在全球数据经济的大背景下，数据已成为最重要的生产要素之一，也被称为“21世纪的石油”。以《网络安全法》、《数据安全法》、《个人隐私信息保护法》三驾马车为基础各类数据保护条例日趋完善，数据合规市场的火爆程度更是达到了高峰。企业在利用数据实现经济效益的同时，数据往往存在被过度收集和不法利用的风险，对此企业应积极开展数据合规治理，降低违规和被处罚风险。

  企业开展数据合规工作主要面临着三大现实需求：国家立法和政策导向强调数据合规，整体数据合规立法情况呈现出多、细、严的特点，这对企业自身合规提出更高的要求；数据合规相关司法案例层出、行政执法行动频发，企业面临严峻的外部监管压力；从企业自身发展出发，长期资金市场和投融资活动中愈发关注数据合规，企业如希望吸引外部资金以发展壮大也需完善自身数据合规情况。

  根据《网络安全审查办法》相关规定，企业数据处理活动影响或可能会影响国家安全的，有必要进行网络安全审查。

  依据《促进和规范数据跨境流动规定》，企业需依据数据出境业务场景、数据出境类型和数量判断适用的监管手续。

  根据《通信网络安全防护管理办法》，通信网络运行单位需对通信网络单元进行定级并备案。

  《数据安全法》规定国家建立数据分类分级保护制度，当前实践中要求企业需对处理的重要数据来进行目录备案。

  法律法规对关键信息基础设施运营者有额外要求，企业需注意监管部门的认定通知。

  依据《生成式人工智能服务管理暂行办法》等相关规定，具有舆论属性或社会动员能力的生成式人工智能服务需办理备案手续。

  除上述主要监管手续外，企业还需考虑地方或行业特定要求，如年度汽车数据安全管理情况报送、数据安全风险评估报告等。此外，企业应关注是否收到过监管部门的整改通知或处罚，并确保整改措施得到执行。

  数据合规工作要求企业一定设立专门的团队或部门来负责相关事务。在回应监管部门关于企业内部数据合规措施的问询时，常常要从人员配置、制度建设、具体措施等方面做说明。

  企业在设置数据合规组织架构时，需遵循《网络安全法》、《数据安全法》、《个人隐私信息保护法》等有关规定法律法规的规定。不同行业如金融、工信等领域的特定管理办法，也对数据安全管理的组织机构和负责人有具体要求。企业还需考虑所在地区和行业的特殊规定。例如，上海通管局要求取得电信业务经营许可证的电信和互联网企业设立首席数据官，以负责数据安全等相关工作。

  企业数据合规组织架构通常包括决策层、执行层和中间层。决策层如信息安全管理委员会，负责顶层决策和规划；执行层涵盖信息安全、研发、法务合规、人力资源等部门，具体推进数据合规工作；中间层则负责协调统筹，确保决策落实。在设置数据合规架构时，明确职责划分至关重要。企业需将现有的数据合规相关工作通过制度文件明确规划，以满足监管部门对组织架构和职责清晰度的要求。个人信息保护负责人的选任是组织架构设置中的一个关键点。根据《个人信息保护法》，个人信息保护负责人需承担相应法律责任，包括可能的罚款和任职限制。因此，企业内部并非所有人都愿意担任此职位。关于个人信息保护负责人的任职模式，虽无明确规定禁止兼职，但处理大量个人信息时推荐设置专职个人信息保护负责人，并且建议由企业内部人士担任，以确保对企业数据保护工作的熟悉度和有效协调。个人信息保护负责人的最佳人选应具备管理决策职责和专业知识。实践中，由法务合规部门的负责人或IT信息安全部门的负责人兼任个人信息保护负责人是常见做法。

  在实际操作中，协调各部门对数据合规工作的接受度和参与度是一个挑战。通过虚拟组织形式的决策层来分配具体工作事项，可能是一种合适的解决方案。监管部门期望看到企业有一个完善的数据合规组织架构和清晰的职责划分，这有助于提高企业数据合规的透明度和监管的有效性。

  《网络安全法》、《数据安全法》、《个人信息保护法》等法律和法规明确规定企业必须建立数据合规的内部管理制度和操作规程。企业未建立相关制度可能面临处罚。通常企业需建立的制度包括网络安全管理制度、数据分类分级规则、数据全生命周期管理制度、个人隐私信息保护管理办法、安全事件应急处置制度等。

  企业可构建分层级的制度体系以完善合规体系，如一级制度包括原则性、纲领性规定；二级制度包括具体合规要求，结合业务实际和法规要求进行规定；三级制度包括具体操作规程和手册。制度内容应体现法规要求，并结合公司内部数据合规操作实践。避免制度要求与公司实践脱节，以免监管检查时发现问题导致处罚。

  企业应采取的内部安全管理措施包括但不限于：定期安全教育培训、应急预案演练、数据分类分级、权限管控、数据安全风险评估与审计、个人隐私信息保护影响评估（PIA）、个人隐私信息合规审计、个人隐私信息权利行使机制、内部人员管理，特别是保密管理、网络安全漏洞信息接收响应机制。

  企业应定期组织安全教育培训，内容包括法律法规、内部管理制度、工作规范、操作手册要求、信息安全保护意识提升等。法律法规未明确规定培训周期，但建议每年至少一次。此外，企业还需关注行业和地区特殊规定，如北京地区规定电信领域数据处理者对数据安全岗位人员的年度培训时长要求不小于30个学时。企业应保留开展安全教育培训的证据，如现场照片、线上培训截图、参加人员签到记录等，作为合规佐证。

  数据安全管理措施离不开数据分级分类管理。根据数据泄露可能造成的危害程度等因素，将数据分为一般数据、重要数据、核心数据三级。若涉及重要数据或核心数据，需按外部监管手续进行目录梳理并上报监管部门。考虑到数据分类分级工作的复杂性，实际操作中，建议指定牵头部门统筹协调数据分类分级工作，可先从重要场景开始进行数据分类分级，逐步推广至企业其他数据处理场景。

  重要数据的识别存在一定难度，因为多数行业和地区对此缺乏具体标准。建议企业应分两步走：首先检查是否收到监管通知，如是，按监管要求开展重要数据识别和备案工作；其次主动识别内部处理的重要数据，可参考《数据安全技术 数据分类分级规则》等标准，并与监管部门沟通获得更具体的判断标准。

  根据《个人隐私信息保护法》，处理敏感个人隐私信息或利用个人隐私信息进行自动化决策等活动前，企业需进行PIA并形成评估报告，保存期限不少于三年。

  PIA在实操中也存在以下几个难点：1、发起困难：业务一线难以准确判断是否触发PIA情形。2、评估流程复杂：国家标准《信息安全技术 个人隐私信息安全影响评估指南》（GB/T 39335-2020）规定的评估流程较为复杂，可能给企业带来较大负担。3、报告细节不明：法规未明确评估报告具体内容要求。

  1、指定牵头部门负责PIA工作，通过工单加签等形式纳入其他部门集体评估，如法务合规部门牵头、安全部门协同。

  3、通过工单等形式，设置流程卡点，将PIA流程纳入业务审批流中，对于部分较为简单的场景，可直接通过线上完成PIA工作。

  4、部分较为复杂的业务场景，可通过线下访谈、测试、检查、联合评审等方式开展PIA工作。

  5、对于PIA报告，如果是线上完成的，可直接在线生成PIA报告内容。对于较为复杂/重要的业务场景，可考虑起草专门的PIA报告进行留存。

  6、报告的详简建议根据具体评估情况而定，一般建议至少包括：评估时间、评估业务场景和个人隐私信息处理情况介绍、评估结论（个人信息的处理目的、处理方式等是否合法、正当、必要；对个人权益的影响及安全风险；所采取的保护措施是否合法、有效并与风险程度相适应）。

  《网络安全法》、《数据安全法》、《个人信息保护法》等法律和法规均强调了采取技术措施的重要性。未采取技术措施可能导致产品遭受非法入侵、数据泄露等安全事件，进而面临监管部门的处罚。技术措施不仅用于防止危害后果的发生，也是监管部门日常检查的重点。即使未发生实际危害，缺乏如数据加密等基本技术保护措施也可能导致处罚。

  技术保障措施包括但不限于：采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；数据加密；个人隐私信息的去标识化和匿名化处理等。去标识化指个人隐私信息经过处理，在不借助额外信息的情况下无法识别个人的过程。匿名化指个人隐私信息经过处理无法识别特定自然人且不能复原的过程，不再视为个人隐私信息，不受个保法等法规限制。

  实操难点主要在于如何判断是否达到匿名化程度，考虑匿名化当前没有明确的标准，且大概率难以做到，当前建议避免轻易认定匿名化。

  线上产品如网站、APP、小程序等需进行合规性核查与整改，可以关注以下三大方面：

  1、协议文件：隐私政策、用户协议、个人信息授权书等文件是否齐全，内容和形式是否符合法律和法规要求。

  2、前端交互：常见合规问题点如权限申请不合规、强制获取用户个人信息、默认同意、未设置个性化推荐开关、缺乏用户权利行使入口等。

  3、后端处理：常见合规问题点如超范围收集个人信息、SDK收集个人信息未明示、后台静默收集个人信息等。

  1、定期进行线上产品合规性自查，参照《App违法违规收集使用个人信息行为认定方法》等规定。

  企业在线上产品合规性管理时，应密切关注法律和法规要求，结合实际业务情况，采取有效措施保护数据安全，避免违法违规行为，确保企业可持续发展。

  数据全生命周期的合规要求不仅适用于线上产品，也包括线下数据处理场景和其他场景，如通过爬虫获取数据或外部采购获取数据等。企业需梳理内部数据处理场景，并根据全生命周期的合规要求评估符合性。

  数据存储时间上，个人隐私信息存储时间应符合法律法规要求，不应永久存储。企业需设定存储期限规则，避免与业务需求的矛盾。

  员工个人隐私信息处理常被忽略，但合规要求同样重要，处理员工信息主要有以下几点合规要点：

  1、完善内部劳动规章制度/员工劳动合同等文件中涉及个人隐私信息处理的内容、制定员工个人信息处理政策。根据《个人隐私信息保护法》第十三条规定，按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需可处理个人隐私信息。

  2、从招聘、入职、日常管理、离职等全流程梳理员工个人隐私信息处理场景，完善个人隐私信息处理的告知同意安排，例如部分场景如需要公开披露员工个人隐私信息或对外提供员工个人隐私信息的，应当取得员工的单独同意或具备其他合法性基础。

  A.难以论证为实施人力资源管理所必需，建议单独告知、取得员工的单独同意；

  A.必要性上存在争议，建议至少通过员工个人隐私信息处理政策、个人信息授权书等方式，取得员工的同意。

  B. 采取其他缓释措施，如尽量在办公监控区域设置显著的提示标识, 如“您已进入监控范围内”, 并提示员工做好个人隐私信息防护, 包括穿着、密码输入等，避免秘密监控。监控办公设备提前告知，明确员工仅能将办公设备用于办公用途。

  建立涉数据处理及网络产品/服务的合作方的管理机制，包括事前准入尽调、事中监督、事后清退与处置等，特别留意关联方间的数据处理关系。合作方管理要点最重要的包含以下几点：

  建立网络内容信息发布审核、管理机制；设立网络内容信息生态治理负责人，配备与经营事物的规模和服务规模相适应的专业技术人员，负责网络内容信息管理事宜；制定并公开管理规则和平台公约，完善用户协议，明确用户相关权利义务；编制网络内容信息生态治理工作年度报告。

  制定和公开互联网用户账号管理规则、平台公约，与互联网用户签订服务协议，明确账号信息注册、使用和管理相关权利义务；建立用户账号信息的审核、管理机制，配备与服务规模相适应的专业技术人员和技术能力；在互联网用户账号信息页面展示合理范围内的互联网用户账号的互联网协议（IP）地址归属地信息。

  以服务协议等明确告知用户弹窗信息推送服务的具体形式、内容频次、取消渠道等；不得以任何形式干扰或者影响用户关闭弹窗，弹窗信息应当显著标明弹窗信息推送服务提供者身份；弹窗推送广告信息的，应当具有可识别性，显著标明“广告”和关闭标志，确保弹窗广告一键关闭；健全弹窗信息推送内容管理规范，完善信息筛选、编辑、推送等工作流程，配备与服务规模相适应的审核力量，加强弹窗内容信息审核。

  以显著方式告知用户更好的提供算法推荐服务的情况，并以适当方式公示算法推荐服务的基础原理、目的意图和主要运行机制等；向用户更好的提供不针对其个人特征的选项，或者向用户更好的提供便捷的关闭算法推荐服务的选项；向用户更好的提供选择或者删除用于算法推荐服务的针对其个人特征的用户标签的功能；在对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。

  生成内容标识；与注册服务的生成式人工智能服务使用者签订服务协议，明确双方权利义务，提示服务的局限性等风险信息；在显著位置公开服务的适用人群、场合、用途等信息；设置投诉举报入口等。

  设立科技伦理（审查）委员会；开展科技伦理审查活动；通过国家科技伦理管理信息登记平台登记科技伦理（审查）委员会设立情况等。

  免责.本文及其内容并不意味着iLaw对有关问题的法律意见，同时我们并不保证将会在载明日期之后继续对有关内容做更新，我们不建议读者仅仅依赖于本文中的全部或部分内容而进行任何决策，因此造成的后果将由行为人自行负责。如果您需要法律意见或其他专家意见，我们提议您向具有相关资格的专业技术人员寻求专业帮助。

  iLaw团队精心准备《课程讲义》《数据资源入表白皮书》《数字资产应用白皮书》内容详实充分，如有需要，欢迎扫描下方二维码添加iLaw小助理，发送本文链接进行领取～～

  12月27日，有网友发出视频，63岁的刘德华在香港演唱会表演中助跑滑跪，踉跄摔倒，差点从3米高台上摔下，头部甚至已经悬空，看得很多人心惊胆战。事后，刘德华在社交平台上晒手写信报平安，表示：“亲爱的家人们，我没事，谢谢你们的爱，梦中见！”值得一提的是，类似的险情已经多次发生。

  这就是人间不公！731部队细菌战犯逃回日本后，很多人在医院、学校等公立机构担任要职

  731部队是日本军国主义者在第二次世界大战期间下令组建的细菌战秘密部队之一。1931年到1945年期间，731部队进行骇人听闻的人体实验和细菌战等，在中国犯下滔天罪行。数千名中国、苏联、朝鲜战俘和中国平民被用于人体细菌和毒气实验。

  四川舰、福建舰、郑和舰......如何命名一艘海军舰艇？下一艘“船”落谁家？

  27日上午，由中国自主研制建造的076两栖攻击舰首舰四川舰的下水命名仪式在上海沪东中华造船厂举行。四川舰采用的双舰岛布局以及使用电磁弹射和阻拦技术，均是世界首创。“51”，四川舰舷号有讲究四川舰舷号为“51”，该舰下水后，将按计划开展设备调试、系泊试验、航行试验等工作。

  12月27日，有网友发布视频，63岁的刘德华在香港演唱会表演中助跑滑跪，踉跄摔倒，差点从3米高台上摔下，头部甚至已经悬空。视频看得人心惊胆战。事后，刘德华在社交平台上晒手写信报平安，表示：“亲爱的家人们，我没事，谢谢你们的爱，梦中见！”值得一提的是，类似险情已多次发生。

  美国中央司令部21日晚发表声明称，一架美军F/A-18战斗机当天在红海上空被一艘美军巡洋舰错误击落，机上2人弹射逃生。声明称，上述战斗机从美国“哈里·杜鲁门”号航空母舰上起飞，当时正在红海上空飞行。美国“葛底斯堡”号导弹巡洋舰错误地向其开火并击中目标。

  男子在寺庙捐款时手机掉进功德箱，寺庙方只允许其取回SIM卡：丢进功德箱的任何东西都属于神灵

  近日，印度泰米尔纳德邦一名男子在寺庙捐款时，不小心将手机掉进功德箱，求助后得知功德箱两个月才打开一次。不仅如此，寺庙方面还称，根据1975年颁布的相关法令，“丢进功德箱的任何东西都属于神灵”，因此拒绝归还手机，但表示允许男子取回SIM卡并备份数据。

  看到这条视频的时候，真的要被笑死！在山东绝对不能相信大街上任何一个1米80以上的，穿搭又好看的“帅哥”，因为下一秒他会掏出电话手表叫妈妈给他充话费[笑哭]。笑死人了，这位小姐姐得尴尬到脚趾头了吧？

  不得不说，现在中小学生的课业负担真是太重了。有些动作慢的孩子从放学一直写到晚上九、十点钟才完成。尽管教育部门三令五申的要求给孩子们减负，但是某些学校的作业仍然不见少。甚至有的老师在孩子快睡觉的时候还在布置作业，引起了家长们极大的反感。这起事件发生在甘肃省武威市。