今年10月，上海网信办某科技公司因处理政务类数据时违规操作，被责令整改，并处以五万元罚款。

今年7月26日，广州市在净网“2022”专项行动中，某技术公司一款APP系统因未履行数据安全保护义务，导致1000万余条公民个人信息面临泄漏风险被立案罚款。

去年9月开始，已先后有喜茶GO、南方航空、春秋航空、看看新闻、爱回收、豆瓣、唱吧、2345浏览器等上百款APP因侵害用户权益被通报，蜻蜓FM、万顺叫车、长投学堂等因违规索取权限、开屏弹窗信息骚扰用户被直接下架处理。

屡屡发生的数据违规案件仍赫然眼前，《数据安全法》《个人信息保护法》施行至今的一年多时间里，APP下架、新用户注册停止、融资生变、罚单不止等现象批量出现，法律要求板上钉钉，数据合规官也请了，安全防护系统也装了，但保不齐哪里又会踩雷，这种合规刚需和应对失措的撕扯局面，正成为越来越多企业的“心病”，若要问当前有多少企业不会为数据合规而焦虑，答案大概率是0。

对于狂奔近20多年的互联网而言，过往的粗放式数据管理已成“基本盘”，如何查漏补缺，精准摸排，重建数据合规地基，成为企业必考题。

伴随着监管催生的企业应急式数据合规治理，亟需转变为常态化工作，那么数据合规要做什么？怎么做？法律具体是怎么适用的？怎样避免合规“面子工程”？有没有一个实操手册可以从头到尾地针对性指导？有！

北京盈科（上海）律师事务所“数字经济与金融科技法律服务团队”负责人刘磊律师携手算力智库创始人燕丽联合力作——《数据合规：实务、技术与法律解码》，由法律出版社出版，作为盈科全国业务指导委员会系列丛书，本书凝聚两位作者长期法律研究和实务工作中的总结，紧跟数据保护热点、难点和重点，拒绝大而虚的说教，只有颗粒度足够细，实用性足够强，案例足够典型的实务操作指引，全书分为“数据篇”，“法治篇”、“技术篇”“市场篇”“合规篇”，五大模块，结构清晰、体系完整，可使读者快速建立数据合规工作的全景式认知。

“数据篇”，厘清数据的特殊性、产业概要、数据合规主体要素和相关权利，从认知层面明确数据合规的复杂性和关键点在哪儿？

“法治篇”，基于对现行数据立法的框架和法律解读，及对经典执法案件的分析，来让读者掌握《网络安全法》《数据安全法》《个人信息保护法》等具体法条的规范对象、适用条件、适用范围及合规要点，及时了解当下的监管态势和动向。

“技术篇”，盘点数据合规的关键技术图谱，对隐私计算、区块链、联邦学习等核心技术的作用和场景实例作了重点详述，帮助客户了解如何利用技术工具协同互补来赋能数据合规。

“市场篇”，则从整个数据要素市场的角度，对数据产权、数据资产化、定价机制、数据要素市场化的实现路径、数据交易、公共数据市场化以及数据跨境流动的运作机制、政策动向和管理规范，有个全面深入的介绍，助力企业更好的参与数据要素市场，实现数据资产的变现，捕获数据红利。

“合规篇”，对企业合规体系建设、风险识别应对机制、数据规范管理机制及合规要点，及金融、医疗、政务、电信、交通、电子商务等代表性行业的数据合规治理路径有个全盘梳理，总结了“一个体系，三道防线，十步曲”的合规秘诀。

本书亮点

1、只需“一三十”，解决企业数据合规难题

企业数据合规需求贯穿方方面面。

企业数据资产在企业总资产的占比越来越高，企业数据资产如果存在严重不合规问题，可能影响运营和持续发展。

在投融资项目中，数据合规情况结论法律意见可能是企业完成投融资交割的必备文件，将会影响融资成败。

在企业上市中，数据合规问题从幕后走向前台，成为上市相关审核部门在企业上市评估及问询过程中的重点关注。

在企业出海时，数据跨境流通问题和数据本土化的属地原则，很可能让企业折戟而归。

在本书中，从企业数据合规的常见场景和需求出发，无论是上市、投融资目标、跨境出海还是日常经营，帮助企业一摸底，三防线，十步曲。

“一”是以尽职调查为基础，如何从组织人员层面、制度规范层面、技术层面、产品层面、数据生命周期层面，摸底企业数据处理情况，识别并排查企业存在的数据合规风险，在较短期间内完成整改。

“三”是以主动防范的角度，建立责任机构、风控部门、内外审计部门三道防线，从管控上剔除合规隐患。

“十”是建立合规清单，以十步走的战略，在合规管理体系、管理制度、合规文化、识别机制、风险应对、监督机制、问责机制、管理评估、数据留存、产品服务等具体的十步上完善合规机制，并且指出合规专员要理解企业的业务或产品逻辑、相关经营活动的商业意图或交易目标，以及企业的信息技术系统资源等情况，切忌将数据合规工作与业务、管理相割裂。

例如互联网企业在制定移动应用程序（APP）的个人信息处理规则（隐私政策）时，应当先了解平台运营者提供的具体服务涉及到的数据来源、类型等，平台运营者与平台内经营者、用户（消费者）、平台内其他服务方（例如支付、物流、技术服务商等等）之间的业务关系、法律关系，并通过以用户视角体验App收集和使用个人信息等数据的全流程、对企业后台数据管理系统进行核查等方式进行穿行测试，从而正确梳理在互联网平台中的各类业务活动所涉及的各项数据处理活动情况，准确判断平台内的各方在数据处理活动中的决策、分别享有和承担何种数据保护权利和义务，才能准确地制定该平台对应的隐私政策。

2、重点解答企业出海新考题——数据跨境
在国际化背景的大趋势下，企业纷纷出海以寻求增量，诸如跨境电商、快递物流、社交媒体都踩在了风口上，而随之而来的企业对于处理出境数据的需求也在快速攀升，今年9月1日起全面施行的《数据出境安全评估办法》二十条虽提出了相关指引，但真正放在不同国家地区的跨境复杂场景中，一些具体的实操问题就会出现：

比如如何理解数据出境的”境”？如何判断企业的业务行为是否属于“数据出境”？
在数据出境安全评估中，企业该如何自评？
企业实际业务运行中产生的出境数据，应该存储在境内还是境外？
企业如何合法合规的实现数据跨境，包括国内的数据出境、国外的数据入境、第三国的数据过境？
从技术的角度看，企业出境数据保护最薄弱的环节在哪些方面？
面对市面上众多的数据出境安全自评估解决方案，企业主该用什么样的标准去选择“合适”的方案？
企业如何针对不同国家特有的数据跨境法律制度资源，制定特有的业务规则和模式，真正的实现业务出海？

以上诸此问题，在本书中都会得到重点解答。

3、聚焦六大核心行业的典型案例教科书

数据合规，虽然没有标准答案可抄，但却有案例可以参考。
金融、医疗、政务、电信、交通、电子商务作为典型的数据密集型行业，同样也是监管重点领域，除了三法之外，还有《反电信网络诈骗法》，《汽车数据安全管理若干规定(试行)》，《个人金融信息保护技术规范》等行业法规和标准都对这些行业的数据处理作出了特别规定，本书精选了这六大核心行业的代表案例，包括中兴、浙江移动、滴滴出行、携程等案件，从其中的法条适用、合规要点和避坑指南，都具有广泛的参考价值。

作者简介

刘磊，执业律师，北京盈科（上海）律师事务所高级合伙人。兼任同济大学人工智能社会治理协同创新中心兼职研究员，甘肃政法大学人工智能法治研究院研究员，北京盈科（上海）律师事务所“数字经济与金融科技法律服务团队”负责人；盈科总部“十佳未来之星”；盈科（上海）“新十年十青年”代表，GLG格理集团专家库成员，专注于金融科技与数据安全类实务工作和研究工作，在实务方面，刘律师为头部企业提供跨境数据合规及网络安全审查等法律服务，出具数据安全合规行业报告，对国内外数据跨境、网络安全审查方面具有丰富经验。
曾主编著作《数字货币与法》、《虚拟货币、NFT法律疑难问题之解》（待出版），曾发表《论电信网络诈骗中瑕疵被冻结人的保护》《司法实务中私人“数字货币”属性的认定困境及对策分析》《用虚拟货币支付的法律思考》《数字货币法律属性的司法判断与类型化分析》等学术文章。

燕丽，上海交通大学硕士毕业，智能数据与隐私计算研究平台算力智库创始人。专注研究智能数据、隐私计算、区块链等技术协同赋能传统产业数字化改造解决方案与商业模式创新。被和讯选为2019年度“她榜样”女性人物之一，曾出品国内首本系统性详录隐私计算商业模式与应用案例的著作《隐私计算：开启数据共享新商业模式》。

专家推荐

本书对近年来我国数据合规领域的相关规范、市场、技术进行了实践经验的总结，同时站在实务的角度对如何做好企业数据合规进行深入的观察和思考。此书的出版，希望在更高的水平和更大范围上促进企业数据的使用和保护的平衡，推动生产要素与市场主体的高效协同，推动数字产业化和产业数字化协同发展，助力我国数字经济走上增量扩面、提质降本的快车道。
——于改之 武汉大学法学博士，东京大学法学政治学研究科客员研究员。现任上海交通大学凯原法学院教授、博士生导师，兼任中国刑法学研究会副会长，上海市法学会刑法学研究会副会长。