督管理总局及国家互联网信息办公室（“国家网信办”）联合发布的《个人信息保护认证实施规则》（“《认证规则》”），从程序上进一步明确了安全认证制度。国家在数据合规方向释放了趋严监管的信号，这对企业合规工作而言提出了新的要求与挑战。

 

在LCOUNCIL长期调研中，个保法对员工全流程数据合规管理提出了怎样的新要求？个保法未来监管要求重点在何方？企业法务部及外部律师如何建立可以穿越周期并落地的个保法合规体系？企业数据跨境传输合规中有何痛难点及易错点？等问题是是广大法务人士所关注的焦点。

 

鉴于上述背景，北京市环球律师事务所受LCOUNCIL邀请，将由王召刚、邹志卿及孟洁作为主讲人，推出个保法与数据出境安全评估下企业数据合规可行性方案研讨会，针对用人单位人力资源管理、数据交易及服务实践、数据跨境传输三大场景下企业数据合规落地实务难点与要点。本次研讨会中，王召刚、邹志卿及孟洁将结合办案经验进行总结，向与会者进行法律实务分享。

 

分享提纲

 

一、从用人单位人力资源管理角度看《个人信息保护法》的新要求

（主讲人：环球律师事务所 王召刚）

 

（一）我国数据合规相关法律法规概述

1. 立法现状

2. 水平监管

3. 行业监管

 

（二）《个人信息保护法》要点解读

1. 个人信息的定义

2. 处理个人信息的基本原则

3. 处理个人信息的合法性基础

4. 单独同意的五种情形

5. 与第三方合作的注意事项

6. 相关法律责任

 

（三）从人力资源角度如何应对《个人信息保护法》的新要求

1. 招聘环节的注意事项

（1）涉及的个人信息（可以问、不能问与必须问）
（2）涉及文件（如offer letter、job description等）
（3）与猎头、背调公司等第三方的合作

 

2. 在职期间的注意事项
（1）涉及文件（如劳动合同、员工手册等）
（2）考勤、休假等环节的注意事项
（3）不满14周岁未成年人个人信息的处理要点

 

3. 离职环节的注意事项
（1）离职调查
（2）竞业限制
（3）保密义务与商业秘密

 

二、个人信息保护法如何塑造数据交易及服务的实践

（主讲人：环球律师事务所 邹志卿）

 

（一）监管周期演进；

1. 监管周期变化一般规律（房地产、金融）

2. 螺旋式上升

3. 平衡效率与公平等因素

4. 解决现有问题的方案会制造新的挑战

 

（二）为解决“未着重监管”阶段的问题，从而需要“强化监管”

1. 个保法监管要求：划清监管的底线，并在底线之上不断提出场景化要求

2. 数据交易及服务类型变化

3. 各参与主体的考虑重点变化

 

（三）老问题已解决，新疑问或挑战又出现

1. 哪些数据交易及服务要符合个保法的要求？

2. 如何在每个数据交易及服务场景中落地个保法的要求？

3. 合规优先，拿不到法务意见业务情愿不做？

4. 强化后的监管要求会放松吗？

 

（四）企业法务部及外部律师如何建立可以穿越周期并落地的个保法合规体系

1. 重要数据交易及服务场景识别

2. Privacy by Design 和 Privacy by Default

3. 场景化DPIA + 持续迭代

4. 隐私管理技术工具

5. 平衡监管要求、效率和投入成本的监管运营体系

 

三、企业数据跨境传输合规中的痛难点及易错点

（主讲人：环球律师事务所 孟洁）

 

（一）法律法规与监管要求

1. 哪些属于数据出境情形

2. 整体立法现状

3. 整体监管形势

 

（二）三大典型出境场景细节梳理

1. 人力资源数据出境场景
（1）公司招聘&员工数据出境
（2）人力资源企业、猎头企业数据出

 

2. 业务数据出境场景
（1）用户（ToB & ToC）数据出境
（2）生产、技术、经营数据出境
（3）不同行业业务数据出境的区别

 

3. 供应商数据出境
（1）出境方的主要注意事项
（2）供应商企业的应对措施

 

（三）合规思路与流程设计八问

1. 如何识别数据跨境传输场景？

2. 如何盘点跨境传输数据类型和数量？

3. 如何确认采取哪种出境安全保障机制？

4. 如何评估出境方技术和制度措施充分？

5. 如何评估入境方技术和制度措施充分？

6. 如何评估入境方法律与政治环境完善？

7. 如何评估跨境传输相关法律文件完善？

8. 如何制定一份符合监管要求的评估报告？

 

（四）痛难点、易错点及解决方案十问

1. PIA、数据出境安全风险自评估、数据出境安全评估一回事吗？

2. 企业数据跨境传输合规涉及哪些部门，哪个部门适合牵头？

3. 如何把握申报时间，什么都还没做的企业选择躺平还是狂彪？

4. 如何确定自评估报告出具主体？

5. 如何确认出境接收方？

6. 如何判断接收方数据保护能力？

7. 接收方太多或者拒绝合作怎么办？

8. 如何让境外总部给中国区开绿灯？

9. 如何在多系统多场景下高效经济地完成评估工作？

10. 经过自评估后不需要出境安全评估的企业该做什么？