數據保護官（DPO）法律實務指南

一本專為資料保護官訂制的法律實務指南！
　　
★實用法律指南
解鎖網路安全與資料保護法規，用圖表、案例、要點總結等簡要形式解析複雜法律問題。
　　
★解決多場景實務問題
涵蓋企業內外各種資料處理情景，從數位化行銷到AIGC應用，針對不同情景提供精准資料保護策略，幫助讀者輕鬆掌握資料保護合規要點。

第一章  您真的準備好成為DPO了嗎
第一節　企業是否需要DPO
一、中國法下DPO的內涵和範圍
二、哪些企業需要指定DPO
三、中國法與歐盟法下DPO設立制度的比較
第二節　DPO誰來當
一、DPO應當由內部人員擔任
二、DPO應當具備數據保護專業知識和能力
三、DPO不一定是管理層人員
第三節　作為DPO，您應履行哪些義務和職責
一、個人資訊保護負責人
二、數據安全負責人
三、網路安全負責人
第四節　作為DPO，您可能承擔哪些違法責任
一、行政責任
二、刑事責任
三、職業限制
第五節　DPO的成長路徑
一、DPO的未來職業發展前景
二、DPO的職業成長道路
三、DPO的能力模型

第二章  DPO的職責與工作
第一節　組建數據合規管理機構
一、組建數據合規管理機構的必要性
二、數據合規管理體系中的重要部門
三、數據合規管理機構的重要職能
第二節　建設數據合規治理體系
一、建立完善個人資訊保護及數據合規制度檔
二、設立數據合規治理的專門機構並加強合規宣貫
三、採取適當的技術措施和其他必要安全管控措施，保障數據安全
四、組織開展數據安全、資訊安全的教育培訓
第三節　建立數據分類分級管理制度
一、什麼是“數據分類分級”制度（What）
二、為什麼要實施數據分類分級（Why）
三、如何實施數據分類分級（How）
第四節　識別企業面臨的數據安全合規風險並進行應對
一、開展合規風險識別前需做哪些準備
二、如何開展合規風險識別
三、如何提升合規風險識別能力
第五節　調動企業資源並促成跨部門、跨區域合作
一、與業務部門的合作
二、與IT部門的合作
三、與境外關聯方的溝通
四、尋求外部機構協助

第三章 DPO工作必 備的基礎知識
第一節　數據合規主體的厘清
一、網路安全
二、個人資訊保護
三、數據安全
第二節　個人資訊、重要數據、國家核心數據一般業務數據，您分清了嗎
一、個人資訊
二、重要數據
三、國家核心數據
四、商業秘密
五、保密資訊
第三節　什麼是去標識化和匿名化
一、定義
二、實現方式
三、應用場景
第四節　自動化決策的合規義務
第五節　等級保護工作，您還在觀望
一、網路安全等級保護制度的前世今生
二、等級保護工作2.0
三、網路安全等級保護制度的要求
四、等級保護工作的具體步驟
第六節　PIA是什麼，怎麼做
一、應當開展PIA的個人資訊處理場景
二、開展PIA的方式
第七節　年年做審計，個人資訊還要審計嗎
一、審計工作流程
二、審計方式
三、審計內容
第八節　企業數據出境合規如何操作
一、數據出境的認定
二、數據出境的合規要求
三、數據出境的合規路徑
第九節　網安、數據領域的行政執法程式和許可權
一、執法部門梳理
二、網路安全監督檢查
三、行政違法行為的調查與執法

第四章 數位化轉型、數位化行銷如何避坑
第一節　隱私政策的當地語系化部署策略與最佳實踐
一、隱私政策合規執法動向
二、合規要點
三、典型問題
第二節　特殊場景下個人資訊收集使用的同意問題
一、通過隱私政策獲取同意
二、通過匿名化技術收集個人資訊
三、創設互動連結點
四、“默示同意”的解釋空間
第三節　數位化行銷典型法律問題
一、處理個人資訊的知情同意流程不完善
二、數據處理角色、地位和數據歸屬不清晰
三、協力廠商管理待加強
四、未能保障個人資訊主體權利
第四節　“數據融合”風險與合規要點
一、數據融合的定義
二、數據融合的法律風險
三、合規建議
第五節　私域流量的得與失
一、當我們談私域流量時，我們在談什麼
二、私域流量的數據合規問題
第六節　通過PIA，讓您的業務更合規
一、觸發PIA的具體場景
二、通過PIA評估是業務上線的前置條件
三、PIA於企業的積極作用

第五章 App合規要點
第一節　App，該有的資質證照，都有嗎
一、資訊服務——《增值電信業務許可證》
二、視頻製作與發佈——《廣播電視節目製作經營許可證》《資訊網路傳播視聽節目許可證》
三、靜態內容的搭載——《網路出版物經營許可證》
四、應用程式載體與資質證照
第二節　上架App有哪些合規要點
一、應用商店的管理權利（義務）
二、App合規要點
三、結語
第三節　常見App違法違規現象梳理與合規要點分析
一、App監管執法
二、相關監管規範
三、常見違法違規行為
四、違法責任
五、合規要點
六、結語
第四節　App下架後的應對措施及自查整改要點
一、什麼情況App會被下架
二、App下架後的應對措施
三、App重新上架的合規要點
四、結語

第六章  數位化創新與合規
第一節　NFT是什麼，NFT怎麼玩
一、NFT的基本概念
二、NFT數位藏品的金融屬性
三、NFT數位藏品交易的實質
四、NFT數字藏品專案的合規要點
第二節　元宇宙能讓企業自由翱翔嗎
一、元宇宙簡介
二、元宇宙的核心技術與應用
三、元宇宙相關的國內法律法規及政策檔
四、相關法律合規問題
第三節　打造跨品牌會員體系
一、品牌之間可以直接共用個人資訊嗎，可否“點對點”的直接共用
二、打造跨品牌會員體系平臺，對企業而言有什麼好處
三、公司下設部門和新設立一個實體運維跨品牌會員平臺的不同之處，企業應使用哪一種方式
四、在跨品牌會員體系搭建完成之後，平臺和品牌誰是個人資訊處理者，應以誰的名義出具隱私政策
五、如何撰寫跨品牌會員平臺的隱私政策相關內容，以論證品牌之間數據融合的合法、正當、必要
六、如問題四所說，品牌和平臺都涉及出具隱私政策，那麼在會員個人進入各品牌小程式時，應如何設計隱私政策彈窗，以達到取得個人同意而不過度打擾個人的效果
第四節　AIGC的主要合規問題
一、適用範圍
二、內容生產者責任
三、個人資訊保護責任
四、前置性要求
五、實名制要求
六、用戶管理義務
七、人工標注要求
第五節　ChatGPT，合規“韁繩”何在——以開發者為視角
一、ChatGPT的潛在法律風險
二、《互聯網資訊服務深度合成管理規定》重點提示
三、結語
第六節　ChatGPT，合規“韁繩”何在——以使用者為視角
一、ChatGPT類產品通用合規風險及建議
二、境外ChatGPT類產品使用的合規建議

第七章 員工個人資訊合規
第一節　員工知情同意
一、員工個人資訊處理流程
二、處理員工個人資訊的法律基礎
三、告知同意要求
第二節　員工個人資訊處理場景
一、招聘階段
二、入職階段
三、日常管理階段
四、離職階段
第三節　典型合規問題
一、未經同意收集使用個人資訊
二、過度收集個人資訊
三、疏於對協力廠商的管理
四、超期保存個人資訊
五、個人資訊違規出境
第四節　員工行為管理
一、場景一：安裝攝像頭
二、場景二：部署監控軟體
三、場景三：考勤管理
第五節　招聘中的數據合規“雷區”
一、通過隱私政策履行告知義務
二、評估收集個人資訊的必要性
三、避免超期保存個人資訊
四、加強協力廠商合規監管
第六節　人力資源無紙化管理的合規要點
一、招聘、入職等收集環節的知情同意流程
二、個人資訊處理和傳輸
三、個人資訊出境
四、個人資訊刪除
五、個人資訊影響評估
六、結語

第八章 技術是天使還是魔鬼
第一節　去標識化、匿名化如何幫助企業合規
一、背景
二、匿名化與數據合規
三、去標識化與企業合規
四、企業去標識化的最佳實踐
五、結語
第二節　使用“爬蟲”技術合法嗎
一、“爬蟲”技術及其商業應用
二、美國法律下的“爬蟲”規制
三、中國司法實踐
四、刑事風險
五、“爬蟲”技術使用規則展望
第三節　隱私計算技術對數據開發利用的突破與限制
一、隱私計算概念
二、隱私計算涉及的主要技術
三、隱私計算可以滿足匿名化要求嗎
四、隱私計算的積極意義
五、主要挑戰
六、結語
第四節　大數據供應商，能用嗎
一、常見的大數據產品
二、採購大數據產品時應注意的合規要點
三、如何合法合規地使用大數據
第五節　雲服務的分類及合規責任應用
一、雲服務的定義
二、雲服務的分類
三、雲服務中的安全責任邊界
四、選擇雲服務商的要點

第九章 網安數據行政監管與審批
第一節　如何應對網路數據安全事件
一、事件分級
二、報告
三、補救措施
四、報告及通知
五、事件總結
六、完善應急預案
第二節　如何應對網安、數據領域的政府執法及調查
第三節　從“滴滴案”談起——網路安全審查合規要點
一、案件經過
二、網路安全審查制度
三、80.26億元的處罰
四、合規建議
第四節　數據出境安全評估流程與要點詳解
一、如何理解“數據出境”
二、數據出境安全評估及當地語系化存儲的觸發條件
三、安全評估具體操作流程

附錄1　法律
附錄2　行政法規
附錄3　地方法規
附錄4　部門規章
附錄5　司法解釋
附錄6　國家標準
附錄7　行業規範
後記

潘永建，江西人，法學博士，上海市通力律師事務所合夥人，連年被ALB、asialaw、Chambers、Legal500、LEGALBAND、WWL等評級機構評為網安資料、反壟斷與競爭、公司合規領域中國領先/推薦律師（leading/recommended practitioner）。