国外融资租赁行业协会(国外金融租赁公司)
新书
推荐
+
本书基于作者在数据合规及个人信息保护领域的理论和实务经验,借鉴境内外立法和执法实践,从问题视角出发,用问答的形式探讨关于数据和个人信息的法律问题,通过对众多假设和真实的场景案例分析,系统梳理和回应了数据和个人信息保护与利用中的疑难法律问题。本书分为十一个主题,各分篇主题着力探讨、总结数据与个人信息保护实务中的常见问题、法律难点、应对方案等,尽可能兼顾了监管合规、诉讼风险、实务建议等多方面的问题,并且提出具有操作价值的建议,不仅详述了我国的相关法律法规和案例,更涵盖了欧洲、美洲、非洲及其他亚洲国家。
卢 勇 李 昂 施 勇 胡 凌 张韬略 吴清卿
联袂推荐
数据与个人信息疑难问题法律指引
万波律师•倾力新作
万波,上海金茂律师事务所律师,主要执业领域为银行、融资租赁、保理、金融科技、数字化转型法律服务。其代表性的案例包括资产投资和处置、证券化、供应链管理、电子商务平台、互联网金融、网络安全、数据和个人信息保护等领域的法律服务,服务的客户涉及政府机关,金融企业,数据公司,平台运营者,能源、医药、教育、物流、商旅酒店等行业,致力于综合运用法律手段、金融知识、数字化能力等赋能客户,具有国际云安全联盟(CSA)认证数据保护官资质,凭借其在数据和个人信息保护领域的拓展和口碑被国际知名法律媒体和评级机构《商法》杂志(CBLJ)评为2022年A-List法律精英。
万波律师现为中国服务贸易协会理事、中国服贸协会商业保理专委会学术委员、中国个人信息保护合规审计推进小组成员、上海市融资租赁行业协会理事、上海市商业保理同业公会监事长、上海数商协会理事、上海市大数据联盟成员。万波律师还担任最高人民检察院民事行政诉讼监督案件咨询专家,华东政法大学兼职教授、上海仲裁委员会仲裁员,海南国际仲裁院仲裁员、华鑫证券有限公司独立董事等社会职务。
1.主题全面,案例详实
本书共十一个主题,分为:
- 基本通识篇
- 网络安全审查篇
- 数据跨境篇
- 个人信息合规审计与保护影响评估篇
- 数据安全事件应急处置篇
- 个人信息直接收集和处置篇
- 个人信息外部交互篇
- 个人信息主体权利篇
- 数据不正当竞争篇
- 数据交易市场篇
- 域外动态篇
每项分篇下都辅以丰富详实的案例,共计215则典型案例及法律适用的场景,全面细致地对各类场景中关于数据和个人信息的收集、处理和使用等进行了案例化的分析。
2.一问一答,条分缕析
本书体例上即以问题为中心,通过问答的方式让读者在检索目录时可以直接找到感兴趣的问题,内容上又拆分大量中外实务案例场景进行深入讨论,系统梳理和回应了数据和个人信息保护与利用的疑难问题。通过“一问一答”的形式,深入浅出地用“是什么” “为什么” “怎么做”的行文逻辑探讨并回答了数据和个人信息保护中的一系列热点、难点问题。同时,就同一个热点、难点问题,通过多个问题的对比问答,条分缕析,帮助阅读者把握细节的“魔鬼”。无论阅读者是否具有法学教育背景,本书都易于阅读,各专题所涉内容和案例也将对其实务工作带来借鉴及启发。
3.实用应时,案头工具
本书不仅聚焦于当前数据和个人信息保护的法律研究,更将视角落于实务操作,辅以大量的参考案例,对数据行业的从业者来说是一本实用的案头工具。例如对当前热门的“数据跨境”话题,本书第三章“数据跨境篇”从为什么要建立数据跨境制度、有哪些数据本地化的规则和模式、什么是法律意义上的“数据跨境”、什么情形可认定属于“确需向境外提供”、如何进行数据跨境保护认证、如何签订数据跨境标准合同、如何进行数据跨境安全评估、如何评估接收国家的政治法律环境等方面,对数据跨境中的实务问题,从概念辨析到实际操作,进行了细致、全面的剖析,兼顾了法律规定、监管合规、实务建议等多方面的问题,分析及讨论尽可能结合非诉讼思维给出有操作价值的建议,并尽可能地避免数据合规风险,避免本书成为数据与个人信息保护法律问题的简单堆砌,从而沦为“法律法规汇编”或“裁判文书汇编”。
▣下述内容节选自《数据与个人信息疑难问题法律指引:基于215则典型案例的分析》第三章数据跨境篇“什么是法律意义上的数据跨境?”,未尽完整部分,敬请以纸质书为准。
《网终安全法》《数据安全法》和《个人信息保护法》使用了“向境外提供”“出境”等词汇来表述数据跨境,但均未作出专门的定义。各界对数据跨境的界定尚未达成统一认知。
实务中客户经常问及的一个问题就是:我们的行为属于中国法律意义上的个人信息跨境传输吗?试举几个案例以作辨析:
案例1:居住在北京的自然人A在一个在线电子商务网站上填写了她的个人资料以便完成她的订单并在她的北京住所收到她在网上购买的衣服。该在线服装网站是由一家在新加坡成立的公司运营的。在这种情况下,A需将她的个人信息传递给新加坡公司。
辩析:案例1中,A需将她的个人信息传递给新加坡公司,这属于“跨境采集”,但并不构成法律意义上的“向境外提供”,因为个人信息不是由个人信息处理者传输的,而是由个人信息主体自已主动传输的。《个人信息保护法》第三章将向境外提供个人信息的主体限定为“个人信息处理者”即将个人信息主体排除了境外提供方的范围,《网络数据安全管理条例(征求意见稿)》和《数据出境安全评估办法》也都采用相同的立法例。因此,我国《个人信息保护法》第三章应不适用于这种个人自主向境外提供的情形。
案例2:公司B是一个在欧盟境内设立的控制者,将其雇员/客户的个人信息(他们都是欧盟居民)发送给设立在中国境内的C公司,由C代表B在中国进行数据清洗,C将数据处理完成后,再重新传输给B。
辩析:案例2中,被处理的个人信息都是由B公司收集的,B是个人信息的处理者,而C仅是作为受托人在中国境内接收、存储、加工处理这些境外自然人的个人信息,处理完成后立即重新传回给B。这是否属于我国《个人信息保护法》项下的“跨境传输”呢?仅根据《个人信息保护法》无法得出答案。我们认为,这比较符合《信息安全技术 数据出境安全评估指南(征求意见稿)》提出的豁免情形。根据《数据出境安全评估办法》仅适用于在境内运营中收集和产生的数据的规定,此时我国《个人信息保护法》第三章应不适用于这种情况。
案例3:某德国企业看中了中国相对低廉的人力成本,在中国境内聘请了第三方的客服中心,该客服中心直接向德国境内的顾客提供客户服务,为此收集了德国顾客的订单等个人信息,并需要定期传输给德国企业。
辨析:案例3中,在中国境内运营的第三方客服中心根据德国企业的委托提供客户服务,在此过程中收集了德国境内顾客的个人信息并跨境传输给德国企业,此时客服中心为“第三方受托处理者”。国家网信办颁布的《数据出境安全评估办法》第2条规定“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法”。但《数据出境安全评估办法》并未明确此处的“数据处理者”是否也包括了第三方“受托处理者”,我们认为,此处的“数据处理者”应作广义理解,即包括“受托处理者”更符合立法目的和更有利于真正实现对境内个人信息的保护。
......
(目录是一本书的精华)
━ ━ ━ ━ ━
第一章 基本通识篇
一、中国的数据法律对我有效力吗?
二、什么是法律意义上的“数据”?
三、什么是法律意义上的“个人信息”?
四、什么是法律意义上的“敏感个人信息”?
五、如何理解“匿名化”及其真实效用?
六、如何理解《个人信息保护法》各项基本原则?
七、如何理解必要和最小化原则?
八、我是“关键信息基础设施”运营者吗?
九、我是“重要数据”处理者吗?
十、我是“重要互联网平台”运营者吗?
十一、我要设立“数据保护官”吗?
十二、我需要申请增值电信类业务牌照吗?
第二章 网络安全审查篇
一、为什么要建立网络安全审查制度?
二、什么是网络安全审查制度3.0版?
三、网络安全审查适用于个人信息处理活动吗?
四、我属于“网络平台运营者”吗?
五、我需要主动申报网络安全审查吗?
六、国外已上市公司需要主动申报网络安全审查吗?
七、网络安全审查的具体流程是什么?
第三章 数据跨境篇
一、为什么要建立数据跨境制度?
二、有哪些数据本地化的规则和模式?
三、什么是法律意义上的“数据跨境”?
四、什么情形可认定属于“确需向境外提供”?
五、如何进行数据跨境保护认证?
六、如何签订数据跨境标准合同?
七、如何进行数据跨境安全评估?
八、如何评估接收国家的政治法律环境?
第四章 个人信息合规审计与保护影响评估篇
一、什么是个人信息合规审计?
二、什么是个人信息保护影响评估?
三、如何准确界定审计/评估的对象?
四、如何进行个人信息合规审计?
五、如何进行个人信息保护影响评估?
第五章 数据安全事件应急处置篇
一、什么是数据或个人信息安全事件?
二、何时触发数据安全事件报告义务?
三、何时触发数据安全事件通知义务?
四、如何制定安全事件应急预案?
第六章 个人信息直接收集和处理篇
一、如何取得“同意”?
二、如何取得“单独同意”?
三、使用Cookie有什么注意事项?
四、使用SDK有什么注意事项?
五、什么属于人脸识别行为?
六、如何为维护公共安全目的进行人脸识别?
七、如何为员工管理等非公共安全目的进行人脸识别?
八、如何收集处理儿童的个人信息?
九、如何理解“为订立、履行合同所必需”?
十、如何理解“为履行法定职责或者法定义务所必需”?
十一、如何理解“紧急情况下为保护自然人的生命健康和财产安全所必需”?
十二、如何理解“为公共利益实施新闻报道、舆论监督等所必需”?
十三、如何理解“在合理的范围内处理已合法公开的个人信息”?
第七章 个人信息外部交互篇
一、如何进行个人信息的“间接收集”?
二、如何进行个人信息的“委托处理”?
三、如何进行个人信息的“共同处理”?
四、如何进行个人信息的“对外提供”?
五、如何进行个人信息的“转移”?
第八章 个人信息主体权利篇
一、如何实现个人的“查阅权”和“复制权”?
二、如何实现个人的“更正权”?
三、如何实现个人的“同意撤回权”?
四、如何实现个人的“删除权”?
五、个人信息保存期限的规定有哪些?
六、如何实现个人的“可携权”?
七、如何实现个人的“反自动化决策权”?
八、如何实现死者近亲属的相关权利?
第九章 数据不正当竞争篇
一、什么是数据不正当竞争行为?
二、不同行业的经营者之间能否构成不正当竞争?
三、什么是“流量造假”行为?
四、什么是“流量劫持”行为?
五、有哪些新类型数据不正当竞争行为?
第十章 数据交易市场篇
一、有哪些数据交易模式?
二、数据交易市场的发展现状如何?
三、如何在数据交易市场进行交易?
四、数据交易协议要注意哪些要点?
第十一章 域外动态篇
一、什么是美国的CLOUD法案?
二、CLOUD法案对我国有什么影响?
三、什么是美国《外国公司问责法案》?
四、美国《外国公司问责法案》对我国有什么影响?
五、什么是《区域全面经济伙伴关系协定》?
六、RCEP对我国有什么影响?