信息时代，大家在享受互联网开放、共享的红利之时，也面临信息泄露的风险。为了维护网络空间安全及国家利益，我国相继颁布了《网络安全法》等一系列的配套法规，使得数据安全及个人信息保护的监管趋势日益明朗及严厉，各行各业均受到不同程度的影响。为此，上海交通大学凯原法学院和Legal Executive Board共同举办了网络安全与隐私数据保护专题研讨会，邀请了全国电子标准化研究院信息安全研究中心、公安部第三研究所的专家，知名学者，实操经验丰富的合伙人律师，就信息合规领域的前沿性实务问题展开分享交流。

图为上海交通大学凯原法学院副院长蒋红

本次研讨会在上海交通大学凯原法学院副院长蒋红珍老师的致辞中拉开序幕。蒋院长对各位法务同行的到来表示欢迎，紧接着蒋院长向大家介绍上海交通大学凯原法学院名称的来源，并且特别提到虽然凯原法学院成立的时间不长，但是开展法学实践教学的时间非常久远。此外蒋院长介绍了凯原法学院合规中心的最新研究成果及发展情况。

图为环球律师事务所孟洁律师

第一个环节是来自环球律师事务所的孟洁律师，为大家分享世界范围内主要国家的个人信息保护立法实践及监管趋势。孟洁律师首先列举了近些年来备受瞩目的个人信息安全事件，例如Facebook、华住酒店泄露用户信息。强调数据安全问题已经成为当今世界最大问题之一，全球范围内数据安全立法越来越密集，目前全球107个国家(其中66个是发展中国家或转型期经济国家)已经制定了保护数据和隐私的立法。在这一领域，欧美国家大幅领先于其他国家和地区，亚洲和非洲的比例相当，只有不到40%的国家有相关法律。

随后孟洁律师从适用范围、个人信息的定义、合法性事由、主体的权利体系、违反规定的惩罚措施等维度对欧盟GDPR和美国加州隐私法案CCPA进行了对比分析。此外，孟律师简要介绍了印度、巴西和澳大利亚等国有关个人信息保护立法的最新动态。最后，孟律师说明国外个人信息立法对中国企业合规的影响，并从“七大统一路径”和“五大特色路径”两个层面给出了企业的合规建议。

图为环球律师事务所王筱东律师

第二个环节是来自环球律师事务所的王筱东律师，王律师带给大家的是关于个人信息安全影响评估指南（PIA）的解读及实践分析。从梳理指南、分析指南、应用指南三个角度进行了解读。首先王律师提到虽然评估指南是推荐性标准，但是一旦企业对外公布是按照PIA制定标准，将获得PIA的强制约束。随后，王律师介绍了PIA标准的适用范围，制定的目的及作用。特别强调了PIA是一种预警机制，可以应付合规检查，还能自证审慎态度，争取宽大甚至免除责任。

紧接着王律师重点介绍了评估指南的适用情况，按照“谁应当来评估、评估的启动时间、评估的大致内容以及如何评估”几个部分详尽的进行分析。最后形成的评估报告可以用来处置相关风险也可以作为企业内部的合规证明。

从左至右依次为：环球律师事务所孟洁律师、中国电子技术标准化研究院的专家、环球律师事务所王筱东律师、德恒律师事务所丁亮律师

第三个环节是关于“网络安全突发事件的处置与应对”圆桌讨论，与谈嘉宾分别是中国电子技术标准化研究院的专家，环球律师事务所的孟洁律师、王筱东律师以及德恒律师事务所的丁亮律师。针对近年来频发的个人信息泄露等网络安全事件，四位嘉宾分别发表了自己的看法及见解，特别指出目前很多企业的作法是触发式的应对态度，实际上应该事前就有完备的应急预案，并且要动员业务部门及法务部门同事定期开展网络安全突发事件的演练，提高相互之间的配合默契以及缩短处置时间。

图为中国电子技术标准化研究院的专家

第四个环节是来自中国电子技术标准化研究院的专家，老师首先指出了目前企业隐私政策存在的共性问题，例如隐私条款笼统不清，对收集、使用个人信息的目的、 方式、范围、保存期限等没有明确说明；不主动向用户展示 隐私条款，或展示的内容晦涩冗长；收集用户信息超出约定范围或擅自扩大使用、共享的范围；没有为用户提供访问、更正、删除其个人信息的途径，不给用户提供撤回授权、关闭权限、注销账户的方式。根据以上问题老师有针对性地介绍了隐私条款撰写的技巧。

根据《网络安全法》和《个人信息安全规范》的规定分别介绍了隐私条款的合规要求，并列举了国外公司一些优秀的实际案例，给大家提供了参考。最后，老师分析了核心功能与附加功能及其可探讨的问题。最后结合《广告法》和新出台的《电子商务法》谈到了“定向推送”活动的性质及风险。

图为德恒律师事务所的丁亮律师

第五个环节是来自德恒律师事务所的丁亮律师，就备受企业法务关注的数据出境问题展开的分享。丁律师开篇就提出大家都面对保护数据安全和数据资源共享的矛盾问题，但在世界范围内部分国家和地区解决路径的宽严尺度存在较大差异。随后，丁律师区别关键信息基础设施运营者和一般网络运营者的身份论述了二者作为数据持有者，在数据出境时面临的审查标准有哪些区别，并且为大家梳理出中国目前有关数据出境的法律规定。

接下来丁律师针对大家普遍存在困惑的数据出境情形进行了分析，特别指出了当前众多外资企业将服务器架设在国外的做法，虽然不存在法律风险，但是根据网安法及相应法规要求，CII需要将在中国境内产生、收集的个人信息及重要数据储存在国内，一般网络运营者没有储存的硬性要求，但是有数据出境需求时候需要严格遵守出境评估流程。最后，丁律师根据自己经办的案例，向大家讲述了，在遇到境外政府或司法机构（证据开示）要求国内企业出具重要数据时，企业应当如何应对以及需要考虑的因素。

图为公安部第三研究所的专家

第六个环节是来自公安部第三研究所的专家，作为网络安全等级保护制度的立法和执法部门，重点分析了《网络安全等级保护条例》的内容。老师开门见山，强调信息网络时代没有绝对的安全只有相对的安全，因此不可避免的会遇到信息泄露等危机情况，因此事前必须做好周全的保护工作，而等级保护是目前实践证明非常科学的体系，因为在防护资源有限的情况下大家不可能对所有的风险采用同等的保护措施，因而需要分级评估风险，进而采取风险等级相应的保护措施。

此外，老师详细介绍了等级保护的体系、应用的对象、应用的范围以及评估流程。重点分析了等级保护定级的两个核心标准，分别是《信息安全技术 信息系统安全等级保护基本要求》和《信息安全技术 信息系统安全等级保护定级指南》。

本次“网络安全与隐私数据专题研讨会”，得到参会企业法务的高度评价。大家纷纷表示，本次研讨会设置的内容非常全面且务实，各位专家从不同的角度呈现了自己独到的看法和观点，深受启发。在日后的合规工作中，需要紧密关注网络安全及数据保护相关的法律规定。LEB 也将持续带来信息合规领域的最新动向与实践经验。