《个人信息保护法》发布以来，汇业黄春林律师团队已经协助众多知名企业制定了用户个人信息权利请求的受理、响应及处置的制度、流程及措施，搭建了相关的协调机构、工作小组或委员会，协助相关团队/人员依法响应、处置日常权利请求，代表个人信息负责人管理联络邮箱。整体来看，在《个人信息保护法》实施后的前3个月，受媒体报道引导及新鲜情绪驱动，用户的权利意识较强，主动发起权利请求的热情较高。但是，通过全面分析用户类型、历史数据、主要诉求以及请求专业性等维度，我们发现，权利请求人群中，有不少的职业“打手”、监管“猎手”、竞对“抄手”、媒体“鼓手”，真实用户的权利请求相对较少。但也正因此，企业的个人信息权利请求受理、响应及处置流程面临较大的挑战，因为往往面临的是“专业选手”。从汇业黄春林律师团队初步调研的情况来看，目前，企业受理、响应用户个人信息权利请求的渠道，仍然主要以邮件和电话为主，在线自动受理及响应方式较少（主要以查询、自动化决策控制等为主）。此外，自动客服的受理及响应匹配度较低，人工客服及门店工作人员的受理及响应的合规性较差。从负责部门来看，主要受个人信息保护负责人这个岗位的设置机制影响，当前主要以法务、合规、安全等部门为主，越来越多的企业开始将该部分工作外包给外部专业机构，或者寻求外部专业机构的专业支持，以确保相关响应、处置机制符合业界通行的行业实践。结合日常项目经验，汇业黄春林律师团队梳理用户个人信息权利请求的130个高频问题如下，仅供参考。实践中，因行业差异，相关问题可能会有不同侧重。一、一般问题1.

近日，央视《焦点访谈》报道一起典型案例：上海A公司与境外B公司“正常开展工程技术服务”，被认定为非法向境外提供数据，其法定代表人、销售总监、销售于2021年12月31日被上海市国家安全局以涉嫌为境外刺探、非法提供情报罪逮捕。据悉，这是《数据安全法》实施以来，首例涉案数据被鉴定为情报向境外非法提供的刑事案件。结合类似案件办理经验，汇业网数委简要分析该案相关的合规启示如下，仅供参考。启示一：大公司知名企业也要重视刑事风险本案中，上海A公司并非一般的黑灰产组织，拥有完善的组织架构及功能岗位，例如法务、技术总监、网络安全总监等，旗下还有专门的网络安全子公司，属于具有一定规模和知名度的大公司。上海A公司的法定代表人、销售总监、销售也是在公司业务范畴内正常开展业务，涉案业务有正常的合规评审流程、技术讨论会，且签署正式的商业合同。对手方境外B公司是一家专业的国际通信服务公司，其客户遍及政府、军队及知名企业。因此，从这起案件来看，不能想当然的认为，刑事案件系黑灰产的专利，国有企业、头部公司、知名品牌也并非刑事案件的天然免疫体。越是正常经营的企业，越是看起来合法的业务，越要重视合规建设，加强日常业务中的合规审查，坚决避免合规风险甚至刑事法律风险。否则，企业一旦涉刑，法定代表人被抓，对企业的影响可能是毁灭性的。启示二：法务合规意见不能当耳边风本案中，销售总监就本项目咨询了公司法务的意见，说明该公司有正常的合规评审流程。法务也没有失守，明确给出了否定的法律意见，认为数据的敏感度较高，境外B公司获取数据的目的不可控，可能会危害国家安全，同时还可能侵犯到国内某通讯集成公司的知识产权或商业秘密。但因为这个项目“有机会发展成为长期业务，收入和利润都还不错”，在业务导向的价值观下，显然法务的观点不是业务想要的观点，而且还“拖了业务的后腿”。因此，法定代表人要求销售总监、销售和负责网络安全的副总，再去咨询信息安全服务的子公司副总，不出意外，果然得到了他们想要的答案：“看起来这个在技术上面貌似没有什么问题”

近日，国家市场监督管理总局、国家标准化管理委员会发布了2022年第6号标准公告，正式公布《信息安全技术

2022年4月29日，全国信息安全标准化技术委员会发布《网络安全标准实践指南—个人信息跨境处理活动认证技术规范》（下称“《技术规范》”）公开征求意见，这也是探索《个人信息保护法》第三十八条认证路径的一种有益尝试。在此之前，国家网信办已经多次发布数据出境安全评估规则。本文中，汇业黄春林律师团队结合最新立法、标准实践，以及数据出境合规项目经验，简要解读个人信息跨境提供之“认证路径”的最新实践如下，仅供参考。一、关于个人信息跨境提供的三种情形哪种情形属于《个人信息保护法》意义上的数据出境？结合类似项目经验，主要有三种情况：1.

APP个人信息保护合规的十个疑难问题（一）在全球范围内，中国移动互联网高度发达、独领风骚。也因此，中国数据合规有关的立法、监管和司法实践，特别重视APP数据合规，先后发布了一系列APP个人信息保护有关的立法、标准、监管指引和司法个案。近日，国家市场监督管理总局、国家标准化管理委员会发布了2022年第6号标准公告，正式发布《信息安全技术

2022年3月15日，央视315晚会曝光了口碑营销公司违规操纵舆情事件。2022年3月17日，国新办就2022年“清朗”系列专项行动有关情况举行发布会，国信办介绍去年累计清理了招募水军、推广引流违法违规信息262万多条，查处了网络水军沟通联络账号群组290多万个，处置了问题商家1.2万个，下架关停APP、网站300多家。近年来，立法、执法层面严打操控舆情的案件。汇业律师事务所黄春林律师团队简要梳理近期操控舆情及口碑有关的案例如下，仅供参考。一、口碑营销公司操控舆情的案例分析实践当中，口碑营销公司往往会通过雇佣网络水军、冒充用户、虚构评价、万词霸屏等手段操控品牌方的舆情及口碑，该种行为将存在如下行政甚至刑事法律责任：1.

近年来，为了满足数据合规、税务筹划及安全备份等需要，越来越多的跨国公司有跨境数据驻留的需求。随着全球数据安全立法的加速，这一需求变得前所未有的迫切。在中国，随着《网络安全法》、《数据安全法》、《个人信息保护法》、《汽车数据安全管理若干规定（试行）》、《数据出境安全评估办法（征求意见稿）》等法律法规及配套规则的陆续发布，如何平衡数据本地化与全球业务一致性，确保数据驻留与数据跨境合规，成为摆在众多跨国公司面前的一个重要难题。为了解决这一难题，业界给出了不同的解决方案，其中之一即是以InCountry等为代表的数据驻留解决方案（DRaaS，Data

未成年人网络保护法律法规汇编发文机关文件名称实施/发布全国人大及常委会《家庭教育促进法》2022.01.01《个人信息保护法》2021.11.01《数据安全法》2021.09.01《广告法》2021.04.29《未成年人保护法》2021.06.01《预防未成年人犯罪法（2020修订）》2021.06.01《网络安全法》2017.06.01国家互联网信息办公室《未成年人网络保护条例（征求意见稿）》2022.03.14《移动互联网应用程序信息服务管理规定（征求意见稿）》2022.01.05《互联网信息服务管理办法》（2021修订草案征求意见稿）2021.01.08《网络信息内容生态治理规定》2020.03.01《儿童个人信息网络保护规定》2019.10.01《数据安全管理办法（征求意见稿）》2019.05.28《关于进一步加强对网上未成年人犯罪和欺凌事件报道管理的通知》2015.06.30网信办等《网络直播营销管理办法（试行）》2021.05.25《关于加强网络直播规范管理工作的指导意见》2021.02.09网信办、教育部《关于进一步加强涉未成年人网课平台规范管理的通知》2020.11.27教育部等《关于进一步加强中小学生睡眠管理工作的通知》2021.03.30《关于联合开展未成年人网络环境专项治理行动的通知》2020.08.19《教育移动互联网应用程序备案管理办法》2019.11.11《关于引导规范教育移动互联网应用有序健康发展的意见》2019.08.10文化和旅游部《关于加强网络文化市场未成年人保护工作的意见》2021.11.29《关于进一步优化营商环境推动互联网上网服务行业规范发展的通知》2020.12.04原文化部《网络表演经营活动管理办法》2016.12.02《网络游戏管理暂行办法》废止国家广播电视总局《未成年人节目管理规定》2019.04.30国家新闻出版署《关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》2021.08.30《关于防止未成年人沉迷网络游戏的通知》2019.11.01原新闻出版总署《关于保护未成年人身心健康实施网络游戏防沉迷系统的通知》2007.04.15市场监督管理总局《互联网广告管理办法（公开征求意见稿）》2021.11.26

截至2022年1月底，全国增值电信业务经营许可企业超过12万家。从地区分布来看，北上广地区的企业占比超过50%；从资本结构来看，外商投资企业将近800家。具体许可项方面，已经发放超过16万个许可，其中近50%为互联网信息服务，20%为在线数据处理与交易处理业务，国内呼叫中心业务超过8000个，互联网数据中心业务超过6000个。随着网络与数据领域法律法规及监管体系进一步完善，中国增值电信业务监管更加科学透明，合规颗粒度进一步细化，执法也更加积极活跃。本文中，结合最新立法、监管实践及类似项目经验，汇业律师事务所黄春林律师团队简要分析2022年中国增值电信业务准入与监管的最新趋势如下，仅供参考。一、外资准入实践有新变化吗？法律法规层面，增值电信业务的外资准入并没有实质性调整。实践层面，据汇业黄春林律师团队不完全统计，2021年全年通过工信部获批的外资（含合资、独资）许可证（不含自贸区批复）就达400个，类别涵盖在线数据处理与交易处理业务（俗称“EDI”）、

2021的背影，拖着蹒跚的步伐，慢慢远去。2022年日程表上的红点，如雨后春笋般密密麻麻，俯身倾听，号角声、呐喊声、破土声不绝于耳，你能清晰地感觉到工地上熙熙攘攘、匆匆忙忙、生命不息的力量。关于个人信息合规的很多困惑和争议，并没有随着时光一起消弭。睡眼惺忪的2022还没准备好，就要在号角声中登上内卷的舞台，与我们一起迎接新个保法时代的全面挑战。2021，大家都难，但做个保合规特别难；2022壬寅年，大家可以缓口气，但个保合规怕是无法躺平。在这个人人争当网红的年代，刷存在感是驱动内卷的最好动力，毕竟“5000万”和“5%”是个足够诱人的数字。关于个保合规，我们一直坚持“合规80分”的原则。但是，要真正掐准这个80分，涉及法条适用、执法尺度、法律责任，以及行业实践、企业文化、全球策略、技术成本等多方博弈，似乎并非易事。结合近期项目经验，汇业律师事务所黄春林律师团队总结个保法合规落地中的20个疑难问题如下，仅供大家讨论：1分类分级分类分级管理是数安法、个保法的重要制度，是企业数据合规的基础，目前部分地区监管部门已经要求辖区企业限期完成数据分类分级。分类分级合规的难点在于：（1）如何得到各部门有效配合并全面调研企业数据资产；（2）如何利用好政策规范或行业标准，制定符合企业特点的个性化分类分级标准；（3）如何在“无损”现有业务流程的基础上，搭建与分类分级对应的内控机制；（4）企业有什么驱动力开展分类分级；等等。2数据出境数据出境政策是跨国企业广泛关注的问题。但自网安法以来，数据出境政策几易其稿，即便数安法、个保法生效后，细则仍然扑朔迷离，业界期盼的数据出境安全评估办法仍然引而不发、威不可测。数据出境政策难点在于：（1）哪些场景需要本地化；（2）如何理解本地化与出境顺序；（3）出境细则到底何时生效；（4）入额标准怎么计算；（5）安全评估何时做、由谁牵头、成本由谁承担；（5）场景、系统、主体划分如何落地；（6）官方审查尺度如何，是否实质审；等等。3安全审查2021年被称为监管风暴之年，网安审无疑是风暴年的核弹级的威慑，能定生死。根据网安审办法、网数条例、境外上市办法等，符合条件的企业境外上市、重要数据活动都要开展网安审。完全审查的难点在于：（1）到底是国外还是境外；（2）哪些主体、场景需要报；（3）细则审什么，透明度如何；（4）审查周期多长；（5）如何平衡不同部门要求；等等。4年报制度网数条例、汽车数据办法及监管窗口意见等都规定了一系列名目纷繁的年报制度，要求企业每年报送数据相关的各种各样的年报，被认为是“保姆式监管”的重要体现。目前部分地区监管部门已经要求辖区企业限期提交数据安全评估年报。年报制度的难点在于：（1）是否有官方模板；（2）如何把握年报颗粒度；（3）由谁牵头、成本由哪个部门承担；（4）是否会主动暴露合规风险；（5）官方是否会实质审；（6）如何兼容出境、审计、PIA等制度；等等。5合规审计个保法明确规定企业应当定期开展合规审计，监管部门亦可强制要求企业开展外部审计。网数条例还规定了大型平台的特别审计要求。目前部分地区监管部门、证券交易所及甲方已经要求相关企业提交年度合规审计报告。合规审计的难点在于：（1）谁来审计，自己审还是外部机构；（2）如何把握审计细粒度，降低业务影响；（3）内部资源及预算如何配置；（4）审计报告效力如何，可以作为合规抗辩吗；（5）安全审计等于合规审计吗；等等。6影响评估数安法设立了数据安全风险评估制度，个保法设立了个人信息保护影响评估制度。制度的初衷之一是增加合规控制工具，确保相关合规要求落地。但理想很丰满现实很骨干，业绩导向的公司一定是佛挡杀佛，最终PIA也沦落为皇帝的新装。工具虽好，可别贪杯啊。开展PIA的难点在于：（1）如何设置个性化阈值，降低对业务的影响；（2）PIA流程如何嵌入现有业务流程；（3）国外隐私管理工具能用吗；（4）如何建立评估指标体系；（5）谁来评估；（6）未来如何定责追责；等等。7DPO设置网安法、数安法及个保法都要求设置相关的负责人，但似乎都没有给到如何设置的指引。此外，个保法还规定海外机构在境内指定代表。DPO设置的难点在于：（1）专职还是兼职，可以合并吗；（2）有国籍及工作地点限制吗；（3）有任职条件吗；（4）备案能通过吗，需要公布吗；（5）如何任命，职责是什么，汇报路线如何；（6）有什么责任，会不会成为背锅侠，有什么保险；（7）到哪里去招既懂管理、业务又懂法律的DPO；（8）市场行情如何，工资到底是加还是不加；等等。8平台责任2021年，地主家也没有余粮啦，大平台的日子甚是难熬。立法层面，个保法、网数条例等设置了大型平台多个特殊义务，各种花式要求融贯古今中西。监管执法层面，窗口意见更是急急如律令，披星戴月、刀刀夺命。平台责任的难点在于：（1）如何划分政府、平台及用户的责任边界；（2）不同平台入额数据如何计算；（3）各种备案、评估、报告如何落地；（4）独立机构如何确保独立、有效；（5）如何平衡平台创新与竞争合规；（6）如何保障平台数据利益；（7）大家能不能一起躺平啊；等等。9规则遵从监管不断夯实平台责任，再加上连带责任加持，平台只能不断调整平台治理规则，试探监管及司法尺度。其后遗症就是，“第二监管”越来越显性化，B端企业除了要遵从法律法规外，还要遵从不同维度的平台规则。平台规则遵从的难点在于：（1）如何跟上日新月异的监管节奏；（2）中小企业如何挑战平台霸权；（3）如何应对订单链路加密；（4）如何合规调取平台接口；（5）如何合规使用平台数据产品；等等。10必要与必需网安法、个保法均规定处理个人信息的前提是应当遵循必要原则，个保法还规定合同必需、管理必需、法律必需、安全必需等不需取得个人同意，其他不满足必需但有必要的场景需经个人同意。所以，这里的潜在逻辑应当是，部分满足必要的情形可能不满足必需，即必要≠必需，但是网信办的必要规定似乎并不是这种逻辑。实际业务中的难点在于：（1）如何判断必要性，客观还是主观，监管视角、用户视角还是企业视角；（2）如何划分必需与必要的边界；（3）必要但不必需的场景，可以强退吗；（4）多元经营的企业，如何区分基本业务功能和非基本业务功能；等等。11单独同意35273的明示同意还争议不断，个保法另起炉灶要求五大场景的单独同意，网数条例更是枪口压低一寸，单项信息、单个环节的单独同意。如何理解、落地单独同意，已经成为业界关注的头号话题，更有企业为了落地单独同意不惜暴露强迫同意的风险，真可谓收之桑榆，失之东隅。单独同意的难点在于：（1）如果用户不同意怎么办；（2）后台系统能区分、标记吗；（3）用户主动填写、提交是单独同意吗；（4）粒度如何处理；（5）没有触达场景怎么办；等等。12自动化决策随着技术进步和产业升级，我们正从信息时代向算法时代过度，各种形式的自动化决策无处不在、势不可挡。但是，立法和监管对这种“不可解释”、“不透明”的决策机制怀有天生的“敌意”，因此要求备案、评估、充分披露及标注等。自动化决策的难点在于：（1）如何平衡经营自主性与消费者权益保护；（2）如何平衡便利性与公平性；（3）如何有效保护企业商业秘密；（4）如何治理钻规则漏洞的黄牛和羊毛党；（5）如何识别自动化的量化标准，等等。这些都是摆在很多企业面前的艰难之路。人心叵测，你得掏心掏肺，你得流淌道德的血液啊。13保存期限个保法明确规定了个人信息存储应当最短期限。在互联网内容强监管环境下，在多个法律要求相互牵制，不同业务场景互相关联的情况下，没有人说得清楚个人信息要保存多久。于是，大家隐私政策众口一词抄法条，“为实现处理目的所必要的最短时间”，好在网数条例识趣的让步到可以接受披露“个人信息存储期限的确定方法”。但是，系统后台如何处理呢？有“勇气”真正删除的毕竟是少数，大多数企业只能摸着石头过河，各显神通。好在，目前好像还没有超期存储的正式处罚案例，未足期保存交易记录、用户日志的处罚案例反倒不少。14委托与提供个保法分别规定了委托处理与对外提供的合规要求，即前者要求“协议+监管”，后者要求“充分告知+单独同意”，这也充分体现了对个人信息主体控制权的尊重。但是，要在具体场景中区分个人信息处理者、受托处理者、接收者的差异并不容易，关键是要理解何为“决定”。显然，个保法上的“决定”是指法律意义上的决定，你得先要有决定的法律基础啊，断不是仅仅技术意义上决定。似乎，个保法上的很多争议，都是混淆了技术概念和法律概念导致的，诸如标签、OneID、匿名化、安全岛、联邦学习、隐私计算等莫不如此。15供应商管理数字化转型的洪流势不可挡，但并不是每个企业都有数字化的能力，于是，使用ERP、CRM、POS、WMS、CDP、DMP、TSP、EDC、HR等系统供应商大行其道，零售消费汽车医疗等行业莫不如此。但是，大多数数据泄露事件，都发生在供应商端。我们拿什么来抗辩“无过错”，如何证明自己尽到了合理的注意义务，如何摆脱SDK的风险及责任，这些都依赖于对供应商的事前准入、事中监管及事后审计工作。当监管来敲门，不是看你的数据是否绝对安全，而是看你为数据安全做了什么？这就是我们经常说的，个保合规“向前一步”原则。16私域运营从商业的角度，私域有利于用户转化、运营及沉淀。从合规的角度，私域有利于触达用户，可以摆脱平台技术限制，落地更多合规场景。但也正因为如此，企业的直接合规责任更重。APP如何落地纷繁复杂的监管要求，小程序如何应对即将到来的执法风暴，私域社群如何落实告知同意合规，如何合规跟踪、分析内容媒体用户数据，如何搭建品牌CDP平台，DMP平台是否要转公域，诸如等等，不一而足。17员工个人信息保护员工个人信息保护被称为个保合规的“隐秘角落”。有人戏称，比前男友更渣的就是前员工，前员工发起个保投诉，很多企业完全无力还手，毕竟，根本没有做员工个人信息保护合规，传统企业主的思想仍然是“娶来的媳妇买来的马，任我骑来任我打”。候选人的简历如何告知同意，如何合规开展背调，收集员工健康、犯罪、婚姻等信息可以吗，人脸门禁、手机考勤合规吗，可以监控员工的电脑或移动设备吗，如何合规的向新公司提供离职员工的信息，员工个人信息可以传输给境外集团吗，如何合规使用图谱、workday、SAP等人力系统，等等。18教育培训面向员工开展个人信息保护教育培训，既是一项个保法法定义务，又是一项重要的合规落地措施。网数条例更是详细地规定了教育培训的具体内容及时长等要求。但实践中，企业的困难重重：如何分层开展培训，如何实现培训内容的生动性，如何提高员工的参与性，如何组织遍及全国的员工，如何留存培训记录，如何利用培训记录合规抗辩，等等。19权利响应有人预测，继广告投诉、消保投诉之后，个人信息权利请求及投诉可能会成为企业客服部门2022年的重要工作内容。个保法时代，用户权利觉醒已是大势所趋，职业投诉暗流涌动。如何依法响应个人信息权利请求，这是企业的一个外部显性风险，若处理不当，小则投诉诉讼缠身，大则监管执法舆情事件加持。但是，既要形式便捷又要实质合规，既要直接响应又要间接协助，这对很多企业来说是个大挑战，客服、门店员工甚至专业部门“祸从口出”的案例比比皆是，不信各位拨打下自己公司的客服电话试试。20事件处置没有绝对安全的网络，安全事件或早或迟总归会来的。如何评估“可能性”、到底要不要报告，供应商报告还是品牌报告，向网信、工信还是公安报告，报告哪些内容，报了会不会一案双查，行业其他品牌都报吗，要不要通知用户，如何通知，会不会诱发舆情事件，等等这些，无不让安全、法务的同学左右为难。道理大家都懂，法条大家都明白，可是实践怎么取舍呢？其实，比以上种种更难的是，你老老实实轰轰烈烈做了，隔壁工地岿然不动，业务部门急了，“他为什么可以？！”其实，隔壁工地也不容易，没工人没预算，哪天不幸中招，业务部门急眼，“你不能摆平吗？！”往期文章推荐：VIE架构互联网公司境外上市合法化了吗《数据出境安全评估办法》八个实务问题解读汇业评论

作者往期文章推荐：《数据出境安全评估办法》八个实务问题解读电商平台数据断供事件对零售品牌的影响与对策网络安全审查——筑起数据安全的第七道防线未雨绸缪：老司机带你解锁APP下架的正确姿势

前后历经四年三易其稿，合合分分合合，国家网信办于2021年10月29日发布了最新一版《数据出境安全评估办法》公开征求意见（下称“2021版”），业界终于迎来了《个人信息保护法》生效前临门一稿，数据合规三大“玄学”之一的“数据出境规则”即将掀开神秘面纱。结合立法沿革、监管意见及近期项目经验，汇业律师事务所黄春林律师团队简要解读如下，仅供参考。正式法律建议及场景化落地，还请正式咨询律师意见。问题一：2021版还会大改吗？自《网络安全法》第37条“开天辟地”以来，数据出境规则每两年一变，先后经历了三个大版本：时间名称牵头部门2017年4月11日个人信息和重要数据出境安全评估办法（下称“2017版”）网信办网络安全协调局2019年6月13日个人信息出境安全评估办法（下称“2019版”）网信办网络安全协调局2021年10月29日数据出境安全评估办法（下称“2021版”）网信办网络数据管理局从题目就看得出来，正是应了《三国演义》开篇之词，“分久必合合久必分”，开始是“个人信息”与“重要数据”合并规范的2017版，后来分道扬镳才有了2019版，最新版握手言和又“在一起”，统称为“数据出境”。二龙湖浩哥说过“事不过三”。江湖上普遍预测，这一版已经是综合考虑了立法基础及国内外形势，兼顾了各方意见后的相对成熟的一个版本。考虑到《个人信息保护法》生效在即，

关于“元宇宙”2021年，被认为是元宇宙破土之年。这一年，诞生了“元宇宙第一股”Roblox，Facebook甚至将“迈向元宇宙”作为未来五年战略，近期甚至爆出英伟达今年4月份的发布会就是“元宇宙的一部分”。什么是元宇宙？普遍认为，它是一个后互联网时代，代表着平行于现实世界的真正的数字虚拟时代，最接近的直观感受就是电影《头号玩家》里面的“绿洲”。但真正的元宇宙，应当具有数字化、沉浸式、交互式、开放性、去中心等特征，每一个现实场景，都可以随时数字化成为元宇宙的一个部分；通过VR等交互设备，人们随时在元宇宙与现实世界穿梭。因此，元宇宙不是一个单一的产品或者网络，而是继工业时代、二维网络时代之后的“三维数字时代”。但人们要真正走向元宇宙，还面临着至少如下六道法律门槛：数据合规元宇宙的基石是现实世界的数字化，需要采集、传输、加工、存储海量的现实数据。如何确保数据合规，是摆在元宇宙门口的第一道法律门槛。在元宇宙的初阶，需要构建现实世界的数据雏形，例如数字孪生社区、虚拟现实游戏等等。这些都需要确保初始数据来源合法，数据传输及处理合规，数字网络合法，这些需要跨越现实世界的不同法域下名目繁多的法律限制，例如测绘数据采集与处理限制，健康与金融数据的处理合规，数据主体的告知/同意合规，网络接入资质及安全合规，等等。即便是在元宇宙的去中心化成熟阶段，每一个现实场景/主体都会“自动接入”元宇宙，但仍然需要突破不同主体/文明对现实世界与元宇宙的数据边界控制，进而解决各种数字形态的权利冲突。算法伦理在元宇宙里，更接近“代码即法律”、“算法即正义”的世界。但是，由谁（现实人类还是虚拟身份），通过什么机制（现实法律还是算法本身）来审查算法的正当性、伦理性，以及确保算法的透明度和可解释性，将是摆在元宇宙门前的第二道法律门槛。算法决定了数据的呈现形式，现实世界的“大数据杀熟”即如此。如果算法不受规制和审查，那么控制算法的主体将成为元宇宙里的“上帝”。现实世界里，我们通过二维互联网看别人“过滤”过的世界；元宇宙里，我们通过VR眼镜等交互设备，也只能看到其他主体“筛选”过的三维数字形态，甚至，你本身将在元宇宙里成为一个怎样的“你”，都将是由算法决定的。就如同英伟达发布会上的黄律师的亲戚“老黄”发布会的片段中，每一根发丝、每一次微笑以及每一缕光线，其实都是英伟达的Omniverse平台上的AI算法决定的。值得庆幸的是，英伟达仅仅是用来“造假”了一个发布会片段，若是用来“造假”一场宣战声明呢？算力公平可以肯定的是，元宇宙的核心战略资源肯定不是石油，也不是数据，而是无所不能的算力，“算力即统治”的时代真正来临。而摆在元宇宙门口的第三道法律门槛，就是如何确保算力的公平性。人们纷纷向往的元宇宙，不仅仅是因为那里有“绿洲”，更重要的是那里“充满爱和阳光”，一切去中心化，没有等级与歧视，人人生而平等。否则，人们何须走向另一个平行世界，重蹈现实世界的覆辙。但是，资源分配公平这一现实世界都很难解决的难题，真的到了元宇宙就迎刃而解了吗？如何分配和使用算力？是靠组织分配、个人自驱还是算法优化？如何最终审查或审判算力分配及算力使用的公平性、道德性？如何确保最终裁判在元宇宙得到有效执行？身份确立Roblox的首席执行官Baszucki给出元宇宙的第一个关键特征是“身份”，且这种身份是可以“自由设定”（例如游戏里面选角色一样）并开创其“第二人生”（如同游戏里面刷副本一样）。但问题是，如何定位这种身份的法律属性？元宇宙里身份的“法律责任”，是否需要现实身份承担？元宇宙里身份的人格属性，如何获得现实世界的认同？等等这些，将成为迈向元宇宙的第四道法律门槛。孔子说，“网络不是法外之地”，元宇宙显然也不例外，尤其是考虑到元宇宙的社交属性、经济属性及文明属性等。因此，需要法律（哪怕是“代码法律”）确立元宇宙身份的法律地位，例如虚拟形象、虚拟知识、虚拟财产等的可保护性，以及虚拟行为的可追责性，虚拟身份与现实身份的连接点，等等。交易安全经济系统被认为是支撑元宇宙的根本要素之一。因此，如何保证元宇宙体系内的交易活跃度、信任度及安全性等，是摆在元宇宙门口的第五道法律门槛。支撑元宇宙的经济系统，需要虚拟的交易链路以及虚拟代币工具。考虑到元宇宙的开放性、去中心化等特征，再加上现实世界的交互影响（例如“绿洲”里面用现实货币到游戏里面购买装备，以及游戏世界获得的奖励兑换为现实货币），将会使这一经济系统变得异常复杂，最终会影响到元宇宙交易的安全性和活跃度。尽管区块链被认为是搭建元宇宙交易链路的最佳技术路径之一，但是，目前区块链本身的技术局限性以及接受度在现实世界都颇受诟病，似乎还很难承载起元宇宙的宏大经济体系。文明秩序最终，前面所有的问题，都将会归结为元宇宙的文明秩序如何构建的问题，这将是摆在元宇宙门口的“最后”（希望是）一道法律门槛。人类能够完全抛弃现实世界的文化、道德、法律及社会体系，完全重构元宇宙的全新文明秩序吗？人类真的需要一个完全平行的文明秩序吗？这种文明秩序由人类本身，还是由算法或算力来构建？人类会放弃对自身“文明”的定义权、控制权吗？谁有权来选择迈向人类的新文明？谁有权来阻止人类新文明的产生？Roblox不能，Facebook不能，某个国家不能，某个法律不能，甚至人类本身不能。这一点，当人类登上美洲大陆的那一天，就已经被证明过。既然如此，法律干脆躺平在“元宇宙”的门口，喝上一口、睡上一觉，又何妨？元宇宙目前还是虚幻的东西，谈钱谈股票可以，谈法律，伤感情。作者介绍往期文章推荐：《个人信息保护法》理解与适用：百问百答《个人信息保护法》解读：企业主要合规义务及业务影响关保条例最新解读：监管体系、认定标准及合规义务吴亦凡事件对网络安全合规的启示电商平台数据断供事件对零售品牌的影响与对策网络安全审查——筑起数据安全的第七道防线未雨绸缪：老司机带你解锁APP下架的正确姿势未成年人网络保护的主要法律问题《个人信息保护法（二审稿）》解读：回应热点问题、借鉴先进经验《征信业务管理办法》解读：主要内容、行业影响及合规建议互联网信息服务领域秩序重塑---《互联网信息服务管理办法（修订草案征求意见稿）》评析2020年工信部APP专项整治行动案例分析及执法趋势中国网络与数据立法、执法之年度回顾与展望（2020-2021）再谈疫情防控有关的八大个人信息保护问题开发者在AppStore发版时可能需要个律师《个人信息安全影响评估指南》解读及实践《药品网络销售监督管理办法（征求意见稿）》重点解读2020网剑行动解读：电子商务执法重点及违法示例《个人信息保护法（草案）》详细解读：继承、创新与影响互联网保险业务监管新规解读：业务边界、网络与数据合规个人信息保护的监管趋势与应对

Obligations2021年8月17日，历经三年以上征求意见，国务院正式发布《关键信息基础设施安全保护条例》（下称“关保条例”），将于2021年9月1日起与《数据安全法》同步实施。On

孔子说：正确提出问题，就成功解决了问题的一半。参考近期监管、执法及司法个案，在对《个人信息保护法》及其配套规范进行文义、目的、历史、逻辑、体系等理解和解释的基础之上，汇业律师事务所黄春林律师团队就前期法律服务过程中客户高频咨询的相关问题，汇总解读形成本《百问百答》。注：《百问百答》暂不对外免费提供，现仅发布问题目录如下，仅供参考：1.

2021年8月20日，历经三审三读，第十三届全国人民代表大会常务委员会第三十次会议审议通过《个人信息保护法》并公布，自2021年11月1日起施行。结合近期立法趋势、监管执法实践及类似项目经验，汇业律师事务所网数团队简要解读《个人信息保护法》下企业的主要合规义务及对业务的影响如下，仅供参考。一、关于法律适用根据《个人信息保护法》及其配套规范，不同情形的法律适用情况如下：二、制度合规根据《个人信息保护法》及其配套规范，企业应当建立的个人信息保护相关的制度及规程，具体建议包括但不限于：（1）个人信息安全原则及制度；（2）个人信息保护机构管理规范；（3）个人信息分级分类规范；（4）个人信息安全影响评估规范；（5）供应商个人信息保护规范；（6）个人信息跨境提供规范；（7）未成年人个人信息保护规范；（8）个人信息安全应急预案及事件应对规范；（9）个人信息用户权利请求、投诉及响应规范；（10）政府机关调取个人信息规范；（11）员工个人信息保护规范；（12）个人信息保护违规处理规范；（13）平台还应制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；等等。建立上述制度、规范及其执行记录，不仅是企业合规遵从之法律义务，更是未来发生个人信息安全事件、侵权事件以后免责、抗辩的重要抓手之一，尤其是考虑到《个人信息保护法》之过错推定责任相关规定。三、岗位人员合规（一）关于境内个人信息处理者根据《个人信息保护法》及其配套规范，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。参照《个人信息安全规范》之规定，满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构:（1）主要业务涉及个人信息处理,且从业人员规模大于200人;（2）处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;（3）处理超过10万人的个人敏感信息的。此外，《个人信息保护法》还规定，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，还成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。最后，企业亦通过有关规范明确不同个人信息在内部的责任部门及人员，落实责任机制。企业设置上述工作机构、岗位人员和责任机制，不仅有利于相关制度、机制的落地，也有利于明确责任主体，有利于厘清未来事件中的“直接负责的主管人员”和“其他直接责任人员”，有利于在不同层级人员之间隔离法律风险，以避免被“禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。

2021年8月17日，历经三年以上征求意见，国务院正式发布《关键信息基础设施安全保护条例》（下称“关保条例”），将于2021年9月1日起与《数据安全法》同步实施。结合相关立法趋势、监管执法实践及项目经验，汇业律师事务所网数法律团队简要解读《关保条例》如下，仅供业界参考。一、部分法律文件二、分级保护通过一系列立法、执法实践，我国开创性的建立起网络、数据监管与保护的分类分级模式，其中就包括“分等级保护、分等级监管”，具体体现在：（一）网络分级根据《网络安全法》、《关保条例》及1960号文等规定，等保是基础，关保是重点保护，但二者没有直接的对应关系。即，尽管有

一、零信任吴亦凡事件中，各方对犯罪嫌疑人刘某迢的“默认信任”，是导致各方翻船的重要导火索，值得我们警醒，也让我们想到了网络安全的“零信任”理念。零信任是网络安全防护的最新技术理念，意即“不验证就不信任”，对“默认信任”说不，应当“基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信”。技术理念如此，网络安全管理理念亦当如此。网络安全社会工程学攻击时有发生，这就要求我们加强外部访问人员的日常管理和验证；当前APP违法违规通报案例中，大多是由于APP宿主过分信任第三方SDK，没有履行SDK准入“验证”及“审查”责任，进而出现第三方SDK提前启动权限或私自收集、传输个人信息的猫腻；之前也曾传出笑话，某金融机构被无名小辈网络勒索，也是因为急于想掩盖问题，没有核验对方的身份以及相关数据的真实性。黄春林律师团队提示：技术零信任、管理零信任。二、上下游牵连吴亦凡之所以翻船，表面原因无疑是因为“供应商”都某某的牵连；而都某某最终翻车，无疑也是受“猪队友”刘某文、网文“供应商”徐某的牵连。回顾我们很多网络安全事件，大多数也是因为上下游（例如供应商、经销商及合作伙伴等）牵连导致。例如之前闹得沸沸扬扬的某支付公司旗下大数据公司身份证返照缓存案件，以及暴力违法催收牵连大数据公司案件；再如，某电商平台数据泄露并诱发大面积诈骗案，莫不与作为众多知名零售品牌的供应商的某电商代运营公司相关，最终促使电商平台开始推行订单生态链路的数据加密管理；某电力公司微信公号发布违法敏感内容，也是由于供应商离职员工报复导致；等等。此类事件，不胜枚举，甚至有人戏说，没有被供应商坑过的安全就不是一个合格的安全。黄春林律师团队提示：上下游事前审查、事中监督、事后复验。三、一案双查很多人觉得，北京公安通报出来后，犯罪嫌疑人刘某迢已归案，吴亦凡、都某某就没事儿了。君不见通报末尾跟了一句，“针对网民举报的‘吴某凡多次诱骗年轻女性发生性关系’及近期网络互曝的有关行为，警方仍在调查中，将根据调查结果依法处理。”这在网络安全案件查处中，专业术语叫“一案双查”。“一案双查”，意即公安机关在对网络违法犯罪案件开展侦查调查工作时，同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查。也就是说，如果公安机关在侦办上下游个人信息泄露、网络黑灰产、网络赌博等刑事案件时，可能会同步调查相关公司的网络安全合规情况，例如等保合规、制度合规、人员合规等。之前，公安机关在查处其他刑事案件时，先后对某多多、36*、某乎、某某支付等知名互联网公司均启动过“一案双查”，并最终行政处罚。黄春林律师团队提示：练好内功、积极配合。四、舆情风暴吴亦凡事件引发了巨大的舆情风暴，各大品牌相继解约，公安部门从快查处，相信未来也会成为从重处罚的重要考量因素之一。舆情大过天，一点都不为过。网络安全事件引起的相关民事责任、行政责任等都还可能有得救，还有空间周旋，即便下架、停更、停注，也可能是“暂时的困难”。但是一旦引发舆情风暴，监管巴不得七剑下天山，用户发生挤兑踩踏，供应商断供，投资人撤资或恐慌性抛盘，消费者失去信任……会让你有“脑袋炸裂”、“完全无从下手”、“说什么都没人信”的无力感，正所谓，屋漏偏逢连夜雨、墙倒众人推。不信，你去问问特斯拉事件、滴滴出行事件、携程事件中的当事者。黄春林律师团队提示：息事宁人、舍财免灾，少装X。五、合规不怕鬼敲门吴亦凡碰到都某某，半路还杀出个“陈咬金”

发生了什么？自2021年年初开始，汇业黄春林律师团队服务的大量零售品牌、服务商（TP\ISV\物流等），陆续接到天猫、京东及抖音等电商平台通知称，电商平台将对电商生态链路（或称订单处理链路）的消费者敏感个人信息（手机、电话、姓名及地址等）采取加密措施，即电商平台将不再向零售品牌（商家）、服务商等提供明文的消费者敏感个人信息（仅为本文描述用，下称“数据断供事件”）。

黄春林

关注舆情及竞品。APP下架通常会成为热点、热搜事件，伴随着大量负面舆论，甚至还会裹挟着竞品的部分黑文。企业一定要加大舆情监控，避免衍生舆情事件（例如滴滴事件中的柳氏家族）。f)

《中华人民共和国数据安全法》（以下称《数据安全法》）历经三审三读，于2021年6月10日经第十三届全国人民代表大会常务委员会第二十九次会议通过。在二审稿基础上删除了1条，增加了3条，正式公布的文本共7章55条，将于2021年9月1日起正式实施。为了帮助企业更好地做好实施前的应对准备工作，汇业网数团队通过本文对《数据安全法》进行梳理解读，供企业参阅。一、

三、未成年人隐私及个人信息特殊保护

2021年4月29日，十三届全国人大常委会审议了《个人信息保护法（草案二审稿）》（下称“二审稿”）并公开发布征求意见稿，一共八章七十三条。二审稿充分吸收了前期征求意见中各方提出的有益建议，借鉴了国内外个人信息保护立法与执法经验，回应了社会热点问题。2020年10月13日，十三届全国人大常委会第二十二次会议审议了《个人信息保护法（草案一审稿）》（下称“一审稿”），并于当月21日公开征求意见。按照三审三读的立法惯例，业界普遍预测，《个人信息保护法》二审稿是相对比较成熟的版本，预计将于2021年四季度前完成三审，并于年底公布正式版，如果按照六个月左右的过渡期计算，将于2022年6月1日左右正式生效。结合近年来中国网络安全、数据安全与个人信息保护立法、政策及标准制定实践，汇业律师事务所网数法律团队详细解读二审稿的主要内容及对行业的影响，仅供业内参考。一、二审稿主要修订内容首先，二审稿回应社会比较关切的个人信息保护部际协调、分工与治理体系问题，参照《网络安全法》、《数据安全法（草案）》相关规定，明确国家网信部门统筹协调个人信息保护工作（包括但不限于制定个人信息保护具体规则，以及人脸识别、人工智能等专门规定等），工信、公安、市监及其他主管部门根据各自职责负责相关工作，确保个人信息保护立法与执法工作的统一性、协调性。第二，在总结、提炼、细化《网络安全法》、《App违法违规收集使用个人信息行为认定方法》、《常见类型移动互联网应用程序必要个人信息范围规定》、《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》等有关内容的基础上，细化了“告知—同意”、“最小-必要”、“质量原则”等规则。例如，二审稿细化了撤回同意的便捷性要求及法律后果；扩充了“最小”内涵，即“对个人权益影响最小”；升级了“准确原则”到“质量原则”，明确规定“避免因个人信息不准确、不完整对个人权益造成不利影响”；等等。第三，二审稿第五十七条在借鉴国内外制度设计经验的基础上，创造性的规定了头部互联网企业（指“基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”）个人信息保护的特殊责任：设立由外部人员（例如相关领域学者、安全或技术专家、律师或审计人员等）组成的独立监督机构，定期发布社会责任报告，强化平台治理等。第四，增加了合法处理事由，即“依照本法规定在合理的范围内处理已公开的个人信息”。第五，二审稿细化了个人信息民事权益及侵权责任有关规定，增强了与《民法典》相关内容的链接。例如，二审稿承认了死者个人信息的财产属性，规定死者“在个人信息处理活动中的权利由其近亲属行使”；二审稿六十八条调整了举证责任条款，首次明确个人信息处理者承担过错推定责任，即“不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”第六，二审稿第五十八条明确规定受托处理个人信息的受托者，亦“应当履行第五章（注：个人信息处理者的义务）规定的相关义务，采取必要措施保障所处理的个人信息的安全。”第七，业界普遍关注的人脸识别条款以及境外机构的境内代表，二审稿第二十七条、五十三条无实质变化。二、二审稿修订内容对企业的影响及应对建议汇业律师事务所黄春林律师介绍，二审稿增加、细化了一审稿的部分合规控制项，将其他单行立法、标准文件及前期监管执法中的部分合规要求上升为法律层面，对企业的现有产品或业务流程影响较大。根据二审稿变化情况，我们进一步建议企业：1.

个人信息保护历来是“3·15”晚会关注的重点。在今年的“3·15”晚会上更是爆出了平台大量简历流向黑市，求职人员简历被低价成批售卖的事件。近年来，笔者在执业中发现，企业针对客户信息以及开展业务中涉及到的个人信息保护问题较为重视，但是对员工信息的合规与保护问题却关注甚少。员工信息保护是一个企业容易忽视的隐秘角落，但是法律对个人信息保护并未区分员工与客户，此前国际上已有企业因对员工个人信息保护不力而被重罚的先例。《个人信息保护法》已经在立法进程推进中，一旦该法正式公布施行，相信对员工个人信息全方位、重点保护一事将从幕后被推向前台。基于求职者、应聘者的求职意愿，以及员工与企业的劳动雇佣关系，求职时以及在职期间，求职者及员工对企业收集、使用其简历信息、个人信息的行为较少提出异议。但是，一旦发生上述简历信息泄漏事件，企业面临的将是严重的经济和信誉损失、行政处罚甚至是刑事法律责任风险。此外，倘若员工与企业发生争议或者员工离职之后，对企业使用员工信息的行为有异议的，则有可能会选择向有关部门举报、投诉等，且由于工作的原因，举报、投诉的精准性较高，证据也相对充分。在前述场景之下，企业将会处于不利地位，甚至会遭受行政处罚或者经济损失。因此，企业应当重视对求职者信息、员工信息的合规与保护。汇业李天航律师团队基于开展业务中发现的问题，以员工信息的全生命流程为主线，将相关要点总结如下：一、录用前及录用中的员工信息1.

2021年是企业数字化转型的关键一年，越来越多的企业加大了数字化营销力度，部分在华跨国企业甚至开始向境外输出数字化转型的技术能力和运营经验。其中，直播电商、社交电商、内容电商等新业态、新模式大放异彩，成为越来越多的电子商务企业维持高增长的救命稻草。与此同时，具有流量、内容及技术优势的互联网平台的竞争价值空前凸显。但是，电商新业态、大平台暴露出来的法律问题，也引起了立法者和监管部门的广泛关注，电商有关的专项立法、执法活动频繁，如无意外，直播电商、社交电商等新业态也将成为今年315晚会的负面案例。结合近期电子商务行业立法和监管热点问题，汇业律师事务所黄春林律师团队汇总了企业开展电子商务的典型违法违规行为，以备企业自评估并提前整改，避免在一年一度的315晚会“暴雷”。一、反垄断合规二、电商直播合规注：汇业黄春林律师将于2021年3月10日（周三）15:00线上直播《备战2021年315：电商直播主体、直播活动及直播内容合规》，点击“阅读全文”查看。三、电商个人信息保护合规注：汇业黄春林律师已于2021年2月25日（周四）15:00线上直播《2021年APP准入与监管政策展望》，点击以下链接即可回看。https://mp.weixin.qq.com/s/WXn6Zcm4r-K0LPUT7mJiIg四、电商资质及信披合规五、政策与协议合规六、电商价格合规七、商品及服务信息网络展示合规八、电商广告合规九、反不正当竞争合规十、其他合规问题汇业黄春林律师团队建议企业对照上述清单，自行或者委托专业机构开展全网络渠道的电子商务业务合规评估，提前规避相关的法律及舆情风险。作者介绍黄春林汇业律师事务所合伙人黄春林律师，现为上海市律协互联网与信息技术专业委员会副主任，主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务，常年为数十家境内外企业提供前瞻性法律服务解决方案，2019年在人民法院出版社出版专著《网络与数据法律实务：法律适用及合规落地》，多次被LegalBand、知产力等评为中国顶级律师之一。

笔录或者清单上没有取证人员、见证人、持有人（提供人）签名或者盖章的；（3)

2021年1月11日，为了应对数字征信时代的新挑战，理清信用信息、征信业务及金融科技创新的边界，强化信息主体权益保护，在总结近期监管执法实践经验的基础上，人行发布了《征信业务管理办法（征求意见稿）》（下称“《管理办法》”）。近段时间以来，人行加强了征信业务监管，先后约谈、处罚蚂蚁集团及鹏元征信等部分金融科技公司违法违规从事征信业务，引起了业界的广泛关注。《管理办法》的发布，一方面将有利于理清征信业务合规边界，准确把握监管尺度；另一方面将严重影响金融科技、大数据公司的现有业务空间、业务模式及未来发展方向；同时还会成为有关机构向互联网平台公司采集数据的有力依据，从而影响互联网平台公司多年积累的数据资源优势。结合近期人行监管执法案例及个人信息保护立法趋势，并参考近年来多个类似项目经验，汇业律师事务所网络与数据法律团队简要解读《管理办法》合规要点如下，仅供参考。一、信用信息与征信业务(一)

2021年1月11日，为了统一各地路测及示范应用政策、标准，推进路测互认共享工作，探索扩大示范应用范围，在借鉴国际经验并综合平衡风险的基础上，工信部会同公安部、交通运输部发布修订后的《智能网联汽车道路测试与示范应用管理规范（试行）》征求意见稿（下称“管理新规”），确立了单位（路测及示范应用主体）、车辆、驾驶人、道路四合一绑定的监管模式。此前，工信部、公安部、交通运输部于2018年4月联合发布了《智能网联汽车道路测试管理规范（试行）》（下称“管理旧规”），是目前20余个省市智能网联汽车路测管理细则的指导性文件。在《管理旧规》的指导规范下，目前我国累计开放路测道路超过2000公里，发放测试牌照超过400张。结合近期立法、标准制定趋势及各地监管实践，汇业律师事务所黄春林律师团队简要解读《管理新规》主要内容如下，仅供参考。车

《互联网信息服务管理办法》于2000年9月25日公布施行至今已二十年有余，期间仅于2011年将其中引用的法律名称《治安管理处罚条例》修改为《治安管理处罚法》。此次公布的《互联网信息服务管理办法（修订草案征求意见稿）》（以下称《草案征求意见稿》）系最重大的一次修改，注意了与《网络安全法》、《电信条例》的协调统一，与刑法和行政审批改革的成果做了有效衔接，以平台型企业主体责任为核心界定企业权利义务，对互联网信息服务领域的秩序进行了重塑。对《草案征求意见稿》修改的内容，汇业网数团队总结概括如下，供参考。一、扩大了适用范围1.增加域外效力的适用情形《互联网信息服务管理办法》在境内当然具有效力，对于中国境内的主体利用境外网络资源向境内用户提供互联网信息服务的，也应当适用该办法。如境内主体租用境外服务器、通过境外IP地址跳转、使用境外云服务等向境内用户提供服务等。2.明确了主体适用范围明确了两类主体应当适用本办法：互联网网络接入服务提供者和互联网信息服务提供者。同时，结合《电信业务分类目录》以及业态情况对两类主体作了列举：（1）互联网信息服务提供者，指为用户提供互联网信息发布和应用平台，包括但不限于互联网新闻信息服务、搜索引擎、即时通讯、交互式信息服务、网络直播、网络支付、广告推广、网络存储、网络购物、网络预约、应用软件下载等互联网服务。（2）为互联网信息服务提供者提供网络接入的服务，包括互联网数据中心业务、内容分发网络业务、互联网接入业务等，具体业务形态包括但不限于网络代理、主机托管、空间租用等。3.广电业务除外。利用互联网专门向电视机终端提供信息服务的，属于广播电视管理的领域，不适用本办法。二、确立了新的管理体制（一）监管体制延续了《网络安全法》一轴两翼多格局的管理体制。由网信部门统筹系统并对互联网信息内容实施监督管理执法，电信部门负责互联网行业管理，公安部门负责互联网安全管理，其他部门在各自职责范围内对互联网信息服务实施监督管理。（二）行政许可与备案明确了电信业务许可与备案是从事互联网信息服务的前提，属于专门领域的还应当取得该领域主管部门的前置许可。1.电信业务许可与备案与《电信条例》作了协调统一，不再单独设立经营性互联网信息服务许可，对属于经营电信业务许可的，按照《电信条例》《电信业务分类目录》要求向电信主管部门申请电信业务经营许可，不属于电信业务许可的，应当向电信主管部门备案。备案的相关材料应当由互联网网络接入服务提供者代为向电信部门提交。备案材料包括互联网信息服务者主体身份信息、网络资源信息、服务项目信息以及公安机关出具的安全检查意见等。特别需要提醒的是，网络资源必须符合电信主管部门要求，还需具备符合国家规定的网络安全与信息安全管理制度和技术保障措施，前述制度和技术保障措施以及公安机关安全检查意见与网络安全等级保护制度相关，可通过等保评测等协助实现。2.前置许可《草案征求意见稿》与行政审批改革的成果相统一，对涉及的相关前置审批分类处理：（1）删除了原第九条和第十七条涉及的经营性互联网信息服务提供者境内上市前置审查、互联网电子公告服务专项审批（备案）的条款；（2）明确了互联网新闻信息服务应当向网信部门申请许可，从业人员应取得相应资质，接受相应考核培训；（3）从事文化、出版、视听节目的互联网信息服务应当取得有关部门许可；（4）教育、医疗保健、药品和医疗器械领域，依照法律、行政法规以及国务院有关决定确定是否需要取得有关部门许可，以对应教育网站和网校审批的取消以及药品、医疗器械互联网信息服务改为后置审批等特殊规定。3.要求不再从事互联网信息服务的应当主动注销相关许可和备案。三、完善了互联网信息服务领域主体责任《草案征求意见稿》加强了源头控制，设置了平台型企业责任；与刑事和刑事司法实践作了对接，弥补了对不够刑事处罚行为的规制空白；明确了配合行政执法、刑事司法的义务。其中需要重点说明如下：（一）设定了行政拘留的治安处罚对违反第十五条和二十七条第四款尚不构成犯罪的，直接设定了行政拘留的处罚，没有做引用性描述。根据《行政处罚法》限制人身自由的行政处罚只能由法律设定，此处有违法设定限制人身自由行政处罚之嫌。（二）加大了对翻墙软件提供者的处罚力度根据第二十七条第三款和第四款：国家有关机构依法采取技术措施和其他必要措施，阻断来自于中华人民共和国境外的法律、行政法规禁止发布或者传输的信息。任何组织和个人不得违反国家规定，为他人获取、传播前款被依法阻断的信息而提供技术支持或者其他帮助。当前使用VPN之类的技术或者翻墙软件浏览境外非法网站和网络信息的行为即属于前述情形，对于提供前述翻墙软件的人员在尚不够刑事处罚的情况下可以对其实施最高15日行政拘留处罚，单位实施该行为采取双罚制。四、规范了监督管理权限1.

近日，国标委发布28号国家标准公告，正式发布了《信息安全技术

2020年12月24日，工信部在国务院新闻办公室举行新闻发布会，通报了工信部开展APP侵害用户权益专项整治行动工作成果。截止当时，工信部已经对国内52万款APP进行了技术检测工作，责令其中1571款违规APP进行整改，公开通报了500款，对其中120款整改不到位及拒不整改的直接下架处理或其他行政处罚。2020年年中，工信部发布了《关于开展纵深推进APP侵害用户权益专项整治行动的通知》（下称“通知”），明确了2020年APP侵害用户权益专项整治行动的目标、对象、标准等内容。在《通知》的指引下，各地通管局启动了多轮专项执法行动，工信部层面也先后通报了七批次违法违规案例。结合近期立法与执法实践，汇业律师事务所网络与数据法律服务团队简要分析相关案例及执法趋势如下，仅供企业开展合规自查及整改工作参考。一、

汇业律师事务所

黄春林

近日，苹果发布AppStore隐私保护说明，要求自2020年12月8日起，开发者在AppStore发布或更新APP（以下合称“发版”）时，必须在AppStore

近日，国家市场监督管理总局、国家标准化管理委员会在2020年第26号公告中正式发布了推荐性国标《个人信息安全影响评估指南》（GB/T39335-2020，以下简称“国标39335”），该标准自2021年6月1日开始实施。在此之前，2020版《个人信息安全规范》首次详细规定了个人信息安全影响评估的适用场景、主要内容及报告形式等。结合国标39335的主要内容、最新立法趋势及开展个人信息安全影响评估（以下简称“PISIA”）的行业实践及近期项目经验，汇业律师事务所黄春林律师团队简要分析如下：一、企业为什么要开展PISIA1.

2020年11月12日，根据新修订《药品管理法》，国家药监局对《药品网络销售监督管理办法（征求意见稿）》（以下简称“2020稿”）作了修改，并就该办法再次公开征求意见。而在此之前，2018年2月9日，原食品药品监管总局曾公开过《药品网络销售监督管理办法》（征求意见稿）（以下简称“2018稿”）。结合2018稿的主要内容及修订意见，汇业律师事务所黄春林律师团队详细解读2020稿的主要内容如下，仅供参考。一、调整药品网络销售者范围根据2018稿第七条规定，药品网络销售者应当是取得药品生产、经营资质的药品生产企业、药品批发企业、药品零售连锁企业。而2020稿则对药品网络销售者的范围进行调整，即药品网络销售者应当是药品上市许可持有人（以下简称持有人）或者药品经营企业，该种药品网络销售者的概念也与此前2019年修订后的《药品管理法》相一致。二、强调网络销售药品限制网络销售药品并非毫无限制。2020稿对网络销售药品的范围进行了明确。具体如下：三、明确网络销售处方药以及展示处方药信息的要求不同于2018稿“一刀切”的做法，2020稿对网络销售处方药以及展示处方药信息并未作出禁止性规定，而是明确了相应的前提条件。具体如下：四、突出网络销售者及第三方平台的义务结合2018稿以及2020稿，两稿均对网络销售者以及第三方平台均提出了明确的合规要求。具体如下：1.网络销售者：2.第三方平台：五、细化责任约谈在2018稿中曾提出监督管理部门有权约谈药品网络销售者/第三方平台，2020稿中针对约谈进行了明确。具体如下：六、增强法律责任在2018稿中，药品网络销售者/第三方平台的责任（包括但不限于未在网站首页或者经营活动的主页面醒目位置清晰展示相关资质证明文件，未展示药品批准文号等），较多为“5000元以上2万元以下罚款”，而2020稿中的责任承担则调整为“1万元以上3万元以下罚款”，增强了药品网络销售者/第三方平台的责任。黄春林汇业律师事务所高级合伙人Ramon.huang@huiyelaw.com黄春林律师，现为上海市律协互联网与信息技术专业委员会副主任，主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务，常年为数十家境内外企业提供前瞻性法律服务解决方案，2019年在人民法院出版社出版专著《网络与数据法律实务：法律适用及合规落地》，多次被LegalBand、知产力等评为中国顶级律师之一。往期文章推荐：2020网剑行动解读：电子商务执法重点及违法示例《个人信息保护法（草案）》详细解读：继承、创新与影响互联网保险业务监管新规解读：业务边界、网络与数据合规京东健康招股书摘录：法律及监管相关的风险京东数科招股书摘录：法律及监管相关的风险等保及关保制度的最新监管实践与法律适用《网络数据处理安全规范》解读：功能定位、主要内容及规范创新券商数据合规工作指引解读：五大关键合规控制项《数据安全法（草案）》解读网络安全审查的行政法律性质与救济路径2020版《网络安全审查办法》解读：从技术安全走向供应链安全《采购项目之网络安全审查与申报指引》要点索引（中英文版）大数据行业之数据缓存合规：玫瑰如何赠，余香能否留增值电信业务许可之告知承诺审批：羞答答的玫瑰静悄悄地开带刺的玫瑰：上海自贸区离岸数据中心试点政策解读

2020年10月24日，由市场监管总局、中央宣传部、工业和信息化部、公安部、商务部、网信办、邮政局、药监局、知识产权局等14个单位组成的网络市场监管部际联席会议联合印发《关于印发2020网络市场监管专项行动（网剑行动）方案的通知》（下称“《通知》”），决定在2020年10月至12月期间，开展电商专项执法行动，全面落实《电子商务法》、《消费者权益保护法》、《反不正当竞争法》、《价格法》、《网络安全法》及《国务院办公厅关于促进平台经济规范健康发展的指导意见》等法律法规。据悉，2020“网剑行动”是联席会议制度调整完善后首次开展的专项行动。结合《通知》主要内容及近期电商、网安有关的立法趋势、监管执法行动，汇业律师事务所黄春林律师团队整理了电商违法违规执法重点，以备电子商务经营者（自营及平台）自查整改，避免成为“网剑行动”典型案例。汇业律师事务所黄春林律师团队提醒企业（尤其是电商平台企业、消费类零售企业），本次“网剑行动”参与部门多、涉及面广、执法力度大，建议企业尽快自行或委托专业机构，参照《电子商务法》、《消费者权益保护法》、《反垄断法》、《反不正当竞争法》、《合同法》、《价格法》、《网络安全法》、《网络交易监督管理办法（征）》等开展全网络渠道专项合规检视，并及时采取整改措施，避免成为各地执法典型案例。黄春林汇业律师事务所高级合伙人Ramon.huang@huiyelaw.com黄春林律师，现为上海市律协互联网与信息技术专业委员会副主任，主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务，常年为数十家境内外企业提供前瞻性法律服务解决方案，2019年在人民法院出版社出版专著《网络与数据法律实务：法律适用及合规落地》，多次被LegalBand、知产力等评为中国顶级律师之一。往期文章推荐：《个人信息保护法（草案）》详细解读：继承、创新与影响互联网保险业务监管新规解读：业务边界、网络与数据合规京东健康招股书摘录：法律及监管相关的风险京东数科招股书摘录：法律及监管相关的风险等保及关保制度的最新监管实践与法律适用《网络数据处理安全规范》解读：功能定位、主要内容及规范创新券商数据合规工作指引解读：五大关键合规控制项《数据安全法（草案）》解读网络安全审查的行政法律性质与救济路径2020版《网络安全审查办法》解读：从技术安全走向供应链安全《采购项目之网络安全审查与申报指引》要点索引（中英文版）大数据行业之数据缓存合规：玫瑰如何赠，余香能否留增值电信业务许可之告知承诺审批：羞答答的玫瑰静悄悄地开带刺的玫瑰：上海自贸区离岸数据中心试点政策解读

会常务委员会（全国人大常委会）颁布了《中华人民共和国电子商务法》（《电子商务法》），以规范中华人民共和国境内开展的电子商务活动，进一步加强对消费者个人数据和隐私的保

2020年9月11日，上交所受理“数字科技第一股”京东数字科技控股股份有限公司（以下简称“京东数科”或“公司”）的科创板上市申请。本文摘录上市文件中披露法律及监管相关的风险要点如下：一、数据安全相关政策趋严以及公司因数据使用不当导致的合规风险

近日，公安部向国家有关部委、各地公安机关等下发《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（下称“1960号文”），进一步明确了网络安全等级保护（下称“等保”）、

《安全规范》自2019年4月立项以来，名称几易其稿，也伴随着其功能定位的不断清晰明确。目前公开征求意见的《安全规范》的主要功能定位为：（1）

2020年7月，《数据安全法（草案）》（下称“草案”）对外发布并公开征求意见。在此之前，第十三届全国人大常委会第二十次会议首次审议了《草案》。《草案》全文七章五十一条，内容涉及法律适用、数据安全原则、政务数据安全、数据安全制度以及企业、组织等的数据安全合规义务。《草案》从体例到内容上，完全摒弃了网信办2019年发布的《数据安全管理办法（征求意见稿）》（下称“办法”）立法模式，相对科学、准确的理清了网络安全、数据安全与个人信息保护的法律关系，确立了我国数据安全的基本制度和治理体系。根据最新立法趋势及近期执法实践，本文中，汇业律师事务所黄春林律师团队简要解读《数据安全法（草案）》重要内容如下：

2020年6月18日，备受业界关注的《工业与信息化部关于加强呼叫中心业务管理的通知》（工信部信管【2020】81号，下称“通知”）正式发布。在多部委联合打击电信诈骗、非法催收、侵犯公民个人信息及电话营销骚扰的专项执法活动大背景下，该《通知》自去年12月份起公开征求意见，收到部分业务单位、省市通管局及公安、金融等监管部门的多条反馈意见。该《通知》从呼叫中心业务识别、准入审批、码号资源、接入监管等方面，全面明确了经营性呼叫中心的监管细则，对以借贷、保险、汽车、零售、电商等业务为主的呼叫中心影响较大。结合近期经营性呼叫中心监管执法实践及《通知》最新内容，汇业律师事务所黄春林律师团队简要分析经营性呼叫中心准入与监管的主要法律问题如下，仅供参考。一、经营性呼叫中心业务界定根据《电信业务分类目录（2015年版）》等规定，呼叫中心业务是指受企事业等相关单位委托，利用与公用通信网或互联网连接的呼叫中心系统和数据库技术，经过信息采集、加工、存储等建立信息库，通过公用通信网向用户提供有关该单位的业务咨询、信息咨询和数据查询等服务。根据上述规定以及汇业黄春林律师团队的经营性呼叫中心牌照申请经验，主管部门在判断是否为经营性呼叫中心业务时，重点关注企业是否向第三方提供经营性呼叫中心业务，具体业务内容包括售前/售后咨询与支持、客服、投诉服务等。关于“第三方”的判断，各地通管局的理解略有差异。实践中，提供撮合服务的电商平台/O2O平台等为平台内商户/用户提供除平台信息服务以外的咨询及客服等服务，以及连锁经营、集团化经营的集团为旗下加盟商/市场法人/独立品牌等提供一体化咨询及客服等服务，以及助贷/催收等业务，都可能会被认定为经营性呼叫中心业务。此外，根据《通知》规定，仅提供呼叫中心系统和坐席出租服务的，也属于经营性呼叫中心业务。相反的，仅向第三方提供话务员等人力外包、系统开发与维护服务等，不属于经营呼叫中心业务。但实践中，部分通过互联网形式提供AI智能客服服务的业务模式，到底是属于B24类呼叫中心业务还是属于B25类信息服务，各地监管部门存在一定的理解差异。实践中，监管部门主要会从合作合同、服务内容及实质、系统及人员归属、费用性质、结算方式等内容判断是否属于呼叫中心业务。二、呼叫中心牌照申请实践根据《电信条例》及《电信业务经营许可管理办法》等规定，企业开展经营性呼叫中心业务的，应当依法取得B24类增值电信业务经营许可。按照当前牌照申请最新实践，申请呼叫中心业务的路径主要有如下两种：（1）

信息流合规要点及影响

导读《网络安全审查办法》经国家网信办等十二部委于近日颁布后，将于今年6月1日起正式施行。该办法依据《网络安全法》的相关规定，对关键信息基础设施运营者采购影响或可能影响国家安全的网络产品和服务，作出了细化具体的审查规定。网络安全审查制度的实施具体包括申请、审查及许可等流程。在网络安全审查制度中，运营商及提供方可对安全审查未通过结论、责令停止使用及罚款行为采取相应的行政救济措施。一、网络安全审查制度的设立根据《行政许可法》第十二条第（一）项、第（六）项的规定，直接涉及国家安全、公共安全等特定活动，需要按照法定条件予以批准的事项，以及法律、行政法规规定可以设定行政许可的其他事项，可以设定行政许可。网络安全审查的目的在于确保供应链安全，维护国家安全，具体表现为采购准入模式，是一种典型的行政许可行为。该许可是由《网络安全法》第三十五条所设立的。该条规定：关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。而基于《网络安全审查办法》的规章属性，该办法只能对既有许可的实施进行具体操作上和程序上规定。二、网络安全审查制度的实施网络安全审查制度遵循“申请—审查—许可”的实施模式。首先，运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险，影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查；其次，网络安全审查办公室应当在收到审查申报材料起，10个工作日内确定是否需要审查并书面通知运营者；再次，网络安全审查办公室认为需要开展网络安全审查的，应当自向运营者发出书面通知之日起30个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见；情况复杂的，可以延长15个工作日；最后，网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见，网络安全审查工作机制成员单位，相关关键信息基础设施保护工作部门意见一致的，网络安全审查办公室以书面形式将审查结论通知运营者。另，若意见不一致的，按照特别审查程序处理，并通知运营者。按照特别程序处理的，网络安全审查办公室应当听取相关部门和单位意见，进行深入分析评估，再次形成审查结论建议，并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见，按程序报中央网络安全和信息化委员会批准后，形成审查结论并书面通知运营者。特别审查程序一般应当在45个工作日内完成，情况复杂的可以适当延长。值得注意的是，虽然《网络安全审查办法》本身对于运营者的权利没有进行具体规定，但基于网络安全审查是一种行政许可行为，因此其具体审查过程仍然应当符合《行政许可法》中对于申请人、利害关系人的权利保护要求，具体包括申请人的陈述、申辩权，审查机关作出不利决定前听取申请人或利害关系人意见及重大行政许可事项应当举行听证等。三、网络安全审查制度中的行政救济根据《网络安全法》第六十五条及《网络安全审查办法》第十九条的规定，关键信息基础设施的运营者使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。那么，运营者如何对前述安全审查未通过结论、责令停止使用或罚款行为采取救济？首先，安全审查未通过结论即相当于《行政许可法》中的不予许可决定，对未通过结论，运营者作为申请人可提起行政复议或者行政诉讼。要注意的是，依据《网络安全法》的规定，网络安全审查的职责对外全部归口于国务院网信办，国务院网信办虽然在法律地位上是国务院办事机构，但在具体实务中亦被作为国务院的组成部门对待，越来越趋向于部委化，因此提起诉讼或复议的被告或被申请人应当为国务院网信办。同时，基于网信办的国务院部委地位，如对其申请行政复议，复议机关应当也是该部门，即“同级复议”（类似于对证监会、银保监会决定的复议）。由于“同级复议”的成功率极低，我们建议一旦申请不通过如要采取法律救济，诉讼相对于复议而言，是更优选的渠道。其次，责令停止使用属于责令型行政决定，目前理论和实践尚未对责令型行政决定的性质作出确定的结论。就《网络安全法》及《网络安全审查办法》中所规定的责令停止使用而言，应当是行政机关在行政管理过程中，为制止违法行为，避免危害发生，控制危险扩大的控制行为，属于行政强制措施。因此，有关主管部门依据办法第十九条对运营者作出责令停止使用及罚款的行政决定时，须遵循《行政强制法》对于行政强制措施的一般规定。故而，如对责令停止使用某产品或服务的强制措施不服的，可以以其为行政强制措施为由提起相应救济。最后，产品和服务提供者属于网络安全审查中的利害关系人。在实际操作过程中，关键信息基础设施运营者会在与产品和服务提供方正式签署合同前申报网络安全审查，如果在签署合同后申报网络安全审查，建议在合同中注明此合同须在产品和服务采购通过网络安全审查后方可生效，以避免因没有通过网络安全审查而造成损失。当然，产品和服务提供者在特定情形下亦能对审查未通过的结论或责令停止使用等决定提起救济。这种救济是以利害关系人的角度提起的，比如行政机关的责令停止使用行为直接对产品服务提供者产生了侵害可能性等。结论关键信息基础设施对国家安全、经济安全、社会稳定、公众健康和安全至关重要，建立网络安全审查制度的目的在于通过网络安全审查这一举措，及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害，从而维护国家安全。网络安全审查作为典型的行政许可行为，需遵循《行政许可法》关于申请人陈述、申辩、听证等程序规定，从而维护运营商的合法权益，规范行使行政权力。同时，对于未经许可的责令停止使用、罚款的行政决定如有争议的，运营者或特定情形下的服务、产品提供者，亦均可采取相应的行政救济措施。曹竹平汇业律师事务所高级合伙人caozhuping@huiyelaw.com曹竹平律师，上海市律师协会行政法业务研究委员会主任，上海市法学会行政法学研究会理事、2019Legalband评选的政府事务领域中国十强律师。曹竹平律师的业务领域是为各类企业处理商业活动中与政府、行政机关有关的法律问题，主要包括商业活动中的行政法律风险防范和行政争议解决。曹律师曾代理了“盐业体制改革第一案”、某股票内幕交易行政处罚案、博士诉上海大学学位纠纷案等多起国内首例或具有重大社会影响的案件，是行政法律师中的领军人物。往期文章推荐：2020版《网络安全审查办法》解读：从技术安全走向供应链安全《采购项目之网络安全审查与申报指引》要点索引（中英文版）大数据行业之数据缓存合规：玫瑰如何赠，余香能否留增值电信业务许可之告知承诺审批：羞答答的玫瑰静悄悄地开带刺的玫瑰：上海自贸区离岸数据中心试点政策解读2019年外商投资增值电信业务最新政策解读中国央行数字货币DC/EP的十大法律猜想金融区块链项目的主要法律合规问题我国个人金融信息保护的法律与标准体系概览金融场景使用人脸识别技术的主要合规问题（十问十答）《个人金融信息保护技术规范》解读：全生命周期的技术与管理二元合规控制

reference.要点索引全文：点击文末“阅读原文”下载中文版PDF；发送邮件索取中/英文版PDF。要点索引目录：01采购项目的网络安全审查制度Cybersecurity

具体工作承担部门根据《办法》答记者问，中国网络安全审查技术与认证中心在网络安全审查办公室的指导下，承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。四、

对大数据行业而言，数据缓存不仅有利于提高数据查询/处理的效率和便利性，而且有利于扩大自有数据池、提高数据复用率，继而降低数据成本，长远来看更有利于拓展业务空间。因此，大数据公司有极大的利益驱动和诱惑去缓存数据。但是，自考拉征信、黑格数据、新颜科技、同盾科技等为代表的一系列大数据涉刑案件以来，大数据公司如何合规的“赠人玫瑰”（数据输出），能不能“手留余香”（数据缓存）等问题，成为业界普遍关注的重点合规难题。本文中，汇业黄春林律师团队结合行业实践及类似项目经验，就业界普遍关注的能不能缓存、如何缓存以及能不能使用缓存数据等问题，简要分析如下：一、场景实例实例1：联网身份核验供应商互联网金融、网络游戏、在线旅游等很多业务场景中，需要在账户注册时满足三要素或四要素身份核验合规要求。但是，这些行业几乎很难直接获得具备身份核验能力/资质的NCIIC、运营商、银行等的“一级”核验接口，因此，具备相应接口资源的“二级”大数据供应商就有了广阔的市场。实例2：大数据风控供应商电商、小贷、消金、保险等场景中，需要外部大数据供应商提供反欺诈、风控、信审等服务。而数据源的多样性、质量性、时效性又是衡量大数据供应商服务能力的重要指标，有时大数据供应商还要承担间接担保责任。因此，大数据供应商往往会从多个上游数据源获取数据，并通过算法模型实现数据融合及数据输出等大数据风控服务。实例3：账户信息归集类应用信用卡管理、生活记账、违章查询等场景中，为了方便用户“一站式”管理账户及信息，APP应用平台往往会从下游用户端归集账号及密码，从上游信息端查询、归集交易信息等。实例4：健康医疗科技服务商健康管理平台往往会从不同的渠道（如第三方可穿戴设备）采集用户的健康信息并推送给用户健康管理资讯；医保科技公司往往会从不同的政府平台、医疗机构采集患者就诊及入院等数据，推送给保险机构；AI辅助诊断供应商，往往会受医疗机构或患者委托处理大量医疗数据（例如CT片等）。在上述几个实例中，这些供应商、平台都有一个基本特征：左手从上游获取数据，右手“倒卖”给下游终端客户，属于典型背靠背交易的“二道贩子”。为了提高服务效率、降低服务成本、拓展未来业务版图等目的，这些“二道贩子”就有极强的利益驱动去缓存数据。这时，“二道贩子”能否缓存上下游数据？如何缓存，以及能否二次使用？二、能否缓存上下游数据1.