就中国企业而言，数据治理的话题无非只包含内部治理和外部治理（涉及数据跨境）两个部分，其中内部治理又包括对数据**的治理和对个人信息保护的治理，这也是本书要解决的首要问题。此外，基于互联网全球架构已逐渐形成互相依赖和关联的趋势，数据也终将被视为一种全球性的公共品进而被各国所**关注。因此，企业在处理数据跨境流动合规治理的相关问题时也应当不断加强国际交流与协作。本书结合作者的涉外实务经验，对欧盟GDPR的数据合规及跨境流动规范进行解读，帮助读者朋友们试着去理解欧盟监管机构**关注的要素和内容，以此作为国内数据合规工作的参考和借鉴。在数据交易层面，本书也将从律师尽职调查的角度向读者展示数据交易所在数据交易挂牌备案工作中所关注的**领域，为企业数据交易行为的合规保驾护航。同时，本书还将从数据应用角度出发，尝试通过对不同数据要素场景下的合规应用进行解读，使读者能够更为实际和生动地理解数据合规的场景适用性问题。

前言
早在2008年6月，我国的网民数量就已经超越了美国，一举夺得世界**。但互联网企业蓬勃发展的滚滚车轮，似乎并没有推起中国企业建立数据合规体系的决心和信心，漠视数据**，任由个人信息被泄露和滥用的案件比比皆是。
作为中国*早从事企业数据合规治理的一批专业律师，我们在十年前就已经开始关注和认识到上述问题的存在，并在多处重要场合一再呼吁中国企业重视自身的数据合规治理工作。无奈当时我国在数据保护领域的立法和实践几乎为零，很多企业即使有所意识，却并不知道自己该做些什��，这是那个时代的特有印记。
2016年11月7日，我国《网络**法》正式颁布，这极大地鼓舞和刺激了中国互联网企业建立自身数据合规体系的目标。自此之后，我便不断受邀前往全国各地讲授数据合规治理的相关课程。在授课期间，我经常给学员说：“我国数据保护立法的时代即将开启，企业的数据合规体系建设已经迫在眉睫。”再回首，也正是因为《网络**法》的适用，开启了我国企业如火如荼的数据合规进程。由此可见，我们当初的预判还是非常准确的。
随着2020年全球新冠疫情的肆虐，国际带宽的使用量明显增加，人工智能技术在疫情监测和分析等诸多领域开始发挥举足轻重的作用。其中，尤以“智能服务”“体温监测”“大数据分析”等数据服务领域*为突出，它们在抗击疫情的不同场景下发挥了其优势效能。因此，大量中国企业的数字化转型开始逐渐提速，人工智能的产业规模也不断发展扩大。在宏观数字经济的这一趋势及大背景下，我国在《“十四五”数字经济发展规划》中响亮地提出了“到2025年，数字经济迈向全面扩展期，数字经济核心产业增加值占GDP比重达到10%”的宏伟目标。同时综观全世界，联合国也在其《2021年数字经济报告》中指出，目前全球亟须建立一套新的数据合规体系，以确保数据在**间的自由流动。由此可见，数据跨境自由流动的全球一体化合作趋势几乎已成定局。
虽然各国在数据治理方面的相关工作正在如火如荼地开展，但达成长期的国际协作并非易事，这是由数字治理的特殊性所决定的。
**，数字治理的模式仍不统一。在如何监管数据跨境自由流动问题上，世界各国似乎早已陷入了僵局。受大国经济的影响，主流的数据治理和监管模式大致可以分为三类，分别是以中国为首的“政府控制说”、以美国为首的“市场控制说”，以及以欧盟为首的“个人控制说”。其中，尤以中国和美国的矛盾*为突出和激烈，两国在数字治理中的紧张态势使“两极化”的态势越发严重，这也极大阻碍了数据跨境的自由流动。
第二，数据治理的领域较为多元。以我国为例，由于数据的应用场景一般都会涉及****、社会价值、服务贸易、个人权利等方面的内容，因此数据治理势必不能通过单一法来进行调整，这也就是为何在《网络**法》出台之后，我国又接二连三地出台了《电子商务法》《数据**法》《个人信息保护法》《关键信息基础设施**保护条例》《网络**审查办法》《数据出境**评估办法》等一系列法律法规来对数据合规进行系统性规制。虽然数据的概念和所有权权属在学界仍存在广泛争议，但数据的应用显然有别于传统的商品和服务，我们不能简单地将“数字贸易”与“货物贸易”或“服务贸易”画上等号，也当然不能将传统的法律思维和原则一股脑地套用在数据治理体系之上。由此看来，学会正确解读和适用我国数据治理的相关法律规定是数据合规专业人士极其重要的一项工作。
第三，数据治理的效能受到限制。互联网的本质在于自由和开放，但是各国数据治理采用的不同方式显然与建立和使用互联网的初衷并不相对应。一方面，政府的干预会阻碍数据经济的自由发展，影响数据跨境的自由流动；另一方面，监管的过度放任又会导致部分企业形成数据垄断，甚至引发对数据的滥用。如何协调其中利弊，也是政府、企业和数据主体需要进一步思考的问题。
纵有上述问题存在，但非常可喜的是，近年来我国企业数据治理的需求呈现了逐年增长的趋势。其实，只要深刻理解和掌握了我国相关立法所规定的规则，揣摩立法者的本意，那么企业的数据合规体系建设就并非一件难事。由于在企业合规实务中，许多人仍然对我国数据合规法条理解和适用存在一定的误读和偏差，因此为澄清我国数据合规的规范理解和应用，我萌生了编写此书的想法。就中国企业而言，数据治理的话题无非只包含内部治理和外部治理（涉及数据跨境）两个部分，其中内部治理又包括对数据**的治理和对个人信息保护的治理，这也是本书要解决的首要问题。此外，基于互联网全球架构已逐渐形成互相依赖和关联的趋势，数据也终将被视为一种全球性的公共品进而被各国所**关注。因此，企业在处理数据跨境流动合规治理的相关问题时也应当不断加强国际交流与协作。本书也会结合我的一些涉外实务经验，尽可能对欧盟GDPR的数据合规及跨境流动规范进行解读，帮助读者朋友们试着去理解欧盟监管机构**关注的要素和内容，以此作为国内数据合规工作的参考和借鉴。在数据交易层面，本书也将从律师尽职调查的角度向读者展示数据交易所在数据交易挂牌备案工作中所关注的**领域，为企业数据交易行为的合规保驾护航。同时，本书还将从数据应用角度出发，尝试通过对不同数据要素场景下的合规应用进行解读，使读者能够更为实际和生动地理解数据合规的场景适用性问题。在这十年来，作为数百场法律培训课程的主讲人，我有幸能够长期与来自互联网界及其他领域的企业家朋友们进行充分交流，这也让我能够随时转换思路，更为深刻地理解各类企业发展过程中所可能面对的痛点和难点。虽然本书在撰写过程中，参考了大量中外学者的著作和文章，但书中的一些理念和观点并不敢说毫无瑕疵，还请各位海涵！我真心希望能够发挥自身在数据合规领域的专业特长，借助本书的出版向读者朋友们直白且清晰地表达中国企业在数据合规中到底该做些什么,又该怎么去达成。作为一部法律工具类的书籍，我还希望本书的出版能够帮助中国企业根据自身状况建立起符合自身需求的数据合规体系和架构。如果在遇到问题时能够**时间想到本书，并将其奉为一本数据合规类的“圣经”，那我就更加知足了。
非常感谢我的家人和事务所同事们对本书出版的大力支持，也感谢我的博士生导师华东政法大学林燕萍教授的悉心指导，以及团队成员卓伟伟、刘曦等对本书成稿所付出的努力。我衷心希望，随着我国互联网的蓬勃发展，本书能够及时满足社会各界的需要，为广大创业者、数据合规从业者、高校学者、投资者、消费者及对数据合规领域感兴趣的各类人士打造互相交流的平台，以供业界前辈、同行进行深入学习和交流。
李旻
二〇二二年九月十八日

**章 数据保护的基本介绍 **节 中国的数据保护 一、中国数据保护的立法起源 二、中国数据保护的立法兴起与发展 第二节 数据保护的主要参与者和基本法律关系 一、数据保护的主要参与者 二、数据保护的基本法律关系 第三节 中国企业数据合规治理的典型案例 一、中国企业数据合规对海外IPO的影响 二、中国企业数据合规对境内IPO的影响 三、中国企业数据合规治理的民事责任 四、中国企业数据合规治理的行政责任 五、中国企业数据合规治理的刑事责任 第二章 数据保护的关键词 **节 个人信息和敏感个人信息 一、个人信息的理解与适用 二、敏感个人信息的理解与适用 第二节 数据和重要数据 一、数据的理解与适用 二、重要数据的理解与适用 第三节 匿名化和去标识化 一、匿名化的理解与适用 二、去标识化的理解与适用 第四节 数据控制者和数据处理者 一、数据控制者的理解与适用 二、数据处理者的理解与适用 第五节 数据的处理 一、数据处理的概念 二、数据处理的理解与适用 第六节 数据主体 一、数据主体的概念 二、数据主体的权利 三、数据主体的理解与适用 第三章 中国企业的数据合规治理 **节 法律概述 一、《网络**法》 二、《电子商务法》 三、《关键信息基础设施**保护条例》 四、《数据**法》 五、《个人信息保护法》 六、《关于构建数据基础制度更好发挥数据要素作用的意见》 第二节 中国企业的数据处理活动 一、数据的收集 二、数据的存储 三、数据的使用 四、数据的加工 五、数据的传输 六、数据的提供 七、数据的公开 八、数据的删除 九、数据的委托处理 十、数据的共同处理 第三节 中国企业的数据合规治理标准 一、数据处理的原则 二、数据处理的权利来源 三、数据处理的透明度要求 四、数据处理的**保障措施 第四章 中国企业的数据跨境监管 **节 法律概述 一、《****法》 二、《个人信息保护法》 三、《网络**审查办法》 四、《数据出境**评估办法》 第二节 数据出境的主要路径 一、**评估 二、个人信息保护认证 三、标准合同 第三节 数据的本地化存储 一、本地存储制度的理解与适用 二、本地存储制度的改革措施 第四节 数据出境的事先审批 一、事先审批的适用范围 二、处罚标准 第五节 数据出境的**评估 一、**评估的适用范围 二、风险自评估 三、**评估的** 四、**评估的申报 第六节 个人信息保护影响评估 一、个人信息保护影响评估的适用范围 二、个人信息保护影响评估的主要内容 第五章 欧盟GDPR的数据跨境监管 **节 欧洲的数据保护 一、欧洲数据保护的立法起源 二、欧洲数据保护的立法兴起与发展 第二节 欧盟GDPR的适用范围及其例外 一、欧盟GDPR的适用范围 二、欧盟GDPR的适用例外 第三节 数据控制者和数据处理者的责任 一、适当的技术和组织措施 二、数据保护的设计和默认 三、数据处理活动的记录 第四节 欧盟GDPR数据跨境传输 一、欧盟数据跨境传输的范围 二、欧盟数据跨境传输的合法途径 第五节 欧盟GDPR的监督和问责 一、自律监督 二、公民监督 三、行政监督 第六章 中国企业的数据交易合规 **节 数据交易所 一、数据交易准入制度 二、数据交易的类别 三、数据交易的参与主体 四、数据交易的产品类型 五、数据交易的监管 第二节 数据经纪人 一、数据经纪人的功能和作用 二、数据经纪人的数据处理依据 三、数据经纪人的法律责任 第三节 数据产品的合规评估 一、数据供应方背景调查 二、数据来源的合法性 三、数据的可交易性 四、数据的可流通性 第四节 企业并购的数据交易合规 一、尽职调查 二、并购交割 第五节 App收购中的交易风险防范 一、外商收购的准入 二、知识产权的转让 三、个人信息保护及迁移 四、App运营中的常见问题 第七章 中国企业的数据合规体系建设 **节 数据保护官 一、数据保护官的指定 二、数据保护官的职责 三、数据保护官的管理架构 第二节 个人信息保护影响评估 一、个人信息保护影响评估的具体要求 二、个人信息保护影响评估的工作机制 第三节 数据的分类分级 一、数据的分类分级原则 二、数据的分类分级方法 第四节 企业数据合规的组织和管理架构 一、企业数据合规的组织架构 二、企业数据合规的管理架构 三、企业数据合规的法律文本 第五节 企业数据合规的制度建设 一、核心管理制度 二、基本管理制度 三、操作管理制度 第六节 个人信息出境标准合同 一、标准合同的主要内容 二、标准合同的法律责任 三、标准合同的无效情形 第七节 企业数据合规的法律服务 一、法律服务的治理阶段 二、法律服务的合规建议 第八章 不同数据要素场景下的合规应用 **节 数据要素在人工智能中的合规应用 一、人脸识别的数据合规应用 二、智能汽车的数据合规应用 三、金融机构的数据合规应用 四、**健康的数据合规应用 五、无人机的数据合规应用 第二节 数据要素在劳动关系中的合规应用 一、处理员工个人信息的法律依据 二、处理员工个人信息的义务 三、对员工进行合法监控 四、对员工私人设备的监控 五、“吹哨人”计划 第三节 数据要素在日常监控中的合规应用 一、通信数据的监控 第三章 二、视频数据的监控 三、生物特征数据的监控 四、位置数据的监控 第四节 数据要素在商务营销中的合规应用 一、选择退出的权利 二、邮政营销 三、电话营销 四、电子邮件营销 五、在线行为广告和Cookie 六、用户数据画像的自动化决策 第五节 数据要素在网络技术与通信中的合规应用 一、移动设备应用技术 二、云计算技术 三、物联网技术 四、搜索引擎服务 五、网络社交服务 附录一 中国企业数据合规常用法律法规清单 附录二 个人信息出境标准合同 附录三 欧盟《通用数据保护条例》全文翻译及逐条解读