第四章  网络安全与数据合规管理



              并且数据处理者还应任命一名信息保护官来监督妥善处理和保护。而当收集目的
              已完成、保留期限届满、用户撤回同意时，数据处理者应履行删除义务。第三，
              向第三方和海外传输个人信息的限制。数据处理者在将个人信息传输给境内外第
              三方之前，必须先征得数据主体的知情同意，并确保数据接收者对数据的使用和

              数据处理方式在数据主体同意范围内。对于跨境传输，数据处理者必须确保数据
              的外国接收者具有不低于《个人信息保护法》规定的数据保护要求。使用算法和
              类似的自动决策功能来分析数据主体个人信息的公司必须遵守《个人信息保护法》
              中规定的“透明度”和“公平”原则，禁止基于数据主体的个人特征进行歧视性

              定价和营销活动。整体上，对企业而言，《个人信息保护法》要求处理个人数据
              的公司定期进行自我审核，以评估其信息安全风险并实施相应的政策和保障措施。
                  最后，其他法律规定。除了《数据安全法》和《个人信息保护法》外，在涉
              及个人数据合规层面，《中华人民共和国民法典》（以下简称《民法典》）也有

              着重要意义。实践中，还有很多实施指南，对企业数据合规体系构建提供了重要
              指引。这些指南包括公安部 2019 年发布的《互联网个人信息安全保护指南》、
              信标委 2020 年 7 月发布的《网络安全标准实践指南——移动互联网应用程序
             （APP）收集使用个人信息自评估指南》和 9 月发布的《网络安全标准实践指南——

              移动互联网应用程序（APP）个人信息保护常见文集及处置指南》，这些都是经
              常被实务中提及和参考的一些文件。
                  整体而言，中国企业数据合规涉及的法律众多，规则分散。其中，《数据安
              全法》和《个人信息保护法》是中国企业构建数据合规体系最主要的法律依据。

              但是，企业在落实数据合规常常会面临困境，需要根据不同的法律规定和要求实
              施合规政策，这无疑增添了企业的数据合规不确定性和负担，在一定程度上也不
              利于企业对数据的创造性利用，也难以真正实现监管机构的数据合规监管目标，
              最终难以实现保护个人数据隐私和数据安全的目的。

                  （2）相关法律制度用词模糊
                  《数据安全法》和《个人数据保护法》对企业落实数据合规规定了诸多细致
              要求，但是很多法律用词模糊。例如，随着对数据的监管深入，需要关注公司是
              否符合“主要互联网服务平台”的资格、是否拥有“大量”用户以及从事“复杂

              的商业活动”而适用越来越严格的规则，但是很多术语目前在《个人信息保护法》
              中尚未有明确定义。


                                                                                     153