律所动态
Ronze Lecture | “数据合规”工作的重点及难点解析
发布时间:
2024-07-15
作者:
至融至泽
来源:
至融至泽
2024年7月12日下午,上海至融至泽律师事务所成功举办Ronze Lecture系列第六期专题培训。本次培训由陈嘉伟律师主讲,以“数据合规”工作的重点及难点解析为主题,旨在分享数据合规律师为企业提供法律服务时的具体内容与相关要点。
首先,陈嘉伟律师结合自身实务经验,从外部监管手续,如网络安全审查、数据出境监管、信息安全等级保护备案等从事数据相关业务的企业需要获取的资质、需要履行的备案或认证手续的申请内容、监管部门、认定标准等角度出发,对不同类型、不同级别的数据合规监管手续、以及合规律师在其中的业务点及工作核心,从制度规范和实务操作两个层面进行了详细的讲解。
陈嘉伟律师提出,企业数据合规的核查要点可以概括为“人”“制度”“措施”三大模块:“人”即企业数据合规组织架构,合规律师在法律服务过程中如何协助企业设计组织架构、起草职责分工制度,如何通过决策层、管理层、执行层的分级,尽可能确保企业数据合规得以有效落实和执行,并对实务中个人信息保护负责人的职责和任命这一常见问题进行了梳理;“制度”即企业内部数据合规制度的设置,如网络安全管理制度、数据分类分级规则、个人信息保护办法等,如何将国家和监管部门数据合规相关的规范落实为完善的内部数据合规制度,作为企业数据合规的基石和执行的制度支撑;“措施”即安全管理措施和技术措施,安全管理措施包括根据业务领域和数据内涵进行分类,根据对国家安全、社会公共利益、经济秩序的影响程度进行分级,针对不同分类分级制定不同程度的安全防护措施,进行涵盖数据处理目的和方式合法合规性、安全保护措施必要性审查的个人信息保护影响评估和个人信息合规审计,进行定期安全教育培训等,技术措施包括数据传输和存储加密、数据安全风险监测、访问控制和身份认证、以及实操中存在难点和争议的个人信息去标识化或匿名化等。
陈嘉伟律师还对线上产品从信息获取所需的隐私政策、协议文件、授权书等要件,前端交互如强制获取个人信息、默认勾选、强制个性化推荐等不合规设定,后端处理如超范围收集信息、后台静默收集信息等风险点及不同阶段的合规要点;数据从收集、使用,到存储、传输、公开,再到删除、销毁的全生命周期管理中的授权合规和目的必要性审查;企业内部的员工个人信息处理制度的明确和完善、权限的获取、处理场景的合理性和必要性审查;对涉及数据处理和网络产品及服务的合作方建立涵盖事前准入尽调、事中监督、事后清退与处置的管理机制;以及根据企业具体所处行业和业务模式所额外需要的如生成式人工智能服务管理、科技伦理审查等,都进行了细致的讲解。
此外,陈嘉伟律师还结合自己的实务经验,在培训前半部分侧重企业和监管部门视角的基础上,从律师的视角介绍了数据合规律师的日常工作重心,让与会律师和律师助理对数据合规全流程的主要业务点、难点和沟通重点,有了更完整、全面的理解。
陈嘉伟律师的讲解结束后,与会律师和律师助理也就在数据合规领域的研究和实操展开了互动提问和交流,针对初涉数据合规领域的认知偏差,三大基本规范随着网络科技发展扩展到不同业务领域而不断演化出更为细致的监管规范和标准,如何在实操中准确识别监管口径,如何在数据流通的市场价值和数据安全保护的行政监管的平衡中为企业客户提供更高质量的数据合规法律服务等,进行了深入探讨。
相关推荐
