目　錄
第一章　數據合規(guī)盡職調查 1
　　一、數據合規(guī)盡職調查內容 3
　　　?。ㄒ唬┝私馄髽I(yè)的業(yè)務情況 3
　　　?。ǘ┦崂順I(yè)務經營中的數據處理活動 5
　　　　 1.區(qū)分數據的類型 5
　　　　 2.核查數據生命周期全流程 6
　　　　 3.甄別企業(yè)在數據處理活動中的角色 16
　　　?。ㄈ┝私馄髽I(yè)數據合規(guī)管理情況 27
　　　　 1.核查企業(yè)的數據安全管理組織架構 38
　　　　 2.核查企業(yè)的數據安全管理制度 39
　　　　 3.核查企業(yè)業(yè)務的數據安全技術措施 40
　　　　 4.核查企業(yè)的網絡信息系統(tǒng)安全等級保護情況 40
　　　　 5.核查企業(yè)的數據安全教育培訓情況 41
　　　?。ㄋ模┖瞬槠髽I(yè)涉及的與數據合規(guī)相關的爭議、訴訟、仲裁或行政處罰等情況 41
　　　?。ㄎ澹祿弦?guī)盡職調查的幾個重點核查事項 42
　　　　 1.企業(yè)是否屬于關鍵信息基礎設施的運營者 42
　　　　 2.企業(yè)處理的數據是否屬于重要數據、核心數據 44
　　　　 3.企業(yè)處理個人信息的規(guī)模 45
　　　　 4.企業(yè)是否需要進行網絡安全審查 46
　　二、數據合規(guī)盡職調查方式 47
　　　?。ㄒ唬┖瞬槠髽I(yè)提供的資料 48
　　　　 1.準備數據合規(guī)盡職調查資料清單 48
　　　　 2.視情況準備數據合規(guī)補充盡職調查清單 67
　　　?。ǘ┻M行網絡平臺穿行測試 70
　　　?。ㄈ┰L談相關人員 75
　　　?。ㄋ模┩ㄟ^公共查詢渠道核查印證 84
　　三、數據合規(guī)盡職調查報告 85
　　　　（一）企業(yè)上市、投融資項目的數據合規(guī)盡職調查報告 85
　　　　 1.《數據合規(guī)盡職調查報告》模板示例 85
　　　　 2.《數據合規(guī)盡職調查重大法律問題備忘錄》示例及簡析 101
　　　?。ǘ┢髽I(yè)日常運營項目、數據合規(guī)體系建設項目的數據合規(guī)盡職調查報告 104

第二章　數據合規(guī)解決方案 109
　　一、制訂數據合規(guī)整改行動計劃 111
　　二、落實數據合規(guī)整改措施 130
　　　?。ㄒ唬﹤€人信息處理流程及文本的整改和優(yōu)化 130
　　　　 1.業(yè)務流程的整改優(yōu)化 133
　　　　 2.個人信息處理規(guī)則（隱私政策）的整改和優(yōu)化 140
　　　　（二）業(yè)務或交易等商業(yè)合同的整改和優(yōu)化 160
　　　　 1.場景一：企業(yè)作為數據委托方委托合同對方處理個人信息等數據 161
　　　　 2.場景二：企業(yè)作為受托方處理合同對方提供的個人信息等數據 163
　　　　 3.場景三：企業(yè)與合同相對方共同處理個人信息等數據 165
　　　　 4.場景四：因合并、分立、解散、被宣告破產等原因需要轉移個人信息等數據 166
　　　　 5.場景五：企業(yè)向合同相對方提供個人信息等數據 168
　　　?。ㄈ┙⑵髽I(yè)數據合規(guī)管理體系 175
　　　　 1.搭建網絡和數據合規(guī)組織架構 175
　　　　 2.建立和完善網絡及數據安全相關制度 178

第三章　數據合規(guī)結論性意見 205
　　一、就企業(yè)數據合規(guī)情況發(fā)表結論性法律意見 208
　　二、就數據合規(guī)的特定事項出具法律分析意見 225
　　　?。ㄒ唬╆P于企業(yè)是否屬于關鍵信息基礎設施運營者的專項分析意見 226
　　　　（二）關于企業(yè)數據分類分級管理的專項分析意見 230
　　　?。ㄈ╆P于企業(yè)是否需要進行網絡安全審查的專項分析意見 234
　　　?。ㄋ模╆P于數據出境的專項分析意見 242

案例目錄
案例1-1　不同業(yè)務模式下的企業(yè)數據處理角色 4
案例1-2　“告知—同意”規(guī)則履行情況的核查與分析 7
案例1-3　“單獨同意”規(guī)則履行情況的核查與分析 8
案例1-4　數據來源合法性核查與分析 8
案例1-5　違法使用爬蟲或類似自動化技術收集數據與分析 9
案例1-6　數據使用范圍是否符合用途的核查與分析 10
案例1-7　個人信息使用范圍是否符合用途的核查與分析 10
案例1-8　利用個人信息進行自動化決策是否符合法律規(guī)定的核查與分析 11
案例1-9　AI“換臉”軟件涉嫌侵權 11
案例1-10　對人臉識別第三方SDK情況的核查與分析 13
案例1-11　關于互聯網醫(yī)院數據存儲期限的核查與分析 14
案例1-12　受政府委托處理政務數據行為的核查與分析 14
案例1-13　第三方SDK數據存儲境外的核查與分析 15
案例1-14　委托方處理個人信息與受托方簽訂合同情況的核查與分析 18
案例1-15　委托處理個人信息向個人告知并取得同意情況的核查與分析 18
案例1-16　委托處理個人信息前個人信息影響評估情況的核查與分析 19
案例1-17　受托方按照合同約定處理數據情況的核查與分析 19
案例1-18　受托方在合同中對委托方數據來源合法合規(guī)的約定 20
案例1-19　母公司與其子公司共同處理客戶信息核查與分析 21
案例1-20　App運營者與SDK提供方共同處理用戶個人信息核查與分析 22
案例1-21　數據轉移中提供方的告知義務 23
案例1-22　接收方變更原先處理目的應當重新取得個人同意 24
案例1-23　向其他數據處理者提供數據告知個人情況的核查與分析 25
案例1-24　對數據提供方數據來源合法性情況的核查與分析 26
案例1-25　涉及大量個人信息處理活動的企業(yè)設置個人信息保護負責人情況的核查與分析 39
案例1-26　關鍵信息基礎設施運營者制定網絡服務和產品采購審查相關制度情況的核查與分析 39
案例1-27　網絡日志留存期限核查與分析 40
案例1-28　企業(yè)網絡安全等級定級、備案情況核查與分析 41
案例1-29　未按照整改要求完成整改的核查與分析 42
案例2-1　E公司被網信辦約談事項處理的整改方案 124
案例2-2　關于某App隱私政策授權方式的整改 134
案例2-3　關于某App隱私政策展示方式的整改 135
案例2-4　關于某App敏感個人信息單獨同意流程的整改 136
案例2-5　關于某App索取手機相冊權限流程的整改 137
案例2-6　關于某App個人信息權利保障路徑流程的整改 138
案例2-7　關于某App賬號注銷功能的整改 139
案例2-8　關于某App隱私政策文本規(guī)范性的整改 140
案例2-9　關于兒童隱私政策 152

示例目錄
示例1-1　產品合規(guī)審查項目的數據盡職調查清單 49
示例1-2　企業(yè)數據合規(guī)體系建設項目的盡職調查資料清單 53
示例1-3　企業(yè)融資項目的盡職調查資料清單 58
示例1-4　補充盡職調查清單 68
示例1-5　App穿行測試核查記錄 71
示例1-6　產品合規(guī)審查的數據合規(guī)盡職調查訪談問卷清單 76
示例1-7　企業(yè)赴香港上市項目的數據盡職調查訪談問卷清單 79
示例1-8　數據安全、網絡安全、個人信息保護相關訴訟處罰核查情況表 84
示例1-9　《數據合規(guī)盡職調查報告》 85
示例1-10　《數據合規(guī)盡職調查重大法律問題備忘錄》 102
示例1-11　企業(yè)日常運營事項、數據合規(guī)體系建設項目備忘錄 105
示例2-1　某香港上市項目的數據合規(guī)整改行動計劃 113
示例2-2　某融資項目的數據合規(guī)整改行動計劃 115
示例2-3　C企業(yè)個人信息保護合規(guī)整改行動計劃 117
示例2-4　D企業(yè)某產品合規(guī)論證項目 122
示例2-5　互聯網平臺數據合規(guī)整改事項行動清單 130
示例2-6　數據處理合同相關條款（委托方角度） 162
示例2-7　數據處理合同條款（受托方角度） 164
示例2-8　數據處理合同條款（共同處理者角度） 166
示例2-9　因企業(yè)分立產生的數據轉移 167
示例2-10　某電信運營商向銀行提供電信用戶個人信息 169
示例2-11　集團內信息共享的相關合同條款 172
示例2-12　關于數據處理的補充協(xié)議 173
示例2-13　關于××企業(yè)數據合規(guī)管理組織架構的方案建議 175
示例2-14　企業(yè)《數據合規(guī)行為準則》 179
示例2-15　企業(yè)《數據安全管理辦法》 182
示例2-16　企業(yè)《數據分類分級管理制度》 187
示例2-17　兒童個人信息保護制度文件 188
示例3-1　香港上市項目數據合規(guī)專項法律意見 209
示例3-2　企業(yè)融資項目數據合規(guī)專項法律意見書 217
示例3-3　企業(yè)日常運營中的數據合規(guī)專項法律意見 224
示例3-4　關于某企業(yè)是否屬于CIIO的分析意見 228
示例3-5　關于某企業(yè)數據分類分級工作的分析意見 232
示例3-6　關于某在線職業(yè)培訓企業(yè)是否需要進行網絡安全審查的法律意見 236
示例3-7　關于某網約車企業(yè)是否需要進行網絡安全審查的分析意見 239
示例3-8　關于企業(yè)因業(yè)務需要而向境外提供相關數據的法律意見 243