操作指引（2024）為推動(dòng)數(shù)據(jù)資源入表法律服務(wù)規(guī)范化，進(jìn)一步提升北京律師在數(shù)字經(jīng)濟(jì)領(lǐng)域的法律服務(wù)能力，根據(jù)《中華人民共和國民法典》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個(gè)人信息保護(hù)法》以及相關(guān)法律法規(guī)，編制了《律師辦理數(shù)據(jù)資源入表法律業(yè)務(wù)操作指引（2024）》（以下簡稱《指引》或“本指引”），經(jīng)第十二屆北京市律師協(xié)會(huì)數(shù)字經(jīng)濟(jì)與人工智能領(lǐng)域法律專業(yè)委員會(huì)主任會(huì)議討論通過。為了便于使用，現(xiàn)就有關(guān)問題說明如下：一、“數(shù)據(jù)資源入表”還是“數(shù)據(jù)資產(chǎn)入表”它可能包括尚未滿足資產(chǎn)確認(rèn)條件的數(shù)據(jù)，適用于更廣泛的數(shù)據(jù)管理和評(píng)估場景。作為律師在業(yè)務(wù)操作中的指導(dǎo)原則，律師在提供法律評(píng)估后，是否能夠?qū)?shù)據(jù)資源納入財(cái)務(wù)報(bào)表，需由會(huì)計(jì)師進(jìn)行最終確認(rèn)。為了避免對(duì)不同專業(yè)機(jī)構(gòu)職責(zé)范圍的誤解或混淆，除非另有明確說明，本指引中提到的“數(shù)據(jù)資源入表”指的是將數(shù)據(jù)資源正式納入財(cái)務(wù)報(bào)表的過程。二、適用范圍數(shù)據(jù)資源入表面臨諸多疑難待決問題，其中合規(guī)確權(quán)首當(dāng)其沖。在法律沒有解決數(shù)據(jù)權(quán)利歸屬問題的情形下，企業(yè)釋放數(shù)據(jù)價(jià)值的過程中，首先要明確其數(shù)據(jù)屬于政策框架內(nèi)所定義的哪種權(quán)益之后，方可對(duì)數(shù)據(jù)進(jìn)行深加工和應(yīng)用，將數(shù)據(jù)作為資產(chǎn)納入財(cái)務(wù)報(bào)表中。本指引以幫助企業(yè)完成數(shù)據(jù)資源入表前的合規(guī)確權(quán)為目的，為律師從事相關(guān)法律業(yè)務(wù)提供參考。三、構(gòu)成《指引》全文一百五十二條，涵蓋了數(shù)據(jù)合規(guī)確權(quán)的核心內(nèi)容，包括：數(shù)據(jù)內(nèi)容合規(guī)、數(shù)據(jù)來源合規(guī)、數(shù)據(jù)處理合規(guī)、數(shù)據(jù)管理合規(guī)、數(shù)據(jù)權(quán)益界定、多數(shù)據(jù)主體合作、數(shù)據(jù)確權(quán)登記、數(shù)據(jù)資產(chǎn)列示與披露前法律判斷等相《指引》為推薦性使用。其他數(shù)據(jù)合規(guī)領(lǐng)域法律服務(wù)亦可以參考使用。五、迭代在《指引》的編制過程中，數(shù)字經(jīng)濟(jì)領(lǐng)域的產(chǎn)業(yè)實(shí)踐和政策法規(guī)發(fā)展迅速，呈現(xiàn)出日新月異的態(tài)勢。盡管在實(shí)踐中仍存在諸多挑戰(zhàn)，但作為數(shù)字經(jīng)濟(jì)這一新興領(lǐng)域和業(yè)態(tài)的首批法律專業(yè)指引，我們將持續(xù)關(guān)注并跟蹤政策法規(guī)的變化以及行業(yè)的發(fā)展動(dòng)態(tài)，在后續(xù)版本中不斷更新內(nèi)容，以確?！吨敢返臅r(shí)效性和適用性。六、特別聲明數(shù)據(jù)資源入表是一個(gè)多主體參與的動(dòng)態(tài)持續(xù)過程，律師的工作范圍僅限于對(duì)法律意見基準(zhǔn)日的數(shù)據(jù)合規(guī)確權(quán)相關(guān)內(nèi)容發(fā)表法律意見，不對(duì)有關(guān)技術(shù)、安全、會(huì)計(jì)、審計(jì)及資產(chǎn)評(píng)估等非法律專業(yè)事項(xiàng)發(fā)表意見。如法律意見中涉及前述非法律專業(yè)事項(xiàng)內(nèi)容，律師僅能實(shí)現(xiàn)形式審查，可以引用有關(guān)機(jī)構(gòu)出具的專業(yè)文件和公司或有關(guān)人士出具的說明，該引用不應(yīng)視為律師對(duì)引用內(nèi)容的真實(shí)性和準(zhǔn)確性做出任何明示或默示的保證，對(duì)于該等內(nèi)容律師并不具備查驗(yàn)和作出判斷的合法資格，不得就該事項(xiàng)發(fā)表獨(dú)立專業(yè)意見。法律意見基準(zhǔn)日后數(shù)據(jù)資產(chǎn)發(fā)生變化的，應(yīng)當(dāng)另行審查和出具法律意見。-4- 6第二章業(yè)務(wù)受理及盡調(diào)內(nèi)容 9第一節(jié)業(yè)務(wù)受理 9第二節(jié)盡調(diào)內(nèi)容 11第三節(jié)工作底稿編制及歸檔 11第三章標(biāo)的企業(yè)情況 14第四章數(shù)據(jù)內(nèi)容合規(guī)審查 15第五章數(shù)據(jù)來源合規(guī)審查 18第一節(jié)數(shù)據(jù)來源合規(guī)概述 18第二節(jié)內(nèi)部生成數(shù)據(jù)來源合規(guī)審查 19第三節(jié)外購數(shù)據(jù)來源合規(guī)審查 21第四節(jié)公開收集數(shù)據(jù)來源合規(guī)審查 22第五節(jié)個(gè)人授權(quán)數(shù)據(jù)來源合規(guī)審查 24第六節(jié)其他方式獲取數(shù)據(jù)來源合規(guī)審查 25第六章數(shù)據(jù)處理合規(guī)審查 27第一節(jié)數(shù)據(jù)處理概述 27第二節(jié)數(shù)據(jù)收集 27第三節(jié)數(shù)據(jù)存儲(chǔ) 32第四節(jié)數(shù)據(jù)使用 35第五節(jié)數(shù)據(jù)加工 39CONTENTS第六節(jié)數(shù)據(jù)傳輸 41第七節(jié)數(shù)據(jù)提供 43第八節(jié)數(shù)據(jù)公開 48第七章數(shù)據(jù)管理合規(guī)審查 49第一節(jié)數(shù)據(jù)管理合規(guī)審查要點(diǎn) 49第二節(jié)數(shù)據(jù)管理合規(guī)審查實(shí)施方法 55第八章數(shù)據(jù)權(quán)益確認(rèn) 58第九章多主體數(shù)據(jù)合作合規(guī)審查 61第一節(jié)合作方及合作情況 61第二節(jié)合作合同合規(guī)審查 63 66第一節(jié)數(shù)據(jù)產(chǎn)權(quán)登記 66第二節(jié)數(shù)據(jù)知識(shí)產(chǎn)權(quán)登記 68第三節(jié)其他登記類型 69第十一章數(shù)據(jù)資產(chǎn)列示與披露前法律判斷 70第一節(jié)數(shù)據(jù)資產(chǎn)列示與披露前法律判斷的必要性 70第二節(jié)不同科目的數(shù)據(jù)資產(chǎn)披露前法律判斷 72第三節(jié)自愿披露內(nèi)容的法律判斷 73第十二章法律風(fēng)險(xiǎn)及特別提示 74 78第一條【編制目的】為幫助律師辦理數(shù)據(jù)資源入表業(yè)務(wù)，為出具數(shù)據(jù)合規(guī)確權(quán)相關(guān)法律意見提供基本操作規(guī)范，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》及其他相關(guān)法律法規(guī)、規(guī)范性文件和行業(yè)標(biāo)準(zhǔn)的要求，遵循北京市司法行政機(jī)關(guān)和北京市律師協(xié)會(huì)制定的律師執(zhí)業(yè)規(guī)則，特編制本指引。第二條【適用范圍】本指引適用于數(shù)據(jù)資源入表（以下稱“數(shù)據(jù)資源入表”或“入表”）過程中，對(duì)委托方指定的標(biāo)的企業(yè)持有或處理的數(shù)據(jù)的合規(guī)確權(quán)出具法律意見，以作為數(shù)據(jù)資源入表時(shí)的決策參考。從事其他數(shù)據(jù)合規(guī)業(yè)務(wù)時(shí)，亦可參考本指引。本指引不應(yīng)作為判斷律師是否勤勉履行委托合同項(xiàng)下律師義務(wù)、或是否勤勉開展相關(guān)數(shù)據(jù)資源合規(guī)確權(quán)工作的依據(jù)。（一）標(biāo)的企業(yè)：委托方擬進(jìn)行數(shù)據(jù)資源入表的企業(yè)或主體。（二）數(shù)據(jù)：任何以電子或其他方式對(duì)信息的記錄。（三）數(shù)據(jù)資產(chǎn)2：由個(gè)人或企業(yè)擁有或控制的，能為企業(yè)帶來未來經(jīng)濟(jì)利益的，以物理或電子方式記錄的數(shù)據(jù)資源。其中，滿足入表?xiàng)l件的會(huì)計(jì)準(zhǔn)則的資產(chǎn)確認(rèn)還應(yīng)當(dāng)符合成本可計(jì)量的要求。2.除非特別說明，本指引中的“數(shù)據(jù)資產(chǎn)”是指初步判斷已經(jīng)具備入表?xiàng)l件的數(shù)據(jù)資源。（四）數(shù)據(jù)資源入表3：指將數(shù)據(jù)資源作為企業(yè)的一項(xiàng)資產(chǎn)，按照會(huì)計(jì)準(zhǔn)則進(jìn)行確認(rèn)、計(jì)量和報(bào)告，并在企業(yè)的財(cái)務(wù)報(bào)表中予以體現(xiàn)。通常包括：合規(guī)性和風(fēng)險(xiǎn)管理、資產(chǎn)確認(rèn)和分類4、成本歸集和計(jì)量5、后續(xù)計(jì)量和終止確認(rèn)6、列示和披露7。（六）數(shù)據(jù)持有權(quán)/數(shù)據(jù)資源持有權(quán)：指自行持有或委托他人代為持有合法獲取的數(shù)據(jù)，其他人不得非法竊取、篡改、泄露或者破壞權(quán)利人持有的將數(shù)據(jù)用于優(yōu)化生產(chǎn)經(jīng)營、形成衍生數(shù)據(jù)等的權(quán)利。（八）數(shù)據(jù)經(jīng)營權(quán)/數(shù)據(jù)產(chǎn)品經(jīng)營權(quán)：指通過轉(zhuǎn)讓、許可、出資或者設(shè)3.“數(shù)據(jù)資源入表”通常指的是將企業(yè)在運(yùn)營過程中積累的各種數(shù)據(jù)記錄，進(jìn)行登記、分類、評(píng)估和管理的過程，其范圍較“數(shù)據(jù)資產(chǎn)入表”更廣泛，涵蓋所有數(shù)據(jù)的管理和評(píng)估過程，包括尚未滿足資產(chǎn)確認(rèn)條4.“資產(chǎn)確認(rèn)和分類”指對(duì)符合資產(chǎn)定義且滿足確認(rèn)條件的數(shù)據(jù)資源進(jìn)行分類，主要分為存貨和無形資產(chǎn)兩大類。存貨是指企業(yè)日?；顒?dòng)中持有、最終目的用于出售的數(shù)據(jù)資源；無形資產(chǎn)則是指企業(yè)擁有或控制的、能夠產(chǎn)生經(jīng)濟(jì)效益的非實(shí)物資源。5.“成本歸集與計(jì)量”指根據(jù)數(shù)據(jù)資源的生命周期階段確定資產(chǎn)確認(rèn)時(shí)點(diǎn)，并合理歸集和分?jǐn)偝杀?，以確保成本的完整性和準(zhǔn)確性。6.“后續(xù)計(jì)量和終止確認(rèn)”指對(duì)于確認(rèn)為無形資產(chǎn)的數(shù)據(jù)資源，企業(yè)需要在其使用壽命內(nèi)進(jìn)行攤銷，并在資產(chǎn)負(fù)債表日進(jìn)行減值測試。對(duì)于存貨類數(shù)據(jù)資源，企業(yè)在出售時(shí)應(yīng)將其成本結(jié)轉(zhuǎn)為當(dāng)期損益。7.“列示和披露”指企業(yè)在編制資產(chǎn)負(fù)債表時(shí)，應(yīng)在“存貨”“無形資產(chǎn)”“開發(fā)支出”項(xiàng)目下增設(shè)“數(shù)據(jù)資源”項(xiàng)目，反映數(shù)據(jù)資源的期末賬面價(jià)值。同時(shí)，企業(yè)還應(yīng)根據(jù)實(shí)際情況自愿披露數(shù)據(jù)資源的應(yīng)用場景、業(yè)務(wù)模式、原始數(shù)據(jù)類型來源、加工維護(hù)和安全保護(hù)情況等相關(guān)信息。立擔(dān)保等有償或無償?shù)姆绞綄?duì)外提供數(shù)據(jù)的權(quán)利。（九）《網(wǎng)安法》：指《中華人民共和國網(wǎng)絡(luò)安全法》。（十）《數(shù)據(jù)安全法》：指《中華人民共和國數(shù)據(jù)安全法》。（十二）《民法典》：指《中華人民共和國民法典》。于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》。第四條【一般要求】數(shù)據(jù)資源入表是將能夠給企業(yè)創(chuàng)造收益的數(shù)據(jù)資源按照財(cái)政部發(fā)布的《企業(yè)數(shù)據(jù)資源相關(guān)會(huì)計(jì)處理暫行規(guī)定》（財(cái)會(huì)〔2023〕11號(hào)）的相關(guān)規(guī)定納入表內(nèi)核算的過程，“合法持有或控制”是數(shù)據(jù)資源入表的核心前提。若被認(rèn)定為資產(chǎn)的數(shù)據(jù)資源存在合規(guī)問題，將會(huì)對(duì)會(huì)計(jì)處理的準(zhǔn)確性、恰當(dāng)性帶來負(fù)面影響，甚至影響企業(yè)的資產(chǎn)化應(yīng)用。第五條【法律服務(wù)限制】律師事務(wù)所僅提供法律服務(wù)，盡管在法律盡職調(diào)查中不可避免地與數(shù)據(jù)相關(guān)的技術(shù)、安全、會(huì)計(jì)、評(píng)估等方面存在交互關(guān)系，律師事務(wù)所與相關(guān)專業(yè)服務(wù)機(jī)構(gòu)應(yīng)獨(dú)立審查與分工協(xié)作，僅在法律相關(guān)領(lǐng)域發(fā)表獨(dú)立意見。如法律意見中涉及前述非法律專業(yè)事項(xiàng)內(nèi)容，對(duì)有關(guān)數(shù)據(jù)合規(guī)涉及的技術(shù)、安全、會(huì)計(jì)、評(píng)估等領(lǐng)域內(nèi)容，律師僅能完成對(duì)標(biāo)的企業(yè)提供的書面材料的形式審查或借助工具予以表面核查或抽查，律師可以引用有關(guān)機(jī)構(gòu)出具的專業(yè)文件和企業(yè)或有關(guān)人士出具的說明，但該引用不應(yīng)視為律師對(duì)引用內(nèi)容的真實(shí)性和準(zhǔn)確性做出任何明示或默示的保證，對(duì)于-9-該等內(nèi)容律師并不具備查驗(yàn)和作出判斷的合法資格，無法也不能發(fā)表獨(dú)立專第六條【重視數(shù)據(jù)應(yīng)用場景】數(shù)據(jù)在不同行業(yè)和應(yīng)用場景中可能表現(xiàn)出顯著的多樣性，律師應(yīng)深入分析標(biāo)的企業(yè)所在的行業(yè)背景及其數(shù)據(jù)應(yīng)用的具體場景，以確保法律判斷的準(zhǔn)確性和適用性。第七條【數(shù)據(jù)資源入表步驟】以釋放數(shù)據(jù)價(jià)值、促進(jìn)數(shù)據(jù)要素流通為目的的數(shù)據(jù)資源入表的步驟通常應(yīng)當(dāng)包括：數(shù)據(jù)盤點(diǎn)、數(shù)據(jù)治理、合規(guī)確權(quán)、會(huì)計(jì)核算/評(píng)估入表、數(shù)據(jù)產(chǎn)品作為生產(chǎn)要素進(jìn)入市場流通。其中數(shù)據(jù)治理和合規(guī)確權(quán)是動(dòng)態(tài)交叉的，數(shù)據(jù)治理的過程可能涵蓋了合規(guī)整改的情第八條【本指引核心】本指引圍繞數(shù)據(jù)的合規(guī)與確權(quán)展開，以合規(guī)為核心，在合規(guī)基礎(chǔ)上進(jìn)一步判斷數(shù)據(jù)權(quán)益類型，進(jìn)而為數(shù)據(jù)資源入表及后續(xù)數(shù)據(jù)要素流通提供必要的法律意見。第九條【溝通委托需求】擬提供法律服務(wù)的律師可以通過面談、電話、郵件、問卷等方式，對(duì)委托人需求及其所處的市場、行業(yè)等情況進(jìn)行了解，明確盡職調(diào)查的目標(biāo)、范圍、時(shí)間表和預(yù)算。第十條【審查利益沖突】擬提供法律服務(wù)的律師事務(wù)所應(yīng)當(dāng)在正式立案、與委托人簽署委托協(xié)議前進(jìn)行利益沖突檢索和審查，對(duì)于法律法規(guī)明-10-確規(guī)定不得同時(shí)接受對(duì)立雙方或者利益沖突各方委托的，不得接受委托。如已經(jīng)或擬同時(shí)接受可能會(huì)有利益沖突的其他方辦理無事實(shí)爭議具體性事務(wù)的委托，應(yīng)當(dāng)向委托人說明，并取得相關(guān)委托人的書面同意。第十一條【簽署委托合同】辦理數(shù)據(jù)資源入表法律業(yè)務(wù)，應(yīng)當(dāng)由提供法律服務(wù)的律師事務(wù)所事先與委托人簽訂書面委托合同。該委托合同通常（二）法律盡職調(diào)查所需資料與信息的提供；（四）工作成果的形式及提交方式；（五）報(bào)酬、費(fèi)用及其支付方式和期限；第十二條【組建服務(wù)團(tuán)隊(duì)】辦理數(shù)據(jù)資源入表法律業(yè)務(wù)，應(yīng)當(dāng)根據(jù)法律服務(wù)的范圍、深度和廣度組建相應(yīng)規(guī)模的服務(wù)團(tuán)隊(duì)。服務(wù)團(tuán)隊(duì)?wèi)?yīng)包括執(zhí)業(yè)律師，可以包括實(shí)習(xí)律師及具有一定專業(yè)基礎(chǔ)的助理人員，并選定一名執(zhí)業(yè)律師為項(xiàng)目負(fù)責(zé)人。鑒于數(shù)據(jù)資源入表業(yè)務(wù)的交叉性，建議團(tuán)隊(duì)配備具有財(cái)務(wù)和/或計(jì)算機(jī)等相關(guān)專業(yè)背景及經(jīng)驗(yàn)的成員。-11-第二節(jié)盡調(diào)內(nèi)容第十三條【盡調(diào)內(nèi)容】一般性數(shù)據(jù)資源入表法律盡職調(diào)查通常包括承辦律師可根據(jù)標(biāo)的企業(yè)實(shí)際情況及盡職調(diào)查報(bào)告的使用目的適當(dāng)調(diào)第十四條【盡調(diào)清單】服務(wù)團(tuán)隊(duì)?wèi)?yīng)當(dāng)根據(jù)數(shù)據(jù)資源入表法律業(yè)務(wù)項(xiàng)目的具體情況編制盡職調(diào)查法律文件清單，并可根據(jù)對(duì)委托人的具體調(diào)查情真實(shí)、準(zhǔn)確、完整的原則提供清單所列明的相關(guān)文件，同時(shí)要求委托人或其第三節(jié)工作底稿編制及歸檔第十五條【工作底稿的內(nèi)容】工作底稿應(yīng)全面反映律師在辦理入表-12-業(yè)務(wù)的工作過程和結(jié)果，可以參照常見非訴業(yè)務(wù)工作底稿要求，包括但不限（三）法律分析及研究報(bào)告，包括對(duì)相關(guān)法律法規(guī)、政策的解讀和適（四）內(nèi)部討論記錄、備忘錄及工作筆記；（五）與客戶及其他相關(guān)方的溝通記錄，如郵件、函件、會(huì)議紀(jì)要等；（六）法律意見書、律師工作報(bào)告及其他法律文件的草稿和定稿；（七）其他與業(yè)務(wù)相關(guān)的重要文件和資料，尤其關(guān)注涉及數(shù)據(jù)盤點(diǎn)、治理的相關(guān)資料或第三方專業(yè)報(bào)告。第十六條【工作底稿編制原則】工作底稿的編制應(yīng)遵循以下原則：（一）真實(shí)性：工作底稿中的內(nèi)容必須真實(shí)可靠，不得虛構(gòu)、篡改或（二）完整性：應(yīng)全面收集與業(yè)務(wù)相關(guān)的文件和資料，確保工作底稿能夠完整反映業(yè)務(wù)的全過程。（三）一致性：應(yīng)將電子底稿與文檔同時(shí)刻錄光盤或在數(shù)據(jù)庫中以只讀文件形式單獨(dú)保存。（四）準(zhǔn)確性：工作底稿中的信息應(yīng)準(zhǔn)確無誤，對(duì)事實(shí)的描述和法律-13-（五）規(guī)范性：工作底稿的格式和內(nèi)容應(yīng)符合一定的規(guī)范要求，便于（六）保密性：對(duì)于涉及客戶商業(yè)秘密和個(gè)人隱私的工作底稿，應(yīng)嚴(yán)格遵守保密規(guī)定，采取必要的保密措施。工作底稿的編制應(yīng)按照業(yè)務(wù)流程和時(shí)間順序進(jìn)行，確保各環(huán)節(jié)的工作記錄清晰可查。對(duì)于重要的文件和資料，應(yīng)注明來源和取得時(shí)間，并由相關(guān)第十七條【工作底稿歸檔】工作底稿應(yīng)在業(yè)務(wù)辦結(jié)后及時(shí)歸檔。歸檔時(shí)間一般不得超過業(yè)務(wù)辦結(jié)后的三個(gè)月。歸檔工作應(yīng)由承辦律師負(fù)責(zé)，檔案管理人員協(xié)助。歸檔前，承辦律師應(yīng)對(duì)工作底稿進(jìn)行全面整理和審查，確保工作底稿符合歸檔要求。工作底稿的歸檔應(yīng)按照以下程序進(jìn)行：歸檔時(shí)間等信息。采用刻錄光盤等方法保存電子文檔的，建議對(duì)保存內(nèi)容計(jì)算哈希值并單獨(dú)保存。（三）移交檔案：將裝訂好的工作底稿移交檔案管理人員，辦理移交手續(xù)，填寫移交清單。（四）檔案管理人員應(yīng)對(duì)接收的工作底稿進(jìn)行再次審查，確保歸檔文-14-件完整、準(zhǔn)確、規(guī)范。如發(fā)現(xiàn)問題，應(yīng)及時(shí)通知承辦律師進(jìn)行整改。（五）工作底稿的保管期限應(yīng)根據(jù)業(yè)務(wù)性質(zhì)和重要程度確定。一般情況下，非訴業(yè)務(wù)工作底稿的保管期限不少于五年。（六）檔案管理人員應(yīng)定期對(duì)工作底稿進(jìn)行清理和整理，對(duì)超過保管期限的工作底稿，按照規(guī)定程序進(jìn)行銷毀。第十八條【主要調(diào)查內(nèi)容】對(duì)標(biāo)的企業(yè)基本情況進(jìn)行盡職調(diào)查時(shí)，包括但不限于以下內(nèi)容：（三）數(shù)據(jù)資源入表所涉及業(yè)務(wù)的情況；（四）標(biāo)的企業(yè)的數(shù)據(jù)合規(guī)管理情況。第十九條【基本登記信息】對(duì)標(biāo)的企業(yè)的基本登記信息進(jìn)行盡職調(diào)查時(shí)，應(yīng)著重于對(duì)標(biāo)的企業(yè)的主體資格、企業(yè)類型、注冊(cè)資本（包括實(shí)繳資本）、成立時(shí)間、經(jīng)營期限、經(jīng)營范圍、股權(quán)（投資）結(jié)構(gòu)與控股股東及實(shí)際控制人、治理結(jié)構(gòu)等方面進(jìn)行審查。第二十條【主營業(yè)務(wù)情況】對(duì)標(biāo)的企業(yè)的主營業(yè)務(wù)情況進(jìn)行盡職調(diào)查時(shí)，應(yīng)著重于對(duì)標(biāo)的企業(yè)的主營業(yè)務(wù)及相關(guān)資質(zhì)、客戶范圍等進(jìn)行審查，并重點(diǎn)關(guān)注入表相關(guān)數(shù)據(jù)及其未來應(yīng)用場景與主營業(yè)務(wù)的關(guān)聯(lián)關(guān)系，是否可持續(xù)及具有強(qiáng)關(guān)聯(lián)關(guān)系。-15-第二十一條【入表涉及業(yè)務(wù)的情況】對(duì)標(biāo)的企業(yè)入表所涉及的業(yè)務(wù)進(jìn)行盡職調(diào)查時(shí)，應(yīng)著重于對(duì)所涉業(yè)務(wù)是否已經(jīng)履行了特定的程序及有效期限，如主管機(jī)關(guān)的審批、取得必要的經(jīng)營資質(zhì)、企業(yè)決策機(jī)構(gòu)的批準(zhǔn)等；相關(guān)數(shù)據(jù)作為數(shù)據(jù)資源入表時(shí)是否有法律法規(guī)或政策上的限制等方面進(jìn)行第二十二條【數(shù)據(jù)合規(guī)管理情況】對(duì)標(biāo)的企業(yè)的數(shù)據(jù)合規(guī)管理情況進(jìn)行盡職調(diào)查時(shí)，應(yīng)著重于對(duì)標(biāo)的企業(yè)的數(shù)據(jù)內(nèi)容合規(guī)、數(shù)據(jù)來源合規(guī)、數(shù)據(jù)處理合規(guī)及數(shù)據(jù)管理合規(guī)進(jìn)行審查。對(duì)前述內(nèi)容進(jìn)行審查時(shí)的要點(diǎn)，請(qǐng)參考本指引第四章至第七章的相關(guān)內(nèi)容。第二十三條【數(shù)據(jù)資源的盤點(diǎn)】基于數(shù)據(jù)資源入表的目的，結(jié)合企業(yè)的商業(yè)模式和數(shù)據(jù)應(yīng)用場景，對(duì)數(shù)據(jù)資源進(jìn)行盤點(diǎn)、梳理和識(shí)別，本著成（一）法律法規(guī)。包括但不限于《網(wǎng)安法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》、地方性法規(guī)、規(guī)章等在開展盡職調(diào)查時(shí)現(xiàn)行有效的相關(guān)法律法（二）國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)（如：GB/T43697-2024《數(shù)據(jù)安全技術(shù)重要國家政策、地方政策。-16-（三）企業(yè)內(nèi)部規(guī)章制度，即企業(yè)制定的數(shù)據(jù)管理政策、隱私政策等。（一）合規(guī)性審查：審查數(shù)據(jù)的收集、存儲(chǔ)、使用和傳輸是否符合法（二）真實(shí)性審查：核實(shí)數(shù)據(jù)的來源是否合法，是否經(jīng)過驗(yàn)證和審查。檢查數(shù)據(jù)是否存在虛假、錯(cuò)誤或誤導(dǎo)性信息。（三）完整性審查：評(píng)估數(shù)據(jù)是否完整，是否存在缺失或損壞的情況。（一）個(gè)人信息合規(guī)審查要點(diǎn)1.在收集、使用和共享個(gè)人信息時(shí)是否符合法律法規(guī)的規(guī)定，是否取得了用戶的明確授權(quán)。2.對(duì)個(gè)人信息進(jìn)行的分類、分級(jí)管理，是否采取了必要的保護(hù)措施。3.個(gè)人信息泄露事件的應(yīng)急響應(yīng)機(jī)制是否健全。（二）企業(yè)數(shù)據(jù)合規(guī)審查要點(diǎn)1.標(biāo)的企業(yè)業(yè)務(wù)數(shù)據(jù)的收集、使用和披露是否符合法律法規(guī)和合同2.是否建立了完善的數(shù)據(jù)隱私政策和用戶授權(quán)機(jī)制。（三）公共數(shù)據(jù)合規(guī)審查要點(diǎn)1.數(shù)據(jù)來源合規(guī)性：確認(rèn)公共數(shù)據(jù)的收集主體是否在其法定職責(zé)范圍-17-2.數(shù)據(jù)收集的方式：是否遵守法律法規(guī)規(guī)定、是否取得了數(shù)據(jù)主體的合法授權(quán)及授權(quán)范圍。3.授權(quán)主體適格性：授權(quán)主體必須是具有法定授權(quán)資格的部門或機(jī)構(gòu)；授權(quán)主體是否在其權(quán)限范圍內(nèi)進(jìn)行授權(quán)，是否超越法定職權(quán)進(jìn)行授權(quán)行為。4.被授權(quán)方資質(zhì)：評(píng)估被授權(quán)方的技術(shù)能力和安全保障能力；被授權(quán)方的信譽(yù)、經(jīng)營狀況、過往行政處罰情況，以及是否有能力履行公共數(shù)據(jù)運(yùn)5.授權(quán)范圍及期限：授權(quán)運(yùn)營的公共數(shù)據(jù)是否明確界定了數(shù)據(jù)的類型、內(nèi)容、格式等；被授權(quán)方使用目的及用途是否在授權(quán)規(guī)定的范圍內(nèi)；公共數(shù)據(jù)的使用是否在授權(quán)期限內(nèi)。第二十七條【應(yīng)用場景的數(shù)據(jù)內(nèi)容審查】（一）內(nèi)部應(yīng)用場景審查1.內(nèi)部數(shù)據(jù)使用場景合規(guī)性，如數(shù)據(jù)分析、決策支持、業(yè)務(wù)優(yōu)化等。2.評(píng)估數(shù)據(jù)收集、使用是否遵循“最小且必要原則”，是否存在數(shù)據(jù)3.內(nèi)部數(shù)據(jù)安全管理措施，如訪問控制、數(shù)據(jù)加密、備份恢復(fù)等。（二）外部合作應(yīng)用場景審查1.與外部合作伙伴的數(shù)據(jù)共享和合作場景合規(guī)性。2.合作協(xié)議中關(guān)于數(shù)據(jù)保護(hù)的條款合規(guī)性。-18-4.分析新興技術(shù)應(yīng)用帶來的數(shù)據(jù)安全挑戰(zhàn)和風(fēng)險(xiǎn)。（三）不同應(yīng)用場景下數(shù)據(jù)質(zhì)量影響評(píng)估1.數(shù)據(jù)質(zhì)量評(píng)估主要從規(guī)范性、完整性、準(zhǔn)確性、一致性、時(shí)效性和可訪問性六個(gè)維度展開。2.律師辦理入表法律業(yè)務(wù)時(shí)應(yīng)當(dāng)重視數(shù)據(jù)應(yīng)用場景對(duì)數(shù)據(jù)質(zhì)量的要求，同樣的數(shù)據(jù)在不同場景下對(duì)上述六個(gè)指標(biāo)的需求有所差異。第一節(jié)數(shù)據(jù)來源合規(guī)概述第二十八條【數(shù)據(jù)來源合規(guī)】數(shù)據(jù)來源的合規(guī)是指標(biāo)的企業(yè)在獲取和收集數(shù)據(jù)時(shí)，應(yīng)當(dāng)遵循相關(guān)法律法規(guī)、行業(yè)規(guī)范及道德準(zhǔn)則，確保數(shù)據(jù)取得的合法性、正當(dāng)性和安全性。第二十九條【數(shù)據(jù)獲得的渠道】數(shù)據(jù)的獲取主要包括以下幾種渠道：內(nèi)部生成數(shù)據(jù)、外購數(shù)據(jù)、公開收集數(shù)據(jù)、個(gè)人授權(quán)數(shù)據(jù)以及其他方式獲取第三十條【數(shù)據(jù)來源合規(guī)審查的合法性依據(jù)】審查數(shù)據(jù)來源合規(guī)的依據(jù)主要包括以下內(nèi)容：（一）數(shù)據(jù)收集應(yīng)符合現(xiàn)行法律法規(guī)，尤其是數(shù)據(jù)相關(guān)的法律法規(guī)的要求，包括但不限于《網(wǎng)安法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等。值得注意的是，各垂直領(lǐng)域應(yīng)考慮不同行業(yè)或領(lǐng)域現(xiàn)行專門的法律法規(guī)。（二）數(shù)據(jù)收集應(yīng)避免侵害第三方的權(quán)益，尤其是從公開渠道獲取的-19-數(shù)據(jù)：屬于公共數(shù)據(jù)源的，應(yīng)盡基本審慎的義務(wù)審查數(shù)據(jù)來源主體的收集行為是否符合法律法規(guī)及行業(yè)規(guī)范，以及標(biāo)的企業(yè)獲取、處理、使用數(shù)據(jù)集的行為是否符合公共數(shù)據(jù)源的協(xié)議或規(guī)則；屬于爬取數(shù)據(jù)的，應(yīng)審查爬取行為是否具備正當(dāng)性，不得侵犯其他方的人身權(quán)和財(cái)產(chǎn)權(quán)（包括知識(shí)產(chǎn)權(quán)）。（三）通過從第三方購買、授權(quán)等數(shù)據(jù)交易方式外購數(shù)據(jù)的，應(yīng)當(dāng)審查數(shù)據(jù)交易合同是否違反國家強(qiáng)制性法律規(guī)定，明確數(shù)據(jù)來源，審查交易主體的必要資質(zhì)和授權(quán)、標(biāo)的數(shù)據(jù)的授權(quán)使用范圍、交易主體的網(wǎng)絡(luò)與數(shù)據(jù)安全要求，以及出現(xiàn)風(fēng)險(xiǎn)事件的責(zé)任承擔(dān)等條款，確保數(shù)據(jù)來源的合法性、正第三十一條【數(shù)據(jù)的可追溯性】確保數(shù)據(jù)能夠追溯是合規(guī)審查的重要方面，主要包括來源記錄和數(shù)據(jù)流轉(zhuǎn)記錄。來源記錄能夠確保數(shù)據(jù)追根溯源，記錄內(nèi)容包括數(shù)據(jù)的原始提供者、收集時(shí)間和收集方式等信息。來源記錄有助于在出現(xiàn)問題時(shí)快速確定責(zé)任主數(shù)據(jù)流轉(zhuǎn)記錄能夠載明數(shù)據(jù)在多個(gè)主體之間流轉(zhuǎn)情況，記錄內(nèi)容包括每一次流轉(zhuǎn)的目的、接收方和授權(quán)情況等。流轉(zhuǎn)記錄有助于確保數(shù)據(jù)在整個(gè)生命周期中的合規(guī)性。第二節(jié)內(nèi)部生成數(shù)據(jù)來源合規(guī)審查第三十二條【內(nèi)部生成數(shù)據(jù)】內(nèi)部生成數(shù)據(jù)是指標(biāo)的企業(yè)內(nèi)部業(yè)務(wù)活動(dòng)、運(yùn)營過程、管理決策等所產(chǎn)生的數(shù)據(jù)集合。這些數(shù)據(jù)反映了標(biāo)的企業(yè)-20-的特定業(yè)務(wù)流程、客戶群體、產(chǎn)品和服務(wù)的特點(diǎn)以及管理模式等方面的情況。內(nèi)部生成數(shù)據(jù)包括但不限于以下內(nèi)容：業(yè)務(wù)交易數(shù)據(jù)、客戶信息數(shù)據(jù)、生產(chǎn)運(yùn)營數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、人力資源數(shù)據(jù)、研發(fā)數(shù)據(jù)等。第三十三條【內(nèi)部生成數(shù)據(jù)來源合規(guī)審查】內(nèi)部生成數(shù)據(jù)來源合規(guī)審查，主要從以下方面進(jìn)行合規(guī)審查：（一）數(shù)據(jù)生成依據(jù)審查：檢查數(shù)據(jù)生成是否基于標(biāo)的企業(yè)合規(guī)的業(yè)務(wù)流程和操作規(guī)范。確保數(shù)據(jù)是在遵循相關(guān)法律法規(guī)、行業(yè)標(biāo)準(zhǔn)以及企業(yè)內(nèi)部制度的前提下產(chǎn)生的。（二）數(shù)據(jù)生成目的審查：確認(rèn)數(shù)據(jù)生成的目的明確、合規(guī)且符合標(biāo)的企業(yè)的目標(biāo)和戰(zhàn)略規(guī)劃，審查是否存在為了不正當(dāng)目的而生成數(shù)據(jù)的情況。（三）數(shù)據(jù)生成過程審查：評(píng)估數(shù)據(jù)生成過程中的技術(shù)手段和方法是確保數(shù)據(jù)生成過程中的數(shù)據(jù)生成人員具備相應(yīng)的資質(zhì)和權(quán)限，且嚴(yán)格按照操（四）數(shù)據(jù)質(zhì)量管理審查：檢查標(biāo)的企業(yè)是否建立有效的數(shù)據(jù)質(zhì)量管完整、一致和及時(shí)。同時(shí)，評(píng)估數(shù)據(jù)質(zhì)量問題對(duì)業(yè)務(wù)決策和合規(guī)性的潛在影8.對(duì)數(shù)據(jù)生成技術(shù)方法和可靠性的評(píng)估可能超出了法律的專業(yè)判斷，除審閱企業(yè)自身材料外，建議參考第三方技術(shù)服務(wù)商提供的專業(yè)技術(shù)評(píng)估意見。律師在給出整體合規(guī)意見時(shí)，應(yīng)當(dāng)注意參考其他專業(yè)判斷在法-21-響，對(duì)于發(fā)現(xiàn)的數(shù)據(jù)質(zhì)量問題，審查是否已及時(shí)采取糾正措施并對(duì)相關(guān)責(zé)任人進(jìn)行了必要的問責(zé)。（五）內(nèi)部審計(jì)與監(jiān)督機(jī)制審查：確認(rèn)標(biāo)的企業(yè)是否設(shè)立了獨(dú)立的內(nèi)部審查部門或崗位，負(fù)責(zé)定期對(duì)數(shù)據(jù)生成活動(dòng)進(jìn)行監(jiān)督和審計(jì)。同時(shí)，檢查內(nèi)部審計(jì)的范圍、頻率和方法是否足以發(fā)現(xiàn)潛在的合規(guī)問題，審計(jì)報(bào)告能否得到管理者的重視并及時(shí)處理，審計(jì)建議落實(shí)的情況如何。第三節(jié)外購數(shù)據(jù)來源合規(guī)審查第三十四條【外購數(shù)據(jù)】外購數(shù)據(jù)是指標(biāo)的企業(yè)從外部供應(yīng)商、數(shù)據(jù)提供商處購買或獲取的數(shù)據(jù)資源。第三十五條【外購數(shù)據(jù)來源合規(guī)審查】外購數(shù)據(jù)來源合規(guī)審查至關(guān)重要，它能確定企業(yè)所獲取的數(shù)據(jù)是否合法、是否符合道德規(guī)范。律師應(yīng)從以下方面進(jìn)行合規(guī)審查：（一）供應(yīng)商的調(diào)查：對(duì)數(shù)據(jù)供應(yīng)商進(jìn)行全面調(diào)查，包括其公司信息、業(yè)務(wù)范圍、信譽(yù)度和市場口碑等。了解供應(yīng)商的經(jīng)營歷史，確認(rèn)其是否存在法律糾紛或不良記錄，這有助于評(píng)估其可靠性和合規(guī)性。同時(shí)，核實(shí)供應(yīng)商是否具有合法的數(shù)據(jù)采集、處理和銷售資質(zhì)。（二）數(shù)據(jù)來源合法性審查：要求供應(yīng)商明確說明數(shù)據(jù)的來源渠道。審查數(shù)據(jù)是否來自合法的途徑。對(duì)于來源不明或存在疑問的數(shù)據(jù)，應(yīng)謹(jǐn)慎對(duì)待，避免潛在的法律風(fēng)險(xiǎn)。同時(shí)，審查數(shù)據(jù)采集過程是否符合相關(guān)法律法規(guī)-22-并有權(quán)將這些權(quán)利轉(zhuǎn)讓或許可給購買方。審查授權(quán)文件的條款和范圍，有效控制購買方在使用數(shù)據(jù)時(shí)引發(fā)法律糾紛的風(fēng)險(xiǎn)。同時(shí)，注意授權(quán)的時(shí)效性和地域范圍。確保數(shù)據(jù)的使用授權(quán)在有效期內(nèi)，并且適用于購買方的業(yè)務(wù)范圍完整性、一致性和時(shí)效性等方面。要求供應(yīng)商提供數(shù)據(jù)質(zhì)量報(bào)告或相關(guān)證明材料，以便購買方了解數(shù)據(jù)的質(zhì)量狀況。另外，可以通過抽樣檢查、數(shù)據(jù)分析等方式，對(duì)數(shù)據(jù)質(zhì)量進(jìn)行進(jìn)一步驗(yàn)證。如果發(fā)現(xiàn)數(shù)據(jù)質(zhì)量存在問題，應(yīng)與供應(yīng)商協(xié)商解決辦法。（五）合同條款審查：在與數(shù)據(jù)供應(yīng)商簽訂合同之前，仔細(xì)審查合同條款，確保合同中明確規(guī)定了數(shù)據(jù)的來源、質(zhì)量、使用授權(quán)、保密義務(wù)、違約責(zé)任等關(guān)鍵事項(xiàng)。注意合同中的免責(zé)條款和爭議解決條款，確保購買方的合法權(quán)益得到充分保護(hù)。第四節(jié)公開收集數(shù)據(jù)來源合規(guī)審查第三十六條【公開收集數(shù)據(jù)】公開收集數(shù)據(jù)是指標(biāo)的企業(yè)通過公開的渠道和方式，主動(dòng)獲取各類數(shù)據(jù)的行為，包括通過互聯(lián)網(wǎng)平臺(tái)、政府公開數(shù)據(jù)平臺(tái)、公共數(shù)據(jù)庫、線下公開活動(dòng)等收集數(shù)據(jù)。第三十七條【公開收集數(shù)據(jù)來源合規(guī)審查】公開收集數(shù)據(jù)來源合規(guī)審查是確保數(shù)據(jù)收集行為合法、正當(dāng)且安全的重要環(huán)節(jié)。律師應(yīng)從以下方面-23-（一）明確數(shù)據(jù)收集的目的和范圍：在開始審查之前，首先要明確收集數(shù)據(jù)的具體目的以及所涉及的范圍，這有助于確定審查的重點(diǎn)和方向，確保收集的數(shù)據(jù)僅用于合法、正當(dāng)且明確的用途，并且不超出必要的范圍。（二）審查數(shù)據(jù)來源的合法性：確認(rèn)數(shù)據(jù)是否來自公開渠道，包括政府公開數(shù)據(jù)平臺(tái)、合法的新聞媒體網(wǎng)站、學(xué)術(shù)研究機(jī)構(gòu)的公開數(shù)據(jù)庫、公共論壇和社交媒體平臺(tái)等。對(duì)于聲稱來自公開渠道的數(shù)據(jù)，要仔細(xì)核實(shí)其來源的真實(shí)性和可靠性。同時(shí)，檢查數(shù)據(jù)收集是否遵循了相關(guān)平臺(tái)或渠道的使用規(guī)則和條款，以免引發(fā)法律糾紛。（三）評(píng)估數(shù)據(jù)收集方法的合規(guī)性：如果是通過網(wǎng)絡(luò)爬蟲等技術(shù)手段收集數(shù)據(jù)，要審查其是否遵守了相關(guān)的法律法規(guī)和技術(shù)規(guī)范。對(duì)網(wǎng)絡(luò)爬蟲的使用可能涉及侵害個(gè)人信息權(quán)、侵犯網(wǎng)站內(nèi)容著作權(quán)以及違反技術(shù)保護(hù)措施、Robots協(xié)議、對(duì)服務(wù)器造成過度負(fù)擔(dān)等涉嫌非法利用他人數(shù)據(jù)獲取競爭優(yōu)勢的不正當(dāng)競爭行為，均需要謹(jǐn)慎評(píng)估和處理。同時(shí)，對(duì)于通過人工方式收集的數(shù)據(jù)，要確保收集過程符合倫理道德標(biāo)準(zhǔn)，并且獲得了被調(diào)查者的知情同意。特別是在涉及敏感信息或個(gè)人隱私的情況下，更要加強(qiáng)保護(hù)措施，確保數(shù)據(jù)收集的合法性和正當(dāng)性。（四）審查數(shù)據(jù)的質(zhì)量和準(zhǔn)確性：盡管公開收集的數(shù)據(jù)來源較為廣泛，但數(shù)據(jù)的質(zhì)量和準(zhǔn)確性可能參差不齊。在合規(guī)審查過程中，要對(duì)數(shù)據(jù)進(jìn)行一定的質(zhì)量評(píng)估，檢查數(shù)據(jù)是否存在錯(cuò)誤、重復(fù)、缺失或不一致等問題。對(duì)于-24-質(zhì)量較差的數(shù)據(jù)，要謹(jǐn)慎使用或采取相應(yīng)的處理措施。同時(shí)，需要考慮數(shù)據(jù)的時(shí)效性，對(duì)于過時(shí)的數(shù)據(jù)，要進(jìn)行更新或標(biāo)注，以免影響決策的準(zhǔn)確性。（五）關(guān)注數(shù)據(jù)隱私和安全問題：在公開收集數(shù)據(jù)的過程中，可能會(huì)涉及個(gè)人隱私信息。要審查數(shù)據(jù)收集和處理過程中是否采取了足夠的隱私保護(hù)措施，確保個(gè)人隱私不被泄露或?yàn)E用。同時(shí)，評(píng)估數(shù)據(jù)的安全性，防止數(shù)據(jù)遭到未經(jīng)授權(quán)的訪問、篡改或丟失。確保數(shù)據(jù)存儲(chǔ)和傳輸?shù)沫h(huán)境具備相應(yīng)企業(yè)或組織應(yīng)建立健全內(nèi)部審查機(jī)制和流程。明確負(fù)責(zé)數(shù)據(jù)合規(guī)審查的部門或人員，制定詳細(xì)的審查標(biāo)準(zhǔn)和操作指南，定期對(duì)數(shù)據(jù)收集活動(dòng)進(jìn)行審查和監(jiān)督。同時(shí)，要加強(qiáng)員工的培訓(xùn)和教育，增強(qiáng)員工的數(shù)據(jù)合規(guī)意識(shí)和風(fēng)險(xiǎn)防第五節(jié)個(gè)人授權(quán)數(shù)據(jù)來源合規(guī)審查第三十八條【個(gè)人授權(quán)數(shù)據(jù)】個(gè)人授權(quán)數(shù)據(jù)是指個(gè)人主體在明確知曉數(shù)據(jù)使用目的、范圍、方式等情況下，自愿給予標(biāo)的企業(yè)使用其相關(guān)數(shù)據(jù)第三十九條【個(gè)人授權(quán)數(shù)據(jù)來源合規(guī)審查】對(duì)于個(gè)人授權(quán)數(shù)據(jù)，律師應(yīng)從以下方面進(jìn)行合規(guī)審查：（一）授權(quán)的真實(shí)性審查：確認(rèn)個(gè)人確實(shí)進(jìn)行了授權(quán)操作，而非他人冒名頂替或偽造授權(quán)?？梢酝ㄟ^驗(yàn)證授權(quán)過程中的身份認(rèn)證信息、電子簽名-25-等方式來確保授權(quán)的真實(shí)性。同時(shí)，審查授權(quán)的方式是否符合法律規(guī)定和相《個(gè)人信息保護(hù)法》通常規(guī)定了個(gè)人信息收集、使用和處理的基本原則和規(guī)則，審查時(shí)應(yīng)確保授權(quán)行為未違反前述法律規(guī)定。同時(shí)，核實(shí)授權(quán)是否涵蓋了數(shù)據(jù)使用的所有必要方面，且符合業(yè)務(wù)的實(shí)際需求。（三）授權(quán)的有效性審查：確認(rèn)授權(quán)是否在有效期內(nèi)。個(gè)人授權(quán)通常具有一定的期限限制，審查時(shí)應(yīng)確保數(shù)據(jù)的使用在授權(quán)有效期內(nèi)進(jìn)行。同時(shí)，審查授權(quán)是否存在被撤銷或變更的情況。個(gè)人有權(quán)隨時(shí)撤銷或變更其授權(quán)，標(biāo)的企業(yè)應(yīng)向個(gè)人提供明確的撤銷或變更授權(quán)的方式并及時(shí)更新個(gè)人授權(quán)情況，律師審查時(shí)也應(yīng)抽樣核實(shí)個(gè)人信息的最新的授權(quán)狀態(tài)。（四）數(shù)據(jù)來源的可靠性審查：盡管個(gè)人進(jìn)行了授權(quán)，但仍需審查數(shù)據(jù)的來源是否可靠。同時(shí)，對(duì)數(shù)據(jù)的完整性和準(zhǔn)確性進(jìn)行審查。確保獲取的個(gè)（五）審查記錄和存檔：建立完善的審查記錄制度，記錄對(duì)個(gè)人授權(quán)數(shù)據(jù)來源合規(guī)審查的過程和結(jié)果，包括審查的時(shí)間、人員、發(fā)現(xiàn)的問題及處理措施等。同時(shí)，對(duì)審查記錄和相關(guān)的授權(quán)文件進(jìn)行妥善存檔，以備日后查詢和審計(jì)。存檔的期限應(yīng)符合法律法規(guī)和業(yè)務(wù)的要求。第六節(jié)其他方式獲取數(shù)據(jù)來源合規(guī)審查第四十條【其他方式獲取的數(shù)據(jù)】其他方式獲取數(shù)據(jù)是指除了外購-26-數(shù)據(jù)、公開收集數(shù)據(jù)和個(gè)人授權(quán)數(shù)據(jù)之外，標(biāo)的企業(yè)通過各種非常規(guī)或特定途徑獲取數(shù)據(jù)的方式，包括但不限于合作交換、數(shù)據(jù)挖掘與分析、傳感器和物聯(lián)網(wǎng)設(shè)備收集、競賽和眾包模式等。第四十一條【其他方式獲取數(shù)據(jù)來源合規(guī)審查】對(duì)于其他方式獲取的數(shù)據(jù)來源，律師應(yīng)從以下方面進(jìn)行合規(guī)審查：（一）合作與交換：審查合作協(xié)議或交換協(xié)議，明確雙方的數(shù)據(jù)權(quán)利和義務(wù)，確保數(shù)據(jù)的提供和使用符合法律法規(guī)及協(xié)議約定。核實(shí)合作方或交換方的數(shù)據(jù)來源合法性，要求其提供相關(guān)證明材料，如數(shù)據(jù)采集的授權(quán)文件（二）數(shù)據(jù)挖掘與分析：對(duì)于從企業(yè)自身數(shù)據(jù)挖掘得到的數(shù)據(jù)，審查數(shù)據(jù)采集和存儲(chǔ)的合規(guī)性，確保原始數(shù)據(jù)的獲取和處理符合相關(guān)規(guī)定。若涉及對(duì)公開大數(shù)據(jù)集的二次分析，確認(rèn)數(shù)據(jù)集的公開性質(zhì)和使用許可，遵守相應(yīng)的使用條款和限制。（三）傳感器和物聯(lián)網(wǎng)設(shè)備收集：審查傳感器和物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù)采集機(jī)制，確保其符合隱私政策和相關(guān)法規(guī)。評(píng)估數(shù)據(jù)傳輸和存儲(chǔ)的安全性，防止數(shù)據(jù)泄露或被濫用。（四）競賽和眾包：在競賽和眾包活動(dòng)中，明確參與者提交數(shù)據(jù)的所有權(quán)和使用權(quán)限，制定相應(yīng)的規(guī)則和條款，確保數(shù)據(jù)來源清晰、合法。同時(shí)，對(duì)參與者提交的數(shù)據(jù)進(jìn)行審查，排除可能存在侵權(quán)或違法的數(shù)據(jù)。（五）其他：根據(jù)其他未列舉獲取方式的特性進(jìn)行針對(duì)性合規(guī)審查。-27-第一節(jié)數(shù)據(jù)處理概述第四十二條【數(shù)據(jù)處理者】數(shù)據(jù)處理者是指在數(shù)據(jù)處理活動(dòng)中自主決定處理目的和處理方式的自然人、法人或非法人組織。第四十三條【數(shù)據(jù)收集】數(shù)據(jù)收集是指產(chǎn)生、獲取數(shù)據(jù)的行為，從數(shù)據(jù)來源的角度，可以將數(shù)據(jù)收集行為劃分為從數(shù)據(jù)處理者內(nèi)部系統(tǒng)中新產(chǎn)生的數(shù)據(jù)和從數(shù)據(jù)處理者外部系統(tǒng)采集的數(shù)據(jù)。第四十四條【數(shù)據(jù)收集的一般原則】律師應(yīng)當(dāng)審查標(biāo)的企業(yè)數(shù)據(jù)收集是否遵守合法原則、正當(dāng)原則、誠信原則、權(quán)責(zé)一致原則。第四十五條【特定行業(yè)/領(lǐng)域數(shù)據(jù)的收集原則】對(duì)于從事特定行業(yè)/領(lǐng)域的標(biāo)的企業(yè)，律師應(yīng)當(dāng)審查：（一）汽車行業(yè)數(shù)據(jù)收集的特別原則有：車內(nèi)處理原則、默認(rèn)不收集原則、精度范圍適用原則、脫敏處理原則。（二）醫(yī)療健康行業(yè)數(shù)據(jù)收集的特別原則有：1.從健康醫(yī)療大數(shù)據(jù)的角度，要堅(jiān)持以人為本、創(chuàng)新驅(qū)動(dòng)的原則，堅(jiān)持規(guī)范有序、安全可控的原則，支持開放融合、共建共享的原則；2.從人類遺傳資源信息的角度，收集行為要符合倫理原則（尊重人類遺傳資源提供者的隱私權(quán)，取得其事先知情同意，并保護(hù)其合法權(quán)益）、禁-28-3.從人口健康信息角度，還要遵循“一數(shù)一源、最少夠用”原則。選擇同意原則、最小夠用原則、全程可控原則、動(dòng)態(tài)控制原則、權(quán)責(zé)一致原第四十六條【個(gè)人信息收集必要性的審查】標(biāo)的企業(yè)因自身業(yè)務(wù)需要直接收集個(gè)人信息時(shí)，律師應(yīng)根據(jù)標(biāo)的企業(yè)的商業(yè)模式及業(yè)務(wù)功能等審查標(biāo)的企業(yè)收集數(shù)據(jù)是否符合必要性原則，應(yīng)符合：（一）收集的個(gè)人信息的類型應(yīng)與企業(yè)的產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)（直接關(guān)聯(lián)是指沒有上述個(gè)人信息的參與，產(chǎn)品或服務(wù)的功能無法實(shí)（二）自動(dòng)采集個(gè)人信息的頻率應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必（三）間接獲取個(gè)人信息的數(shù)量應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必第四十七條【個(gè)人信息收集授權(quán)同意的審查】標(biāo)的企業(yè)因自身業(yè)務(wù)需要直接收集個(gè)人信息時(shí)，律師應(yīng)審查標(biāo)的企業(yè)是否已事前取得個(gè)人信息主體的授權(quán)同意，具體審查內(nèi)容包括：（一）標(biāo)的企業(yè)是否向個(gè)人信息主體告知收集、使用個(gè)人信息的目的、方式、范圍和規(guī)則等，并獲得個(gè)人信息主體的授權(quán)同意。收集不滿十四周歲-29-未成年人個(gè)人信息前，是否取得未成年人的父母或其他監(jiān)護(hù)人的單獨(dú)同意；（二）個(gè)人信息主體授權(quán)是否為有效授權(quán)，個(gè)人信息收集過程中是否存在強(qiáng)制收集的情形，個(gè)人信息收集界面是否未提供跳過或拒絕等選項(xiàng)；戶服務(wù)協(xié)議》，相關(guān)條款約定是否合法、合規(guī)，內(nèi)容是否符合國家標(biāo)準(zhǔn)及行（四）如產(chǎn)品或服務(wù)提供多項(xiàng)需收集個(gè)人信息的業(yè)務(wù)功能時(shí)，標(biāo)的企業(yè)是否存在強(qiáng)迫個(gè)人信息主體接受產(chǎn)品或服務(wù)所提供的業(yè)務(wù)功能及相應(yīng)的個(gè)人信息收集請(qǐng)求的情形；（五）如個(gè)人信息主體未給予授權(quán)同意的情形下，標(biāo)的企業(yè)是否存在以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)的（六）未取得個(gè)人信息主體的授權(quán)同意而收集個(gè)人信息的，是否符合第四十八條【收集個(gè)人敏感信息的審查】標(biāo)的企業(yè)因自身業(yè)務(wù)直接收集個(gè)人敏感信息時(shí)，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)是否就個(gè)人敏感信息收集取得個(gè)人信息主體的明示同意；個(gè)人信息主體的明示同意是否是其在完全知情的基礎(chǔ)上自主給出的，是否有具體的、清晰明確的意愿表示；（二）標(biāo)的企業(yè)是否按照最小必要原則明確收集個(gè)人敏感信息；-30-（三）標(biāo)的企業(yè)是否僅在用戶使用業(yè)務(wù)功能期間收集該業(yè)務(wù)功能所需（四）標(biāo)的企業(yè)收集個(gè)人敏感信息前，是否已完成個(gè)人信息保護(hù)影響第四十九條【收集個(gè)人生物識(shí)別信息的審查】標(biāo)的企業(yè)收集個(gè)人生物識(shí)別信息時(shí)，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)是否單獨(dú)向個(gè)人信息主體告知收集、使用個(gè)人生物識(shí)別信息的目的、方式和范圍，以及存儲(chǔ)時(shí)間等規(guī)則，是否征得個(gè)人信息主體（二）如涉及人臉數(shù)據(jù)，是否按照規(guī)定公布人臉識(shí)別數(shù)據(jù)處理規(guī)則；（三）標(biāo)的企業(yè)收集個(gè)人生物識(shí)別信息是否具有特定的目的和充分的（四）標(biāo)的企業(yè)收集個(gè)人生物識(shí)別信息前，是否已完成個(gè)人信息保護(hù)（五）標(biāo)的企業(yè)如涉及人臉數(shù)據(jù)，是否在識(shí)別過程中持續(xù)告知數(shù)據(jù)主體驗(yàn)證目的，并通過語言、文字等向數(shù)據(jù)主體進(jìn)行提示；（六）標(biāo)的企業(yè)是否僅收集生成人臉特征所需的最小數(shù)量、最少圖像（七）標(biāo)的企業(yè)是否采取安全措施保證人臉識(shí)別數(shù)據(jù)的真實(shí)性、完整性和一致性，防止人臉識(shí)別數(shù)據(jù)在收集過程中泄漏或篡改。-31-第五十條【間接收集個(gè)人信息的審查】標(biāo)的企業(yè)間接收集個(gè)人信息時(shí)，（一）標(biāo)的企業(yè)是否制定外部數(shù)據(jù)采購及審查的相關(guān)制度，是否對(duì)數(shù)據(jù)資源提供方的安全保障能力及數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，是否對(duì)個(gè)人信息來（二）數(shù)據(jù)資源提供方是否與收集方簽署合作協(xié)議，明確雙方數(shù)據(jù)安（三）數(shù)據(jù)資源提供方已獲得的個(gè)人信息處理的授權(quán)同意范圍，包括處理目的、處理方式和個(gè)人信息的種類，是否能夠涵蓋數(shù)據(jù)資源提供方向收集方提供共享信息的范圍，個(gè)人信息主體是否授權(quán)同意轉(zhuǎn)讓、共享、公開披露、刪除該個(gè)人信息數(shù)據(jù)等；（四）對(duì)于業(yè)務(wù)開展中所需進(jìn)行的個(gè)人信息處理活動(dòng)超出個(gè)人信息主體授權(quán)同意范圍的，標(biāo)的企業(yè)是否在獲取個(gè)人信息后的合理期限內(nèi)或處理個(gè)人信息前，直接或通過數(shù)據(jù)資源提供方征得個(gè)人信息主體的明示同意。第五十一條【違法收集個(gè)人信息的審查】律師應(yīng)當(dāng)審查標(biāo)的企業(yè)是否存在違法收集個(gè)人信息的情形，包括：（一）以欺詐、誘騙、誤導(dǎo)的方式收集個(gè)人信息；（二）隱瞞產(chǎn)品或服務(wù)所具有的收集個(gè)人信息的功能；（三）從非法渠道獲取個(gè)人信息。第五十二條【收集非個(gè)人信息的審查】收集非個(gè)人信息應(yīng)注意審查：-32-（一）數(shù)據(jù)處理者是否取得收集相關(guān)數(shù)據(jù)的資質(zhì)；（二）收集信息的類型、收集使用的目的、收集方式是否符合相關(guān)法律法規(guī)、規(guī)范性文件的規(guī)定；（三）如果與第三方合作收集數(shù)據(jù)的，應(yīng)關(guān)注是否就數(shù)據(jù)的使用、收益等作出了明確約定。第五十三條【數(shù)據(jù)存儲(chǔ)】數(shù)據(jù)存儲(chǔ)是指數(shù)據(jù)處理者在提供產(chǎn)品或服務(wù)、開展經(jīng)營管理等活動(dòng)時(shí)，通過磁盤、磁帶、云存儲(chǔ)設(shè)備等存儲(chǔ)媒體，在一定期限內(nèi)持久化保留、保存數(shù)據(jù)的行為。第五十四條【數(shù)據(jù)存儲(chǔ)期限的審查】關(guān)于數(shù)據(jù)存儲(chǔ)期限，律師應(yīng)當(dāng)（一）標(biāo)的企業(yè)對(duì)于個(gè)人信息的保存期限是否為實(shí)現(xiàn)個(gè)人信息主體授權(quán)使用的目的所必需的最短時(shí)間，是否超出收集使用規(guī)則中明示的存儲(chǔ)期限；（二）數(shù)據(jù)存儲(chǔ)的期限是否符合所處特定行業(yè)關(guān)于存儲(chǔ)期限的法律法規(guī)及規(guī)范性文件的要求，如：1.網(wǎng)約車平臺(tái)采集的個(gè)人信息和生成的業(yè)務(wù)數(shù)據(jù)，保存期限不少于兩2.住院電子病歷保存期限不少于三十年，互聯(lián)網(wǎng)診療病歷保存期限不少于十五年，其中圖文對(duì)話、音視頻保存期限不少于三年；3.藥品網(wǎng)絡(luò)零售商對(duì)處方、在線服務(wù)記錄的保存期限不少于五年且不-33-少于藥品有效期滿后一年；4.平臺(tái)經(jīng)營者對(duì)數(shù)據(jù)信息的保存期限不少于三年；5.互聯(lián)網(wǎng)直播提供者對(duì)使用者發(fā)布內(nèi)容和日志的保存期限不少于六十日，對(duì)網(wǎng)絡(luò)交易活動(dòng)的視頻的保存期限不少于三年；6.證券登記結(jié)算機(jī)構(gòu)對(duì)文件和資料的保存期限不少于二十年，證券公司對(duì)客戶資料等信息的保存期限為至少二十年；（三）對(duì)于超過存儲(chǔ)期限的數(shù)據(jù)，標(biāo)的企業(yè)是否及時(shí)進(jìn)行刪除或匿名第五十五條【數(shù)據(jù)存儲(chǔ)安全的審查】律師可從數(shù)據(jù)存儲(chǔ)的行為結(jié)構(gòu)出發(fā)，對(duì)存儲(chǔ)媒介安全、存儲(chǔ)系統(tǒng)安全、事故預(yù)防機(jī)制三個(gè)角度把握和第五十六條【個(gè)人信息存儲(chǔ)安全措施的審查】關(guān)于個(gè)人信息存儲(chǔ)安全措施，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)在收集個(gè)人信息后，是否進(jìn)行去標(biāo)識(shí)化處理，是否將可用于恢復(fù)識(shí)別個(gè)人的信息與去標(biāo)識(shí)化后的信息分開存儲(chǔ)并加強(qiáng)訪問和使用（二）標(biāo)的企業(yè)是否采用物理或邏輯隔離方式分別存儲(chǔ)人臉識(shí)別數(shù)據(jù)（三）標(biāo)的企業(yè)是否直接存儲(chǔ)原始個(gè)人生物識(shí)別信息；-34-（四）標(biāo)的企業(yè)是否采取數(shù)據(jù)存儲(chǔ)相關(guān)安全管控措施，是否按照數(shù)據(jù)分類分級(jí)制度，針對(duì)不同類別級(jí)別的數(shù)據(jù)采取差異化數(shù)據(jù)存儲(chǔ)措施；（五）標(biāo)的企業(yè)是否實(shí)施權(quán)限管控機(jī)制，采用最小授權(quán)保障個(gè)人信息數(shù)據(jù)被有效保護(hù)，防止被非授權(quán)訪問或處理；（六）標(biāo)的企業(yè)是否針對(duì)存儲(chǔ)介質(zhì)提供有效的技術(shù)和管理手段，防止對(duì)介質(zhì)的不當(dāng)使用而引發(fā)的數(shù)據(jù)泄露風(fēng)險(xiǎn)，并對(duì)存儲(chǔ)介質(zhì)訪問和使用行為進(jìn)（七）標(biāo)的企業(yè)是否建立數(shù)據(jù)備份恢復(fù)操作規(guī)程，保障數(shù)據(jù)的可用性（八）標(biāo)的企業(yè)終止運(yùn)營其產(chǎn)品或服務(wù)時(shí)，是否將收集的個(gè)人信息進(jìn)行刪除或匿名化處理。第五十七條【數(shù)據(jù)存儲(chǔ)地點(diǎn)的審查】關(guān)于數(shù)據(jù)存儲(chǔ)地點(diǎn)，律師應(yīng)當(dāng)（一）根據(jù)標(biāo)的企業(yè)處理數(shù)據(jù)的類型、標(biāo)的企業(yè)所處行業(yè)及其性質(zhì)，判斷其數(shù)據(jù)存儲(chǔ)是否需履行本地化儲(chǔ)存義務(wù)；（二）審查標(biāo)的企業(yè)數(shù)據(jù)儲(chǔ)存的地點(diǎn)與方式（自行存儲(chǔ)或委托第三方存儲(chǔ)），判斷儲(chǔ)存地點(diǎn)是否合法、合規(guī)。第五十八條【數(shù)據(jù)存儲(chǔ)的本地化要求】國家機(jī)關(guān)處理的個(gè)人信息、關(guān)鍵信息基礎(chǔ)設(shè)施收集和產(chǎn)生的重要數(shù)據(jù)、汽車重要數(shù)據(jù)、網(wǎng)約車平臺(tái)收集的個(gè)人信息和生成的業(yè)務(wù)數(shù)據(jù)、醫(yī)療機(jī)構(gòu)產(chǎn)生的人口信息及健康醫(yī)療信息等-35-都有數(shù)據(jù)存儲(chǔ)在境內(nèi)的要求，即數(shù)據(jù)的本地化存儲(chǔ)要求。但也允許在特殊情況下，在取得監(jiān)管部門審批同意或履行必要的法定義務(wù)后，向中華人民共和第五十九條【個(gè)人信息刪除的審查】關(guān)于個(gè)人信息刪除義務(wù)，律師（一）標(biāo)的企業(yè)是否主動(dòng)刪除、受托人是否履行刪除義務(wù)、標(biāo)的企業(yè)在無法刪除時(shí)的處置措施。（二）如果刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)，標(biāo)的企業(yè)應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理。第六十條【數(shù)據(jù)使用】數(shù)據(jù)使用是一個(gè)集合性的概念。廣義上看，數(shù)據(jù)一經(jīng)收集即被利用，狹義上看，數(shù)據(jù)使用可理解為數(shù)據(jù)處理者對(duì)所收集的數(shù)據(jù)進(jìn)行利用的行為。如個(gè)人信息的使用，包括個(gè)人信息的訪問、展示，用戶畫像的使用，個(gè)性化展示的使用，以及所收集的個(gè)人信息的匯聚融合，信息系統(tǒng)自動(dòng)決策機(jī)制的使用。第六十一條【數(shù)據(jù)使用的基本原則】律師應(yīng)當(dāng)根據(jù)《網(wǎng)安法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)審查標(biāo)的企業(yè)是否遵守的數(shù)據(jù)使用原則，包括合法、正當(dāng)、必要的原則，針對(duì)個(gè)人信息的使用，還包括使用規(guī)則公開透明原則和按照約定使用原則。第六十二條【訪問控制措施的審查】關(guān)于標(biāo)的企業(yè)對(duì)個(gè)人信息訪問-36-的控制措施，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)是否對(duì)被授權(quán)訪問人員建立最小授權(quán)的訪問控制策略，使其只能訪問職責(zé)所需的最小必要的個(gè)人信息，且僅具備完成職責(zé)所需的最（二）標(biāo)的企業(yè)是否對(duì)個(gè)人信息的重要操作（如進(jìn)行批量修改、拷貝、下載等重要操作）設(shè)置內(nèi)部審批流程；（三）標(biāo)的企業(yè)是否對(duì)數(shù)據(jù)安全管理人員、數(shù)據(jù)操作人員、審計(jì)人員（四）標(biāo)的企業(yè)對(duì)于因工作需要授權(quán)特定人員超權(quán)限處理個(gè)人信息的情形，是否經(jīng)內(nèi)部審批，并記錄在冊(cè)。第六十三條【展示限制措施的審查】標(biāo)的企業(yè)涉及通過界面展示個(gè)人信息的，律師應(yīng)當(dāng)審查標(biāo)的企業(yè)是否采取去標(biāo)識(shí)化等處理措施，降低個(gè)人信息在展示環(huán)節(jié)的泄露風(fēng)險(xiǎn)。第六十四條【使用目的限制的審查】關(guān)于標(biāo)的企業(yè)個(gè)人信息使用目的，（一）標(biāo)的企業(yè)使用個(gè)人信息時(shí)是否超出與收集個(gè)人信息時(shí)所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍；如超出范圍使用個(gè)人信息的，是否再次征得個(gè)人信息主體的明示同意；（二）對(duì)于標(biāo)的企業(yè)收集的個(gè)人信息進(jìn)行加工處理而產(chǎn)生的信息，如能夠單獨(dú)或與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情-37-況的，標(biāo)的企業(yè)在使用該等數(shù)據(jù)時(shí)是否遵循收集個(gè)人信息時(shí)獲得的授權(quán)同意第六十五條【自動(dòng)化決策合規(guī)義務(wù)的審查】標(biāo)的企業(yè)利用數(shù)據(jù)進(jìn)行是否向個(gè)人提供拒絕自動(dòng)化的選項(xiàng)；（二）標(biāo)的企業(yè)利用數(shù)據(jù)進(jìn)行自動(dòng)化決策、數(shù)據(jù)分析，是否存在對(duì)交易條件相同的交易相對(duì)人實(shí)施差別待遇的情況，法律法規(guī)及規(guī)范性文件允許（三）標(biāo)的企業(yè)運(yùn)營信息系統(tǒng)具備自動(dòng)決策機(jī)制且能對(duì)個(gè)人信息主體權(quán)益造成顯著影響的，是否在規(guī)劃設(shè)計(jì)階段或首次使用前開展個(gè)人信息安全影響評(píng)估，并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施；（四）標(biāo)的企業(yè)是否在使用過程中定期（至少每年一次）開展個(gè)人信息安全影響評(píng)估，并依評(píng)估結(jié)果改進(jìn)保護(hù)個(gè)人信息主體的措施；（五）標(biāo)的企業(yè)是否存在基于人臉識(shí)別數(shù)據(jù)生成用戶自身畫像和統(tǒng)計(jì)分析；是否存在基于人臉識(shí)別數(shù)據(jù)自身進(jìn)行個(gè)性化推薦的情況；（六）標(biāo)的企業(yè)不應(yīng)使用人臉識(shí)別數(shù)據(jù)作為匯聚融合的直接關(guān)聯(lián)點(diǎn)；（七）標(biāo)的企業(yè)是否向個(gè)人信息主體提供針對(duì)自動(dòng)決策結(jié)果的投訴渠道，并支持對(duì)自動(dòng)決策結(jié)果的人工復(fù)核。第六十六條【個(gè)性化展示的審查】標(biāo)的企業(yè)產(chǎn)品或服務(wù)涉及個(gè)性化-38-展示的，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)業(yè)務(wù)功能涉及個(gè)性化推薦時(shí)，是否顯著區(qū)分個(gè)性化展示和非個(gè)性化展示的內(nèi)容；（二）標(biāo)的企業(yè)業(yè)務(wù)功能利用用戶個(gè)人信息和算法進(jìn)行定向推送，是否同時(shí)提供不基于任何個(gè)人信息，展示普遍推送商品的功能；（三）標(biāo)的企業(yè)通過其產(chǎn)品或服務(wù)基于用戶個(gè)人信息進(jìn)行個(gè)性化展示時(shí)，是否為用戶提供退出或關(guān)閉個(gè)性化展示模式的選項(xiàng)；（四）當(dāng)用戶退出或關(guān)閉個(gè)性化展示模式時(shí)，是否向用戶提供刪除或匿名化定向推送活動(dòng)所基于的個(gè)人信息的選項(xiàng)；（五）標(biāo)的企業(yè)利用個(gè)人信息進(jìn)行個(gè)性化展示時(shí)，是否能確保用戶可自主控制用于個(gè)性化展示的個(gè)人信息類型；（六）用戶是否可以通過選擇用于個(gè)性化展示的個(gè)人信息類型，控制個(gè)性化展示與用戶本身的相關(guān)程度。第六十七條【個(gè)人信息使用合規(guī)義務(wù)的審查】對(duì)于標(biāo)的企業(yè)是否履行個(gè)人信息使用的合規(guī)義務(wù)，律師應(yīng)當(dāng)審查：（一）用戶畫像的合規(guī)義務(wù)：用戶畫像系指使用所收集的個(gè)人信息，對(duì)該等個(gè)人信息主體的某些特性進(jìn)行分析和評(píng)估，形成用戶標(biāo)簽的數(shù)據(jù)處理活動(dòng)。用戶畫像常見的應(yīng)用場景包括應(yīng)用于產(chǎn)品開發(fā)和行業(yè)分析、精準(zhǔn)營銷活動(dòng)和定向推送。如果直接將用戶畫像提供給第三方，仍需遵循知情、同意原則，如果間接用戶畫像無法還原個(gè)人特征的，符合“匿名化”的特征，不-39-受知情、同意原則的約束。達(dá)到群體性畫像要求的，符合“匿名化”特征。（二）個(gè)性化推薦的合規(guī)要求：個(gè)性化推薦是指基于特定個(gè)人信息主體的網(wǎng)絡(luò)瀏覽歷史、興趣愛好、消費(fèi)記錄和習(xí)慣等個(gè)人信息，向該個(gè)人信息主體展示信息內(nèi)容、提供商品或服務(wù)的搜索結(jié)果等活動(dòng)。對(duì)個(gè)性化推薦活動(dòng)的合規(guī)治理方向，要求個(gè)人信息處理者，向個(gè)人進(jìn)行信息推送、商業(yè)營銷的，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或向個(gè)人提供便捷的拒絕方式。以算法推薦技術(shù)開展個(gè)性化推薦的，還要依據(jù)相關(guān)規(guī)定，履行相應(yīng)的合規(guī)義務(wù)。（三）自動(dòng)化決策的合規(guī)義務(wù)：自動(dòng)化決策是指通過計(jì)算機(jī)程序自動(dòng)分析、評(píng)估個(gè)人的行為習(xí)慣、興趣愛好或者經(jīng)濟(jì)、健康、信用狀況等，并進(jìn)行決策的活動(dòng)。自動(dòng)化決策的常見應(yīng)用場景有小額信貸審查、保險(xiǎn)核保、信用評(píng)價(jià)、勞動(dòng)用工管理、平臺(tái)用戶管理。自動(dòng)化決策要堅(jiān)持決策透明、結(jié)果公平公正的原則，對(duì)個(gè)人信息有重大影響的自動(dòng)化決策要設(shè)置人工干預(yù)機(jī)制，還要開展個(gè)人信息安全影響評(píng)估。（四）其他應(yīng)注意的合規(guī)義務(wù)：個(gè)人信息處理者還應(yīng)注意使用個(gè)人信息時(shí)的去標(biāo)識(shí)化問題、合理關(guān)聯(lián)問題、最小使用問題、超范圍使用問題。是否存在基于人臉識(shí)別數(shù)據(jù)自身進(jìn)行個(gè)性化推薦的情況、不應(yīng)使用人臉識(shí)別數(shù)據(jù)作為匯聚融合的直接關(guān)聯(lián)點(diǎn)等。注意“大數(shù)據(jù)殺熟”的“不合理”差別待第六十八條【數(shù)據(jù)加工】數(shù)據(jù)加工主要是指將原始數(shù)據(jù)進(jìn)行編輯、-40-處理、整理、清洗、轉(zhuǎn)換等操作，以便更好地滿足數(shù)據(jù)分析、數(shù)據(jù)挖掘、業(yè)務(wù)決策等需求的數(shù)據(jù)處理過程，以提高數(shù)據(jù)質(zhì)量和應(yīng)用，發(fā)揮數(shù)據(jù)的價(jià)第六十九條【數(shù)據(jù)加工一般性合規(guī)義務(wù)的審查】關(guān)于數(shù)據(jù)加工的一般性合規(guī)義務(wù)，律師應(yīng)審查：（一）標(biāo)的企業(yè)是否構(gòu)建數(shù)據(jù)模型、數(shù)據(jù)目錄；（二）標(biāo)的企業(yè)是否開展數(shù)據(jù)轉(zhuǎn)換、匯聚、清洗、分析等加工活動(dòng)；（三）標(biāo)的企業(yè)是否制定數(shù)據(jù)清洗、數(shù)據(jù)分析等管理辦法，建立數(shù)據(jù)加工評(píng)價(jià)機(jī)制、數(shù)據(jù)操作日志記錄及監(jiān)控審計(jì)等技術(shù)措施；（四）標(biāo)的企業(yè)是否采取測試環(huán)境、開發(fā)生產(chǎn)環(huán)境資源隔離、業(yè)務(wù)系統(tǒng)身份鑒別及訪問控制、數(shù)據(jù)操作日志及監(jiān)控審計(jì)等技術(shù)措施。第七十條【數(shù)據(jù)加工匯聚與融合合規(guī)義務(wù)的審查】關(guān)于數(shù)據(jù)匯聚與融合合規(guī)義務(wù)，律師應(yīng)當(dāng)審查：處理目的、范圍、對(duì)個(gè)人的影響等對(duì)可能的個(gè)人信息風(fēng)險(xiǎn)進(jìn)行評(píng)估，并對(duì)處（二）標(biāo)的企業(yè)數(shù)據(jù)融合是否超出數(shù)據(jù)收集時(shí)所聲明的使用范圍，如超出，是否重新獲得信息主體的授權(quán)，如涉及個(gè)人信息，是否征得個(gè)人信息主體同意；如涉及敏感個(gè)人信息，是否取得用戶的單獨(dú)同意；（三）標(biāo)的企業(yè)是否對(duì)匯聚融合后產(chǎn)生的衍生數(shù)據(jù)重新開展數(shù)據(jù)安全-41-定級(jí)工作，根據(jù)敏感程度分類分級(jí)，并采用相應(yīng)級(jí)別的安全保護(hù)措施。第七十一條【加工健康醫(yī)療數(shù)據(jù)合規(guī)義務(wù)的審查】標(biāo)的企業(yè)加工健康醫(yī)療數(shù)據(jù)的，律師應(yīng)審查：（一）標(biāo)的企業(yè)是否遵循醫(yī)療倫理原則；（二）標(biāo)的企業(yè)是否公開個(gè)人信息處理規(guī)則并取得自然人的個(gè)人同意；（三）標(biāo)的企業(yè)是否履行保證質(zhì)量義務(wù)。第七十二條【加工政務(wù)數(shù)據(jù)合規(guī)義務(wù)的審查】標(biāo)的企業(yè)加工政務(wù)數(shù)（一）標(biāo)的企業(yè)是否建立健全數(shù)據(jù)加工處理機(jī)制；（二）標(biāo)的企業(yè)是否履行保證質(zhì)量義務(wù)、審批和監(jiān)督義務(wù)。第七十三條【數(shù)據(jù)傳輸】數(shù)據(jù)傳輸是一個(gè)技術(shù)層面的概念，是指將數(shù)據(jù)從一個(gè)位置傳輸?shù)搅硪粋€(gè)位置的過程，數(shù)據(jù)傳輸通常通過傳輸協(xié)議來實(shí)現(xiàn)，在傳輸?shù)倪^程中可能通過加密保護(hù)傳輸數(shù)據(jù)的隱私和安全。第七十四條【數(shù)據(jù)傳輸合規(guī)的審查】關(guān)于數(shù)據(jù)傳輸，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)是否根據(jù)傳輸?shù)臄?shù)據(jù)類型、級(jí)別和應(yīng)用場景，制定安全策略、操作規(guī)程并采取保護(hù)措施；數(shù)據(jù)內(nèi)容加密、數(shù)據(jù)接口傳輸安全、數(shù)據(jù)傳輸終端身份鑒別等）確保數(shù)據(jù)傳輸介質(zhì)和環(huán)境安全，保障重要數(shù)據(jù)和敏感個(gè)人信息傳輸過程的安全性，防范-42-未經(jīng)授權(quán)訪問和數(shù)據(jù)泄露；（三）標(biāo)的企業(yè)與數(shù)據(jù)接收方之間是否簽署書面合同就數(shù)據(jù)傳輸應(yīng)采取的安全措施明確約定。第七十五條【重點(diǎn)監(jiān)管行業(yè)數(shù)據(jù)傳輸合規(guī)義務(wù)的審查】如標(biāo)的企業(yè)涉及金融領(lǐng)域、工信領(lǐng)域、健康醫(yī)療領(lǐng)域的數(shù)據(jù)傳輸，律師應(yīng)當(dāng)依據(jù)該領(lǐng)域有關(guān)標(biāo)準(zhǔn)和規(guī)范進(jìn)行特殊的合規(guī)審查。第七十六條【數(shù)據(jù)出境的審查】9對(duì)于標(biāo)的企業(yè)是否存在數(shù)據(jù)出境行為及其是否履行合規(guī)義務(wù)，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)是否存在向境外提供在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的（二）相關(guān)數(shù)據(jù)是否屬于禁止、限制出境的數(shù)據(jù)；（三）標(biāo)的企業(yè)內(nèi)部是否建立健全數(shù)據(jù)出境相關(guān)技術(shù)和管理措施；（四）標(biāo)的企業(yè)是否向個(gè)人履行充分告知義務(wù)，告知內(nèi)容包括境外接收方的名稱、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使個(gè)人信息權(quán)利的方式和程序等事項(xiàng)；是否取得個(gè)人單獨(dú)同意；（五）標(biāo)的企業(yè)是否事前進(jìn)行個(gè)人信息安全影響評(píng)估；（六）標(biāo)的企業(yè)向境外提供重要數(shù)據(jù)和核心數(shù)據(jù)的，是否對(duì)數(shù)據(jù)接收方進(jìn)行數(shù)據(jù)安全保護(hù)能力的評(píng)估與核實(shí)；9.有關(guān)數(shù)據(jù)跨境傳輸更詳細(xì)的內(nèi)容，請(qǐng)參見北京市律師協(xié)會(huì)《律師辦理數(shù)據(jù)出境法律業(yè)務(wù)操作指引（2024）》。-43-（七）標(biāo)的企業(yè)是否為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者向境外提供重要數(shù)據(jù)或個(gè)人信息，或者非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者向境外提供個(gè)人信息數(shù)量是否達(dá)到國家網(wǎng)信部門規(guī)定規(guī)模；符合條件的標(biāo)的企業(yè)是否就數(shù)據(jù)出境通過所在地省級(jí)網(wǎng)信部門向國家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估；（八）如標(biāo)的企業(yè)不涉及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、重要數(shù)據(jù)且向境外提供個(gè)人信息未達(dá)到一定規(guī)模的，標(biāo)的企業(yè)是否與境外接收方訂立個(gè)人信息出境標(biāo)準(zhǔn)合同或者通過個(gè)人信息保護(hù)認(rèn)證；（九）標(biāo)的企業(yè)數(shù)據(jù)出境行為是否滿足相關(guān)法律法規(guī)、規(guī)范性文件規(guī)定免于數(shù)據(jù)出境安全評(píng)估、個(gè)人信息保護(hù)認(rèn)證、個(gè)人信息出境標(biāo)準(zhǔn)合同備案（十）標(biāo)的企業(yè)是否按照法律法規(guī)規(guī)定期限存留相關(guān)日志記錄和數(shù)據(jù)（十一）相關(guān)數(shù)據(jù)出境行為是否符合所在行業(yè)的其他監(jiān)管規(guī)定。第七節(jié)數(shù)據(jù)提供第七十七條【數(shù)據(jù)提供】數(shù)據(jù)提供暫時(shí)沒有完全統(tǒng)一的定義，與數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸?shù)榷紝儆跀?shù)據(jù)處理活動(dòng)。針對(duì)數(shù)據(jù)提供方與接收方之間的法律關(guān)系不同，可將數(shù)據(jù)提供分為數(shù)據(jù)共享（向第三方數(shù)據(jù)處理者提供）、委托處理、轉(zhuǎn)讓、共同處理四種主要情形，還包括數(shù)據(jù)遷移及數(shù)據(jù)交換等其他數(shù)據(jù)提供情形。第七十八條【數(shù)據(jù)提供通用性合規(guī)義務(wù)的審查】關(guān)于數(shù)據(jù)提供的通-44-用性合規(guī)義務(wù)，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)是否評(píng)估數(shù)據(jù)對(duì)外提供行為的風(fēng)險(xiǎn)，是否開展安全影（二）標(biāo)的企業(yè)是否評(píng)估數(shù)據(jù)接收方的數(shù)據(jù)合規(guī)能力，如數(shù)據(jù)接收方是否滿足網(wǎng)絡(luò)安全等級(jí)制度、是否采取加密措施和訪問控制、是否制定了安全制度和數(shù)據(jù)安全事故的應(yīng)急響應(yīng)方案；（三）標(biāo)的企業(yè)與數(shù)據(jù)接收方是否簽署數(shù)據(jù)處理協(xié)議，就處理數(shù)據(jù)的類型、處理目的、處理方式等問題進(jìn)行明確。第七十九條【政務(wù)數(shù)據(jù)提供合規(guī)義務(wù)的審查】關(guān)于政務(wù)數(shù)據(jù)提供的合規(guī)義務(wù)，律師應(yīng)當(dāng)審查：（一）被提供的政務(wù)數(shù)據(jù)是否為國家機(jī)關(guān)在履行職責(zé)中知悉的個(gè)人隱私、個(gè)人信息、商業(yè)秘密、保密商務(wù)信息，該等數(shù)據(jù)應(yīng)予以保密，不得泄露或者非法向他人提供。泄露或向他人提供政務(wù)數(shù)據(jù)的行為。第八十條【重要數(shù)據(jù)提供合規(guī)義務(wù)的審查】關(guān)于重要數(shù)據(jù)提供的合規(guī)義務(wù)，律師應(yīng)當(dāng)審查：（一）被提供的數(shù)據(jù)是否為重要數(shù)據(jù)。重要數(shù)據(jù)是指一旦遭到篡改、可以參考相關(guān)法律法規(guī)或規(guī)范性文件關(guān)于重要數(shù)據(jù)的定義及有關(guān)部門制定的-45-重要數(shù)據(jù)目錄進(jìn)行界定。（二）如涉及重要數(shù)據(jù)出境，標(biāo)的企業(yè)是否向中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室或其他主管部門申報(bào)數(shù)據(jù)安全評(píng)估。第八十一條【個(gè)人信息提供合規(guī)義務(wù)的審查】關(guān)于個(gè)人信息提供的合規(guī)義務(wù)，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)是否獲得個(gè)人信息主體的知情同意；（二）標(biāo)的企業(yè)是否開展了影響評(píng)估；（三）如涉及向境外提供個(gè)人信息的，標(biāo)的企業(yè)是否開展出境安全評(píng)估并使用個(gè)人信息出境標(biāo)準(zhǔn)合同。第八十二條【委托處理的審查】如標(biāo)的企業(yè)委托第三方處理個(gè)人信方進(jìn)行事先的數(shù)據(jù)處理合規(guī)技術(shù)檢測、調(diào)研評(píng)估其數(shù)據(jù)保護(hù)制度完備情況，并在其提供服務(wù)的過程中進(jìn)行數(shù)據(jù)處理合規(guī)技術(shù)抽樣檢查或通過其他方式監(jiān)督驗(yàn)證其數(shù)據(jù)保護(hù)能力；（二）標(biāo)的企業(yè)與受托方是否簽署委托協(xié)議，是否明確約定委托處理的目的、期限、處理方式、個(gè)人信息的種類、保護(hù)措施以及雙方的權(quán)利和義（三）標(biāo)的企業(yè)作出委托行為，是否超出已征得個(gè)人信息主體授權(quán)同意的范圍或是否屬于法律規(guī)定可豁免同意的情形；-46-（四）標(biāo)的企業(yè)委托處理之前是否進(jìn)行個(gè)人信息安全影響評(píng)估；（五）受托方是否嚴(yán)格按照標(biāo)的企業(yè)的要求處理個(gè)人信息；（六）受托方是否存在再次委托的情況，是否就再委托情況事先征得（七）受托方是否協(xié)助委托方積極響應(yīng)個(gè)人信息主體提出的權(quán)利請(qǐng)求；（八）受托方是否發(fā)生過安全事件，是否向標(biāo)的企業(yè)反饋；（九）委托關(guān)系解除時(shí)受托方是否繼續(xù)存儲(chǔ)相關(guān)個(gè)人信息；（十）標(biāo)的企業(yè)是否對(duì)受托方進(jìn)行監(jiān)督；（十一）標(biāo)的企業(yè)在向第三方提供數(shù)據(jù)過程中，是否定期對(duì)數(shù)據(jù)共享（十二）標(biāo)的企業(yè)對(duì)于委托處理個(gè)人信息的情況是否準(zhǔn)確記錄和存儲(chǔ)。標(biāo)的企業(yè)委托第三方處理其他數(shù)據(jù)的，律師可以參照本條第一款審查。第八十三條【數(shù)據(jù)共享與轉(zhuǎn)讓的審查】標(biāo)的企業(yè)共享、轉(zhuǎn)讓個(gè)人信（一）標(biāo)的企業(yè)轉(zhuǎn)讓、共享個(gè)人信息之前是否進(jìn)行個(gè)人信息安全影響評(píng)估，是否依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施；（二）標(biāo)的企業(yè)是否已按照法律規(guī)定向個(gè)人信息主體告知共享、轉(zhuǎn)讓個(gè)人信息的目的、數(shù)據(jù)接收方的類型以及可能產(chǎn)生的后果，并事先征得個(gè)人信息主體的授權(quán)同意；符合法律法規(guī)、規(guī)范性文件規(guī)定的例外情形的除外；（三）如共享、轉(zhuǎn)讓涉及個(gè)人敏感信息的，是否事先向個(gè)人信息主體-47-告知涉及的個(gè)人敏感信息類型、數(shù)據(jù)接收方的身份和數(shù)據(jù)安全能力，并事先征得個(gè)人信息主體的明示同意；（四）共享、轉(zhuǎn)讓是否涉及生物識(shí)別信息，接收方是否具備相應(yīng)數(shù)據(jù)安全能力；是否就生物識(shí)別信息轉(zhuǎn)讓、共享單獨(dú)取得個(gè)人信息主體的明示（五）標(biāo)的企業(yè)是否與接收方簽署協(xié)議約定數(shù)據(jù)接收方的責(zé)任和義務(wù)；（六）標(biāo)的企業(yè)是否準(zhǔn)確記錄和存儲(chǔ)個(gè)人信息的共享、轉(zhuǎn)讓情況，包括共享、轉(zhuǎn)讓的日期、規(guī)模、目的，以及數(shù)據(jù)接收方基本情況等；（七）標(biāo)的企業(yè)是否對(duì)數(shù)據(jù)接收方進(jìn)行監(jiān)督，對(duì)于接收方違反法律法規(guī)及協(xié)議約定處理個(gè)人信息的行為，是否采取相關(guān)措施控制或消除個(gè)人信息標(biāo)的企業(yè)共享、轉(zhuǎn)讓其他數(shù)據(jù)時(shí)，律師可以參照本條第一款審查。第八十四條【共同處理】標(biāo)的企業(yè)與第三方為共同處理個(gè)人信息時(shí)，（一）標(biāo)的企業(yè)是否披露各個(gè)人信息共同處理者的身份，并明確各方是個(gè)人信息共同處理者；（二）標(biāo)的企業(yè)是否與第三方簽署合同確定應(yīng)滿足的個(gè)人信息安全要求，以及在個(gè)人信息安全方面自身和第三方應(yīng)分別承擔(dān)的責(zé)任和義務(wù)；（三）標(biāo)的企業(yè)是否向個(gè)人信息主體明確告知第三方身份以及在個(gè)人信息安全方面自身和第三方應(yīng)分別承擔(dān)的責(zé)任和義務(wù)。-48-標(biāo)的企業(yè)與第三方為共同處理其他數(shù)據(jù)時(shí)，律師可以參照本條第一款第八十五條【數(shù)據(jù)公開】數(shù)據(jù)公開是指向社會(huì)或不特定人群發(fā)布數(shù)據(jù)，使得相關(guān)數(shù)據(jù)處于可被不特定的主體獲取、知悉、訪問之狀態(tài)的行為。數(shù)據(jù)公開可能對(duì)國家安全、社會(huì)公共利益、個(gè)人人格尊嚴(yán)或生命財(cái)產(chǎn)安全帶來重要影響。國家制定政務(wù)數(shù)據(jù)開放目錄，從政務(wù)數(shù)據(jù)公開后的受眾范圍上看，有共享政務(wù)數(shù)據(jù)、可開放政務(wù)數(shù)據(jù)、不宜開放共享的政務(wù)數(shù)據(jù)。第八十六條【數(shù)據(jù)公開通用性合規(guī)義務(wù)的審查】關(guān)于數(shù)據(jù)公開的通用性合規(guī)義務(wù)，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)數(shù)據(jù)公開是否尊重社會(huì)公德和倫理、是否遵守商業(yè)道德和職業(yè)道德，是否侵害國家、社會(huì)和他人的合法權(quán)益；確保公開的數(shù)據(jù)受到保護(hù)；（三）標(biāo)的企業(yè)是否開展對(duì)數(shù)據(jù)公開行為的風(fēng)險(xiǎn)監(jiān)測，是否在發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，立即采取補(bǔ)救措施。第八十七條【特定行業(yè)數(shù)據(jù)公開的審查】關(guān)于特定行業(yè)數(shù)據(jù)，除審查標(biāo)的企業(yè)是否遵守?cái)?shù)據(jù)公開的通用性合規(guī)義務(wù)外，律師應(yīng)對(duì)其行業(yè)合規(guī)要求進(jìn)行審查，比如工業(yè)和信息化領(lǐng)域數(shù)據(jù)的公開、疾病防治與健康管理領(lǐng)域數(shù)據(jù)的公開、金融行業(yè)數(shù)據(jù)的公開，都有單獨(dú)的管理辦法或安全規(guī)范進(jìn)行區(qū)-49-分、審查數(shù)據(jù)的公開合規(guī)問題；政務(wù)數(shù)據(jù)的公開應(yīng)遵守公正、公平、便民、及時(shí)準(zhǔn)確的原則，還要制定政務(wù)數(shù)據(jù)開放目錄、構(gòu)建政務(wù)數(shù)據(jù)開放平臺(tái)。第八十八條【個(gè)人信息公開披露的審查】個(gè)人信息原則上不應(yīng)公開披露，如標(biāo)的企業(yè)經(jīng)法律授權(quán)或具備合理事由確需公開披露時(shí)，律師應(yīng)當(dāng)（一）標(biāo)的企業(yè)是否事先開展個(gè)人信息安全影響評(píng)估，并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施；（二）標(biāo)的企業(yè)是否向個(gè)人信息主體告知公開披露個(gè)人信息的目的、類型，并事先征得個(gè)人信息主體明示同意；（三）公開披露涉及個(gè)人敏感信息的，信息披露前是否向個(gè)人信息主體告知涉及的個(gè)人敏感信息的內(nèi)容；是否準(zhǔn)確記錄和存儲(chǔ)個(gè)人信息公開披露（四）標(biāo)的企業(yè)是否涉及公開披露個(gè)人生物識(shí)別信息；公開披露中國公民的種族、民族、政治觀點(diǎn)、宗教信仰等個(gè)人敏感數(shù)據(jù)的分析結(jié)果的情況。第一節(jié)數(shù)據(jù)管理合規(guī)審查要點(diǎn)第八十九條【一般審查要點(diǎn)】數(shù)據(jù)管理合規(guī)審查的要點(diǎn)包括：數(shù)據(jù)安全管理制度、數(shù)據(jù)安全管理機(jī)構(gòu)、數(shù)據(jù)分類分級(jí)管理、人員安全管理、合作外包管理、安全應(yīng)急管理等。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動(dòng)，應(yīng)一并對(duì)所涉及的信息網(wǎng)絡(luò)的合規(guī)情況（包括但不限于網(wǎng)絡(luò)安全等級(jí)保護(hù)制-50-度的落實(shí)情況等）進(jìn)行審查。第九十條【數(shù)據(jù)安全管理制度審查要點(diǎn)】針對(duì)標(biāo)的企業(yè)數(shù)據(jù)安全管理制度的建設(shè)及落實(shí)情況，應(yīng)重點(diǎn)審查：（一）數(shù)據(jù)安全總體策略、方針、目標(biāo)和原則制定情況；（二）數(shù)據(jù)安全管理工作規(guī)劃或工作方案制定情況；（三）數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全評(píng)估、數(shù)據(jù)訪問權(quán)限管理、數(shù)據(jù)全生命周期管理、數(shù)據(jù)安全應(yīng)急響應(yīng)、數(shù)據(jù)合作方管理、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)安全審計(jì)、數(shù)據(jù)資產(chǎn)管理、大數(shù)據(jù)平臺(tái)安全等制度建設(shè)情況；（四）關(guān)鍵崗位的數(shù)據(jù)安全管理操作規(guī)程建設(shè)情況；（五）制度內(nèi)容與國家和行業(yè)數(shù)據(jù)安全法律法規(guī)和監(jiān)管要求的符合（六）網(wǎng)絡(luò)安全責(zé)任制、數(shù)據(jù)安全責(zé)任制落實(shí)情況，網(wǎng)絡(luò)安全和數(shù)據(jù)安全事件責(zé)任查處情況；（七）數(shù)據(jù)安全管理制度的制定、評(píng)審、發(fā)布流程建設(shè)情況；（八）數(shù)據(jù)安全管理制度的定期審查和更新情況；（九）制度發(fā)布范圍是否覆蓋全面，發(fā)布方式是否正規(guī)、有效；（十）數(shù)據(jù)安全管理制度落實(shí)情況，是否具備操作規(guī)程、記錄表單等（十一）制度落實(shí)監(jiān)督檢查機(jī)制等。第九十一條【數(shù)據(jù)安全管理機(jī)構(gòu)審查要點(diǎn)】針對(duì)標(biāo)的數(shù)據(jù)安全管理-51-機(jī)構(gòu)的建設(shè)情況，應(yīng)重點(diǎn)審查：（一）數(shù)據(jù)安全管理機(jī)構(gòu)和職能設(shè)置情況；（二）數(shù)據(jù)安全負(fù)責(zé)人和職能設(shè)置情況；（三）單位高層人員參與數(shù)據(jù)安全決策情況；（四）對(duì)標(biāo)的企業(yè)內(nèi)部的數(shù)據(jù)安全管理執(zhí)行情況、數(shù)據(jù)操作行為等進(jìn)（五）數(shù)據(jù)安全人員和資源投入情況與組織數(shù)據(jù)安全保護(hù)需求適應(yīng)第九十二條【數(shù)據(jù)分類分級(jí)管理審查要點(diǎn)】針對(duì)標(biāo)的企業(yè)數(shù)據(jù)分類分級(jí)制度的建設(shè)及保護(hù)情況，應(yīng)重點(diǎn)審查：（一）數(shù)據(jù)分類分級(jí)保護(hù)制度建設(shè)情況，是否符合國家、行業(yè)和地方（二）數(shù)據(jù)分類分級(jí)管理情況，及核心數(shù)據(jù)和重要數(shù)據(jù)目錄建立及維（三）是否在相關(guān)制度中明確了數(shù)據(jù)分類管理、分級(jí)保護(hù)策略，數(shù)據(jù)分類分級(jí)保護(hù)措施是否落實(shí)在數(shù)據(jù)訪問權(quán)限申請(qǐng)、保護(hù)措施部署等方面；（四）數(shù)據(jù)分類分級(jí)變更和審查流程情況；（五）個(gè)人信息分類分級(jí)管理情況；（六）是否對(duì)處理的個(gè)人信息和重要數(shù)據(jù)進(jìn)行明確標(biāo)識(shí)；（七）按照數(shù)據(jù)級(jí)別建設(shè)覆蓋全流程數(shù)據(jù)處理活動(dòng)的安全措施情況；-52-（八）數(shù)據(jù)分類分級(jí)標(biāo)識(shí)或數(shù)據(jù)資產(chǎn)管理工具建設(shè)情況，是否具有自動(dòng)化標(biāo)識(shí)能力，是否具有數(shù)據(jù)標(biāo)識(shí)結(jié)果發(fā)布、審查等能力；（九）按照相關(guān)重要數(shù)據(jù)目錄或規(guī)定，評(píng)估重要數(shù)據(jù)并進(jìn)行重點(diǎn)保護(hù)的（十）按照相關(guān)核心數(shù)據(jù)目錄或規(guī)定，評(píng)估核心數(shù)據(jù)并進(jìn)行嚴(yán)格管理第九十三條【人員安全管理審查要點(diǎn)】對(duì)標(biāo)的企業(yè)的人員安全管理審查包括對(duì)人員錄用情況、保密協(xié)議簽訂情況、人員轉(zhuǎn)崗離崗管理情況、人員數(shù)據(jù)安全培訓(xùn)情況四部分內(nèi)容。針對(duì)人員錄用情況，應(yīng)重點(diǎn)審查：（一）重要崗位員工錄用前背景調(diào)查情況；（二）數(shù)據(jù)處理關(guān)鍵崗位人員錄用，對(duì)其數(shù)據(jù)安全意識(shí)或?qū)I(yè)能力進(jìn)針對(duì)保密協(xié)議簽訂情況，應(yīng)重點(diǎn)審查：（一）員工工作紀(jì)律和工作要求中是否明確規(guī)定員工禁止的數(shù)據(jù)安全（二）是否與所有涉及數(shù)據(jù)服務(wù)的人員簽訂安全責(zé)任承諾或保密協(xié)議，與數(shù)據(jù)安全關(guān)鍵崗位人員簽訂數(shù)據(jù)安全崗位責(zé)任協(xié)議；（三）在重要崗位人員調(diào)離或終止勞動(dòng)合同前，是否明確并告知其繼續(xù)履行有關(guān)信息的保密義務(wù)要求，并簽訂保密承諾書。-53-針對(duì)人員轉(zhuǎn)崗離崗管理情況，應(yīng)重點(diǎn)審查：（一）在人員轉(zhuǎn)崗或離崗時(shí)，是否及時(shí)終止或變更完成相關(guān)人員數(shù)據(jù)操作權(quán)限，并明確有關(guān)人員后續(xù)的數(shù)據(jù)保護(hù)管理權(quán)限和保密責(zé)任；（二）對(duì)終止勞動(dòng)合同的人員，是否及時(shí)終止并收回其系統(tǒng)權(quán)限及數(shù)據(jù)權(quán)限，明確告知其繼續(xù)履行有關(guān)信息的保密義務(wù)要求。針對(duì)人員數(shù)據(jù)安全培訓(xùn)情況，應(yīng)重點(diǎn)審查：（一）數(shù)據(jù)安全培訓(xùn)計(jì)劃制定、更新情況；（二）開展數(shù)據(jù)安全意識(shí)教育培訓(xùn)，并保留相關(guān)記錄情況；（三）是否對(duì)數(shù)據(jù)安全崗位人員每年至少進(jìn)行一次數(shù)據(jù)安全專項(xiàng)培訓(xùn)，對(duì)關(guān)鍵崗位人員進(jìn)行定期數(shù)據(jù)安全技能考核情況。第九十四條【合作外包管理審查要點(diǎn)】對(duì)標(biāo)的企業(yè)合作外包管理的審查包括合作方管理機(jī)制、合作協(xié)議約束、外包人員訪問權(quán)限等內(nèi)容。針對(duì)合作方管理機(jī)制建設(shè)情況，應(yīng)重點(diǎn)審查：（一）數(shù)據(jù)合作方安全管理機(jī)制建設(shè)情況，如對(duì)合作方或外包服務(wù)機(jī)構(gòu)的選擇、評(píng)價(jià)、管理、監(jiān)督機(jī)制；（二）是否對(duì)數(shù)據(jù)合作方或外包服務(wù)機(jī)構(gòu)的安全能力進(jìn)行評(píng)估；（三）對(duì)外包服務(wù)機(jī)構(gòu)、人員履行安全責(zé)任義務(wù)的監(jiān)督檢查情況；（四）外包人員現(xiàn)場服務(wù)安全管理情況；（五）對(duì)外包服務(wù)商的技術(shù)依賴程度，對(duì)委托處理數(shù)據(jù)的控制和管理-54-針對(duì)合作協(xié)議約束情況，應(yīng)重點(diǎn)審查：（一）服務(wù)合同、承諾及安全保密協(xié)議情況，是否通過合同協(xié)議等方式對(duì)接收、使用標(biāo)的企業(yè)數(shù)據(jù)的合作方的數(shù)據(jù)使用行為進(jìn)行約束；（二）是否在合作協(xié)議中明確了數(shù)據(jù)處理目的、方式、范圍，安全保護(hù)責(zé)任、數(shù)據(jù)返還或銷毀要求、保密約定及違約責(zé)任和處罰條款等；（三）合作協(xié)議中，標(biāo)的企業(yè)與合作方、外包服務(wù)商間的數(shù)據(jù)安全責(zé)針對(duì)外包人員訪問權(quán)限管理情況，應(yīng)重點(diǎn)審查：（二）能夠在測試環(huán)境下或使用測試數(shù)據(jù)完成的，是否向外包人員開放了生產(chǎn)環(huán)境權(quán)限或真實(shí)數(shù)據(jù)；（三）外包人員數(shù)據(jù)導(dǎo)出操作或數(shù)據(jù)外發(fā)操作的監(jiān)督管理情況；（四）外包人員對(duì)敏感數(shù)據(jù)的訪問及操作能否被實(shí)時(shí)監(jiān)督或監(jiān)測；（五）數(shù)據(jù)外包服務(wù)賬號(hào)及訪問權(quán)限管理情況；（六）外包人員遠(yuǎn)程訪問操作系統(tǒng)或數(shù)據(jù)的情況。第九十五條【安全應(yīng)急管理審查要點(diǎn)】針對(duì)標(biāo)的企業(yè)數(shù)據(jù)安全應(yīng)急管理情況，應(yīng)重點(diǎn)審查：（一）近三年發(fā)生的網(wǎng)絡(luò)安全或數(shù)據(jù)安全事件信息及其處置、記錄、整-55-（二）數(shù)據(jù)安全事件應(yīng)急預(yù)案制定和修訂情況，是否定義數(shù)據(jù)安全事件類型，明確不同類別級(jí)別事件的處置流程和方法；（三）數(shù)據(jù)安全應(yīng)急響應(yīng)及處置機(jī)制建設(shè)情況，發(fā)生數(shù)據(jù)安全事件時(shí)是否立即采取處置措施，是否按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告；（四）數(shù)據(jù)安全事件應(yīng)急演練情況；（五）數(shù)據(jù)處理活動(dòng)安全風(fēng)險(xiǎn)監(jiān)測情況，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，是否立即采取補(bǔ)救措施；（六）安全事件對(duì)個(gè)人、其他組織造成危害的，是否將安全事件和風(fēng)險(xiǎn)情況、危害后果、已經(jīng)采取的補(bǔ)救措施等通知利害關(guān)系人，無法通知的是否采取公告等其他方式告知；（七）如標(biāo)的企業(yè)是面向社會(huì)提供服務(wù)的數(shù)據(jù)處理者，是否建立便捷的數(shù)據(jù)安全相關(guān)投訴舉報(bào)渠道，以及近三年的數(shù)據(jù)安全投訴舉報(bào)處置、記錄和整改情況，是否存在侵害用戶個(gè)人信息合法權(quán)益的情況。第九十六條【數(shù)據(jù)管理合規(guī)審查參考】律師在審查標(biāo)的企業(yè)的數(shù)據(jù)管理合規(guī)情況時(shí)，除上述審查要點(diǎn)外，還可以參考相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)第二節(jié)數(shù)據(jù)管理合規(guī)審查實(shí)施方法10第九十七條【確定法律依據(jù)】檢索并確定相關(guān)法律法規(guī)、國家標(biāo)準(zhǔn)10.數(shù)據(jù)資源合規(guī)審查的各環(huán)節(jié)均可參照本節(jié)方法實(shí)施。-56-和行業(yè)標(biāo)準(zhǔn)對(duì)標(biāo)的企業(yè)的數(shù)據(jù)管理合規(guī)的要求。第九十八條【收集資料】為開展數(shù)據(jù)管理合規(guī)審查，從標(biāo)的企業(yè)收集相關(guān)資料，包括但不限于以下內(nèi)容：（一）數(shù)據(jù)安全總體策略、方針、目標(biāo)和原則；（二）數(shù)據(jù)安全管理工作規(guī)劃或工作方案；（三）數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全評(píng)估、數(shù)據(jù)訪問權(quán)限管理、數(shù)據(jù)全生命周期管理、數(shù)據(jù)安全應(yīng)急響應(yīng)、數(shù)據(jù)合作方管理、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)安全審計(jì)、數(shù)據(jù)資產(chǎn)管理、大數(shù)據(jù)平臺(tái)安全等制度；（四）關(guān)鍵崗位的數(shù)據(jù)安全管理操作規(guī)程、與員工簽訂的保密協(xié)議、數(shù)據(jù)安全培訓(xùn)相關(guān)記錄；（五）相關(guān)數(shù)據(jù)所涉及的各項(xiàng)信息系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)保護(hù)備案證明、相關(guān)安全資質(zhì)或評(píng)級(jí)文件，信息系統(tǒng)的架構(gòu)圖、網(wǎng)絡(luò)拓?fù)鋱D、設(shè)備清單等技（六）標(biāo)的企業(yè)內(nèi)審或第三方評(píng)估機(jī)構(gòu)出具的網(wǎng)絡(luò)安全審計(jì)、審查或安全測評(píng)、風(fēng)險(xiǎn)評(píng)估報(bào)告；（七）標(biāo)的企業(yè)與數(shù)據(jù)合作方、外包服務(wù)商等第三方之間簽訂的涉及數(shù)據(jù)的服務(wù)合同、數(shù)據(jù)共享使用協(xié)議。第九十九條【調(diào)查問卷】設(shè)計(jì)針對(duì)標(biāo)的企業(yè)員工的問卷調(diào)查，了解員工對(duì)數(shù)據(jù)管理合規(guī)的認(rèn)識(shí)、遵守相關(guān)法律法規(guī)的情況等。發(fā)放問卷并收集，-57-第一百條【文檔審查】對(duì)收集的文檔進(jìn)行審查，對(duì)標(biāo)的企業(yè)數(shù)據(jù)管理的總體框架、數(shù)據(jù)管理責(zé)任界定、已識(shí)別的數(shù)據(jù)管理合規(guī)風(fēng)險(xiǎn)及其應(yīng)對(duì)措施有效性進(jìn)行綜合評(píng)估。第一百〇一條【人員訪談】與標(biāo)的企業(yè)的高層管理人員、數(shù)據(jù)安全負(fù)責(zé)人、IT部門人員等進(jìn)行訪談，了解標(biāo)的企業(yè)的數(shù)據(jù)管理的戰(zhàn)略、決策過程和執(zhí)行情況，并詢問標(biāo)的企業(yè)員工對(duì)數(shù)據(jù)安全政策的知曉度和遵守情況，以確認(rèn)相關(guān)戰(zhàn)略、安全政策等是否落實(shí)到位。第一百〇二條【對(duì)第三方審查】審查標(biāo)的企業(yè)與數(shù)據(jù)合作方、外包服務(wù)商等第三方之間的合作關(guān)系，評(píng)估該等第三方的數(shù)據(jù)安全管理水平。檢查標(biāo)的企業(yè)對(duì)數(shù)據(jù)合作方、外包服務(wù)商等第三方的數(shù)據(jù)安全要求和監(jiān)督、審第一百〇三條【測試】調(diào)查實(shí)施階段，應(yīng)通過開展穿行測試、符合性測試等測試方法，對(duì)標(biāo)的企業(yè)進(jìn)行審查，保證調(diào)查結(jié)果準(zhǔn)確性。必要時(shí)，可以與具備相關(guān)從業(yè)資質(zhì)的第三方機(jī)構(gòu)聯(lián)合開展相關(guān)測試。第一百〇四條【風(fēng)險(xiǎn)分析】匯總調(diào)查中發(fā)現(xiàn)的數(shù)據(jù)管理合規(guī)風(fēng)險(xiǎn)，分析其潛在影響和發(fā)生概率。第一百〇五條【做出結(jié)論】根據(jù)分析結(jié)果，對(duì)標(biāo)的企業(yè)的數(shù)據(jù)管理體系有效性、適當(dāng)性進(jìn)行評(píng)價(jià)?；诜治鼋Y(jié)果，提出具體的改進(jìn)建議，包括完善相關(guān)管理制度、加強(qiáng)人員培訓(xùn)、改進(jìn)技術(shù)措施等。第一百〇六條【溝通反饋】與標(biāo)的企業(yè)進(jìn)行溝通，匯報(bào)調(diào)查結(jié)果和-58-建議，解答標(biāo)的企業(yè)的疑問。根據(jù)標(biāo)的企業(yè)的反饋意見，對(duì)報(bào)告進(jìn)行必要的第一百〇七條【數(shù)據(jù)權(quán)益確認(rèn)及界定依據(jù)】在前期充分盡調(diào)的基礎(chǔ)上，律師對(duì)標(biāo)的企業(yè)是否享有數(shù)據(jù)資源持有權(quán)、數(shù)據(jù)加工使用權(quán)、數(shù)據(jù)產(chǎn)品經(jīng)營權(quán)的相關(guān)權(quán)益進(jìn)行確認(rèn)。數(shù)據(jù)權(quán)益界定的依據(jù)包括但不限于依據(jù)《網(wǎng)安法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)二十條》以及其他相關(guān)法律法規(guī)、規(guī)章、