖于我们对于另一方的信任。

比如，我们和心理医生谈我们遭遇的痛苦，和律师谈我们遇到的麻烦，和会计师谈我们的经济情况，我对他们的信任是我愿意提供准确信息的前提，而他们只有获得了准确的信息，才能最好地为我们服务。

在这种情况下，他们要保护我们的隐私，这是我们对他们信任的最最基本条件。如果他们违反保密规定，不仅是违背了职业操守，而且破坏了我们之间的信任关系，没有信任关系，其他的业务关系、商业关系也就不再可能存在。

第六，保护隐私，也是在控制人生的风险。

生活中，我们要做的许多事情都和我们的个人信息以及专业声誉密切相关，比如申请贷款、申请商业执照、找工作等等。有些隐私信息，原本是与这些事情无关的，但却会影响到这些事情。很多时候我们不希望隐私被泄露或者滥用，也是为了保护自己，在从事社会工作活动时不会受到不公平的对待。

这里可以举一个真实的例子。人们找工作的时候，简历上通常要写联系方式，有的人会把自己的住址写上去。有一位女士，她的丈夫是一家大公司的高管，他们住在一个房价极高的富人区。这位女士找工作的时候，简历中留了自己家的地址。

结果在申请某个公司的工作时，对方半开玩笑地问了她一个问题，说你确定你要找工作？言外之意是，你找工作会不会只是闲着无聊找点事做，其实没有职业发展的进取心？照理说，判断这位女士是否合格，看的应该是她的专业能力，而不是她的家庭条件。显然，这项个人隐私的泄露就让她在找工作这件事上陷入了一些被动。

再比如在美国，有的人有时会突然收到信用卡公司或者银行的大额账单，但这些人并没有申请过那些信用卡。这其中就存在隐私的泄露，比如在社交网络上不经意地暴露了自己的社会保险号、驾照复印件、住址信息等等。

我刚到美国时，当地的朋友告诉我两个注意事项：

首先，个人信息，特别是社会保险号、生日、和妈妈娘家的姓氏是不能随便告诉别人的。你知道在西方，很多女性结婚后会改成丈夫的姓氏，她嫁人之前的娘家姓氏就成了一种隐私。

其次，如果接到电话说它是某家银行或者信用卡公司，要你确认某某信息，在电话里什么都不要讲，和对方说自己会打回去，然后自己打电话给相应银行或者信用卡公司确认。这么做是避免被电话诈骗套走信息。

我们每一个人都希望拥有自由。自由的一个重要标志就是，我们对自己的生活拥有自主权和控制权。如果不注意保护自己的隐私，就可能导致别人在我们不知情的情况下干涉、影响我们的生活，这就破坏了我们生活的自由。

第七，保护隐私还是保护思想和言论自由的关键。

每个人都可能有与主流观点不一致的时候，如果不能发出不同的观点，我们就只能成为主流声音的服从者。而能够安全发声的前提，就是我们隐私受到保护，不会因为发声就遭到攻击或者报复。

有时，我们需要以匿名的方式表达自己的意见，比如职场中的工作评议、学校中学生对老师的评教评学。这时，对隐私的保护是我们能够如实发表想法的前提。

比如到年底了，公司要收集基层员工对中层管理者的意见，那在这个过程中，公司就需要保护好基层员工的隐私，否则基层员工不会敢于说出真实的看法，公司也就了解不到真相。

第八，保护隐私，也是保护我们在社会活动和政治活动中的自由。

这方面最典型的场景就是各个领域里的投票选举活动，包括评选优秀员工、一些职位的投票评选等等。根据常识就知道，这时最安全的方式是无记名投票，因为这样投票者不会因为自己的选择遭到打击报复。

在美国早期政治选举中，很多地方的投票方式就是大家集中到市政厅举手表决，这就让少数派非常有压力，选举的公正就会受到影响。

第九，保护隐私，也是保障一个人在犯错之后“重新开始”的权利。

人一生中不可能不犯错误，但人也应该拥有改正错误、重新开始的机会。

如果一个错误永远无法翻篇，即使在付出了代价、做出了改正和补救之后，还要永远左右一个人的人生，对于这个人来说是不公平，对于社会也可能造成损失。因为一个人原本有可能在改正错误后重新开始，做出贡献，但如果这个错误永远都压在他身上，那他可能很难再次站起来走回到正途。

这种时候，对于隐私的保护就是在保障一个人回归正常生活、继续发展的权利。

第十，尊重隐私，就是维护我们自己的独立性。

关于隐私这个话题，总有人喜欢说“如果没有见不得人的事情，为什么不能让人知道呢”，这种说法很没有道理。

很多时候我们所做的事情并非坏事，不能做出简单的评判，是因为事情都有它的来龙去脉和背景缘由。对于旁观者而言，他也许有信息上的局限性，也许有认知上的局限性，并不能真正理解我们的所作所为。

有人也许会说，你可以解释啊。但“解释”这件事极为耗费时间和精力，当我们把时间和精力都花在为自己辩解上，就难以做好事情了。实际上，我们本来就没有义务要去对所有人解释自己做的所有事。

保护隐私，就是保护我们在为人行事上的独立性，不必把时间浪费在不重要的解释和自我辩护上，专注于做好自己的事情

What

npm 的设计缺陷（英文）
一个程序员利用 npm 的设计缺陷，成功进入了35个主要公司的内网系统，包括Microsoft、Apple、PayPal、Tesla、Uber 等。

印度最近通过法律，要求通信软件可以追踪”消息的第一个发布者”。这实际上等于宣布端对端加密是违法的，因为这种加密方式无法追踪。

WhatsApp 和 Signal 受影响最大，它们默认就是端对端加密。根据法律，它们将必须在服务器上保留所有聊天记录。上周，WhatsApp 向印度法院上诉，要求重新审查该条法律。

周刊的内容从何而来？

很多网友问，《每周分享》的来源是什么，你从哪里得知这些消息？

我的消息来源主要是下面几个。

Hacker News
GitHub
RSS 订阅
Twitter 和 Facebook
多年来，我每天都会浏览这些消息来源，了解资讯，看到有意思的东西，就会写入《每周分享》。我从学生时代就有做笔记的习惯，《每周分享》只是把个人笔记公开了而已。

这些消息来源大部分是英语，中文的内容比较少，因为中文信息来源很难找。国内的媒体往往只报道，谁融到了多少钱、谁上市了、哪位高管又跳槽了……技术本身的报道是非常少的。另一方面，国内的氛围是，独家技术都不太愿意曝光，更别说写得清晰易懂了。

我希望，国内也能有 Hacker News 那样的技术资讯网站。《每周分享》只是第一步，看看有多少人对这类东西感兴趣。如果有那么一批读者，经常来看，那么进一步就可以做社区，共同创造一些更有意义和价值的东西。

信源：如何打造自己的信源白名单

信源，名词，在信息学上指信息的来源。这里我们把它的范围缩小，专指可靠的信息来源。在这个时代乃至未来，个人核查信源是一项基本操作。

我母亲是前信息时代的人，他们那一辈人更多依靠广播、电视、报纸来获取资讯。在移动互联网时代，她和所有的老人一样迷恋手机。也和所有的老人一样，每天热衷于向子女转发各种文章和消息。而当我面对她分享的网页和链接时，往往只是看一眼网址，就决定不去打开。因为在网络世界里，我就像是一名资深出租车司机，网址就像是客人提供的地址。地址和地址对于我的意义并不相同，我知道哪些地方是可以接生意的，而哪些地方去了可能就要被痛宰一顿。

在我母亲那里，所有的信息都是平等的。无论是来自群里的转发，还是来自朋友圈的分享。她当年如何看待报纸杂志，她如今就如何看待网上的帖子，她认为只要是文字形态，那么都是一回事。但是对于我而言，这样的帖子有的刚出现网址，我脑海中的红灯就已经开始告警，根本等不到我展开网页去看内文。其中的原因是我在网上受过很长时间的训练，对于信源的追求已经成为了一种本能。

今天乃至未来，我们都处在一个大众文化占据主流的时代。这个时代的特征是所有人都可以发声，所有人都可以发布信息。信息洪流裹挟着各种虚假消息席卷而来，而且信息背后都有精巧的设计或者是明确的用意，试图让接收到的人产生特定的情绪或者是行为，因此，我们不得不面对前代人所没有经历的困境—甄别信息的真伪，自行对信息的质量负责。

我母亲他们那一辈人可以很简单地说一句“这是报纸上说的”，或者“这是电视上说的”，就可以轻而易举地相信自己听到看到的资讯。她的这种底气来源于新闻的专业主义，的确存在着那么一帮人，他们拥有某种职业操守，维护着职业水准，为大众充当新闻事实的守夜人。因此，从他们手下发布出来的资讯要可靠许多，他们多少要为资讯的真实性负责，为此押上自己的奖金和声誉。但是，这样的时代早已经过去了。在二十年前，我这样的人需要告诉父母，哪怕是电视台的节目，比如养生类和电视直销类的节目也已经作为一个产品被售卖出去了。因此，那样的资讯内容其实是广告，并不是新闻，你需要小心地把这两者区分开来。

二十年后，我们需要仔细区分的资讯越来越多，简直变成了日常生活的一部分。任何严肃一点的内容，我们遇见之后的第一件事情就是查证信源，而不是投入感情。面对信息洪流，不加任何区分地全盘接受，这是对自己不负责任的行为。然而传统媒体已经式微，人们更多地是通过社交网络获取信息，这时候每个人都迫切需要一个过滤器，从信息的汪洋大海里打捞出那些真实的资讯，避开那些虚假的，充满误导的，以及胡编乱造的资讯。因此，每个人都有责任自行打造一张信源白名单，上面都是自己可以信任的信息源。

如何打造这样的白名单呢？那就是从现在开始，对自己所有感兴趣的资讯多做一个动作：查看信息源头。

为了获得有价值的信息，就一定需要投入，传统媒体就是那么干的，它们要养记者，要养编辑，记者要去一线采访，编辑要核查事实。因此，新闻机构是许多高价值资讯的源头，各种小媒体、机构和个人拿到这样的资讯之后，自行包装组合，再次上网分发。因此，通过养成查看信息源头的方式，可以在很短时间内弄清楚一件事：在网络世界中，谁是资讯的上游批发商，谁是资讯的下游零售商。越是重要的资讯，越应该去找上游批发商，一方面是因为它们准确，另一方面是因为它们快速。如果你仅仅只是跟随下游零售商，那么你拿到手的是经过层层转包变形后的四手、五手消息，甚至比什么都不知道还要糟糕。

查看信息源头可以先形成一个可信的媒体列表，接下来是筛选可信人群。每个人关注的资讯都不同，各自对应着不同的领域。在大众文化时代里，各行各业都会涌现出一批行业内的专家。他们不像是明星或者网红，拥有极高的知名度。这些人往往在自己的专业领域内发言，代表了行业内的一般性看法，同时也有很高的机会发布行业内的动态。这样的人有很多，每个人都能流利地讲出一套完整的说辞，因此你需要花一段比较长的时间，反复用事实去验证他们言论的真假。他们播报的动态有没有发生，他们的观点是否应验，以及最重要的一点：当他们的看法和事实相抵触时，他们是什么态度？坦然承认并且做出修正，还是狡辩加上掩饰，这决定了你要不要把他们加入你的可信任名单。

这样，你手头就有了一张可信任机构列表，然后又有了一张可信任专家列表，两张表加在一起可以基本保证你的信源可靠。但是，这还远远不够，因为你是一个人，而不是一台机器。更何况这两张表加起来，也无法覆盖你每天看到的所有资讯。那你应该怎么办呢？

第一，前面已经讲过，当你看到一条资讯的时候，首先要做出一个判定：它是在告知你一个事实，还是想激发起你的某种情绪？如果是前者，那么它的可信度要高很多。事实没有什么戏剧性，事实也不会带来强烈的情感冲击。如果你在看完之后，情绪产生了极大的波动，而且波动是源自资讯的讲述方式，那么可以暂时放在一边，因为它要么不是事实，要么是部分事实，随时可能会发生反转。

第二，一条严肃的资讯里，所有的时间、地点、人物、机构都是明确的，不会出现“据美国科学家研究”，“根据最新调查报告显示”这样的修辞方法。你要相信一点，真正掌握事实的人，不会愿意模糊一丁点他所知道的事实。如果他知道事情发生在某条街，那就一定会有街道名称；如果他知道事情发生在某栋大楼，那就一定会有门牌号。资讯的资讯越模糊，它想要欺骗和误导你的可能就越大。

第三，可靠的资讯会自我证明，证明的方法是在正文中添加链接，指向可以侧面证明自己的网站、网页、书籍、论文。在更加严肃认真的场合下，链接甚至会指向相反的事实描述，为的是让读者能看到不同的说法，综合形成比较全面的观点。简单说起来，链接和注释越多，那么资讯的内容也就越可信。

第四，想清楚自己在整个信息网络上的相对位置。这一点非常重要，可以帮助你避免许多不必要的麻烦。如果你确定自己靠近信息网络上非常关键的几个点，那么当你得到最新消息的时候，可以稍微放心一点；如果你确定自己位于信息网络的边缘，平常都是事情发生过很长一段时间之后，你才知道前因后果，那么你就要特别小心自己获得的所谓“最新消息”、“天大秘密”。因为信息从网络中心向外传播才是常态，从边缘向中心传播，而且刚好经过你，这是小概率事件。

第五，如果你无法把握住以上四点，那么当你看到一条非常感兴趣的资讯时，请善用搜索引擎。在你决定点赞、转发、评论之前，先用搜索引擎搜索一下这条资讯的源头。如果它自称是来自著名媒体，那么就去著名媒体的网站上搜索；如果它自称是来自某位名人、某位专家，那么就去他的社交网络账号里搜索。确认的确存在之后，再做出具体的分享和评论动作。否则，完全可以当做假消息放弃。请像我一样去思考这种资讯的可信度：如果连我都知道了，怎么可能源头上却根本没有呢？

在众声喧哗的时代里，每个人都可以发言，那么每个人也都需要自己对资讯的可信度负责。这件事情不能指望别人，只能靠你自己。你在多大程度上能查证信源，决定了你究竟是有自己的判断，还是等待着被别人收割。毕竟，在网络上如今要制造一点热闹实在是太过容易了。

网安法》生效后不得不知的N件大事

本文简要梳理《网安法》生效以后“个人信息保护”、“CII”与“网络运行安全”领域发生的若干重点事件。
时至今日，我国网络安全领域的基本法《中华人民共和国网络安全法》（“《网安法》”）生效已两个多月。在短短的两个多月来，《网安法》在立法层面全面铺开，从“个人信息保护”、“个人信息和重要数据出境安全评估”、“关键信息基础设施（CII）保护”等多个方面预备出台配套法规。从执法层面，监管部门也坚决推动《网安法》的落实，各地都开展了专项执法活动。与此同时，网络运营者之间关于个人信息归属、数据权利人等问题的矛盾也浮出水面，社会各界都聚焦未来《网安法》配套法规和执法活动的动向。

因此，下文将简要梳理和分享《网安法》生效以后“个人信息保护”、“CII”与“网络运行安全”领域发生的若干重点事件，供大家参考。
个人信息保护

执法

（1）监管部门出手数据乱象，15家大数据公司被查

据媒体报道，2017年5月底至6月初期间，监管部门对市场中非法交易数据等乱象出手，正式开始清理行动，15家大数据公司被列入调查名单，其中几家估值超几十亿。据财新记者报道，“公安部公共信息网络安全监察局正在制定专项治理方案，已将调查名单扩大到30多家，业内知名的大数据公司悉数在此次调查范围之内，不乏已在排队申请IPO计划的公司。”[1]
短评

大数据行业的监管出击可视为《网安法》实施的“预热行动”，并很有可能演变为对大数据行业的全面治理。8月7日出版的《财新周刊》封面报道推出上中下三篇谈大数据产业的灰色一面，强调整肃大数据产业链。随着大数据行业的发展，执法机关将进一步重视大数据企业在数据（尤其是个人信息）收集、使用方面的合法合规问题，如何尽快构建企业内部网络安全和数据合规制度将是企业亟需重视的工作。

（2）四部门联合调查隐私政策，个人信息保护从源头抓起

2017年7月27日，中央网信办、工信部、公安部、国家标准委等四部门联合开展隐私条款专项工作，首批评审的十款网络产品和服务包括微信、新浪微博、京东商城、百度地图、航旅纵横、携程网等。[2]

此前，若干组织就曾联合针对1000家网络平台的隐私政策进行调研，发现互联网企业对此的重视程度并不高。在参与测评的1000家网站与APP中，没有一个能够达到隐私政策透明度“高”的标准，超过半数的互联网企业隐私政策透明度为“低”。[3]而此次四部门隐私政策联合评审的重点内容包括明确告知收集的个人信息以及收集方式；明确告知使用个人信息的规则，例如形成用户画像及画像的目的，是否用于推送商业广告等；明确告知用户访问、删除、更正其个人信息的权利、实现方式、限制条件等。
短评

隐私政策作为收集用户个人信息的第一道“闸门”，将是个人信息保护工作的第一步。企业隐私政策的制定和修改首先应该重视国家标准的重要性，同时结合产业的特殊性，做到个人信息保护和商业性的平衡。

（3）打击侵犯公民个人信息犯罪专项行动，严查数据链条

公安部最近披露消息：自今年3月公安部部署开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动以来，截至目前，全国共侦破侵犯公民个人信息案件和黑客攻击破坏案件1800余起，抓获犯罪嫌疑人4800余名，查获各类公民个人信息500多亿条。[4]

以合肥市为例，2017年以来，合肥市公安局组织开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动，共破获黑客攻击破坏类案件5起、网络侵犯公民个人信息犯罪案件53起，抓获犯罪嫌疑人77名，查获公民个人信息数据3亿余条。[5]

警方负责人介绍，“大规模个人信息泄露的源头主要有两个，一个是黑客攻击，另一个是掌握大量个人信息的相关企业、单位、平台的‘内鬼’”。在专项行动中，合肥警方网安、刑侦等多个警种联动，以“追源头、摧平台、断链条”为目标，对网络交易平台、论坛、网站等进行全面排查，梳理了一批非法获取、贩卖、使用公民个人信息的线索，尤其是加大对金融、电信、网络服务提供商等单位内部故意泄露公民个人信息的“内鬼”，以及通过黑客入侵手段获取公民个人信息犯罪行为的查处力度。
短评

除了《网安法》中对个人信息保护规定的责任和义务，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（“两高司法解释”），对《刑法修正案（九）》第253条作出解释，明晰了侵犯公民个人信息行为的定罪量刑标准，是目前公民个人信息保护执法的重点依据。由于两高司法解释不仅明确了犯罪行为责任主体，将公司、公司高管及直接业务负责人等都纳入到责任主体范围内，同时也大幅降低了入罪标准，企业亟需制定规范的合规制度以避免可能的刑事责任风险。

立法

除了执法力度的不断加强，《网安法》的出台也加快了相关配套法律规范、国家标准的制定与颁布，为细化个人信息保护方面的实践提供了根据。

（1）《个人信息安全规范（报批稿）》成隐私政策文本修改依据

2017年8月1日，高德地图上线新版本App，新版本在用户使用前出现了弹窗服务协议和隐私政策文本，对个人信息收集及使用的范围、限制等进行重点提示。

据报道称，隐私政策文本系根据国家标准《个人信息安全规范（报批稿）》附录修改而成。事实上，早在2016年，《个人信息安全规范》标准制定项目已经在全国信息安全标准化技术委员会立项，并被列为当年的重点标准项目。参加该标准制定工作的包括中国信息安全研究院、中国电子技术标准化研究院、公安部第一研究所、腾讯、阿里巴巴等多家企事业单位。近日高德地图依据《个人信息安全规范（报批稿）》附录修改隐私政策文本的消息如果确认无误，则意味着《个人信息安全规范》的出台近在眼前。
短评

由于网络安全及大数据技术发展迅速，《网安法》以及配套的相关法律法规对于网络安全及个人信息保护仅仅能从宏观层面做原则性规定。根据《网安法》及其配套法律法规制定的国家标准，则内容更为具体，修订周期更短，能够与时俱进，为企业的合规制度提供更具操作性的指引。高德按照相关的国家标准对隐私政策文本进行修订，反映出国家标准在网络安全与个人信息保护领域发挥的积极指导作用。

（2）用户个人信息保护纳入标准制定规划

2017年8月初，工信部印发《移动互联网综合标准化体系建设指南》（“《指南》”）。[6]《指南》提出，到2020年，初步建立起基础标准较为完善、主要产品和服务标准基本覆盖、安全标准有效保障、符合我国移动互联网产业发展需要的标准体系。其中，用户个人信息保护被纳入移动安全标准制定规划之中。

据工信部的信息称，相关标准的内容主要涉及“用户个人信息保护的定义、范畴、分类和分级方式以及针对个人信息管理业务平台和终端的标准”，规范包括用户账号、用户授权以及用户资源方面的数据管理方法、管理架构以及管理范围。目前已形成包括移动用户个人信息管理业务系统技术要求和测试方法、移动用户个人信息管理业务终端技术要求和测试方法、个人信息共享导则等标准，日后还需针对应用商店、终端、应用软件以及用户数据保护等方面进一步制定个人信息保护标准。
短评

移动互联网已经成为目前信息产业中发展最快、竞争最激烈、创新最活跃的领域之一。移动互联网的便捷性和与用户的紧密联系，使得移动互联网企业能广泛地接触到大量的用户数据。用户数据在大数据时代是企业发展最新的驱动力，已经成为企业的竞争资源。如何在充分挖掘数据价值的同时，做好个人信息保护，防止个人信息泄露及滥用将是移动互联网甚至整个互联网行业需要关注的问题。可以预见，如何以国家或行业标准更好地指导企业的个人信息保护实践，也将是主管与监管部门日后工作的关键环节之一。

争议

（1）顺风与菜鸟：谁动了谁的用户数据

《网安法》生效当天下午，菜鸟网络即发布《关于顺丰暂停物流数据接口的声明》称，顺丰主动关闭了丰巢自提柜和淘宝平台物流数据信息回传；四个小时后，顺丰回应称是菜鸟单方面切断信息接口。在国家邮政局的及时协调下，各方本着顾全大局、维护市场秩序和消费者合法权益的原则，已达成共识并同意从6月3日午间起，全面恢复业务合作和数据传输。

（2）华为与微信：谁能对手机上的用户信息主张权利

近日，华为与微信在用户数据问题上的争议引发了广泛关注。用户数据的权利归属、应用软件与硬件设备对数据权利主张的边界划分等问题，将会是未来商务实践和司法实践的焦点。

（3）微博与今日头条：如何合法地抓取信息

关于信息抓取和授权的争议也发生在微博与今日头条之间。近日，微博称今日头条在微博毫不知情且未授权的情况下，直接从微博抓取包括自媒体账号内容在内的行为涉嫌侵权，微博将就此进行维权。今日头条方面则声称，其抓取的信息已经获得用户的事先知情同意，用户在是否授权问题上有充分的自主权，因而发布在微博平台上的信息其版权仍然属于用户本人，由用户自主决定是否授权，不涉及微博的知情和授权问题。
短评

在新浪/脉脉案件中，法院已经指出“用户数据已经成为企业愈发重要的经营资源”，可以预见的是未来对作为“经营资源”的用户数据的争夺将日益激烈，其引发的争议也将骤增。无论是顺丰与菜鸟之间的矛盾，华为与微信的纠纷，还是微博与今日头条的争议，在智能设备与物联网日益发达的时代，企业在业务中都会接触到、使用到用户数据。从产品和服务提供商的角度出发，如何尽可能地保护好用户的数据，是网络安全时代无法回避的话题。但同时，针对用户数据权利的问题，虽然我国关于互联网用户数据保护在宏观层面已有立法，但是具体场景下的个人是否完全具有相关信息的所有权，哪些企业能对合法收集的个人信息主张权利等问题，仍有待执法或司法实践进一步明确。

CII

立法

（1）《关键信息基础设施保护条例（征求意见稿）》揭开CII保护立法进程新篇章

2017年7月11日，国家互联网信息办公室公布了备受瞩目的《关键信息基础设施安全保护条例（征求意见稿）》（“《保护条例（征求意见稿）》”）。[7]CII安全保护制度作为《网安法》建立的若干信息网络安全制度中的核心和重中之重，早在2013年国家信息网络立法规划中就被认定为整个信息网络立法的最基础层。《保护条例（征求意见稿）》对CII范围、运营者安全保护义务、产品和服务安全、监测预警、应急处置和检测评估等一系列事项进行了详细的规定，构建了CII安全保护制度的具体框架。其制度框架要求发挥CII运营者的主观能动性，调动多方资源共享合作，体现了国家将CII筑成“金城汤池”，捍卫网络空间主权的决心。
短评

《保护条例（征求意见稿）》的颁布，也意味着我国CII保护立法工作进一步推进，对CII运营者的日常运营与管理有着重要的指导意义。因此，CII运营者应当尽快开始梳理其内部网络安全制度和体系，比照相关规定项下的义务进行内部调整和校准。

（2）《关键信息基础设施识别指南》近在咫尺

根据《保护条例（征求意见稿）》第19条规定，国家网信部门将会同国务院电信主管部门、公安部门等部门制定《关键信息基础设施识别指南》（“《识别指南》”）；国家行业主管或监管部门按照《识别指南》，组织识别本行业、本领域的CII，并按程序报送识别结果。未来相关部门会发布《识别指南》和经识别的各行业CII具体清单，解决目前《网安法》实施过程中所面临的CII范围的不确定性。
短评

《识别指南》的出台将有助于进一步提升CII的准确性，按照行业、领域组织识别CII的方法也反映了CII的识别标准是基于行业、领域特点的综合评估，反映了识别方法的科学性和合理性。在《识别指南》正式出台之前，企业也可按照自己所处的行业领域、运营方式等进行初步评估，为日后的合规工作做好充足的准备。

执法

（1）CII名单初步确定，诸多国企在列

据PaRR报道，目前国内已有400-500家企业被列入CII名单之中，其中大部分为国有企业。消息称，被列入CII名单的企业已被告知此事，而未接获通知的企业暂时将不会被界定为CII运营者。然而，该名单可能会不定期更新，并随着确认工作继续推进，适时发布公告。

根据《网安法》相关规定，国家互联网信息办公室将每年统筹协调有关部门对CII运营者开展全国性检测；2017年的检测工作现已启动，预计将于中共第十九次全国代表大会召开前加速。
短评

CII安全保护制度的建设与实践将是我国网络安全体系的核心之一。自身网络设施是否构成CII、CII如何具体履行相关网络安全保护义务等也成为了目前企业最为关注的问题。随着《保护条例（征求意见稿）》的颁布与《识别指南》制定工作的推动，CII的范围将日渐明晰，企业应当积极反馈相关部门关于CII的问询，关注相关部门的公告与动态，积极做好应对准备。

网络运行安全

重庆市网安第一案

2017年8月初，重庆市公安局网安总队成功查处重庆首例违反《网安法》的行政案件。[8]重庆公安网安总队在日常检查中发现，某重庆当地网络运营商自今年6月《网安法》正式实施以来，在提供互联网服务时存在未依法留存用户登录相关网络日志的违法行为，根据相关规定给予该公司警告处罚，并责令限期整改。

四川省网安第一案

根据四川在线消息，因未落实网络安全等级保护制度，近日宜宾市翠屏区教师培训与教育研究中心被四川省公安厅处一万元罚款，法人代表唐某某被处五千元罚款。这是今年6月1日《网安法》实施以来，四川省公安机关依法处置的第一起违反《网安法》的行政案件。

此外，四川全省公安网安部门表示，下一步，全省将依据《网安法》，进一步加大网络安全监管和执法力度，继续深入开展2017年全省公安机关网络安全执法检查，对未落实网络安全等级保护制度、网络实名认证、侵害公民个人信息等违法行为严格依法查处，切实维护网络信息安全。
短评

重庆市和四川省的网络安全第一案都和网络安全运行安全相关。网络日志留存是公安机关依法追查网络违法犯罪的重要基础和保证，能够准确、及时查询到不法分子的互联网日志，可为下一步循线追踪，查获不法分子打下坚实基础。如负责该案执法的重庆公安网安总队也表示，遵守“日志留存”的相关规定，对网站运营者本身也有着极其重要的安全防护作用，不仅能够留存历史数据，更为未来可能发生的安全威胁消除了隐患。

而网络安全等级保护制度是我国现行的网络安全领域重要制度。公安部和标准化主管部门已经制定了信息系统的安全保护等级。《网安法》总结实践经验，对其主要内容做出了规定，进一步加强网络安全等级保护制度的落实。

Boss直聘案

东北大学毕业生李文星通过BOSS直聘求职，继而深陷传销组织致死一案暴露了BOSS直聘的重大漏洞后，相关监管部门已经积极介入。北京网信办、天津网信办就BOSS直聘发布违法违规信息、用户管理出现重大疏漏等问题联合约谈BOSS直聘，并责令网站立即整改。[9]

北京网信办相关发言人表示，BOSS直聘在为用户提供信息发布服务过程中，违规为未提供真实身份信息的用户提供了信息发布服务；未采取有效措施对用户发布传输的信息进行严格管理，导致违法违规信息扩散。2017年8月10日，BOSS直聘也发出了官方道歉信，表示自李文星事件发生以来公司采取的三项紧急措施，包括“100%审核认证”、“组建求职安全中心”、“建立平台提醒机制”等。

腾讯微信、新浪微博、百度贴吧网站被立案调查

据国家网信办官网通报，2017年8月13日，国家网信办指导北京市、广东省网信办分别对腾讯微信、新浪微博、百度贴吧立案，并依法展开调查。通报指出，根据网民举报，经北京市、广东省网信办初查，三家网站的微信、微博、贴吧平台分别存在有用户传播暴力恐怖、虚假谣言、淫秽色情等危害国家安全、公共安全、社会秩序的信息。三家网站平台涉嫌违反《网安法》等法律法规，对其平台用户发布的法律法规禁止发布的信息未尽到管理义务。[10]
短评

在信息产业时代，通过发挥网络连通性的影响力，网络平台已经成为了真正的信息高速通道。然而，网络平台的这种特性却也有可能成为垃圾信息和违法信息传播的工具。无论是Boss直聘案还是针对腾讯微信、新浪微博与百度贴吧的调查，可以看出，随着《网安法》的施行及网络运行安全监管工作的深入推进，如何更好规范网络信息平台运营制度和监管责任将是网络运营者，尤其是网络平台合规工作的重点。就目前的执法动态来看，用户协议的免责条款并不能作为网络平台完全免责的抗辩理由，网络平台应当转变身份与观念，由一个网络信息的参与者转变为网络信息的基层管理者，完善平台的事前提示、事后监管以及信息审核等机制，担当平台信息的准入与影响的责任，主动承担网络运营者的安全义务。

注释：

[1] 请见《财新周刊》 2017年第31期“整肃数据产业链”，出版日期 2017年08月07日。

[2] 请见http://www.cac.gov.cn/2017-08/02/c_1121421829.htm。

[3] 请见http://news.xinhuanet.com/legal/2017-06/01/c_1121067078.htm。

[4] 请见http://www.gov.cn/xinwen/2017-07/18/content_5211559.htm。

[5] 请见http://hf.ahga.gov.cn/xwfb/201706/23152231zuet.html。

[6] 请见http://www.miit.gov.cn/n1146295/n1146592/n3917132/n4061630/c5757129/content.html。

[7] 请见http://www.cac.gov.cn/2017-07/11/c_1121294220.htm。

[8] 请见http://www.cqga.gov.cn/jfzx/53137.htm。

[9] 请见http://society.people.com.cn/n1/2017/0810/c1008-29460958.html。

[10] 请见http://www.cac.gov.cn/2017-08/11/c_1121467425.htm。

新《网安法》及其配套法规对跨国公司合规和内部调查的影响

7月25日，刘海涛律师接受安拓咨询（Everpro）邀请，以新《网安法》及其配套法规对跨国公司合规和内部调查影响为题，与150多家企业举行电话会议，期间针对客户提出的各种问题进行了建议分享。

问：刑法第253条之一有关侵犯公民个人信息罪里面有说到的“情节严重”，就是提供50条信息、500条信息和5000条信息，我刚听得不太清楚，我想问一下数字的法律依据是哪里？

答：这个数字的法律依据是最新的最高检、最高院的司法解释《关于办理侵犯公民个人信息案件适用法律若干问题解释》，今年6月1号与《网安法》同时生效，里面有详细的规定。提醒一下，这里需要注意的是这几个50条[1]、500条[2]、5000条[3]的信息，如果你是在履行职责或者提供服务过程当中获得的这些信息，你再出售或者提供给他人的话，它就降一半来处理了，就不是50条，就变成25条、250条、2500条，25条是一个很吓人的门槛。

问：关于CII的定义，网安法对定义有了一个大概的范围，基本上是属于在公共通信信息服务能源交通水利公共服务这些比较重要的行业领域，但是却没有一一列举。我也有注意到最近网信办又有一条《关键信息基础设施安全保护条例》的公开征求意见稿，里面对CII的定义有了更详细的范围，其中罗列到了像化工、食品药品行业。因为我们公司是一个做饮料的快消品企业，我想问基于现在这个公开意见稿，像我们这种食品企业是不是也可能会被划入CII的范围，或者说食品药品行业有没有细分？比如说食品，婴幼儿奶粉类或者说是民生的像大米油类会不会有特殊的规定，还是说一般的只要涉及到食品、药品行业可能都会落入到CII的范围之内，谢谢！

答：都不是的。我个人理解是两个方面的要件，第一，你必须要是这个行业，第二，你虽然在行业里面，那如果你的网络设施或信息系统被破坏了，丧失功能了或者你所拥有的数据泄露了，“可能严重危害国家安全、国计民生、公共利益”。比如说中电信、中移动就不谈了，我们就说阿里巴巴、百度，它是一个全国性的网络，手里所握有的个人的信息，几乎就是全国范围之内的，他如果数据泄露了，国家一定会认为这是对国家安全是很重要的。如果你是一个药品行业，我打个比方，说我药品生产收集到的信息可能就在比如说长三角一带城市或者企业，你的信息泄露了是不是会涉及到国家安全，涉及到国计民生，能不能被认定为是公共利益受到损害了？上升到这种高度的话需要有一个规模的问题，而不是仅仅是行业的问题。行业里面的企业还有大有小。所以我个人认为可能不仅仅单位所在的行业，还要考虑单位本身的规模以及单位所运行、管理的网络设施或信息系统的规模，规模大到足以被认定为说你的设施被破坏了，国家的安全就会受到影响，或者你的信息被泄露了，国家的安全就受到影响了，我想应该综合起来看。

问：您刚刚说的规模范围是应该由是行业监管部门来定义的吗？

答：第一，国务院要出一个关键信息基础设施的具体范围和安全保护办法的，大家可对照办法来看是属于关键信息基础设施的运营者还是一个普通的网络运营者。第二，我相信中国在今后的执法过程当中，可能说你是关键信息基础设施，我就给你发一个关键信息基础设施运营者的牌照，然后你出了事故，将来我是按牌照来说话；还是说企业出了事情以后，国家某一个网信办来评估你到底是一般的网络运营者还是一个关键信息基础设施的运营者，因为你是哪一档的运营者对国家造成的损害可能是不一样。如果是这样操作，不确定性就大大加大，就是到时候发生了事故是按照“普通的网络运营者”去处理，还是按照说破坏国家安全的程度去处理，那就由国家主管部门去说了算。这方面目前还不是很清楚，但是我个人的想法是说如果让企业经营者对于未来自己要在法律下负有的义务有更准确的预见性，以及如果网络设施或信息系统发生事故，运行、管理出了问题或者说其中的信息泄露了，对于可能会产生的法律后果有更可强的预见性的话，国家应该先分别认定，再相应给企业一个牌照，你是关键信息基础设施的运营者，还是国家经过评估你根本就不是的，那可能将来我知道自己发生了事故应该承担多大的责任，因为根据法律规定我可以预见，这是我的一个想法。

问：《关键信息基础设施安全保护条例》里边也写得比较宽泛，就是说相关的公安部门或者是相关的行业监管机构、行业主管机构、行业主管部门来做指南或者说做识别，就是也没有特别具体的规范。

答：原先我最担心的地方，如果光有一个指南，然后到时候我们某一个企业发生了事故一定要评估一下事故到底有多大，造成多大的损害。那么在这种情况下如果临时有个机构来评估，来看看你的网络范围覆盖面有多广以及对于国家的损害，那就是每个企业对于自己所承担的法律义务是不够清晰的，是没有可预见性的，那我觉得会很糟糕。

目前条例草案中已经提到了第一，“国家行业主管或监管部门按照关键信息基础设施识别指南，组织识别本行业、本领域的关键信息基础设施，并按程序报送识别结果”；第二，“新建、停运关键信息基础设施，或关键信息基础设施发生重大变化的，运营者应当及时将相关情况报告国家行业主管或监管部门。国家行业主管或监管部门应当根据运营者报告的情况及时进行识别调整，并按程序报送调整情况。”

我个人认为为了让企业的运营者对自己承担的法律义务以及产生的后果有更高的可预见性的话，应该给企业事先认定一下，说你这就是关键信息基础设施的运营者，你对于网络设施的保护就应该比如说提高一档进行保护，你就应该按照我们法律去界定责任。根据目前的目前条例草案，我相信将来可能是会有这么一个过程，否则的话主管部门的自由裁量权就太大了是吧？企业的风险也相应过大。

问：网安法现在有没有限制政府部门的工作人员或政府部门？

答：什么叫限制政府部门的工作人员和政府部门？

问：我没有特别细看网安法，但是刚刚您介绍了会有几个重要的角色，比如说关键信息基础设施的运营者，网络运营者，那我理解这些可能都是公司或者非政府的单位，我想问就比如说很多政府部门，它当然其实它可能掌握的信息其实更多。

答：我觉得关键信息基础设施的运营者、网络运营者也包括政府部门，这在《网安法》下并没有对政府部门做出特别的区分。刚才实际说了，比如央行不是什么国有企业对不对，但是央行拥有一个完整的信息基础设施，如果它信息泄露的话，对国家的安全会构成重大的影响，所以我个人觉得网络安全法不会把国家政府部门屏蔽在外面。我不知道我的理解是不是大家同意，至少新的法律规定似乎并没有做这样一个例外性的规定。

问：因为我自己没有特别仔细的研究，但是从刘律师的演讲我学习了很多，认识特别深刻。我们集团information protection的负责的人现在全球召集各个国家在研究，包括欧盟也在出新的信息保护、隐私保护方面的法律，可能明年5月份还是什么时候开始实施，那正好中国在这个时间也出台了我们自己的网络安全信息一系列的法规，所以我们也是在特别初期的研究的过程中，谢谢您！

问：刘律师您好，网安法里面有一条，就是说为用户提供信息发布、即时通讯等服务时需要跟用户确认他提供一个真实的身份信息。我想了解一下，比如说我们公司有时会有公众号的，平时用户可以在公众号下面去留言，但是如果提供这种真实身份信息的话，我理解应该是微信承担这样的一个义务，而只有说对于在我们公司的公众的网页留言的话，这种情况下我们才需要去获得用户提供真实信息。我不知道我这样子理解对不对。

答：你说的是哪一条？

问：《网安法》第24条。

答：网络运营者为用户办理网络接入域名注册服务，办理固定电话移动电话等入网手续或者为用户提供信息发布即时通讯服务，那么在与用户签订协议或者确认提供服务时，应当要求用户提供真实的身份信息。你现在说的是公众号，然后就是说可能用户会在下面留言，那么你们有没有义务要他们提供一个真实信息？实际上我在想就是说实际他留言需不需要跟你们签订协议，或者就是说要不要你们确认？

问：我理解应该是微信的义务，但是我就想确认一下是不是就是说我们这里也有这样的义务。

答：我觉得第一，在《网安法》下如果你是一个利用微信的网络平台去提供服务的话，你是一个公众号，打个比方，实际上你看到这条规定的后面，他说网络运营者不得为其提供相关服务。实际上你如果是一个公众号，你不是一个网络运营者。虽然我刚才讲了网络安全法附带的法律法规，对公众号可以发表什么不能发表什么有些规定，但是那是另外一回事。我个人理解这条规定是对网络运营者做的一个要求，你不是网络运营者，你就是在网络运营者的平台上有一个公众号，所以我觉得你的理解是对的。

第二，网信办发布的《互联网跟帖评论服务管理规定》（2017年10月1日施行）首先定义“跟帖评论服务，是指互联网站、应用程序、互动传播平台以及其他具有新闻舆论属性和社会动员功能的传播平台，以发帖、回复、留言、“弹幕”等方式，为用户提供发表文字、符号、表情、图片、音视频等信息的服务”。然后说“跟帖评论服务提供者应当对注册用户进行真实身份信息认证，不得向未认证真实身份信息的用户提供跟帖评论服务。”在公众号运营中，跟帖评论服务者与注册用户指应该的是腾讯与微信用户，而公众号运营者也是微信的注册用户。

问：但比如说我是通过这样的公众号提供服务给到相关用户，如果我们需要获取个人信息的话还是需要得到同意的。

答：那当然，那是另外一回事。你说我通过网络的平台获取个人信息，即使你的身份不是一个关键信息基础设施的运营者。但基于个人信息的本身的保护还是有些个很宽泛的规定，刚才我们讲的民法总则也是有规定的，你收集个人信息当然要他同意了。

问：比如说像淘宝网，网络安全法相关规定说会员账户是需要绑定手机的，但是我理解绑定手机，我们要提供的一个真实信息之一吗？或者是我们自己公司也去网站上面，就是说类似这种也是需要用户去提供这样一个手机号码吗？

答：我们注意到今年6月1日以后淘宝网在用户登录页面提示有“为确保您账户的安全及正常使用，依《网络安全法》相关要求，6月1日起会员账户需绑定手机。如您还未绑定，请尽快完成，感谢您的理解及支持！”这里反映的就是《网安法》第24条及其他相关规定的实践。手机号码实名制登记在去年已经进入尾声，2016年10月15日起，所有非实名制的手机号都已停用。淘宝网正是通过用户账号绑定手机号，一气完成了《网安法》第24条下网络运营者要求用户提供真实身份信息的工作。如果我们再看一下淘宝网的《法律声明及隐私权政策》，就会看到使用淘宝网服务所需要提供的最起码的个人信息“为成为我们的会员，以便我们为您提供会员服务，您需要提供手机号码、电子邮箱地址，并创建用户名和密码。如果您仅需使用浏览、搜索等基本服务，您不需要注册成为我们的会员及提供上述信息。”

问：好的，因为我是看到依据网络安全法的相关要求是有这么一条。

答：这是对网络运营者所提出的要求。

问：我们公司是一家车企，在实际的运营过程当中可能会收集比较多的关于车辆的销售和维保记录的信息，那么这中间会涉及到个人信息。我们想问的是因为我们有境外的关联公司，如果说我们公司向境外的关联公司去传输一些就是我们已经把单纯的个人信息隐去的一个车辆的销售和维保记录的话，是否还会涉及到个人信息传输的问题。

答：我个人觉得如果是单纯的技术性信息应该不是的，比如说国外的总部说我们经常需要一些技术上的反馈，比如是发动机的问题还是自动化的问题，我个人认为不是个人信息。因为《网安法》也好，两高的司法解释也好，其他的国家标准文件也好，个人信息的界限是是否可以单独或结合其他信息识别特定的自然人。但是有些车辆是有GPS跟踪的，如果它跟踪的那些信息属于车主的，你同时也传到境外去了的话，可能就属于传输个人的行踪轨迹，当然如果它不能和行踪轨迹信息主体联系起来，那不要紧，你就光知道一个行踪在哪里，但是如果能够和某一个特定信息主体联系起来，那就相当于把个人的行踪轨迹提供出去。但是如果除此之外，我觉得你传输这些个信息仅仅是为了解决技术上的问题或者是做数据总结的话，我觉得不是个问题，而且我也不觉得你可能是运营当中所涉及到的什么重要数据了，是你自己的一个产品的信息，当然重要数据是什么也要依赖将来国家的定义，就目前而言我觉得不是问题。

问：好的刘律师，也就是说您的意思是说如果比如说我们的销售或维保记录可能会涉及到比如说车辆一个特定的车辆的识别码、或者是发动机的号码，然后有涉及到说这辆车什么时候销售，然后什么时候进行过维保，维保的项目是什么？那么您是觉得说这种记录因为不涉及到个人本身人身身份的信息，所以说它不会涉及到个人信息传输的一个问题是吗？

答：对，是的。

问：我之前是了解到说国家针对于信息安全等级分级这一块，因为网安法也有提到，那么针对这一块的话可能就是我们国家有一系列的国标，可能有三十几个文件，那么针对于这些国标当中对于网络，不管是就是物理设施、还是网络安全，还是系统安全的要求，这方面是针对于所有的企业都是适用的吗？

答：关于网络安全目前《网安法》适用网络运营者，和关键信息基础设施的运营者。信息安全等级保护从最早的国务院关于计算机信息系统安全的保护条例来看，主要是针对的是计算机信息系统，因为传输最便捷的方法是通过计算机来传输的不是吗？那么其他的就是信息的传输可能会单独的适用相关的国家安全法律法规，包括保守国家秘密法。但是信息安全等级保护，对于网安法下的主体都应该适用。

问：就我理解来说的话，可能信息安全是包含了网络安全，也就是说它是网络安全的一个上位的概念。因为我们了解国标对于各个等级的信息安全，包括网络安全都有非常详尽的规定的，那么我们现在公司就有一个担心就是针对于这些国标性质的规定，我们公司是否也需要强制性的去适用、去遵照这些标准。

答：要看国标是什么国标，它分强制性的国标和推荐性国标两种的，强制性标准和推荐性标准。保障人体健康，人身、财产安全的标准和法律、行政法规规定强制执行的标准是强制性标准，其他标准是推荐性标准

推荐性标准指的是推荐适用，你可以选择不使用，一旦你选择适用，比如说有很多产品在标牌处明示采用某个推荐性国标，那你就相当于向消费者有一个合同项下的承诺，你就必须要遵守其中的标准。我目前不知道你说的信息等级的国标是一个强制性的国标还是一个推荐性国标。如果是一个强制性标准，只要在中国的相关行业的单位肯定都会适用。

问：强制性的国标和推荐性国标怎么区分？

答：国标封面上会说得很清楚。国家标准的代号由大写汉语拼音字母构成。强制性国家标准的代号为“ＧＢ”，推荐性国家标准的代号为“ＧＢ／Ｔ”。还有一种指导性技术文件的代号由大写汉语拼音字母“GB／Z”构成。指导性技术文件不宜由标准引用使其具有强制性或行政约束力。

问：我再补充一个，您现在是讲述的是说网安法当中它其实是对于个人信息和重要数据出境的话，目前来说是仅仅是用于关键信息基础设施运营者，那么就您的理解来说的话可能就是涉及到个人信息及重要安全数据出境的一个实施办法当中，它可能把范围扩大到了一个网络运营者，也就是说是不是可能我们就是说存在局域网运营的大多数的跨国企业的话的一个立法的趋势，就是说可能都会涉及到个人信息和重要数据出境的网络安全审查的评估？

答：我们理解是这样的。虽然《网安法》说得是“关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。但是《个人信息和重要数据出境安全评估办法（征求意见稿）》却规定“网络运营者在中国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，应当按照本办法进行安全评估。”不再对网络运营者进行区分。《评估办法》甚至还规定“其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全评估工作参照本办法执行。”可以说今后个人信息和重要数据出境都要经历不同程度的安全评估过程。当然这个还仅仅是个征求意见稿，将来落地时会进一步怎么规定还要拭目以待。

问：刘律师您好，关于个人同意的问题。之前你举例子说到商业银行的例子的时候说，银行可能没有一个步骤是说你同意了之后才能在这里办业务，不同意的话就不能在我这里办业务。那我们现在遇到的问题，就是说我们在网站上帮客户做相关的业务或者是活动的时候，他会看到一条通用语，上面写着“一经提交，您即同意我们的隐私政策”。这个隐私政策是有链接的，点击进去会看到全文的隐私条款。那如果是在这种情况下，客户点击了下面的提交按钮的话，那我是不是可以真的视为他同意了我的隐私政策。然后同时政策里面我会写的很清楚，我会把你的信息分享给我美国的总部，分享给我们欧洲的关联公司等等。在这种情况下，我不是CII, 那我是否可以认为得到他的同意去做这种传播？

答：实际上这种做法是蛮普遍的，但是大家要知道这种所谓的个人隐私政策在法律上的性质是什么？他是合同的一部分，是你跟客户所达成的协议的一部分。这相当于说我签了一下同意的话，就相当于个人隐私政策也成为我们的合同的一部分的条款。你同意合同条款，但是合同的条款在合同法下肯定是个格式条款，是你草拟的，对方没有任何谈判权的一个条款。根据合同法的规定，第一，你有没有用适当的方法去提醒对方关注，你有没有免除自己的责任、加重用户的责任、排除用户的主要权利等。关键是在于提供格式条款的一方应当遵循公平原则确定双方之间的权利和义务，并采取合理的方式提请对方注意免除或者限制其责任的条款，按照对方的要求，对该条款予以说明。

这是合同法下关于格式条款能否在法律上具有约束力的一个要求，如果你的这些格式条款达到了要求，你就可以这么辩解说，这是我草拟的，你也不能去修改他，你也看过了，然后你也签了同意了。但同时法律就会问你有没有提醒对方注意你里面可能有限制了他的权力或者是扩大了他的责任，用适当的方法提醒他注意。那么如果这些条件都满足了，我个人觉得如果消费者有异议，你最起码是在法律上讲你是有defense，但是如果你没有注意到这些问题，可能你单纯就是说有这么一个东西，然后立刻同意了，然后消费者实际也没有机会去看你的所谓个人隐私政策，或者你的个人隐私政策几十条上百条，然后里面隐藏了很多消费者不能完全识别的内容，那么可能它还是有问题。此前欧盟《通用数据保护条例》中关于“同意”有很详细的实践规定，对于我国目前立法上就个人同意的问题，起到了很大的参考作用。

问：明白了，就从格式条款的角度来理解非常好。还有一个问题是跟这种客户同意有关的。根据法律来说，如果你没有得到客户的同意，是不可以给它发商业广告的，比如我给客户发：某年某月某日买某空调某冰箱，尽享夏日清凉。但是如果换一种场景，我在淘宝上开了一家店，客户从我的店里买了一个空调，那我找快递公司把货发过去了，那通常来说我会发条短信，告诉客户订单已经发货了，金额是多少，请你查收。因为我在淘宝上做生意，我要按照淘宝的步骤和规则程序来做，中间我没有机会也没有可能性去设置一个是否同意发送这样的条款。在这种情况下，您觉得我们给客户发货信息的提醒是不是可以视为我已经得到他的默示同意或者是这种类似的？

答：理论上讲它不是广告，因为广告法是说你可以推送电子信息，但是接受者必须可以明晰地拒绝接受。这不是个广告，是一个送货信息，和推送什么产品的电子信息应该不一样。第二，推送这种信息有没有违反、侵犯个人隐私，就是说他如果是在买货的时候说因为为了联系方便，留下了自己的手机号码，然后企业以提供服务的目的去使用号码，也没有违反侵犯个人隐私的法律规定，我个人觉得这不是一个问题。除非是因为你有号码给我们，以后我们没事或者是说我的电子系统不定时就给你推送产品信息，然后你都不能拒绝这些垃圾广告，那你肯定就违法了，否则应该不是问题，你为什么会有这样的担忧？

问：好的，谢谢。我们现在想到另外一种可能性，比如说前面的场景是一样的，他在我的淘宝店里买了一个空调，然后我给它发条信息告诉它，你的订单已经发货了，请注意查收。但是我在同一条短信里面加了两句话，就是刚才我说的第一句，后面的话我写上一句：某年某月某日到某年某月某日，买空调送冰箱，尽享夏日清凉。

答：这个广告法范畴，不是侵犯个人隐私的问题。我因为做过广告法的讲座，我的印象当中就是说你推送广告信息的同时，要给用户拒收的选择，比如说很多商家常用的“短信回复T退订”，然后他可以选择退订，就是说我不接受你这样的信息，你就不能再发送了，理论上讲是这样子的。你说我发送一个产品信息的时候顺便做了一条广告，我觉得可能不是太大问题，除非说你将来不停地通过这种渠道给人家发送广告，别人也不能拒绝，可能工商局不会放过。

问：明白了刘律师谢谢您。

问：我想问一下关于前面律师提到的同意的问题。实际上有很多公司，比如说在天猫或者在京东上开网店，那京东和天猫平台肯定不会让开网店的公司设置自己的条款和条件来收集客户的同意的。实际上很多公司的做法做得比较好，比如说在公司淘宝或天猫网店的主页上放一个隐私权政策，隐私权政策上说你通过购买产品本身的行为应视为你同意我们公司的隐私权政策，那隐私权政策会包括说我可能会跟我们的关联公司分享信息，并向这些消费者进一步发送跟我们公司产品有关的所有品牌有关的产品的广告促销信息，如果你不想接受，我可以帮你退订。我想问一下实践上这种做法真的很多，而且平台确实没有给机会去收集同意那这种做法。比如双11，我在一个店里购买了一个产品，我肯定会收到他的促销信息的，我也从来没有点过同意。在这种情况下有什么好的建议？肯定这种做法有一定问题，但是怎么样做能够合规？

答：首先我觉得我同意你的说法，虽然做法有点问题。这种做法相当于推定客户同意，不是人家明示同意。明示同意就是说在你的界面上有这么一个功能，要人家用鼠标去点一下，还要明示说我同意。然后你有一个证据说你用电子方法跟我签订了协议，接下来的问题才是说你是不是一个格式条款，你有没有用适当的方法提醒消费者注意它的权力最大的限制，这是第二个层次的问题。关于解决方法，无非就是说平台没有设置，你有没有可能有个second chance，因为我对于网络上的购物不是特别熟悉，就是说你有没有第二个机会要求消费者做出选择，比如你买了我的产品，我随附一份促销传单，如果消费者感兴趣可以通过传单上的渠道获得进一步的信息。比如说刚才提到的在短信中设置退订，给到消费者选择不同意后退出的机制，来防止日后消费者投诉商家从来没有征求过消费者同意的问题。

又比如说我把链接放在网店上，你点开链接，里面是消费隐私政策，包括我给消费者一个适当的提醒，你同意了消费政策就意味着我将来可能会对你的个人隐私做什么样的动作，因为现在的网安法说得非常清楚，而且刑法也规定了特严格的保护，所以我建议将来类似的政策当中就应该用黑体字来突出地表明，我可能是要存储到境外去，我可能是要跟第三方分享，我分享的人当中甚至包括外国的政府主管部门。这种方法是不是国家就一定认同是另外一回事，但最起码你在国内的时候你说我要收集、处理、使用你的个人信息，你就得到了一定的法律合同上的保障，这是我的一个想法。所以我的建议是说你一定要有这么一个我同意的动作，然后在我同意的文件当中，你清晰地表明了你准备怎么来处理他的个人信息，否则我觉得现在的做法肯定是有问题。

问：谢谢您刘律师，我觉得如果是对于那种使用期限比较长有保修期的产品，比如说你网上买了之后一定要上网注册才能得到质保的服务，这种可能会同时涉及您刚才的建议环节。但是我们公司的产品是那种一次性消费品，所以就存在这种早期的问题，比如说洗发水，比如说现在这样子如果是有问题，我看了一下网安法里面关于同意这一条，他具体用词是应该向客户明示并取得同意，所以同意具体方式是明示同意还是默示同意，其实法律上并没有说对吗？

答：没有，网安法说得很清楚，包括我们刚才讲到的叫民法总则。民法总则就是说任何组织和个人需要获取他人个人信息，应当依法并确保信息安全不得非法收集使用加工传输，就是说你没有权利人的同意，你做这些事情都是违法的。网安法也是，我想他肯定不属于已经明示同意的那种，从法律上不构成明示的同意。从合同上来说就成很大的问题，特别是在法律具有如此严格的保护的规则的情况下，你推定人家说已经同意了，可能问题非常大。

问：我们公司本身不属于关键信息基础设施运营者，但是我的问题是我们公司可能会向关键信息基础设施运营者提供服务，那在服务的过程中我们可能帮他们处理个人信息，也可能会涉及到信息传输到境外的问题，或者客户有时候也会把比如说网络安全法下面的职责外包给我们。我想问如果是这种情况，比如说我们在履行服务的过程中违反了相关的规定，我们公司要承担什么样的责任。

答：首先目前关键信息基础设施的范围尚未明确，但无论如何有一个国家主管部门认定的过程，这不是自我评估可以确定的事情。

如果单位被认定为不属于网安法下的关键信息基础设施运营者，但是因为你的职务原因，你可以搜集到个人信息，然后你侵犯了个人信息的。首先是民法总则要求你不能做这种事情，或者是说只有刑法的规定，而且刑法也不是仅仅针对网安法，它不是网安法的一个配套规则，它是针对个人信息保护的一个总体的规定，而不是特别针对是说在网络环境下你获得的信息。因此你违反了，刑法也来处罚你。实际上对于任何渠道获得的个人信息，然后你违反了法律的规定，它都可以适用到处罚的规定。

从这个角度来说，我个人认为如果公司作为一个单位法人违反了个人信息保护的相关法律法规，肯定要承担相应的法律责任，承担相应的民法项下的责任。我们看一看关于个人隐私的规定的刑法的条款，有单位犯罪的，就是说我们刚才讲了单位犯前三款罪的，对单位判处罚金，对其直接负责的主管人员和其责任人员依照各款的规定进行处罚。就是说破坏个人隐私的行为如果严重到可以受刑法处罚的话，它既有个人的刑责，也有单位的刑责。

问：那比如客户会把在网安法下面他们应该履行的义务外包给我们，比如说去做评估或者让我们去做一个评定说是不是达到一个评估的标准。在这样的情况下，如果我们比如说有行为没有特别符合法律规定，我的理解是不是说最后问责的时候民事责任还有行政责任还是客户先来承担，然后客户根据合同来向我们寻求赔偿。

答：不是。首先说在民事责任问题上，因为现在我们就你所说的情况，又是在一个新的法律环境下，可能没有一个现成的案例，但是从法律的一般原则考虑，他可以去告，比方说阿里巴巴他是一个收集了个人的信息的，但是他自己不能为自己来进行评估，它肯定要第三方对它的信息基础设施做一个评估，而且第三方评估机构还要得到国家的认可才行，它有的时候要求国家的机构进行评估。我提供给你的，因为你的原因，然后让我的信息泄露给第三方了。根据中国法律的规定，他可以视为你们双方，我告阿里巴巴是你是违约，我给你的，我告你们两方，我可以说你们是共同侵权，因为你们没有法律的规定就把我的信息传输出去了，实际上他是可以把你们两方都列为共同被告，这是从民法的角度上来说。从刑法的角度上来说，你肯定是有刑责的，因为你是一个直接的触犯了刑法的一方。那么阿里巴巴作为聘用你的一方，它有没有过失，有没有故意在里面，有没有一个严重的过失的行为足以构成刑事上的责任，我觉得刑法可能也是要评估的，也并不代表说只追究他的责任，不追究你责任，或追究了你的责任就不追究它的责任，我觉得都不是通过合同约定可以解决的。

问：那您觉得就是行政责任项下就是还是按照规定走？

答：行政责任项下应该是按照规定走。行政责任上，我认为你也可能是承担行政责任的主体之一。你违反了相关的法律规定，实际上你如果通过电子传输的话，你极有可能是网络运营者，只是可能不能被认定为关键信息基础设施的运营者。你通过你的网络收集到这些信息，然后通过你自身的网络传输出去，因此网安法很可能就会适用于你。即使网安法不适用于你，刑法现在的规定也不仅仅是说通过网络收集到信息，我才处罚，非网络环境下违反了个人信息保护的规定，我就不处罚了，不是的。所以我个人觉得不管是民法、行政法、刑法下的都不存在一个主次的问题，不存在先承担责任后承担责任的问题。

问：那像您刚才说的关于民事责任，您认为还是一个连带的吗？

答：民事责任在于权利人是怎么选择向谁主张，是选择合同项下，我依据协议去告对家，还是说我依据侵权法，因为侵权法就不一定是仅仅是合同对家了，你可能就是侵权问题，可能就是共同侵权人之一。那就看当事人是在民法下选择一个什么法律保护自己。

问：行我明白了。另外我还想跟您确认一个问题，就是您刚才说关于公司内网也可能是网络运营者，那我们就觉得，但是我们公司比如说它的server在境外，然后管理实际上也都是在境外的，但是我们的内网可能会收集员工的信息，那您觉得我们境内的这家公司算网络运营者吗？

答：“网络运营者”是指网络的所有者、管理者和网络服务提供者。而这一界定范围十分广泛，几乎将涉及网络产品服务的主体都纳入其中，因此只要“在中国境内建设、运营、维护和使用网络，以及网络安全的监督管理”，都适用《网络安全法》。而不区分外资企业或内资企业，也不区分提供的产品服务是否收费。所有具有局域网的公司我觉得可能都是一个网络运营者。至于你的server在哪里并不排斥你可能是网络运营者，因为你的server在外面，你依然可以用你在境内的终端去搜集去处理去传输信息，不是吗？你看网络运营者的定义，它没有说必须同时拥有一个server，没有的。

问：但是我看了定义，实际上那几条我们也都是不符合的，就是按照您的说还是要广义的去理解这个概念嘛？

答：假设你是一个可以从事评估的公司对不对？然后你作为一个评估公司，你可能自己具有一定的局域网，假设你有30个员工，你有30台电脑，你30台电脑是连在一个局域网上的，但是你局域网的主机是在境外的，那你的问题就是说我这30个人的一个小型的公司具有30台电脑，有一个小的局域网是不是就会被定义为网络运营者对不对？

根据网络安全法规范网络空间治理的立法意图而言，广泛地涵盖局域网单位是可以理解的，特别是这样的局域网还通过外网与境外的服务器相连接。因为网络安全法最关键的几个定义当中，第76第一款：计算机和其他信息终端及相关设备（没有说设备一定是你拥有的，也没有说设备是你租赁的，也没有说设备一定是在境内的）按照一定规则和程序对信息进行收集存储传输交换处理的系统。你说局域网不就是符合这个定义吗？所以我觉得你只要有局域网并且通过局域网对外传输的，你可能落入到网络经营的范围的可能性极大。

[1] 指“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条”。

[2] 指“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条”。

[3] 指“非法获取、出售或者提供其他公民个人信息五千条”。

利刃出鞘：《数据安全法》下中国数据保护路径解读

事实证明，数据安全是当前国家间实力博弈的重要战场。据华盛顿当地时间6月9日消息，美国白宫签署行政令，宣布撤销此前于2020年由美国前任总统颁出的对T公司、W公司等多款母公司在中国的移动应用程序禁令。纵观行政令全文[1]，有媒体指出此举并不意味着美国已经放弃了对中国应用“以安全为由”的审查、阻拦乃至封锁。[2]新签署的行政令还要求美国商务部等相关部门对可能影响美国国家安全和敏感数据（包括身份信息、健康和基因信息等）安全构成风险的“外国敌手（foreign adversary）”的应用程序开展评估，并视情况采取必要措施。该行政令被部分西方媒体解读为“美方对华政策的最新风向”[3]。

如此同时，据全国人大北京时间2021年6月10日消息，《中华人民共和国数据安全法》（“《数据安全法》”）经历三轮审议，已由十三届全国人大常委会第二十九次会议表决通过。正逢其时、掷地有声，作为我国数据安全领域内的“基础性法律”和我国国家安全领域内的“重要法律”[4]，《数据安全法》积极回应了时下国内外数据竞争和保护的关键问题，给企业数据经营合规、以及进一步的数据资产化治理与发展提供指引。
一、《数据安全法》对全面数字时代的主动回应
（一）当“数据安全”成为一项全球冲突与合作议题
（1）应对全球数字主权化浪潮

近些年来，从网络主权延伸至数据主权的发展趋势日渐明显，数据安全成为国际间竞争与合作的全新议题。围绕数据控制权和管辖权，全球各个国家和地区正在兴起新一轮的“数字主权化”浪潮，对抗与防御在数据竞争领域里表现得日益显著。

当人们意识到“数据关乎国家主权”[5]后，除开篇所提及的T公司事件所依赖的时局背景（即美方针对性发起的“清洁网络”计划），美国自CLOUD法案以来以“域外长臂管辖”争夺网络空间数据控制权，试图建构国际数据市场竞争规则的新秩序；而印度通过其数据本地化策略加以应对的同时，也以“国家安全”为由对我国出海互联网企业实施了“大面积封锁”。在对抗日益加剧的同时，遗憾的是，数据领域的国际合作努力频频受挫。2019 年 G20 大阪峰会上，印度就因秉持数据本地化立场而拒绝会谈，印度尼西亚和南非则拒绝签字，并且表达了对跨境数据流动持反对意见，认同数据本地化价值，[6]客观上呈现出世界主权国家就数据合作的割裂趋势。

不难理解，在数据已经成为一种全新的国际竞争领域的前提下，凭借综合国力和科技影响力，确认数据要素地位并优先立法的国家，能够占据国际数据竞争市场高地，从而成为数据领域的游戏规则制定者。2020年，我国向国际社会公开呼吁全面客观看待数据安全问题，维护全球信息技术产品和服务的供应链开放、安全、稳定，并发出《全球数据安全倡议》[7]；而眼下出台《数据安全法》，正是基于此种国际社会历史的背景而诞生，且被寄予了提升数据主权竞争优势、改变并重塑数据国际规则的厚望。
（2）确保“国家总体安全观”下的数据安全

国际数据竞争的另一目标维度，是通过确保数据安全的路径以维护国家核心利益。在全面数字化时代，数据安全已经成为国家战略层面的重要考量。2020年，欧盟发布《欧洲数据保护监管局战略计划（2020—2024）》，旨在从前瞻性、行动性和协调性三个方面继续加强数据安全保护；美国发布《联邦数据战略与 2020 年行动计划》，确立了保护数据完整性、确保流通数据真实性、数据存储安全性等基本原则；德国成立国家网络安全机构，负责发起网络安全创新项目、研究打击网络威胁，以加强德国的“数据主权”[8]。

根据《数据安全法》第4条规定，维护数据安全，应当坚持总体国家安全观。基于国家总体安全观，网络与数据安全属于政治、领土和军事威胁之外的非传统安全，但在国家安全战略体系中的地位仍然十分关键。这是因为，数字化时代多源信息融合技术的发展模糊了国家秘密与非秘密之间的界限，而部分影响国家安全的数据并不在传统国家安全部门的统领之下，不少可能影响国家经济命脉、社会稳定和整体福利水平的重要数据可能由企业掌握。[9]加强国家总体安全观指引和定位下的企业数据安全治理，成为是维护国家安全的必然要求、促进数字经济健康发展的重要举措。[10]
（二）当“数据安全”成为我国的一项专门立法

我国《数据安全法》最终文本目前已在中国人大网上全文公布，并且将于2021年9月1日产生法律效力。在接近正式生效的三个月过渡期内，企业需要准确认识、深入研究和仔细解读其中的法律适用具体问题，以避免不必要的合规风险乃至违法成本。
（1）适用范围

最终通过的《数据安全法》延续了此前一审、二审稿的做法，为执法者的数据安全监管保留了必要的域外适用空间。总结来看，《数据安全法》从规制对象、适用地域和管辖内容与法律体系衔接三个侧面，划定了其规范约束的基本边界。

首先，《数据安全法》着眼于“数据处理活动与安全监管”，将其作为一部行为约束法的法律特征凸显出来。换句话说，《数据安全法》跳脱出此前“限定约束主体”的立法思维，转而定义“数据处理”和“数据安全”并作为其规制对象，凡是符合数据处理活动的主体均需要满足或者履行数据安全义务，使得人们在解释和适用规则时不必拘泥于适用主体范围的划定，而专注于数据处理活动本身的安全、可靠性。

其次，《数据安全法》将“损害国家安全、公共利益或者公民、组织合法权益”作为监管域外数据处理活动的触发条件，以实际影响或者后果为导向，进一步明确了维护国家数据安全的决心；而从企业合规角度来看，凡是以中国公民为数据处理对象，或者数据处理活动对中国可能产生实际影响的境外主体，亦需履行中国法下的数据安全义务，这为跨国企业面向中国提供服务、在境外开展数据处理活动提供了管辖连接点。

最后，我们认为《数据安全法》仍然包含了对“个人数据”安全的原则性适用，其与《个人信息保护法》可能不是非此即彼的适用关系，而应当理解为，在数据安全的一般性原则之上，个人数据处理仍需遵循《个人信息保护法》中的特殊规则。虽从欧盟的立法经验来看，《通用数据保护条例》（General Data Protection Regulation, GDPR）和《非个人数据流动条例》（Regulation on the Free Flow of Non-personal Data）在明确区分数据性质属于“个人”或者“非个人”的基础上进行了法规适用，但从《数据安全法》第53条的文义解释角度来看，“开展涉及个人信息的数据处理活动，还应当遵守有关法律、行政法规的规定”，显然是为即将出台的《个人信息保护法》留出了立法接口与体系空间。相似地，《统计法》《档案法》也均存在类似的体系规范接口，在涉及数据处理活动时，除需满足《数据安全法》规定的数据安全监管责任规范外，也适用其特殊规则。
（2）价值体系

自《数据安全法》草案面世以来，“坚持安全与发展并重”一直是官方所明确秉持的立法原则。法律中多处体现了“促进以数据为关键要素的数字经济发展”的价值取向，包括国家实施大数据战略，制定数字经济发展规划；支持数据相关技术研发和商业创新；推进数据相关标准体系建设，促进数据安全检测评估、认证等服务的发展；培育数据交易市场；支持采取多种方式培养专业人才等。[11]

具体而言，关于数据的保护价值与发展价值事实上已有不少讨论。而如今《数据安全法》站在立法价值体系的高度上，所需要融合或者强调的，应当是以“数据风险管控”为核心的安全价值这一统一概念，其既包括数据本身的保密性、完整性与可用性，也包括数据处理活动（即数据要素增值过程）的可控性和正当性。[12]换句话说，数据保护本身作为一种手段而非目的，最终所应当达成的目标是在合理有效控制数据处理活动的客观风险的前提下，不断实现数据要素的增值、经济财富积累以及社会总福利的提升。因此，数字时代的《数据安全法》，在准确认知数据保护与数字经济发展两大基本价值体系的基础上，不断地引领数据安全立法的前进方向。

《数据安全法》给依法依规经营的境内外数字化企业带来的应是信心而非阻力。可以预见的是，数据产业与数字经济发展将在《数据安全法》的护航下走向下一个红利期，尽管必不可免地将带来一定的数据合规成本，但法律明朗的游戏规则还会将成本转换为一定的竞争门槛与安全优势，从而有效地防止“劣币驱除良币”效应，使得合法合规的数据驱动型企业更为精准、有力地把握市场机遇。
（3）立法定位

结合立法背景和价值考量，不难理解数字经济时代下的《数据安全法》理应包含两个层面的定位：其一，《数据安全法》是关乎国家安全与数据主权的基本“宣言”，顺应了国际数据竞争的客观趋势，同时积极回应规则挑战与域外影响，以立法这一国际社会通行的现代文明方式服务于维护国家利益、公民合法权益这一最高价值目标；其二，《数据安全法》亦是数据领域里的上位法与基础性法律，除特定类型数据处理活动（涉国家秘密和军事数据）外，进行数据处理活动的企业均需以《数据安全法》为蓝本和依据，进行深层次的数据安全合规。
二、《数据安全法》的法规范重点制度图景
（一）以“重要数据”为核心搭建的安全监管制度
（1）重要数据的识别

作为数据安全层面的上位法和基础性法律，《数据安全法》搭建了以“重要数据”为核心的安全监管制度，而重要数据的识别则是数据安全工作的重中之重，同时也体现了数据治理的分类分级管理和保护原则。

《数据安全法》第21条在笼统定义重要数据并要求国家数据安全工作协调机制统筹协调各部门重要数据识别工作的基础上，将重要数据的具体识别工作下放至各地区、部门，以地区、部门以及相关行业、领域为维度制定重要数据目录，充分平衡了法律规定的普适性和灵活性。同时，相较于此前的二审稿，《数据安全法》加强了国家层面对重要数据目录制定的统筹工作，可以有效避免因各部门管理标准的差异而导致的数据安全规则碎片化，无形增加不必要的合规成本。

而早在《数据安全法》正式发布前，各部门与行业也不乏根据行业特性进行重要数据识别的尝试。例如，2017年全国信息安全标准化技术委员会发布的《信息安全技术数据出境安全评估指南（征求意见稿）》附录A“重要数据识别指南”中对27个重点行业的重要数据做了概括性的描述，如石油、电力、金融等。

近期，国家互联网信息办公室发布的《汽车数据安全管理若干规定（征求意见稿）》（“《汽车数据规定》”）首次明确界定了汽车行业重要数据的范围，具体包括：

军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据；
高于国家公开发布地图精度的测绘数据；
汽车充电网的运行数据；
道路上车辆类型、车辆流量等数据；
包含人脸、声音、车牌等的车外音视频数据；以及
国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。

从上述重要数据范围可以看出，《汽车数据规定》对重要数据的框定偏于严格，车辆外装的摄像头等传感器记录的数据，以及车辆GPS定位数据均有可能落入重要数据的范畴。根据行业实践，相关车联流量数据、高精测绘数据是自动驾驶、智能汽车行业常用数据类别，参考《汽车数据规定》下的重要数据处理原则，如车内处理，非必要不向车外提供，以及数据本地化要求，相关企业更需要在进行重要数据识别与分类的基础之上审慎合规。

诚然，重要数据的识别需要考虑诸多因素，并且重要数据的识别并不是一成不变的，如何确定重要数据将取决于各地区、各部门制定的重要数据目录以及诠释，而各行业主管部门也会根据行业发展变化，对本行业重要数据的定义和范围进行调整，并对重要数据目录进行适当的替换。[13]
（2）重要数据的安全保护义务主体

《数据安全法》延续《网络安全法》的规定，以重要数据为锚点，对重要数据的处理活动提出了若干延展数据安全保护义务，主要包括：

重要数据的处理者应当明确数据安全负责人和管理机构（第27条）；
重要数据相关活动定期开展包括重要数据的种类、数量，收集、存储、加工、使用数据的情况，面临的数据安全风险及其应对措施等在内的风险评估，并向有关主管部门发送风险评估报告（第30条）；
如果重要数据的处理活动影响或者可能影响国家安全的，应当接受国家安全审查（第24条）；
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。（第31条）。

虽然《数据安全法》明确了定期评估并发送报告的方式，但评估主体、报告报送对象、以及评估频率还有待配套规章制度的进一步明确。同时，风险评估更多意味着事中监管。而从防范数据安全事件的角度出发，各地区、行业重要数据目录可能会提出更为细致的监管要求，以进一步落实数据安全保护义务。例如，《汽车数据规定》明确要求的运营者事前报告义务；运营者处理重要数据，应提前当向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与实现、使用方式，以及是否向第三方提供等。除事前报告外，运营者还需将年度数据安全管理报告报送省级网信部门和有关部门。

此外，关键信息基础设施运营者重要数据跨境传输规则应适用《网络安全法》相关规定的指示性规定，揭示了《数据安全法》和《网络安全法》的体系地位，即两者均为以《宪法》为上位法的基本法律，二者为同一阶层平行的法律。[14]

最后，对于可能涉及重要数据处理活动的企业而言，其应当明确的数据安全负责人和管理机构是否需区别于《网络安全法》下有关网络安全负责人、《个人信息保护法》个人信息保护负责人的设置，以及是否需将相关负责人员以及管理机构于主管部门报备仍有待立法者在后续实施细则与配套措施中予以澄清。
（二）以“数据交易”为机制的数据权益主张共识
（1）数据交易制度延续了一审稿中的规定

《数据安全法》中关于数据交易的制度延续了一审稿中的规定，明确建立健全数据交易管理制度，确定数据交易行为的合法性，培育数据交易市场，则是数据作为一种生产要素的必要发展。在《数据安全法》的出台之前，国务院及各部委出台了多项综合性或专业性与数据市场发展相关的政策，但缺乏上位法依据和顶层制度方面的统筹，而《数据安全法》对数据交易制度完善，可以有效弥补这一缺陷，增强数据交易市场的可操作性。[15]

除上述原则性规定外，《数据安全法》还对从事数据交易中介服务的市场参与者提出了额外的安全保护要求，比如从风险控制的角度出发，规定从事数据交易中介服务的机构应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录，但关于审核的具体模式、数据提供方的合规风险是否会传导至中介服务提供者等细化规则还有待相关配套制度进一步明确。[16]同时，为加强事前监管，提高安全保护意识，《数据安全法》于正式稿内加强了处罚力度，未履行上述要求的数据交易中级机构，将可能被处以没收违法所得以及最高十倍的罚款，并可能被责令停止相关业务、停业整顿、吊销相关业务许可证或营业执照。

同时，根据《数据安全法》第34条，法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可，本条对从事数据交易的准入资格提供了上位法依据，后续可能会在市场准入环节加强监管。[17]

建立数据交易管理制度的基础是明确数据产权或权属问题，即需要明确个人数据、公共数据、国家数据、数据要素市场主体的数据权等基础法律问题，否则数据的流通和交易将面临制度障碍。目前我国关于数产权的规定仍为原则性规定，数据产权规则不清晰，可能会导致多方数据主体之间的利益冲突，因此，数据交易市场的健全还有待后续配套规则对数据产权的细化。[18]

除此之外，数据市场的反垄断制度尚需改善。虽然2020年公布的《<反垄断法>修订草案（公开征求意见稿）》第一次将互联网行业的垄断界定及其处置写入法律，今年年初发布的《平台经济领域反垄断指南》更细化了各类互联网平台的反垄断规则，也为数据市场反垄断提供了重要的制度性依据。但是，对于数据市场特有的垄断行为，现有反垄断相关法律法规难以覆盖。比如，对于经营者集中的垄断行为，现行《反垄断法》以及《平台经济领域反垄断指南》主要以经营者的营业额作为基准，然而对于数据公司而言，虽然营业额不高，其仍然可能对市场产生非常大的影响。[19]
（2）借助卡梅框架的解释方法：数据财产规则

自2017年《民法总则》对数据采取引制性规定，数据出现在权益兜底性条款之后，数据权益客体认定以及数据赋权一直是社会热议话题。我国理论界形成了数据人权说、数据知识产权说、数据新型财产权说等不同观点，而各地方政府也争相尝试创设相关权益。[20]以深圳为例，深圳市司法局于2020年发布的《深圳经济特区数据条例（征求意见稿）》明确提出了数据权这一概念，将其规定为权利人依法对特定数据的自主决定、控制、处理、收益、利益损害受偿的权利，并根据不同数据内容区分为个人数据权、公共数据权和数据要素市场主体的数据权。[21]针对该征求意见稿，理论和实务界普遍认为，由于目前还存在公众对于数据权属问题认知不统一、数据权划分边界不清，权利客体交织重合，以及划分过为绝对等问题，故直接在经济特区法规中创设“数据权”可能还为时尚早。有鉴于此，2021年新发布的《深圳经济特区数据条例（征求意见稿）》在充分考虑社会共识与司法实践的基础上，将数据权这一宽泛的概念进一步细化为对自然人对其个人数据的人格权益以及企业对其投入大量智力劳动成果形成的数据产品和服务的财产性权益的保护。[22]

从比较法的角度，虽然美国和欧盟对数据保护和利用模式不尽相同，但二者均将数上权益进行多层次区分并适用不同的保护标准，以实现数据保护与数据利用的平衡。如美国将数据分为个人数据与经过匿名处理后产生的衍生数据，对个人数据适用以隐私权为中心的保护标准，而对衍生数据适用市场自治和竞争法相结合的模式以确保对衍生数据的开发和利用。[23]

因此，基于我国的数据分类分级制度要求，并参考借鉴域外数据权属界定经验，我国日后对数据权属的划分，可考虑从数据全生命周期出发，结合数字经济发展阶段和数据应用场景，对不同类别数据的数上权益进行区分，以适用不同的保护规则，进而实现数据权利化。例如，根据处理方式，可以区分为原始数据和衍生数据；根据数据主体，可以分为个人数据、业务数据，以及公共数据。[24]
（三）以“分业管理”、“自上而下”为特征的数据安全体系
（1）数据分类分级制度

承《网络安全法》为保障网络运行安全而采纳的网络安全等级保护思路，《数据安全法》确立的数据分类分级保护制度作为数据安全管理工作的前提与基础将直接决定企业对于不同等级与类别数据全生命周期管理应承担的保护义务。

在制度范围方面，虽然《数据安全法》仅针对重要数据和国家核心数据（“关系国家安全、国民经济命脉、重要民生、重大公共利益”的数据）明确提出“重点保护”与“更加严格管理”的安全要求，但对于重要数据和国家核心数据之外的其他数据，仍然需要以《数据安全法》下有关数据在经济社会发展中的重要程度与可能的数据事件危害程度为基准进行相应的分类分级划分与差异化保护设置。

在制度制定方面，一方面《数据安全法》将国家界定为数据分类分级制度建立的主体，为国家开展“自上而下”监管提供依据，另一方面，在《数据安全法》正式颁布之前，各行业已进行行业数据分类分级标准制定的尝试，包括但不限于《金融数据安全数据安全分级指南》、《证券期货业数据分类分级指引》、《工业数据分类分级指南（试行）》、《电信和互联网服务用户个人信息保护定义及分类》、《电信和互联网服务用户个人信息保护分级指南》等。其中，中国人民银行印发的行业标准《金融数据安全数据安全分级指南》明确了金融数据安全分级的要素、规则，以及定级过程，并给出了金融业机构典型数据定级规则供实践参考，同样由中国人民银行印发的行业标准《金融数据安全数据生命周期安全规范》则根据金融数据的安全等级，对不同级别金融数据的采集、传输、使用、删除、销毁做出了详细的要求。但值得注意的是，“分业管理”下形成的数据分类分级的科学性、合理性以及可验证性仍有待进一步探讨。
（2）数据安全标准体系建设

《数据安全法》通过统一立法的形式加强数据安全标准体系的建设，而依托于行业组织依法制定的数据安全行为规范和团体标准也将构成安全标准体系的重要部分。根据《数据安全法》第17条，国务院标准化行政主管部门和国务院有关部门牵头数据安全相关标准的制定，国家支持企业、社会团体和教育、科研机构等参与标准制定工作。在数据使用技术高速发展的情况下，立法往往滞后于行业发展，而本条则旨在加强市场参与者踊跃参与行业标准的讨论，积极分享在数据安全合规建设中探索出的实践经验，并以行业最佳实践为基础推动完善技术发展和合规建设。[25]

目前，工业和信息化部已经开始布局数据安全标准体系的建设。2020年12月工业和信息化部发布的《电信和互联网行业数据安全标准体系建设指南》对电信和互联网行业的数据安全标准提出了原则性要求，并列出数据安全体系建设的短期目标：于2021年研制数据安全行业标准20项以上，初步建立电信和互联网行业数据安全标准体系，有效落实数据安全管理要求，基本满足行业数据安全保护需要，推动标准在重点领域中的应用。到2023年，研制数据安全行业标准50项以上，健全完善电信和互联网行业数据安全标准体系，标准的技术水平、应用效果和国际化程度显著提高，有力支撑行业数据安全保护能力提升。
（四）以“出口管制”“对等措施”为抓手的必要反制措施
（1）属于管制物项的数据出口管制

与《出口管制法》第2条规定的“管制物项，包括物项相关的技术资料等数据”相衔接，《数据安全法》第25条规定，国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。虽然“维护国家安全和利益、履行国际义务”可作为禁止相关数据出口的合法依据，但在具体适用上，还存在和《出口管制法》的衔接问题。[26]根据《出口管制法》，我国对出口管制物项实行清单管理，包括由国家出口管制管理部门出台的管制清单及根据需要对管制清单外的物项实施临时管制，因此有关数据是否属于管制物项需要依据《出口管制法》所确立的清单目录和标准来判断。值得注意的是，商务部、科技部在2020年修订了《中国禁止出口限制出口技术目录》，将包括人工智能交互界面技术以及语音合成技术等多项信息处理技术纳入限制出口部分，对经济活动中的技术出口行为进行限制，而未来国家出口管制管理部门是否会将相关技术以及数据直接纳入出口管制范畴仍有待观察确认。
（2）投资、贸易歧视性措施的对等措施

为更好地应对国外立法和执法，依据“对等原则”，《数据安全法》第26条规定了数据领域下的反制裁措施，即任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施，为我国依法反制外国歧视性限制措施进一步提供了有力的支撑，并充分体现了我国在网络数据空间主张数据主权的立法思想。

值得注意的是，除《数据安全法》下的对等反制措施外，根据《反外国制裁法》，我国还可以对外国制裁采取阻断措施，并可以对被列入反制清单的个人、组织采取反制措施。[27]
（五）以“安全开放”为目标的政务数据体系建设

数据作为关键生产要素，不仅个人信息和企业数据受到广泛关注，在后疫情时代，政务数据的价值同样不言而喻。政务数据公开既可以促进政府科学决策，提高公共管理效能，又可以增加数据要素市场的数据资源供给，盘活数据资源交易。[28]

基于此，《数据安全法》在提出对政务数据来源合法性、管理安全性以及电子政务系统安全性要求的基础上，进一步对政务数据公开进行原则性规定。具体而言，《数据安全法》明确了政务数据以公开为原则，不公开为例外的基本理念，要求在国家层面制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放平台，推动政务数据的开发利用，以消除实践中普遍存在的“数据烟囱”“数据孤岛”。[29]但同时，政务数据的开放与利用条件仍有待后续配套措施的进一步明晰。
三、《数据安全法》的法规范关键合规要领

《数据安全法》为涉及数据处理活动的企业设定了包含消极义务和积极义务在内的多层次、全方位的数据安全义务群，期以规范数据处理活动，进一步促进数据市场发展。经我们简要概括分析，企业需要在《数据安全法》下遵从以下几点“有所为有所不为”的基本法律要求，以在实质上降低企业的数据安全合规风险。本部分将主要针对《数据安全法》向企业提出的合法合规要求进行提纲挈领式地介绍。
（一）有所不为：法律为企业设定严守的消极义务

一方面，企业应当坚持底线思维，在法律划定的数据安全红线以内从事数据处理活动。简要概括来看，以下几个合规要点需要在法律过渡期和《数据安全法》正式实施后由企业保证严格遵守，否则容易对经营活动的正常开展造成较大麻烦：
（1）确保数据来源合法合规

合法合规处理数据是《数据安全法》提出的基本要求。《数据安全法》第27条明确规定，“开展数据处理活动应当依照法律、法规的规定”；进一步地，第32条第1款明确指出，“任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。”可以理解为，该条在“合法合规”要求的基础上，向数据处理活动的源头，及数据来源的方式提出了“合法、正当”的约束性条件。

在解释上，一方面，“合法”要求说明，如特定法律法规对于数据收集和数据来源合法性进行了特别说明，即意味着需要满足该种合法性要求，最典型如个人信息收集的“告知-同意”原则；另一方面，“正当”同时意味着数据采集手段、方式的恰当、不过度，或者说需以合理的理性人判断可被接受的程度以进行数据处理。这种“可被预期、可被接受”不意味着对手段、方式创新的限制，而是更加侧重于保护数据源对可能被采集、处理后果与潜在影响可预期的安全价值。近期频发的企业或者个人利用爬虫、在未经多重授权的情况下进行数据爬取的案例[30]，轻则违反竞争法律受罚、重则入刑，也提醒着我们重视数据来源合法要求的严肃性与必要性。

通常情况下，数据来源的合法合规是企业固定与构筑自身数据资产的第一步，同时也是关键一步。企业数据资产的稳固与否、价值高低，均与数据来源的合法合规性密切相关。我们建议，企业可以区分数据来源进行内部审查，并采取必要的技术、组织管理或是协议措施，从数据来源这一最初环节做好数据隔离与风险排除，为后续的数据处理、数据治理体系以及资产化管理打下牢固根基。
（2）履行前置性的行政许可义务

《数据安全法》第34条规定，“法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。”此规定意味着，相应行业或者不同经济部门的法律、行政法规设定事前许可事项的，应当严格遵照其规定，在取得相应资质或者许可牌照的前提下开展合规的数据处理服务与经营活动。

虽然在TMT领域内要求经营实体进行事前的资质证照的申请可能并非是新鲜事，但值得企业注意的是，随着个别强监管的行业领域（如金融、健康医疗和智能汽车等）数据服务样态与形式的日趋丰富，经营实体所涉及数据处理服务逐渐深入，对数据处理（尤其是个人信息处理）风险的把控也渐趋困难，不排除可能将传统经营领域内专门针对数据处理服务模块纳入监管范畴并新设许可事项。最典型如个人征信领域内提供相关数据服务可能需通过获取牌照或者与具有牌照的实体通过协议合作的方式展开。（关于个人征信领域数据服务合规问题的详细分析，可参见此前我们撰写的文章《数字征信时代的重要信号）

由此，我们建议可能涉及相关强监管行业服务的数据服务提供商紧密跟踪相关立法立规动态，在具体开展数据处理和提供数据服务前了解强制性许可要求以及潜在的审批要求，充分评估相关业务开展的数据合规风险，提前避免可能采纳的违法经营方案。
（3）谨慎处理域外冲突管辖与证据调取问题

《数据安全法》第36条针对可能的域外法律适用所导致的冲突管辖及其所涉及的跨境证据调取问题，提出了数据安全层面的法律要求，即“经主管机关批准”。

从根本上说，该条款属于回应域外“长臂管辖”所作出的防御性规定。该条所约束的对象为“境内的组织、个人”，相比于“数据处理者”显然拥有更加广泛的范围；但与此同时，我们认为“境内的组织、个人”并不等同于“依据境内法律设立的组织、拥有境内国籍的个人”，而应当与《数据安全法》规范的对象范围保持体系一致性，即在境内进行数据处理活动、且数据存储于境内的组织和个人均需受该条约束。虽然目前暂未有相应的主管部门审批程序或者成文规则一并公示，但我们认为相应的配套措施将在《数据安全法》实施后紧锣密鼓地出台，以尽快落实其维护境内数据安全的立法目标。

对于企业而言，在做好数据跨境合规意识准备的同时，也需要充分注意此后境内外因冲突管辖而造成的数据合规要求截然相反的实践困境和法律风险。事实上，受2020年美国《外国公司问责法案》（Holding Foreign Companies Accountable Act，HFCA）相关条款影响，此前在赴海外上市的企业证券经营活动中的冲突管辖风险已然显现，由于监管政策的不稳定性而出现了中概股退市与赴港上市的小浪潮。不过，在未有更好的解决方案出现之前，面对客观存在的冲突监管风险，我们仍然建议在境内或者面向境内开展数据处理服务的企业仍严格遵照《数据安全法》的相关要求应对境外的跨境提交数据请求，必要时咨询主管部门意见，保持必要沟通，否则依据罚则条款将可能面临封顶五百万元以下罚款，并被主管机关责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照的严重处罚。
（二）有所作为：搭建全面的数据处理安全与管理体系

另一方面，相较于上述相关消极性的义务规范，企业在迎接《数据安全法》生效实施的过渡期间，还可以发挥主观能动性，积极履行日常性和应急性的数据安全保护与治理义务，搭建企业内部数据处理合规体系，将数据安全与合规打造为企业经营管理、产品或服务上市的突出优势，以形成独特的数据竞争优势。
（1）常态化、全流程的数据安全保护义务

由于企业日常经营涉及大量数据收集、处理活动，因此从节约成本、提高效率的角度而言，搭建企业内部常态化和贯穿数据全生命周期的数据安全保护体系，无疑是最经济有效的解决方案。结合此前数据安全合规相关法律服务经验，我们提出在该体系中以下几个最为关键的合规要点：
合规要点具体建议
建立可操作的数据分级分类办法或实践指南数据治理的基础是数据分级分类操作，结构化数据治理框架依赖于前期基于安全与风险模型考量的数据分级分类办法。如前所述，目前在金融、通信与互联网等行业内数据分级分类管理办法已初见成型，我们建议企业在接受专业法律服务的指引下，结合行业重要数据监管规范要求，形成企业内部可落地实施的数据分级分类治理方案。
创建企业内部数据处理风险评估模型，落实安全影响评估要求作为企业进行内外部数据保护影响评估（DPIA）的参考性规范，在前述数据分级分类标准的架构基础上，将数据处理风险囊括至数据全生命周期考虑，并严格落实数据处理记录法律要求，控制可能因数据处理这一增值过程而导致的额外风险与不利因素。此外，根据《数据安全法》第30条规定，重要数据的处理者还应当将风险评估报告报送主管部门。
采纳行业通行的数据安全技术和组织措施，履行安全等级保护义务《数据安全法》向企业明确了采取必要技术或其他必要措施的数据安全合规义务。我们理解，对于涉及数据处理的企业而言，基于节约成本和经济性角度可考虑采购并组建相应的技术与组织安全解决方案；但对于提供数据处理服务的企业而言，由于涉及大量的数据接收与处理，应建立在此前国家网络安全等级保护制度体系的基础上，应当严格落实国家相关技术标准和组织管理标准，提高数据安全管理能力和水平。
定期或者不定期开展数据安全教育、演练或者培训我们建议涉及数据处理活动的企业通过内部定期或者不定期的数据安全培训、数据安全事件模拟演练以及多样化的数据安全教育，以巩固和落实企业内部员工的数据安全意识与能力。
（2）数据安全事件的应急响应规范

《数据安全法》第29条规定，开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。该条事实上与此前《网络安全法》、网信办《国家网络安全事件应急预案》和相应法律法规和标准规范形成了衔接和过渡。一方面，在已有的常见网络安全事件（包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件）管理规范基础上，应形成企业内部数据安全事件的应对策略以及应急预案；另一方面，《数据安全法》强调从网络系统安全发展到数据及数据处理安全，亦体现了经济发展与法律规制同步，从网络层到数据层，此后将发展到算法安全的智能层治理趋势。我们建议企业尽快构建区分网络信息系统与内容、数据处理与安全、算法伦理与合规等不同维度和层次的应急管理体系。
写在最后的话

理想照进现实，《数据安全法》经历这一年多的起草、初审、公开征询意见，以及二审和三审等立法历程，成为了2020年立法计划中进展最为快速的部门立法之一，并且将于2021年中正式生效实施。不可否认，限于篇幅与体系，《数据安全法》仍然为一些问题留出了空间，有待实践经验的积累、丰富、提炼和总结。但作为我国数据领域内的“基础性法律”，给予尊重、保护以及依此不断提升数据安全合规质量，才是我们对待全新的数据安全立法的端正姿态。

此外，作为对国际数据竞争和数据主权化浪潮的及时回应，《数据安全法》已然建立起了一道屏障。靴子落地、利剑出鞘，这部数字时代的法律为我们锻造和提供了更好保护企业数据安全与资产利益、国家稳定与长足发展的武器，接下来摆在人们面前最为关键的问题，便是学会如何在纷繁复杂的数据市场竞争中游刃有余地“亮剑”。

[1] Executive Order on Protecting Americans’ Sensitive Data from Foreign Adversaries, https://www.whitehouse.gov/briefing-room/statements-releases/2021/06/09/fact-sheet-executive-order-protecting-americans-sensitive-data-from-foreign-adversaries/ 最后访问日期：2021年6月14日。

[2] 参见王是业（贝果财经）：《解禁TikTok等中国APP是拜登的拨乱反正？》，https://finance.sina.com.cn/china/2021-06-12/doc-ikqciyzi9299849.shtml 最后访问日期：2021年6月15日。

[3] See Trump’s TikTok, WeChat Actions Targeting China Revoked by Biden, https://www.wsj.com/articles/biden-revokes-trump-actions-targeting-tiktok-wechat-11623247225 最后访问日期：2021年6月15日。

[4] 《数据安全法：护航数据安全助力数字经济发展》，载“中国人大网”，http://www.npc.gov.cn/npc/c30834/202106/b7b68bf8aca84f50a5bdef7f01acb6fe.shtml 最后访问日期：2021年6月14日。

[5] 许可：《数据安全法：来路与前途》，载“数字经济与社会”，https://mp.weixin.qq.com/s/LpKvYpdTm9vZSTB0YtFsJQ 最后访问日期：2021年6月14日。

[6] 何傲翾：《数据全球化与数据主权的对抗态势和中国应对———基于数据安全视角的分析》，载《北京航空航天大学学报（社会科学版）》2021年5月第3期，第19-20页。

[7] 外交部：《全球数据安全倡议》，https://www.fmprc.gov.cn/web/wjbzhd/t1812949.shtml 最后访问日期：2021年6月14日。

[8] 王伟洁，周千荷：《国外数据安全保护的最新进展、特点及启示》，载《中国计算机报》2021年5月17日第013版。

[9] 朱雪忠，代志在：《总体国家安全观视域下<数据安全法>的价值与体系定位》，载《电子政务》2020年第8期，第82-92页。

[10] 同上注2。

[11] 刘俊臣（全国人大常委会法制工作委员会副主任）：《关于<中华人民共和国数据安全法（草案）>的说明——2020年6月28日在第十三届全国人民代表大会常务委员会第二十次会议上》，载“中国人大网”，http://www.npc.gov.cn/npc/c30834/202106/2ecfc806d9f1419ebb03921ae72f217a.shtml 最后访问日期：2021年6月14日。

[12] 刘金瑞：《数据安全范式革新及其立法展开》，载《环球法律评论》2021年第1期，第10-11页。

[13] 中国信息通信研究院娇娇：《<数据安全法>亮点解读：立法沿革和重点条款》。

[14] 翟志勇：《数据安全法的体系地位》，载《苏州大学学报-哲学社会科学版》2021年第1期，第76-77页。

[15] 曾铮、王磊：《数据要素市场基础性制度：突出问题与构建思路》，载《宏观经济研究》2021年第三期，第88页。

[16] 同上注11。

[17] 同上注。

[18] 同上注13，第86-87页。

[19] 同上注。

[20] 崔淑洁：《数据权属界定及“卡—梅框架”下数据保护利用规则体系构建》，载《广东财经大学学报-法和经济学》2020年第6期，第79-80页。

[21] 参见《深圳经济特区数据条例（征求意见稿）》。

[22] 见关于《深圳经济特区数据条例（征求意见稿）》的说明，载互联网金融法律研究，http://ifls.cupl.edu.cn/info/1066/1630.htm最后访问日期2021年6月14日

[23] 同上注18，第81页。

[24] 同上注，第82页。

[25] 同上注11。

[26] 同上注。

[27] 参见《反外国制裁法》，

[28] 刘权：政府数据开放的立法路径，载《暨南学报（哲学社会科学版）》2021年1月，第92-93页。

[29] 同上注。

[30] 参见：（2021）豫1403刑初78号、（2020）浙0106刑初437号

AI 识别字体（英文）

Facebook 公开了最新的研究成果，自动识别文字字体，然后替换成同字体的其它文字。上图左侧是原始图片，右侧是 AI 替换文字后的图片。这个软件最大的应用是，可以仿造他人的字迹。

你家的智能电视可能正在监视你（中文）

网友在 V2ex 论坛上发帖说，自家的电视机正在监视所有联网设备。他发现一个叫做”勾正数据服务”的应用，每隔 10 分钟会扫一遍所有联网设备，然后打包将你的内网信息上传。

Apple Privacy

苹果官网的这个页面，列出了所有自家软件获取哪些用户信息。

1982年的信息社会预言

美国未来学家约翰·奈斯比特（John Naisbitt）上周去世了，享年92岁。

1982年，他出版了一本预测未来的书，叫做《大趋势》（Megatrends），非常畅销，全球累计销量超过1400万册。

该书1984年引进国内，中文版也是轰动一时，是当时国内的热门读物，他后来多次受邀访华。

1982年还没有互联网和手机，个人电脑也才刚刚诞生（第一台 IBM PC 发布于1981年暑假）。那个时候他就预言，人类社会很快就将从工业社会进入信息社会。

2007年，我读了这本书，很受震动，做了许多摘录。现在翻出来看看，依然觉得他当年的描述，直到今天都有启发意义。下面就是他的一些观点。

（1）信息的地位

工业社会的战略资源是资本，信息社会的战略资源是信息。

信息是知识社会的驱动力。权力的来源不再是金钱，而是信息和知识。

以前，我们大量生产工业品；未来大量生产信息。

（2）信息社会要求的技能

信息社会，我们比以往更需要具备读写技能。”读”用来吸收信息，”写”用来创造信息。

未来要想取得成功，你必须懂三种语言：流利的母语，一门外国语，一门电脑语言。

如果一个人的知识面太过专业化，一段时间后，他可能发现自己的专业已经陈旧了。如果一个人的知识面很广，在终身教育的配合下，他的专业可以随着时代的变化而改变。

（3）始终关注未来

信息和知识有一个重要特点，那就是它们不适用于守恒定律，会越用越多。而且，它们会合作增强，也就是说整体的价值大于部分之和。

如何过滤和处理信息，将成为关键的问题。

农业社会，人们习惯向过去看，依赖过去的经验；工业社会，人们更注重现在；信息社会，我们必须关注将来。

长期预测的技能将受到越来越大的重视。

Buzzing

该网站汇集了国外社交媒体里的热门讨论，并且标题都自动翻译成了中文。

苹果爆料哪家强？大神郭明錤仅排第八微博KOL第一

做为科技、数码领域的主角，苹果自带流量光环，不论iPhone、iPad还是Mac，各种爆料时常都能上头条。以苹果保密之严格，准确爆料苹果的新品并不容易，一般爆料都是所谓的舅舅党，比如地铁偷跑、保安泄露等。问题来了，全球这么多爆料来源，哪家媒体或者个人爆料是最准的呢？

在这方面，现在的天风证券分析师郭明錤（Ming-Chi Guo）被人称为苹果爆料一哥，甚至被视为大神级人物，此前准确预测过苹果的多款新品，iPhone 12不配备充电器、耳机也是他爆料的。

不过大神郭明錤并不是最准确的，爆料网站appletrack.org汇总了一个爆料人的名单，并统计了他们的准确率，这个结果可能让很多人意外。

郭明錤的爆料准确率只有78.2%，位列名单第八位，甚至OnLeaks都要比他高一点。

爆料最准的是Kang，是微博大V，被网友称为康总，关注过他微博的网友会有印象，他虽然年轻，但也从事苹果产业链多年了，爆料不多但每次都很准确，没把握的爆料很少说，因此总体准确率高达97.8%，iPhone 12发布之前他的爆料几乎全网皆知。

当然，如果根据爆料的数量来看，另一位爆料大神Mark Gurman不仅数量遥遥领先，而且准确率也达到了89.2%，位列第四，综合来看真的是高产而且可靠。

不授权个人信息不给用App？国家网信办出细则禁止

APP不授权不给用问题难解，网信部门明确APP必要个人信息界限，不得因非必要信息拒绝用户安装使用

通知指出，近年来App广泛应用在促进经济社会发展、服务民生等方面发挥了重要作用。同时，App超范围收集、强制收集用户个人信息普遍存在，用户拒绝同意就无法安装使用。图/人民视觉
相关报道
【财新周刊】封面报道|个人信息保卫战打响利益与安全如何博弈
【财新周刊】社论|保护个人信息不是“走钢丝”
【财新周刊】社论|保护个人信息不只是一场利害权衡
【财新周刊】特别报道|爬虫窃取个人信息用于网贷公安开始抓人了
工信部：腾讯等大公司个人信息保护不到位漠视整改
“维护公共安全所必需”即可刷脸个人信息保护法草案引热议
个人信息保护法草案确立“告知一同意”规则国家机关也应遵循

　　【财新网】（记者钱童）APP（移动应用程序）不授权不给用问题难解，网信部门明确APP收集必要个人信息界限。12月1日，国家互联网信息办公室发布通知，就《常见类型移动互联网应用程序（App）必要个人信息范围》（下称《APP必要个人信息范围〉）公开征求意见。
　　通知指出，近年来App广泛应用在促进经济社会发展、服务民生等方面发挥了重要作用。同时，App超范围收集、强制收集用户个人信息普遍存在，用户拒绝同意就无法安装使用。为落实个人信息收集合法、正当、必要的原则，规范App个人信息收集行为，因而明确常见APP收集必要个人信息范围。意见反馈时间截止到2020年12月16日。
　　《APP必要个人信息范围》规定了地图导航、网约车、即时通信、网络购物等38类常见类型App的必要个人信息范围。该文件明确，必要个人信息是指保障App基本功能正常运行所必须的个人信息，缺少该信息App无法提供基本功能服务。并要求，只要用户同意收集必要个人信息，App不得拒绝用户安装使用。
　　具体而言，地图导航类APP必要个人信息为位置信息。网约车类包括注册用户实名信息和乘车人出发、到达、位置信息和行动轨迹。即时通信类包括实名信息和账号、联系人列表，网络支付类包括实名信息、收货信息、支付信息。
　　早在2019年，网信办就发布《App违法违规收集使用个人信息行为认定方法》的通知，其中明确因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能的行为可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”。“未公开收集使用规则”“未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”等6类行为涉嫌违法违规，但在实践过程中，大量APP仍存在类似做法。
　　2019年以来，连续两年，中央网信办、工业和信息化部、公安部、市场监管总局等四部委联合开展“App违法违规收集使用个人信息专项治理”，今年11月27日，工信部副部长刘烈宏在全国APP个人信息保护监管会上表示，专项整治行动将再延长半年到明年年中。
　　北京大学法学院副院长薛军指出，2019年以来密集出台的规范性文件和相关治理，使企业意识到个人信息搜集和使用是需要重视和认真对待的问题，从而在数据合规方面有所规范，但“强制勒索用户同意”等行为依然突出，用户不授权就不可使用App的捆绑式做法仍然常见。
　　工信部数据显示，目前已完成国内用户使用率较高的44万款APP的技术检测工作，责令1336款违规APP进行整改，公开通报377款整改不到位的APP，下架94款拒不整改的APP。刘烈宏指出，APP个人信息保护还有部分问题没得到彻底解决，一些企业在整改过程中存在推诿、阻挠、故意拖延的现象，这些问题都必须加以重视。腾讯、新浪等头部企业被点名批评。（详见报道“工信部：腾讯等大公司个人信息保护不到位漠视整改”）
　　“有些企业多个产品线反复出现问题，反映出公司内部没有形成用户个人信息保护的红线意识，没有建立完善的管理机制；还有些企业因整改会影响收入，不愿配合整改。这些问题都需要企业的一把手重视才能解决。”刘烈宏表示。
　　由于个人信息被随意收集、过度使用甚至不当泄露等现象日益增加，用户焦虑感不断加深。一项正在进行的立法活动试图回应这种焦虑。10月13日，《个人信息保护法（草案）》已提请全国人大常委会初次审议。《个人信息保护法（草案）》明确，个人信息的收集、存储、使用、加工、传输等过程应基于“告知-同意”规则，保障个人享有知情权、决定权，并规定个人有权向处理者查阅、复制，以及有权请求更正、补充和删除相关信息。（详见财新周刊封面报道《博弈个人信息保护》）

App 个人信息保护管理暂行规定即将出台：乱要权限必出事

随着手机等移动互联网设备高速普及，越来越多个人资料被我们「自愿」发布到网上。可在大数据时代，即使是「只言片语」，甚至是微信的好友关系，背后也包含着大量个人信息。在有心人手中，这些个人信息除了能用于定向广告，还有可能成为电信诈骗，甚至是恶性暴力犯罪滋生的「温床」。
所以近年来中央网信办、工信部等多部门多次「出手整治」软件生态，同时也多次对应用市场内违规应用进行曝光并要求整改，并对拒不整改的应用程序进行下架处理。与此同时，为了规范互联网行业对用户信息的获取与利用，保护用户的基本信息，工信部日前也宣布「App 个人信息保护管理暂行规定」即将出台。

暂行规定有什么用？
《暂行规定》将从「知情」与「必要」两个角度对软件提出要求。其中，《暂行规定》要求「要用清晰易懂的语言」告知用户自己的个人信息将被如何运用。简单地说，软件不能再像以前过去那样将个人信息的相关规定藏在「太长不看」的格式条款中，同时也应用简明的语言向用户阐述个人信息的处理规则，而不是用生硬晦涩的文字「吓跑」用户。
至于「必要」的角度，《暂行规定》要求个人信息的处理必须控制在合理的范围内，过去常见的「无节制」信息收集行为将不能在 App 中出现。在我看来，「最小必要」的要求将有效打击国内个人信息收集的乱象，同时也是《暂行规定》中「最具分量」的规定之一。
因来自谷歌的第一方监管缺失，国内 Android 手机生态长期处于「群魔乱舞」的阶段：来自互联网「大厂」的 App 通过链式启动、信息收集的手段扩大壮大自己的势力，同时也侵占着用户手机的内存空间。出身于「小作坊」的 App 则借助大平台提供的接口「助纣为虐」，帮助巨头获取用户数据。
举个例子，在国内智能手机发展初期，几乎所有应用市场都充斥着各式各样的「手电筒」软件。由于监管的缺失，获取联系人与通话记录可以说是这些软件的「标配」。而且当时 Android 系统缺乏系统层面的权限管理，因此只要「是个 App」都能轻松读取用户几乎所有个人信息。
但谷歌监管的缺失还带来了更长远的影响——尽管谷歌在后续 Android 版本中加入了对应用权限的限制，但早期 Android 版本中「不同意 = 不能用」的概念已经深入人心。再加上软件不会对要求的权限作说明，即使软件弹窗向用户要求读取联系人或相册，用户也必须全盘提供。毕竟只要少给一项权限，这些软件都会给我们「摆脸色」。
暂行规定的出现解决了哪些问题？
《暂行规定》的出现不仅以明文规定的方式规范软件开发商的行为，遏止个人信息的肆意收集与滥用，同时还明确了应用分发平台的责任。由于人力成本的因素，应用商城等平台很难对平台内所有应用进行有效的监管。而且凭借 Android 软件可以「热更新」的特性，开发者完全可以在审核时提交一个「合规版」，等审核通过后再通过热更新「引狼入室」。
《暂行规定》的出现明确了运营者，分发平台，第三方服务平台、生产商与服务提供者的责任，对于违规者也有着完整的处罚流程，可以说将过去常见的漏洞「堵死」。对违规的应用或平台，《暂行规定》将按「通知」「通报」「下架」「断开接入流程」的步骤处理。如果应用拒不整改，《规定》也建议应用与手机厂家在安装等环节对用户进行风险提示，提高了软件的「非法成本」。

其他地方的解决办法？
尽管《暂行规定》的出现对 App 滥用数据的现象作出了明确的规定，但考虑到用户存在「天然的惰性」，仅仅是强调「知情」与「必要」在我看来还远远不够。想要唤醒用户对个人信息、个人隐私的关注，我们还需要两记「重拳」——「透明」与「遗忘」。
所谓「透明」，其实是「知情」的一个分支，即服务提供商应该告知用户「他们收集了哪些数据」。注意，这里的说明并不是简单告知「我们要读取你的通话记录」，而是明明白白地将获取的数据列出来。以「通话记录」为例，只有让用户清楚地知道「A 软件知道我两年前给电线杆老军医打了 8 个电话」「A 软件除了读取我的通话记录，还会把数据分享到 B 软件」，才能唤醒用户对个人信息的重视。
除了上级部门要求的整治，手机厂商也可以参考 MIUI 的做法，在系统中加入「假信息」或「空白信息」的选项。让用户再面对「不给权限不能用」的流氓应用时也能有自己的应对措施。
至于「遗忘」的权利，这个很好理解——软件读取了我的个人信息，那我自然有权利要求软件「忘掉」某些数据。但考虑到国内软件还没有规范化的「注销」流程，甚至有不少软件无法删除帐户，国内应用生态想要迈上正轨，显然还有很长的路要走。
但不要忘记《App 个人信息保护管理暂行规定》只是一个暂行规定，有关部门整治应用乱象的决心我们有目共睹，作为整治应用生态的「第一把火」，《暂行规定》对应用生态的意义我们不能忽视。而且这也只是「暂行」规定，还需要时间和实践进行完善。等《暂行规定》脱下「暂行」的帽子后，有关规定将有望成为「中国版 GDPR」，为我们带来更健康的应用生态。
过去由工信部发起的统一推送联盟展示了有关部门整治国内 Android 生态的决心，而《暂行规定》的出现则再次重申了手机不是流氓软件的法外之地。接下来，《暂行规定》也将不断完善，为用户个人信息保驾护航。
到那个时候，我们自然可以和手机里的流氓软件说不了。

How

怎么证明聊天软件 Signal 是安全的？
证据就是我每天使用它，到现在还没死。
– 斯诺登

央视报道

员工个人信息保护合规清单分享

员工个人信息保护是处于各行各业的用人单位均无法忽视的问题。告知同意是处理员工个人信息的基本原则，用人单位在收集、使用、对外提供员工个人信息等处理活动中，需明确告知员工相应个人信息处理规则，并获取员工同意，该告知行为及同意声明最好以书面方式进行。

然而，由于员工与用人单位间存在身份、组织和经济上的从属关系，为降低被认定为借助优势地位迫使员工同意的风险，用人单位需注意员工的同意是否是其真实意思表示，使最小必要原则贯穿个人信息处理活动始终，将个人信息处理范围、目的、方式等严格限制在最小必要范围之内。

下表从制度构建、日常管理、对外提供、招聘及离职等多个环节总结员工个人信息合规要点，以供参考。

员工个人信息保护合规清单（简表）

员工个人信息保护制度构建

是否建立员工个人信息保护制度？
□是
□否
是否通过适当的方式（劳动手册、员工手册、公司规章等）向员工明确告知员工个人信息保护制度（范围、目的、处理方式等），并让员工阅读知悉并签字同意？
□是
□否
是否将非法处理员工个人信息的行为列举为重大违纪行为，以降低以非法处理员工个人信息为由解除劳动关系的法律风险？
□是
□否
是否明确员工个人信息保护责任人？
□是
□否
是否建立员工个人信息分级分类保护机制，根据部门及岗位职责设计不同的员工个人信息访问权限？
□是
□否
是否与可接触、处理员工个人信息的岗位人员（比如财务人员、档案管理人员、人事部员工等）签署保密协议？
□是
□否
是否将员工个人信息的处理范围限制在必要范围之内？（比如在办理入职手续时仅处理姓名、年龄、学历、工作经历等“与劳动合同直接相关”的个人信息，而不得收集婚育情况、宗教信仰等与劳动合同并不直接相关的个人信息）
□是
□否
当存储的员工个人信息存在错误或超出同意范围时，是否给予员工必要有效的救济渠道？
□是
□否
是否定期开展员工个人信息保护培训，并做好留痕工作？
□是
□否
是否建立员工个人信息安全事件应急机制？
□是
□否

日常管理中的员工个人信息保护

是否引入基于指纹、声纹、面部数据等生物识别信息或地理位置、行踪轨迹等信息的考勤系统？
□是
□否
是否提供其他可替代的考勤方式供员工选择？
□是
□否
在办公区域安装监控设备时，是否事先对员工进行明确告知，并在视频采集区域设置明显的标识？
□是
□否
是否存在在非公开办公区域（比如个人办公室、更衣室）安装监控设备的情况？
□是
□否
是否会对员工的工作邮箱、电话、其他信息系统进行监控？在采取前述监控措施前，是否向员工明确告知用人单位对公司设备、邮箱、系统等采取的监控措施和形式，并明确告知用人单位可监控的信息范围？
□是
□否
企业在引入前述可能采集员工个人敏感信息的考勤系统或监控设备前，是否对设备安装的必要性与风险进行评估，是否征求员工意见？
□是
□否
企业在收集前述面部数据等个人敏感信息时，是否在实现相应目的后及时删除原始数据，仅存储摘要信息或尽可能本地化部署系统服务器或识别算法？
□是
□否

对外提供或委托处理中的员工个人信息保护

对外提供或委托处理员工个人信息是否出于合法、必要的目的（比如代缴社保、绩效分析、业务外包、背景调查等），并将员工个人信息的类型、数量、颗粒度控制在必要范围之内？
□是
□否
在对外提供或委托处理员工个人信息前是否明确向员工告知，并获取员工的明示同意？
□是
□否
是否对接收方的个人信息保护能力和相关业务资质进行评估？
□是
□否
是否与接收方签订协议以明确个人信息保护义务？
□是
□否
需向境外提供员工个人信息时，是否就该事项获取员工的单独同意？
□是
□否
是否对员工个人信息的跨境流动活动进行事先风险评估并采取相应的安全保障措施？
□是
□否
是否与境外员工个人信息接收者签订个人信息保护协议？
□是
□否

招聘过程中的个人信息保护

通过自运营的APP、公众号、小程序、网站等平台收集应聘者简历时，是否制定符合相关法律规定的隐私政策或个人信息保护政策？
□是
□否
通过第三方招聘平台、猎头公司、劳务派遣公司等外部机构获取应聘者或劳务派遣人员个人信息时，是否与外部机构核实该个人信息来源的合法性及个人信息主体的同意范围？
□是
□否
通过外部机构获取的个人信息超出个人信息主体的同意范围的，是否要求外部机构或自行向该个人信息主体重新告知并获取同意？
□是
□否
与关联公司共享应聘者个人信息的，是否进行事前告知并获取同意？
□是
□否
自行或委托第三方调查机构对应聘者进行背景调查时，是否以书面形式告知背景调查涉及的个人信息范围、目的、使用方式以及第三方调查机构的名称等相关信息，并请应聘者签字同意，且将个人信息处理活动限制在必要范围内？
□是
□否
引入具备自动决策机制的信息系统对应聘者进行筛选的，在规划设计阶段或首次使用前是否开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施？
□是
□否
是否在使用过程中定期（至少每年一次）对上述信息系统开展个人信息安全影响评估，并依评估结果改进个人信息保护措施？
□是
□否
采用自动决策机制对应聘者进行筛选的，是否对应聘者提供针对自动决策结果的投诉渠道，并支持对自动决策结果的人工复核？
□是
□否
招聘环节结束后，是否及时对未录用者的个人信息进行删除、销毁或匿名化处理？
□是
□否

离职员工的个人信息保护

是否对离职员工的个人信息进行分级分类，并根据法律的不同要求进行存储？
□是
□否
在法定的存储期限结束或已无必要存储时，是否及时对离职员工的个人信息进行删除、销毁或匿名化处理？
□是
□否
需继续处理离职员工个人信息的，是否重新向离职员工进行告知并获取同意，或者具备其他合法性基础？
□是
□否
在第三方调查机构或招聘企业向企业收集离职员工的个人信息时，是否核实离职员工的背景调查同意声明，并将提供的个人信息限制在必要范围之内？
□是
□否

Scheme flood

大家用桌面浏览器访问这个网站，会列出你的电脑安装了什么应用（上图）。这样做的目的，是生成一个用户指纹，从而追踪用户，作者写了一篇详细的文章，解释这是怎么实现的。

如何用自然语言处理（NLP）推送广告？（英文）

本文演示了将网页文章的内容，推送给 NLP 的云服务，自动进行自然语言分析，返回文章主题。然后，页面脚本根据网页的不同主题，在网页上加载最相关的广告。

Just Get My Data

这个网站收集了从各种在线服务取回个人数据的方法，并有”容易”、”中等”、”困难”、”不可能”四个难度评级。

Experience

Awesome Privacy

该仓库收集各种注重用户隐私保护的软件工具和服务。

全国首例适用民法典的侵犯公民个人信息公益诉讼案宣判：赔偿并公开道歉

2021年1月8日上午，民法典实施后全国首例个人信息民事公益诉讼案件开庭审理并当庭作出判决。该案由浙江省杭州市下城区人民检察院提起民事公益诉讼，杭州互联网法院通过网络公开审理。

本案中，被告孙某未经他人许可，在互联网上公然非法买卖、提供个人信息，导致众多不特定人员的信息长期遭受侵害，扰乱个人信息正常的收集、使用、流通秩序，损害了社会公共利益。孙某在依法被追究刑事责任的同时还应按照其获利赔偿损失3.4万元，并在省级新闻媒体公开赔礼道歉。

印度隐私法案最终草案可能在1月29日的议会会议上提交

印度《2019年印度个人数据保护法案》的最终草案将可能在1月29日开始的议会预算会议期间提交。该草案将包括89项修正案和一项新条款。联合议会主席Meenakshi Lekhi表示，各党派对最终的法案达成了共识且已经被采纳，过程非常透明”。

欧盟法院的意见涉及数据保护当局对跨境数据处理的权限问题

欧洲联盟法院（以下简称 “欧盟法院”）于2021年1月13日公布了佐审官Michal Bobek在 Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA v Gegevensbeschermingsautoriteit (Case C-645/19)中的意见。该意见特别规定，数据控制者或处理者在欧盟的主要机构所在成员国的数据保护机构具有一般权限，可以就跨境数据处理方面违反GDPR的行为启动法院程序。不过，意见指出，在GDPR特别允许的情况下，其他相关国家数据保护机构仍有权在各自成员国启动此类程序。
更具体地说，意见指出，从GDPR的措辞中可以看出，牵头的数据保护机构对跨境数据处理，包括对违反GDPR的行为启动司法程序具有一般权限，并由此推断，其他相关数据保护机构在这方面享有的权力较为有限。事实上，意见强调，在跨境数据处理方面，明确限制了数据保护机关对可能影响其境内的侵权行为启动司法程序的权力，正是为了让数据保护牵头机关能够行使这方面的任务。
此外，意见还强调，不能将数据保护牵头机关视为跨境情况下GDPR的唯一执行者，必须按照GDPR规定的相关规则和时限，与其他相关数据保护机关紧密合作，其投入在该领域至关重要。
此外，意见还规定，国家数据保护机构即使不作为牵头机构，也可以在各种情况下就跨境处理向各自成员国的法院提起诉讼，例如：在GDPR的实质范围之外行事；对公共机构、为了公共利益、行使官方权力或不在欧盟设立的控制者进行的跨境数据处理进行调查；采取紧急措施；或在牵头数据保护机构决定不处理案件后进行干预。
因此，该意见的结论是，GDPR允许成员国的数据保护主管部门就跨境数据处理方面涉嫌违反GDPR的行为向该国法院提起诉讼，尽管它不是被赋予启动此类诉讼的一般权力的主要数据保护主管部门，但条件是它在GDPR明确赋予其这方面权限的情况下并根据GDPR规定的相应程序这样做。

因收集信息，法国罚谷歌 1 亿欧元、罚亚马逊 3500 万

12 月 10 日，法国数据隐私监管机构 CNIL 周四表示，对 Alphabe 公司旗下谷歌处以 1 亿欧元（约合 1.21 亿美元）的罚款处罚，原因是谷歌的搜索引擎在管理 Cookie 网络跟踪功能方面违反了相关规定。

此外，CNIL 还对亚马逊作出了 3500 万欧元（约合 0.42 亿美元）的罚款处罚，因为该公司在没有得到用户同意的情况下，在他们电脑或访问设备上放置跟踪代码 Cookie，以对设备进行跟踪。

CNIL 要求这两家公司在三个月时间内，改变他们以这种方式收集用户信息的行为，否则每天将被处以 10 万欧元的罚款处罚。

与 CNIL 上次对谷歌的最高罚款数额相比，这次罚款数额增加了一倍。此前，谷歌已经遭遇过欧委会的严格审查，并且在三起反垄断案件中被罚款超过 82 亿欧元。

苹果公司在欧洲多国被起诉

当地时间12月1日，欧洲消费者组织Euroconsumers发布声明称已经在比利时和西班牙向苹果公司发起诉讼，要求后者为拥有iPhone 6、6 Plus、6S 和6S Plus的消费者每人赔偿60欧元，理由是其涉嫌欺骗用户下载更新，以故意减慢他们iPhone的速度。该组织表示，还计划在意大利和葡萄牙对苹果公司发起诉讼。今年3月份，苹果就因相同理由在美国国内赔偿5亿美元。

微信好友关系不属于用户隐私案判决书

2019年初，哈尔滨的王先生在使用“微视”App时，发现微视会获取其全部微信或QQ好友信息。王先生认为“微视”并没有告知会收集和使用上述信息，他也没有授权同意“微视”收集和使用上述信息，因此认为该行为侵害了他的隐私权。

2021年1月22日，深圳南山法院对原告王先生起诉腾讯侵权案作出判决，驳回了原告的全部诉讼请求。

关于性别和地区：
法院审理认为，隐私权是指自然人享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、刺探、利用和公开的一种人格权。原告主张的性别、地区信息，由原告注册微信账号时选择填写，其使用微信软件的过程中，在一定范围内已公开，该两类信息通常不具有私密性。

关于获取信息：
法院审理认为，在原告未提供相反证据的情况下，可以证实微视app只有征得用户同意的情况下才会获取用户的微信好友关系。同时，腾讯提交的证据显示，用户可以在微信中关闭“微视的朋友关系”来撤销微视app对微信好友关系的使用。

关于好友关系：
法院审理认为，好友关系属于个人信息，但个人信息并不等同于隐私。原告所主张的微信好友关系在特定情况下具有合理的隐私期待，但从本案查明的情况来看，原告所主张的微信好友关系既未包含其不愿为他人所知晓的私密关系，他人也无法通过其微信好友关系对其人格作出判断从而导致其遭受负面或不当评价，故在本案中认定原告所主张的微信好友关系不属于原告的隐私。

Facebook 在《纽约时报》等美国大报，刊登全版广告（下图），抨击苹果公司的新版本 iOS 允许关闭用户追踪，认为这样将打击美国小企业，因为 Facebook 无法为他们提供帮助了。

特斯拉车内监控

特斯拉公司的自动驾驶功能，最近麻烦不断，曝出安全漏洞和发生了许多事故。该公司决定启用后视镜上方的车载摄像头，监视驾驶员。

自动驾驶时，摄像头一旦发现驾驶员注意力不集中（比如睡着了），就会发出警告。如果驾驶员不理睬警告，车辆将自动减速停下来。如果关闭或遮挡摄像头，一旦发生事故，特斯拉就不承担任何责任。

这就是说，以后车辆自动驾驶时，车内也是被监控的，不过特斯拉保证，不会上传监控录像。

指纹照片

BBC 报道，有一个英国毒品贩子，多年来逍遥法外，警方一直抓不到他。后来，警方发现有一个社交媒体账户，怀疑背后就是他，但是没有证据。

有一天，这个账户发了一张手拿奶酪的照片（下图），警方根据照片上的指纹和掌纹，确定就是此人，从而将他抓获，判刑13年6个月。

Telegram 创始人和他的黑暗帝国（英文）

德国《明镜》杂志的长篇英语报道，介绍聊天软件 Telegram 现年36岁的创始人帕维尔·杜罗夫 (Pavel Durov) （上图），以及 Telegram 的故事。

Ojoy

一个网页图像工具，可以放大图片的同时，还保持同样的清晰度。

数字治理与数字犯罪系列 | 个人信息收集中的授权效力认定（三）

上一篇文章《个人信息收集行为的法律边界》提到，《网络安全法》规定，互联网信息服务提供者在提供服务过程中收集、使用用户个人信息的，应当遵循“合法、正当、必要”原则，同时收集个人信息应征得被收集者或其监护人同意。实践中，取得被收集者同意一般系通过授权接入或者用户自行填写等方式实现。

但是，有案例显示，即使网络服务提供者在收集个人信息时取得了被收集者的许可，其仍被认定构成侵犯公民个人信息罪。那到底怎样取得授权、取得什么样的授权才算“合法”，对此，我们结合处理的案件及相关案例，梳理了市场主体取得个人信息授权的风险点，供各位参考。

“乘人之危”获取授权的行为可能被认定构成恶意规避法律适用，不具有法律效力

在《李某某、陈某某侵犯公民个人信息罪一审判决书》中[1]，涉案单位从事网络借贷业务，其中需要收集借款人姓名、地址、手机号码、紧急联系人、芝麻积分、通讯录等个人信息。对此法院认为，借款人基于财务状况紧张而向涉案单位提交材料申请借款，涉案单位系乘人之危强行取得借款人对其个人信息的获取及使用授权。该行为属于恶意规避法律适用以达到侵犯他人合法权益之目的，不具有法律效力。法院判决并未就“恶意规避法律”的具体内容展开。对此，我们理解，是否“合法”又与是否“必要”直接挂钩，如借款人拒绝提供上述全部信息，其中部分信息并非提供该项服务所必须，涉案单位不为其提供相关服务，由此可能被认定构成“恶意规避法律”。

其实，类似情况在实践中多有发生。日常使用手机应用软件时，用户如不许可授权获取或使用特定信息，部分网络服务提供者可能拒绝提供相关服务。上述情况是否构成前述判决中提到的“恶意规避法律适用”？针对该问题，我们理解应按照是否“必要”，分情况讨论。

例如，以提供出行交通相关的网络服务为例，如用户拒绝软件获取用户的定位信息，则相关软件实际无法有效发挥功能。在此情况下，用户信息的获取与服务提供具有密切关联，属于提供该项网络服务的“必选项”，则不应认定服务提供商“乘人之危”强行要求用户提供个人信息。但是，如果提供出行交通相关网络服务商希望获取用户的征信信息或者消费记录等与出行交通无关的个人信息，并在用户拒绝提供时不予服务的，网络服务提供者可能被认定构成“乘人之危”。

值得注意的是，实践中，行政机关已明确认定上述行为违法并作出行政处罚。在某人力资源公司行政处罚决定书中，公安机关认定的该人力资源公司的违法事实为：其所运营的某手机APP在用户明确表示不同意后仍收集个人信息，并频繁征求用户同意干扰正常使用，在用户不同意收集非必要个人信息或打开非必要权限后拒绝提供业务功能。该等行为被认定违反了《网络安全法》第四十一条之规定，未履行个人信息保护义务。[2]
2. 为获取个人信息而进行虚假宣传、无法实现被收集者填写信息的目的，可能被认定为信息收集缺乏正当性和合法性依据

在《薛某某、吴某、黄某某敲诈勒索罪一审刑事判决书》[3]中，被告人运营的某从事网络借贷中介业务的APP平台，对外宣传声称可以进行网络借款。但事实上该平台本身不从事借贷业务，也不具有放贷功能，只能发挥网络借贷中介的功能。法院认定，该平台无法直接满足借款人从平台上获取资金的需求，也没有将其实质为网络借贷中介的身份向借款人释明，因此其收集借款人的个人信息的行为缺乏正当性、合法性依据。

据此，在网络服务提供者获取个人信息之前，应当向被收集者明确网络服务提供者的真实身份以及所提供服务的真实内容。
3. 在被收集者对信息真实用途缺乏明确认知情况下的授权使用，不具有阻却获取个人信息行为违法性的效力

在《李某某、陈某某侵犯公民个人信息罪一审判决书》中[4]，被告人抗辩其在授权协议中已明确告知借款人其信息可能被共享至第三方主体。但是，法院认为，借款人授权的真实意思为基于个人信息审核而直接获得借款，而非授权涉案公司将个人信息对外出售无差别获利。在权利人对个人信息真实用途缺乏明确认知情况下的授权使用，不具有真实意思表达的基础，不具有阻却获取个人信息行为违法性的效力。

因此，虽然授权协议中写明了个人信息可能被共享至第三方主体，但若网络服务提供者未明确告知相关信息共享至第三方的用途或使用方式，该类“宽泛”的授权往往被认定为无效授权，进而不能阻却该类获取个人信息行为的违法性。
4. 超越范围、超出必要限度收集公民个人信息数据的行为可能被认定不具有正当性，侵犯第三人信息权益的授权不具有法律效力

仍旧是在《李某某、陈某某侵犯公民个人信息罪一审判决书》中[5]，法院查明，涉案公司在收集借款人个人信息时，收集输出的信息不仅局限于借款人本人的姓名、身份号码、联系方式等基础信息，还包括借款人的通讯录信息、通话记录信息等。法院认为：“该类信息收集、使用的违法性直接指向了对借款人亲友个人信息权益的侵犯，明显超出了正常借贷行为所需的信息范围，超范围、超必要限度收集、使用公民个人信息数据的行为不具有正当性，侵犯第三人合法权益的授权也不具有法律效力。”

据此，网络服务提供者在收集个人信息时，相关信息涉及到其他个人，例如通讯录或者通话记录等，此举等同于间接获取了第三方个人信息。该等行为通常被认定为超范围、超必要获取个人信息，违反了“合法、正当、必要”原则。在此情况下，个人对于其信息授权也可能被法院认定为无效。
5. 授权协议的格式条款是否做到了权责对等

最后，实践中法院也可能审查授权协议的格式条款是否权责对等。在前述案例中，法院认为相关授权协议即属于格式条款。如果格式协议中均为对权利人（个人信息提供人）权利的限制以及对涉案公司责任的免除，则仅以授权协议不能认定公司已经履行了“格式条款”中责任免除的明确告知义务。

综上，随着法律对于个人信息保护力度的持续提升，网络信息服务提供者不能仅仅以格式条款、制式授权等形式豁免其获取、使用个人信息应履行的责任。在取得个人信息授权时，应贯彻“合法、正当、必要”原则，并且明确告知被收集者信息获取的主体、范围及真实用途等重要内容。

[1] 浙江省绍兴市越城区人民法院审理的(2019)浙0602刑初850号

[2] 台公(黄)(城北)行罚决字[2020]00917号

[3] 浙江省绍兴市越城区人民法院(2019)浙0602刑初150号

[4] 浙江省绍兴市越城区人民法院审理的(2019)浙0602刑初850号

[5] 浙江省绍兴市越城区人民法院审理的(2019)浙0602刑初850号

“数”往知来——封禁APP背后的数据博弈

引言

2020年6月29日，印度新闻信息部发布消息称，印度信息电子与技术部援引《信息技术法案》（the Information Technology Act）第69A部分第2009条，禁止用户在印度境内访问（Blocking）59款中国移动应用，理由在于以上移动应用以非法方式窃取用户数据传输至境外服务器，可能损害印度的主权以及国家安全与公共秩序。[1] 全球范围内，基于安全目的对于数据跨境的限制和审查早已不是新闻，更重要的是“数据主权”思想渐渐融入到各国的立法和执法活动中。印度此举再次引发各方关注，跨国企业应当提高警惕，对于潜在数据安全及合规风险提前应对，建立符合国际立法趋势和竞争形势的全球数据跨境顶层设计，并将数据资产的思路贯彻到企业日常经营管理中。
印度的数据跨境规则

此前印度在数据跨境自由流动与数据本地化之间持较为中间的态度。[2] 一方面逐步推进数据本地化政策，另一方面设置了数据本地化的豁免情形，并对数据分级分类实行不同的数据本地化要求。以个人数据为例，印度《个人数据保护法草案》[3]（Personal Information Protection Act，以下简称“《个人数据保护法案》”）将个人数据分为三类，根据《个人数据保护法案》第33条与第34条，我们理解，印度实现个人数据跨境传输的路径通常有三种：
一般个人数据没有作出限制，可以自由传输至境外
敏感个人数据满足第34条第（1）款条件时，可以传输至境外
关键个人数据原则上禁止传输至境外，例外地满足第34条第（2）款列举的医疗急救事由或获得中央政府允许时，可以传输至境外

判断个人数据的敏感或关键程度，需要对具体的数据处理场景进行个案分析。此次受到波及的59款移动应用涉及多个领域，包括短视频、浏览器、地图、跨境电商、游戏、社交、安全软件、新闻、图片编辑、邮件、音乐、直播、翻译等，包含大量个人数据的处理。但是，这些个人数据是否都属于敏感个人数据或关键个人数据并不能直接判定。由于场景众多、数据量较大，可能很难逐一论证移动应用处理数据的合法性，并且由于各场景情况不同，通常也较难实现直接禁止访问全部移动应用的处罚效果。

但是，在《个人数据保护法草案》体系之外，印度现行的《信息技术法案》第69A部分还赋予了政府基于特定目的，禁止公众访问任何形成、传输、接收、存储或托管在任何计算机资源中的数据的权力。其中，第69A部分所规定的特定目的包括，保护印度主权及保护国家安全与公共秩序，维持与外国友好关系，以及防止煽动实施与前述有关的任何可识别罪行等。这一条款为印度限制或禁止向境外传输的数据类型提供了一定的弹性空间，即除了《个人数据保护法草案》中的个人敏感数据或关键个人数据，任何类型的数据只要被政府认定为有损害以上目的的风险，都有可能被禁止访问。

基于保护国家主权、数据主权等对数据跨境传输作出限制，不排除是一国为保护国内数字产业经济发展或国内其他利益而综合考量的结果。但是，由于政府在认定是否发生损害国家主权、数据主权的风险时具有较大的裁量权，对于涉及数据跨境传输的企业而言，常会面临较大的不确定性与风险。因此，援引类似规定前通常应进行谨慎地论证，否则轻易地触发类似规定引发限制数据出境的后果，将给跨境经济活动带来较大地危害。
其他法域的数据跨境规则及实践

出于国家安全、数据安全等因素限制数据跨境活动并不局限于印度，全球范围内，不同法域针对数据跨境活动可能具有不同程度的限制，全部或部分的数据本地化规则成为各国数据主权立法体系中的重要组成部分。

美国

以美国为例，保护国家安全、数据安全等是其在实践中限制数据跨境活动的重要理由。2018年颁布生效的美国《澄清域外合法使用数据法案》（the Clarifying Lawful Overseas Use of Data (CLOUD) Act, 以下简称“CLOUD Act”）将美国执法机关的数据“主权”延伸至美国企业“控制”的境外数据。2019年共和党议员向参议院提交关于《2019国家安全与个人数据保护法》（National Security and Personal Data Protection Act of 2019）的提案，通过专门立法的方式对该问题作出细致规定，其条款的设置也充分凸显了美国“数据主权”的理念，例如明确要求跨国开展业务的特别关注科技公司（Covered Technology Company, CTC）将数据回传美国和本地化存储，同时对用户数据的输出进行了严格管制等。

欧盟

欧盟主要通过《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）及《非个人数据在欧盟境内自由流动框架条例》对数据跨境传输进行规制，推动数据在欧盟境内的自由流动。欧盟对于与区域外的数据跨境传输提出了条件限制（例如充分性认定、约束性公司规则、标准数据保护条款等）。而作为对CLOUD Act中“数据主权”及其规则的回应，欧盟数据保护委员会（European Data Protection Board）曾发布报告表示，“CLOUD Act可能与GDPR第48条，即仅在基于国际协议的基础上认可域外法院命令”进而向欧盟境外传输个人数据的规则存在冲突。[4]

日本

日本的数据跨境传输制度可能相对更为宽松，目前日本尚未就国家安全、数据主权的事由作出具体规定。以个人数据为例，除某些特殊的国际协议或数据保护水平的互认外，日本《个人信息保护法》就一般性的个人数据跨境传输所提供的合法路径主要限于以下三种情形，即征得数据主体同意、接收国获得个人信息保护委员会认可具备同等保护水平或接收方具备完善的数据保护体系等。

其他

其他法域在实践中也已经出现针对数据跨境的监管处罚。例如，法国数据保护机构（the French Data Protection Authority）2019年对一家建筑公司开出罚单，其中一个原因就在于该公司在将拨打营销电话过程中收集的数据传输到非欧盟地区的呼叫中心提供商的过程中，未采取有效的数据跨境传输措施。又如，俄罗斯虽然本身不绝对禁止个人数据出境，但是要求数据首次存储必须在俄罗斯的服务器上。[5] 2020年3月Twitter 和Facebook因为拒绝将数据存储在俄罗斯服务器而遭到俄罗斯法院的高额处罚等。[6]
“数据主权”下的数据跨境规则与企业全球数据资产管理体系

尽管在数据跨境传输的具体监管规则设计和监管强度上可能有所不同，但各国均不约而同地将数据（特别是个人数据）的跨境传输作为数据保护体系构建中的重要一部分，其背后所反映的正是“数据主权”或者 “确保对数据资源及价值的控制”的立法理念。与此同时，不同司法辖区的数据跨境监管路径及具体规则设计上的差异，也为企业在多司法辖区业务开展过程中的“全球”数据管理体系构建和合规成本提出了考验。

实践中，为了满足企业在特定司法辖区业务运营中的合规义务，包括但不限于数据安全、行业监管规则、数据与国家安全等；同时考虑到（1）实际的数据管理体系建设成本，如数据中心等基础设施建设成本、信息流转及沟通成本；（2）业务对数据的需求，特别是数据的实时性与全面性之间的动态平衡等因素，实践中逐渐形成了三种常见的全球数据管理体系构建思路，即：

（1）单极中心化的数据管理体系：在全球构建单个巨型数据中心及单一控制主体，作为数据的存储及处理的核心“大脑”，将业务所在的司法辖区收集和产生的数据传输至唯一的数据中心，实现中心化的数据处理；

（2）多极区域化的数据管理体系：按照需求，对全球业务所在的司法辖区进行区域性划分，在对应区域内选择合适的司法辖区构建区域数据中心并设置控制主体，作为区域内数据存储及处理的关键性节点，保障区域内数据的自由流通。同时通过其他通路设计在一定程度上保障区域间数据的交互以及与总部之间的数据交互；

（3）分散本地化的数据管理体系：根据监管的要求实现全部或较高程度的本地化部署，在业务所在的主要司法辖区，结合业务对数据的需求以及监管规则，部署本地化数据中心并设置对应的控制主体、较大程度地限制数据向境外传输的情形，仅在对数据进行必要处理或满足特定监管规则情况下就进行有限的数据跨境传输和交互。

对于以上三种数据管理体系，可能在基础设施建设及数据交互沟通成本、数据的融合与价值开发、数据安全（特别是数据泄露）风险、数据内部合规制度构建及审查等方面都存在不同之处，特别是考虑到某些行业、企业的业务运营需求以及监管机构的关注重点等要素，三种数据管理体系可能在常规意义上会适用于不同类型的行业和业务（有关三种全球数据管理体系的构建形式、优劣势分析及实践应用的更多信息，请参见“一文）。
全球数据跨境的顶层设计与数据资产管理体系

企业只有在全面厘清自身业务中的数据类型、数据需求、业务所在司法辖区的监管规则及其适用情况的基础上，充分考虑自身的数据安全管理能力、信息沟通交互能力、合规成本等要素，才能选择出最适合的数据管理体系。除了既存的数据跨境、产品及服务等情况外，从动态发展的视角来看，我们建议企业在构建数据管理体系时还需要结合未来（特别是中短期的）业务发展规划、监管规则变化趋势，为数据管理体系的构建保留一定的弹性空间。

同时从“数据主权”概念下公权力对于数据资源的限定可以充分理解数据对于社会及企业的价值和带来的竞争力，企业应当从数据资产的角度来规划和管理自身的数据，从安全、合规、融合和价值四个维度来建立企业的数据资产池，并通过技术、合规及商业的管理方法来保护和管理数据资产，最大限度发挥数据资产的驱动力。

在中国企业“走出去”的时代趋势之下，本次的印度执法活动再次为中国企业的海外业务运营敲响了警钟。“数”往知来，在数据主权理念日益受到重视、数据跨境传输的立法规则及执法活动不断加强的今天，企业在面临相关执法时是否能够实现“迅速”“优雅”的转身，通过对全球数据跨境及资产管理体系的有效构建和有机调整，降低相关法律风险，提升在海外业务运营中的市场竞争力，对于企业而言至关重要。

[1] 参见https://pib.gov.in/PressReleasePage.aspx?PRID=1635206。

[2] 参见上海社会科学院互联网研究中心：《全球数据跨境流动政策与中国战略研究报告》，https://www.secrss.com/articles/13274，最后访问于2020年6月30日。

[3] 尽管2018年《个人数据保护法草案》尚未生效，但在实践中该草案已具有较强的指导意义。

[4] Lauren Morris, CLOUD Act Conflicts with GDPR, EDPB says, Global Data Review, https://globaldatareview.com/international-transfers/cloud-act-conflicts-gdpr-edpb-says，最后访问于2020年7月1日。

[5] 参见https://www.huntonprivacyblog.com/2019/12/02/cnil-fines-french-construction-company-for-infringements-when-placing-marketing-voice-to-voice-calls/，最后访问于2020年7月1日。

[6] 参见https://www.marketwatch.com/story/russian-court-fines-facebook-twitter-over-data-storage-2020-02-13，最后访问于2020年7月1日。

腾讯游戏推出”零点巡航”功能，防止未成年人沉迷游戏。只要夜间游戏超过一定时长，系统就会要求对你进行人脸识别，看看是否跟身份证上是同一个人。
如果识别失败，表明你是冒用成年人的身份证，就会把你踢下线。