操作指引（2024）為推動(dòng)數(shù)據(jù)資源入表法律服務(wù)規(guī)范化，進(jìn)一步提升北京律師在數(shù)字經(jīng)濟(jì)領(lǐng)域的法律服務(wù)能力，根據(jù)《中華人民共和國(guó)民法典》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》以及相關(guān)法律法規(guī)，編制了《律師辦理數(shù)據(jù)資源入表法律業(yè)務(wù)操作指引（2024）》（以下簡(jiǎn)稱《指引》或“本指引”），經(jīng)第十二屆北京市律師協(xié)會(huì)數(shù)字經(jīng)濟(jì)與人工智能領(lǐng)域法律專業(yè)委員會(huì)主任會(huì)議討論通過(guò)。為了便于使用，現(xiàn)就有關(guān)問(wèn)題說(shuō)明如下：一、“數(shù)據(jù)資源入表”還是“數(shù)據(jù)資產(chǎn)入表”它可能包括尚未滿足資產(chǎn)確認(rèn)條件的數(shù)據(jù)，適用于更廣泛的數(shù)據(jù)管理和評(píng)估場(chǎng)景。作為律師在業(yè)務(wù)操作中的指導(dǎo)原則，律師在提供法律評(píng)估后，是否能夠?qū)?shù)據(jù)資源納入財(cái)務(wù)報(bào)表，需由會(huì)計(jì)師進(jìn)行最終確認(rèn)。為了避免對(duì)不同專業(yè)機(jī)構(gòu)職責(zé)范圍的誤解或混淆，除非另有明確說(shuō)明，本指引中提到的“數(shù)據(jù)資源入表”指的是將數(shù)據(jù)資源正式納入財(cái)務(wù)報(bào)表的過(guò)程。二、適用范圍數(shù)據(jù)資源入表面臨諸多疑難待決問(wèn)題，其中合規(guī)確權(quán)首當(dāng)其沖。在法律沒(méi)有解決數(shù)據(jù)權(quán)利歸屬問(wèn)題的情形下，企業(yè)釋放數(shù)據(jù)價(jià)值的過(guò)程中，首先要明確其數(shù)據(jù)屬于政策框架內(nèi)所定義的哪種權(quán)益之后，方可對(duì)數(shù)據(jù)進(jìn)行深加工和應(yīng)用，將數(shù)據(jù)作為資產(chǎn)納入財(cái)務(wù)報(bào)表中。本指引以幫助企業(yè)完成數(shù)據(jù)資源入表前的合規(guī)確權(quán)為目的，為律師從事相關(guān)法律業(yè)務(wù)提供參考。三、構(gòu)成《指引》全文一百五十二條，涵蓋了數(shù)據(jù)合規(guī)確權(quán)的核心內(nèi)容，包括：數(shù)據(jù)內(nèi)容合規(guī)、數(shù)據(jù)來(lái)源合規(guī)、數(shù)據(jù)處理合規(guī)、數(shù)據(jù)管理合規(guī)、數(shù)據(jù)權(quán)益界定、多數(shù)據(jù)主體合作、數(shù)據(jù)確權(quán)登記、數(shù)據(jù)資產(chǎn)列示與披露前法律判斷等相《指引》為推薦性使用。其他數(shù)據(jù)合規(guī)領(lǐng)域法律服務(wù)亦可以參考使用。五、迭代在《指引》的編制過(guò)程中，數(shù)字經(jīng)濟(jì)領(lǐng)域的產(chǎn)業(yè)實(shí)踐和政策法規(guī)發(fā)展迅速，呈現(xiàn)出日新月異的態(tài)勢(shì)。盡管在實(shí)踐中仍存在諸多挑戰(zhàn)，但作為數(shù)字經(jīng)濟(jì)這一新興領(lǐng)域和業(yè)態(tài)的首批法律專業(yè)指引，我們將持續(xù)關(guān)注并跟蹤政策法規(guī)的變化以及行業(yè)的發(fā)展動(dòng)態(tài)，在后續(xù)版本中不斷更新內(nèi)容，以確?！吨敢返臅r(shí)效性和適用性。六、特別聲明數(shù)據(jù)資源入表是一個(gè)多主體參與的動(dòng)態(tài)持續(xù)過(guò)程，律師的工作范圍僅限于對(duì)法律意見(jiàn)基準(zhǔn)日的數(shù)據(jù)合規(guī)確權(quán)相關(guān)內(nèi)容發(fā)表法律意見(jiàn)，不對(duì)有關(guān)技術(shù)、安全、會(huì)計(jì)、審計(jì)及資產(chǎn)評(píng)估等非法律專業(yè)事項(xiàng)發(fā)表意見(jiàn)。如法律意見(jiàn)中涉及前述非法律專業(yè)事項(xiàng)內(nèi)容，律師僅能實(shí)現(xiàn)形式審查，可以引用有關(guān)機(jī)構(gòu)出具的專業(yè)文件和公司或有關(guān)人士出具的說(shuō)明，該引用不應(yīng)視為律師對(duì)引用內(nèi)容的真實(shí)性和準(zhǔn)確性做出任何明示或默示的保證，對(duì)于該等內(nèi)容律師并不具備查驗(yàn)和作出判斷的合法資格，不得就該事項(xiàng)發(fā)表獨(dú)立專業(yè)意見(jiàn)。法律意見(jiàn)基準(zhǔn)日后數(shù)據(jù)資產(chǎn)發(fā)生變化的，應(yīng)當(dāng)另行審查和出具法律意見(jiàn)。-4- 6第二章業(yè)務(wù)受理及盡調(diào)內(nèi)容 9第一節(jié)業(yè)務(wù)受理 9第二節(jié)盡調(diào)內(nèi)容 11第三節(jié)工作底稿編制及歸檔 11第三章標(biāo)的企業(yè)情況 14第四章數(shù)據(jù)內(nèi)容合規(guī)審查 15第五章數(shù)據(jù)來(lái)源合規(guī)審查 18第一節(jié)數(shù)據(jù)來(lái)源合規(guī)概述 18第二節(jié)內(nèi)部生成數(shù)據(jù)來(lái)源合規(guī)審查 19第三節(jié)外購(gòu)數(shù)據(jù)來(lái)源合規(guī)審查 21第四節(jié)公開(kāi)收集數(shù)據(jù)來(lái)源合規(guī)審查 22第五節(jié)個(gè)人授權(quán)數(shù)據(jù)來(lái)源合規(guī)審查 24第六節(jié)其他方式獲取數(shù)據(jù)來(lái)源合規(guī)審查 25第六章數(shù)據(jù)處理合規(guī)審查 27第一節(jié)數(shù)據(jù)處理概述 27第二節(jié)數(shù)據(jù)收集 27第三節(jié)數(shù)據(jù)存儲(chǔ) 32第四節(jié)數(shù)據(jù)使用 35第五節(jié)數(shù)據(jù)加工 39CONTENTS第六節(jié)數(shù)據(jù)傳輸 41第七節(jié)數(shù)據(jù)提供 43第八節(jié)數(shù)據(jù)公開(kāi) 48第七章數(shù)據(jù)管理合規(guī)審查 49第一節(jié)數(shù)據(jù)管理合規(guī)審查要點(diǎn) 49第二節(jié)數(shù)據(jù)管理合規(guī)審查實(shí)施方法 55第八章數(shù)據(jù)權(quán)益確認(rèn) 58第九章多主體數(shù)據(jù)合作合規(guī)審查 61第一節(jié)合作方及合作情況 61第二節(jié)合作合同合規(guī)審查 63 66第一節(jié)數(shù)據(jù)產(chǎn)權(quán)登記 66第二節(jié)數(shù)據(jù)知識(shí)產(chǎn)權(quán)登記 68第三節(jié)其他登記類型 69第十一章數(shù)據(jù)資產(chǎn)列示與披露前法律判斷 70第一節(jié)數(shù)據(jù)資產(chǎn)列示與披露前法律判斷的必要性 70第二節(jié)不同科目的數(shù)據(jù)資產(chǎn)披露前法律判斷 72第三節(jié)自愿披露內(nèi)容的法律判斷 73第十二章法律風(fēng)險(xiǎn)及特別提示 74 78第一條【編制目的】為幫助律師辦理數(shù)據(jù)資源入表業(yè)務(wù)，為出具數(shù)據(jù)合規(guī)確權(quán)相關(guān)法律意見(jiàn)提供基本操作規(guī)范，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》及其他相關(guān)法律法規(guī)、規(guī)范性文件和行業(yè)標(biāo)準(zhǔn)的要求，遵循北京市司法行政機(jī)關(guān)和北京市律師協(xié)會(huì)制定的律師執(zhí)業(yè)規(guī)則，特編制本指引。第二條【適用范圍】本指引適用于數(shù)據(jù)資源入表（以下稱“數(shù)據(jù)資源入表”或“入表”）過(guò)程中，對(duì)委托方指定的標(biāo)的企業(yè)持有或處理的數(shù)據(jù)的合規(guī)確權(quán)出具法律意見(jiàn)，以作為數(shù)據(jù)資源入表時(shí)的決策參考。從事其他數(shù)據(jù)合規(guī)業(yè)務(wù)時(shí)，亦可參考本指引。本指引不應(yīng)作為判斷律師是否勤勉履行委托合同項(xiàng)下律師義務(wù)、或是否勤勉開(kāi)展相關(guān)數(shù)據(jù)資源合規(guī)確權(quán)工作的依據(jù)。（一）標(biāo)的企業(yè)：委托方擬進(jìn)行數(shù)據(jù)資源入表的企業(yè)或主體。（二）數(shù)據(jù)：任何以電子或其他方式對(duì)信息的記錄。（三）數(shù)據(jù)資產(chǎn)2：由個(gè)人或企業(yè)擁有或控制的，能為企業(yè)帶來(lái)未來(lái)經(jīng)濟(jì)利益的，以物理或電子方式記錄的數(shù)據(jù)資源。其中，滿足入表?xiàng)l件的會(huì)計(jì)準(zhǔn)則的資產(chǎn)確認(rèn)還應(yīng)當(dāng)符合成本可計(jì)量的要求。2.除非特別說(shuō)明，本指引中的“數(shù)據(jù)資產(chǎn)”是指初步判斷已經(jīng)具備入表?xiàng)l件的數(shù)據(jù)資源。（四）數(shù)據(jù)資源入表3：指將數(shù)據(jù)資源作為企業(yè)的一項(xiàng)資產(chǎn)，按照會(huì)計(jì)準(zhǔn)則進(jìn)行確認(rèn)、計(jì)量和報(bào)告，并在企業(yè)的財(cái)務(wù)報(bào)表中予以體現(xiàn)。通常包括：合規(guī)性和風(fēng)險(xiǎn)管理、資產(chǎn)確認(rèn)和分類4、成本歸集和計(jì)量5、后續(xù)計(jì)量和終止確認(rèn)6、列示和披露7。（六）數(shù)據(jù)持有權(quán)/數(shù)據(jù)資源持有權(quán)：指自行持有或委托他人代為持有合法獲取的數(shù)據(jù)，其他人不得非法竊取、篡改、泄露或者破壞權(quán)利人持有的將數(shù)據(jù)用于優(yōu)化生產(chǎn)經(jīng)營(yíng)、形成衍生數(shù)據(jù)等的權(quán)利。（八）數(shù)據(jù)經(jīng)營(yíng)權(quán)/數(shù)據(jù)產(chǎn)品經(jīng)營(yíng)權(quán)：指通過(guò)轉(zhuǎn)讓、許可、出資或者設(shè)3.“數(shù)據(jù)資源入表”通常指的是將企業(yè)在運(yùn)營(yíng)過(guò)程中積累的各種數(shù)據(jù)記錄，進(jìn)行登記、分類、評(píng)估和管理的過(guò)程，其范圍較“數(shù)據(jù)資產(chǎn)入表”更廣泛，涵蓋所有數(shù)據(jù)的管理和評(píng)估過(guò)程，包括尚未滿足資產(chǎn)確認(rèn)條4.“資產(chǎn)確認(rèn)和分類”指對(duì)符合資產(chǎn)定義且滿足確認(rèn)條件的數(shù)據(jù)資源進(jìn)行分類，主要分為存貨和無(wú)形資產(chǎn)兩大類。存貨是指企業(yè)日?；顒?dòng)中持有、最終目的用于出售的數(shù)據(jù)資源；無(wú)形資產(chǎn)則是指企業(yè)擁有或控制的、能夠產(chǎn)生經(jīng)濟(jì)效益的非實(shí)物資源。5.“成本歸集與計(jì)量”指根據(jù)數(shù)據(jù)資源的生命周期階段確定資產(chǎn)確認(rèn)時(shí)點(diǎn)，并合理歸集和分?jǐn)偝杀?，以確保成本的完整性和準(zhǔn)確性。6.“后續(xù)計(jì)量和終止確認(rèn)”指對(duì)于確認(rèn)為無(wú)形資產(chǎn)的數(shù)據(jù)資源，企業(yè)需要在其使用壽命內(nèi)進(jìn)行攤銷，并在資產(chǎn)負(fù)債表日進(jìn)行減值測(cè)試。對(duì)于存貨類數(shù)據(jù)資源，企業(yè)在出售時(shí)應(yīng)將其成本結(jié)轉(zhuǎn)為當(dāng)期損益。7.“列示和披露”指企業(yè)在編制資產(chǎn)負(fù)債表時(shí)，應(yīng)在“存貨”“無(wú)形資產(chǎn)”“開(kāi)發(fā)支出”項(xiàng)目下增設(shè)“數(shù)據(jù)資源”項(xiàng)目，反映數(shù)據(jù)資源的期末賬面價(jià)值。同時(shí)，企業(yè)還應(yīng)根據(jù)實(shí)際情況自愿披露數(shù)據(jù)資源的應(yīng)用場(chǎng)景、業(yè)務(wù)模式、原始數(shù)據(jù)類型來(lái)源、加工維護(hù)和安全保護(hù)情況等相關(guān)信息。立擔(dān)保等有償或無(wú)償?shù)姆绞綄?duì)外提供數(shù)據(jù)的權(quán)利。（九）《網(wǎng)安法》：指《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。（十）《數(shù)據(jù)安全法》：指《中華人民共和國(guó)數(shù)據(jù)安全法》。（十二）《民法典》：指《中華人民共和國(guó)民法典》。于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》。第四條【一般要求】數(shù)據(jù)資源入表是將能夠給企業(yè)創(chuàng)造收益的數(shù)據(jù)資源按照財(cái)政部發(fā)布的《企業(yè)數(shù)據(jù)資源相關(guān)會(huì)計(jì)處理暫行規(guī)定》（財(cái)會(huì)〔2023〕11號(hào)）的相關(guān)規(guī)定納入表內(nèi)核算的過(guò)程，“合法持有或控制”是數(shù)據(jù)資源入表的核心前提。若被認(rèn)定為資產(chǎn)的數(shù)據(jù)資源存在合規(guī)問(wèn)題，將會(huì)對(duì)會(huì)計(jì)處理的準(zhǔn)確性、恰當(dāng)性帶來(lái)負(fù)面影響，甚至影響企業(yè)的資產(chǎn)化應(yīng)用。第五條【法律服務(wù)限制】律師事務(wù)所僅提供法律服務(wù)，盡管在法律盡職調(diào)查中不可避免地與數(shù)據(jù)相關(guān)的技術(shù)、安全、會(huì)計(jì)、評(píng)估等方面存在交互關(guān)系，律師事務(wù)所與相關(guān)專業(yè)服務(wù)機(jī)構(gòu)應(yīng)獨(dú)立審查與分工協(xié)作，僅在法律相關(guān)領(lǐng)域發(fā)表獨(dú)立意見(jiàn)。如法律意見(jiàn)中涉及前述非法律專業(yè)事項(xiàng)內(nèi)容，對(duì)有關(guān)數(shù)據(jù)合規(guī)涉及的技術(shù)、安全、會(huì)計(jì)、評(píng)估等領(lǐng)域內(nèi)容，律師僅能完成對(duì)標(biāo)的企業(yè)提供的書(shū)面材料的形式審查或借助工具予以表面核查或抽查，律師可以引用有關(guān)機(jī)構(gòu)出具的專業(yè)文件和企業(yè)或有關(guān)人士出具的說(shuō)明，但該引用不應(yīng)視為律師對(duì)引用內(nèi)容的真實(shí)性和準(zhǔn)確性做出任何明示或默示的保證，對(duì)于-9-該等內(nèi)容律師并不具備查驗(yàn)和作出判斷的合法資格，無(wú)法也不能發(fā)表獨(dú)立專第六條【重視數(shù)據(jù)應(yīng)用場(chǎng)景】數(shù)據(jù)在不同行業(yè)和應(yīng)用場(chǎng)景中可能表現(xiàn)出顯著的多樣性，律師應(yīng)深入分析標(biāo)的企業(yè)所在的行業(yè)背景及其數(shù)據(jù)應(yīng)用的具體場(chǎng)景，以確保法律判斷的準(zhǔn)確性和適用性。第七條【數(shù)據(jù)資源入表步驟】以釋放數(shù)據(jù)價(jià)值、促進(jìn)數(shù)據(jù)要素流通為目的的數(shù)據(jù)資源入表的步驟通常應(yīng)當(dāng)包括：數(shù)據(jù)盤(pán)點(diǎn)、數(shù)據(jù)治理、合規(guī)確權(quán)、會(huì)計(jì)核算/評(píng)估入表、數(shù)據(jù)產(chǎn)品作為生產(chǎn)要素進(jìn)入市場(chǎng)流通。其中數(shù)據(jù)治理和合規(guī)確權(quán)是動(dòng)態(tài)交叉的，數(shù)據(jù)治理的過(guò)程可能涵蓋了合規(guī)整改的情第八條【本指引核心】本指引圍繞數(shù)據(jù)的合規(guī)與確權(quán)展開(kāi)，以合規(guī)為核心，在合規(guī)基礎(chǔ)上進(jìn)一步判斷數(shù)據(jù)權(quán)益類型，進(jìn)而為數(shù)據(jù)資源入表及后續(xù)數(shù)據(jù)要素流通提供必要的法律意見(jiàn)。第九條【溝通委托需求】擬提供法律服務(wù)的律師可以通過(guò)面談、電話、郵件、問(wèn)卷等方式，對(duì)委托人需求及其所處的市場(chǎng)、行業(yè)等情況進(jìn)行了解，明確盡職調(diào)查的目標(biāo)、范圍、時(shí)間表和預(yù)算。第十條【審查利益沖突】擬提供法律服務(wù)的律師事務(wù)所應(yīng)當(dāng)在正式立案、與委托人簽署委托協(xié)議前進(jìn)行利益沖突檢索和審查，對(duì)于法律法規(guī)明-10-確規(guī)定不得同時(shí)接受對(duì)立雙方或者利益沖突各方委托的，不得接受委托。如已經(jīng)或擬同時(shí)接受可能會(huì)有利益沖突的其他方辦理無(wú)事實(shí)爭(zhēng)議具體性事務(wù)的委托，應(yīng)當(dāng)向委托人說(shuō)明，并取得相關(guān)委托人的書(shū)面同意。第十一條【簽署委托合同】辦理數(shù)據(jù)資源入表法律業(yè)務(wù)，應(yīng)當(dāng)由提供法律服務(wù)的律師事務(wù)所事先與委托人簽訂書(shū)面委托合同。該委托合同通常（二）法律盡職調(diào)查所需資料與信息的提供；（四）工作成果的形式及提交方式；（五）報(bào)酬、費(fèi)用及其支付方式和期限；第十二條【組建服務(wù)團(tuán)隊(duì)】辦理數(shù)據(jù)資源入表法律業(yè)務(wù)，應(yīng)當(dāng)根據(jù)法律服務(wù)的范圍、深度和廣度組建相應(yīng)規(guī)模的服務(wù)團(tuán)隊(duì)。服務(wù)團(tuán)隊(duì)?wèi)?yīng)包括執(zhí)業(yè)律師，可以包括實(shí)習(xí)律師及具有一定專業(yè)基礎(chǔ)的助理人員，并選定一名執(zhí)業(yè)律師為項(xiàng)目負(fù)責(zé)人。鑒于數(shù)據(jù)資源入表業(yè)務(wù)的交叉性，建議團(tuán)隊(duì)配備具有財(cái)務(wù)和/或計(jì)算機(jī)等相關(guān)專業(yè)背景及經(jīng)驗(yàn)的成員。-11-第二節(jié)盡調(diào)內(nèi)容第十三條【盡調(diào)內(nèi)容】一般性數(shù)據(jù)資源入表法律盡職調(diào)查通常包括承辦律師可根據(jù)標(biāo)的企業(yè)實(shí)際情況及盡職調(diào)查報(bào)告的使用目的適當(dāng)調(diào)第十四條【盡調(diào)清單】服務(wù)團(tuán)隊(duì)?wèi)?yīng)當(dāng)根據(jù)數(shù)據(jù)資源入表法律業(yè)務(wù)項(xiàng)目的具體情況編制盡職調(diào)查法律文件清單，并可根據(jù)對(duì)委托人的具體調(diào)查情真實(shí)、準(zhǔn)確、完整的原則提供清單所列明的相關(guān)文件，同時(shí)要求委托人或其第三節(jié)工作底稿編制及歸檔第十五條【工作底稿的內(nèi)容】工作底稿應(yīng)全面反映律師在辦理入表-12-業(yè)務(wù)的工作過(guò)程和結(jié)果，可以參照常見(jiàn)非訴業(yè)務(wù)工作底稿要求，包括但不限（三）法律分析及研究報(bào)告，包括對(duì)相關(guān)法律法規(guī)、政策的解讀和適（四）內(nèi)部討論記錄、備忘錄及工作筆記；（五）與客戶及其他相關(guān)方的溝通記錄，如郵件、函件、會(huì)議紀(jì)要等；（六）法律意見(jiàn)書(shū)、律師工作報(bào)告及其他法律文件的草稿和定稿；（七）其他與業(yè)務(wù)相關(guān)的重要文件和資料，尤其關(guān)注涉及數(shù)據(jù)盤(pán)點(diǎn)、治理的相關(guān)資料或第三方專業(yè)報(bào)告。第十六條【工作底稿編制原則】工作底稿的編制應(yīng)遵循以下原則：（一）真實(shí)性：工作底稿中的內(nèi)容必須真實(shí)可靠，不得虛構(gòu)、篡改或（二）完整性：應(yīng)全面收集與業(yè)務(wù)相關(guān)的文件和資料，確保工作底稿能夠完整反映業(yè)務(wù)的全過(guò)程。（三）一致性：應(yīng)將電子底稿與文檔同時(shí)刻錄光盤(pán)或在數(shù)據(jù)庫(kù)中以只讀文件形式單獨(dú)保存。（四）準(zhǔn)確性：工作底稿中的信息應(yīng)準(zhǔn)確無(wú)誤，對(duì)事實(shí)的描述和法律-13-（五）規(guī)范性：工作底稿的格式和內(nèi)容應(yīng)符合一定的規(guī)范要求，便于（六）保密性：對(duì)于涉及客戶商業(yè)秘密和個(gè)人隱私的工作底稿，應(yīng)嚴(yán)格遵守保密規(guī)定，采取必要的保密措施。工作底稿的編制應(yīng)按照業(yè)務(wù)流程和時(shí)間順序進(jìn)行，確保各環(huán)節(jié)的工作記錄清晰可查。對(duì)于重要的文件和資料，應(yīng)注明來(lái)源和取得時(shí)間，并由相關(guān)第十七條【工作底稿歸檔】工作底稿應(yīng)在業(yè)務(wù)辦結(jié)后及時(shí)歸檔。歸檔時(shí)間一般不得超過(guò)業(yè)務(wù)辦結(jié)后的三個(gè)月。歸檔工作應(yīng)由承辦律師負(fù)責(zé)，檔案管理人員協(xié)助。歸檔前，承辦律師應(yīng)對(duì)工作底稿進(jìn)行全面整理和審查，確保工作底稿符合歸檔要求。工作底稿的歸檔應(yīng)按照以下程序進(jìn)行：歸檔時(shí)間等信息。采用刻錄光盤(pán)等方法保存電子文檔的，建議對(duì)保存內(nèi)容計(jì)算哈希值并單獨(dú)保存。（三）移交檔案：將裝訂好的工作底稿移交檔案管理人員，辦理移交手續(xù)，填寫(xiě)移交清單。（四）檔案管理人員應(yīng)對(duì)接收的工作底稿進(jìn)行再次審查，確保歸檔文-14-件完整、準(zhǔn)確、規(guī)范。如發(fā)現(xiàn)問(wèn)題，應(yīng)及時(shí)通知承辦律師進(jìn)行整改。（五）工作底稿的保管期限應(yīng)根據(jù)業(yè)務(wù)性質(zhì)和重要程度確定。一般情況下，非訴業(yè)務(wù)工作底稿的保管期限不少于五年。（六）檔案管理人員應(yīng)定期對(duì)工作底稿進(jìn)行清理和整理，對(duì)超過(guò)保管期限的工作底稿，按照規(guī)定程序進(jìn)行銷毀。第十八條【主要調(diào)查內(nèi)容】對(duì)標(biāo)的企業(yè)基本情況進(jìn)行盡職調(diào)查時(shí)，包括但不限于以下內(nèi)容：（三）數(shù)據(jù)資源入表所涉及業(yè)務(wù)的情況；（四）標(biāo)的企業(yè)的數(shù)據(jù)合規(guī)管理情況。第十九條【基本登記信息】對(duì)標(biāo)的企業(yè)的基本登記信息進(jìn)行盡職調(diào)查時(shí)，應(yīng)著重于對(duì)標(biāo)的企業(yè)的主體資格、企業(yè)類型、注冊(cè)資本（包括實(shí)繳資本）、成立時(shí)間、經(jīng)營(yíng)期限、經(jīng)營(yíng)范圍、股權(quán)（投資）結(jié)構(gòu)與控股股東及實(shí)際控制人、治理結(jié)構(gòu)等方面進(jìn)行審查。第二十條【主營(yíng)業(yè)務(wù)情況】對(duì)標(biāo)的企業(yè)的主營(yíng)業(yè)務(wù)情況進(jìn)行盡職調(diào)查時(shí)，應(yīng)著重于對(duì)標(biāo)的企業(yè)的主營(yíng)業(yè)務(wù)及相關(guān)資質(zhì)、客戶范圍等進(jìn)行審查，并重點(diǎn)關(guān)注入表相關(guān)數(shù)據(jù)及其未來(lái)應(yīng)用場(chǎng)景與主營(yíng)業(yè)務(wù)的關(guān)聯(lián)關(guān)系，是否可持續(xù)及具有強(qiáng)關(guān)聯(lián)關(guān)系。-15-第二十一條【入表涉及業(yè)務(wù)的情況】對(duì)標(biāo)的企業(yè)入表所涉及的業(yè)務(wù)進(jìn)行盡職調(diào)查時(shí)，應(yīng)著重于對(duì)所涉業(yè)務(wù)是否已經(jīng)履行了特定的程序及有效期限，如主管機(jī)關(guān)的審批、取得必要的經(jīng)營(yíng)資質(zhì)、企業(yè)決策機(jī)構(gòu)的批準(zhǔn)等；相關(guān)數(shù)據(jù)作為數(shù)據(jù)資源入表時(shí)是否有法律法規(guī)或政策上的限制等方面進(jìn)行第二十二條【數(shù)據(jù)合規(guī)管理情況】對(duì)標(biāo)的企業(yè)的數(shù)據(jù)合規(guī)管理情況進(jìn)行盡職調(diào)查時(shí)，應(yīng)著重于對(duì)標(biāo)的企業(yè)的數(shù)據(jù)內(nèi)容合規(guī)、數(shù)據(jù)來(lái)源合規(guī)、數(shù)據(jù)處理合規(guī)及數(shù)據(jù)管理合規(guī)進(jìn)行審查。對(duì)前述內(nèi)容進(jìn)行審查時(shí)的要點(diǎn)，請(qǐng)參考本指引第四章至第七章的相關(guān)內(nèi)容。第二十三條【數(shù)據(jù)資源的盤(pán)點(diǎn)】基于數(shù)據(jù)資源入表的目的，結(jié)合企業(yè)的商業(yè)模式和數(shù)據(jù)應(yīng)用場(chǎng)景，對(duì)數(shù)據(jù)資源進(jìn)行盤(pán)點(diǎn)、梳理和識(shí)別，本著成（一）法律法規(guī)。包括但不限于《網(wǎng)安法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》、地方性法規(guī)、規(guī)章等在開(kāi)展盡職調(diào)查時(shí)現(xiàn)行有效的相關(guān)法律法（二）國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)（如：GB/T43697-2024《數(shù)據(jù)安全技術(shù)重要國(guó)家政策、地方政策。-16-（三）企業(yè)內(nèi)部規(guī)章制度，即企業(yè)制定的數(shù)據(jù)管理政策、隱私政策等。（一）合規(guī)性審查：審查數(shù)據(jù)的收集、存儲(chǔ)、使用和傳輸是否符合法（二）真實(shí)性審查：核實(shí)數(shù)據(jù)的來(lái)源是否合法，是否經(jīng)過(guò)驗(yàn)證和審查。檢查數(shù)據(jù)是否存在虛假、錯(cuò)誤或誤導(dǎo)性信息。（三）完整性審查：評(píng)估數(shù)據(jù)是否完整，是否存在缺失或損壞的情況。（一）個(gè)人信息合規(guī)審查要點(diǎn)1.在收集、使用和共享個(gè)人信息時(shí)是否符合法律法規(guī)的規(guī)定，是否取得了用戶的明確授權(quán)。2.對(duì)個(gè)人信息進(jìn)行的分類、分級(jí)管理，是否采取了必要的保護(hù)措施。3.個(gè)人信息泄露事件的應(yīng)急響應(yīng)機(jī)制是否健全。（二）企業(yè)數(shù)據(jù)合規(guī)審查要點(diǎn)1.標(biāo)的企業(yè)業(yè)務(wù)數(shù)據(jù)的收集、使用和披露是否符合法律法規(guī)和合同2.是否建立了完善的數(shù)據(jù)隱私政策和用戶授權(quán)機(jī)制。（三）公共數(shù)據(jù)合規(guī)審查要點(diǎn)1.數(shù)據(jù)來(lái)源合規(guī)性：確認(rèn)公共數(shù)據(jù)的收集主體是否在其法定職責(zé)范圍-17-2.數(shù)據(jù)收集的方式：是否遵守法律法規(guī)規(guī)定、是否取得了數(shù)據(jù)主體的合法授權(quán)及授權(quán)范圍。3.授權(quán)主體適格性：授權(quán)主體必須是具有法定授權(quán)資格的部門(mén)或機(jī)構(gòu)；授權(quán)主體是否在其權(quán)限范圍內(nèi)進(jìn)行授權(quán)，是否超越法定職權(quán)進(jìn)行授權(quán)行為。4.被授權(quán)方資質(zhì)：評(píng)估被授權(quán)方的技術(shù)能力和安全保障能力；被授權(quán)方的信譽(yù)、經(jīng)營(yíng)狀況、過(guò)往行政處罰情況，以及是否有能力履行公共數(shù)據(jù)運(yùn)5.授權(quán)范圍及期限：授權(quán)運(yùn)營(yíng)的公共數(shù)據(jù)是否明確界定了數(shù)據(jù)的類型、內(nèi)容、格式等；被授權(quán)方使用目的及用途是否在授權(quán)規(guī)定的范圍內(nèi)；公共數(shù)據(jù)的使用是否在授權(quán)期限內(nèi)。第二十七條【應(yīng)用場(chǎng)景的數(shù)據(jù)內(nèi)容審查】（一）內(nèi)部應(yīng)用場(chǎng)景審查1.內(nèi)部數(shù)據(jù)使用場(chǎng)景合規(guī)性，如數(shù)據(jù)分析、決策支持、業(yè)務(wù)優(yōu)化等。2.評(píng)估數(shù)據(jù)收集、使用是否遵循“最小且必要原則”，是否存在數(shù)據(jù)3.內(nèi)部數(shù)據(jù)安全管理措施，如訪問(wèn)控制、數(shù)據(jù)加密、備份恢復(fù)等。（二）外部合作應(yīng)用場(chǎng)景審查1.與外部合作伙伴的數(shù)據(jù)共享和合作場(chǎng)景合規(guī)性。2.合作協(xié)議中關(guān)于數(shù)據(jù)保護(hù)的條款合規(guī)性。-18-4.分析新興技術(shù)應(yīng)用帶來(lái)的數(shù)據(jù)安全挑戰(zhàn)和風(fēng)險(xiǎn)。（三）不同應(yīng)用場(chǎng)景下數(shù)據(jù)質(zhì)量影響評(píng)估1.數(shù)據(jù)質(zhì)量評(píng)估主要從規(guī)范性、完整性、準(zhǔn)確性、一致性、時(shí)效性和可訪問(wèn)性六個(gè)維度展開(kāi)。2.律師辦理入表法律業(yè)務(wù)時(shí)應(yīng)當(dāng)重視數(shù)據(jù)應(yīng)用場(chǎng)景對(duì)數(shù)據(jù)質(zhì)量的要求，同樣的數(shù)據(jù)在不同場(chǎng)景下對(duì)上述六個(gè)指標(biāo)的需求有所差異。第一節(jié)數(shù)據(jù)來(lái)源合規(guī)概述第二十八條【數(shù)據(jù)來(lái)源合規(guī)】數(shù)據(jù)來(lái)源的合規(guī)是指標(biāo)的企業(yè)在獲取和收集數(shù)據(jù)時(shí)，應(yīng)當(dāng)遵循相關(guān)法律法規(guī)、行業(yè)規(guī)范及道德準(zhǔn)則，確保數(shù)據(jù)取得的合法性、正當(dāng)性和安全性。第二十九條【數(shù)據(jù)獲得的渠道】數(shù)據(jù)的獲取主要包括以下幾種渠道：內(nèi)部生成數(shù)據(jù)、外購(gòu)數(shù)據(jù)、公開(kāi)收集數(shù)據(jù)、個(gè)人授權(quán)數(shù)據(jù)以及其他方式獲取第三十條【數(shù)據(jù)來(lái)源合規(guī)審查的合法性依據(jù)】審查數(shù)據(jù)來(lái)源合規(guī)的依據(jù)主要包括以下內(nèi)容：（一）數(shù)據(jù)收集應(yīng)符合現(xiàn)行法律法規(guī)，尤其是數(shù)據(jù)相關(guān)的法律法規(guī)的要求，包括但不限于《網(wǎng)安法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等。值得注意的是，各垂直領(lǐng)域應(yīng)考慮不同行業(yè)或領(lǐng)域現(xiàn)行專門(mén)的法律法規(guī)。（二）數(shù)據(jù)收集應(yīng)避免侵害第三方的權(quán)益，尤其是從公開(kāi)渠道獲取的-19-數(shù)據(jù)：屬于公共數(shù)據(jù)源的，應(yīng)盡基本審慎的義務(wù)審查數(shù)據(jù)來(lái)源主體的收集行為是否符合法律法規(guī)及行業(yè)規(guī)范，以及標(biāo)的企業(yè)獲取、處理、使用數(shù)據(jù)集的行為是否符合公共數(shù)據(jù)源的協(xié)議或規(guī)則；屬于爬取數(shù)據(jù)的，應(yīng)審查爬取行為是否具備正當(dāng)性，不得侵犯其他方的人身權(quán)和財(cái)產(chǎn)權(quán)（包括知識(shí)產(chǎn)權(quán)）。（三）通過(guò)從第三方購(gòu)買、授權(quán)等數(shù)據(jù)交易方式外購(gòu)數(shù)據(jù)的，應(yīng)當(dāng)審查數(shù)據(jù)交易合同是否違反國(guó)家強(qiáng)制性法律規(guī)定，明確數(shù)據(jù)來(lái)源，審查交易主體的必要資質(zhì)和授權(quán)、標(biāo)的數(shù)據(jù)的授權(quán)使用范圍、交易主體的網(wǎng)絡(luò)與數(shù)據(jù)安全要求，以及出現(xiàn)風(fēng)險(xiǎn)事件的責(zé)任承擔(dān)等條款，確保數(shù)據(jù)來(lái)源的合法性、正第三十一條【數(shù)據(jù)的可追溯性】確保數(shù)據(jù)能夠追溯是合規(guī)審查的重要方面，主要包括來(lái)源記錄和數(shù)據(jù)流轉(zhuǎn)記錄。來(lái)源記錄能夠確保數(shù)據(jù)追根溯源，記錄內(nèi)容包括數(shù)據(jù)的原始提供者、收集時(shí)間和收集方式等信息。來(lái)源記錄有助于在出現(xiàn)問(wèn)題時(shí)快速確定責(zé)任主數(shù)據(jù)流轉(zhuǎn)記錄能夠載明數(shù)據(jù)在多個(gè)主體之間流轉(zhuǎn)情況，記錄內(nèi)容包括每一次流轉(zhuǎn)的目的、接收方和授權(quán)情況等。流轉(zhuǎn)記錄有助于確保數(shù)據(jù)在整個(gè)生命周期中的合規(guī)性。第二節(jié)內(nèi)部生成數(shù)據(jù)來(lái)源合規(guī)審查第三十二條【內(nèi)部生成數(shù)據(jù)】?jī)?nèi)部生成數(shù)據(jù)是指標(biāo)的企業(yè)內(nèi)部業(yè)務(wù)活動(dòng)、運(yùn)營(yíng)過(guò)程、管理決策等所產(chǎn)生的數(shù)據(jù)集合。這些數(shù)據(jù)反映了標(biāo)的企業(yè)-20-的特定業(yè)務(wù)流程、客戶群體、產(chǎn)品和服務(wù)的特點(diǎn)以及管理模式等方面的情況。內(nèi)部生成數(shù)據(jù)包括但不限于以下內(nèi)容：業(yè)務(wù)交易數(shù)據(jù)、客戶信息數(shù)據(jù)、生產(chǎn)運(yùn)營(yíng)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)、人力資源數(shù)據(jù)、研發(fā)數(shù)據(jù)等。第三十三條【內(nèi)部生成數(shù)據(jù)來(lái)源合規(guī)審查】?jī)?nèi)部生成數(shù)據(jù)來(lái)源合規(guī)審查，主要從以下方面進(jìn)行合規(guī)審查：（一）數(shù)據(jù)生成依據(jù)審查：檢查數(shù)據(jù)生成是否基于標(biāo)的企業(yè)合規(guī)的業(yè)務(wù)流程和操作規(guī)范。確保數(shù)據(jù)是在遵循相關(guān)法律法規(guī)、行業(yè)標(biāo)準(zhǔn)以及企業(yè)內(nèi)部制度的前提下產(chǎn)生的。（二）數(shù)據(jù)生成目的審查：確認(rèn)數(shù)據(jù)生成的目的明確、合規(guī)且符合標(biāo)的企業(yè)的目標(biāo)和戰(zhàn)略規(guī)劃，審查是否存在為了不正當(dāng)目的而生成數(shù)據(jù)的情況。（三）數(shù)據(jù)生成過(guò)程審查：評(píng)估數(shù)據(jù)生成過(guò)程中的技術(shù)手段和方法是確保數(shù)據(jù)生成過(guò)程中的數(shù)據(jù)生成人員具備相應(yīng)的資質(zhì)和權(quán)限，且嚴(yán)格按照操（四）數(shù)據(jù)質(zhì)量管理審查：檢查標(biāo)的企業(yè)是否建立有效的數(shù)據(jù)質(zhì)量管完整、一致和及時(shí)。同時(shí)，評(píng)估數(shù)據(jù)質(zhì)量問(wèn)題對(duì)業(yè)務(wù)決策和合規(guī)性的潛在影8.對(duì)數(shù)據(jù)生成技術(shù)方法和可靠性的評(píng)估可能超出了法律的專業(yè)判斷，除審閱企業(yè)自身材料外，建議參考第三方技術(shù)服務(wù)商提供的專業(yè)技術(shù)評(píng)估意見(jiàn)。律師在給出整體合規(guī)意見(jiàn)時(shí)，應(yīng)當(dāng)注意參考其他專業(yè)判斷在法-21-響，對(duì)于發(fā)現(xiàn)的數(shù)據(jù)質(zhì)量問(wèn)題，審查是否已及時(shí)采取糾正措施并對(duì)相關(guān)責(zé)任人進(jìn)行了必要的問(wèn)責(zé)。（五）內(nèi)部審計(jì)與監(jiān)督機(jī)制審查：確認(rèn)標(biāo)的企業(yè)是否設(shè)立了獨(dú)立的內(nèi)部審查部門(mén)或崗位，負(fù)責(zé)定期對(duì)數(shù)據(jù)生成活動(dòng)進(jìn)行監(jiān)督和審計(jì)。同時(shí)，檢查內(nèi)部審計(jì)的范圍、頻率和方法是否足以發(fā)現(xiàn)潛在的合規(guī)問(wèn)題，審計(jì)報(bào)告能否得到管理者的重視并及時(shí)處理，審計(jì)建議落實(shí)的情況如何。第三節(jié)外購(gòu)數(shù)據(jù)來(lái)源合規(guī)審查第三十四條【外購(gòu)數(shù)據(jù)】外購(gòu)數(shù)據(jù)是指標(biāo)的企業(yè)從外部供應(yīng)商、數(shù)據(jù)提供商處購(gòu)買或獲取的數(shù)據(jù)資源。第三十五條【外購(gòu)數(shù)據(jù)來(lái)源合規(guī)審查】外購(gòu)數(shù)據(jù)來(lái)源合規(guī)審查至關(guān)重要，它能確定企業(yè)所獲取的數(shù)據(jù)是否合法、是否符合道德規(guī)范。律師應(yīng)從以下方面進(jìn)行合規(guī)審查：（一）供應(yīng)商的調(diào)查：對(duì)數(shù)據(jù)供應(yīng)商進(jìn)行全面調(diào)查，包括其公司信息、業(yè)務(wù)范圍、信譽(yù)度和市場(chǎng)口碑等。了解供應(yīng)商的經(jīng)營(yíng)歷史，確認(rèn)其是否存在法律糾紛或不良記錄，這有助于評(píng)估其可靠性和合規(guī)性。同時(shí)，核實(shí)供應(yīng)商是否具有合法的數(shù)據(jù)采集、處理和銷售資質(zhì)。（二）數(shù)據(jù)來(lái)源合法性審查：要求供應(yīng)商明確說(shuō)明數(shù)據(jù)的來(lái)源渠道。審查數(shù)據(jù)是否來(lái)自合法的途徑。對(duì)于來(lái)源不明或存在疑問(wèn)的數(shù)據(jù)，應(yīng)謹(jǐn)慎對(duì)待，避免潛在的法律風(fēng)險(xiǎn)。同時(shí)，審查數(shù)據(jù)采集過(guò)程是否符合相關(guān)法律法規(guī)-22-并有權(quán)將這些權(quán)利轉(zhuǎn)讓或許可給購(gòu)買方。審查授權(quán)文件的條款和范圍，有效控制購(gòu)買方在使用數(shù)據(jù)時(shí)引發(fā)法律糾紛的風(fēng)險(xiǎn)。同時(shí)，注意授權(quán)的時(shí)效性和地域范圍。確保數(shù)據(jù)的使用授權(quán)在有效期內(nèi)，并且適用于購(gòu)買方的業(yè)務(wù)范圍完整性、一致性和時(shí)效性等方面。要求供應(yīng)商提供數(shù)據(jù)質(zhì)量報(bào)告或相關(guān)證明材料，以便購(gòu)買方了解數(shù)據(jù)的質(zhì)量狀況。另外，可以通過(guò)抽樣檢查、數(shù)據(jù)分析等方式，對(duì)數(shù)據(jù)質(zhì)量進(jìn)行進(jìn)一步驗(yàn)證。如果發(fā)現(xiàn)數(shù)據(jù)質(zhì)量存在問(wèn)題，應(yīng)與供應(yīng)商協(xié)商解決辦法。（五）合同條款審查：在與數(shù)據(jù)供應(yīng)商簽訂合同之前，仔細(xì)審查合同條款，確保合同中明確規(guī)定了數(shù)據(jù)的來(lái)源、質(zhì)量、使用授權(quán)、保密義務(wù)、違約責(zé)任等關(guān)鍵事項(xiàng)。注意合同中的免責(zé)條款和爭(zhēng)議解決條款，確保購(gòu)買方的合法權(quán)益得到充分保護(hù)。第四節(jié)公開(kāi)收集數(shù)據(jù)來(lái)源合規(guī)審查第三十六條【公開(kāi)收集數(shù)據(jù)】公開(kāi)收集數(shù)據(jù)是指標(biāo)的企業(yè)通過(guò)公開(kāi)的渠道和方式，主動(dòng)獲取各類數(shù)據(jù)的行為，包括通過(guò)互聯(lián)網(wǎng)平臺(tái)、政府公開(kāi)數(shù)據(jù)平臺(tái)、公共數(shù)據(jù)庫(kù)、線下公開(kāi)活動(dòng)等收集數(shù)據(jù)。第三十七條【公開(kāi)收集數(shù)據(jù)來(lái)源合規(guī)審查】公開(kāi)收集數(shù)據(jù)來(lái)源合規(guī)審查是確保數(shù)據(jù)收集行為合法、正當(dāng)且安全的重要環(huán)節(jié)。律師應(yīng)從以下方面-23-（一）明確數(shù)據(jù)收集的目的和范圍：在開(kāi)始審查之前，首先要明確收集數(shù)據(jù)的具體目的以及所涉及的范圍，這有助于確定審查的重點(diǎn)和方向，確保收集的數(shù)據(jù)僅用于合法、正當(dāng)且明確的用途，并且不超出必要的范圍。（二）審查數(shù)據(jù)來(lái)源的合法性：確認(rèn)數(shù)據(jù)是否來(lái)自公開(kāi)渠道，包括政府公開(kāi)數(shù)據(jù)平臺(tái)、合法的新聞媒體網(wǎng)站、學(xué)術(shù)研究機(jī)構(gòu)的公開(kāi)數(shù)據(jù)庫(kù)、公共論壇和社交媒體平臺(tái)等。對(duì)于聲稱來(lái)自公開(kāi)渠道的數(shù)據(jù)，要仔細(xì)核實(shí)其來(lái)源的真實(shí)性和可靠性。同時(shí)，檢查數(shù)據(jù)收集是否遵循了相關(guān)平臺(tái)或渠道的使用規(guī)則和條款，以免引發(fā)法律糾紛。（三）評(píng)估數(shù)據(jù)收集方法的合規(guī)性：如果是通過(guò)網(wǎng)絡(luò)爬蟲(chóng)等技術(shù)手段收集數(shù)據(jù)，要審查其是否遵守了相關(guān)的法律法規(guī)和技術(shù)規(guī)范。對(duì)網(wǎng)絡(luò)爬蟲(chóng)的使用可能涉及侵害個(gè)人信息權(quán)、侵犯網(wǎng)站內(nèi)容著作權(quán)以及違反技術(shù)保護(hù)措施、Robots協(xié)議、對(duì)服務(wù)器造成過(guò)度負(fù)擔(dān)等涉嫌非法利用他人數(shù)據(jù)獲取競(jìng)爭(zhēng)優(yōu)勢(shì)的不正當(dāng)競(jìng)爭(zhēng)行為，均需要謹(jǐn)慎評(píng)估和處理。同時(shí)，對(duì)于通過(guò)人工方式收集的數(shù)據(jù)，要確保收集過(guò)程符合倫理道德標(biāo)準(zhǔn)，并且獲得了被調(diào)查者的知情同意。特別是在涉及敏感信息或個(gè)人隱私的情況下，更要加強(qiáng)保護(hù)措施，確保數(shù)據(jù)收集的合法性和正當(dāng)性。（四）審查數(shù)據(jù)的質(zhì)量和準(zhǔn)確性：盡管公開(kāi)收集的數(shù)據(jù)來(lái)源較為廣泛，但數(shù)據(jù)的質(zhì)量和準(zhǔn)確性可能參差不齊。在合規(guī)審查過(guò)程中，要對(duì)數(shù)據(jù)進(jìn)行一定的質(zhì)量評(píng)估，檢查數(shù)據(jù)是否存在錯(cuò)誤、重復(fù)、缺失或不一致等問(wèn)題。對(duì)于-24-質(zhì)量較差的數(shù)據(jù)，要謹(jǐn)慎使用或采取相應(yīng)的處理措施。同時(shí)，需要考慮數(shù)據(jù)的時(shí)效性，對(duì)于過(guò)時(shí)的數(shù)據(jù)，要進(jìn)行更新或標(biāo)注，以免影響決策的準(zhǔn)確性。（五）關(guān)注數(shù)據(jù)隱私和安全問(wèn)題：在公開(kāi)收集數(shù)據(jù)的過(guò)程中，可能會(huì)涉及個(gè)人隱私信息。要審查數(shù)據(jù)收集和處理過(guò)程中是否采取了足夠的隱私保護(hù)措施，確保個(gè)人隱私不被泄露或?yàn)E用。同時(shí)，評(píng)估數(shù)據(jù)的安全性，防止數(shù)據(jù)遭到未經(jīng)授權(quán)的訪問(wèn)、篡改或丟失。確保數(shù)據(jù)存儲(chǔ)和傳輸?shù)沫h(huán)境具備相應(yīng)企業(yè)或組織應(yīng)建立健全內(nèi)部審查機(jī)制和流程。明確負(fù)責(zé)數(shù)據(jù)合規(guī)審查的部門(mén)或人員，制定詳細(xì)的審查標(biāo)準(zhǔn)和操作指南，定期對(duì)數(shù)據(jù)收集活動(dòng)進(jìn)行審查和監(jiān)督。同時(shí)，要加強(qiáng)員工的培訓(xùn)和教育，增強(qiáng)員工的數(shù)據(jù)合規(guī)意識(shí)和風(fēng)險(xiǎn)防第五節(jié)個(gè)人授權(quán)數(shù)據(jù)來(lái)源合規(guī)審查第三十八條【個(gè)人授權(quán)數(shù)據(jù)】個(gè)人授權(quán)數(shù)據(jù)是指?jìng)€(gè)人主體在明確知曉數(shù)據(jù)使用目的、范圍、方式等情況下，自愿給予標(biāo)的企業(yè)使用其相關(guān)數(shù)據(jù)第三十九條【個(gè)人授權(quán)數(shù)據(jù)來(lái)源合規(guī)審查】對(duì)于個(gè)人授權(quán)數(shù)據(jù)，律師應(yīng)從以下方面進(jìn)行合規(guī)審查：（一）授權(quán)的真實(shí)性審查：確認(rèn)個(gè)人確實(shí)進(jìn)行了授權(quán)操作，而非他人冒名頂替或偽造授權(quán)?？梢酝ㄟ^(guò)驗(yàn)證授權(quán)過(guò)程中的身份認(rèn)證信息、電子簽名-25-等方式來(lái)確保授權(quán)的真實(shí)性。同時(shí)，審查授權(quán)的方式是否符合法律規(guī)定和相《個(gè)人信息保護(hù)法》通常規(guī)定了個(gè)人信息收集、使用和處理的基本原則和規(guī)則，審查時(shí)應(yīng)確保授權(quán)行為未違反前述法律規(guī)定。同時(shí)，核實(shí)授權(quán)是否涵蓋了數(shù)據(jù)使用的所有必要方面，且符合業(yè)務(wù)的實(shí)際需求。（三）授權(quán)的有效性審查：確認(rèn)授權(quán)是否在有效期內(nèi)。個(gè)人授權(quán)通常具有一定的期限限制，審查時(shí)應(yīng)確保數(shù)據(jù)的使用在授權(quán)有效期內(nèi)進(jìn)行。同時(shí)，審查授權(quán)是否存在被撤銷或變更的情況。個(gè)人有權(quán)隨時(shí)撤銷或變更其授權(quán)，標(biāo)的企業(yè)應(yīng)向個(gè)人提供明確的撤銷或變更授權(quán)的方式并及時(shí)更新個(gè)人授權(quán)情況，律師審查時(shí)也應(yīng)抽樣核實(shí)個(gè)人信息的最新的授權(quán)狀態(tài)。（四）數(shù)據(jù)來(lái)源的可靠性審查：盡管個(gè)人進(jìn)行了授權(quán)，但仍需審查數(shù)據(jù)的來(lái)源是否可靠。同時(shí)，對(duì)數(shù)據(jù)的完整性和準(zhǔn)確性進(jìn)行審查。確保獲取的個(gè)（五）審查記錄和存檔：建立完善的審查記錄制度，記錄對(duì)個(gè)人授權(quán)數(shù)據(jù)來(lái)源合規(guī)審查的過(guò)程和結(jié)果，包括審查的時(shí)間、人員、發(fā)現(xiàn)的問(wèn)題及處理措施等。同時(shí)，對(duì)審查記錄和相關(guān)的授權(quán)文件進(jìn)行妥善存檔，以備日后查詢和審計(jì)。存檔的期限應(yīng)符合法律法規(guī)和業(yè)務(wù)的要求。第六節(jié)其他方式獲取數(shù)據(jù)來(lái)源合規(guī)審查第四十條【其他方式獲取的數(shù)據(jù)】其他方式獲取數(shù)據(jù)是指除了外購(gòu)-26-數(shù)據(jù)、公開(kāi)收集數(shù)據(jù)和個(gè)人授權(quán)數(shù)據(jù)之外，標(biāo)的企業(yè)通過(guò)各種非常規(guī)或特定途徑獲取數(shù)據(jù)的方式，包括但不限于合作交換、數(shù)據(jù)挖掘與分析、傳感器和物聯(lián)網(wǎng)設(shè)備收集、競(jìng)賽和眾包模式等。第四十一條【其他方式獲取數(shù)據(jù)來(lái)源合規(guī)審查】對(duì)于其他方式獲取的數(shù)據(jù)來(lái)源，律師應(yīng)從以下方面進(jìn)行合規(guī)審查：（一）合作與交換：審查合作協(xié)議或交換協(xié)議，明確雙方的數(shù)據(jù)權(quán)利和義務(wù)，確保數(shù)據(jù)的提供和使用符合法律法規(guī)及協(xié)議約定。核實(shí)合作方或交換方的數(shù)據(jù)來(lái)源合法性，要求其提供相關(guān)證明材料，如數(shù)據(jù)采集的授權(quán)文件（二）數(shù)據(jù)挖掘與分析：對(duì)于從企業(yè)自身數(shù)據(jù)挖掘得到的數(shù)據(jù)，審查數(shù)據(jù)采集和存儲(chǔ)的合規(guī)性，確保原始數(shù)據(jù)的獲取和處理符合相關(guān)規(guī)定。若涉及對(duì)公開(kāi)大數(shù)據(jù)集的二次分析，確認(rèn)數(shù)據(jù)集的公開(kāi)性質(zhì)和使用許可，遵守相應(yīng)的使用條款和限制。（三）傳感器和物聯(lián)網(wǎng)設(shè)備收集：審查傳感器和物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù)采集機(jī)制，確保其符合隱私政策和相關(guān)法規(guī)。評(píng)估數(shù)據(jù)傳輸和存儲(chǔ)的安全性，防止數(shù)據(jù)泄露或被濫用。（四）競(jìng)賽和眾包：在競(jìng)賽和眾包活動(dòng)中，明確參與者提交數(shù)據(jù)的所有權(quán)和使用權(quán)限，制定相應(yīng)的規(guī)則和條款，確保數(shù)據(jù)來(lái)源清晰、合法。同時(shí)，對(duì)參與者提交的數(shù)據(jù)進(jìn)行審查，排除可能存在侵權(quán)或違法的數(shù)據(jù)。（五）其他：根據(jù)其他未列舉獲取方式的特性進(jìn)行針對(duì)性合規(guī)審查。-27-第一節(jié)數(shù)據(jù)處理概述第四十二條【數(shù)據(jù)處理者】數(shù)據(jù)處理者是指在數(shù)據(jù)處理活動(dòng)中自主決定處理目的和處理方式的自然人、法人或非法人組織。第四十三條【數(shù)據(jù)收集】數(shù)據(jù)收集是指產(chǎn)生、獲取數(shù)據(jù)的行為，從數(shù)據(jù)來(lái)源的角度，可以將數(shù)據(jù)收集行為劃分為從數(shù)據(jù)處理者內(nèi)部系統(tǒng)中新產(chǎn)生的數(shù)據(jù)和從數(shù)據(jù)處理者外部系統(tǒng)采集的數(shù)據(jù)。第四十四條【數(shù)據(jù)收集的一般原則】律師應(yīng)當(dāng)審查標(biāo)的企業(yè)數(shù)據(jù)收集是否遵守合法原則、正當(dāng)原則、誠(chéng)信原則、權(quán)責(zé)一致原則。第四十五條【特定行業(yè)/領(lǐng)域數(shù)據(jù)的收集原則】對(duì)于從事特定行業(yè)/領(lǐng)域的標(biāo)的企業(yè)，律師應(yīng)當(dāng)審查：（一）汽車行業(yè)數(shù)據(jù)收集的特別原則有：車內(nèi)處理原則、默認(rèn)不收集原則、精度范圍適用原則、脫敏處理原則。（二）醫(yī)療健康行業(yè)數(shù)據(jù)收集的特別原則有：1.從健康醫(yī)療大數(shù)據(jù)的角度，要堅(jiān)持以人為本、創(chuàng)新驅(qū)動(dòng)的原則，堅(jiān)持規(guī)范有序、安全可控的原則，支持開(kāi)放融合、共建共享的原則；2.從人類遺傳資源信息的角度，收集行為要符合倫理原則（尊重人類遺傳資源提供者的隱私權(quán)，取得其事先知情同意，并保護(hù)其合法權(quán)益）、禁-28-3.從人口健康信息角度，還要遵循“一數(shù)一源、最少夠用”原則。選擇同意原則、最小夠用原則、全程可控原則、動(dòng)態(tài)控制原則、權(quán)責(zé)一致原第四十六條【個(gè)人信息收集必要性的審查】標(biāo)的企業(yè)因自身業(yè)務(wù)需要直接收集個(gè)人信息時(shí)，律師應(yīng)根據(jù)標(biāo)的企業(yè)的商業(yè)模式及業(yè)務(wù)功能等審查標(biāo)的企業(yè)收集數(shù)據(jù)是否符合必要性原則，應(yīng)符合：（一）收集的個(gè)人信息的類型應(yīng)與企業(yè)的產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)（直接關(guān)聯(lián)是指沒(méi)有上述個(gè)人信息的參與，產(chǎn)品或服務(wù)的功能無(wú)法實(shí)（二）自動(dòng)采集個(gè)人信息的頻率應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必（三）間接獲取個(gè)人信息的數(shù)量應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必第四十七條【個(gè)人信息收集授權(quán)同意的審查】標(biāo)的企業(yè)因自身業(yè)務(wù)需要直接收集個(gè)人信息時(shí)，律師應(yīng)審查標(biāo)的企業(yè)是否已事前取得個(gè)人信息主體的授權(quán)同意，具體審查內(nèi)容包括：（一）標(biāo)的企業(yè)是否向個(gè)人信息主體告知收集、使用個(gè)人信息的目的、方式、范圍和規(guī)則等，并獲得個(gè)人信息主體的授權(quán)同意。收集不滿十四周歲-29-未成年人個(gè)人信息前，是否取得未成年人的父母或其他監(jiān)護(hù)人的單獨(dú)同意；（二）個(gè)人信息主體授權(quán)是否為有效授權(quán)，個(gè)人信息收集過(guò)程中是否存在強(qiáng)制收集的情形，個(gè)人信息收集界面是否未提供跳過(guò)或拒絕等選項(xiàng)；戶服務(wù)協(xié)議》，相關(guān)條款約定是否合法、合規(guī)，內(nèi)容是否符合國(guó)家標(biāo)準(zhǔn)及行（四）如產(chǎn)品或服務(wù)提供多項(xiàng)需收集個(gè)人信息的業(yè)務(wù)功能時(shí)，標(biāo)的企業(yè)是否存在強(qiáng)迫個(gè)人信息主體接受產(chǎn)品或服務(wù)所提供的業(yè)務(wù)功能及相應(yīng)的個(gè)人信息收集請(qǐng)求的情形；（五）如個(gè)人信息主體未給予授權(quán)同意的情形下，標(biāo)的企業(yè)是否存在以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)的（六）未取得個(gè)人信息主體的授權(quán)同意而收集個(gè)人信息的，是否符合第四十八條【收集個(gè)人敏感信息的審查】標(biāo)的企業(yè)因自身業(yè)務(wù)直接收集個(gè)人敏感信息時(shí)，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)是否就個(gè)人敏感信息收集取得個(gè)人信息主體的明示同意；個(gè)人信息主體的明示同意是否是其在完全知情的基礎(chǔ)上自主給出的，是否有具體的、清晰明確的意愿表示；（二）標(biāo)的企業(yè)是否按照最小必要原則明確收集個(gè)人敏感信息；-30-（三）標(biāo)的企業(yè)是否僅在用戶使用業(yè)務(wù)功能期間收集該業(yè)務(wù)功能所需（四）標(biāo)的企業(yè)收集個(gè)人敏感信息前，是否已完成個(gè)人信息保護(hù)影響第四十九條【收集個(gè)人生物識(shí)別信息的審查】標(biāo)的企業(yè)收集個(gè)人生物識(shí)別信息時(shí)，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)是否單獨(dú)向個(gè)人信息主體告知收集、使用個(gè)人生物識(shí)別信息的目的、方式和范圍，以及存儲(chǔ)時(shí)間等規(guī)則，是否征得個(gè)人信息主體（二）如涉及人臉數(shù)據(jù)，是否按照規(guī)定公布人臉識(shí)別數(shù)據(jù)處理規(guī)則；（三）標(biāo)的企業(yè)收集個(gè)人生物識(shí)別信息是否具有特定的目的和充分的（四）標(biāo)的企業(yè)收集個(gè)人生物識(shí)別信息前，是否已完成個(gè)人信息保護(hù)（五）標(biāo)的企業(yè)如涉及人臉數(shù)據(jù)，是否在識(shí)別過(guò)程中持續(xù)告知數(shù)據(jù)主體驗(yàn)證目的，并通過(guò)語(yǔ)言、文字等向數(shù)據(jù)主體進(jìn)行提示；（六）標(biāo)的企業(yè)是否僅收集生成人臉特征所需的最小數(shù)量、最少圖像（七）標(biāo)的企業(yè)是否采取安全措施保證人臉識(shí)別數(shù)據(jù)的真實(shí)性、完整性和一致性，防止人臉識(shí)別數(shù)據(jù)在收集過(guò)程中泄漏或篡改。-31-第五十條【間接收集個(gè)人信息的審查】標(biāo)的企業(yè)間接收集個(gè)人信息時(shí)，（一）標(biāo)的企業(yè)是否制定外部數(shù)據(jù)采購(gòu)及審查的相關(guān)制度，是否對(duì)數(shù)據(jù)資源提供方的安全保障能力及數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，是否對(duì)個(gè)人信息來(lái)（二）數(shù)據(jù)資源提供方是否與收集方簽署合作協(xié)議，明確雙方數(shù)據(jù)安（三）數(shù)據(jù)資源提供方已獲得的個(gè)人信息處理的授權(quán)同意范圍，包括處理目的、處理方式和個(gè)人信息的種類，是否能夠涵蓋數(shù)據(jù)資源提供方向收集方提供共享信息的范圍，個(gè)人信息主體是否授權(quán)同意轉(zhuǎn)讓、共享、公開(kāi)披露、刪除該個(gè)人信息數(shù)據(jù)等；（四）對(duì)于業(yè)務(wù)開(kāi)展中所需進(jìn)行的個(gè)人信息處理活動(dòng)超出個(gè)人信息主體授權(quán)同意范圍的，標(biāo)的企業(yè)是否在獲取個(gè)人信息后的合理期限內(nèi)或處理個(gè)人信息前，直接或通過(guò)數(shù)據(jù)資源提供方征得個(gè)人信息主體的明示同意。第五十一條【違法收集個(gè)人信息的審查】律師應(yīng)當(dāng)審查標(biāo)的企業(yè)是否存在違法收集個(gè)人信息的情形，包括：（一）以欺詐、誘騙、誤導(dǎo)的方式收集個(gè)人信息；（二）隱瞞產(chǎn)品或服務(wù)所具有的收集個(gè)人信息的功能；（三）從非法渠道獲取個(gè)人信息。第五十二條【收集非個(gè)人信息的審查】收集非個(gè)人信息應(yīng)注意審查：-32-（一）數(shù)據(jù)處理者是否取得收集相關(guān)數(shù)據(jù)的資質(zhì)；（二）收集信息的類型、收集使用的目的、收集方式是否符合相關(guān)法律法規(guī)、規(guī)范性文件的規(guī)定；（三）如果與第三方合作收集數(shù)據(jù)的，應(yīng)關(guān)注是否就數(shù)據(jù)的使用、收益等作出了明確約定。第五十三條【數(shù)據(jù)存儲(chǔ)】數(shù)據(jù)存儲(chǔ)是指數(shù)據(jù)處理者在提供產(chǎn)品或服務(wù)、開(kāi)展經(jīng)營(yíng)管理等活動(dòng)時(shí)，通過(guò)磁盤(pán)、磁帶、云存儲(chǔ)設(shè)備等存儲(chǔ)媒體，在一定期限內(nèi)持久化保留、保存數(shù)據(jù)的行為。第五十四條【數(shù)據(jù)存儲(chǔ)期限的審查】關(guān)于數(shù)據(jù)存儲(chǔ)期限，律師應(yīng)當(dāng)（一）標(biāo)的企業(yè)對(duì)于個(gè)人信息的保存期限是否為實(shí)現(xiàn)個(gè)人信息主體授權(quán)使用的目的所必需的最短時(shí)間，是否超出收集使用規(guī)則中明示的存儲(chǔ)期限；（二）數(shù)據(jù)存儲(chǔ)的期限是否符合所處特定行業(yè)關(guān)于存儲(chǔ)期限的法律法規(guī)及規(guī)范性文件的要求，如：1.網(wǎng)約車平臺(tái)采集的個(gè)人信息和生成的業(yè)務(wù)數(shù)據(jù)，保存期限不少于兩2.住院電子病歷保存期限不少于三十年，互聯(lián)網(wǎng)診療病歷保存期限不少于十五年，其中圖文對(duì)話、音視頻保存期限不少于三年；3.藥品網(wǎng)絡(luò)零售商對(duì)處方、在線服務(wù)記錄的保存期限不少于五年且不-33-少于藥品有效期滿后一年；4.平臺(tái)經(jīng)營(yíng)者對(duì)數(shù)據(jù)信息的保存期限不少于三年；5.互聯(lián)網(wǎng)直播提供者對(duì)使用者發(fā)布內(nèi)容和日志的保存期限不少于六十日，對(duì)網(wǎng)絡(luò)交易活動(dòng)的視頻的保存期限不少于三年；6.證券登記結(jié)算機(jī)構(gòu)對(duì)文件和資料的保存期限不少于二十年，證券公司對(duì)客戶資料等信息的保存期限為至少二十年；（三）對(duì)于超過(guò)存儲(chǔ)期限的數(shù)據(jù)，標(biāo)的企業(yè)是否及時(shí)進(jìn)行刪除或匿名第五十五條【數(shù)據(jù)存儲(chǔ)安全的審查】律師可從數(shù)據(jù)存儲(chǔ)的行為結(jié)構(gòu)出發(fā)，對(duì)存儲(chǔ)媒介安全、存儲(chǔ)系統(tǒng)安全、事故預(yù)防機(jī)制三個(gè)角度把握和第五十六條【個(gè)人信息存儲(chǔ)安全措施的審查】關(guān)于個(gè)人信息存儲(chǔ)安全措施，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)在收集個(gè)人信息后，是否進(jìn)行去標(biāo)識(shí)化處理，是否將可用于恢復(fù)識(shí)別個(gè)人的信息與去標(biāo)識(shí)化后的信息分開(kāi)存儲(chǔ)并加強(qiáng)訪問(wèn)和使用（二）標(biāo)的企業(yè)是否采用物理或邏輯隔離方式分別存儲(chǔ)人臉識(shí)別數(shù)據(jù)（三）標(biāo)的企業(yè)是否直接存儲(chǔ)原始個(gè)人生物識(shí)別信息；-34-（四）標(biāo)的企業(yè)是否采取數(shù)據(jù)存儲(chǔ)相關(guān)安全管控措施，是否按照數(shù)據(jù)分類分級(jí)制度，針對(duì)不同類別級(jí)別的數(shù)據(jù)采取差異化數(shù)據(jù)存儲(chǔ)措施；（五）標(biāo)的企業(yè)是否實(shí)施權(quán)限管控機(jī)制，采用最小授權(quán)保障個(gè)人信息數(shù)據(jù)被有效保護(hù)，防止被非授權(quán)訪問(wèn)或處理；（六）標(biāo)的企業(yè)是否針對(duì)存儲(chǔ)介質(zhì)提供有效的技術(shù)和管理手段，防止對(duì)介質(zhì)的不當(dāng)使用而引發(fā)的數(shù)據(jù)泄露風(fēng)險(xiǎn)，并對(duì)存儲(chǔ)介質(zhì)訪問(wèn)和使用行為進(jìn)（七）標(biāo)的企業(yè)是否建立數(shù)據(jù)備份恢復(fù)操作規(guī)程，保障數(shù)據(jù)的可用性（八）標(biāo)的企業(yè)終止運(yùn)營(yíng)其產(chǎn)品或服務(wù)時(shí)，是否將收集的個(gè)人信息進(jìn)行刪除或匿名化處理。第五十七條【數(shù)據(jù)存儲(chǔ)地點(diǎn)的審查】關(guān)于數(shù)據(jù)存儲(chǔ)地點(diǎn)，律師應(yīng)當(dāng)（一）根據(jù)標(biāo)的企業(yè)處理數(shù)據(jù)的類型、標(biāo)的企業(yè)所處行業(yè)及其性質(zhì)，判斷其數(shù)據(jù)存儲(chǔ)是否需履行本地化儲(chǔ)存義務(wù)；（二）審查標(biāo)的企業(yè)數(shù)據(jù)儲(chǔ)存的地點(diǎn)與方式（自行存儲(chǔ)或委托第三方存儲(chǔ)），判斷儲(chǔ)存地點(diǎn)是否合法、合規(guī)。第五十八條【數(shù)據(jù)存儲(chǔ)的本地化要求】國(guó)家機(jī)關(guān)處理的個(gè)人信息、關(guān)鍵信息基礎(chǔ)設(shè)施收集和產(chǎn)生的重要數(shù)據(jù)、汽車重要數(shù)據(jù)、網(wǎng)約車平臺(tái)收集的個(gè)人信息和生成的業(yè)務(wù)數(shù)據(jù)、醫(yī)療機(jī)構(gòu)產(chǎn)生的人口信息及健康醫(yī)療信息等-35-都有數(shù)據(jù)存儲(chǔ)在境內(nèi)的要求，即數(shù)據(jù)的本地化存儲(chǔ)要求。但也允許在特殊情況下，在取得監(jiān)管部門(mén)審批同意或履行必要的法定義務(wù)后，向中華人民共和第五十九條【個(gè)人信息刪除的審查】關(guān)于個(gè)人信息刪除義務(wù)，律師（一）標(biāo)的企業(yè)是否主動(dòng)刪除、受托人是否履行刪除義務(wù)、標(biāo)的企業(yè)在無(wú)法刪除時(shí)的處置措施。（二）如果刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)，標(biāo)的企業(yè)應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理。第六十條【數(shù)據(jù)使用】數(shù)據(jù)使用是一個(gè)集合性的概念。廣義上看，數(shù)據(jù)一經(jīng)收集即被利用，狹義上看，數(shù)據(jù)使用可理解為數(shù)據(jù)處理者對(duì)所收集的數(shù)據(jù)進(jìn)行利用的行為。如個(gè)人信息的使用，包括個(gè)人信息的訪問(wèn)、展示，用戶畫(huà)像的使用，個(gè)性化展示的使用，以及所收集的個(gè)人信息的匯聚融合，信息系統(tǒng)自動(dòng)決策機(jī)制的使用。第六十一條【數(shù)據(jù)使用的基本原則】律師應(yīng)當(dāng)根據(jù)《網(wǎng)安法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)審查標(biāo)的企業(yè)是否遵守的數(shù)據(jù)使用原則，包括合法、正當(dāng)、必要的原則，針對(duì)個(gè)人信息的使用，還包括使用規(guī)則公開(kāi)透明原則和按照約定使用原則。第六十二條【訪問(wèn)控制措施的審查】關(guān)于標(biāo)的企業(yè)對(duì)個(gè)人信息訪問(wèn)-36-的控制措施，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)是否對(duì)被授權(quán)訪問(wèn)人員建立最小授權(quán)的訪問(wèn)控制策略，使其只能訪問(wèn)職責(zé)所需的最小必要的個(gè)人信息，且僅具備完成職責(zé)所需的最（二）標(biāo)的企業(yè)是否對(duì)個(gè)人信息的重要操作（如進(jìn)行批量修改、拷貝、下載等重要操作）設(shè)置內(nèi)部審批流程；（三）標(biāo)的企業(yè)是否對(duì)數(shù)據(jù)安全管理人員、數(shù)據(jù)操作人員、審計(jì)人員（四）標(biāo)的企業(yè)對(duì)于因工作需要授權(quán)特定人員超權(quán)限處理個(gè)人信息的情形，是否經(jīng)內(nèi)部審批，并記錄在冊(cè)。第六十三條【展示限制措施的審查】標(biāo)的企業(yè)涉及通過(guò)界面展示個(gè)人信息的，律師應(yīng)當(dāng)審查標(biāo)的企業(yè)是否采取去標(biāo)識(shí)化等處理措施，降低個(gè)人信息在展示環(huán)節(jié)的泄露風(fēng)險(xiǎn)。第六十四條【使用目的限制的審查】關(guān)于標(biāo)的企業(yè)個(gè)人信息使用目的，（一）標(biāo)的企業(yè)使用個(gè)人信息時(shí)是否超出與收集個(gè)人信息時(shí)所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍；如超出范圍使用個(gè)人信息的，是否再次征得個(gè)人信息主體的明示同意；（二）對(duì)于標(biāo)的企業(yè)收集的個(gè)人信息進(jìn)行加工處理而產(chǎn)生的信息，如能夠單獨(dú)或與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情-37-況的，標(biāo)的企業(yè)在使用該等數(shù)據(jù)時(shí)是否遵循收集個(gè)人信息時(shí)獲得的授權(quán)同意第六十五條【自動(dòng)化決策合規(guī)義務(wù)的審查】標(biāo)的企業(yè)利用數(shù)據(jù)進(jìn)行是否向個(gè)人提供拒絕自動(dòng)化的選項(xiàng)；（二）標(biāo)的企業(yè)利用數(shù)據(jù)進(jìn)行自動(dòng)化決策、數(shù)據(jù)分析，是否存在對(duì)交易條件相同的交易相對(duì)人實(shí)施差別待遇的情況，法律法規(guī)及規(guī)范性文件允許（三）標(biāo)的企業(yè)運(yùn)營(yíng)信息系統(tǒng)具備自動(dòng)決策機(jī)制且能對(duì)個(gè)人信息主體權(quán)益造成顯著影響的，是否在規(guī)劃設(shè)計(jì)階段或首次使用前開(kāi)展個(gè)人信息安全影響評(píng)估，并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施；（四）標(biāo)的企業(yè)是否在使用過(guò)程中定期（至少每年一次）開(kāi)展個(gè)人信息安全影響評(píng)估，并依評(píng)估結(jié)果改進(jìn)保護(hù)個(gè)人信息主體的措施；（五）標(biāo)的企業(yè)是否存在基于人臉識(shí)別數(shù)據(jù)生成用戶自身畫(huà)像和統(tǒng)計(jì)分析；是否存在基于人臉識(shí)別數(shù)據(jù)自身進(jìn)行個(gè)性化推薦的情況；（六）標(biāo)的企業(yè)不應(yīng)使用人臉識(shí)別數(shù)據(jù)作為匯聚融合的直接關(guān)聯(lián)點(diǎn)；（七）標(biāo)的企業(yè)是否向個(gè)人信息主體提供針對(duì)自動(dòng)決策結(jié)果的投訴渠道，并支持對(duì)自動(dòng)決策結(jié)果的人工復(fù)核。第六十六條【個(gè)性化展示的審查】標(biāo)的企業(yè)產(chǎn)品或服務(wù)涉及個(gè)性化-38-展示的，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)業(yè)務(wù)功能涉及個(gè)性化推薦時(shí)，是否顯著區(qū)分個(gè)性化展示和非個(gè)性化展示的內(nèi)容；（二）標(biāo)的企業(yè)業(yè)務(wù)功能利用用戶個(gè)人信息和算法進(jìn)行定向推送，是否同時(shí)提供不基于任何個(gè)人信息，展示普遍推送商品的功能；（三）標(biāo)的企業(yè)通過(guò)其產(chǎn)品或服務(wù)基于用戶個(gè)人信息進(jìn)行個(gè)性化展示時(shí)，是否為用戶提供退出或關(guān)閉個(gè)性化展示模式的選項(xiàng)；（四）當(dāng)用戶退出或關(guān)閉個(gè)性化展示模式時(shí)，是否向用戶提供刪除或匿名化定向推送活動(dòng)所基于的個(gè)人信息的選項(xiàng)；（五）標(biāo)的企業(yè)利用個(gè)人信息進(jìn)行個(gè)性化展示時(shí)，是否能確保用戶可自主控制用于個(gè)性化展示的個(gè)人信息類型；（六）用戶是否可以通過(guò)選擇用于個(gè)性化展示的個(gè)人信息類型，控制個(gè)性化展示與用戶本身的相關(guān)程度。第六十七條【個(gè)人信息使用合規(guī)義務(wù)的審查】對(duì)于標(biāo)的企業(yè)是否履行個(gè)人信息使用的合規(guī)義務(wù)，律師應(yīng)當(dāng)審查：（一）用戶畫(huà)像的合規(guī)義務(wù)：用戶畫(huà)像系指使用所收集的個(gè)人信息，對(duì)該等個(gè)人信息主體的某些特性進(jìn)行分析和評(píng)估，形成用戶標(biāo)簽的數(shù)據(jù)處理活動(dòng)。用戶畫(huà)像常見(jiàn)的應(yīng)用場(chǎng)景包括應(yīng)用于產(chǎn)品開(kāi)發(fā)和行業(yè)分析、精準(zhǔn)營(yíng)銷活動(dòng)和定向推送。如果直接將用戶畫(huà)像提供給第三方，仍需遵循知情、同意原則，如果間接用戶畫(huà)像無(wú)法還原個(gè)人特征的，符合“匿名化”的特征，不-39-受知情、同意原則的約束。達(dá)到群體性畫(huà)像要求的，符合“匿名化”特征。（二）個(gè)性化推薦的合規(guī)要求：個(gè)性化推薦是指基于特定個(gè)人信息主體的網(wǎng)絡(luò)瀏覽歷史、興趣愛(ài)好、消費(fèi)記錄和習(xí)慣等個(gè)人信息，向該個(gè)人信息主體展示信息內(nèi)容、提供商品或服務(wù)的搜索結(jié)果等活動(dòng)。對(duì)個(gè)性化推薦活動(dòng)的合規(guī)治理方向，要求個(gè)人信息處理者，向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷的，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或向個(gè)人提供便捷的拒絕方式。以算法推薦技術(shù)開(kāi)展個(gè)性化推薦的，還要依據(jù)相關(guān)規(guī)定，履行相應(yīng)的合規(guī)義務(wù)。（三）自動(dòng)化決策的合規(guī)義務(wù)：自動(dòng)化決策是指通過(guò)計(jì)算機(jī)程序自動(dòng)分析、評(píng)估個(gè)人的行為習(xí)慣、興趣愛(ài)好或者經(jīng)濟(jì)、健康、信用狀況等，并進(jìn)行決策的活動(dòng)。自動(dòng)化決策的常見(jiàn)應(yīng)用場(chǎng)景有小額信貸審查、保險(xiǎn)核保、信用評(píng)價(jià)、勞動(dòng)用工管理、平臺(tái)用戶管理。自動(dòng)化決策要堅(jiān)持決策透明、結(jié)果公平公正的原則，對(duì)個(gè)人信息有重大影響的自動(dòng)化決策要設(shè)置人工干預(yù)機(jī)制，還要開(kāi)展個(gè)人信息安全影響評(píng)估。（四）其他應(yīng)注意的合規(guī)義務(wù)：個(gè)人信息處理者還應(yīng)注意使用個(gè)人信息時(shí)的去標(biāo)識(shí)化問(wèn)題、合理關(guān)聯(lián)問(wèn)題、最小使用問(wèn)題、超范圍使用問(wèn)題。是否存在基于人臉識(shí)別數(shù)據(jù)自身進(jìn)行個(gè)性化推薦的情況、不應(yīng)使用人臉識(shí)別數(shù)據(jù)作為匯聚融合的直接關(guān)聯(lián)點(diǎn)等。注意“大數(shù)據(jù)殺熟”的“不合理”差別待第六十八條【數(shù)據(jù)加工】數(shù)據(jù)加工主要是指將原始數(shù)據(jù)進(jìn)行編輯、-40-處理、整理、清洗、轉(zhuǎn)換等操作，以便更好地滿足數(shù)據(jù)分析、數(shù)據(jù)挖掘、業(yè)務(wù)決策等需求的數(shù)據(jù)處理過(guò)程，以提高數(shù)據(jù)質(zhì)量和應(yīng)用，發(fā)揮數(shù)據(jù)的價(jià)第六十九條【數(shù)據(jù)加工一般性合規(guī)義務(wù)的審查】關(guān)于數(shù)據(jù)加工的一般性合規(guī)義務(wù)，律師應(yīng)審查：（一）標(biāo)的企業(yè)是否構(gòu)建數(shù)據(jù)模型、數(shù)據(jù)目錄；（二）標(biāo)的企業(yè)是否開(kāi)展數(shù)據(jù)轉(zhuǎn)換、匯聚、清洗、分析等加工活動(dòng)；（三）標(biāo)的企業(yè)是否制定數(shù)據(jù)清洗、數(shù)據(jù)分析等管理辦法，建立數(shù)據(jù)加工評(píng)價(jià)機(jī)制、數(shù)據(jù)操作日志記錄及監(jiān)控審計(jì)等技術(shù)措施；（四）標(biāo)的企業(yè)是否采取測(cè)試環(huán)境、開(kāi)發(fā)生產(chǎn)環(huán)境資源隔離、業(yè)務(wù)系統(tǒng)身份鑒別及訪問(wèn)控制、數(shù)據(jù)操作日志及監(jiān)控審計(jì)等技術(shù)措施。第七十條【數(shù)據(jù)加工匯聚與融合合規(guī)義務(wù)的審查】關(guān)于數(shù)據(jù)匯聚與融合合規(guī)義務(wù)，律師應(yīng)當(dāng)審查：處理目的、范圍、對(duì)個(gè)人的影響等對(duì)可能的個(gè)人信息風(fēng)險(xiǎn)進(jìn)行評(píng)估，并對(duì)處（二）標(biāo)的企業(yè)數(shù)據(jù)融合是否超出數(shù)據(jù)收集時(shí)所聲明的使用范圍，如超出，是否重新獲得信息主體的授權(quán)，如涉及個(gè)人信息，是否征得個(gè)人信息主體同意；如涉及敏感個(gè)人信息，是否取得用戶的單獨(dú)同意；（三）標(biāo)的企業(yè)是否對(duì)匯聚融合后產(chǎn)生的衍生數(shù)據(jù)重新開(kāi)展數(shù)據(jù)安全-41-定級(jí)工作，根據(jù)敏感程度分類分級(jí)，并采用相應(yīng)級(jí)別的安全保護(hù)措施。第七十一條【加工健康醫(yī)療數(shù)據(jù)合規(guī)義務(wù)的審查】標(biāo)的企業(yè)加工健康醫(yī)療數(shù)據(jù)的，律師應(yīng)審查：（一）標(biāo)的企業(yè)是否遵循醫(yī)療倫理原則；（二）標(biāo)的企業(yè)是否公開(kāi)個(gè)人信息處理規(guī)則并取得自然人的個(gè)人同意；（三）標(biāo)的企業(yè)是否履行保證質(zhì)量義務(wù)。第七十二條【加工政務(wù)數(shù)據(jù)合規(guī)義務(wù)的審查】標(biāo)的企業(yè)加工政務(wù)數(shù)（一）標(biāo)的企業(yè)是否建立健全數(shù)據(jù)加工處理機(jī)制；（二）標(biāo)的企業(yè)是否履行保證質(zhì)量義務(wù)、審批和監(jiān)督義務(wù)。第七十三條【數(shù)據(jù)傳輸】數(shù)據(jù)傳輸是一個(gè)技術(shù)層面的概念，是指將數(shù)據(jù)從一個(gè)位置傳輸?shù)搅硪粋€(gè)位置的過(guò)程，數(shù)據(jù)傳輸通常通過(guò)傳輸協(xié)議來(lái)實(shí)現(xiàn)，在傳輸?shù)倪^(guò)程中可能通過(guò)加密保護(hù)傳輸數(shù)據(jù)的隱私和安全。第七十四條【數(shù)據(jù)傳輸合規(guī)的審查】關(guān)于數(shù)據(jù)傳輸，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)是否根據(jù)傳輸?shù)臄?shù)據(jù)類型、級(jí)別和應(yīng)用場(chǎng)景，制定安全策略、操作規(guī)程并采取保護(hù)措施；數(shù)據(jù)內(nèi)容加密、數(shù)據(jù)接口傳輸安全、數(shù)據(jù)傳輸終端身份鑒別等）確保數(shù)據(jù)傳輸介質(zhì)和環(huán)境安全，保障重要數(shù)據(jù)和敏感個(gè)人信息傳輸過(guò)程的安全性，防范-42-未經(jīng)授權(quán)訪問(wèn)和數(shù)據(jù)泄露；（三）標(biāo)的企業(yè)與數(shù)據(jù)接收方之間是否簽署書(shū)面合同就數(shù)據(jù)傳輸應(yīng)采取的安全措施明確約定。第七十五條【重點(diǎn)監(jiān)管行業(yè)數(shù)據(jù)傳輸合規(guī)義務(wù)的審查】如標(biāo)的企業(yè)涉及金融領(lǐng)域、工信領(lǐng)域、健康醫(yī)療領(lǐng)域的數(shù)據(jù)傳輸，律師應(yīng)當(dāng)依據(jù)該領(lǐng)域有關(guān)標(biāo)準(zhǔn)和規(guī)范進(jìn)行特殊的合規(guī)審查。第七十六條【數(shù)據(jù)出境的審查】9對(duì)于標(biāo)的企業(yè)是否存在數(shù)據(jù)出境行為及其是否履行合規(guī)義務(wù)，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)是否存在向境外提供在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的（二）相關(guān)數(shù)據(jù)是否屬于禁止、限制出境的數(shù)據(jù)；（三）標(biāo)的企業(yè)內(nèi)部是否建立健全數(shù)據(jù)出境相關(guān)技術(shù)和管理措施；（四）標(biāo)的企業(yè)是否向個(gè)人履行充分告知義務(wù)，告知內(nèi)容包括境外接收方的名稱、聯(lián)系方式、處理目的、處理方式、個(gè)人信息的種類以及個(gè)人向境外接收方行使個(gè)人信息權(quán)利的方式和程序等事項(xiàng)；是否取得個(gè)人單獨(dú)同意；（五）標(biāo)的企業(yè)是否事前進(jìn)行個(gè)人信息安全影響評(píng)估；（六）標(biāo)的企業(yè)向境外提供重要數(shù)據(jù)和核心數(shù)據(jù)的，是否對(duì)數(shù)據(jù)接收方進(jìn)行數(shù)據(jù)安全保護(hù)能力的評(píng)估與核實(shí)；9.有關(guān)數(shù)據(jù)跨境傳輸更詳細(xì)的內(nèi)容，請(qǐng)參見(jiàn)北京市律師協(xié)會(huì)《律師辦理數(shù)據(jù)出境法律業(yè)務(wù)操作指引（2024）》。-43-（七）標(biāo)的企業(yè)是否為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供重要數(shù)據(jù)或個(gè)人信息，或者非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供個(gè)人信息數(shù)量是否達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定規(guī)模；符合條件的標(biāo)的企業(yè)是否就數(shù)據(jù)出境通過(guò)所在地省級(jí)網(wǎng)信部門(mén)向國(guó)家網(wǎng)信部門(mén)申報(bào)數(shù)據(jù)出境安全評(píng)估；（八）如標(biāo)的企業(yè)不涉及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、重要數(shù)據(jù)且向境外提供個(gè)人信息未達(dá)到一定規(guī)模的，標(biāo)的企業(yè)是否與境外接收方訂立個(gè)人信息出境標(biāo)準(zhǔn)合同或者通過(guò)個(gè)人信息保護(hù)認(rèn)證；（九）標(biāo)的企業(yè)數(shù)據(jù)出境行為是否滿足相關(guān)法律法規(guī)、規(guī)范性文件規(guī)定免于數(shù)據(jù)出境安全評(píng)估、個(gè)人信息保護(hù)認(rèn)證、個(gè)人信息出境標(biāo)準(zhǔn)合同備案（十）標(biāo)的企業(yè)是否按照法律法規(guī)規(guī)定期限存留相關(guān)日志記錄和數(shù)據(jù)（十一）相關(guān)數(shù)據(jù)出境行為是否符合所在行業(yè)的其他監(jiān)管規(guī)定。第七節(jié)數(shù)據(jù)提供第七十七條【數(shù)據(jù)提供】數(shù)據(jù)提供暫時(shí)沒(méi)有完全統(tǒng)一的定義，與數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸?shù)榷紝儆跀?shù)據(jù)處理活動(dòng)。針對(duì)數(shù)據(jù)提供方與接收方之間的法律關(guān)系不同，可將數(shù)據(jù)提供分為數(shù)據(jù)共享（向第三方數(shù)據(jù)處理者提供）、委托處理、轉(zhuǎn)讓、共同處理四種主要情形，還包括數(shù)據(jù)遷移及數(shù)據(jù)交換等其他數(shù)據(jù)提供情形。第七十八條【數(shù)據(jù)提供通用性合規(guī)義務(wù)的審查】關(guān)于數(shù)據(jù)提供的通-44-用性合規(guī)義務(wù)，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)是否評(píng)估數(shù)據(jù)對(duì)外提供行為的風(fēng)險(xiǎn)，是否開(kāi)展安全影（二）標(biāo)的企業(yè)是否評(píng)估數(shù)據(jù)接收方的數(shù)據(jù)合規(guī)能力，如數(shù)據(jù)接收方是否滿足網(wǎng)絡(luò)安全等級(jí)制度、是否采取加密措施和訪問(wèn)控制、是否制定了安全制度和數(shù)據(jù)安全事故的應(yīng)急響應(yīng)方案；（三）標(biāo)的企業(yè)與數(shù)據(jù)接收方是否簽署數(shù)據(jù)處理協(xié)議，就處理數(shù)據(jù)的類型、處理目的、處理方式等問(wèn)題進(jìn)行明確。第七十九條【政務(wù)數(shù)據(jù)提供合規(guī)義務(wù)的審查】關(guān)于政務(wù)數(shù)據(jù)提供的合規(guī)義務(wù)，律師應(yīng)當(dāng)審查：（一）被提供的政務(wù)數(shù)據(jù)是否為國(guó)家機(jī)關(guān)在履行職責(zé)中知悉的個(gè)人隱私、個(gè)人信息、商業(yè)秘密、保密商務(wù)信息，該等數(shù)據(jù)應(yīng)予以保密，不得泄露或者非法向他人提供。泄露或向他人提供政務(wù)數(shù)據(jù)的行為。第八十條【重要數(shù)據(jù)提供合規(guī)義務(wù)的審查】關(guān)于重要數(shù)據(jù)提供的合規(guī)義務(wù)，律師應(yīng)當(dāng)審查：（一）被提供的數(shù)據(jù)是否為重要數(shù)據(jù)。重要數(shù)據(jù)是指一旦遭到篡改、可以參考相關(guān)法律法規(guī)或規(guī)范性文件關(guān)于重要數(shù)據(jù)的定義及有關(guān)部門(mén)制定的-45-重要數(shù)據(jù)目錄進(jìn)行界定。（二）如涉及重要數(shù)據(jù)出境，標(biāo)的企業(yè)是否向中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室或其他主管部門(mén)申報(bào)數(shù)據(jù)安全評(píng)估。第八十一條【個(gè)人信息提供合規(guī)義務(wù)的審查】關(guān)于個(gè)人信息提供的合規(guī)義務(wù)，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)是否獲得個(gè)人信息主體的知情同意；（二）標(biāo)的企業(yè)是否開(kāi)展了影響評(píng)估；（三）如涉及向境外提供個(gè)人信息的，標(biāo)的企業(yè)是否開(kāi)展出境安全評(píng)估并使用個(gè)人信息出境標(biāo)準(zhǔn)合同。第八十二條【委托處理的審查】如標(biāo)的企業(yè)委托第三方處理個(gè)人信方進(jìn)行事先的數(shù)據(jù)處理合規(guī)技術(shù)檢測(cè)、調(diào)研評(píng)估其數(shù)據(jù)保護(hù)制度完備情況，并在其提供服務(wù)的過(guò)程中進(jìn)行數(shù)據(jù)處理合規(guī)技術(shù)抽樣檢查或通過(guò)其他方式監(jiān)督驗(yàn)證其數(shù)據(jù)保護(hù)能力；（二）標(biāo)的企業(yè)與受托方是否簽署委托協(xié)議，是否明確約定委托處理的目的、期限、處理方式、個(gè)人信息的種類、保護(hù)措施以及雙方的權(quán)利和義（三）標(biāo)的企業(yè)作出委托行為，是否超出已征得個(gè)人信息主體授權(quán)同意的范圍或是否屬于法律規(guī)定可豁免同意的情形；-46-（四）標(biāo)的企業(yè)委托處理之前是否進(jìn)行個(gè)人信息安全影響評(píng)估；（五）受托方是否嚴(yán)格按照標(biāo)的企業(yè)的要求處理個(gè)人信息；（六）受托方是否存在再次委托的情況，是否就再委托情況事先征得（七）受托方是否協(xié)助委托方積極響應(yīng)個(gè)人信息主體提出的權(quán)利請(qǐng)求；（八）受托方是否發(fā)生過(guò)安全事件，是否向標(biāo)的企業(yè)反饋；（九）委托關(guān)系解除時(shí)受托方是否繼續(xù)存儲(chǔ)相關(guān)個(gè)人信息；（十）標(biāo)的企業(yè)是否對(duì)受托方進(jìn)行監(jiān)督；（十一）標(biāo)的企業(yè)在向第三方提供數(shù)據(jù)過(guò)程中，是否定期對(duì)數(shù)據(jù)共享（十二）標(biāo)的企業(yè)對(duì)于委托處理個(gè)人信息的情況是否準(zhǔn)確記錄和存儲(chǔ)。標(biāo)的企業(yè)委托第三方處理其他數(shù)據(jù)的，律師可以參照本條第一款審查。第八十三條【數(shù)據(jù)共享與轉(zhuǎn)讓的審查】標(biāo)的企業(yè)共享、轉(zhuǎn)讓個(gè)人信（一）標(biāo)的企業(yè)轉(zhuǎn)讓、共享個(gè)人信息之前是否進(jìn)行個(gè)人信息安全影響評(píng)估，是否依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施；（二）標(biāo)的企業(yè)是否已按照法律規(guī)定向個(gè)人信息主體告知共享、轉(zhuǎn)讓個(gè)人信息的目的、數(shù)據(jù)接收方的類型以及可能產(chǎn)生的后果，并事先征得個(gè)人信息主體的授權(quán)同意；符合法律法規(guī)、規(guī)范性文件規(guī)定的例外情形的除外；（三）如共享、轉(zhuǎn)讓涉及個(gè)人敏感信息的，是否事先向個(gè)人信息主體-47-告知涉及的個(gè)人敏感信息類型、數(shù)據(jù)接收方的身份和數(shù)據(jù)安全能力，并事先征得個(gè)人信息主體的明示同意；（四）共享、轉(zhuǎn)讓是否涉及生物識(shí)別信息，接收方是否具備相應(yīng)數(shù)據(jù)安全能力；是否就生物識(shí)別信息轉(zhuǎn)讓、共享單獨(dú)取得個(gè)人信息主體的明示（五）標(biāo)的企業(yè)是否與接收方簽署協(xié)議約定數(shù)據(jù)接收方的責(zé)任和義務(wù)；（六）標(biāo)的企業(yè)是否準(zhǔn)確記錄和存儲(chǔ)個(gè)人信息的共享、轉(zhuǎn)讓情況，包括共享、轉(zhuǎn)讓的日期、規(guī)模、目的，以及數(shù)據(jù)接收方基本情況等；（七）標(biāo)的企業(yè)是否對(duì)數(shù)據(jù)接收方進(jìn)行監(jiān)督，對(duì)于接收方違反法律法規(guī)及協(xié)議約定處理個(gè)人信息的行為，是否采取相關(guān)措施控制或消除個(gè)人信息標(biāo)的企業(yè)共享、轉(zhuǎn)讓其他數(shù)據(jù)時(shí)，律師可以參照本條第一款審查。第八十四條【共同處理】標(biāo)的企業(yè)與第三方為共同處理個(gè)人信息時(shí)，（一）標(biāo)的企業(yè)是否披露各個(gè)人信息共同處理者的身份，并明確各方是個(gè)人信息共同處理者；（二）標(biāo)的企業(yè)是否與第三方簽署合同確定應(yīng)滿足的個(gè)人信息安全要求，以及在個(gè)人信息安全方面自身和第三方應(yīng)分別承擔(dān)的責(zé)任和義務(wù)；（三）標(biāo)的企業(yè)是否向個(gè)人信息主體明確告知第三方身份以及在個(gè)人信息安全方面自身和第三方應(yīng)分別承擔(dān)的責(zé)任和義務(wù)。-48-標(biāo)的企業(yè)與第三方為共同處理其他數(shù)據(jù)時(shí)，律師可以參照本條第一款第八十五條【數(shù)據(jù)公開(kāi)】數(shù)據(jù)公開(kāi)是指向社會(huì)或不特定人群發(fā)布數(shù)據(jù)，使得相關(guān)數(shù)據(jù)處于可被不特定的主體獲取、知悉、訪問(wèn)之狀態(tài)的行為。數(shù)據(jù)公開(kāi)可能對(duì)國(guó)家安全、社會(huì)公共利益、個(gè)人人格尊嚴(yán)或生命財(cái)產(chǎn)安全帶來(lái)重要影響。國(guó)家制定政務(wù)數(shù)據(jù)開(kāi)放目錄，從政務(wù)數(shù)據(jù)公開(kāi)后的受眾范圍上看，有共享政務(wù)數(shù)據(jù)、可開(kāi)放政務(wù)數(shù)據(jù)、不宜開(kāi)放共享的政務(wù)數(shù)據(jù)。第八十六條【數(shù)據(jù)公開(kāi)通用性合規(guī)義務(wù)的審查】關(guān)于數(shù)據(jù)公開(kāi)的通用性合規(guī)義務(wù)，律師應(yīng)當(dāng)審查：（一）標(biāo)的企業(yè)數(shù)據(jù)公開(kāi)是否尊重社會(huì)公德和倫理、是否遵守商業(yè)道德和職業(yè)道德，是否侵害國(guó)家、社會(huì)和他人的合法權(quán)益；確保公開(kāi)的數(shù)據(jù)受到保護(hù)；（三）標(biāo)的企業(yè)是否開(kāi)展對(duì)數(shù)據(jù)公開(kāi)行為的風(fēng)險(xiǎn)監(jiān)測(cè)，是否在發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，立即采取補(bǔ)救措施。第八十七條【特定行業(yè)數(shù)據(jù)公開(kāi)的審查】關(guān)于特定行業(yè)數(shù)據(jù)，除審查標(biāo)的企業(yè)是否遵守?cái)?shù)據(jù)公開(kāi)的通用性合規(guī)義務(wù)外，律師應(yīng)對(duì)其行業(yè)合規(guī)要求進(jìn)行審查，比如工業(yè)和信息化領(lǐng)域數(shù)據(jù)的公開(kāi)、疾病防治與健康管理領(lǐng)域數(shù)據(jù)的公開(kāi)、金融行業(yè)數(shù)據(jù)的公開(kāi)，都有單獨(dú)的管理辦法或安全規(guī)范進(jìn)行區(qū)-49-分、審查數(shù)據(jù)的公開(kāi)合規(guī)問(wèn)題；政務(wù)數(shù)據(jù)的公開(kāi)應(yīng)遵守公正、公平、便民、及時(shí)準(zhǔn)確的原則，還要制定政務(wù)數(shù)據(jù)開(kāi)放目錄、構(gòu)建政務(wù)數(shù)據(jù)開(kāi)放平臺(tái)。第八十八條【個(gè)人信息公開(kāi)披露的審查】個(gè)人信息原則上不應(yīng)公開(kāi)披露，如標(biāo)的企業(yè)經(jīng)法律授權(quán)或具備合理事由確需公開(kāi)披露時(shí)，律師應(yīng)當(dāng)（一）標(biāo)的企業(yè)是否事先開(kāi)展個(gè)人信息安全影響評(píng)估，并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施；（二）標(biāo)的企業(yè)是否向個(gè)人信息主體告知公開(kāi)披露個(gè)人信息的目的、類型，并事先征得個(gè)人信息主體明示同意；（三）公開(kāi)披露涉及個(gè)人敏感信息的，信息披露前是否向個(gè)人信息主體告知涉及的個(gè)人敏感信息的內(nèi)容；是否準(zhǔn)確記錄和存儲(chǔ)個(gè)人信息公開(kāi)披露（四）標(biāo)的企業(yè)是否涉及公開(kāi)披露個(gè)人生物識(shí)別信息；公開(kāi)披露中國(guó)公民的種族、民族、政治觀點(diǎn)、宗教信仰等個(gè)人敏感數(shù)據(jù)的分析結(jié)果的情況。第一節(jié)數(shù)據(jù)管理合規(guī)審查要點(diǎn)第八十九條【一般審查要點(diǎn)】數(shù)據(jù)管理合規(guī)審查的要點(diǎn)包括：數(shù)據(jù)安全管理制度、數(shù)據(jù)安全管理機(jī)構(gòu)、數(shù)據(jù)分類分級(jí)管理、人員安全管理、合作外包管理、安全應(yīng)急管理等。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開(kāi)展數(shù)據(jù)處理活動(dòng)，應(yīng)一并對(duì)所涉及的信息網(wǎng)絡(luò)的合規(guī)情況（包括但不限于網(wǎng)絡(luò)安全等級(jí)保護(hù)制-50-度的落實(shí)情況等）進(jìn)行審查。第九十條【數(shù)據(jù)安全管理制度審查要點(diǎn)】針對(duì)標(biāo)的企業(yè)數(shù)據(jù)安全管理制度的建設(shè)及落實(shí)情況，應(yīng)重點(diǎn)審查：（一）數(shù)據(jù)安全總體策略、方針、目標(biāo)和原則制定情況；（二）數(shù)據(jù)安全管理工作規(guī)劃或工作方案制定情況；（三）數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全評(píng)估、數(shù)據(jù)訪問(wèn)權(quán)限管理、數(shù)據(jù)全生命周期管理、數(shù)據(jù)安全應(yīng)急響應(yīng)、數(shù)據(jù)合作方管理、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)安全審計(jì)、數(shù)據(jù)資產(chǎn)管理、大數(shù)據(jù)平臺(tái)安全等制度建設(shè)情況；（四）關(guān)鍵崗位的數(shù)據(jù)安全管理操作規(guī)程建設(shè)情況；（五）制度內(nèi)容與國(guó)家和行業(yè)數(shù)據(jù)安全法律法規(guī)和監(jiān)管要求的符合（六）網(wǎng)絡(luò)安全責(zé)任制、數(shù)據(jù)安全責(zé)任制落實(shí)情況，網(wǎng)絡(luò)安全和數(shù)據(jù)安全事件責(zé)任查處情況；（七）數(shù)據(jù)安全管理制度的制定、評(píng)審、發(fā)布流程建設(shè)情況；（八）數(shù)據(jù)安全管理制度的定期審查和更新情況；（九）制度發(fā)布范圍是否覆蓋全面，發(fā)布方式是否正規(guī)、有效；（十）數(shù)據(jù)安全管理制度落實(shí)情況，是否具備操作規(guī)程、記錄表單等（十一）制度落實(shí)監(jiān)督檢查機(jī)制等。第九十一條【數(shù)據(jù)安全管理機(jī)構(gòu)審查要點(diǎn)】針對(duì)標(biāo)的數(shù)據(jù)安全管理-51-機(jī)構(gòu)的建設(shè)情況，應(yīng)重點(diǎn)審查：（一）數(shù)據(jù)安全管理機(jī)構(gòu)和職能設(shè)置情況；（二）數(shù)據(jù)安全負(fù)責(zé)人和職能設(shè)置情況；（三）單位高層人員參與數(shù)據(jù)安全決策情況；（四）對(duì)標(biāo)的企業(yè)內(nèi)部的數(shù)據(jù)安全管理執(zhí)行情況、數(shù)據(jù)操作行為等進(jìn)（五）數(shù)據(jù)安全人員和資源投入情況與組織數(shù)據(jù)安全保護(hù)需求適應(yīng)第九十二條【數(shù)據(jù)分類分級(jí)管理審查要點(diǎn)】針對(duì)標(biāo)的企業(yè)數(shù)據(jù)分類分級(jí)制度的建設(shè)及保護(hù)情況，應(yīng)重點(diǎn)審查：（一）數(shù)據(jù)分類分級(jí)保護(hù)制度建設(shè)情況，是否符合國(guó)家、行業(yè)和地方（二）數(shù)據(jù)分類分級(jí)管理情況，及核心數(shù)據(jù)和重要數(shù)據(jù)目錄建立及維（三）是否在相關(guān)制度中明確了數(shù)據(jù)分類管理、分級(jí)保護(hù)策略，數(shù)據(jù)分類分級(jí)保護(hù)措施是否落實(shí)在數(shù)據(jù)訪問(wèn)權(quán)限申請(qǐng)、保護(hù)措施部署等方面；（四）數(shù)據(jù)分類分級(jí)變更和審查流程情況；（五）個(gè)人信息分類分級(jí)管理情況；（六）是否對(duì)處理的個(gè)人信息和重要數(shù)據(jù)進(jìn)行明確標(biāo)識(shí)；（七）按照數(shù)據(jù)級(jí)別建設(shè)覆蓋全流程數(shù)據(jù)處理活動(dòng)的安全措施情況；-52-（八）數(shù)據(jù)分類分級(jí)標(biāo)識(shí)或數(shù)據(jù)資產(chǎn)管理工具建設(shè)情況，是否具有自動(dòng)化標(biāo)識(shí)能力，是否具有數(shù)據(jù)標(biāo)識(shí)結(jié)果發(fā)布、審查等能力；（九）按照相關(guān)重要數(shù)據(jù)目錄或規(guī)定，評(píng)估重要數(shù)據(jù)并進(jìn)行重點(diǎn)保護(hù)的（十）按照相關(guān)核心數(shù)據(jù)目錄或規(guī)定，評(píng)估核心數(shù)據(jù)并進(jìn)行嚴(yán)格管理第九十三條【人員安全管理審查要點(diǎn)】對(duì)標(biāo)的企業(yè)的人員安全管理審查包括對(duì)人員錄用情況、保密協(xié)議簽訂情況、人員轉(zhuǎn)崗離崗管理情況、人員數(shù)據(jù)安全培訓(xùn)情況四部分內(nèi)容。針對(duì)人員錄用情況，應(yīng)重點(diǎn)審查：（一）重要崗位員工錄用前背景調(diào)查情況；（二）數(shù)據(jù)處理關(guān)鍵崗位人員錄用，對(duì)其數(shù)據(jù)安全意識(shí)或?qū)I(yè)能力進(jìn)針對(duì)保密協(xié)議簽訂情況，應(yīng)重點(diǎn)審查：（一）員工工作紀(jì)律和工作要求中是否明確規(guī)定員工禁止的數(shù)據(jù)安全（二）是否與所有涉及數(shù)據(jù)服務(wù)的人員簽訂安全責(zé)任承諾或保密協(xié)議，與數(shù)據(jù)安全關(guān)鍵崗位人員簽訂數(shù)據(jù)安全崗位責(zé)任協(xié)議；（三）在重要崗位人員調(diào)離或終止勞動(dòng)合同前，是否明確并告知其繼續(xù)履行有關(guān)信息的保密義務(wù)要求，并簽訂保密承諾書(shū)。-53-針對(duì)人員轉(zhuǎn)崗離崗管理情況，應(yīng)重點(diǎn)審查：（一）在人員轉(zhuǎn)崗或離崗時(shí)，是否及時(shí)終止或變更完成相關(guān)人員數(shù)據(jù)操作權(quán)限，并明確有關(guān)人員后續(xù)的數(shù)據(jù)保護(hù)管理權(quán)限和保密責(zé)任；（二）對(duì)終止勞動(dòng)合同的人員，是否及時(shí)終止并收回其系統(tǒng)權(quán)限及數(shù)據(jù)權(quán)限，明確告知其繼續(xù)履行有關(guān)信息的保密義務(wù)要求。針對(duì)人員數(shù)據(jù)安全培訓(xùn)情況，應(yīng)重點(diǎn)審查：（一）數(shù)據(jù)安全培訓(xùn)計(jì)劃制定、更新情況；（二）開(kāi)展數(shù)據(jù)安全意識(shí)教育培訓(xùn)，并保留相關(guān)記錄情況；（三）是否對(duì)數(shù)據(jù)安全崗位人員每年至少進(jìn)行一次數(shù)據(jù)安全專項(xiàng)培訓(xùn)，對(duì)關(guān)鍵崗位人員進(jìn)行定期數(shù)據(jù)安全技能考核情況。第九十四條【合作外包管理審查要點(diǎn)】對(duì)標(biāo)的企業(yè)合作外包管理的審查包括合作方管理機(jī)制、合作協(xié)議約束、外包人員訪問(wèn)權(quán)限等內(nèi)容。針對(duì)合作方管理機(jī)制建設(shè)情況，應(yīng)重點(diǎn)審查：（一）數(shù)據(jù)合作方安全管理機(jī)制建設(shè)情況，如對(duì)合作方或外包服務(wù)機(jī)構(gòu)的選擇、評(píng)價(jià)、管理、監(jiān)督機(jī)制；（二）是否對(duì)數(shù)據(jù)合作方或外包服務(wù)機(jī)構(gòu)的安全能力進(jìn)行評(píng)估；（三）對(duì)外包服務(wù)機(jī)構(gòu)、人員履行安全責(zé)任義務(wù)的監(jiān)督檢查情況；（四）外包人員現(xiàn)場(chǎng)服務(wù)安全管理情況；（五）對(duì)外包服務(wù)商的技術(shù)依賴程度，對(duì)委托處理數(shù)據(jù)的控制和管理-54-針對(duì)合作協(xié)議約束情況，應(yīng)重點(diǎn)審查：（一）服務(wù)合同、承諾及安全保密協(xié)議情況，是否通過(guò)合同協(xié)議等方式對(duì)接收、使用標(biāo)的企業(yè)數(shù)據(jù)的合作方的數(shù)據(jù)使用行為進(jìn)行約束；（二）是否在合作協(xié)議中明確了數(shù)據(jù)處理目的、方式、范圍，安全保護(hù)責(zé)任、數(shù)據(jù)返還或銷毀要求、保密約定及違約責(zé)任和處罰條款等；（三）合作協(xié)議中，標(biāo)的企業(yè)與合作方、外包服務(wù)商間的數(shù)據(jù)安全責(zé)針對(duì)外包人員訪問(wèn)權(quán)限管理情況，應(yīng)重點(diǎn)審查：（二）能夠在測(cè)試環(huán)境下或使用測(cè)試數(shù)據(jù)完成的，是否向外包人員開(kāi)放了生產(chǎn)環(huán)境權(quán)限或真實(shí)數(shù)據(jù)；（三）外包人員數(shù)據(jù)導(dǎo)出操作或數(shù)據(jù)外發(fā)操作的監(jiān)督管理情況；（四）外包人員對(duì)敏感數(shù)據(jù)的訪問(wèn)及操作能否被實(shí)時(shí)監(jiān)督或監(jiān)測(cè)；（五）數(shù)據(jù)外包服務(wù)賬號(hào)及訪問(wèn)權(quán)限管理情況；（六）外包人員遠(yuǎn)程訪問(wèn)操作系統(tǒng)或數(shù)據(jù)的情況。第九十五條【安全應(yīng)急管理審查要點(diǎn)】針對(duì)標(biāo)的企業(yè)數(shù)據(jù)安全應(yīng)急管理情況，應(yīng)重點(diǎn)審查：（一）近三年發(fā)生的網(wǎng)絡(luò)安全或數(shù)據(jù)安全事件信息及其處置、記錄、整-55-（二）數(shù)據(jù)安全事件應(yīng)急預(yù)案制定和修訂情況，是否定義數(shù)據(jù)安全事件類型，明確不同類別級(jí)別事件的處置流程和方法；（三）數(shù)據(jù)安全應(yīng)急響應(yīng)及處置機(jī)制建設(shè)情況，發(fā)生數(shù)據(jù)安全事件時(shí)是否立即采取處置措施，是否按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門(mén)報(bào)告；（四）數(shù)據(jù)安全事件應(yīng)急演練情況；（五）數(shù)據(jù)處理活動(dòng)安全風(fēng)險(xiǎn)監(jiān)測(cè)情況，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，是否立即采取補(bǔ)救措施；（六）安全事件對(duì)個(gè)人、其他組織造成危害的，是否將安全事件和風(fēng)險(xiǎn)情況、危害后果、已經(jīng)采取的補(bǔ)救措施等通知利害關(guān)系人，無(wú)法通知的是否采取公告等其他方式告知；（七）如標(biāo)的企業(yè)是面向社會(huì)提供服務(wù)的數(shù)據(jù)處理者，是否建立便捷的數(shù)據(jù)安全相關(guān)投訴舉報(bào)渠道，以及近三年的數(shù)據(jù)安全投訴舉報(bào)處置、記錄和整改情況，是否存在侵害用戶個(gè)人信息合法權(quán)益的情況。第九十六條【數(shù)據(jù)管理合規(guī)審查參考】律師在審查標(biāo)的企業(yè)的數(shù)據(jù)管理合規(guī)情況時(shí)，除上述審查要點(diǎn)外，還可以參考相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)第二節(jié)數(shù)據(jù)管理合規(guī)審查實(shí)施方法10第九十七條【確定法律依據(jù)】檢索并確定相關(guān)法律法規(guī)、國(guó)家標(biāo)準(zhǔn)10.數(shù)據(jù)資源合規(guī)審查的各環(huán)節(jié)均可參照本節(jié)方法實(shí)施。-56-和行業(yè)標(biāo)準(zhǔn)對(duì)標(biāo)的企業(yè)的數(shù)據(jù)管理合規(guī)的要求。第九十八條【收集資料】為開(kāi)展數(shù)據(jù)管理合規(guī)審查，從標(biāo)的企業(yè)收集相關(guān)資料，包括但不限于以下內(nèi)容：（一）數(shù)據(jù)安全總體策略、方針、目標(biāo)和原則；（二）數(shù)據(jù)安全管理工作規(guī)劃或工作方案；（三）數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全評(píng)估、數(shù)據(jù)訪問(wèn)權(quán)限管理、數(shù)據(jù)全生命周期管理、數(shù)據(jù)安全應(yīng)急響應(yīng)、數(shù)據(jù)合作方管理、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)安全審計(jì)、數(shù)據(jù)資產(chǎn)管理、大數(shù)據(jù)平臺(tái)安全等制度；（四）關(guān)鍵崗位的數(shù)據(jù)安全管理操作規(guī)程、與員工簽訂的保密協(xié)議、數(shù)據(jù)安全培訓(xùn)相關(guān)記錄；（五）相關(guān)數(shù)據(jù)所涉及的各項(xiàng)信息系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)保護(hù)備案證明、相關(guān)安全資質(zhì)或評(píng)級(jí)文件，信息系統(tǒng)的架構(gòu)圖、網(wǎng)絡(luò)拓?fù)鋱D、設(shè)備清單等技（六）標(biāo)的企業(yè)內(nèi)審或第三方評(píng)估機(jī)構(gòu)出具的網(wǎng)絡(luò)安全審計(jì)、審查或安全測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估報(bào)告；（七）標(biāo)的企業(yè)與數(shù)據(jù)合作方、外包服務(wù)商等第三方之間簽訂的涉及數(shù)據(jù)的服務(wù)合同、數(shù)據(jù)共享使用協(xié)議。第九十九條【調(diào)查問(wèn)卷】設(shè)計(jì)針對(duì)標(biāo)的企業(yè)員工的問(wèn)卷調(diào)查，了解員工對(duì)數(shù)據(jù)管理合規(guī)的認(rèn)識(shí)、遵守相關(guān)法律法規(guī)的情況等。發(fā)放問(wèn)卷并收集，-57-第一百條【文檔審查】對(duì)收集的文檔進(jìn)行審查，對(duì)標(biāo)的企業(yè)數(shù)據(jù)管理的總體框架、數(shù)據(jù)管理責(zé)任界定、已識(shí)別的數(shù)據(jù)管理合規(guī)風(fēng)險(xiǎn)及其應(yīng)對(duì)措施有效性進(jìn)行綜合評(píng)估。第一百〇一條【人員訪談】與標(biāo)的企業(yè)的高層管理人員、數(shù)據(jù)安全負(fù)責(zé)人、IT部門(mén)人員等進(jìn)行訪談，了解標(biāo)的企業(yè)的數(shù)據(jù)管理的戰(zhàn)略、決策過(guò)程和執(zhí)行情況，并詢問(wèn)標(biāo)的企業(yè)員工對(duì)數(shù)據(jù)安全政策的知曉度和遵守情況，以確認(rèn)相關(guān)戰(zhàn)略、安全政策等是否落實(shí)到位。第一百〇二條【對(duì)第三方審查】審查標(biāo)的企業(yè)與數(shù)據(jù)合作方、外包服務(wù)商等第三方之間的合作關(guān)系，評(píng)估該等第三方的數(shù)據(jù)安全管理水平。檢查標(biāo)的企業(yè)對(duì)數(shù)據(jù)合作方、外包服務(wù)商等第三方的數(shù)據(jù)安全要求和監(jiān)督、審第一百〇三條【測(cè)試】調(diào)查實(shí)施階段，應(yīng)通過(guò)開(kāi)展穿行測(cè)試、符合性測(cè)試等測(cè)試方法，對(duì)標(biāo)的企業(yè)進(jìn)行審查，保證調(diào)查結(jié)果準(zhǔn)確性。必要時(shí)，可以與具備相關(guān)從業(yè)資質(zhì)的第三方機(jī)構(gòu)聯(lián)合開(kāi)展相關(guān)測(cè)試。第一百〇四條【風(fēng)險(xiǎn)分析】匯總調(diào)查中發(fā)現(xiàn)的數(shù)據(jù)管理合規(guī)風(fēng)險(xiǎn)，分析其潛在影響和發(fā)生概率。第一百〇五條【做出結(jié)論】根據(jù)分析結(jié)果，對(duì)標(biāo)的企業(yè)的數(shù)據(jù)管理體系有效性、適當(dāng)性進(jìn)行評(píng)價(jià)?；诜治鼋Y(jié)果，提出具體的改進(jìn)建議，包括完善相關(guān)管理制度、加強(qiáng)人員培訓(xùn)、改進(jìn)技術(shù)措施等。第一百〇六條【溝通反饋】與標(biāo)的企業(yè)進(jìn)行溝通，匯報(bào)調(diào)查結(jié)果和-58-建議，解答標(biāo)的企業(yè)的疑問(wèn)。根據(jù)標(biāo)的企業(yè)的反饋意見(jiàn)，對(duì)報(bào)告進(jìn)行必要的第一百〇七條【數(shù)據(jù)權(quán)益確認(rèn)及界定依據(jù)】在前期充分盡調(diào)的基礎(chǔ)上，律師對(duì)標(biāo)的企業(yè)是否享有數(shù)據(jù)資源持有權(quán)、數(shù)據(jù)加工使用權(quán)、數(shù)據(jù)產(chǎn)品經(jīng)營(yíng)權(quán)的相關(guān)權(quán)益進(jìn)行確認(rèn)。數(shù)據(jù)權(quán)益界定的依據(jù)包括但不限于依據(jù)《網(wǎng)安法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)二十條》以及其他相關(guān)法律法規(guī)、規(guī)章、