您的当前位置：上海品茶 > 报告分类 > PDF报告下载

报告预览

Shairk INT：数据合规与个人信息保护2021年终盘点（83页）.pdf

编号：73854

PDF 83页 14.22MB 下载积分：VIP专享

下载报告请您先登录！

Shairk INT：数据合规与个人信息保护2021年终盘点（83页）.pdf

1、一元复始万象更新数据合规与个人信息保护 2021 年终盘点Shairk INT 出品引言001一元复始万象更新数据合规与个人信息保护 2021 年终盘点主编：彭凯周晨黠宋海新编委会：陈婷婷许中华郑文洁黄相宜魏建锋姜莉丽周继伟邱儒婷李岚伊娜符淇媛周欣雨特邀供稿人：钟敏江汶陈玉卿周煌凯引言今天是 2021 年的最后一天，回望过去的一年，在数据合规与个人信息保护领域，我们终于迎来了真正意义上的“数据合规与个人信息保护元年”，这个领域的热闹与纷繁，在乱花渐欲迷人眼的新法中，在频上热搜的新闻事件和社会关注中，在百家争鸣的专业讨论中，达到了空前的高度

2、。一众跨年的正确姿势中，新年祝福和年度报告都难以免俗。感谢大家一年来的关注（智能晒客的订阅读者）、聆听（各类线上线下研讨分享会的参会者）、助力（律商网、安拓、法培、中怡保险经纪等合作机构）、选择（各行各业的甲方客户们）、信任（团队小伙伴们）。先祝大家新的一年能够健康又快乐、成长有新知、平和且勇敢。以下，我们将结合一年来的行业观察与市场服务，用这样一份年度报告与大家一起辞旧迎新：一、立法篇三、司法篇1 立法活动年度纵览 1 个人信息保护相关司法解释简评2 重要立法要点梳理 2 个人信息保护典型案例简评二、执法篇四、展望篇1 风起网安审查 1 2022 年我们将迎来什么？2 专项整治行动梳理

3、2 2022 年企业应该做什么？3 监管通报梳理4 行政处罚梳理5 执法动态简评2021 年终盘点002一、立法篇1立法活动年度纵览2021 年，国内网络安全、数据安全与个人信息保护相关立法活动1延续了 2020年的密集与高频态势，并在位阶、数量、热度、丰富性等方面实现了全面超越。经检索及梳理，纳入本报告统计范畴的 2021 年度立法活动共计 75 次，涉及立法主体共计 34 个，呈现法律法规及各类文件共计 92 部/篇，在网络安全、数据安全、个人信息保护三大合规主题之下，立法活动涉及的细分话题与关切要点进一步包括了数字化转型、人工智能、网络内容治理、征信、区块链、移动应用程序、网络交易平台、

4、金融数据安全、智能网联汽车、算法监管、SDK 管理、网络直播、人脸识别、CII、数据出境、地方数据立法等。在此，我们循着 2021 年的时间轴线，一起回顾下这个数据立法大年：时间主体主题内容1 月 4 日上海市委、市政府关于全面推进上海城市数字化转型的意见意见指出，要坚持整体性转变，推动“经济、生活、治理”全面数字化转型；坚持全方位赋能，构建数据驱动的数字城市基本框架；坚持革命性重塑，引导全社会共建共治共享数字城市；同时，创新工作推进机制，科学有序全面推进城市数字化转型。1 月 5 日全国信息安全标准化技术委员会秘书处网络安全标准实践指南人工智能伦理安全风险防范指引实践指南依据法律法规

5、要求及社会价值观，针对人工智能伦理安全风险，给出了安全风险防范措施，为相关组织或个人在各领域开展人工智能研究开发、设计制造、部署应用等活动时提供指引。1 月 5 日中国银行保险监督管理委员会保险中介机构信息化工作监管办法办法强调，保险中介机构收集、处理和应用数据涉及到个人信息的，应遵循合法、正当、必要的原则，遵守国家相关法律、行政法规，符合与个人信息安全相关的国家标准。未经允1 本报告所称“立法”或“立法活动”指称含义按照广义理解，有别于严格意义上的立法法中的概念，诸如地方政府、相关监管部门、标准委员会、行业自律组织颁发的各类意见、通知、征求意见稿均纳入其中。立法篇003时间主体主题内

6、容许或授权，保险中介机构不得收集与其提供的服务无关的个人信息；不得违反法律、行政法规和合同约定收集、使用、提供和处理个人信息；不得泄露、篡改个人信息。1 月 8 日国家互联网信息办公室互联网信息服务管理办法（修订草案征求意见稿）征求意见稿强调，互联网信息服务提供者、互联网网络接入服务提供者应当建立网络安全与信息安全管理制度、用户信息保护制度，采取安全防范措施，加强公共信息巡查。1 月 10 日新华社法治中国建设规划（20202025 年）规划强调，要充分运用大数据、云计算、人工智能等现代科技手段，全面建设“智慧法治”，推进法治中国建设的数据化、网络化、智能化；优化整合法治领域各类

7、信息、数据、网络平台，推进全国法治信息化工程建设；加快公共法律服务实体平台、热线平台、网络平台有机融合，建设覆盖全业务、全时空的公共法律服务网络。1 月 11 日中国人民银行征信业务管理办法（征求意见稿）征求意见稿指出，征信机构应当制定涉及所有业务活动和设备设施的安全管理制度，采取有效保护措施，保证信用信息的安全，并对个人征信机构、保存或处理 50 万户以上企业信用信息的企业征信机构提出了具体要求。1 月 13 日工业和信息化部办公厅工业和信息化部办公厅关于开展工业互联网企业网络安全分类分级管理试点工作的通知通知指出，通过试点，进一步完善工业互联网企业网络安全分类分级规则标准、定级流程以

8、及工业互联网安全系列防护规范的科学性、有效性和可操作性，加快构建工业互联网企业网络安全分类分级管理制度；进一步落实试点企业网络安全主体责任，形成可复制可推广的工业互联网网络安全分类分级管理模式；总结一批工业互联网网络安全典型解决方案，选拔一批优秀示范企业、培育一批专业服务机构。1 月 22 日全国信息安全标准化技术委员会信息安全技术区块链信息服务安全规范（征求意见稿）信息安全技术信息安全事件分类分级指南（征求意见稿）信息技术安全技术信息安全管理体系指南（征求意见稿）2021 年终盘点004时间主体主题内容1 月 22 日全国信息安全标准化技术委员会信息安全技术公共域名服务系

9、统安全要求（征求意见稿）1 月 26 日全国信息安全标准化技术委员会信息安全技术网络型入侵防御产品技术要求和测试评价方法（征求意见稿）信息安全技术信息系统安全审计产品技术要求和测试评价方法（征求意见稿）信息安全技术反垃圾邮件产品技术要求和测试评价方法（征求意见稿）2 月 3 日全国信息安全标准化技术委员会信息安全技术快递物流服务数据安全指南（征求意见稿）信息安全技术即时通信服务数据安全指南（征求意见稿）2 月 24 日全国信息安全标准化技术委员会信息安全技术网上购物服务数据安全指南（征求意见稿）信息安全技术网络支付服务数据安全指南（征求意见稿）信息安全技术网络音视频服务数据安全

10、指南（征求意见稿）3 月 9 日全国信息安全标准化技术委员会信息安全技术信息系统密码应用基本要求信息技术安全技术密钥管理第 3 部分：采用非对称技术的机制信息技术安全技术网络安全第 5 部分：使用虚拟专用网的跨网通信安全保护3 月 12 日新华社中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要纲要第五篇“加快数字化发展建设数字中国”强调，要加强涉及国家利益、商业秘密、个人隐私的数据保护，加快推进数据安全、个人信息保护等领域基础性立法，强化数据资源全生命周期安全保护；完善适用于大数据环境下的数据分类分级保护制度；加强数据安全评估，推动数据跨

11、境安全有序流动。3 月 12 日国家互联网信息办公室常见类型移动互联网应用程序必要个人信息范围规定规定明确了地图导航、网络约车、即时通信、网络购物等 39 类常见类型移动应用程序必要个人信息范围，要求 App 运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用其基本功能服务。规定在保障 App 正常运行的同时，保障了用户对 App 基本功能服务的使用权，以及对收集使用非必要个人信息的知情权和决定权。工业和信息化部公安部国家市场监管理总局立法篇005时间主体主题内容3 月 15 日国家市场监管理总局网络交易监督管理办法办法对消费者个人信息保护作出了明确规定。网络交易经营者收集、使用

12、消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。网络交易经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。网络交易经营者不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式，强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的，应当逐项取得消费者同意。网络交易经营者及其工作人员应当对收集的个人信息严格保密，除依法配合监管执法活动外，未经被收集者授权同意，不得向包括关联方在内的任何第

13、三方提供。4 月 6 日国家医疗保障局国家医疗保障局关于加强网络安全和数据保护工作的指导意见意见指出，要通过落实网络安全主体责任，完善网络安全监督管理机制，加强关键信息基础设施安全保护，强化网络安全技术防护能力，提高网络安全态势感知、预警和协同能力，提升突发网络安全事件应急响应能力等进一步加强网络安全管理。4 月 7 日工业和信息化部装备工业一司智能网联汽车生产企业及产品准入管理指南（试行）（征求意见稿）征求意见稿指出，智能网联汽车生产企业应依法收集、使用和保护个人信息，实施数据分类分级管理，制定重要数据目录，不得泄露涉及国家安全的敏感信息。在中华人民共和国境内运营中收集和产生的个

14、人信息和重要数据应当按照有关规定在境内存储。因业务需要，确需向境外提供的，应向行业主管部门报备。4 月 7 日工信部科技司APP 用户权益保护测评规范等 309 项行业标准制修订计划（征求意见稿）智慧城市电子围网技术要求等 5 项行业标准外文版计划（征求意见稿）2021 年终盘点006时间主体主题内容工业互联网平台服务商评价方法等 20 项推荐性国家标准制修订计划（征求意见稿）4 月 8 日中国人民银行金融数据安全数据生命周期安全规范（ JR/T 02232021）安全规范规定了金融数据生命周期安全原则、防护要求、组织保障要求以及信息系统运维保障要求，建立覆盖数据采集、传输、

15、存储、使用、删除及销毁过程的安全框架。4 月 12 日全国信息安全标准化技术委员会信息安全技术个人信息去标识化效果分级评估规范（征求意见稿）征求意见稿旨在依据个人信息能多大程度上标识个人身份进行个人信息去标识化效果分级，可用于评价个人信息去标识化活动的效果，从而在保护个人信息安全的前提下促进数据的共享使用，也可以细化不同分级个人信息的安全措施。4 月 19 日全国信息安全标准化技术委员会信息安全技术移动互联网应用程序（APP）个人信息安全测评规范（征求意见稿）征求意见稿规定了开展 App 个人信息安全测评的实施过程和测评方法。其中，GB/T 35273-2020信息安全技术个

16、人信息安全规范第 5 章至第 11 章的各项要求，在征求意见稿第 6 章给出了相应的测评方法，每条要求对应一个测评项。信息安全技术移动互联网应用程序（APP） SDK 安全指南（征求意见稿）征求意见稿旨在为 SDK 提供者在 SDK 的开发、运营、个人信息处理、数据安全管理等环节中的各类活动提出安全规范。4 月 23 日国家互联网信息办公室网络直播营销管理办法（试行）办法坚持立足当前与着眼长远相结合，坚持促进发展与规范管理相结合，坚持继承性与创新性相结合，充分考虑网络直播营销发展趋势、行业实际、各类参与主体特点，按照全面覆盖、分类监管的思路，一方面针对网络直播营销中的“人、货、场”

17、，将“台前幕后”各类主体、“线上线下”各项要素纳入监管范围，另一方面明确细化直播营销平台、直播间运营者、公安部商务部文化和旅游部国家税务总局立法篇007时间主体主题内容国家市场监督管理总局直播营销人员、直播营销人员服务机构等参与主体各自的权责边界，进一步压实各方主体责任。国家广播电视总局4 月 23 日全国信息安全标准化技术委员会信息安全技术人脸识别数据安全要求（征求意见稿）征求意见稿将涉及人脸图像处理的场景总结为“人脸验证”“人脸辨识”“人脸分析”三大类，并规定了人脸识别数据的基本安全要求、安全处理要求和安全管理要求。4 月 26 日工业和信息化部信息通信管理局移动互联网应用程序个

18、人信息保护管理暂行规定（征求意见稿）4 月 28 日全国信息安全标准化技术委员会信息安全技术网联汽车采集数据的安全要求（草案）草案规定了网联汽车采集的数据在传输、存储和跨境等环节的安全要求。4 月 28 日全国信息安全标准化技术委员会信息安全技术声纹识别数据安全要求（征求意见稿）征求意见稿将声纹识别数据活动的典型场景概括为“声纹识别应用场景”“科学实验场景”“非声纹识别的语音应用场景”等，并规定了声纹识别数据的基本安全要求、安全处理和安全管理要求。 4 月 28 日全国信息安全标准化技术委员会信息安全技术步态识别数据安全要求（征求意见稿）征求意见稿将步态识别数据应

19、用场景概括为“身份识别应用场景”“非身份识别应用场景”“科研场景”等，并规定了处理步态识别数据的基本安全要求、安全处理和安全管理要求。4 月 29 日全国人大常委会中华人民共和国个人信息保护法（草案二次审议稿）中华人民共和国数据安全法（草案二次审议稿）5 月 11 日全国信息安全标准化技术委员会信息安全技术基因识别数据安全要求（征求意见稿）征求意见稿规定了基因识别数据的基本安全要求、安全处理要求和安全管理要求，适用于基因识别数据控制者安全开展基因识别数据相关业务，也适用于第三方测评机构开展测试评估工作。5 月 12 日国家互联网信息办公室会同有关部门汽车数据安全管理若干规定（征求意见稿

20、）2021 年终盘点008时间主体主题内容5 月 14 日广东省人民政府广东省首席数据官制度试点工作方案方案提出三项主要任务：明确首席数据官工作机制、明确首席数据官职责范围、开展首席数据官评价。6 月 1 日深圳市人大常委会深圳经济特区数据条例（征求意见稿）6 月 8 日国务院未成年人保护工作领导小组国务院未成年人保护工作领导小组关于加强未成年人保护工作的意见意见的重点任务包括“加强未成年人个人信息网络保护”，要求网络运营者有效履行未成年人个人信息网络保护的平台责任，严格依照法律规定和用户协议收集和使用未成年人个人信息，对未成年人及其监护人提出的更正、删除未成年人网上个人信息的诉求，依法依规

21、予以配合。意见强调，严厉打击通过网络以文字、图片、音视频等形式对未成年人实施侮辱、诽谤、猥亵或恶意损害形象等网络欺凌行为，指导网络运营者及时配合制止网络欺凌行为并防止信息扩散。6 月 10 日全国人大常委会中华人民共和国数据安全法数据安全法历经三审正式通过，于 2021 年9 月 1 日正式生效。6 月 22 日工业和信息化部关于加强车联网（智能网联汽车）网络安全工作的通知（征求意见稿）6 月 28 日中国支付清算协会多方安全计算金融应用评估规范移动金融基于声纹识别的安全应用评估规范7 月 1 日国家互联网信息办公室知情人士表示，中国国家互联网信息办公室已启动中国版数据跨境传输标准合同

22、的起草工作。这呼应了个人信息保护法（草案）（二次审议稿）第三十八条的规定，即个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，可以按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务，并监督其个人信息处理活动达到本法规定的个人信息保护标准。7 月 5 日浙江省市场监督管理局数字化改革公共数据分类分级指南（DB33/T 2351-2021）7 月 6 日深圳市人大常委会深圳经济特区数据条例条例内容涵盖个人数据、公共数据、数据要素市场、数据安全等方面，是国内数据领域首部基础性、综合性立法。条例坚持“保护立法篇009时间主体主题内容与发展并重

23、，以保护为基础，以发展为目标，以保护促发展”的基本指导思想，着力平衡发展数字经济与保护个人数据、数据开发利用与数据安全之间的关系，构建数据治理的具体制度，力图在确保数据安全，保护个人数据的基础上，最大程度激发、释放数据作为生产要素的经济价值，为深圳市数字产业、数字经济的发展提供良好的法治环境。7 月 6 日中共中央办公厅关于依法从严打击证券违法活动的意见意见提出完善资本市场违法犯罪法律责任制度体系，建立健全依法从严打击证券违法活动的执法司法体制机制，强化重大证券违法犯罪案件惩治和重点领域执法，进一步加强跨境监管执法司法协作，着力提升证券执法司法能力和专业化水平，加强资本市场信用体

24、系建设，加强组织保障和监督问责等要求。国务院办公厅7 月 10 日国家互联网信息办公室网络安全审查办法（修订草案征求意见稿）征求意见稿强调，网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务安全性、可能带来的国家安全风险等方面进行审查。7 月 12 日工业和信息化部网络产品安全漏洞管理规定国家互联网信息办公室公安部7 月 20 日中国人民银行非银行支付机构重大事项报告管理办法办法指出，重大事项是指根据法律法规和中国人民银行的规定应当事前报告的重大经营事项以及可能对支付机构（

25、含分公司）自身经营状况、金融消费者权益、金融和社会稳定造成重大影响应当事后报告的事项，支付机构报告重大事项应当一事一报，做到及时、真实、准确、完整，不得迟报、漏报、瞒报、谎报、错报，不得有误导性陈述或者重大遗漏。7 月 21 日商务部数字经济对外投资合作工作指引2021 年终盘点010时间主体主题内容中央网络安全和信息化委员会办公室工业和信息化部7 月 28 日最高人民法院最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定司法解释从解决民事争议、保护民事权益的角度，对人脸信息有关民事争议的处理中涉及的适用场景、适用对象、授权同意、举证责任、维权支持等要

26、素进行了全面的规定。7 月 30 日国务院关键信息基础设施安全保护条例条例明确了开展关键信息基础设施安全保护工作的各部门职责分工以及如何认定关键信息基础设施，规定了保护工作部门的职责，强化和落实了关键信息基础设施运营者主体责任和关键信息基础设施安全保护工作，规定了相应的保障和促进措施，对实施危害关键信息基础设施安全活动的个人和组织，作出了相应的规范。7 月 30 日广东省人大常委会广东省数字经济促进条例条例指出，数字经济发展以数字产业化和产业数字化为核心。数字产业化主要促进数字产品制造业、数字产品服务业、数字技术应用业、数字要素驱动业的发展；产业数字化主要促进工业数字化、农业数字化、

27、服务业数字化等数字化效率提升业的发展。8 月 4 日全国信息安全标准化技术委员会（注：征求意见稿由国家市场监督管理总局、国家标准化管理委员会联合发布）信息安全技术机器学习算法安全评估规范（征求意见稿）征求意见稿规定了机器学习算法在设计开发、验证测试、部署运行、维护升级、退役下线等阶段的安全要求和证实方法，以及机器学习算法的安全评估实施，适用于对机器学习系统中的算法进行安全评估，也适用于机器学习系统开发者和运营者在算法开发运营过程中进行自评估和改进安全措施。立法篇011时间主体主题内容8 月 4 日中国共产党党委（党组）网络安全工作责任制实施办法实施办法是中国共产党党内法规汇编唯一

28、收录的网络安全领域的党内法规。其从责任主体、责任范围、责任事项、问责主体、启动问责的条件、问责措施等角度对网络安全工作责任制进行明确定义。8 月 16 日国家互联网信息办公室汽车数据安全管理若干规定（试行）规定指出，汽车数据包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据，汽车数据处理者处理汽车数据应当合法、正当、具体、明确，与汽车的设计、生产、销售、使用、运维等直接相关，利用互联网等信息网络开展汽车数据处理活动，应当落实网络安全等级保护等制度，加强汽车数据保护，依法履行数据安全义务。国家发展和改革委员会工业和信息化部公安部交通运输部8 月 20 日全国

29、人大常委会中华人民共和国个人信息保护法个人信息保护法历经三审正式通过，于2021 年 11 月 1 日正式生效。8 月 20 日深圳市人民政府深圳市首席数据官制度试点实施方案实施方案明确了 3 方面 10 项具体任务，涉及建立首席数据官工作机制方面包含设立首席数据官及引进专业人才；明确首席数据官职责范围方面包含推进智慧城市和数字政府建设、完善数据标准化管理、推进数据融合创新应用、实施常态化指导监督、加强人才队伍建设以及开展特色数据应用探索；开展首席数据官评价总结方面包含建立首席数据官评价机制、加强工作总结等。8 月 21 日最高人民检察院关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检

30、察工作的通知8 月 27 日国家互联网信息办公室互联网信息服务算法推荐管理规定（征求意见稿）8 月 30 日中国证券监督管理委员会证券期货业网络安全等级保护基本要求证券期货业网络安全等级保护测评要求9 月 13 日工业和信息化部网络产品安全漏洞收集平台备案管理办法（征求意见稿）2021 年终盘点012时间主体主题内容9 月 16 日工业和信息化部关于加强车联网网络安全和数据安全工作的通知通知指出，要落实安全主体责任，全面加强安全保护，加强智能网联汽车安全防护，加强车联网网络安全防护，加强车联网服务平台安全防护，加强数据安全保护，健全车联网安全标准体系。9 月 23 日全国信息安全标准化技术委

31、员会信息安全技术重要数据识别指南（征求意见稿）9 月 30 日工业和信息化部工业和信息化领域数据安全管理办法（试行）（征求意见稿） 9 月 30 日上海市人大常委会上海市数据条例（草案）（征求意见稿）10 月 8 日全国信息安全标准化技术委员会汽车采集数据处理安全指南（TC260-001）10 月 19日全国信息安全标准化技术委员会信息安全技术汽车采集数据的安全要求（征求意见稿）10 月 29日国家互联网信息办公室数据出境安全评估办法（征求意见稿）征求意见稿强调，数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合，防范数据出境安全风险，保障数据依法有序自由流动

32、。数据处理者向境外提供数据，符合特定情形的（如关键信息基础设施的运营者收集和产生的个人信息和重要数据），应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。10 月 29日国家市场监督管理总局互联网平台分类分级指南（征求意见稿）互联网平台落实主体责任指南（征求意见稿）11 月 1 日工业和信息化部关于开展信息通信服务感知提升行动的通知通知聚焦影响用户感知的信息通信服务环节，推动实现服务举措“五优化”（即优化资费套餐设置展示方式、双千兆服务宣传方式、隐私政策和权限调用展示方式、 APP 开屏弹窗信息展示方式、网盘类服务提供方式），建立个人信息保护“双清单”（即建立已收集个人信息立法

33、篇013时间主体主题内容清单、与第三方共享个人信息清单），实现服务能力“四提升”（即提升跨区域通办能力、携号转网服务能力、客服热线响应能力、APP 关键责任链个人信息保护能力）。到 2022 年 3月底，信息通信行业综合服务明显改善，用户获得感、幸福感和安全感进一步提升。11 月 12日中国互联网协会移动互联网应用程序 SDK安全规范（征求意见稿）征求意见稿规定了移动互联网程序（App）软件开发工具包（SDK）的开发、运营中的安全要求，并描述了满足这些安全要求的证实方法。移动互联网应用程序数据安全风险测评指南（征求意见稿）征求意见稿对移动互联网应用程序数据安全风险测评工作要求、测

34、评内容进行了描述和规范，并针对移动互联网应用程序源文件、存储、交互、安全防护等方面的数据安全风险给出相应测评方法。移动互联网应用程序数据安全测评服务机构能力评定准则（征求意见稿）征求意见稿针对移动互联网应用程序数据安全测评服务机构的基本条件、规模与资产、人员构成和素质、经验业绩、组织与管理、质量保证、项目管理、技术能力、专业培训等方面，进行了基线统筹和细化明确，为机构资格评定的申请、评审、监督管理等流程与日常管理事项实施提供指引。11 月 12日深圳市人大常委会深圳经济特区数字经济产业促进条例（征求意见稿）征求意见稿指出，要坚持保障安全与发展数字经济并重的原则，建立健全网络安全、数据安全

35、保障体系，完善协调机制以及安全预警、安全处置机制。11 月 14日国家互联网信息办公室网络数据安全管理条例（征求意见稿）征求意见稿包括总则、一般规定、个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务、监督管理、法律责任和附则九个部分。11 月 25日上海市人大常委会上海市数据条例条例共 10 章 91 条，自 2022 年 1 月 1 日起实施，涵盖数据发展与管理体系、数据权益保障、公共数据、数据要素市场等内容，包括依法保护自然人对其个人信息享有的人格权益；依法保护自然人、法人和非法人组织在数2021 年终盘点014时间主体主题内容据处理活动中形成的法定或者约定的财产权益，

36、以及在数字经济发展中有关数据创新活动取得的合法财产权益等。12 月 17日全国信息安全标准化技术委员会信息安全技术网络安全信息共享指南（征求意见稿）征求意见稿给出了网络安全信息共享活动要素、基本原则、共享范围和活动过程，适用于国家和行业主管部门、网络运营者、网络安全服务机构、研究机构和个人等网络安全信息共享参与方之间的网络安全信息共享活动。12 月 20日广州市人民政府国有资产监督管理委员会广州市国资委监管企业数据安全合规管理指南（试行 2021 年版）12 月 27日最高人民法院关于审理网络消费纠纷案件适用法律若干问题的规定（一）（征求意见稿）12 月 27日中央网络安全和信息化委

37、员会“十四五”国家信息化规划规划部署了 10 项重大任务，一是建设泛在智联的数字基础设施体系，二是建立高效利用的数据要素资源体系，三是构建释放数字生产力的创新发展体系，四是培育先进安全的数字产业体系，五是构建产业数字化转型发展体系，六是构筑共建共治共享的数字社会治理体系，七是打造协同高效的数字政府服务体系，八是构建普惠便捷的数字民生保障体系，九是拓展互利共赢的数字领域国际合作体系，十是建立健全规范有序的数字化发展治理体系，并明确了 5G 创新应用工程等 17 项重点工程作为落实任务的重要抓手。2重要立法要点梳理以上立法中，我们选取了如下六个高位阶、普适的法律法规作要点梳理，该等

38、法律法规的公布、出台或生效在 2021 年度均引发了业内及全社会的高度关注，我们预判其影响力将在 2022 年度得到进一步释放，在配套立法活动中成为关键的制定和/或参考依据，在执法、司法活动中被大量援引和/或参考。（一）中华人民共和国数据安全法立法篇0152021 年 6 月 10 日，中华人民共和国数据安全法由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过并公布，自 2021 年 9 月 1 日起施行。作为一部定位非常之高的基础法律，其恰如新华社撰文数据安全法：护航数据安全助力数字经济发展所称，数据安全法是“数据领域的基础性法律，也是国家安全领域的一部重要法律”。

39、以数据安全法为界，回望的，是一骑绝尘的网络安全法，紧随的，是千呼万唤的个人信息保护法，三部法律共同组成护航我国数字网络时代的“三驾马车”。对于数据安全法，我们认为可从如下十五个视角进行拆解（“七读”与“八引”）：数据安全法七读1. 章节结构与条文设置2. 立法目的与必要性2.1 立法目的2.2 必要性3. 立法沿革与衔接3.1 沿革3.2 衔接4. 适用范围4.1 地域范围4.2 主体与行为范围4.3 特殊适用5. 监督管理体系6. 特色亮点6.1 三种管制6.2 分类分级6.3 数据出境6.4 数据交易6.5 政务数据的处理6.6 智能化公共服务与特殊人群6.7 执法活动中的境内配合与境外提

40、供报批7. 法律责任7.1 历次版本对比解析7.2 法律责任梳理数据安全法八引1. 网络安全等级保护及其延伸1.1 网络安全等级保护制度的内涵1.2 网络安全等级保护的定级与测评备案1.3 数据安全法对网络安全等级保护工作的延伸2. 全流程内部管理制度建设2.1 数据安全负责人和管理机构2.2 数据安全管理制度3. 数据资产盘点3.1 数据来源盘点3.2 数据类别识别3.3 安全现状盘点2021 年终盘点0163.4 前置性行政许可梳理4. 数据分类分级4.1 根据目录对重要数据加强保护4.2 针对其他数据自主开展分级分类并予以相应保护5. 安全监测与应急处置5.1 风险监测与补救5.2 风险

41、事件处理与报告6. 数据本地化存储与出境6.1 原则上需要本地化存储的数据6.2 数据出境的前提与手续6.3 数据出境安全评估6.4 违法向境外提供重要数据的法律责任7. 执法活动中的境内配合与境外提供报告8. 配套立法关注8.1 配套立法明细8.2 配套立法规划以上仅为相关合规主题与关切要点梳理，我们曾于 2021 年 7 月牵头编写数据安全法合规指引条文精读实务指引重要参考一书，并于 2021 年 11 月末根据新近立法对其完成修订，该指引的最新电子版将于近期在律商网上全文发布，如需阅读“七读八引”全文，敬请关注律商网的近期发布计划。（二）网络安全审查办法（修订草案征求意见稿）202

42、1 年 7 月 10 日，国家互联网信息办公室下发关于网络安全审查办法（修订草案征求意见稿）公开征求意见的通知，而就在 7 月 9 日晚间，国家互联网信息办公室发布关于下架“滴滴企业版”等 25 款 App 的通报，再往前回溯至 7 月 6日，中共中央办公厅、国务院办公厅印发了关于依法从严打击证券违法活动的意见。接连三波刷屏之作，不断将“滴滴出行”“运满满”“货车帮”“BOSS 直聘”引发的“网络安全审查”讨论“快速迭代”式地推向新的高潮。关于网络安全审查办法的修订要点及评注，可参见如下：网络安全审查办法2020 年 6 月 1 日生效网络安全审查办法（修订草案征求意见稿）2021 年 7 月

43、 9 日公开第一条为了确保关键信息基础设施供应链安全，维护国家安全，依据中华人民共和国国家安全法中华人民共和国网络安全法，制定本办法。第一条为了确保关键信息基础设施供应链安全，维护国家安全，依据中华人民共和国国家安全法中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国数据安全法，制定本办法。评注1.新增数据安全法为制定网络安全审查办法的法律依据，与数据安全法第二十四条相呼应：立法篇017数据安全法第二十四条国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。2.此次修订将“数据处理者”纳入审查对象范畴（运

44、营者），网络安全审查办法即成为“数据安全审查制度”的重要组成，较大可能将不再制定数据安全审查办法。此外，数据安全法的“触手”效应初步显现，其与其他相关法律、配套立法、制度间的互动、引致，才刚刚开始。第二条关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。第二条关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，数据处理者（以数据处理者（以下称运营者）开展数据处理活动下称运营者）开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。评注1.新增“数据处理者”纳入“运营者”范畴，与关键信息基

45、础设施运营者在网络安全审查问题上获得同等主体地位。数据处理者的法律定义可参考数据安全法对“数据处理”的定义进行理解：数据安全法第三条第二款数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。照此定义，数据处理者宜理解为从事或开展数据处理活动的自然人、组织。2.该项修订后， “运营者”范围获得极大扩张。网络安全审查将不再局限于“关键信息基础设施运营者采购网络产品和服务”这个单一场景。3.值得回炉再谈的是，诸如“滴滴出行”“运满满”“货车帮”“BOSS 直聘”等是否属于“关键信息基础设施运营者”？我们认为，滴滴出行等系基于现行生效的网络安全审查办法而被发起网络安全审查，仅从先行生效

46、法规的条文理解出发，该等主体的关键信息基础设施运营者身份依然肯定，否则既已发起的网络安全审查将无法满足主体适格的基础准入要求。同时，此次修订即时生效，属于法律修订，不具备追溯力，亦未见追溯力条款规定，故无法以新修订网络安全审查办法中存在“数据处理者开展数据处理活动”为由将滴滴出行等的网络安全审查活动修正为系对“数据处理者开展数据处理活动”所发起。4.该项修订将进一步验证我们此前的结论，网络安全审查获得普适使用，近期热点事项中的涉事机构绝非个案。第三条网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，

47、从产品和服务安全性、可能带来的国家安全风险等方面进行审查。第三条网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务安全性、可能带来的国家安全风险等方面进行审查。2021 年终盘点018评注条文无变化。第四条在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密

48、局、国家密码管理局建立国家网络安全审查工作机制。网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。第四条在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关

49、制度规范，组织网络安全审查。评注1.新增“中国证券监督管理委员会”加入网络安全审查的工作机制之中，原先的十二罗汉有望成为十三罗汉。2.证监会的加入，一方面在于近期事件的导火索“赴美 IPO”，另一方面，本次修订新增“运营者赴国外上市”相关规定，故指向性非常明确。3.证监会被明确纳入成为国家网络安全审查工作机制成员，将在证券监管职权之外，赋予其新的职权，进而能够深度参与特定场景（赴国外上市）下的网络安全审查工作。立法篇019第五条运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。关键信息基础设

50、施保护工作部门可以制定本行业、本领域预判指南。第五条运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。评注条文无变化。无相应条款第六条第六条掌握超过掌握超过100万用户个人信息的运营万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申者赴国外上市，必须向网络安全审查办公室申报网络安全审查。报网络安全审查。评注1.新增条款，系此次修订最受关注条款（没有之一）。直抒胸臆式的条文表达，与近期事件强呼应，亦可视作国家在“赴国外上市

51、”问题上的表态。“必须”等严肃措辞亦可视作国家态度的体现。2.“超 100 万用户”的准入标准，基本能够把国内全部的互联网企业揽入怀中。该条规定影响重大，“泛”而“严”地在一众互联网公司的国外上市之路上架起了网络安全审查的卡口。与 7 月 6 日的关于依法从严打击证券违法活动的意见形成强呼应。3.该新增条款如实际落地，一盘大棋方才新启，对于后续国内互联网企业境外上市的目的地选择可能施加重要影响（如首选“香港”而非“国外”），对于既已上市的中概股是否可能开启回国潮、赴港潮，亦值得关注。第六条对于申报网络安全审查的采购活动，运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承

52、诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。第七条对于申报网络安全审查的采购活动，运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。评注条文顺延，内容无变化。第七条运营者申报网络安全审查，应当提交以下材料：（一）申报书；（二）关于影响或可能影响国家安全的分析报告；（三）采购文件、协议、拟签订的合同等；（四）网络安全审查工作需要的其他材料。第八条运营者申报网络安全审查，应

53、当提交以下材料：（一）申报书；（二）关于影响或可能影响国家安全的分析报告；（三）采购文件、协议、拟签订的合同或拟提或拟提交的交的IPO材料材料等；（四）网络安全审查工作需要的其他材料。2021 年终盘点020评注1.在运营者主动申报网络安全审查情形下，本条新增“拟提交的 IPO 材料”，将其纳入申请材料中。2.第八条第（三）款中的连接字为“或”，以其为界，“采购文件、协议、拟签订的合同”主要指向关键信息基础设施运营者采购网络产品和服务情形，“拟提交的IPO 材料”则指向“掌握超过 100 万用户个人信息的运营者赴国外上市”情形。3.表面看，第八条第（三）款似乎与“数据处理者（以下称运营者）开展

54、数据处理活动”无直接关联，实非如此，绝大多数情况下，作为数据处理者都必然会涉及网络产品和服务的采购，且数据处理者为开展数据处理活动，必然涉及大量的协议或合同签署行为，无论从哪个角度，均可落入“采购文件、协议、拟签订的合同”范畴。4.“拟提交的 IPO 材料”宜做宽泛理解，应当包括全部的材料。与此次修订的第六条相呼应，进一步可窥知今后“赴国外上市”之路的“慎”且“长”。第八条网络安全审查办公室应当自收到审查申报材料起， 10 个工作日内确定是否需要审查并书面通知运营者。第九条网络安全审查办公室应当自收到审查申报材料起， 10 个工作日内确定是否需要审查并书面通知运营者。评注条文顺延，内容无变

55、化。第九条网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险，主要考虑以下因素：（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；（五）其他可能危害关键信息基础设施安全和国家安全的因素。第十条网络安全审查重点评估采购网络产品和服务活动、数据处理活动以及国外上市活动、数据处理活动

56、以及国外上市可能带来的国家安全风险，主要考虑以下因素：（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；（五）核心数据、重要数据或大量个人信息被（五）核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；窃取、泄露、毁损以及非法利用或出境的风险；（六）国外上市后关键信

57、息基础设施，核心数（六）国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险；响、控制、恶意利用的风险；（七）（七）其他可能危害关键信息基础设施安全和国家数据数据安全的因素。立法篇021评注1.修订后的第十条删除“网络产品和服务”，我们认为这并非改变法条的原意，而是用“采购活动”取代了“采购网络产品和服务”。“采购活动”也并非此次修订所使用的新词，如现行生效版网络安全审查办法第六条也适用了“采购活动”表述。2.修订后的条文加入“数据处理活动”和“国外上市”两类情形，该等修订系源于此次第二条的修订（“数据处理者”纳

58、入“运营者”范畴）和第六条的新增（满足特定条件的运营者赴国外上市情形）。3.修订后的第（一）款删除了“以及重要数据被窃取、泄露、毁损”表述，进而将被删内容单独列为第（五）款“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”，该第（五）款的内容更为具象化，新增了“非法利用”“出境”两项，更具周延性，同时呼应数据安全法和个人信息保护的内容，核心数据、重要数据、个人信息被同时列明。通过第（五）款，网络安全审查将可以全面引致到数据安全法、个人信息保护法领域，相应地，因数据安全和个人信息保护问题引发的风险，均成为网络安全审查中的评估内容，这对于审查者和被审查者，都绝非易事。4

59、.修订后的条文新增第（六）款，系针对国外上市情况而设定，且是针对“国外上市后”的情形，意味着既已国外上市的“中概股”们，均有被“秋后算账”的可能，如果我们对该款的理解正确，则将对中概股企业影响极为重大，从业机构需要评估自身被发起网络安全审查的可能性而积极筹备，以及被发起网络安全审查后的积极应对。5.修订后的第（七）款增加“数据安全”表述，系源于数据安全法列为网络安全审查办法的制定依据缘由。第十条网络安全审查办公室认为需要开展网络安全审查的，应当自向运营者发出书面通知之日起 30 个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施

60、保护工作部门征求意见；情况复杂的，可以延长 15 个工作日。第十一条网络安全审查办公室认为需要开展网络安全审查的，应当自向运营者发出书面通知之日起 30 个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见；情况复杂的，可以延长 15 个工作日。评注条文顺延，内容无变化。第十一条网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起 15 个工作日内书面回复意见。网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的，网络安第十二条网络安全审查工作机制成

61、员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起 15 个工作日内书面回复意见。网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的，网络安2021 年终盘点022全审查办公室以书面形式将审查结论通知运营者；意见不一致的，按照特别审查程序处理，并通知运营者。全审查办公室以书面形式将审查结论通知运营者；意见不一致的，按照特别审查程序处理，并通知运营者。评注条文顺延，内容无变化。第十二条按照特别审查程序处理的，网络安全审查办公室应当听取相关部门和单位意见，进行深入分析评估，再次形成审查结论建议，并征求网络安全审查工作机制成员单位和相关关键信息基础设

62、施保护工作部门意见，按程序报中央网络安全和信息化委员会批准后，形成审查结论并书面通知运营者。第十三条按照特别审查程序处理的，网络安全审查办公室应当听取相关部门和单位意见，进行深入分析评估，再次形成审查结论建议，并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见，按程序报中央网络安全和信息化委员会批准后，形成审查结论并书面通知运营者。评注1.修订后的本条删除了“关键信息基础设施保护工作”字样，即，特别审查程序情形下，网络安全审查办公室无需再向相关关键信息基础设施保护工作部门征求意见。2.修订后的特别审查程序，在“征求意见”环节，与运营者主动审查情形下的审查有所区分，我们认

63、为，特别审查程序的发起原因即在于“网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见不一致”，因此在发起特别审查程序后，实无必要再次同时征询网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门的意见，此外，特别审查程序的“终端解决”在于“中央网络安全和信息化委员会批准”，依然是最高级别。基于此，我们认为此处的删除，旨在提升特别审查程序的处理效率。第十三条特别审查程序一般应当在 45 个工作日内完成，情况复杂的可以适当延长。第十四条特别审查程序一般应当在 45 个工作日内 3个月内个月内完成，情况复杂的可以适当延长。评注1.此次修订延长了特别审查程序的基础时限，从

64、45 个工作日延长至 3 个月，几近翻倍。2.关于特别审查程序时限的延长，从“可以适当延长”修改为“可以延长”，“适当”字样的删除，表明发生延长的时间可以“长短自定”。3.从本条修订可以推测，一方面，就近期网络安全审查案件而言，主管机关可能已经意识到该等审查事件的复杂性，故通过修订法律延展相应期限，另一方，期限的延长侧面反映出网络安全审查案件的受重视程度，大有“必须办扎实办成铁案”的监管心态。第十四条网络安全审查办公室要求提供补充材料的，运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。第十五条网络安全审查办公室要求提供补充材料的，运营者、产品和服务提供者应当予以配合

65、。提交补充材料的时间不计入审查时间。立法篇023评注条文顺延，内容无变化。第十五条网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。第十六条网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为、数据处理活动以及国外上市行为，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。评注本条的修订源于此次第二条的修订（“数据处理者”纳入“运营者”范畴）和第六条的新增（满足特定条件的运营者赴国外上市情形）

66、，仅就内容实质而言，未有变化。第十六条参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权，对运营者、产品和服务提供者提交的未公开材料，以及审查工作中获悉的其他未公开信息承担保密义务；未经信息提供方同意，不得向无关方披露或用于审查以外的目的。第十七条参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权，对运营者、产品和服务提供者提交的未公开材料，以及审查工作中获悉的其他未公开信息承担保密义务；未经信息提供方同意，不得向无关方披露或用于审查以外的目的。评注条文顺延，内容无变化。第十七条运营者或网络产品和服务提供者认为审查人员有失客观公正，或未能对审查工作中获悉的信息

67、承担保密义务的，可以向网络安全审查办公室或者有关部门举报。第十八条运营者或网络产品和服务提供者认为审查人员有失客观公正，或未能对审查工作中获悉的信息承担保密义务的，可以向网络安全审查办公室或者有关部门举报。评注条文顺延，内容无变化。第十八条运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。网络安全审查办公室通过接受举报等形式加强事前事中事后监督。第十九条运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。网络安全审查办公室通过接受举报等形式加强事前事中事后监督。评注条文顺延，内容无变化。第十九条运营者违反本办法规定的，依照中华人民共和国网络安全法第六十五条的规定处理。

68、第二十条运营者违反本办法规定的，依照中华人民共和国网络安全法第六十五条中华人民共和国数据安全法中华人民共和国数据安全法的规定处理。评注1.此次修订中，因数据安全法新增为网络安全审查办法的制定依据，故相应的法律责任条款也需要与数据安全法进行衔接。2.从修订后的条文来看，“第六十五”条的删除，可理解为法律责任的极大扩张，该条引致到了两部法律（网络安全法和数据安全法），而非单一的或某几条具体的条文。原因有二：第一，因为修订后的网络安全审查办法把“数据处理者的数据处理活动”和“超 100 万用户企业国外上市”等纳入审查范围，而“数据处理活动”和“拥有超 100 万用户的企业”，会涉及更广的数据安全、

69、个人2021 年终盘点024信息保护话题，违反修订后网络安全法规定的情形，因为主体和范围的扩张而随之扩张；第二，此次修订有意扩张法律责任的适用边界。基于此，责任范围扩大，引致条款激增。第二十条本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。第二十一条本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。本办法所称网络产品和服务主要指核心网络设备、重要通

70、信产品、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。评注1.本条第二款新增“重要通信产品”内容，进而将“网络产品和服务”的范围进行扩容。新增内容的考量点仍在于将更多的网络产品和服务纳入其中，进而扩张网络安全审查的范围。2.虽法条本身有“其他对关键信息基础设施安全有重要影响的网络产品和服务”的兜底规定，但此次仍然单独增加了“重要通信产品”，更多是在呼应当下国情的一众互联网企业们的实际情况，“通信产品”的范围和适用性需求凸显。第二十一条涉及国家秘密信息的，依照国家有关保密规定执行

71、。第二十二条涉及国家秘密信息的，依照国家有关保密规定执行。评注条文顺延，内容无变化。第二十二条本办法自 2020 年 6 月 1 日起实施，网络产品和服务安全审查办法（试行）同时废止。第二十三条本办法自 2020 年 6 月 1 日 2021年年月月日日起实施，网络产品和服务安全审查办法（试行）同时废止。评注本条文的后半句内容有待调整，现行网络安全审查办法中，“网络产品和服务安全审查办法（试行）同时废止”所指的“同时”，系指 2020 年 6 月 1 日。换言之，网络产品和服务安全审查办法（试行）已经于 2020 年 6 月 1 日起废止。基于此，该条文后半句宜作出调整，无需再谈

72、网络产品和服务安全审查办法（试行）的废止问题，因为其目前已经处于废止状态。特别说明：（红色加粗斜体含下划线）（红色加粗斜体含下划线）部分内容为此次征求意见稿的新增内容；（绿色加粗含删除线）部分内容既有生效办法被删除的内容；（蓝色加粗）部分为法条条数顺延引发的变化，不涉及实质内容修订。关于网络安全审查办法的此次修订征求意见，我们曾于 2021 年 7 月撰文数欲静风不止 | 关于网络安全审查办法最新修订你需要知道的八个问题（可点击链接阅读），详尽分析与评述可通过该文阅读了解。立法篇025（三）最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定公众关于人脸识别的困

73、惑、焦虑乃至恐惧，伴随着今年的 3.15 晚会而被“引爆”。至此，人脸识别技术在司法领域的探讨被提上日程，其与民法典个人信息保护相关条款、个人信息保护法等息息相关，又易引发民事责任新型问题，哪些行为应当被认定为非法处理自然人面部特征信息？损害结果有哪些？侵权责任承担采取哪种归责原则？举证责任如何分配？多个信息处理者如何承担责任？深度伪造、AI 换脸引发的侵权如何救济？同时侵害肖像权、名誉权情形下的责任承担？死者面部特征信息使用引发的侵权如何救济？细思多有困扰与难点，亟需司法关注与回应。2021 年 7 月 28 日，最高人民法院公开发布最高人民法院关于审理使用人脸识别技术处理个人信息相关

74、民事案件适用法律若干问题的规定（法释202115号），人脸识别领域迎来首部专门的司法解释。该规定于 2021 年 8 月 1 日起生效，全文共十六条，条文数量不多，但信息量颇为丰富。我们认为，关于规定的如下十二个问题值得探讨：Q1 规定的适用范围如何？Q2 侵害人格利益的行为有哪些？Q3 如何获得单独同意/书面同意？Q4 影响民事责任大小的因素有哪些？Q5 获得同意就“高枕无忧”了吗？Q6 免责事由包括哪些？Q7 举证责任如何分配？Q8 责任范围包括哪些？Q9 格式条款无效如何适用？Q10 可以主张违约责任吗？Q11 规定有溯及力吗？Q12 企业应如何应对？关于规定，我们曾于 2021 年

75、7 月撰文人面不知何处去桃花难再笑春风 | 关于人脸识别司法解释你需要知道的十二个问题（可点击链接阅读），前述十二个问题的相关分析可通过该文阅读了解。（四）中华人民共和国个人信息保护法2021 年 8 月 20 日，中华人民共和国个人信息保护法由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议通过并公布，自 2021 年 11 月 1 日起施行。至此，网络安全法数据安全法个人信息保护法的相继出台与施行，宣告护航我国数字网络时代的“三驾马车”正式完成组建。从 2012 年末关于加强网络信息保护的决定明确提出要求保护个人电子信息，到个人信息保护法三审通过并最终公布，我们走过了近十年

76、的光景。对于个人信息保护法，我们认为可从如下十七个视角进行拆解（“八读”与“九引”）：2021 年终盘点026个人信息保护法八读1. 章节结构与条文设置2. 立法目的与必要性2.1 立法目的2.2 必要性3. 立法沿革与衔接3.1 正式稿与二审稿的主要区别3.2 关键概念的明确3.3 立法衔接4. 适用范围4.1 地域管辖4.2 域外效力4.3 特殊主体的适用5. 监督管理体系5.1 监管体系5.2 监督体系6. 处理个人信息的基本原则6.1 合法正当必要诚信原则6.2 目的明确和直接相关原则6.3 公开透明原则6.4 其他原则7. 国家机关处理个人信息的特别规定7.1 为履行法定职责处理个人

77、信息的特别规定7.2 告知要求与告知的例外7.3 原则境内存储+向境外提供个人信息应进行安全评估7.4 具有管理公共事务职能的组织的规范要求8. 法律责任8.1 历次版本对比解析8.2 法律责任梳理个人信息保护法九引1. 处理个人信息的合法性基础1.1 同意1.2 为订立或履行合同所必须或者实施人力资源管理所必需1.3 为履行法定职责或法定义务所必需1.4 为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需1.5 为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息1.6 依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息1.7 法

78、律、行政法规规定的其他情形2. 告知的要求与告知的例外2.1 告知的要求2.2 告知的例外3. 同意的要求与撤回同意3.1 同意的要求3.2 撤回同意立法篇0273.3 不得拒绝提供产品和服务的原则要求与除外情形4. 个人信息的存储与特殊使用4.1 个人信息的存储4.2 个人信息的特殊使用场景5. 个人信息的共同处理、委托处理、对外提供、转移、公开披露5.1 共同处理5.2 委托处理5.3 对外提供个人信息5.4 转移5.5 公开披露6. 敏感个人信息的处理规则6.1 敏感个人信息的定义6.2 敏感个人信息的特殊处理规则6.3 敏感个人信息的专门规则7. 执法活动中的境内配合与境外提供报告

79、7.1 个人信息出境的条件与限制7.2 个人信息出境的分步走判断方法8. 个人信息主体的权利实现8.1 个人信息主体权利的具体内容8.2 死者个人信息的近亲属权利9. 个人信息处理者的义务9.1 通用义务9.2 特定主体的义务以上仅为相关合规主题与关切要点梳理，我们曾于 2021 年 9 月牵头编写个人信息保护法合规指引宏观精读微观指引重要参考一书，该指引的电子版已在律商网上全文发布，如需阅读“八读九引”全文，可前往律商网查阅。（五）数据出境安全评估办法（征求意见稿）自网络安全法实施以来，数据的本地化存储要求与出境合规就一直备受关注，也是众多跨国公司数据合规工作中的重难点，数据安全法更是

80、自草案二审稿开始增加了关于重要数据出境的相关管理要求（第三十一条）。网络安全法数据安全法个人信息保护法分别从多个数据维度对数据出境的问题作出规制；此外，在相关规范尚不健全的情况下，数据出境安全评估办法（征求意见稿）网络数据安全管理条例（征求意见稿）等一系列尚未生效的法规、指南和标准，也在一定程度上表明了监管部门对该问题的看法。2021 年 10 月 29 日由国家互联网信息办公室下发的数据出境安全评估办法（征求意见稿），似有替代既往信息安全技术数据出境安全评估指南（草案）个人信息出境安全评估办法（征求意见稿）等相关规定征求意见稿之意，该征求意见稿明确了申报数据出境安全评估的情形、数据出境风

81、险自评估的事项、数据2021 年终盘点028出境安全评估的程序和评估重点、数据处理者与境外接收方订立的合同要求等内容，其后续正式出台并实施的可能性相对较高。我们根据数据出境安全评估办法（征求意见稿）的条文内容，对数据出境所需遵循的前置程序总结如下图：立法篇029关于数据出境，我们曾于 2021 年 9 月和 12 月撰文数据安全观察 | 哪些数据必须本地化存储？数据出境如何做好合规管理？（可点击链接阅读）JT&N 观点 | 多国重叠管辖下，数据跨境流动面临合规两难（可点击链接阅读）和JT&N 观点 | RCEP 框架下，我国数据跨境流动的规则与实践（可点击链接阅读）在数据安全法合规指引条文

82、精读实务指引重要参考和个人信息保护法合规指引宏观精读微观指引重要参考两书中亦有相关内容涉及，可结合上图及该等文稿进行阅读了解。（六）网络数据安全管理条例（征求意见稿）2021 年 11 月 14 日，国家互联网信息办公室发布网络数据安全管理条例（征求意见稿），该条例包括总则、一般规定、个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务、监督管理、法律责任和附则九个部分共计 75个条文。从位阶来看，该条例应属于“行政法规”，按照立法法规定，其正式稿应当由总理签署国务院令发布，并在三十日内报全国人大常委会备案。网络数据安全管理条例（征求意见稿）系网络安全法数据安全法个人信

83、息保护法的下位配套法规，信息量极大，我们认为可进行如下拆解：网络数据安全管理条例征求意见稿1. 章节结构与条文设置2. 规制对象及适用范围2.1 规制对象2.2 适用范围3. 数据处理者的一般义务（数据安全保护义务）3.1 个人信息处理规则3.1.1 处理3.1.1.1 前提（取得个人同意）3.1.1.2 具体要求3.1.2 保障个人权利3.1.2.1 限期删除个人信息3.1.2.2 便捷的个人信息结构化查询途径3.1.2.3 个人信息向其他数据处理者的转移3.1.3 其他3.1.3.1 利用生物特征进行个人身份认证场景下的风险评估3.1.3.2 采用自动化工具访问收集数据场景下的

84、影响评估3.2 其他机制3.2.1 数据安全投诉举报机制3.2.2 数据安全技术保护机制3.2.3 数据安全应急处置机制3.2.4 网络安全审查申报机制4.1.1 重要数据的定义与类别列举2021 年终盘点0304. 数据处理者的特殊义务4.1 重要数据处理者4.1.2 识别重要数据4.1.3 共享、交易、委托处理重要数据的特别要求4.1.4 成立数据安全管理机构（由数据安全负责人领导）4.1.5 制定数据安全培训计划4.1.6 优先采购安全可信的网络产品和服务4.1.7 开展数据安全评估4.2 向境外提供数据的处理者4.2.1 事前4.2.1.1“四选一”及其豁免4.2.1.2 告知+

85、单独同意4.2.1.3 按照国家数据跨境安全监管要求建立健全相关技术和管理措施4.2.2 事中（履行义务）4.2.2.1 符合个人信息保护影响评估报告4.2.2.2 符合数据出境安全评估报告4.2.2.3 监督数据接收方4.2.2.4 境外再转移个人信息的特殊要求4.2.2.5 留存记录（日志记录和数据出境审批记录）4.2.2.6 接受和处理数据出境所涉及的用户投诉4.2.2.7 依法承担法律责任4.2.2.8 配合主管部门核验4.2.2.9 停止及补救义务4.2.3 事后4.2.3.1 数据出境安全报告（每年 1 月 31日前）4.2.4 其他4.2.4.1 数据跨境安全网关建设4.3 互联

86、网平台运营者4.3.1 建立与数据相关的平台规则、隐私政策、算法策略披露制度，及时披露制定程序、裁决程序4.3.2 对接入其平台的第三方产品和服务（包括移动通信终端预装的第三方产品）承担数据安全管理责任4.3.3 提供具体服务情形下的要求4.3.3.1 即时通信服务4.3.3.2 应用程序分发业务4.3.3.3 为国家机关提供服务，参与公共基础设施、公共服务系统建设运维管理，利用公共资源提供服务4.3.4 支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务立法篇0314.3.5 利用个人信息和个性化推送算法向用户提供信息4.3.6 利用人工智能、虚拟现实、深度合成等新

87、技术开展数据处理活动4.3.7 配合国务院有关部门调取或者访问公共数据、公共信息4.3.8 开展年度审计及披露审计结果4.3.9 负面清单（严禁从事的活动）5. 监管体系5.1 监管主体5.1.1 国家网信部门5.1.2 公安机关、国家安全机关5.1.3 工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门5.2 配套制度5.2.1 数据分类分级保护制度5.2.2 数据交易管理制度5.2.3 数据安全应急机制5.2.4 数据安全审计制度5.2.5 行业自律组织制定行业规范6. 法律责任6.1 数据处理者未履行一般义务6.1.1 违反 9-18 条规定6.1.2 违反 19-25 条

88、规定6.2 数据处理者未履行特殊义务6.2.1 重要数据处理者6.2.1.1 违反 28-33 条规定6.2.1.2 违反 34 条规定6.2.2 向境外提供数据的处理者6.2.2.1 违反 35-37、39/1、40、42 条规定6.2.2.2 违反 39/2 条规定6.2.2.3 违反 41 条规定6.2.3 互联网平台运营者6.2.3.1 违反 43-45、47、53 条规定6.2.3.2 违反 46、48、51 条规定6.2.3.3 违反 49、54 条规定6.3 国家机关未履行数据保护义务关于网络数据安全管理条例（征求意见稿），我们已储备相应的解读文案及思维导图，将在其正式发布后推出

89、相应的合规指引，敬请期待。2021 年终盘点032二、执法篇在相关立法不断出台和完善的基础上，数据合规与个人信息保护领域的执法行动持续加强，各部门争相作为，中央层面、地方层面的执法行动“环环相扣”。执法成果亦是“立竿见影”，违法违规处理个人信息的行为“难以遁形”，违法违规后果日渐加重，数据合规与个人信息保护的整体水平得以显著提高。而其中，“滴滴出行”等网络安全审查事件，无疑将数据合规与个人信息保护领域执法行动的关注度、影响力和威慑力推向了新的高峰。1风起网安审查2021 年 7 月，“滴滴出行”被启动网络安全审查，大众对该事件的种种推论、遐想乃至臆想随处可见，该事件热度至今仍未完全消散，12

90、月 3 日，“滴滴出行”官方微博发布的公告让这起在 2021 年度极具代表性的执法行动“又起涟漪”。“滴滴出行” 宣布公司即日起启动在纽交所退市的工作，并启动在香港上市的准备工作。经过半年时间的发酵，“滴滴出行”此举似乎在很多人的“意料之中”。在“滴滴出行”等网络安全审查结果尚未“一锤定音”之际，我们以时间为主线，梳理如下：执法篇033网络安全审查包括运营者自主报请审查和主管部门依职权启动审查两种情形，关于大家关心的审查流程和时间，我们分别制作图示以供参考。下图为报请审查情形下的审查流程和时间图：2021 年终盘点034执法篇035下图为依职权启动审查情形下的审查流程和时间图：2021 年终

91、盘点036关于“滴滴出行”被实施网络安全审查事件，我们曾于 2021 年 7 月撰文起风了请添衣 | 关于滴滴出行被实施网络安全审查你最想知道的八个问题（可点击链接阅读），受益于事件热度与全民关注，该文章冲破 10W+的阅读量，详尽分析与评述可通过该文阅读了解。关于被实施网络安全审查后“滴滴出行”App 再被下架，我们亦曾于 2021 年 7 月撰文风再起何处往 | 被实施网安审查后滴滴出行再被下架，App 个保合规你需要知道的八个问题（可点击链接阅读），详尽分析与评述可通过该文阅读了解。2专项整治行动梳理进入 2021 年，数据合规与个人信息保护的专项整治行动逐渐进入“深水区”，整治力度

92、持续加码，整治经验日渐丰富。与此前相比最为明显的变化为，地方层面的专项整治行动显著增多，大部分省/直辖市先后在地方层面展开专项整治行动，且呈继续扩大之势。央地合力之下，整治效果更加显著。（一）中央层面专项整治行动汇总序号监管部门专项整治行动1国家网信办国家网信办 2021 年持续开展 App 违法违规收集使用个人信息情况的检测、通报和处置2工信部2020 年 7 月，工信部发布工业和信息化部关于开展纵深推进 App 侵害用户权益专项整治行动的通知，决定开展纵深推进 App 侵害用户权益专项整治行动，整治力度持续加码。2021 年，专项整治行动持续开展3工信部2021 年 7 月 23 日，

93、工信部召开互联网行业专项整治行动动员部署电视电话会议，正式启动为期半年的专项整治行动4国家网信办国家网信办决定 2021 年 8 月 27 日启动“清朗移动应用程序 PUSH 弹窗突出问题专项整治”，聚焦突出问题靶向施策，推动 PUSH 弹窗传播秩序短期内实现明显好转5工信部2021 年 11 月 1 日，工信部印发关于开展信息通信服务感知提升行动的通知，部署开展信息通信服务感知提升行动。行动聚焦影响用户感知的信息通信服务环节，推动实现服务举措“五优化”（即优化资费套餐设置展示方式、双千兆服务宣传方式、隐私政策和权限调用展示方式、App 开屏弹窗信息展示方式、网盘类服务提供方式），建立个人信息

94、保护“双清单”（即建立已收集个人信息清单、与第三方共享执法篇037序号监管部门专项整治行动个人信息清单），实现服务能力“四提升”（即提升跨区域通办能力、携号转网服务能力、客服热线响应能力、App 关键责任链个人信息保护能力）。除提升客服热线响应能力（2022 年 3 月底前完成）外，其他行动均应于 2021 年 12 月底前完成（二）地方层面专项整治行动汇总序号监管部门专项整治行动1广东省通信管理局持续开展 App 隐私合规和数据安全专项整治行动2河北省委网信办、省通信管理局河北省委网信办、省通信管理局先后多批次通报存在违法违规收集个人信息问题的 App3天津市委网信办、天津市公安局、天津市市

95、场监管委、天津市通信管理局2021 年 4 月 16 日，天津市委网信办、天津市公安局、天津市市场监管委、天津市通信管理局联合发布关于开展天津市2021 年度 App 网络安全专项治理的通告，决定自 2021 年 4月至 2022 年 3 月，组织开展天津市 App 网络安全专项治理工作4福建省通信管理局2021 年 5 月，福建省通信管理局下发关于开展 2021 年福建省App 侵害用户权益整治专项行动的通知，专项整治时间为 2021年 4 月 26 日至 2021 年 12 月 31 日5浙江省互联网信息办公室、浙江省公安厅、浙江省市场监督管理局、浙江省通信管理局2021 年 6 月 1

96、日，浙江省互联网信息办公室、浙江省公安厅、浙江省市场监督管理局、浙江省通信管理局联合发布关于联合开展浙江省 2021 年度 App 违法违规收集使用个人信息专项治理的公告，决定自 2021 年 6 月至 2021 年 12 月，联合开展 2021 年度 App 违法违规收集使用个人信息专项治理工作6北京市委网信办、北京市公安局、北京市市场监管委、北京市通信管理局2021 年 6 月 12 日，北京市委网信办、北京市公安局、北京市市场监管委、北京市通信管理局联合发布北京市委网信办、北京市公安局、北京市市场监管委、北京市通信管理局关于开展北京市 2021 年度 App 网络安全专项治理的通告，决

97、定自发布通告之日起至 11 月，在全市范围内组织开展 App 违法违规收集使用个人信息专项治理行动7宁夏通信管理局持续开展 App 侵害用户权益专项治理行动8辽宁省通信管理局持续开展 App 侵害用户权益专项整治行动9江苏省通信管理局持续开展 App 侵害用户权益专项治理行动10山西省通信管理局持续开展 App 侵害用户权益专项治理行动11上海市通信管理局持续开展 App 侵害用户权益专项治理行动2021 年终盘点038序号监管部门专项整治行动12安徽省通信管理局持续开展 App 侵害用户权益专项整治行动13湖北省通信管理局2021 年 7 月 29 日，湖北省通信管理局召开互联网行业专项整治

98、行动督导工作会议，正式启动为期半年的专项整治行动14陕西省通信管理局2021 年 7 月 30 日，陕西省通信管理局组织召开陕西省互联网行业市场秩序专项整治行动动员部署会议，并印发陕西省关于开展互联网行业市场秩序专项整治行动的通知15北京市通信管理局2021 年 7 月 31 日，北京市通信管理局召开北京互联网行业专项整治行动推进会16云南省通信管理局2021 年 8 月 9 日，云南省通信管理局印发云南省互联网行业市场秩序专项整治行动方案，并于 2021 年 8 月 18 日组织省内 12 家重点互联网企业召开互联网行业市场秩序专项整治行动动员部署会议17上海市通信管理局2021 年 8

99、月 10 日，上海市通信管理局召开互联网行业市场秩序专项整治行动部署会，面向上海主要互联网平台企业进行专项工作部署18宁夏通信管理局2021 年 8 月 11 日，宁夏通信管理局组织召开互联网行业市场秩序专项整治工作部署会19内蒙古通信管理局2021 年 8 月 12 日，内蒙古通信管理局组织召开全区互联网行业市场秩序专项整治行动视频推进会，面向纳入重点监管的 17家互联网企业进行细化部署20河北省通信管理局2021 年 8 月 12 日，河北省通信管理局启动全省互联网行业市场秩序专项整治行动，并下发专项整治行动通知21重庆市通信管理局2021 年 8 月 13 日，重庆市通信管理局召开互

100、联网行业市场秩序专项整治行动部署会22江西省通信管理局2021 年 8 月 13 日，江西省通信管理局组织召开全省互联网行业市场秩序专项整治行动宣贯部署视频会议23浙江省通信管理局2021 年 8 月 17 日，浙江省通信管理局官网发布浙江省通信管理局关于开展互联网行业市场秩序专项整治行动的通知24山西省通信管理局据山西省通信管理局官网 2021 年 8 月 20 日消息，近日，山西省通信管理局全面开启互联网行业市场秩序专项整治行动。本次专项治理工作截至今年 12 月25四川省通信管理局据四川省通信管理局官网 2021 年 8 月 20 日消息，近日，四川省通信管理局全面启动互联网行业市场秩序

101、专项整治行动，并印发关于开展互联网行业秩序专项整治行动的通知。本次专项整治行动为期 5 个月执法篇039序号监管部门专项整治行动26天津市通信管理局2021 年 8 月 24 日，天津市通信管理局组织召开互联网行业市场秩序专项整治行动专题会议，面向纳入重点监管的 10 家互联网企业进行工作部署27山东省通信管理局2021 年 8 月 24 日，山东省通信管理局召开互联网行业专项整治行动工作部署会28广西省通信管理局2021 年 8 月 26 日，广西省通信管理局组织召开全区互联网行业市场秩序整治工作部署会29新疆通信管理局2021 年 9 月 10 日，新疆通信管理局组织召开新疆互联网行业市场

102、秩序专项整治工作推进会30江苏省通信管理局2021 年 9 月 15 日，江苏省通信管理局召开全省互联网行业市场秩序专项整治工作推进会3监管通报梳理在 2021 年数据合规与个人信息保护的专项整治行动中，针对违法违规处理个人信息 App 的监管通报，依然发挥着关键的作用。与此前相比，通报主体发生变化，国家网信办开始单独通报违法违规收集使用个人信息的 App，App 专项治理工作组则“退出舞台”；此外，中国消费者协会对 App 账号注销及自动化推荐退订进行了测评并发布测评报告，也为执法活动增色不少。（一）网信部门1. 国家网信办2021 年 3 月，国家网信办、工信部、公安部、国家市场监管总局

103、联合发布常见类型移动互联网应用程序必要个人信息范围规定，对网上购物、网络支付、即时通信等 39 类 App 的必要个人信息范围进行了规制，该规定于 2021 年 5 月 1日起施行。2021 年 5 月 1 日，国家网信办发布“关于输入法等 33 款 App 违法违规收集使用个人信息情况的通报”，这是国家网信办首次对违法违规收集使用个人信息的 App 进行单独通报，此后更是以“违反必要原则，收集与其提供的服务无关的个人信息”为检查重点的多次通报。其后，国家网信办以 App 类型为单位，进行了三批次的通报，所通报的对象主要为各类型 App 中的头部企业。2021 年终盘点040国家网信办

104、所进行的上述四个批次的通报基本涵盖了所有类型的 App，共公开通报 351 款违法违规 App，责令其限期整改，并对未在规定时限内整改的 App 依法采取了相关的处罚措施。值得一提的是，后三个批次的通报授权依据除网络安全法App 违法违规收集使用个人信息行为认定方法，新增了常见类型移动互联网应用程序必要个人信息范围规定。梳理国家网信办的四批次通报后发现，74.36%的 App 存在“违反必要原则和常见类型移动互联网应用程序必要个人信息范围规则收集与其提供的服务无关的个人信息”的问题，40.17%的 App 存在“未经用户同意收集使用个人信息”的问题，其中一部分 App 更是存在两个以上的问题。

105、违反必要原则，收集与其提供的服务无关的个人信息未经用户同意收集使用个人信息未按法律规定提供删除或更正个人信息功能等未公开收集使用规则其他问题输入法类搜狗输入法等15款/地图导航类高德地图等16款语音导航共1款和地图共1款/即时通信类/连信，共1款（诱导用户授权其读取手机通讯录信息并向通讯录联系人发送营销短信）安全管理类腾讯手机管家等30款绿色清理大师等13款/网络借贷类360借条等36款360借条等20款贷款侠等3款/民生易贷，共1款（未明示手机使用个人信息的目的、方式和范围等）短视频类抖音等10款茄子短视频等11款/浏览器类搜狗搜索等22款360浏览器等10款百度浏览器等4款百度浏览器等3款

106、/求职招聘类领英等26款齐鲁人才等27款齐鲁人才等10款小职了等2款/实用工具类百度，共1款/百度，共1款/运动健身类KEEP等26款KEEP等14款/KEEP等1款/新闻资讯类今日头条等25款今日头条等10款新浪新闻，共1款快链星球，共1款/网络直播类虎牙直播等32款水多直播等14款KK直播，共1款/应用商店类应用中心等7款太平洋下载等6款软件商店等5款应用中心等4款/女性健康类亲宝宝等12款新氧医美等14款育学园等3款/民生易贷，共1款（未明示手机使用个人信息的目的、方式和范围等）网上购物类nike，共1款/nike，共1款/学习教育类伴鱼绘本，共1款伴鱼绘本，共1款伴鱼绘本，共1款/伴鱼

107、绘本，共1款（未经同意向他人提供个人信息）婚恋相亲类珍爱网，共1款/合计351款261款（74.36%）141款（40.17%)31款(8.83%）11款（3.13%）4款（1.14%）问题批次第一批次（2021年5月1日）（33款）第二批次（2021年5月10日）（84款）第三批次（2021年5月21日）（共105款）第四批次（2021年6月11日）（共129款）执法篇0412. 地方网信部门序号通报部门通报时间通报通报数量1浙江省 App 违法违规收集使用个人信息专项治理工作组2021 年 7 月 5 日关于萌拍拍等 57 款 App违法违规收集使用个人信息情况的通报57 款2浙江省 A

108、pp 违法违规收集使用个人信息专项治理工作组2021 年 8 月 26 日关于萌菌大作战等 85 款App 违法违规收集使用个人信息情况的通报85 款3海南省互联网信息办公室2021 年 9 月 3 日关于对“加油海南”等 7款 App 违法违规收集使用个人信息情况的通报7 款4海南省互联网信息办公室2021 年 10 月 27 日关于对“民生宝”“快速问医生”等 7 款 App违法违规收集使用个人信息情况的通报7 款5浙江省 App 违法违规收集使用个人信息专项治理工作组2021 年 12 月 14 日关于闪修侠等 87 款 App违法违规收集使用个人信息情况的通报87 款（二）工信部门1.

109、工信部2021 年，工信部在总结前两年 App 监管工作经验的基础上，纵深推进“App 侵害用户权益专项整治行动”，从完善制度标准、开展合规性评估、强化社会监督和行业自律等方面综合施策，加快推动构建行业网络数据安全综合保障体系。同时，根据自 2019 年以来执法行动总结发现的 App 与移动设备生产上（手机厂商）、App 分发平台（应用商店）、第三方（第三方 SDK、合作伙伴）等多方主体的相互依存关系，工信部的 App 治理工作将 SDK、手机操作系统、应用商店等角色纳入整个移动生态治理工作中。以通报治理工作与应用商店相联动为实施办法，在通报问题 App的同时，工信部督促发现问题较多的应用商

110、店严格执行移动智能终端应用软件预置和分发管理暂行规定的相关要求，落实企业责任。工信部在 2021 年度的通报分为违规通报和下架通报两类，具体如下：2021 年终盘点042（1）违规通报2021 年，工信部共发布 11 次违法违规行为通报，涉及 712 款 App，其中有 19款 App 被重复通报，去重后为 693 款。1在工信部发布的 11 次通报中，4 次为专题通报，涉及“违规调用麦克风、通讯录、相册等权限侵害用户权益行为”“App 开屏弹窗信息骚扰用户问题回头看”“关于 App 违规调用通信录、位置信息以及开屏弹窗骚扰用户等问题回头看”“App 超范围索取权限、过度收集用户个人信息等问

111、题回头看”，其余 7 次则为常规通报，常规通报涉及的问题主要为：“欺骗误导用户下载 App”、“违规使用个人信息”“App 强制、频繁、过度索取权限”“超范围收集个人信息”“强制用户使用定向推送功能”“违规调用通讯录和地理位置权限”“开屏弹窗信息骚扰用户”等。在多项违法违规行为中，违规收集个人信息问题显得尤为突出，在历次通报中出现了 457 次，占比 43.2%；其次为 App 强制、频繁、过度索取权限问题，共被通报 228 次，占比为 21.6%；第三为违规使用个人信息问题，共被通报 91 次。2其中，涉及应用商店的问题分别为：应用分发平台上的 App 信息明示不到位、应用分发平台管理责任落

112、实不到位。在 2021 年第一季度检测中，腾讯应用宝、小米应用商店、OPPO 软件商店、华为应用市场和 vivo 应用商店发现问题数量分别占比14.22%、13.81%、12.80%、11.37%和 11.17%，存在上架审核不严格，存量问题清理不彻底，登记核验 APP 开发运营者信息不准确，误导用户下载等问题。1 参见南都个人信息保护研究中心：个人信息安全年度报告（2021）。2 参见南都个人信息保护研究中心：个人信息安全年度报告（2021）。序号通报时间通报批次通报内容通报数量12021 年 1 月 22 日2021 年第 1 批总第 10 批关于侵害用户权益行为的 App通报157 款2

113、2021 年 2 月 5 日2021 年第 2 批总第 11 批关于违规调用麦克风、通讯录、相册等权限侵害用户权益行为的 App 通报26 款32021 年 3 月 12 日2021 年第 3 批总第 12 批关于侵害用户权益行为的 App通报136 款42021 年 4 月 23 日2021 年第 4 批总第 13 批关于侵害用户权益行为的 App通报93 款52021 年 6 月 8 日2021 年第 5 批总第 14 批关于侵害用户权益行为的 App通报83 款执法篇043（2）下架通报2021 年，工信部针对违规通报中未按要求完成整改的 App 进行了下架处理。本年度，工信部共进行了

114、10 次下架通报，因未按要求完成整改被工信部下架的 App 共计 342 款。序号通报时间通报批次通报内容通报数量62021 年 7 月 19 日2021 年第 6 批总第 15 批关于侵害用户权益行为的 App通报71 款72021 年 7 月 28 日2021 年第 7 批总第 16 批关于 App 开屏弹窗信息骚扰用户问题“回头看”的通报14 款82021 年 7 月 19 日2021 年第 8 批总第 17 批关于 App 违规调用通信录、位置信息以及开屏弹窗骚扰用户等问题“回头看”的通报43 款92021 年 8 月 25 日2021 年第 9 批总第 18 批关于侵害用户权益行为

115、的 App通报210 款102021 年 9 月 23 日2021 年第 10 批总第 19 批关于侵害用户权益行为的 App通报51 款112021 年 11 月 3 日2021 年第 11 批总第 20 批关于 App 超范围索取权限、过度收集用户个人信息等问题“回头看”的通报38 款序号通报时间通报批次通报内容通报数量12021 年 1 月 19 日第一批下架通报37 款22021 年 2 月 3 日第二批下架通报12 款32021 年 3 月 3 日第三批下架通报10 款42021 年 4 月 6 日第四批下架通报53 款52021 年 5 月 13 日第五批下架通报39 款6202

116、1 年 7 月 12 日第六批下架通报18 款72021 年 8 月 25 日第七批下架通报67 款82021 年 10 月 15 日第八批下架通报96 款92021 年 5 月 13 日专题通报不同版本 App 中反复出现同类问题，被通报下架5 款102021 年 12 月 9 日专题通报针对“回头看”专项整治行动的下架通告5 款2021 年终盘点0442. 各省市通信管理局（1）违规通报序号通报部门通报时间通报通报数量1广东省通信管理局2021 年 4 月 23 日通报存在问题的应用软件名单45 款2广东省通信管理局2021 年 6 月 8 日通报存在问题的应用软件名单40 款3江苏省通信

117、管理局2021 年 6 月 8 日通报存在问题的应用软件名单3 款4上海市通信管理局2021 年 6 月 8 日通报存在问题的应用软件名单75 款5四川省通信管理局2021 年 6 月 8 日通报存在问题的应用软件名单54 款6天津市通信管理局2021 年 6 月 8 日通报存在问题的应用软件名单2 款7浙江省通信管理局2021 年 6 月 8 日通报存在问题的应用软件名单34 款8辽宁省通信管理局2021 年 7 月 19 日通报检查发现未完成整改的应用软件名单8 款9浙江省通信管理局2021 年 7 月 19 日通报检查发现未完成整改的应用软件名单39 款10广东省通信管理局2021 年

118、7 月 19 日通报检查发现未完成整改的应用软件名单16 款11四川省通信管理局2021 年 7 月 19 日通报检查发现未完成整改的应用软件名单10 款12宁夏回族自治区通信管理局2021 年 7 月 19 日通报检查发现未完成整改的应用软件名单1 款13北京市通信管理局2021 年 8 月 25 日通报存在问题的应用软件名单21 款14天津市通信管理局2021 年 8 月 25 日通报存在问题的应用软件名单12 款15内蒙古自治区通信管理局2021 年 8 月 25 日通报存在问题的应用软件名单6 款执法篇045序号通报部门通报时间通报通报数量16辽宁省通信管理局2021 年 8 月 25

119、日通报存在问题的应用软件名单6 款17上海市通信管理局2021 年 8 月 25 日通报存在问题的应用软件名单20 款18浙江省通信管理局2021 年 8 月 25 日通报存在问题的应用软件名单122 款19广东省通信管理局2021 年 8 月 25 日通报存在问题的应用软件名单14 款20四川省通信管理局2021 年 8 月 25 日通报存在问题的应用软件名单9 款21北京市通信管理局2021 年 9 月 23 日通报存在问题的应用软件名单16 款22上海市通信管理局2021 年 9 月 23 日通报存在问题的应用软件名单43 款23江苏省通信管理局2021 年 9 月 23 日通报存在问

120、题的应用软件名单3 款24浙江省通信管理2021 年 9 月 23 日通报存在问题的应用软件名单63 款25广东省通信管理局2021 年 9 月 23 日通报存在问题的应用软件名单128 款26四川省通信管理局2021 年 9 月 23 日通报存在问题的应用软件名单5 款27云南省通信管理局2021 年 9 月 23 日通报存在问题的应用软件名单9 款28广西省通信管理局2021 年 9 月 23 日通报存在问题的应用软件名单3 款29陕西通信管理局2021 年 9 月 23 日通报存在问题的应用软件名单15 款30上海市通信管理局2021 年 12 月 22日通报“回头看”仍存在问题的应用软

121、件及其系统名单 41 款31浙江省通信管理局2021 年 4 月 6 日下架通报7 款（2）下架通报2021 年终盘点046（三）公安部门国家计算机病毒应急处理中心系经公安部推荐，由原国信办于 2001 年批复成立。作为我国唯一负责计算机病毒应急处理的专门机构，其主要职责为快速发现和处置计算机病毒疫情于网络攻击事件，保卫我国计算机网络与重要信息系统的安全。自 2019 年四部委开展“App 违法违规收集个人信息专项行动”以来，国家计算机病毒应急处理中心运用大数据等新技术手段，建设 App 手机使用个人信息检测平台，对于违反网络安全法相关规定的 App 进行通报，并在通报中提醒广大手机用户谨慎

122、下载使用违法违规的移动 App。2021 年，国家计算机病毒应急处理中心进行了 11 次通报，共涉及 169 款 App，其中 11 月 11 日为电商购物类移动应用专题通报。在通报的违规行为中，“未向用户明示申请的全部隐私权限”为重灾区，近 90%被通报 App 存在该问题；其次为“未提供有效的更正、删除个人信息及注销用户账号功能，或注销用户账号设置不合理条件”，共有 64 款 App 存在该问题；除此之外，38 款 App 存在“App 在征得用户同意前就开始收集个人信息”，31 款 App 存在“未建立并公布个人信息安全投诉、举报渠序号通报部门通报时间通报内容通报数量1浙江省通信管理局2

123、021 年 4 月 6 日下架通报37 款2内蒙古自治区通信管理局2021 年 5 月 13 日下架通报3 款3安徽省通信管理局2021 年 5 月 13 日下架通报4 款4广东省通信管理局2021 年 5 月 13 日下架通报19 款5四川省通信管理局2021 年 5 月 13 日下架通报18 款6浙江省通信管理局2021 年 5 月 13 日下架通报2 款7上海市通信管理局2021 年 7 月 12 日下架通报11 款8安徽省通信管理局2021 年 7 月 12 日下架通报9 款9广东省通信管理局2021 年 7 月 12 日下架通报7 款10四川省通信管理局2021 年 7 月 12 日

124、下架通报3 款11辽宁省通信管理局2021 年 8 月 25 日下架通报4 款12上海市通信管理局2021 年 8 月 25 日下架通报22 款13浙江省通信管理局2021 年 8 月 25 日下架通报22 款14广东省通信管理局2021 年 8 月 25 日下架通报3 款15四川省通信管理局2021 年 8 月 25 日下架通报2 款16陕西省通信管理局2021 年 8 月 25 日下架通报4 款17安徽省通信管理局2021 年 8 月 25 日下架通报2 款执法篇047道，或未在承诺时限内受理并处理”问题。（四）消费者协会个人信息保护法生效后，为推动网络安全法和个人信息保护法等相关法律法规

125、和标准规范的落实，维护广大消费者个人信息权益，中国消费者协会组织开展了 App 账号注销及自动化推荐退订测评工作，并于 2021 年 12 月 14 日发布50 款 App 账号注销及自动化推荐退订测评报告。问题批次App中无隐私政策在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则，或以默认选择同意隐私政策等非明示方式征求用户同意未向用户明示申请的全部隐私权限App在征得用户同意前就开始收集个人信息未提供有效的更正、删除个人信息及注销用户账号功能，或注销用户账号设置不合理条件未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内受理并处理App向第三方提供个人信息未

126、做匿名化处理第一批次（2021年7月13日）/旁趣、iGO出行、好爸妈点读共3款开心学汉字、有问、法加、迈斯通英语等15款有问、觅马出行极速版、旁趣共3款有问、迈斯通英语、音乐壳等7款一元手游、居理买房等4款/第二批次（2021年7月21日）/生物狗、新妈新宝等15款漫斗纪元、普通话发音等5款生物狗、新妈新宝等11款生物狗、新妈新宝等6款/第三批次（2021年8月9日）防蹭网大师共1款/七彩天气预报、365跑腿网等13款叮叮易建、江淮汽车等5款叮叮易建、儿童学英语等6款风暴魔域2）共1款/第四批次（2021年8月24日）业主贝贝共1款创客云商共1款乐抓娃娃、小鱼网等12款日日煮、诗词大会飞花令

127、等3款乐抓娃娃、日日煮等8款诚美优选共1款 /第五批次（2021年9月9日）魔与道OL共1款辣选、无尽噩梦：诡医院共2款春播、辣选、淘安装等14款春播、辣选等6款辣选、魔与道OL共9款辣选、魔与道OL等4款/第六批次（2021年9月28日）/你定旅行、婚语共2款若途旅行、畅游+等16款若途旅行、嗨走旅行等6款车有料、MOO音乐等4款畅途+、图曰等4款房车生活家共1款第七批次（2021 年10月20日）/E充站、腾讯清理大师等12款二战风云2、车享家等3款E充站、京东读书等4款 E 充站、 SPACE等3款亲子周末、32号共2款第八批次（2021 年11月3日）/坚果云、最美天气等13款/鱼

128、耳语音、手心输入法等4款星途生活共1款一罐共1款第九批次（2021 年11月11日）/义乌购、阿里巴巴等11款一分钱共1款Cloudo棵朵共1款Cloudo棵朵、今天买买共2款多点共1款第十批次（2021 年11月27日）/趣出行共1款果星云市场、红布林等16款云习、趣出行等3款果星云市场、优易充等8款优易充、生意顺等3款动漫之家共1款第十一批次（2021 年12月20日）/哈啰出行、开卷等15款中原直销银行、驾考驾照准点学车等3款嘀一巴士、驾考驾照准点学车等6款基金从业资格考试题库、倒数纪念日共2款哈啰出行、58同城等3款合计3款（1.77%）9款（5.3%）152款(89.9%)38款(

129、22.48%)64款(37.87%)31款(18.34%)9款(5.3%)2021 年终盘点048此次测评将常见类型移动互联网应用程序必要个人信息范围规定所列 39 种常见 App 类型，区分为收集必要个人信息范围较广以及无需使用个人信息即可使用基本功能两个类别，并依照“吃住行游购”等与消费者日常生活关系密切的原则，基于 App 不同下载量，选取了网络约车类、即时通信类、网络支付类、网上购物类、餐饮外卖类、交通票务类、房屋租售类、用车服务类、网络直播类、在线影音类 10类，每类 5 款共 50 款 App 作为测评对象，测评内容为是否可以顺利注销 App 账号及退订自动化推荐两项内容。总体来看

130、，网络约车类、餐饮外卖类 App 存在较多问题，而测评的 5 款房屋租售类 App 则未发现问题。测评结果显示，在是否可以顺利注销 App 账号方面，50 款 App 中 20 款 App 存在问题，占总排查比例的 40%。主要问题包括：1）未注明注销条件；2）注销条件设置不合理；3）注销流程设置不合理；4）经人工审核方可注销，但人工审核存在无人受理、承诺时限过长（超过 15 个工作日）或者承诺时限不明的情况；5）无法通过 App 直接注销。该项测评的法律依据为电子商务法第二十四条和信息安全技术个人信息安全规范第 8.5 条。在自动化推荐退订测评方面，50 款 App 中有 5 款 App

131、存在不同程度的问题，占总排查比例的 10%。主要问题包括：1）App 未向用户提供关闭自动化推荐的方式；执法篇0492）App 内关闭自动化推荐的方式过于隐蔽。该项测评的法律依据为个人信息保护法第二十四条。 4行政处罚梳理相较于监管通报，行政处罚无疑更具威慑力和影响力。进入 2021 年，数据合规与个人信息保护领域的行政处罚，与此前相比最为明显的变化为，自央视“315” 晚会曝光科勒卫浴等通过无感人脸识别摄像头违法违规收集使用人脸信息后，人脸识别相关行政处罚显著增加，处罚对象涉及房地产公司、汽车销售公司、人脸识别摄像头厂商、商场店铺等。总体而言，行政处罚涉及到的违法违规行为包括违规处理人脸信息

132、、侵害消费者个人信息、侵害个人信息依法得到保护的权利、不履行网络安全保护义务、平台信息治理不当等。（一）人脸识别相关行政处罚案例1. 2021 年年度处罚案例汇总人脸识别相关行政处罚梳理（数据来源：威科先行数据库）处罚机构主要为市场监督管理部门处罚数量68 例典型违法行为在售楼处、门店等安装人脸识别摄像头，未向个人告知人脸信息处理规则，亦未取得个人同意，即收集、使用等处理人脸信息主要处罚措施责令改正罚款主要处罚依据中华人民共和国消费者权益保护法第二十九条第一款2021 年终盘点050人脸识别相关行政处罚梳理（数据来源：威科先行数据库）经营者收集、使用消费者个人信息，应当遵循合法、正当、必要

133、的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。中华人民共和国消费者权益保护法第五十六条经营者有下列情形之一，除承担相应的民事责任外，其他有关法律、法规对处罚机关和处罚方式有规定的，依照法律、法规的规定执行；法律、法规未作规定的，由工商行政管理部门或者其他有关行政部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款，没有违法所得的，处以五十万元以下的罚款；情节严重的，责令停业整顿、吊销营业执照：（九）侵害消费者

134、人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的。2. 部分典型案例序号日期当事人违法行为监管部门处罚内容12021.11.26上海小鹏汽车销售服务有限公司上海小鹏汽车销售服务有限公司在旗下 7 家门店安装人脸识别摄像设备，采集消费者面部识别数据，用于统计进店人数并分析男女比例、年龄等，并未经得消费者同意，也无明示、告知消费者收集、使用目的上海市徐汇区市场监督管理局违反消费者权益保护法第 29 条第 1款的规定。依据消费者权益保护法第 56 条第 1款第 9 项及行政处罚法第 32 条的规定，责令改正，并除以罚款 10 万元22021.9.30上

135、海悦筑房地产有限公司“国贸佘山原墅”地产项目售楼处安装了 3 路“海康人脸识别硬件”，即所谓的“人脸识别摄像头”。当客户进入售楼处后，人脸识别摄像头采集客户的人脸照片，保存至云上海市松江区市场监督管理局违反了侵害消费者权益行为处罚办法第十一条第一款第（一）项。依据中华人民共和国消费者权益保护法第五十六条第一执法篇051序号日期当事人违法行为监管部门处罚内容端，当此客户成交后，通过核验一体机，将人脸抓拍照片与身份证照片匹配，用于确认该客户来访售楼处时间，据此判定是否属于分销商成交，当事人据此向分销商结算佣金。当事人于佘山镇千新公路 88 弄的“国贸佘山原墅”地产项

136、目售楼处张贴了“温馨提示您已进入监控区”的标示信息，但该告知仅明示售楼处设有监控摄像头，没有告知消费者安装有人脸识别摄像头用于采集人脸信息，也没有征求消费者同意的过程，实际未获得消费者同意。同时当事人后续用于甄别是否分销商成交，将收集到的人脸信息用于人脸识别认证，也未经得消费者的同意。当事人采集消费者人脸信息未用于其它用途款第（九）项和中华人民共和国行政处罚法第二十八条第一款，责令改正，并除以罚款 25 万元32021.9.1（消息发布日期）苏州万店掌网络科技有限公司苏州万店掌网络科技有限公司经营人脸识别业务，销售万店掌会员识别分析仪及人脸识别服务。截至 2021 年 3 月，苏州

137、万店掌网络科技有限公司共计销售人脸识别服江苏省市场监管局（消息发布机关）当事人已将所有相关数据、云底库照片删除，万店掌 App 人脸识别模块下架。被处以罚款 50 万元2021 年终盘点052序号日期当事人违法行为监管部门处罚内容务 4110 点位，服务费金额共计 2435772.95 元。经核算，FRS 成本合计3100453.6 元，无违法所得42021.7.26科勒（中国）投资有限公司截至 2021 年 3 月 15 日，科勒（中国）投资有限公司在全国 222 家门店安装了 565 台由苏州万店掌网络科技有限公司提供的摄像设备，共抓取2202264 条人脸信息。上述

138、摄像设备自动抓取到店人员的人脸信息，并通过软件系统将收集到的人脸信息图片上传至苏州万店掌网络科技有限公司租用的阿里云服务器，以精准统计客流、制定销售政策。科勒（中国）投资有限公司在利用上述摄像设备收集消费者人脸信息时，并未取得消费者的明示或授权同意上海市静安区市场监督管理局违反消费者权益保护法第 29 条第1 款的规定。依据中华人民共和国消费者权益保护法第五十六条第一款第（九）项，责令改正，并处以罚款50万元52021.6.29青岛紫光药业有限公司安装具有人脸识别摄像机设备，未经消费者同意，收集消费者个人信息青岛市市场监督管理局依据中华人民共和国消

139、费者权益保护法第五十六条第（九）规定，处以警告，并罚款 1 万元（二）侵害消费者个人信息相关行政处罚案例1. 2021 年年度处罚案例汇总执法篇053侵害消费者个人信息相关行政处罚梳理（数据来源：威科先行数据库）处罚机构主要为市场监督管理部门、中国人民银行、银保监会处罚数量276 例典型违法行为违法收集消费者个人信息侵害消费者依法得到保护的个人信息权利主要处罚措施责令改正警告罚款主要处罚依据中华人民共和国消费者权益保护法第二十九条经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开

140、其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时，应当立即采取补救措施中华人民共和国消费者权益保护法第五十六条经营者有下列情形之一，除承担相应的民事责任外，其他有关法律、法规对处罚机关和处罚方式有规定的，依照法律、法规的规定执行；法律、法规未作规定的，由工商行政管理部门或者其他有关行政部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处以违法所得

141、一倍以上十倍以下的罚款，没有违法所得的，处以五十万元以下的罚款；情节严重的，责令停业整顿、吊销营业执照：（九）侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的。2. 部分典型案例序号日期当事人违法行为监管部门处罚内容12021.12.16（通报日期）华夏银行五、违规查询、存储、传输和使用个人客户信息，侵害消费者信息安全权。华夏银行未经客户授权，以“业务营销需要”“核对贷款资金入中国银保监会华夏银行上述违法违规行为，严重侵害消费者信息安全权等基2021 年终盘点054序号日期当事人违法行为监管部门处罚内容账情况”以及员工异常行为排查等为由，违规查询

142、个人客户储蓄存款交易信息。违规在公用互联网电脑存储以及通过互联网邮箱向合作方传输姓名、身份证号、银行账号、信贷记录等个人客户信息，存在信息泄露风险。信用卡中心向 1.99 万名已注销信用卡账户的客户致电营销保险产品，部分客户多次明确表示拒绝来电，该行仍持续向其电话营销本权利，中国银保监会已要求华夏银行进行整改22021.10.8上海思贤培训学校有限公司当事人为拓展幼儿英语培训业务，于 2020 年 1 月与上海XXXX 培训学校有限公司（已另案处理）、上海 XXXX 培训有限公司奉贤分公司（已另案处理）互相交换客户名单，上述客户名单包含姓名、手机号码等个人信息。随后，当事人安排销售人员使用

143、交换来的客户名单，通过单位座机向名单内人员拨打电话询问是否需要试听或报读其培训课程，进行电话营销活动。当事人收集、使用上述交换来的消费者个人信息未经消费者同意，也未向被收集人明示收集、使用信息的目的、方式和范围。截至案发，当事人通过上述方式获取消费者个人信息892条，对外泄露、非法向上述两家单位提供消费者个人信息 552 条上海市奉贤区市场监督管理局违反了中华人民共和国消费者权益保护法第二十九条和侵害消费者权益行为处罚办法第十一条第一款。根据侵害消费者权益行为处罚办法第十四条及中华人民共和国消费者权益保护法第五十六条第一款第（九）项，责令改正，并处以罚款 5 万元执法篇055序号日

144、期当事人违法行为监管部门处罚内容32021.9.29 上海中原物业顾问有限公司在该公司“上海中原研发部登录系统-新三级别市场”软件中的“潜在用户”模块中，有大量业主个人信息名单且该系统内潜在用户有跟踪记录，并对通话记录留有录音。经查，上述业主个人信息是由中原地产长年开展买卖租赁业务积累而成，或者由各门店业务员派单、驻守等方式获得后自己登记进去的。当事人在未获得业主授权情况下，擅自使用上述业主信息，通过电话方式向业主询问是否需要出租房屋上海市闵行区市场监督管理局当事人未经业主授权，擅自使用业主信息的行为涉嫌违反了中华人民共和国消费者权益保护法第二十九条第一款的规定，构成了侵害消费者个

145、人信息保护权的行为。依据中华人民共和国消费者权益保护法第五十六条第一款第（九）项，责令改正，并处以罚款 5 万元（三）其他侵害个人信息权益的相关行政处罚案例1. 2021 年年度处罚案例汇总侵害个人信息依法得到保护的权利相关行政处罚梳理（数据来源：威科先行数据库）处罚机构主要为公安部门处罚数量595 例典型违法行为非法获取、出售、向他人提供个人信息App 首次运行未经用户阅读同意隐私政策即开始收集个人信息未逐一列出 App 收集使用个人信息的目的、方式、范围等实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围2021 年终盘点056侵害个人信息依法得到保护的权利相关行

146、政处罚梳理（数据来源：威科先行数据库）未在隐私政策等公示文本中逐一列明 App 所集成第三方SDK收集使用个人信息的目的、方式和范围收集、使用个人敏感信息时，未同步告知用户其目的未提供有效的注销账号功能主要处罚措施责令改正警告罚款责令停产停业主要处罚依据中华人民共和国网络安全法第二十二条第三款网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。中华人民共和国网络安全法第四十一条网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围

147、，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。中华人民共和国网络安全法第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。中华人

148、民共和国网络安全法第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。中华人民共和国网络安全法第六十四条网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、执法篇057侵害个人信息依法得到保护的权利相关行政处罚梳理（数据来源：威科先行数据库）处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可

149、以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。2. 部分典型案例序号日期当事人违法行为监管部门处罚内容12021.12.7深圳市迅龙创威网络技术有限公司深圳市公安局网警支队根据技术检测发现，深圳市迅龙创威网络技术有限公司旗下一款 App“那一剑江湖”存在以下违规行为：1.App 首次运行未经用户阅读同意隐私政策，就申请读取电话状态和访问外部存储权限；2.未提供有

150、效的注销账号功能，且在隐私政策和相关界面上没有注销指引深圳市公安局深圳市迅龙创威网络技术有限公司作为网络运营者已构成侵害个人信息的违法行为。根据中华人民共和国网络安全法第二十二条第三款、第四十一条第一款、第六十四条第一款之规定，给予警告，并责令限期改正，整改期间关闭IP（106.75.241.248）22021.12.6深圳市柒柒互动网络有限公司旗下“恐怖躲猫猫 2”App未在隐私政策等公示文本中逐一列明 App 所集成第三方 SDK 收集使用个人信息的目的、方式和范围；App 首次运行未经用户阅读同意隐私政策，深圳市公安局根据中华人民共和国网络安全法第二十二条、第四十一条、第

151、六十四条之规定，给予警告，责令改正2021 年终盘点058序号日期当事人违法行为监管部门处罚内容就收集应用列表信息，存在未落实安全技术保护措施的违法行为32021.12.6龙港市一哥管家信息技术有限公司名下一哥管家 App 存在如下问题：1. 未逐一列出 App 收集使用个人信息的目的、方式、范围等2. 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围浙江省龙港市公安局城中派出所已构成未按规定履行个人信息保护义务。根据中华人民共和国网络安全法第二十二条第三款、第四十一条、第四十二条、第四十三条和第六十四条第一款之规定，决定给予警告42021.11.18深圳新蝶科技有限公司

152、旗下一款 App“体重小本”存在以下违规行为：1.未在隐私政策等公示文本中逐一列明 App 所集成第三方 SDK 收集使用个人信息的目的、方式和范围；2.征得用户同意前就开始收集个人信息MAC地址、 IMEI 、AndroidID 和应用列表信息；3.未建立并公布个人信息安全投诉、举报渠道；4.存在应用数据任意备份风险；5.存在明文数字证书风险深圳市公安局根据中华人民共和国网络安全法第六十四条第一款之规定，责令 7 日内改正并处警告52021.11.11深圳市晓涛技术有限公司旗下一款 App“国际象棋教学”存在以下违规行为：1.征得用户同意前就开始收集个人信息 And

153、roidID和应用列表信息；2.App隐私政策存在个性化推深圳市公安局根据中华人民共和国网络安全法第六十条第二项、第六十四条第一款之规定，给予警告执法篇059序号日期当事人违法行为监管部门处罚内容荐相关内容，明示存在定向推送功能，但未见提供退出或关闭个性化展示模式的选项； 3.存在 Janus签名机制漏洞；4.存在应用数据任意备份风险62021. 8.6陆 xx自 2020 年 4 月至 2020 年 6 月期间，利用在 xxx营业厅工作的便利，以每单5元的价格私自将客户手机信息提供给他人，并将客户手机收到的验证码提供给对方用于注册网络平台账户，非法获利25 元清江浦分局淮海路派出所陆

154、xx 的行为已构成非法出售个人信息，根据中华人民共和国网络安全法第四十四条、第六十四条之规定，没收违法所得 25 元，并处罚款50 元（四）不履行网络安全保护义务相关行政处罚案例1. 2021 年年度处罚案例汇总不履行网络安全保护义务相关行政处罚梳理（数据来源：威科先行数据库）处罚机构主要为公安部门处罚数量1504 例典型违法行为未确定网络安全负责人未按规定制定内部安全管理制度和操作规程未落实网络安全管理制度和操作规程未安装日志审计系统，未留存六个月网络日志未制定网络安全事件应急预案没有网络安全应急预案台账未进行三级信息系统等级测评存在可利用的高危安全漏洞主要处罚措施责令改正警告202

155、1 年终盘点060不履行网络安全保护义务相关行政处罚梳理（数据来源：威科先行数据库）责令停产停业主要处罚依据中华人民共和国网络安全法第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要

156、数据备份和加密等措施；（五）法律、行政法规规定的其他义务。中华人民共和国网络安全法第二十五条网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。中华人民共和国网络安全法第三十四条除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；

157、（四）制定网络安全事件应急预案，并定期进行演练；（五）法律、行政法规规定的其他义务。中华人民共和国网络安全法第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，执法篇061不履行网络安全保护义务相关行政处罚梳理（数据来源：威科先行数据库）给予警告；拒不改正或者导致危害网络安全等后

158、果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。2. 部分典型案例序号日期当事人违法行为监管部门处罚内容12021.12.22海宁美奥产业用布有限公司对其运营的网站自 2016年以来，管理疏忽，未确定网络安全负责人，未履行网络安全保护义务海宁市公安局根据公安机关互联网安全监督检查规定第二十一条第一款第（一）项，中华人民共和国网络安全法第五十九条第一款之规定，给予警告22021.12.21海宁市彩虹照明电器有限公司对其开设的网站疏于管理，未落实网络安全管理制度和操作规程海宁市公安局根据公安机关互联网安全监督检查规定第二十一条第一款第（一）项、中华

159、人民共和国网络安全法第五十九条第一款之规定，给予警告32021.12.17慈溪市海汇房地产经济有限公司公司内路由器未安装日志审计系统，未留存六个月网络日志浙江省慈溪市公安局古塘派出所根据中华人民共和国网络安全法第二十一条、第二十五条、第五十九条第一款之规定，给予警告，并责令其在三十日内改正42021.12.17嘉善京牛网络在使用互联网进行业务推广时，未按规定制定内部安全管理制度和操作浙江省嘉善县公安根据中华人民共和国网络安全法第五2021 年终盘点062序号日期当事人违法行为监管部门处罚内容科技有限公司规程，确定网络安全负责人，落实网络安全保护责任局天凝派出所十九条第一款之规定

160、，给予警告52021.12.17兰溪市三维艺术装饰构件有限公司作为网络运营者，没有网络安全应急预案台账，属于不履行网络安全保护义务兰溪市公安局香溪派出所根据中华人民共和国网络安全法第二十一条、第二十五条、第五十九条第一款之规定，给予警告62021.12.16施益方兰溪平民医药连锁有限公司网站负责人施益方（域名）未制定网络安全管理制度和操作规程，未制定网络安全事件应急预案兰溪市公安局云山派出所根据中华人民共和国网络安全法第二十一条、第二十五条、第五十九条第一款之规定，给予施益方警告72021.11.9杭州飞象企服网络技术有限公司飞象企服企业服务系统于 2020 年 9 月 1

161、0 进行信息系统三级的等级保护测评，根据信息安全等级保护管理办法第十四条规定，三级信息系统应当每年至少进行一次等级测评，本年度未进行三级信息系统等级测评杭州市公安局西湖区分局根据中华人民共和国网络安全法第二十一条、第二十五条、第五十九条第一款之规定，给予警告，并责令立即改正82021.12.6中兴保险经纪有限公司网络系统存在可利用的高危安全漏洞深圳市公安局根据中华人民共和国网络安全法第二十五条、第五十九条之规定，给予警告的行政处罚，并责令限期七日内改正。整改期间关闭 1 个 IP（106.53.199.217）（五）平台信息治理相关行政处罚案例执法篇0631. 2021 年

162、年度处罚案例汇总平台信息治理相关行政处罚梳理（数据来源：威科先行数据库）处罚机构主要为公安部门处罚数量59 例典型违法行为平台屡次出现法律、法规禁止发布或者传输的信息主要处罚措施责令改正罚款主要处罚依据中华人民共和国网络安全法第四十七条网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。中华人民共和国网络安全法第六十八条网络运营者违反本法第四十七条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改

163、正，给予警告，没收违法所得；拒不改正或者情节严重的，处十万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。电子信息发送服务提供者、应用软件下载服务提供者，不履行本法第四十八条第二款规定的安全管理义务的，依照前款规定处罚。2. 部分典型案例序号日期当事人违法行为监管部门监管措施及处罚内容12021.12.20（消息发布日期）知乎知乎网多次出现法律法规禁止发布或者传输的信息等问题北京市互联网信息办公室约谈知乎网负责人,依据中华人民共和国网络安全法，责令其立即整改，严肃处理相关

164、责任人。北京市互联网信息办公室对知乎网违法行为进行行政处罚立案2021 年终盘点064序号日期当事人违法行为监管部门监管措施及处罚内容22021.12.14（消息发布日期）新浪微博近期新浪微博及其账号屡次出现法律、法规禁止发布或者传输的信息，情节严重国家互联网信息办公室、北京市互联网信息办公室约谈新浪微博主要负责人、总编辑,依据中华人民共和国网络安全法中华人民共和国未成年人保护法等法律法规，责令其立即整改，严肃处理相关责任人。北京市互联网信息办公室对新浪微博运营主体北京微梦创科网络技术有限公司依法予以共计 300 万元罚款的行政处罚。2021 年 1 月至 11 月，国家互联网信息办公室

165、指导北京市互联网信息办公室，对新浪微博实施 44 次处置处罚，多次予以顶格 50 万元罚款，共累计罚款 1430 万元32021.12.1（消息发布日期）豆瓣网近期豆瓣网及其账号屡次出现法律、法规禁止发布或者传输的信息，情节严重国家互联网信息办公室、北京市互联网信息办公室约谈豆瓣网主要负责人、总编辑，依据中华人民共和国网络安全法等法律法规，责令其立即整改，严肃处理相关责任人。北京市互联网信息办公室即对豆瓣网运营主体北京豆网科技有限公司依法予以共计150 万元罚款的行政处罚。2021 年 1 月至 11 月，国家互联网信息办公室指导北京市互联网信息办公室，对豆瓣网实施 20 次处置处罚，

166、多次予以顶格 50 万元罚款，共累计罚款 900 万元42021.10.15（消息发布日期）金山毒霸“金山毒霸”应用软件弹窗推送诋北京市互联网信息办公室约谈“金山毒霸”主办方北京猎豹网络科技有限公司负责人，责令立即停止违法行为，执法篇065序号日期当事人违法行为监管部门监管措施及处罚内容毁革命烈士邱少云内容暂停弹窗信息推送功能 30日，进行全面深入整改。北京市网信办依据中华人民共和国英雄烈士保护法中华人民共和国网络安全法对“金山毒霸”应用软件违法行为进行行政立案处罚5执法动态简评通过上述梳理，不难看出，专项整治行动持续推进，通报、下架、处罚多措并举；日常行政监管态势不减，罚款、警告、责令

167、改正多管齐下。若分而论之，则：第一，从监管依据看，网络安全法消费者权益保护法依然是数据合规监管的主要法律依据，新近施行的数据安全法个人信息保护法尚在“磨刀霍霍”。第二，从监管分工看，在中央部委层面，传统的“四轮驱动” （网信、工信、公安、市监）依然是数据合规监管的主力军，行业主管部门（金融等）亦在持续发力；在地区管辖层面，各部委在地方的分支机构“争先恐后”，纷纷“投身”本地区的数据合规监管。可谓纵横交错、各有分工，构织出广泛、严密而坚实的监管网络。第三，从监管对象看，互联网行业依然是“重灾区”，但其他行业“隔岸观火”的时代已然一去不复返，各行各业都在面临着数据合规的强监管，稍有不慎，影

168、响的不仅仅是业务的正常运营，还可能直接危机公司的声誉、辛苦积累的行业地位与优势。第四，从监管行为看，违法违规收集、使用、对外提供个人信息行为依然面临重点监管，而违法违规处理人脸信息行为、网络安全审查成为 2021 年度新晋监管重点，特别是后者引起的示范效应、行业震荡和全民热议远超想象。第五，从监管措施看，约谈、通报、下架、罚款、警告、责令改正依然最为常用，而从滴滴等网络安全审查和部分处罚案例中可以看出，App 直接下架、责令停止新用户注册、整改期间责令关闭网站等更为严厉的监管措施和法律责任已然在个案中予以施行，并呈增加之势。可以说，数据合规监管已步入新阶段，对于行业健康发展而言可谓幸事，但

169、欣喜之余，亦有问题需要关注与思考：“全覆盖”的监管体系必然涉及“多头监管”问题，“九龙治水”方式对监管主体和2021 年终盘点066被监管对象而言均非易事。各部门、各地区在执法尺度及标准上的差异，一定程度上影响到执法的稳定性和可预期性，加大监管主体之间的沟通成本。此外，各监管主体下发的各类文件，涵盖法律法规、部门规章、规范性文件、标准指南或其他文件，或具有强制性效力，或仅具有指导性意义，但在实务中却均可成为监管主体治理活动的观点来源，导致被监管对象合规和创新成本提升。正如中国信息通信研究院高级业务主管李雪妮在发布2021 数据安全行业调研报告时所述，“我们在调研当中发现，有我们在调研当中发现，

170、有59.6%的受访企业认为数据安全建设面临的受访企业认为数据安全建设面临最大挑战是源自于对监管要求的不了解，这也说明我们监管的要求在最大挑战是源自于对监管要求的不了解，这也说明我们监管的要求在落地实施过程落地实施过程当中还面临着很多的困难。当中还面临着很多的困难。”庞大的监管机器如何启动及协调，进而引导数据合规监管进入常规化、有序化，仍有待观察与实践优化。司法篇067三、司法篇除了密集的立法、执法活动，在司法领域无论是司法解释还是司法案例，也都呈现出日渐活跃的趋势。最高人民法院在 2021 年初发布的工作报告中就曾多次专门提到个人信息保护的案件，包括“审理手机软件侵害用户个人信息、人脸识别纠

171、纷等案件，加强个人信息保护，维护数据安全”“审理进口冻虾万名消费者信息案，禁止泄露公民个人信息”“依法审理陈文雄特大跨境电信诈骗、王艾买卖他人社交平台账号等案件，严惩侵犯公民财产和公民个人信息的犯罪”等，足见司法机关对个人信息保护的关注度。1个人信息保护相关司法解释简评在个人信息保护法出台后，最高人民法院曾对外表示正在制定有关个人信息保护、人格权侵害禁令等司法解释。考虑到个人信息保护法于 2021 年 11 月1 日起才正式实施，相关司法解释目前尚未出台。在此之前，但最高院于 2021 年 7月 27 日发布的最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定

172、（以下简称“人脸识别司法解释”）毫无疑问是个人信息保护领域至为关键的一环，值得细细品味。自今年中央广播电视总台 315 晚会曝光苏州万店掌违规使用人脸识别技术后，最高人民法院就迅速征集人脸识别的相关案例与意见，短短 4 个多月后，就正式发布了人脸识别司法解释，这样的制定速度本身就在一定程度上说明了该部司法解释的特殊地位。站在 2021 年末再次回顾这部一共十六条的司法解释，愈发能领悟其所发挥的过渡意义与价值，此处简要提及五点。（一）单独同意的确立在人脸识别司法解释出台前，GB/T 35273-2020 信息安全技术个人信息安全规范等业界重要参考文件中仅使用“授权同意”“明示同意”等措辞，而人

173、脸识别司法解释的出台并施行，则以生效法律文件的地位确立“单独同意”这一同意要件。（二）经营、公共场所的例举在个人信息保护领域，人脸识别司法解释创设性列举了宾馆、商场、银行、2021 年终盘点068车站、机场、体育场馆、娱乐场所等经营场所、公共场所，对于在这些场所中使用人脸识别技术进行人脸验证、辨识或者分析的行为作出了规制。这一例举式规定虽然未在随后的个人信息保护法中得到复现，但其对地方法规产生了影响，如上海市数据条例就对此作了延伸规定，将经营、公共场所进一步区分为商场、超市、公园、景区、公共文化体育场馆、宾馆等公共场所，以及居住小区、商务楼宇等区域。（三）使用人脸识别进行验证的限制人脸识别司

174、法解释专门在第十条规定，物业服务企业以人脸识别作为出入验证方式的，应当提供其他合理验证方式。这似乎是对杭州野生动物园案的后续反思，也在一定程度上对其后立法产生影响。例如，上海市数据条例第二十三条第三款规定，公共场所或者区域不得以图像采集、个人身份识别技术作为出入该场所或者区域的唯一验证方式，此外网络数据安全管理条例（征求意见稿）第二十五条又进一步将人脸识别验证的限制扩张到所有场景，即数据处理者利用生物特征进行个人身份认证的，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式。（四）死者近亲属的权利行使人脸识别司法解释已经关注到死者近亲属在个人信息侵权纠纷中的权益问题，但受限

175、于当时的生效法律框架，其请求权基础还是民法典第九百九十四条关于死者姓名、肖像、名誉、荣誉、隐私、遗体等权益受侵害的规定。个人信息保护法从二审稿开始关注死者个人信息权益保护的问题，在三审稿中及最终生效稿中也对死者个人信息权益保护的条款进行了较大调整与限制。（五）信息处理者对合规性的举证责任此前实务界对于个人信息侵权纠纷类案件应当如何分配举证责任的问题存在较大的争议，人脸识别司法解释则在第六条正式确立了信息处理者应当对其处理活动具有合法性基础或具有免责事由进行证明的举证义务。需要注意的是，这一规定并不能简单理解为举证责任倒置，个人对侵权行为、侵权结果、因果关系的举证义务仍未被免除。这一举证责任分担

176、的规定也被个人信息保护法所采纳，该法第六十九条规定了信息处理者需要承担其不具有过错的举证责任。除人脸识别司法解释以外，最高人民法院最高人民检察院公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见（二）最高人民法院关于审理旅游纠纷案件适用法律若干问题的规定等司法解释亦部分涉及个人信息侵司法篇069权、犯罪的处理事宜，但因其均为引致条款，此处不多赘述。2个人信息保护典型案例简评个人信息保护相关的司法案例同样层出不穷。我们以 App 为切入点，检索了威科先行数据库中相关民事裁判文书的数量，可以看到同时包含“App”“个人信息”这两个关键词的裁判文书数量在近三年中呈现逐年翻倍的趋势。（一

177、）用户端提起的相关诉讼在“个人信息保护纠纷”这一新案由下，截至 2021 年 12 月 26 日，我们检索到 17份用户端提起相关诉讼的生效判决。我们精选本年度如下案例，并归纳出相关主题以供呈现，虽然其社会影响力不如此前被广泛报道的杭州野生动物园案、微信读书案等案例，但作为了解司法裁判观点的路径，仍具有参考价值。1. 关于举证责任分配在王某某与北京微播视界科技有限公司网络侵权责任纠纷一案中，原告因其于2019 年 5 月 21 日 14:00 设置了“不允许通过通讯录搜到本人”功能但其账号仍能被搜索关注故而诉请被告停止侵权、赔偿损失，被告则简单以“原告应对其主张的事实应承担举证责任，且被告无法

178、查到原告当时是否进行了隐私设置”进行抗辩。北京互联网法院一审认为：“抖音平台作为网络服务提供者，兼具社交媒体平台和信息存储空间的性质，其用户包括自然人用户和法人用户。对于自然人用户而言，对于自然人用户而言，由于对他人网络侵权行为的预见能力和存证能力有限，不应苛以过高的举证义务，由于对他人网络侵权行为的预见能力和存证能力有限，不应苛以过高的举证义务，要求其对被控侵权行为相关的所有操作流程进行存证留痕。网络用户主张网络服务要求其对被控侵权行为相关的所有操作流程进行存证留痕。网络用户主张网络服务2021 年终盘点070提供者侵害其隐私权的，应提交初步证据予以证明。提供者侵害其隐私权的，应提交初步

179、证据予以证明。本案中，被告作为抖音被告作为抖音APP的的运营者，与网络用户建立网络服务合同关系，通过设置运营者，与网络用户建立网络服务合同关系，通过设置“隐私设置隐私设置”等具体版块和功等具体版块和功能履行合同义务，理应知晓用户进行上述设置或操作产生的法律后果，对用户设置、能履行合同义务，理应知晓用户进行上述设置或操作产生的法律后果，对用户设置、选择、变更的过程或结果，应留存相应记录以供核实。且根据在案证据显示，至原选择、变更的过程或结果，应留存相应记录以供核实。且根据在案证据显示，至原告提起诉讼及本案庭审之日，上述信息记录尚属于法定合理留存期间。此外，根据告提起诉讼及本案庭审之日，上

180、述信息记录尚属于法定合理留存期间。此外，根据被告提供的用户协议，其作为抖音账号的所有者和用户数据的持有者，对用户被告提供的用户协议，其作为抖音账号的所有者和用户数据的持有者，对用户“隐私隐私设置设置”的具体情况和数据具有举证的可能性。被告对原告进行的具体情况和数据具有举证的可能性。被告对原告进行“隐私设置隐私设置”的结果本身的结果本身无异议，但对操作的具体情况及时间提出质疑，且未提交相反证据。无异议，但对操作的具体情况及时间提出质疑，且未提交相反证据。”前面提到，人脸识别司法解释以及个人信息保护法将过错的证明责任施加于个人信息处理者，而该案例进一步借鉴最高人民法院于 2019 年 12

181、月 25 日发布的最高人民法院关于民事诉讼证据的若干规定，即“一方当事人控制证据无正当理由拒不提交，对待证事实负有举证责任的当事人主张该证据的内容不利于控制人的，人民法院可以认定该主张成立”，一定程度上将侵权行为事实的证明责任也施加于个人信息处理者。2. 关于“不同意不给用”在杜某与北京智者天下科技有限公司网络服务合同纠纷一案中，原告以不同意隐私政策不给用为由，认为被告强制原告同意其发布的隐私政策、违法收集原告个人信息、侵害了原告的合法权益，诉请确认协议不成立并删除相关个人信息。北京互联网法院一审认为：“被告通过对相关条款设置弹窗、加黑等方式进行了被告通过对相关条款设置弹窗、加黑等方式进行了

182、提示，并对相关条款内容进行了说明，应认定被告已履行了提示或者说明义务。提示，并对相关条款内容进行了说明，应认定被告已履行了提示或者说明义务。即使能够查实原告进行了多次否定的操作，因其最终选择了即使能够查实原告进行了多次否定的操作，因其最终选择了“同意同意”，已经符合了承，已经符合了承诺的形式要件，并不能产生否认相关条款成立的法律效果。诺的形式要件，并不能产生否认相关条款成立的法律效果。”虽然法院以此驳回了原告的诉请，但在判决书中亦提到：“本院虽然未支持原告的诉讼请求，但根据查明的事实，被告在经营过程中应当遵循合法、正当、被告在经营过程中应当遵循合法、正当、必要的原则收集和使用用户的个人必要的原

183、则收集和使用用户的个人信息，不得收集与其提供的服务无关的个人信息，亦不得因用户不同意收集非必要信息，不得收集与其提供的服务无关的个人信息，亦不得因用户不同意收集非必要的个人信息而拒绝提供基本功能服务。被告在用户拒绝同意涉案相关条款时，仅向的个人信息而拒绝提供基本功能服务。被告在用户拒绝同意涉案相关条款时，仅向用户提供游客身份浏览相关网站内容等服务，而未提供用户以真实身份的接受上述用户提供游客身份浏览相关网站内容等服务，而未提供用户以真实身份的接受上述服务的选项，未给用户一定期限内作出选择的缓冲期，亦未说明此种设计的合理理服务的选项，未给用户一定期限内作出选择的缓冲期，亦未说明此种设计的合理理由

184、；在用户拒绝同意涉案条款时，虽多次提示同意涉案条款的必要性，但未设置包由；在用户拒绝同意涉案条款时，虽多次提示同意涉案条款的必要性，但未设置包括解除合同在内的选项供用户选择，客观上造成合同长期处于不稳定状态，可能损括解除合同在内的选项供用户选择，客观上造成合同长期处于不稳定状态，可能损害用户基于履行合同而享有的相应权利。害用户基于履行合同而享有的相应权利。被告作为平台经营者应进一步完善相应规则，提供优质的网络服务，保障广大网络用户权益，促进产业健康规范发展。”上述案例可以看出，虽然司法中关于强制授权、捆绑授权等行为的效力问题与司法篇071监管执法的尺度之间尚存在差异，但两者的差异正在逐渐缩小，

185、随着未来个人信息保护法配套司法解释的进一步出台，此类“不同意不给用”的业界通行做法可能迎来司法的否定评价。3. 关于个人信息/隐私边界在王某某诉深圳市腾讯计算机系统有限公司网络侵权责任纠纷一案中，原告主张其通过微信登录“微视”App 后，微视未经授权即获取了原告好友信息并向原告推送微信好友发布的视频。对此深圳南山法院一审认为，原告所主张的性别、地区和微信好友关系三类信息均形成于其使用微信软件的过程中，在一定范围内已公开，即上述信息已被包含软件运营商在内的相关主体所知悉。性别和地区不属于原告隐性别和地区不属于原告隐私，好友关系不包含原告私密关系，他人无法因此对其人格造成负面评价，故微信私，好友关

186、系不包含原告私密关系，他人无法因此对其人格造成负面评价，故微信好友关系也不属于原告隐私好友关系也不属于原告隐私。值得注意的是，此前北京互联网法院在微信读书案中作出过与深圳南山法院不完全一致的判决，认为“微信好友上承载的社会关系，可能发展为几乎全部社会关系微信好友上承载的社会关系，可能发展为几乎全部社会关系资源，因此好友列表的私密性因人、因具体关系而有所不同，不同用户对好友资源，因此好友列表的私密性因人、因具体关系而有所不同，不同用户对好友关系关系的具体处理场景下的隐私期待也可能存在不同。的具体处理场景下的隐私期待也可能存在不同。”“在未明确告知用户的情况下，网在未明确告知用户的情况下，网络服务

187、者在不同应用中迁移好友关系不符合一般用户的合理预期，向未主动关注的络服务者在不同应用中迁移好友关系不符合一般用户的合理预期，向未主动关注的好友默认公开读书信息亦不符合一般用户的合理预期。好友默认公开读书信息亦不符合一般用户的合理预期。”有关个人信息、隐私的边界，是每一个个人信息保护纠纷案件中都会涉及的问题，法院通常认为个人信息的核心特点为“可识别性”，既包括对个体身份信息的识别，也包括对个体特征的识别。判断是否属于个人信息，应考虑两条路径，一为识别路径，即从信息到个人，由信息本身的特殊性识别出特定自然人，识别个人的信息可以是单独的信息，也可以是信息组合；二为关联路径，即从个人到信息，如已知特定

188、自然人，则在该特定自然人活动中产生的信息即为个人信息。通过任一路径识别出的即构成个人信息。而隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息，对于个人信息中的私密信息，同时适用有关隐私权的规定。4. 关于查阅、复制权有关用户请求查阅、复制其个人信息的案例正在逐步增多，其中广受关注的是广州互联网法院正在审理的唯品会一案。考虑到个人信息保护法对个人信息采取了极为广泛的定义，在向消费者提供个人信息查阅、复制功能的过程中如何兼顾、平衡双方的利益是实践中的一大难点。2021 年终盘点072目前该案件尚在审理中，但庭审过程中所涉及的查阅复制权的法律属性（包括可诉性）、个人信息范

189、围、可查阅个人信息的范围（期限、种类等）与方式、最小必要范围与合理使用情形等焦点问题相信会成为所有个人信息处理者在此类诉讼中都将面临的难点。5. 关于雇员信息处理在潘某某诉贵州仟佰策文化传媒有限公司及袁某某个人信息保护纠纷一案中，原告以被告袁某某在微信朋友圈发布由公司作出的人事变动告知函，其上不当列明了原告姓名、身份证号码信息为由，要求两被告赔礼道歉、赔偿损失。对此贵阳观山湖法院一审判决认为“原告从仟佰策公司离职后，公司作出人事变动告知函，公司作出人事变动告知函，系用人单位在发生人事变动后的正常工作程序，并未侵犯原告的合法权益系用人单位在发生人事变动后的正常工作程序，并未侵犯原告的合法权益。且

190、袁袁某某某某在微信朋友圈发布公司人事变动告知函的行为，没有证据证明系公司授权行为在微信朋友圈发布公司人事变动告知函的行为，没有证据证明系公司授权行为，故仟佰策公司对袁某某的个人行为不应承担责任。”“袁某某作为接替原告工作的人员，将该人事变动告知函在其朋友圈进行发布已超过了必要的限度，且该函件载明将该人事变动告知函在其朋友圈进行发布已超过了必要的限度，且该函件载明了原告的公民身份信息，侵犯了原告的个人信息了原告的公民身份信息，侵犯了原告的个人信息，故本院对于原告要求袁某某通过其微信朋友圈赔礼道歉的请求，依法予以支持。”本案一定程度上覆盖了离职雇员信息处理的部分场景，但也需要关注到在个人信息保护法

191、生效后，如何进一步理解第十三条规定的“按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”尚需更多的案例予以说明。（二）检察院提起的公益诉讼最高人民检察院 2020 年 9 月出台关于积极稳妥拓展公益诉讼案件范围的指导意见，明确将个人信息保护作为网络侵害领域的办案重点，并曾于 2021 年 4 月 22日发布 11 起检察机关个人信息保护公益诉讼典型案例，包括：（1）江西省南昌市人民检察院督促整治手机 APP 侵害公民个人信息行政公益诉讼案；（2）浙江省温州市鹿城区人民检察院督促保护就诊者个人信息行政公益诉讼案；（3）甘肃省平凉市人民检察院督促整治快递单泄露公民个人信息行政

192、公益诉讼案；（4）江苏省无锡市人民检察院督促保护学生个人信息行政公益诉讼案；（5）江西省乐安县人民检察院督促规范政府信息公开行政公益诉讼案；（6）河南省濮阳市华龙区人民检察院督促整治装饰装修行业泄露公民个人信息行政公益诉讼案；（7）浙江省杭州市余杭区人民检察院诉某网络科技有限公司侵害公民个人信息民事公益诉讼案；（8）河北省保定市人民检察院诉李某侵害公民个人信息民事公益诉讼案；（9）上海市宝山区人民检察院诉 H 科技有限公司、韩某某等人侵犯公民个人信息刑事附带民事公益诉讼案；司法篇073（10）贵州省安顺市西秀区人民检察院诉熊某某等人侵犯公民个人信息刑事附带民事公益诉讼案；（11）广东省广宁县人

193、民检察院诉谭某某等人侵犯公民个人信息刑事附带民事公益诉讼案。上述案例涵盖了向行政机构发出诉前检察建议要求对相关侵害个人信息权益的行为进行监管处罚、向相关个人信息处理者发出社会治理检察建议要求加强个人信息保护、对行政机关履行政府信息公开职能时泄露公民个人信息的情形制发诉前检察建议督促整改、对信息处理者的侵权行为依法提起民事公益诉讼要求侵权者承担侵权责任、在个人信息类刑事案件中附带提起民事公益诉讼等多种形式，一定程度上也弥补了监管执法过程中的空缺。除此之外，在个人信息保护法出台后，最高人民检察院也下发了关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知，规范相关公益诉讼案件办理，切实

194、履行好公益诉讼检察的法定职责，各地检察院也陆续开始启动个人信息保护公益诉讼的相关行动。2021 年终盘点074四、展望篇12022 年我们将迎来什么？回首 2021，数据合规与个人信息保护的立法、执法、司法活动已乱花渐欲迷人眼；展望 2022，不知能否迎来柳暗花明又一村。无论如何，在即将到来的 2022 年，我们会看到：配套立法将不断出台与优化，为数据合规执法、司法带来更加细化和完善的依据数据合规监管热度、力度与频率，毋庸置疑，只增不减各部门、各地区执法尺度和标准的统一问题，虽无法一蹴而就，但定会有所改善翘首以盼的滴滴等网络安全审查结果，终将面世，引起新一轮热议并产生深远影响津津乐道的数安、个

195、保顶格处罚，可能落地，但何时、何地、“花落谁家”，我们拭目以待司法案例的不断增多将促进相关司法解释的出台，我们有望见到更多关于格式条款、管辖条款、不被支持的同意、捆绑授权、大数据杀熟等热门话题的司法解释与典型案例公益诉讼也将成为另一亮点，就检察院而言，根据关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知，可能聚焦于“生物识别、宗教信仰、特殊身份、医疗健康、金融账号、行踪轨迹等敏感个人信息；儿童、妇女、残疾人、老年人、军人等特殊群体的个人信息；教育、医疗、就业、养老、消费等重点领域处理的个人信息，以及处理 100 万人以上的大规模个人信息；对因时间、空间等联结形成的特定对象的

196、个人信息。 ”同时根据个人信息保护法第七十条的规定，法律规定的消费者组织、网信部门确定的组织也将进一步加入到公益诉讼的队伍无论是新法新规的出台，还是执法活动的继续深入开展，抑或是司法案例的井展望篇075喷，都为数据合规与个人信息保护的治理活动提供有力支撑。此外，我们也期待能看到越来越多的正面案例，实务界亦亟需了解数据合规与个人信息保护的良好实践，避免出现此类案件“一抓一个准”的现象出现，也避免庄严的立法、执法、司法活动变成个别主体“争第一”“做宣传”的垫脚石。最后，“打铁还需自身硬，无须扬鞭自奋蹄”，唯有主动、积极、切实、有效地开展数据合规安排、落实数据合规要求，方能不惧执法、拥抱监管、持续

197、前行。22022 年企业应该做什么？密集的新法新规、高频的监管行动，带来的是 2021 年各种脑洞大开式的合规实操方案。 2022 年，当我们回顾应该如何逐步开展合规工作时，我们可以尝试这么做：（一）合规盘点与风险排查一切合规方案的落地均始于对企业整体数据合规情况的梳理与盘点，目前比较成熟的排查内容可能面向：数据源排查与数据资产盘点（根据所属行业，区分数据来源、数据规模、数据类型、使用场景等维度）线上业务载体（网站、公众号、小程序）排查（包括文本形式、交互界面、权限调阅、SDK 嵌入等多方位内容）线下数据/个人信息收集使用情况盘点数据/个人信息全生命周期梳理数据/个人信息跨境传输情况排查境

198、外关联方处理境内个人信息情况（包括数据融合）雇员数据合规排查内控制度制定情况与组织架构/岗位设置盘点在进行上述排查过程中，可依次从法规清单梳理、合规清单输出、问卷清单制作、所涉员工访谈、制度文本审阅、差异化分析报告产出等流程进行。（二）制度及文本修订完成风险排查工作后，无论属于何种行业，企业均可能面临制度与文本修订的2021 年终盘点076需求，通常可能从以下方面落实修订工作：C 端交互 C 端文本审阅与修订（包括线下、线上各个场景对应的注册协议、隐私政策、各类儿童个人信息保护规则等独立规则、会员规则、页面展示内容）三方管理各类第三方合作协议、供应商管理规则等审阅修订（根据对其的数据提供

199、、数据接受、委托处理、共同处理等不同身份补充相应的条款）雇员信息劳动合同、员工手册、规章制度、与人力资源服务提供方、招聘机构、保险公司等额服务、合作协议审阅修订（增加个人信息保护相关内容）制度适配例如数据安全管理细则与个人信息保护指引的撰写与定稿（分别响应数据安全法与个人信息保护法对数据处理者和个人信息处理者的规范要求），数据安全事件应急预案、个人信息安全事件应急预案亦需要与原先的网络安全事件应急预案相呼应（三）响应个性化合规需求对于特殊行业（例如金融、汽车、电商、政务等）、特殊属性（例如国有企业、外资公司等）、特殊身份（例如大型互联网企业）以及这些属性对应的不同数据处理活动，企业可能面

200、临各自不同的合规难点，如何对症下药、重点击破也将成为 2022的合规工作要点，例如：个人信息保护影响评估逐步纳入常规合规工作计划，需要设计精巧的评估方案使其能够既能满足大批量使用的需求，又能兼顾个性化的评估事项数据分类分级工作需紧跟重要数据目录及各地区、各行业主管部门颁布的相关指南开展个人信息保护合规审计将成为年度审计的常驻内容，谁来开展、怎么开展、审计成果等都需要纳入考量数据出境（包括对外提供、向境外司法执法机构提供、使用境外服务器等各种场景）需要逐渐打开合规通道，浦东新区数据改革如何先行先试也可以密切关注各类数据安全、个人信息保护的认证服务体系将逐步建立，需适配企业实际所需的认证内

201、容寻求合适的认证产品个人信息主体的权利响应框架如何设计，以兼顾企业的发展规模、客服能展望篇077力、技术成本等内容自动化决策、用户画像与个性化推荐、数据二次利用等工作将如何迎合新监管趋势，消费者权益保护、广告合规等传统合规事项如何同步嵌入行文至此，2021 之种种，如胶卷般闪现而过。新年将至，等待在 2022 的，或是继续的乱花渐欲迷人眼，或是难测的平地一声惊雷，或是欣喜的守得云开见月明。无论如何，我们都应当保有“一元复始万象更新”的期待。囿于种种，数据合规与个人信息保护领域的专业研究与实务落地，将在较长一段时间内难有通行模板、共性做法、流水化方案，因此其价值凸显，大有可为。想起最近一次内培

202、活动上的结束语，在此援引聊作收尾：模板虽香模板虽香仍需高订仍需高订场景多元场景多元合规必备合规必备道理都懂道理都懂路阻且长路阻且长千里之行千里之行始于足下始于足下与诸君共勉，再祝新年快乐。Hello 2022以下内容为编委会成员及特邀供稿人简介版权与免责SHAIRK 团队保留对本报告的所有权利。未经权利人书面许可，任何人不得以任何形式或通过任何方式复制或转载本报告任何受版权保护的内容。本报告及其内容不代表编写人员所在单位对有关问题的法律意见，任何仅依照本报告的全部或部分内容而做出的作为和不作为决定

203、及因此造成的后果由行为人自行负责。如您需要法律意见或其他专家意见，应该向具有相关资格的专业人士寻求专业帮助。如您欲进一步了解本报告所涉及的内容，您可以通过以下联系方式联系我们。彭凯律师邮箱：微信： plucky08102021 年终盘点078编委会成员介绍金诚同达律师事务所合伙人，毕业于上海交通大学法学院，先后获学士学位（法学及经济学）、硕士学位（法律）。自执业以来为多家金融科技公司、互联网企业、科技公司等提供有关网络安全、数据合规、个人信息与隐私保护等内容的咨询与专项法律服务，代理包括建设工程施工合同纠纷、保险合同纠纷、融资租赁合同纠

204、纷、股权回购纠纷等在内的众多商事争议解决案件，目前聚焦于个人信息保护与数据合规、人工智能、大数据、网络安全等多个新兴领域开展研究工作。彭凯执业领域：网络安全与数据合规、金融科技、执业领域：网络安全与数据合规、金融科技、公司治理与合规、收并购公司治理与合规、收并购金诚同达律师事务所高级合伙人，毕业于厦门大学法学院，获硕士学位。兼任复旦大学法律硕士专业学位实务导师，复旦大学法学院实务课程讲师，厦门市地方金融协会调解员，多家机构签约讲师。执业以来为多家大型互联网公司、跨国企业、知名金融科技企业、金融机构、初创公司等提供常年及各类专项法律服务，深谙国内网络安全、数据治理、个人

205、信息保护、互联网、金融领域法律法规，个人研究领域聚焦于网络安全、金融科技、大数据及人工智能，正持续围绕该等新兴领域进行研究及写作。周晨黠执业领域：网络安全与数据合规、争议解决、执业领域：网络安全与数据合规、争议解决、破产重整及保险破产重整及保险金诚同达律师事务所高级合伙人，毕业于中国人民大学法学院，获硕士学位。任复旦大学法律硕士专业学位实务导师，复旦大学法学院实务课程讲师，华东政法大学法律硕士校外导师，上海市金融消费调解中心中立评估专家。专业领域涉及争议解决、公司诉讼、公司治理与合规、消费者权益保护等。执业以来代理了多起重大商事仲裁、诉讼案件及公司诉讼案件，主导多起投资与收购

206、项目，并以评估专家身份就消费者权益保护、用户个人信息保护、银行业务合规、金融机构适当性义务等问题出具中立评估报告，参与调解多起金融纠纷。宋海新执业领域：网络安全与数据合规、金融科技、执业领域：网络安全与数据合规、金融科技、公司治理与合规、争议解决公司治理与合规、争议解决金诚同达律师事务所资深律师，毕业于上海交通大学凯原法学院，获硕士学位。自执业以来为数十家互联网巨头、持牌金融机构、金融科技企业、大数据企业、初创公司等提供网络安全与数据合规、金融科技、公司治理与合规方面的常年及专项法律服务，并代理/负责包括软件开发纠纷、服务合同纠纷、民间借贷纠纷等在内的近十起争议解决案件。主

207、笔撰写数据合规专著 1 本，参与撰写金融科技专著 1 本，主笔撰写并公开发布数据合规文章 30 余篇，主笔撰写并公开发布金融科技文章 10 余篇。深谙国内数据合规和金融科技领域法律法规，个人研究领域聚焦于网络安全、大数据、人工智能及金融科技。陈婷婷执业领域：执业领域：争议解决、公司诉讼、公司治理与争议解决、公司诉讼、公司治理与合规、消费者权益保护合规、消费者权益保护079编委会成员介绍金诚同达律师事务所合伙人，毕业于厦门大学和澳大利亚昆士兰大学，获学士学位及硕士学位。其为英国皇家特许管理会计师公会资深会员（FCMA），并具有基金从业资格，曾在某知名跨国企业的中国投资发展事业部任首席风

208、控官。主要从事与公司治理与合规、网络安全及数据合规、并购与重组及投融资等业务领域相关的法律服务。擅长从企业的治理结构出发为企业制定符合其业务特点的合规方案和并购重组交易过程中的风险控制及投后主动管理、投融资安排及项目退出的法律方案设计，曾为多家国内外知名企业提供业务合规解决方案，并曾多次代表大型跨国企业处理公司在中国大陆、香港、台湾地区、新加坡、马来西亚、印度尼西亚等的直接投资、并购交易及投融资相关法律事务。许中华执业领域：执业领域：公司治理与投资并购、合规、破产公司治理与投资并购、合规、破产清算与重整、争议解决清算与重整、争议解决金诚同达律师事务所高级合伙人，毕业于上海对外经贸大学法

209、学院，获硕士学位。兼任上海对外经贸大学法律硕士专业学位研究生校外导师、复旦大学法学院实务课程讲师。专业领域涉及公司治理和投资并购、合规、破产、争议解决等。执业以来为多家知名企业提供专项及常年顾问服务，为多家初创互联网科技公司提供并购与投融资等法律服务，参与多家金融科技企业合规审查与整改。其负责及参与的收并购项目涉及车联网、数字科技、房地产、文化影视、医药器械等行业。在相关项目中可以提供包括项目尽调、交易架构设计、谈判、起草交易文件等全程法律服务。郑文洁执业领执业领域：域：网络安全及数据合规、公司治理与网络安全及数据合规、公司治理与合规、知识产权保护、并购重组及投融资合规、知

210、识产权保护、并购重组及投融资中怡保险经纪有限责任公司执行总监。魏建锋女士于 2006 年加入中怡，在可保风险管理咨询行业有超过 15 年的工作经验，是大型零售、酒店地产行业风险管理负责人。她专注于企业全面可保风险管理制度设计、上下游可保风险管理制度设计、可保保险方案设计和落地、企业项目投资及海外投资风险管理咨询等。魏女士拥有香港大学 MBA 硕士学位和浙江大学法学学士学位，持有中华人民共和国司法部颁证的法律职业资格，是中华人民共和国注册保险经纪人。黄相宜执业领域：劳动与雇佣、公司治理与合规、诉执业领域：劳动与雇佣、公司治理与合规、诉讼仲裁、网络安全与数据合规讼仲裁、网络安全与数据合规金诚

211、同达律师事务所资深律师，毕业于上海财经大学，获硕士学位。其专注业务领域涉及劳动与雇佣、公司业务与合规、诉讼仲裁、隐私保护与数据合规等。服务的客户涉及医疗器械、电子商务、汽车、食品、建筑设计、电子制造业、危化品等众多行业。黄律师经常协助客户设计雇佣结构和相关法律文本、并能够在并购项目中对劳动方面的问题进行深入的尽职调查，擅长处理公司与高管之间劳动争议，以及协助公司进行内部调查和压力访谈，在员工隐私保护和对违纪员工进行收证固证方面积累了丰富的经验。魏建锋业务领域：大型零售、酒店地产行业风险管理业务领域：大型零售、酒店地产行业风险管理2021 年终盘点080编委会成员介绍金诚同达律师事

212、务所合伙人，毕业于英国兰卡斯特大学，获硕士学位。专业领域涉及资本市场、并购重组、公司治理与合规、外商投资、体育文化及艺术等。熟识 BVI， Cayman 等主要离岸地的公司法律实操，多次协助客户完成跨境架构搭建及境外交割，亦曾协助客户成功于泽西岛设立家族信托。自执业以来为多家跨国公司、国有企业、大型民营企业等提供了常年及专项法律服务。姜莉丽执业领域：外商投资、公司收并购、基金投资、执业领域：外商投资、公司收并购、基金投资、公司治理与合规公司治理与合规金诚同达律师事务所合伙人，毕业于浙江大学和伦敦政治经济学院，先后获得学士学位和硕士学位。兼任复旦大学法律硕士专业学位实务导师，复旦大学法学

213、院实务课程讲师，同时担任锦浪科技独立董事。专业领域涉及外商投资、银行金融、公司收并购、基金投资等。自执业以来为多家跨国公司、金融机构、国有企业、大型民营企业等提供常年及专项法律服务。通过深度参与多个跨境并购交易而深谙多个离案地的交易规则。其目前主要研究方向为零售、信托、保险等领域。周继伟执业领域：资本市场、并购重组、公司治理与执业领域：资本市场、并购重组、公司治理与合规、外商投资、体育文化及艺术合规、外商投资、体育文化及艺术金诚同达律师事务所合伙人，迈阿密大学国际仲裁法学硕士和香港城市大学仲裁与争议解决法学硕士。专注于跨境法律实务超过 13 年，长期处理大量中国企业在美

214、国、香港和新加坡等地的境外诉讼和仲裁、外国企业在中国境内的涉外诉讼和仲裁、中国企业应对欧美等各国政府合规调查、外国企业应对中国政府合规调查以及中国企业境内外合资并购项目。对中国企业如何搭建全球合规体系有浓厚兴趣和经验，在其任职一家世界 500 强企业期间曾负责统筹推动多个全球合规项目的落地。邱儒婷执业领域：并购重组、私募股权执业领域：并购重组、私募股权及风险投资、及风险投资、公司治理与合规、外商投资公司治理与合规、外商投资金诚同达律师事务所资深律师，先后毕业于中国政法大学、香港城市大学，获硕士学位。曾为多起并购重组、私募股权及风险投资等交易提供法律服务，能够为客户提供包括法律尽职调查、

215、交易结构设计、相关交易文件及其他法律文件起草、审阅和修改、交易谈判、协助客户完成交割等全方位法律服务；同时，其擅长协助管理和处理与公司和/或私人客户相关的常见法律事务，并擅长与各类政府主管部门及第三方机构沟通、协调、共同工作或互相予以配合。李岚执业领域：执业领域：跨境诉讼仲裁、跨境合规调查跨境诉讼仲裁、跨境合规调查081编委会成员介绍金诚同达律师事务所实习律师，毕业于华东政法大学知识产权（卓越人才实验班）专业，获得法学学士学位，至今曾广泛参与数据安全、合规、公司法、知识产权、不正当竞争领域内的诉讼及非诉讼业务。伊娜执业领域：执业领域：网络安全与数据合规、金融科技、网

216、络安全与数据合规、金融科技、争议解决及保险争议解决及保险金诚同达律师事务所实习律师，毕业于上海对外经贸大学，获硕士学位，至今曾广泛参与数据合规、个人信息保护、公司治理领域内的诉讼及非诉讼业务。符淇媛执业执业领域：领域：网络安全及数据合规、公司治理与网络安全及数据合规、公司治理与合规、知识产权保护合规、知识产权保护周欣雨研究领域：研究领域：网络安全与数据合规、网络安全与数据合规、争议解决争议解决金诚同达律师事务所实习生，就读于上海对外经贸大学法学院。2021 年终盘点082特邀供稿人介绍资深数据合规与隐私保护专家，某人工智能公司法务总监。专注于数据合规与隐私保护研究，具有丰富的海外市场与

217、国内市场数据保护实务操作经验。钟敏研究领域：网络安全与数据合规、金融科技、研究领域：网络安全与数据合规、金融科技、新经济新经济现就职于万达普惠金融事业部法律合规部，负责网络安全与 APP 日常合规工作，自由撰稿人，金融科技及新媒体行业观察人，浪巅 Shairk Intelligence 顾问。在互联网金融、网络安全与数据合规与房屋抵押贷款领域具有丰富的实操经验，负责公司日常合规制度的设计及完善、新兴金融项目合规审查、APP 日常合规审查、金融消费者投诉处理等，擅长将法律法规规定转化为实操建议。江汶研究领域：研究领域：数据合规与隐私保护、公司治理数据合规与隐私保护、公司治理担任国内某车联网公司数据合规高级专家，负责公司车机产品在国内外市场的合规落地。曾分别就职北京环球律师事务所与国内某知名互联网金融公司，参与诸多数据合规相关的项目工作。陈玉卿研究领域：网络安全与数据合规、城市更新研究领域：网络安全与数据合规、城市更新现就职于某地产公司法务部，自由撰稿人，数据合规行业观察人，负责城市更新项目合规审查、公司日常制度设计与完善，参与撰写多篇数据合规文章。周煌凯研究领域：研究领域：数据合规与隐私保护、车联网数据合规与隐私保护、车联网

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（Shairk INT：数据合规与个人信息保护2021年终盘点（83页）.pdf）为本站（微笑泡泡）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。