植德律師事務(wù)所AntonyKim,KolvinStone,AravindSwaminathan,XiangWang,JeffZhang北京市東城區(qū)東直門南大街1號來福士中心辦公樓5層，1000075thFloor,RafflesCityBeijingOfficesTower,No.1DongzhimenSouthStreet,DongchengDistrict,Beijing100007P.R.C.Tybersecurityisneverjustatechnologyproblem,it‘sapeople,processesandknowledgeproblem.-NationalInstituteofStandardsandTechnology(NIST) 1 1 1 1 2 2 3 3 3 3 5 72.1.4.涉及個人信 11 11 11 13 202.3.1.計(jì)算機(jī) 21 25 27 282.3.5.拒不履行網(wǎng)絡(luò) 303.誰需要考慮數(shù)字化轉(zhuǎn)型中的合規(guī)風(fēng)險 303.1.絕大多數(shù)企業(yè)均須 30 31 323.3.1.關(guān)鍵信息 323.3.2.關(guān)鍵信息 323.3.3.關(guān)鍵信息基 33 343.5.即便是網(wǎng)絡(luò)事件的受害者也可 34 35 35 354.如何做好合規(guī)準(zhǔn)備 364.1.了解我國網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī) 36 37 37 38 38 39 39 39 40 405.數(shù)據(jù)相關(guān)的商業(yè)模式合規(guī) 41 41 42 44 44 45 46 476.網(wǎng)絡(luò)安全以及數(shù)據(jù)合規(guī)的最佳實(shí)踐范例 48 48 49 49 50 50 50 506.1.7.使用個人信息無需征得個人 51 51 52 52 53 54 56 56 56 57 57 57 586.3.2.網(wǎng)絡(luò)運(yùn)營者與供應(yīng) 596.3.3.管理供應(yīng)商的最佳實(shí)踐—— 606.3.4.管理供應(yīng)商的最佳實(shí)踐——對供 616.3.5.管理供應(yīng)商的最佳實(shí) 61 62 62 62 63 63 64 64 64 65 65 666.5.4.并購交割后的 66 67 69 69 70 717.2.2.核心合規(guī) 72 76 77 807.3.3.適當(dāng)使 82 83 85 88 898.企業(yè)應(yīng)當(dāng)采取哪些措施保障數(shù)據(jù)安全 93 93 97 99 100 100 101 101 101 101 102 102 102 1031根據(jù)全球著名信息技術(shù)、電信行業(yè)和消費(fèi)科技咨詢公司I著中國的數(shù)字化進(jìn)程逐步推進(jìn)，各個行業(yè)的價值鏈都將經(jīng)潤池的徹底變革。這種創(chuàng)造性變革將發(fā)生在世界每一個角中國的傳統(tǒng)行業(yè)效率低下、擁有巨大的商業(yè)化潛能，因此中國將尤為迅猛和激烈。經(jīng)歷這次轉(zhuǎn)變脫穎而出的企業(yè)很型商業(yè)模式，任何一個中國企業(yè)的數(shù)字化轉(zhuǎn)型都首先必正如曾鳴先生在《智能商業(yè)》中一再強(qiáng)調(diào)的，智2企業(yè)的原數(shù)據(jù)、衍生數(shù)據(jù)、數(shù)據(jù)的算法等，是數(shù)產(chǎn)以及核心競爭力。網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)建設(shè)競爭力的重要前提和保障。網(wǎng)絡(luò)安全不合規(guī)，都會直接導(dǎo)致企業(yè)持有的數(shù)據(jù)資產(chǎn)價值甚至企至歸零，在投融資并購、上市、融資、爭取政各國監(jiān)管者高度關(guān)注網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)。為應(yīng)對數(shù)字均紛紛圍繞數(shù)字經(jīng)濟(jì)和網(wǎng)絡(luò)安全的主題，制定了多層次、各數(shù)據(jù)安全保護(hù)法規(guī)，對網(wǎng)絡(luò)安全和個人信息保護(hù)的內(nèi)容加以護(hù)，并對于違反相應(yīng)制度的行為設(shè)定了多種法律責(zé)任，包括關(guān)裁定的損害賠償、賠禮道歉、恢復(fù)原狀等民事責(zé)任；行政司法機(jī)關(guān)針對嚴(yán)重的違法行為判處的剝奪人身自由、罰金等任。更為重要的是，由于網(wǎng)絡(luò)的無國界性，如果一個公司的在科技飛速發(fā)展的時代，并沒有防范信息泄露等安全3便出現(xiàn)了安全事故，企業(yè)也可以基于已經(jīng)盡到的合規(guī)義務(wù)而企業(yè)通過對自身合規(guī)的梳理，可以發(fā)現(xiàn)自身數(shù)據(jù)及侵害行為可能觸犯的法律規(guī)范，從而能夠選擇適當(dāng)前所述，網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)過程中涉及的法律規(guī)范繁雜，責(zé)任制度多元。我們注意到，隨著企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程不斷加快泄露有關(guān)的民事案件越來越多。根據(jù)我們對案例很多企業(yè)在缺乏對網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)充分理解的前提下即開展業(yè)序號植德合規(guī)建議1維公司租用企商在線公司的服務(wù)器經(jīng)營網(wǎng)服務(wù)器損壞導(dǎo)致永久丟失了3.5個月內(nèi)網(wǎng)站（1）公司應(yīng)建立統(tǒng)一的第三（2）無論是供應(yīng)商還是公司4序號植德合規(guī)建議2式向智慧云游提供數(shù)因費(fèi)用退換問題發(fā)生所涉相關(guān)事實(shí)已涉嫌起訴并移送公安機(jī)關(guān)（1）如果合作雙方中，有一（2）公司應(yīng)重點(diǎn)關(guān)注數(shù)據(jù)業(yè)35序號植德合規(guī)建議4通信集團(tuán)湖南有限公司、中國移動通信集團(tuán)湖南有限公司長沙分公司合同糾紛5航空股份有限公司航空旅客運(yùn)輸合同糾紛有限公司與東航簽訂了《航空公司服務(wù)協(xié)境內(nèi)的所有機(jī)票銷售公司應(yīng)當(dāng)慎重選擇第三方供應(yīng)確界定，所以《中華人民共和國反不正當(dāng)競爭法正當(dāng)競爭法》”）成為了數(shù)據(jù)權(quán)屬、數(shù)據(jù)產(chǎn)品利適用法律。企業(yè)使用爬蟲等技術(shù)、或者通過AP企業(yè)數(shù)據(jù)極易引發(fā)不正當(dāng)競爭的質(zhì)疑，涉及反不6序號植德合規(guī)建議1根據(jù)新浪微博開放平臺的戶可以使用手機(jī)號和新浪守“用戶授權(quán)”+“平臺（2）如果公司的行為實(shí)為2紛3公司不正當(dāng)競爭糾紛公司經(jīng)營的“咕咕互助平衍生數(shù)據(jù)產(chǎn)品中的數(shù)據(jù)內(nèi)7根據(jù)《反不正當(dāng)競爭法》第十二條的規(guī)定，經(jīng)營者利用網(wǎng)絡(luò)從事生通過影響用戶選擇或者其他方式，實(shí)施下列妨礙、破壞其他經(jīng)：（營者同意，在其合法提供的網(wǎng)絡(luò)產(chǎn)品或者服務(wù)中，插入鏈接、進(jìn)行目標(biāo)跳轉(zhuǎn)；（二）誤導(dǎo)、欺騙、強(qiáng)迫用戶修改、關(guān)閉、卸他經(jīng)營者合法提供的網(wǎng)絡(luò)產(chǎn)品或者服務(wù)；（三）惡意對其他經(jīng)合法提供的網(wǎng)絡(luò)產(chǎn)品或者服務(wù)實(shí)施不兼容；（四）其他妨礙、模式是否可能導(dǎo)致違反前述規(guī)定而被認(rèn)定為“經(jīng)營者在生產(chǎn)經(jīng)營活動中，違反本法規(guī)定，擾亂市場競爭秩序，損害其他經(jīng)營者或者消費(fèi)者的合法權(quán)益的行為”。此外，在與其他企業(yè)的合作中，公司也要注意多重授權(quán)的獲得，以免被認(rèn)定為采用不當(dāng)手段進(jìn)行不正當(dāng)競隱私權(quán)、名譽(yù)權(quán)，其中多數(shù)為企業(yè)未經(jīng)授權(quán)使用用戶序號植德合規(guī)建議1度網(wǎng)訊科技有限公司隱私權(quán)放。原告起訴百度網(wǎng)訊公（1）該案件發(fā)生在《網(wǎng)8序號植德合規(guī)建議別，不符合“個人信息”239序號植德合規(guī)建議紛4稱原告航班取消的詐騙短信。法院判決東航和趣拿公司存在泄露龐某隱私信息的高度可能，并且存在過錯，應(yīng)當(dāng)承擔(dān)侵犯隱私（1）合同內(nèi)容，用戶姓（2）如果經(jīng)營者外包了5度網(wǎng)訊科技有（1）本案涉及被遺忘權(quán)定，亦無“被遺忘權(quán)”（2）在公安部第三研究序號植德合規(guī)建議銷用戶賬號的功能已6（1）根據(jù)《中華人民共7 平臺利用趙某在購物時留存的手機(jī)信息，給趙某手（1）如果企業(yè)合法取得序號植德合規(guī)建議（2）利用用戶信息和算序號過機(jī)關(guān)據(jù)1縣兩級公安機(jī)關(guān)網(wǎng)安部門絡(luò)安全等級保護(hù)制2改序號過機(jī)關(guān)據(jù)3及時履行網(wǎng)絡(luò)依據(jù)網(wǎng)安法責(zé)令改正4技發(fā)展有限公司在提供互聯(lián)網(wǎng)數(shù)據(jù)中心服存用戶登錄相存用戶登條序號過機(jī)關(guān)據(jù)5某網(wǎng)站因未將網(wǎng)絡(luò)安全防護(hù)進(jìn)而導(dǎo)致網(wǎng)站最終造成了網(wǎng)站發(fā)生被黑客攻擊入侵的網(wǎng)絡(luò)安全等級保護(hù)制網(wǎng)絡(luò)安全保護(hù)義務(wù)元6局分民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》（工業(yè)和信息化部令第序號過機(jī)關(guān)據(jù)7息8改等序號過機(jī)關(guān)據(jù)9罰相關(guān)評論信息”序號過機(jī)關(guān)據(jù)州某網(wǎng)絡(luò)技術(shù)有限公司在發(fā)現(xiàn)有用戶利用其網(wǎng)絡(luò)平臺發(fā)布和傳播違法保存有關(guān)記錄并向主管部門通信管理局責(zé)令該公司立即公司切實(shí)落實(shí)信息服務(wù)管理?xiàng)l序號過機(jī)關(guān)據(jù)公眾號在其頭條推文發(fā)布了對事件進(jìn)行了浙江省網(wǎng)信辦序號過機(jī)關(guān)據(jù)信辦約談了該公眾號主要負(fù)對某知名短視頻平臺在某知名搜索引擎投放的廣告中出現(xiàn)侮辱英烈內(nèi)商局依法聯(lián)合對兩者約談查局條或者員工承擔(dān)刑事責(zé)任，相關(guān)案例屢見不鮮。司法序號植德合規(guī)建議12序號植德合規(guī)建議3件，繞過鐵路身份證識別儀,在鐵路售票系統(tǒng)上對鐵路購票網(wǎng)站存儲凍結(jié)的序號植德合規(guī)建議4某、侯某經(jīng)共謀采用技術(shù)手段抓取被害單位北京某網(wǎng)絡(luò)技術(shù)有限公司服務(wù)器中存及直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員犯非法獲取計(jì)算機(jī)信5序號植德合規(guī)建議6序號植德合規(guī)建議7每個人的隱私，不當(dāng)?shù)纳虡I(yè)模式或者操作將可能導(dǎo)致企業(yè)被認(rèn)犯公民個人信息罪。最高人民法院、最高人民檢察院和公安部陸續(xù)發(fā)布過與此相關(guān)的典型案例，我們選取其中具有代表性的序號發(fā)布單位/督辦1公安部、最高人2序號發(fā)布單位/督辦3案4567公安部8公安部9公安部論壇下載保存下來的大量各類公安部公安部的軟件程序，并在互聯(lián)網(wǎng)上大肆收購網(wǎng)站身份認(rèn)證信息，使序號發(fā)布單位/督辦公安部案公安部公安部公安部公安部案公安部序號12數(shù)字化轉(zhuǎn)型過程中，如果對于新的概念、商業(yè)模式、合規(guī)審查，有可能認(rèn)定實(shí)質(zhì)上非法占有他人財(cái)產(chǎn)從而構(gòu)成詐騙序號1公司履行上述合同的2行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役；（證據(jù)滅失，情節(jié)嚴(yán)重的；（四）有其他嚴(yán)重情節(jié)的。單位犯前款罪的，對單位判處罰金，并對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照前款的規(guī)定處罰。拒不履行網(wǎng)絡(luò)安全管理義務(wù)罪懲罰的任何一個網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)履行信息網(wǎng)絡(luò)安全管理義務(wù)，履行且經(jīng)責(zé)令改正而拒不改正，在發(fā)生特定不利后果序號13.誰需要考慮數(shù)字化轉(zhuǎn)型中的合規(guī)風(fēng)險3.1.絕大多數(shù)企業(yè)均須考慮網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)全法》中規(guī)定的“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)安全”、“網(wǎng)絡(luò)破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運(yùn)行的破了守方的網(wǎng)絡(luò)安全措施，使得對方網(wǎng)絡(luò)無法處于穩(wěn)定可靠或者侵害了對方數(shù)據(jù)的完整性、保密性、可用性，將在很大在互聯(lián)網(wǎng)時代，計(jì)算機(jī)或網(wǎng)絡(luò)是所有企業(yè)都在使用的必根據(jù)《網(wǎng)絡(luò)安全法》第二條，在中華人民共和國境內(nèi)建設(shè)、運(yùn)營、維全法》規(guī)制的是境內(nèi)網(wǎng)絡(luò)活動，但是我們不能簡單法》只適用于在中華人民共和國大陸地區(qū)注冊的公司。政府一直強(qiáng)調(diào)要從網(wǎng)絡(luò)主權(quán)高度來看網(wǎng)絡(luò)安全，沒有網(wǎng)《網(wǎng)絡(luò)安全法》的：在中國境內(nèi)注冊的網(wǎng)絡(luò)運(yùn)營內(nèi)注冊，但在中國境內(nèi)開展業(yè)務(wù)，或向中國境內(nèi)提供產(chǎn)品或服務(wù)的網(wǎng)絡(luò)經(jīng)營者。如果一個境外公司的經(jīng)營中有如下一個或全部因素，那么該境外公司將很有可能被認(rèn)定在中國境內(nèi)開展業(yè)務(wù)，或向中國境內(nèi)提換句話說，通過設(shè)立境外公司這樣簡單粗暴的方案不可《網(wǎng)絡(luò)安全法》第三十一條明確規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施(Critical根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》，下列單值得注意的是，根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求稿）》，任何未被明確列舉的行業(yè)和領(lǐng)域的主體所運(yùn)營的網(wǎng)絡(luò)判斷某項(xiàng)業(yè)務(wù)是關(guān)鍵業(yè)務(wù)呢？《國家網(wǎng)絡(luò)安全檢查操作指南》中的能源等重點(diǎn)行業(yè)領(lǐng)域），應(yīng)當(dāng)按照網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法的任何一個行業(yè)如果涉及個人信息或者與國家安全、經(jīng)濟(jì)發(fā)展以度高低，我們制作了下述行業(yè)風(fēng)險程度一覽表。其中紅色的為風(fēng)險程3.5.即便是網(wǎng)絡(luò)事件的受害者也可能因忽略合規(guī)而遭受處罰如果某個公司遭遇網(wǎng)絡(luò)事件（例如網(wǎng)絡(luò)攻擊）后信息網(wǎng)絡(luò)安全管理義務(wù)，那么其作為網(wǎng)絡(luò)攻擊的受害者還可能在對網(wǎng)絡(luò)違法犯罪案件開展偵查調(diào)查工作時，同步啟動務(wù)提供者法定網(wǎng)絡(luò)安全義務(wù)履行情況的監(jiān)督檢查。對拒機(jī)關(guān)將依法對其進(jìn)行嚴(yán)厲查處，努力從源頭遏制網(wǎng)絡(luò)違法犯根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，網(wǎng)絡(luò)運(yùn)營者不履行制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處臵系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻生危害網(wǎng)絡(luò)安全事件時未及時啟動應(yīng)急預(yù)案并采取全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元規(guī)定了網(wǎng)絡(luò)安全的主管機(jī)關(guān)有權(quán)對“直接負(fù)責(zé)的主管人員”處以罰款、取消網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營關(guān)鍵崗位任職資格等處罰。不僅如此，對于某些特殊行業(yè)，行業(yè)主管部門也會對違反網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的主管人員采取一定的措施，比如建議銀行業(yè)金融機(jī)構(gòu)對直并對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員判處構(gòu)成單位犯罪的情況下，直接負(fù)責(zé)的股東、高管也會風(fēng)險相對較小。但財(cái)務(wù)投資人在某些特定場景下仍有但法院最終認(rèn)定，張某在入股某公司后，得知該公司從事在投資后不做好投后管理的風(fēng)控，那么在投資組合的業(yè)務(wù)合規(guī)建設(shè)的起點(diǎn)。網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)還是一個相對較新的領(lǐng)域），（2）相關(guān)法律制度正在進(jìn)一步完善的過程中，尤其是《網(wǎng)絡(luò)安全法》致甚至沖突等問題在短期內(nèi)將持續(xù)存在，也會給公安部主管網(wǎng)絡(luò)安全等級保護(hù)工作，負(fù)責(zé)網(wǎng)絡(luò)安全等級保護(hù)工作的全管理局下設(shè)綜合處、信息安全處、網(wǎng)絡(luò)與數(shù)據(jù)安全處以及相關(guān)行業(yè)部門負(fù)責(zé)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作。各行業(yè)監(jiān)管信息服務(wù)、征信信息安全，開展網(wǎng)絡(luò)安全專項(xiàng)檢查，保護(hù)金教育部：加強(qiáng)教育信息化和網(wǎng)絡(luò)安全統(tǒng)籌部署，規(guī)范教育信在企業(yè)數(shù)字化轉(zhuǎn)型過程中涉及的數(shù)據(jù)紛繁復(fù)雜。不同類對應(yīng)不同的合規(guī)要求和法律風(fēng)險，因此區(qū)分不同的數(shù)據(jù)類型或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自身份的各種信息，包括但不限于自然人的姓名、出生日期件號碼、個人生物識別信息、住址、電話號碼等。個人信通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密下稱“《個人信息安全規(guī)范》”）在此基礎(chǔ)上進(jìn)一步界定了“安全，極易導(dǎo)致個人名譽(yù)、身心健康受到損害或歧視性待感信息時，應(yīng)取得個人信息主體的明示同意。應(yīng)的明示同意是其在完全知情的基礎(chǔ)上自愿給出的涉及敏感信息、敏感信息的收集程序、敏感信息辦法（征求意見稿）》中，其后國標(biāo)《信息安全技術(shù)數(shù)據(jù)出評估指南（征求意見稿）》以規(guī)范性附錄的方式對重要數(shù)據(jù)定：重要數(shù)據(jù)是指相關(guān)組織、機(jī)構(gòu)和個人在境內(nèi)收集、產(chǎn)生及國家秘密，但與國家安全、經(jīng)濟(jì)發(fā)展以及公共利益密切相義務(wù)，譬如在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)，應(yīng)當(dāng)在境內(nèi)5.2.基于數(shù)據(jù)的區(qū)別定價根據(jù)網(wǎng)絡(luò)公開信息，大數(shù)據(jù)殺熟的最早案例是亞馬遜在200一個“實(shí)驗(yàn)”。用戶偶然在亞馬遜電商平臺上分析更使得基于數(shù)據(jù)的區(qū)別定價變得容易。究其本質(zhì)，“大數(shù)據(jù)殺熟”消費(fèi)者的興趣愛好、消費(fèi)習(xí)慣等特征向其提供的，應(yīng)當(dāng)同時向該消費(fèi)者提供不針對其個人特護(hù)消費(fèi)者合法權(quán)益。第七十七條，電子商務(wù)經(jīng)由市場監(jiān)督管理部門責(zé)令限期改正，沒收違法所上二十萬元以下的罰款；情節(jié)嚴(yán)重的，并處二者從事下列濫用市場支配地位的行為：（六）沒有正經(jīng)營者違反本法規(guī)定，濫用市場支配地位的，由反壟止違法行為，沒收違法所得，并處上一年度銷售額百值得注意的是，監(jiān)管機(jī)構(gòu)質(zhì)疑的是大數(shù)據(jù)殺熟，但是并沒有完全禁性化展示。對于個性化展示，須遵循相應(yīng)的務(wù)搜索結(jié)果的個性化展示的，應(yīng)當(dāng)同時向該消費(fèi)者提供不針對其5.3.數(shù)字營銷中的刷量是“效果優(yōu)化”還是數(shù)據(jù)流量造假?所謂的數(shù)字營銷中的“效果優(yōu)化”很可能就是刷量的結(jié)果。常見的刷量方式包括購入海量手機(jī)由特定程序控制進(jìn)行點(diǎn)擊，黑客劫持終端等多在愛奇藝與飛益公司的案件中，法院認(rèn)定“刷量”行為不藝公司多支出不應(yīng)承擔(dān)的著作權(quán)許可使用費(fèi)，還會因虛假訪問量而排位在先的視頻由于并不能真實(shí)反需求，被訪問量誤導(dǎo)的消費(fèi)者一旦發(fā)現(xiàn)視頻排位與產(chǎn)生不良用戶體驗(yàn)，從而懷疑愛奇藝網(wǎng)站的訪問數(shù)據(jù)奇藝公司的商業(yè)信譽(yù)，最終選擇其他服務(wù)提供商導(dǎo)益的再損失。法院判定，飛益公司違反公認(rèn)的商業(yè)此外，值得注意的是，越來越多的司法機(jī)關(guān)已5.4.互聯(lián)網(wǎng)新媒體公司的“加粉”新三板掛牌公司北京瑞智華勝科技股份有限公司（下稱“一度是市場上的明星項(xiàng)目。根據(jù)其官方表述，作為決方案提供商其業(yè)務(wù)是“分析互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)行為的投放價值，為客戶定制針對目標(biāo)用戶的精準(zhǔn)社會某某及監(jiān)事黃某、梁某某因涉嫌非法獲取計(jì)算機(jī)等信息。他們劫持?jǐn)?shù)據(jù)后會進(jìn)行爬取、還原等，為了不被發(fā)現(xiàn)號的粉絲、關(guān)注中，很大一部分是在用戶未知的情況下，賬號對不同的社交平臺軟件，該公司研發(fā)了不同用戶信息提取、操根據(jù)刑法第285條第2款，非法獲取計(jì)算機(jī)算機(jī)信息系統(tǒng)罪是指違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)學(xué)技術(shù)領(lǐng)域以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計(jì)算機(jī)信施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處通過用戶信息提取和操控程序進(jìn)行加粉。該等操作算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)罪以對于互聯(lián)網(wǎng)新媒體營銷解決方案提供商，其微博、微信公眾號數(shù)字化轉(zhuǎn)型造成了空前的影響。目前市場上除述。很多商學(xué)院、企業(yè)家在討論商業(yè)模式的時候都不可避免的受到了前增長黑客作為創(chuàng)新性的數(shù)據(jù)驅(qū)動策略可以有效的達(dá)1/special/de了推廣某個交友“APP”所需而抓取某K歌應(yīng)用的用增長黑客的著作中還反復(fù)提及另外一個案例，即某站A在剛成立的時候?yàn)榱艘?，采用了如下的策?）越過C的技或新顧客，給賣家留言，內(nèi)容大致是我對你的房源比較感危險的。任何一個公司的成功策略都有其時間、地域以及司法區(qū)域的特蛛/網(wǎng)絡(luò)爬蟲/收集，沒有假冒/假用戶，沒有誤導(dǎo)性的電子郵件，沒有垃圾郵件（nobots/spiders/crawlers/harvesting,noimpersonation/fake《2003年垃圾郵件管制法》（TheCAN-SPAMActof2003）以及（4）聯(lián)邦和州關(guān)于廣告的法律”2。可能構(gòu)成非法侵入計(jì)算機(jī)系統(tǒng)罪并承擔(dān)刑事捆綁下載是某些經(jīng)營者利用其技術(shù)或者市場的優(yōu)勢，在用戶軟件時未取得用戶明示同意而下載另外一個軟件的行為。從用戶推廣角 2/Did-Airbnb-get-sued-for-running-a-robot-on-craigslist-Where-are-they-breaking-the-助手”軟件，本質(zhì)上均屬于《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場秩序若干規(guī)定》根據(jù)我們在網(wǎng)絡(luò)安全以及數(shù)據(jù)合規(guī)領(lǐng)域的實(shí)踐，就商業(yè)模式的最佳實(shí)踐某個階段或者環(huán)節(jié)考慮。就數(shù)據(jù)全周期策略而言，對于數(shù)據(jù)的收集、保存、應(yīng)的合規(guī)設(shè)計(jì)，包括datamapping、等級保護(hù)、在任何一個中國企業(yè)的數(shù)字化轉(zhuǎn)型過程中，數(shù)據(jù)的收集是根據(jù)《個人信息安全規(guī)范》，收集是指獲得對個人信息控制權(quán)的行如果產(chǎn)品或服務(wù)的提供者提供工具供個人信息值得注意的是，這只是狹義的數(shù)據(jù)收集，畢竟在商業(yè)環(huán)境中需并經(jīng)被收集者同意。網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處），拒絕同意將帶來的影響。應(yīng)允許個人信息主使用所提供產(chǎn)品或服務(wù)的根本期待和最主要的從規(guī)范的效力位階角度，《個人信息安全規(guī)范》不屬于《些法律淵源中的任何一種，而且其自身也明確定性為推薦標(biāo)準(zhǔn)。其似乎沒有強(qiáng)制性的效力。但是事實(shí)上，其具有重指出，支付寶、芝麻信用收集使用個人信息的方式，不符違法違規(guī)收集使用個人信息專項(xiàng)治理”行動，其依據(jù)的主人信息安全規(guī)范》并不是法院辦理案件的必須遵守的依據(jù)個領(lǐng)域目前沒有細(xì)化的法律、行政法規(guī)，所以法院在審理會參考《個人信息安全規(guī)范》確定的專業(yè)化的意見，甚至法院出臺的司法解釋中，也會充分考慮《個人信息安全規(guī)定，有其明顯的影子。有鑒于此，《個人信息安全規(guī)范》執(zhí)法和司法裁判都具有實(shí)質(zhì)的重要影響，自然也應(yīng)當(dāng)成為否屬于個人信息、是否可以自由收集，業(yè)內(nèi)有個常見的關(guān)鍵詞，對原告瀏覽的網(wǎng)頁進(jìn)行廣告投放。原告起訴百度網(wǎng)訊公能與原告的個人身份對應(yīng)識別，不符合“個人信息”的可識別性要為確保網(wǎng)站正常運(yùn)轉(zhuǎn)，我們會在您的計(jì)算機(jī)或移動設(shè)備上存儲號碼和字符。借助于Cookie，網(wǎng)站能夠存商品等數(shù)據(jù)。我們不會將Cookie用于本政策所述目的之外每一次訪問我們的網(wǎng)站時親自更改用戶設(shè)臵。如需詳細(xì)了解如和<Opera>。（二）網(wǎng)站信標(biāo)和像素標(biāo)簽除cCookie在網(wǎng)站上使用網(wǎng)站信標(biāo)和像素標(biāo)簽等其他同類技術(shù)。例如，我們向您點(diǎn)擊該鏈接，我們則會跟蹤此次點(diǎn)擊，幫助我們了解您的產(chǎn)品或服務(wù)偏好并改善客戶服務(wù)。網(wǎng)站信標(biāo)通常是一種嵌入到網(wǎng)站或電子郵件中的透明圖像。借助于電子郵件中的像素標(biāo)簽，我們能夠獲知策來規(guī)定網(wǎng)站應(yīng)如何應(yīng)對此類請求。但如果機(jī)號，之后又通過用戶信息提取和操控程序進(jìn)行加粉。該少涉嫌非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信根據(jù)《網(wǎng)絡(luò)安全法》第二十一條，國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度（下相應(yīng)安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問下發(fā)了兩個征求意見稿，即《網(wǎng)絡(luò)安全等級保護(hù)條例(征求意見稿)》根據(jù)網(wǎng)絡(luò)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后全、社會秩序、公共利益以及相關(guān)公民、法人和其他組織的造成嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成危害造成特別嚴(yán)重?fù)p害，或者會對社會秩序和社會公共利對于大數(shù)據(jù)，應(yīng)綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)價值等因素，根公共利益以及公民、法人和其他組織的合法權(quán)益的侵害程度等因素對于確定為關(guān)鍵信息基礎(chǔ)設(shè)施的，原則上其安全保護(hù)等級如果一個公司其安保等級被評定為三級或者三應(yīng)當(dāng)承擔(dān)特殊安全保護(hù)義務(wù)，那么在如下方面，其都將適用更我們注意到，由于數(shù)據(jù)的易復(fù)制性、高流動性4嫌以非法手段獲取蘋果手機(jī)關(guān)聯(lián)的公民個人信息，并在網(wǎng)售，涉案金額巨大。隨即，蒼南警方開展偵破工作，共抓6何人都可以訪問并且下載這些數(shù)據(jù)。被暴露的信息中包含眾多敏感8在一個可公開訪問的服務(wù)器中使用了一種用于備份大該傳輸協(xié)議，任何用戶都可無障礙訪問其中的隱私數(shù)4/yoyoyoyo000/article/details/485/a/215090624_66/a/20170607/035410.7/a/157044936_28/a/1811260921569936.3.2.網(wǎng)絡(luò)運(yùn)營者與供應(yīng)商相在中國法下，無論是網(wǎng)絡(luò)運(yùn)營者還是供應(yīng)商只要被認(rèn)措施和其他必要措施，保障網(wǎng)絡(luò)安全，維護(hù)數(shù)據(jù)安全。（確保支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能——安全措施“三同時”9/articles/5551生命周期的流向并繪制數(shù)據(jù)流圖表（Data從網(wǎng)絡(luò)安全與數(shù)字合規(guī)的角度，任何一個公司在引進(jìn)供應(yīng)須對供應(yīng)商做網(wǎng)絡(luò)安全合規(guī)的專項(xiàng)盡職調(diào)查。供應(yīng)商是否有網(wǎng)絡(luò)安全保險（cyberse譬如跨國銀行就某客戶的全球范圍的賬戶信息查詢系統(tǒng)、國際對于持有白金會員的住宿消費(fèi)記錄、航空聯(lián)盟對于乘客里程記6.4.1.何謂“數(shù)據(jù)出境”針對數(shù)據(jù)出境，網(wǎng)信辦會同相關(guān)部門起草的《個人信息和出境安全評估辦法（征求意見稿）》和信安標(biāo)委公布的《信息安全技術(shù)數(shù)據(jù)出境安全評估指南(征求意見稿)》均作出了界定。后定更為細(xì)致：數(shù)據(jù)出境（datacross-bordertr將其在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，通過直接提供或開展業(yè)務(wù)、提供服務(wù)、產(chǎn)品等方式提供給境外）；國出境且未經(jīng)任何變動或加工處理的，或雖在境內(nèi)存儲6.4.2.何謂“境內(nèi)運(yùn)營”境內(nèi)運(yùn)營(domesticoperation)是指網(wǎng)絡(luò)運(yùn)營者在中冊的網(wǎng)絡(luò)運(yùn)營者，但在中華人民共和國境內(nèi)開展民共和境內(nèi)提供產(chǎn)品或服務(wù)的，屬于境內(nèi)運(yùn)營。否在中華人民共和國境內(nèi)開展業(yè)務(wù)，或向中華人品或服務(wù)的參考因素包括但不限于使用中文、以數(shù)據(jù)出境評估的要點(diǎn)主要集中在出境目的和安全風(fēng)險者需滿足合法性、正當(dāng)性和必要性的要求；后者應(yīng)綜合考慮據(jù)的屬性（根據(jù)數(shù)據(jù)的類別是個人信息還是重要數(shù)據(jù)評估要根據(jù)數(shù)據(jù)出境發(fā)起方，確定安全自評估責(zé)任主體。如：云服務(wù)客戶主動要求云服務(wù)提供商進(jìn)行數(shù)據(jù)出境的，由云服務(wù)提供商配合云服務(wù)客戶開展安全自評估，且由云服務(wù)客戶承擔(dān)相應(yīng)責(zé)任。如云服務(wù)提供商主動要求進(jìn)行出具出境的，由云服務(wù)客戶配合云服務(wù)提供商人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》，者應(yīng)在數(shù)據(jù)出境前，自行組織對數(shù)據(jù)出境進(jìn)行安全評估，結(jié)果負(fù)責(zé)；而在特定情況下，如關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者個人信息和重要數(shù)據(jù)都必須報請行業(yè)主管或監(jiān)管部門組織安全評估。征得主管部門同意 通過通過征得主管部門同意 通過通過安全自評估工作組報送主管部門知識產(chǎn)權(quán)等作為公司財(cái)產(chǎn)的一種，并且由于數(shù)據(jù)生態(tài)的復(fù)雜性和數(shù)據(jù)權(quán)利的多樣性，數(shù)據(jù)權(quán)屬目前仍然存在較多爭議。但毋庸臵疑，數(shù)據(jù)已成為重要的新興資產(chǎn)類別。例如，在收購以電商、社交、硬件、互聯(lián)網(wǎng)金融、物聯(lián)網(wǎng)等數(shù)據(jù)驅(qū)動型公司股權(quán)或資產(chǎn)時，數(shù)據(jù)往往是買家看重的核心資產(chǎn)。隨之而來，在數(shù)據(jù)驅(qū)動型的并購交易中，對與數(shù)據(jù)有關(guān)的商業(yè)模式的網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)和隱私保護(hù)，亦逐漸成為并購交易關(guān)注的重對于收購方而言，標(biāo)的公司的數(shù)據(jù)合規(guī)是重要的風(fēng)險管控直接決定了所收購資產(chǎn)的價值（是否可實(shí)現(xiàn)資本溢出和業(yè)務(wù)協(xié)同的效應(yīng)，抑或帶來重大的違規(guī)成本）。此外，在盡職調(diào)查階段，獲得目標(biāo)公司的客戶、用戶、員工等數(shù)據(jù)也有助于收購方有效判斷標(biāo)的構(gòu)成數(shù)據(jù)處理。應(yīng)如何在遵守相關(guān)法律和其數(shù)據(jù)合規(guī)護(hù)政策的前提下，以合規(guī)方式向收購方及相關(guān)第三方合同談判、交割后的整合等各階段，也應(yīng)引起高度重視。以收對于交易的重要性、收購后在數(shù)據(jù)相關(guān)業(yè)務(wù)的商業(yè)目的是現(xiàn)、數(shù)據(jù)資產(chǎn)在估值（模型）中的權(quán)重和影響，這些都有在并購交易過程中，無一例外都會涉及到數(shù)據(jù)的披露或交換，都可能導(dǎo)致數(shù)據(jù)披露方違反網(wǎng)絡(luò)安全法規(guī)、隱私和其根據(jù)隱私政策所負(fù)有的隱私保護(hù)義務(wù)，輕則觸發(fā)民事責(zé)任，重則觸發(fā)刑事責(zé)任。例如，在盡職調(diào)查中，標(biāo)的公易對手方以及雙方的投行、律師、顧問、第三方供應(yīng)商等與方披露大量的用戶個人信息、敏感信息、保密信息等。虛擬數(shù)據(jù)室以及各類隱私保護(hù)措施，仍存在數(shù)據(jù)泄漏的風(fēng)任何一方在獲取或使用個人信息時，均應(yīng)采取適當(dāng)安保措施Mergermarket2017年的調(diào)查報告顯示，在數(shù)據(jù)為核心購中，半數(shù)以上的受訪者表示在交割后發(fā)現(xiàn)數(shù)據(jù)合規(guī)問題，對問題而失敗，這一比例和因財(cái)務(wù)、稅務(wù)問題導(dǎo)致交易失敗的比在數(shù)據(jù)驅(qū)動型的并購交易中，對于收購方而言，收購最大限度的發(fā)揮目標(biāo)公司的數(shù)據(jù)價值，這就意味著，收購團(tuán)隊(duì)以及業(yè)務(wù)團(tuán)隊(duì)通力合作，對交割后的過渡期及數(shù)據(jù)融并購（合稱“跨境并購”）時，境內(nèi)（外）母公司和被并購的境外在跨境并購中，收購方與標(biāo)的公司均需考慮在收購交是否符合其各自所在司法轄區(qū)的相關(guān)法規(guī)，收購方同交割后標(biāo)的公司開展業(yè)務(wù)時的相關(guān)數(shù)據(jù)合規(guī)和隱私保安排，如數(shù)據(jù)融合為收購之目的，則收購后的過渡期見稿）》和《信息安全技術(shù)數(shù)據(jù)出境安全評估指南(征求意見稿)》從歐洲經(jīng)濟(jì)區(qū)向第三國跨境傳輸個人數(shù)據(jù)的行為，但歐洲委員會認(rèn)定該第三國具有充分?jǐn)?shù)據(jù)保護(hù)水平的除外，同時允許采取某些服曾宣布擬收購美國上市公司、世界第二大匯款服務(wù)公推進(jìn)的戰(zhàn)略版圖，而且將進(jìn)一步助力螞蟻金服在全球跨境場進(jìn)行大舉擴(kuò)張。雖然為達(dá)成交易，螞蟻金服此前已表示的數(shù)據(jù)基礎(chǔ)設(shè)施將會保留在美國，且用戶信息將被加密或的批準(zhǔn)。速匯金與螞蟻金服放棄合并計(jì)劃，根據(jù)收購協(xié)議10/article/us-moneygram-intl-maant-financial/usblocfinancial-on-national-security-concerns-idUSKB7.PRIVACYANDCYBERSECURITYIANDUSPERSPECTIVE隱私和網(wǎng)絡(luò)安全問題7.1.INTRODUCTION介紹standardwithregardtodataprivacyandtheregulationofhandlingpersonalidelawrfpersonaldataistheGeneralDataProtectionRegulation2016/679("GDPR").歐盟通常被認(rèn)為是在數(shù)據(jù)隱私和處理個人信息的監(jiān)管方面樹立高標(biāo)準(zhǔn)OutsidetheEU,datjurisdictionsthatfollowtheEuropeanapproachtoprivacyregulation.SomeofthesearedirectlymodelledontheGDPR.Notably,theUS,withtCaliforniaConsumerPrivacyAct("CCPA"),hasintroducedsweepingchangestoitsprivacylandscapewhichhistoricallycomprehensivestancetoprivacyregulation,favoringasectoralapproach.SectionAofthisarticledescribestheEuropeanapproachtodataprivacymoredetail,specificallytherequirementsofthedetailswhatorganizationsoperatinginternationallyshouldbedoipracticetoimprovetheirdataprivacycomplianceposThoughthereareclearoverlapsbetweendataprivacyandcyberseculatterisanincreasinglyimportantsustandalonetopicinitsownright.TheUnitedStatesiswibetheleaderwithregardtocybersecuritymaturityandsophistication-bothintermsofregulationandenforcementandintermsoforganizations'approach,preparednessandriskmanagcantaketoreducetheriskofincurringcyber-enforcement.WhilethesearewrittenfromaUS-perspective,thegeneralconceptsareapplicablAsapracticalmatter,anyChinesebusinessoperatinginternationallyshthereforelookataprivacycomplianceprogrammethaEUconceptsandcybersecurityprogrammethatleanstowardsUSprinciples.Inthisway,businessesinChinawil7.2.DATAPRIVACY數(shù)據(jù)隱私oftheEUdataprotectionlandscape.ManyoftheGDPRrequirements(describedbelow)cogovernance.Theyhelporganizationstomoresystematicallyplan,track,andmanagethevarioustypesofdatacollected,wheredataisstored,howdataisincreasinglydata-driven,relyingonprocessinglargeamountsofdatausingPerhapsmorefundamentally,cEU-basedcustomers,businesspartners,andregulators.Therefore,asamitigateagainstdisruptiontoitsEuropeanbusinessendeavo7.2.1.MainfeaturesoftheGDP.Principle-based.TheGDPRislargelyprinciple-based.Thereareseveralused)mustabidebywhencollectingorhandlingpersonaldata(meaninganyinformationrelatingtoanidentifiableindividual,whichincludesbutandbusinesspartners).與可識別個人有關(guān)的任何信息，包括但不限于員工，客戶，股東，服務(wù)供應(yīng)商和商業(yè)伙伴）時，“控制者”（決定如何使用數(shù)據(jù)的組transparently;collectedandusedforspecificallydisclosedpurposes;longerthanisnecess目的;準(zhǔn)確并保持是最新的;安全處理;并且沒有儲存超過必須要的時.Extraterritorialeffect.TheGDPRconsiderablyexpandstheterritorialcesofferedtfindividualswithintheEUismonito.域外效力。GDPR大大擴(kuò)展了歐盟數(shù)據(jù)保護(hù)法的地域范圍，使其適i）向歐盟居民提供商品/服務(wù)從而收集信.Increasedscope.Whilethepreviousdataprotectionrulesappliedexclusivelytocontrollers,theGDPRappliestocontthatprocesspersonaldataonbehalfofacontroller)..擴(kuò)大范圍。雖然以前的數(shù)據(jù)保護(hù)規(guī)則僅.Highersanctions.PotentialsanctionsareconsiderableundertheGDPR.Forcertainbreaches,organizationscouldbesubjecttofinesofupto€20millionor4%ofworldwiderevenue.Inaddition,collecsignificantlyincreasedataprotection-relatedlitigati.更嚴(yán)重的處罰。根據(jù)GDPR，可能發(fā)生的處罰金額是很高。對于某.Newandenhancedrightsforindividuals.TheGDPRextendsrightsofindividualsthatexistedunderthepreviousdataprotgrantsnewrights,namelytherighttobeforgotten,therighttoresofprocessingandtherighttodataportability.個人權(quán)利，并賦予了個人新的權(quán)利，即被遺忘的權(quán)利，限制處理的.Increasedcomplianceobligationsforcontrollersandprocessors.Inadditiontothedataprotectionprinciplessetoutabotypicalremediationactivitiesaresetout7.2.2.Keycomplianceobligationsandtypicalremediationact.Transparencyrequirements.Controllersarerequiredtoprovidecertaininformationtoindividualsatthetimethwillbeshared,howlongitwillberetainedandtherelevantlegal.透明度要求。控制者需要在收集數(shù)據(jù)時向個人提供某些信息，包括有關(guān)如何處理數(shù)據(jù)，與誰共享數(shù)據(jù)，保留數(shù)據(jù)以及相關(guān)法律依據(jù)的Generally,thisrequiresadegreethecategoriesofdatabeingprocessedandtodeterandemployee-facingprivacypo通常，這需要一定程度的信息收集，以確定正在處理的數(shù)據(jù)類別，確定處理的法律依據(jù)等，并且起草和更新面向客戶和面向員工的隱.Internationaltransferrules.TransfersofpersonaldatafromtheEUtocertaincountriesoutsideoftheEUaregenerallyrestricted.Thisissubjecttovariousexemptions,e.g.,theuseofEUModelClaus(specialcontractsapprovedbytheEUCommission).Typically,thisobligatioidentifyinternalandexternalinternationaltraputtinginplaceapprtransfer"inthiscontextincludesthemereviewingofpersonaldatafromacountryoutsidetheEU,forexample,through通常，這項(xiàng)義務(wù)需要收集一定程度的信息，以確定正在進(jìn)行的內(nèi)部和外部國際轉(zhuǎn)移并實(shí)施適當(dāng)?shù)谋Ｕ洗胧Ｕ堊⒁?，在此提到的“國際轉(zhuǎn)移”包括僅從歐盟以外的國家查看個人數(shù)據(jù)，例如，通過基于.Complianceandaccountability.TheGDPRconceptof"accountability"compliancewiththedataprotectionprinciples(describedabove)..合規(guī)性和問責(zé)制。GDPR的“問責(zé)”概念意味著控制者必須governanceframework,asuiteofprivacyandrelatedpoliciesandprocedures,andmechanismsfortraining/audit/enforcemdocumenttheirongoingcomplia在實(shí)踐中，這意味著組織應(yīng)該建立數(shù)據(jù)治理框架，一套隱私和相關(guān).Securityandbreachnotification.Bothcontrollersanddataprocessomustprotectpersonaldatausingappropriatetechnicalandorganizationalsecuritymeasures.Ifadatabreachoccursinvocertaincircumstances,daprotectionregulatorandtheaffectedindividualswithinaveryshorttimeframe(72hours).Thereisacorrespondingobligtonotifythedatacontrolle.安全和泄露通知?？刂普吆蛿?shù)據(jù)處理者都必須使用適當(dāng)?shù)募夹g(shù)和組織安全措施來保護(hù)個人數(shù)據(jù)。如果發(fā)生個人數(shù)據(jù)的數(shù)據(jù)泄露，在某歐盟數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)和受影響的個人。數(shù)據(jù)處理者也有相應(yīng)的義detectingbreachesan企業(yè)可能需要實(shí)施更復(fù)雜的系統(tǒng)來檢測違規(guī)行為并建立程序（例如，事件響應(yīng)計(jì)劃），以確保在嚴(yán)格的時間限制內(nèi)完成報.Serviceproviders.TheGDPRimposescertainrequirementsondatacontrollersthatwishtoappointservicepdataontheirbehalf.Essentially,providersprovidingsufficientguaranteesastotheirsecurity..服務(wù)供應(yīng)商。GDPR對希望指定服務(wù)供應(yīng)商代表他們處理個人數(shù)據(jù)的數(shù)據(jù)控制者提出了某些要求。從本質(zhì)上講，控制者僅能夠使用服Compliancewiththisrequireanappropriatevendorriskassessmentprocedure-whichtypicallyinvolves,ataminimum,upfrontduediligence,contracting,periodreview/assessment/aagreementbetweenthecontrocustomerandvendorstandar達(dá)到該等要求通常通過實(shí)施適當(dāng)?shù)墓?yīng)商風(fēng)險評估程序來實(shí)現(xiàn)——的書面協(xié)議中必須包含的某些條款，客戶和供應(yīng)商標(biāo)準(zhǔn)合同通常需.Recordsofprocessingactivities.UndertheGDPR,datacontrollersanddataprocessorsincertaincircumstanceswillberequiredtodevelopandmaintaindetailedrecordsrecordsmustbeprovidedtoEUdataprotectionregulatorsonreq.收集行為記錄。根據(jù)GDPR，數(shù)據(jù)控制者和數(shù)據(jù)處理者在某些情況下將需要開發(fā)和維護(hù)其數(shù)據(jù)處理活動的詳細(xì)記錄，并且必須根據(jù)要Thisobligationlikelyrequiresdatagatheringactivities,aswellaspoten這項(xiàng)義務(wù)可能需要數(shù)據(jù)映射和相關(guān)的信息收集活動，以及協(xié)助記錄.GovernanceandappointingaDataProtectionOfficer.Dependingonthetypeofprocessingbeingundertaken,controllersandprocessorsmayhavetoappointastatutoryDataProtectionOfficer("DPO").DPOsspecificdutiesundertheGDPRwhichincludecontributingtodataprotectionauditsandconductingemployeetrai.管理和指定數(shù)據(jù)保護(hù)官。根據(jù)正在進(jìn)行的數(shù)據(jù)處理類型，控制者和theentiregroupwheretheorganizationisamultinviewtoGDPRcompliancewilldependonanumberoffactors,fpersonaldatathatishandledbytheorganizationandthecorrespondirisk.包括：其接受GDPR規(guī)制的程度;以及企業(yè)處理Thestartingpointformostcompanies,howevchangesitwillberequiredtomaketoitspresentapproachtoprThisshouldinvolveaninitialhigh-l.whetherandwhichofitsoperationsaregoingtobesubjecttothe.reviewingthedatatheorganizationcollects,how.審查企業(yè)收集的數(shù)據(jù)，如何使用該數(shù)據(jù)以及與誰共享數(shù)據(jù);和.itscurrentmaturityasregardsitsprivacycomplianceinordertoidentifygapsandremediatiotypicallyrequiresinputfromvariousbusinessfunctions-individualsoftengoodcandidatestobeinvo進(jìn)行此評估并著手進(jìn)行補(bǔ)救措施通常需要來自各種業(yè)務(wù)職能部門supportandsponsorshipfromseniormanagementinvolvedasearlyaspossInthecybersecurityrealm,thecorestakeholdersacrossdepartmentsanddisciplines.Italsowarrdebateonenterpriseprioritiesprocessesthataccountforthecritcapabilities),andControls(technical,physicalandadministrative)-inthatorder.Ultimately,thegoalisclear:toappropriatelyassessandmitigaenterpriseanditskeystakeholdersincludesthepotentialforenforcementbyaregulatoryagPrivacyActof201811portendanext-generationoflawsthatwillinjectstatutorybreachdamagesunbalancedpunitiveconsequencesliketheTCPA.12不幸的是，這種風(fēng)險越來越多地包括潛在的監(jiān)管機(jī)構(gòu)執(zhí)法和/或私人訴定違約賠償金納入-表面上消除了消費(fèi)者需要證明任何實(shí)際傷害的必Againstthisbackdrop,whilethereisnosuchthingasperfectsecuritaresomestepsthat7.3.1.EffectiveVendorManaIthasneverbeenmoreimandauditcriticalthird-partyserviceprovidersandvendors.Thesethirdvariousprocessingpurposes.Giventhisreality,itishardlysurprisingTheCCPAprovidesthatanyconsumerwhosenon-encryptedornon-redactedpersonalinformationissubjectamountnotlessthan$100andnotgreaterthan$750CCPA規(guī)定，任何未加密或未編輯的個人信息由于公司安全故障受到未經(jīng)授權(quán)的訪問和泄violation[or]$500indamagesforeachsuchviolation,whicheverisgreater.‖47U.S.C.§ofdamagesifacourtfindswillfulorknowingviolations).thatvendor-attributeddatabreachesareincremaybedirectlyorindirectlyrelatedtothird-partyaccessbycontractorsandsuppliers.13Andwhiletherearecertainlyebadpressandenforcementactivityagainbruntofitsserviceprovider‘scyber-mistakgenerally,setthestageforsignificantthird-partyriskgoin63%的數(shù)據(jù)泄露都可能與第三方承包商和供應(yīng)Vendormanagementcanimposesignificantcosts,andadvocatingtheoutsourcingofvendormanagementtoyetanotherexperience)effectiveriskmitigationmovesthatcounselconsidervis-à-visthirdp.Define“Breach”Strategically,AddressCooperation,andSeNo-Past-BreachRep:IntheUS,thescopeofnotifiabledatabreachesisactuallyquitenarrowasonlycertaintypcircumstancestriggermandatorynotificationregimes.Invendorcontracts,companiesshouldconsiderwhattypesofcybersecurityeventsorincidentsmatterintermsofmanagingdefinitionsconsistenttherewith.Mcybersecurityincidentoccursthataffectsthemboth.Whenthird-psurveyofover219ITandSecuthatacompanyobtainedfromthevendor,butalsoofinformationandcooperationthatthecompanyobtainsfromthevendortohelpmorequicklyandeffectivelymitigateharmtoanyimpactedconsumers.Finally,wehavefoundthatitcanbeveryhelpfultoincludeadraftcontractualrepthatthevendorisnotawareofThistypeofrephastwobenefits.First,itusuallypromptsadiscussionwiththevendorarounddifferenttypesofincidentexperienced,andwhetherobecausemanybreachestracebacktohacksandothereventsthatoccurredmanymonthsorevenyearsago,ano-past-breachprovidesignificantleverageshouldtherepturnouttobeuntrue..從戰(zhàn)略上定義“泄露”，解決合作問題，獲得“無數(shù)據(jù)泄露歷史”有某些類型的數(shù)據(jù)和某些情況會觸發(fā)強(qiáng)制通知制度。在供應(yīng)商合同中，各公司應(yīng)考慮哪些類型的網(wǎng)絡(luò)安全事件對風(fēng)險管理很重要，并就與之一致的定義進(jìn)行協(xié)商。此外，根據(jù)我們的經(jīng)驗(yàn)，當(dāng)發(fā)生影響公司和供應(yīng)商雙方的網(wǎng)絡(luò)安全事件時，他們必須相互合作。當(dāng)?shù)谌綌?shù)據(jù)泄露行為發(fā)生時，監(jiān)管機(jī)構(gòu)不僅要查看公司從供應(yīng)商處獲得的安全承諾，還要查看公司從供應(yīng)商處獲得的信息和合作的速度和質(zhì)量，以幫助更快、更有效地減輕對任何受影響消費(fèi)者的傷害。最據(jù)泄露”的事實(shí)或情況（定義見上文討論）非常有幫助。這種類型的陳述有兩個好處。首先，它通常會提示與供應(yīng)商討論供應(yīng)商遇到的不同類型的事件，以及它們是否被陳述條款覆蓋。其次，由于許多漏洞可追溯到幾個月甚至幾年前發(fā)生的黑客和其他事件，因此，如果陳述是不真實(shí)的，“無數(shù)據(jù)泄露歷史”的陳述可對公司提供重.WhenBargainingPowerisUnequal,ImplementCompensatingControls:Inmanysituations,aserviceproviderissolarge,powtheirclientstoidentify以像打開供應(yīng)商提供的多因素驗(yàn)證選項(xiàng)一樣簡單，也可以像實(shí)現(xiàn)補(bǔ).ExerciseYourAuditRights:Inourexperience,whenregulatorsandlessacceptab