概述 

我们团队深耕数据安全领域，深度理解数据安全的法律风险。我们对于「数据分析」、 「数据交易」、「数据管理」、「数据安全」及「漏洞平台」、「个人信息保护」、「G DPR」「网络信息安全」、「网络产品与服务安全」等各类数据安全业务相关法律事宜均 具有深厚的法律知识功底以及丰富的实践操作经验。

数据安全企业法律服务范畴： 

➢ 就客户研发设计的数据/安全产品之制作、发行、运营等业务进行合规分析并提供 意见和建议，制作主营业务模板控制常见运营风险； ➢ 就客户产品涉及的数据收集和使用提供合规计划或整改方案；

➢ 协助客户制定数据商业化合规方案； 

➢ 协助客户制定修改隐私政策、合规计划；

➢ 协助客户制定跨境数据传输计划；

➢ 协助客户梳理企业数据（包括个人信息保护）合规体系；

 ➢ 协助客户进行内部网络安全和数据合规培训；

➢ 协助客户应对网络安全检查； 

➢ 协助客户应对网络安全突发事件； 

➢ 协助客户与监管部门沟通。 

典型案例 

➢ Talkingdata常年法律顾问 

担任知名大数据服务平台Talkingdata法律顾问，协助提供用户协议和隐私政策的 审核修订、GDPR合规项目、商业合作协议审核起草、业务运营的合规分析与建 议、劳动人事及商业秘密管理、员工培训等多项法律服务。 

➢ DHgate-GDPR合规专项法律服务 

担任著名电子商务企业DHgate的常年法律顾问，并就客户GDPR专项合规需求提 供法律服务，包括现有数据收集情况梳理、数据处理目的确认、数据权利保护入 口设计、撰写隐私政策、辅助搭建数据安全技术方案等。

➢ 京东方(BOE)个人数据保护专项法律服务 

担任国内著名显示器、传感器、智慧系统和健康服务提供商京东方科技集团股份 有限公司（BOE）个人数据保护专项法律服务，就客户具体产品的现状摸底、合 规梳理、功能设计、数据处理类型等提出专项法律意见，并配套撰写了用户协 议、隐私政策及相关规则等配套法律文件。 

➢ 蘑菇街常年法律服务 

担任知名电子商务企业蘑菇街常年法律顾问，协助客户制定、修订和上线用户协 议及隐私政策，并为客户日常数据收集和使用合规化提供咨询建议。 

➢ 全知科技常年法律顾问

担任数据安全保护和风险监控平台全知科技法律顾问，协助提供协议审核起草、 构架内部股权激励事宜、修订用户协议及隐私政策、提供业务运营合规筛查等多 项法律服务。 

➢ 吆喝科技常年法律顾问 

担任A/B测试云服务平台吆喝科技法律顾问，协助起草修订用户协议及隐私政 策、协助构架内部股权激励事宜、针对运营产品所需的公司构架及牌照进行分析 并提供意见和建议，日常经营、雇员及管理方面的法律咨询及协议起草等多项法 律服务。 

➢ 志翔科技常年法律顾问 

担任专注于网络空间数据安全与大数据业务风险管控的志翔科技的法律顾问，协 助提供协议审核起草、构架内部股权激励事宜、调研业务产品合规资质要求、提供业务运营合规筛查等多项法律服务。 

数据安全行业常见法律知识介绍 ？ 

个人信息、个人敏感信息及个人隐私的区别和联系？ 

根据全国人大法工委于2002年12月23日发布的《中华人民共和国民法（草案）》 规定：“隐私的范围包括私人信息、私人活动和私人空间。”因此，隐私主要是一 种私密性的信息或私人活动，凡是个人不愿意公开披露且不涉及公共利益的部分 都可以成为个人隐私，而且，单个的私密信息或者私人活动并不直接指向自然人 的主体身份，其强调的是一种私密性。 个人信息是与特定个人相关联的、反映个体特征的具有可识别性的符号系统，其 注重身份识别性并需要通过固定化的信息形式体现出来。个人信息权强调对个人 信息的支配和自主决定权。 而个人敏感信息是指“一旦遭到泄露或修改，会对标识的个人信息主体造成不良影 响的个人信息。”因此，个人敏感信息归属于个人信息。个人敏感信息中又包含一 些私密性的，个人不希望公之于众且不涉及公共利益的信息，如基因、病例等， 这些信息同时又属于个人隐私。

  现行法律规定针对网络服务提供者（网络运营者）收集个人信息的行为有哪些要 求？ 

根据现行相关法律规定： ­ 

网络服务提供者在业务活动中收集、使用公民个人电子信息，应当遵循合 法、正当、必要的原则，明示收集、使用、处理信息的目的、方式、范围和 用途，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、 使用信息。 ­ 网络服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息 用于提供服务之外的目的，不得以欺骗、误导或者强迫等方式或者违反法 律、行政法规以及双方的约定收集、使用信息。 ­ 

网络服务提供者和其他企业事业单位收集、使用公民个人电子信息，应当公 开其收集、使用规则。并且，网络服务提供者和其他企业事业单位及其工作 人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡 改、毁损，不得出售或者非法向他人提供。但是，经过处理无法识别特定个 人且不能复原的除外。 ­ 根据《网络安全法》的规定，任何个人和组织不得窃取或者以其他非法方式 获取个人信息，不得非法出售或者非法向他人提供个人信息。网络运营者不 得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提 供个人信息。但经过处理无法识别特定个人且不能复原的除外。

同时，《民 法总则》将这一限制范围进一步拓宽为：自然人的个人信息受法律保护。任 何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不 得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公 开他人个人信息。 ­ 网络运营者应当采取技术措施和其他必要措施，确保公民个人信息安全，防 止其收集的公民个人信息泄露、毁损、丢失。在发生或者可能发生公民个人 信息泄露、毁损、丢失的情况时，应当立即采取补救措施，告知可能受到影 响的用户，并按照规定向有关主管部门报告。

 ­ 根据《电子商务法（草案）》的规定，电子商务经营主体收集用户个人信 息，应当遵循合法、正当、必要原则，事先向用户明示信息收集、处理和利 用的规则，并征得用户的同意。电子商务经营主体不得以拒绝为用户提供服 务为由强迫用户同意其收集、处理、利用个人信息。禁止采用非法交易、非 法入侵、欺诈、胁迫或者其他未经用户授权的手段收集个人信息。电子商务 经营主体修改个人信息收集、处理、利用规则的，应当取得用户的同意。用 户不同意的，电子商务经营主体应当提供相应的救济方法。 

？ 从事大数据交易平台需要的资质 

除了正常的工商局营业执照以及网站需要的ICP备案登记外，从事非自营业务的大 数据交易平台需要获得增值电信业务许可证，类别为B21：在线数据处理与交易 处理业务许可证，且应在平台官网主页显著位置标明许可证编号。

？ 使用网络爬虫工具（技术）获取数据应注意哪些合规问题 

使用网络爬虫工具（技术）来获取数据时，应注意遵守Robots协议（爬虫协 议）； 同时，应注意，通过爬虫规则取得的数据不应包含个人信息及商业秘密、 国家秘密等信息数据，否则，极易触发刑事犯罪风险，具体应以所抓取的数据的 性质为基础进行分析。例如 ，若所获取的数据为个人信息的，则可能构成侵犯公 民个人信息罪；若所获取的数据为商业秘密的，则可能构成侵犯商业秘密罪；若 所获取的数据涉及国家秘密的，则可能构成非法获取国家秘密罪。 

？ 为什么要对个人信息数据进行匿名化处理 

根据现行法律规定，国家保护能够识别公民个人身份和涉及公民个人隐私的电子 信息。而经过匿名化处理的数据，人们已无法将其与个人身份等联系起来，即公 众已无法通过该等数据识别公民个人身份，因此该等数据不再属于个人信息的范 畴，对该等数据的使用也不再受个人信息保护规定的限制，如个人信息的收集必 须取得被收集人的同意等。因此，该等匿名化的数据更受企业的青睐。同时，对 数据进行匿名化处理后再进行使用、加工、处理也有利于企业更好的实现保护其 用户个人信息及隐私的目的。 

？ 企业可以将其收集/使用的数据存储于境外吗

应根据具体收集的数据类型进行判断。根据现行法律规定，如征信机构在中国境 内收集的个人信息、银行业金融机构在中国境内收集的个人金融信息，关键信息 基础设施运营者在境内运营中收集和产生的个人信息和重要数据，网约车平台公 司采集的个人信息和生成的业务数据等应在境内存储。因此，若企业需要在境外 存储数据，应对所存储的数据进行筛查分类，对于法律明确要求存储于境内的数 据，则应严格存储于境内。 此外，应注意，根据国家互联网信息办公室于2017年4月11日发布的《个人信息 和重要数据出境安全评估办法（征求意见稿）》的要求，网络运营者（网络的所 有者、管理者和网络服务提供者）在中华人民共和国境内运营中收集和产生的个 人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，应当按 照本办法进行安全评估。其他个人和组织在中华人民共和国境内收集和产生的个 人信息和重要数据出境的安全评估工作参照本办法执行。

？ 数据交易服务平台应满足哪些交易数据安全保护要求 

根据《信息安全技术 数据交易服务安全要求（征求意见稿）》规定，数据交易服 务平台应满足以下要求：

a) 分别为数据供方、需方提供安全的上传或下载接口，传输链路加密等保护措 施，确保数据传输的安全；

b) 对交易数据实施加密存储、访问控制等安全措施，防止数据泄露或非法使用；

c) 实现数据源和数据操作的可追溯性；

d) 在托管数据交易模式下，应为数据需方提供隔离安全环境，对数据需方在数据 使用环境中运行的相关程序和产生的数据结果进行审核；

e) 在托管数据交易模式下，应对交易数据进行安全存储和备份，确保数据的保密 性、完整性和可用性。 

？ 哪些数据在我国禁止交易 

《信息安全技术 数据交易服务安全要求（征求意见稿）》规定，数据交易服务机 构应根据我国相关法律法规，制定禁止交易的数据目录，目录至少应包括：

a) 涉及国家秘密等受法律保护的数据；

b) 涉及个人信息的数据，除非获得了全部个人数据主体的明示同意，或者进行了 必要的去标识化处理； c) 涉及他人知识产权和商业秘密等权利的数据，除非取得权利人明确许可；

d) 涉及以下内容的数据： 

1) 反对宪法所确定的基本原则的；

2) 危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的； 

3) 损害国家荣誉和利益的； 

4) 煽动民族仇恨、民族歧视，破坏民族团结的；

5) 破坏国家宗教政策，宣扬邪教和封建迷信的； 

6) 散布谣言，扰乱社会秩序，破坏社会稳定的； 

7) 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的； 8) 侮辱或者诽谤他人，侵害他人合法权益的；

9) 涉及枪支弹药、爆炸物品、剧毒化学品、易制爆危险化学品和其他危险化学 品、放射性物品、核材料、管制器具等能够危及人身安全和财产安全的危险物 品的；

10) 宣扬吸毒、销售毒品以及传播毒品制造配方的； 

11) 涉及传销、非法集资和非法经营等活动的； e)其它法律法规明确禁止交易的数据。 

？ 哪些网络产品和服务应通过安全审查 

根据《网络产品和服务安全审查办法》的规定，关系国家安全和公共利益的信息 系统使用的重要网络产品和服务，应当经过网络安全审查。金融、电信、能源、 交通等重点行业和领域主管部门，根据国家网络安全审查工作要求，组织开展本 行业、本领域网络产品和服务安全审查工作。公共通信和信息服务、能源、交 通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他关键信息基 础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过网络安全 审查。产品和服务是否影响国家安全由关键信息基础设施保护工作部门确定。 

？ 网络产品和服务安全审查，重点审查的内容包括哪些？ 

根据《网络产品和服务安全审查办法》的规定，重点审查网络产品和服务的安全 性、可控性，主要包括：

（1）产品和服务自身的安全风险，被非法控制、干扰 和中断运行的风险；

（2）产品及关键部件生产、测试、交付、技术支持过程中 的供应链安全风险；

（3）产品和服务提供者利用提供产品和服务的便利条件非 法收集、存储、处理、使用用户相关信息的风险;

（4）产品和服务提供者利用用 户对产品和服务的依赖，损害网络安全和损害用户利益的风险；

（5）其他可能 危害国家安全的风险。

？ 漏洞提交的主要方式有哪些，应注意哪些法律风险？ 

目前，行业内通行的漏洞提交方式及其相应的法律风险如下： 

a）厂商明确授权并邀请白帽子对其系统进行漏洞检测 此种方式一般通过厂商自行举办的活动直接邀请白帽子，或厂商与漏洞平台合作 发起相关活动邀请白帽子对其系统记性检测，在此过程中，厂商会明确授权白帽 子对其系统进行漏洞检测并可能会与白帽子以签署相关书面协议等方式明确双方 权利义务，并在白帽子向其提交漏洞后，给予白帽子一定奖励。 在此种情况下，只要厂商是在合法范围内发起的活动，则白帽子只需注意遵循相 关协定即可，因其已明确取得厂商授权，因此，基本没有法律风险。

 b）白帽子自发检测网站漏洞并提交至漏洞平台或相关厂商 此种方式在业内争议较大。因白帽子并无厂商明确授权，因此若其在漏洞检测过 程中未能注意相关法定要求，则极易构成犯罪。 一般情况下，业内经验较为丰富的白帽子会注意在检测过程中尽量不影响所检测 网站的正常运行，并尽可能不去读取涉及个人信息、商业秘密等内容的数据，或严格将数据的读取数量限制在“支付结算、证券交易、期货交易等网络金融服务的 身份认证信息十组以内；身份认证信息五百组以内”。