2023年4月初,竞天公诚律师事务所《企业合规监管与实务手册》正式推出,并以近年热议的数据合规话题作为开篇。竞天公诚的律师们在服务客户的过程中,积累了既能代表理论前沿又适应一线实操的丰富经验,出于理论探讨和经验总结之目的,集文成辑,以馈读者。
继🔗数据合规第一辑之后,竞天公诚各位律师在本期中将继续就数据领域的民事诉讼、员工数据、个人信息标准合同、金融数据共享等话题分享观点,期望能与关注数据合规的各界朋友一同学习和探讨,精研相关法律和监管的现状及趋势。
除数据合规外,竞天公诚律师事务所在其《企业合规监管与实务手册》后续系列中,将持续关注和发掘企业合规层面的各类话题,以期帮助企业客户能够从手册中迅速获得相关合规问题的解惑思路和实践经验分享。感谢关注和阅读!
浏览完整文章请点击文末“阅读原文”
《个人信息出境标准合同的制度逻辑与实务要点》
摘要
国家网信办发布的《个人信息出境标准合同办法》明确了标准合同制度,给出个人信息出境标准合同文本。制度体系上,标准合同制度的基本逻辑为“尽量避免前置审批,适度保留行政干预”以及“纳入利他合同条款,落实个人权利保障”,并与《个人信息保护法》规定的安全评估、个人信息保护认证以及其他个人信息跨境路径(如国际条约(RCEP/CPTPP/DEPA)、国际司法协助程序等)分别存在排斥、选择和无关关系。而对于网络安全审查制度而言,标准合同制度虽在监管主体和内容方面有一定重叠,但彼此认为并行而非替代关系。在合同文本内容上,标准合同的核心内容是明确个人信息处理者与境外接收方的权利、义务和责任分配,并赋予个人信息主体“第三方受益人”的地位来加强对其的保护。实务操作中,标准合同实施路径可分为梳理出境情况、开展准备工作、签署标准合同和后期持续管理四个阶段。组织应做好事先的准备工作与事后的持续管理,包括明确标准合同的适用范围、操作要点,结合业务实际情况签署标准合同,在个人信息出境前开展个人信息保护影响评估以及履行合同后合规义务等等,确保境外接收方处理个人信息的活动达到中国相关法律法规规定的个人信息保护标准。
作者介绍
袁立志律师先后从上海对外经贸大学和新加坡国立大学取得国际法硕士和国际商法硕士学位。袁律师于2016年加入竞天公诚律师事务所。
袁律师是注册信息隐私专业人员(CIPP/E)、注册信息隐私管理人员(CIPM)、注册信息安全专业人员(CISP),先后参与多项信息安全和大数据标准的编制。
袁律师兼任华东政法大学数字法治研究院特聘研究员,华东师范大学法学院校外实务导师。
袁律师的执业领域为网络与数据法、TMT、金融科技、前沿科技法律事务。袁律师曾为众多国内外知名企业提供科技法律服务,承办了一系列前沿的、富有挑战性的项目,积累了丰富的实践经验,是该领域的知名专家 。
袁律师连续荣获The Legal 500亚太地区TMT(电信、媒体与科技)领域和数据保护领域“特别推荐律师”;LEGALBAND中国顶级律师排行榜“网络安全与数据”第一梯队,中国律师特别推荐榜15强:“网络安全与数据合规”,中国律师特别推荐榜15强:“人工智能和高科技”等奖项。
朱垒,法学硕士,法学、经济学双学士,持有法律职业资格证、CIPP/E、CIPM、FIP等。曾在多家头部互联网企业从事隐私保护与数据安全工作,参与多部国家标准、行业标准、协会文件等制定工作。朱垒的执业领域为网络与数据法、TMT合规、科技法律事务,已服务多家头部互联网、人工智能、汽车、医疗、云服务、新零售、物流、能源等企业。
《数据安全和数据权益相关的境内诉讼途径梳理》
摘要
伴随数据安全相关法律法规陆续出台,我国境内与数据安全和数据权益相关的诉讼案件不断涌现。在当前民商事领域的司法实践中,企业一般通过反不正当竞争法、商业秘密、著作权法、反垄断法等路径对数据权益进行保护,其中以反不正当竞争法作为法律依据的案件最为普遍。《个人信息保护法》规定的“个人信息保护的集体诉讼制度”也需要额外注意,境外已有大量案例系通过数据隐私集体诉讼的方式维护个人隐私数据安全的法定权益。而对于刑事诉讼领域,违反数据安全管理要求和规定等行为还存在构成侵犯“公民个人信息罪”、“非法获取计算机系统数据罪”等刑事犯罪的法律风险。
综上,企业在涉及数据处理的活动应具有合法性、必要性、正当性,在数据相关诉讼中也需要注意及时对相关证据进行固定,最大程度降低合规成本,规避法律风险。
作者介绍
徐邦炜律师毕业于北京大学法律学系,加入竞天公诚之前,曾工作于某高级人民法院,至今在竞天公诚律师事务所已有超过20年的律师执业经验。
徐律师在竞天公诚工作期间,主要从事民事、商事和知识产权等诉讼、仲裁案件及破产清算、破产重整、债务重组案件的代理。在包括由最高人民法院及超过二十个省高级人民法院、中国国际经济贸易仲裁委员会、北京仲裁委员会、上海仲裁委员会、上海国际仲裁中心、深圳国际仲裁院、香港国际仲裁中心、新加坡国际仲裁中心审理的超过一千件民商事诉讼(包括执行)、商事仲裁案件、知识产权争议案件、公司清算/重组案件及逾百件困境资产清收处置案件中为境内外客户提供过专业的法律服务,行业涉及金融、证券、投融资、房地产、贸易、能源、纺织、机械制造、交通、通讯、医药、教育、传媒、消费、环保等,并曾为中国的若干家部级行政机关及香港高等法院、多家境外法院出具过法律意见及中国法律专家意见。客户对其的评价为“专业和敬业兼备”、“非常擅长处理复杂疑难的商事争议”、“坚强而自信”。
徐律师尤为擅长处理疑难复杂的国内及跨境商事争议、知识产权争议解决案件、破产清算和破产重整案件以及债权债务清收处置案件。
2021年至2023年,徐邦炜律师被钱伯斯全球法律指南(Chambers Asia-Pacific)评为争议解决诉讼领域领先律师,并连续多年获国内外权威评奖评级机构推荐。
《个人信息保护在企业用工管理中的最新实践解析》
摘要
2021年11月开始生效的《个人信息保护法》对企业合规用工管理提出了新要求。该法实施一年多以来,我们发现不少企业都已经有意识在招聘入职、考勤、第三方共享员工信息等场景下注意到个人信息的授权使用问题,但在诸如员工病假审批、违纪行为确认以及竞业限制调查这类场景中,仍然大量存在滥用用人单位优势地位越界非法处理员工个人信息的情形。这些“越界处理行为”最终在相关人力资源纠纷处理中成为企业被政府机构要求整改或取得裁审败诉结果的导火索。
究其原因,主要是企业单方扩大了对《个人信息保护法》赋予的“无需取得个人同意情形”的适用范围,认为只要企业完成了劳动合同的签署或制定了合法有效的规章制度就有权涵盖式处理员工所有个人信息,忽略了《个人信息保护法》中对信息处理应与处理目的相一致以及信息处理应采取对个人权益影响最小的方式进行等其他合规性要求。对此,我们建议企业对用工过程中处理员工个人信息的流程、信息种类重新进行分类,甄别非人力资源管理所必需的个人信息,对非人力资源管理所必需的个人信息通过取得单独同意或其他合法处理理由的方式进行授权处理,确保数据安全合规的平稳落地,提升用工管理水平。
作者介绍
喻鑫律师本科就读于武汉大学法学院,研究生就读于人民大学法学院。喻律师具有14年以上法律从业经验,其中包括5年法务工作经验和9年律师工作经验,主要业务领域为人力资源及资本服务。
喻律师非常擅长处理人力资源及资本领域复杂和创新的法律事务,拥有丰富的成功经验和战绩,尤其在服务新经济与高科技公司、金融投资机构、外资企业、国有企业、创始人及高管方面。喻律师在股权与员工激励设计,联创与高管的引进和退出,员工舞弊的调查、处理与诉讼,劳资关系与股权谈判、人才争夺与商业秘密保护,人力资源合规,灵活用工,员工信息与隐私合规,突发事件处理,企业控制权争夺,人力资源服务企业的资本运作等重大事务的处理上拥有丰富的创新与成功经验。喻律师也担任数十家领先企业的常年法律顾问。
喻律师被LEGALBAND评为“2022年度LEGALBAND风云榜:创新律师15强”,并被LEGALBAND评为“2022(第二梯队)、2021、2020年度中国顶级律师排行榜劳动法推荐律师”,被The Legal 500评为“2022年度亚太地区劳动与雇佣业务领域推荐律师”,被《中国法律商务》China Law & Practice Awards 提名为“2019年度劳动法杰出律师”。喻律师长期与钱伯斯、The Legal 500、律商联讯、公司法务联盟、LCouncil、商法、HRoot、36氪、威科、智合等机构合作,通过论坛、研讨会、专栏文章等方式在线、公开地分享对前沿人力资源及资本事务的前沿观点与解决方案。
《金融集团数据共享的来路与困境》
摘要
数据在金融控股集团之间的流转、应用已经非常普遍,就普通金融消费者而言,直观的感受是申请贷款时的审批额度越来越精准,打开手机银行App时展示的广告越来越贴近实际所需。但这些常见情形并不能作为金融机构之间数据流动的合规担保,金融机构共享数据仍应考虑通用监管以及行业监管层面个人金融信息流动的合规义务。
在个人信息的通用监管方面,无论《个人信息保护法》还是《信息安全技术 个人信息安全规范》,都没有对向关联方共享个人信息进行任何豁免,也没有放宽个人信息的共享提供方的合规义务。在个人金融信息共享的特殊处理方面,大部分金融领域的监管文件中非但没有对金融机构间共享个人金融信息进行豁免,还排除了《个保法》规定的“履行合同所必须”合法性基础,几乎均需获得用户同意。金融机构在此场景下仍需遵守个人金融信息共享的所有安全要求,并应重点关注个人信息处理活动与法定义务的目的直接相关,并应最小化对个人权益的影响。
《金融控股公司监督管理试行办法》为个人金融信息共享打开监管思路,要求集团内部信息共享须遵循“依法合规”、“风险可控”、“经客户书面授权或同意”和“防止不当使用”四大共享准则,并要求集团内各法人机构之间的重要信息化机制、信息系统设施、信息管理客户信息保护应具有业务独立性和完整性,彼此合理隔离,关联方各自承担信息安全管理责任。从侧面也反映出需要将金融控股集团下各关联方作为独立的个人信息处理者来看待数据共享问题,严格保证数据池的独立性,不得混用数据池。近期发布的《金融控股公司关联交易管理办法》进一步认可个人金融信息共享的实际需要和资产价值。该办法第14条认定征信信息、客户信息共享等服务属于“转移资源”行为,将数据共享归入到金融控股集团的关联交易行为之中,从而在用户私权利保障基础之上,将个人金融信息共享监管提高到了金融风险管理的高度。
作者介绍
周律师以其专业、勤勉的工作态度,及其对于新兴业务卓越的理解能力和项目领导能力获得了客户的诸多好评,荣获The Legal 500 2023年度数据保护领域推荐律师和2023年度《商法》律师新星。
