企业数据合规工作都干些什么?这本修炼秘笈告诉你
小M小M你在吗?最近我遇到了超级大的困难,数据合规的内容又多又难,已经把我学晕了,你可不可以帮帮我?
当然可以啦!但是数据合规的内容实在太多,三言两语讲不清,不过我可以给你推荐一本书哦!这书刚刚上架你可以先买来读读看。
【小编寄语】
《数据合规:入门、实战与进阶》一书面世啦!孟洁、薛颖、朱玲凤三位作者浓缩多年的企业数据合规一线经验,按照业务场景逐一提供接地气的企业数据合规实用手册,指引从“小白”走向“入门”,从“进阶”直达“高阶”,是数据合规领域的修炼秘笈!
“三分钟小课”邀请三位作者每次花三分钟左右为大家讲解书中的一个数据合规小问题,总计十节小课,对本书内容先睹为快……
我们今天先来听一听朱玲凤律师分享的第一讲:企业数据合规工作都干些什么?
第一讲到这里就结束啦,大家是不是意犹未尽?小编已经为大家整理了文字版内容放在文末(看到最后有全文哦),更多可参见《数据合规:入门 、实战与进阶》第一章
接下来小编带大家去看
资深律师 & 企业法务的
一线数据合规经验的系统总结!
书中实务经验干货满满!
01
内容简介
本书结构清晰、体系完整,非常便于读者上手,快速获得对数据合规工作的全景式认知和方法。
开篇 明确了企业数据合规工作的基本工作范围和避坑红线。
入门篇 梳理了我国及美欧的数据保护立法体系与监管情况,作为入门必备基础知识。
进阶篇 介绍了企业数据合规工作的常见通用场景,如个保法落地、隐私政策开发、账号注销、员工个人信息保护等。
高阶篇 讲解企业数据合规工作中的高难复杂场景,如个性化推荐、数据共享、生物识别信息使用、出海业务的跨境传输、企业上市中的数据合规问题等,并展望了数据合规律师向数据保护官的跨越式发展。
附录 特别提供了一线数据合规工作的实用工具,如常用法条清单、数据本地存储的要求汇总等。
02
图书目录
左右滑动查看完整目录
03
专家推荐
本书的作者都有多年从事个人信息保护的一线经验,书中从实务场景入手,把对法律的解读落地到具体的实务工作中,对大家很有帮助。《个人信息保护法》和每个人的生活息息相关,我们需要把它的要求落到具体的数据处理活动中,才能让这部法律更有生命力。
——周汉华
中国社会科学院研究生院教授、博士生导师
《个人信息保护法(专家建议稿)》主要起草人之一
04
作者简介
孟洁
现任北京市环球律师事务合伙人,主要执业领域为网络安全、个人信息与隐私保护。孟律师曾在多家知名企业担任法务负责人和数据保护官,任IAPP中国区知识社区主席,被钱伯斯、Legal 500、LEGALBAND等知名法律评级机构评为 “TMT领域领军人物”“数据保护领域领军人物”“Fintech领域头部律师”等,被北京市律协评为全国千名涉外专家律师。
薛颖
长期在互联网集团担任数据合规与知识产权总监。薛律师在外企、世界五百强公司等从事过多年数据隐私合规工作,拥有丰富的互联网场景一线经验。薛律师持有CIPP/E,CIPP/U,当选ALB中国知识产权法务15强并带领团队获得过《商法》年度“数据合规”优秀团队等奖项。
朱玲凤
现任知名互联网公司隐私及数据合规专家,曾任小米安全与隐私委员会隐私副主席。朱律师多年从事数据隐私合规研究和实务工作,深入参与国内信息安全相关的标准拟定和重要法律研讨等,在全球隐私法律研究、隐私保护设计、隐私安全技术应用与管理以及APP、物联网、人工智能等领域有丰富的实践经验。
05
章节导读
06
三大特色
NO.1
一线作者多年经验总结
三位作者在数据合规领域积累了多年丰富的实务经验,具备外部律师与企业法务的双重视角与工作体验。
NO.2
数据合规实务场景引导
本书介绍了大量的企业一线业务场景遇到的数据合规问题,提供了相应的实操解决方案,落地性强且实用易懂,手把手帮助读者掌握企业数据合规工作的知识、策略和方法。
NO.3
数据合规知识体系化
全书围绕“白晓萌萌律师”的职场进阶路线,体系化介绍了数据合规工作的岗位定位、法律规范和各种一线场景,深入浅出,把分散的知识模块和场景经验融会贯通,构建出数据规工作的法律框架、知识图谱。
07
扫码购买
企业数据合规实用手册
一线经验总结,接地气!
数据合规律师成长指引
分步成长进阶,有秘籍!
扫描下方二维码带走它,还在等什么?!
【本期小课文字内容】
第一讲:企业数据合规工作都干些什么?
企业数据合规工作是最近比较火热的工作岗位,仿佛有着神秘的色彩。《数据合规:入门 、实战与进阶》一书正是企业数据合规工作者的成长秘笈。
今天第一讲,我们就聊聊企业数据合规都做些什么工作。
根据《个人信息保护法》的规定,企业在个人信息处理上应承担包括但不限于如下义务:
a. 根据法律相关规定,对个人信息处理活动事前进行个人信息保护评估并对处理情况进行记录;
b. 制定内部管理制度和操作规程,实施个人信息分类管理;
c. 采取加密、去标识化等安全技术措施;
d. 合理确定个人信息处理权限,并定期对从业人员进行安全教育和培训;
e. 合规审计;
f. 制定并实施个人信息安全事件应急预案,在发生个人信息安全事件时采取补救措施,通知履行个人信息保护职责的部门和个人。
上述义务则均应纳入到数据合规工作中,充分覆盖了政策研究、合规评估、管理体系和技术措施。
(1) 政策研究
个人信息保护法律体系包括多部法律、部门规章等规范性文件,如《刑法》、《民法典》、《个人信息保护法》、《数据安全法》、《网络安全法》、《移动互联网应用程序个人信息保护管理暂行规定》、《儿童个人信息网络保护规定》;同时也包括相关行业的规范性文件中涉及个人信息保护的条款,如《电子商务法》、《网络交易监督管理办法》、《征信业管理条例》。
个人信息保护领域在国家标准和行业标准方面也有规范,在个人信息保护法律规定较为概括时可以作为推荐性实践进行补充。如《信息安全技术 个人信息安全规范》、《信息安全技术 个人信息安全影响评估》、《信息安全技术 移动互联网应用(App)收集个人信息基本规范》。
数据合规工作首先需要进行政策研究,将上述法律规定和标准要求,按照公司所处行业以及相关运作流程,拆解为公司内合规要求,作为合规评估、审计等的依据。
(2) 个人信息保护影响评估
个人信息保护影响评估是数据合规工作中最为重要的一种工具或方法。法律等规范性文件规定了应当要进行合规风险评估的数据处理活动,包括:
a.处理敏感个人信息;
b.利用个人信息进行自动化决策;
c.委托处理个人信息、向他人提供个人信息、公开个人信息;
d.向境外提供个人信息;
e.其他对个人有重大影响的个人信息处理活动。
此外,从合规工作来说,个人信息保护影响评估是最佳的了解企业数据处理活动情况以及相应风险程度的方式。
个人信息保护影响评估的基本原理如所示,首先要将待评估对象进行数据映射分析,形成数据清单以及数据流图,再梳理待评估的个人信息处理活动,作为基础事实。再根据合规要求,对个人信息的处理目的、处理方式等是否合法、正当、必要;对个人权益的影响及安全风险;所采取的措施是否合法、有效并与风险程度相适应这三个方面,提出相应的改进建议,形成评估报告。
(3) 管理体系
法律规定要求企业按照所处理活动的风险等提供相应适当必要的组织措施和技术措施。组织措施实则需要依靠管理体系来加以运转。简单来说包括个人信息保护的机构组织保障、对相关从业人员的培训与考核,以及相应的制度保障(将合规要求落实到公司内不同层级的规范文件)、安全事件应急响应以及安全审计。
(4) 技术措施
适当必要的措施除了组织措施,还应当包括相应的技术措施。个人信息保护的技术措施范围比较广泛,包括加密、脱敏等安全技术措施,也包括落实个人信息保护要求产品设计的技术措施。安全技术措施,包括数据识别、个人信息保护加密脱敏、接口安全管理、数据防泄露以及操作审计。落实个人信息保护要求产品设计的技术措施,根据各产品类型的差异,基于产品本身带来风险而相应设计的合规控制措施,包括差分隐私、联邦计算等。比如阅读平台建议开启好友关系,可以互相分享读书记录和心得,而该功能对于部分希望读书是私密的用户来说是超出预期的,所以产品合规设计应为默认不开启。
更多精彩回顾
书讯 | 5月书讯(上)| 元宇宙、因果推断、薛定谔方程...你关注的都在这
书讯 | 5月书讯(下)|设计致物系列+少儿编程好书推荐
书单 | 知乎高赞:有哪些你看了以后大呼过瘾的数据分析书?
干货 | Go语言精进之路:绞尽脑汁,帮你理解方法本质并选择正确的receiver类型
收藏 | 盘点知识图谱在 5 大智能领域的应用
上新 | 产品和运营双视角,9个维度全面讲解用户运营
赠书 | 【第105期】Python将提速2-5倍!你期待吗