会议时间：2021年11月26日 （周五） 下午14:00-16：30

主办单位：杭州市律师协会企业法律顾问（公司法务）专业委员会

协办单位：浙江智仁律师事务所

会议地点：线上直播

主讲律师：浙江政法联律师事务所合伙人孙迪风律师、浙江智仁律师事务所公司部周佳律师、浙江六和律师事务所高级合伙人杨海强律师、浙江五联律师事务所合伙人兰艳霞律师

参会人员：市律协企顾委委员、部分非委员律师等，近400人

会议主持：杭州市律师协会企业法律顾问（公司法务）专业委员会秘书长 林景行律师

会议内容：

2021年11月26日下午，由杭州市律师协会企业法律顾问（公司法务）专业委员会（以下简称“企顾委”）、浙江智仁律师事务所联合举办的以“信息安全与企业合规”为主题的线上直播分享讲座圆满举行，市律协企顾委委员、部分非委员律师等近400人参加了讲座。本次讲座特邀浙江政法联律师事务所孙迪风律师、浙江智仁律师事务所周佳律师、浙江六和律师事务所杨海强律师、浙江五联律师事务所兰艳霞律师四位优秀律师作为本次直播讲座的分享嘉宾，由企顾委秘书长、浙江智仁律师事务所林景行律师主持。

本次讲座旨在提升企顾委委员律师及各位法律人士在信息安全与企业合规时代下，为各企业（行业）提供应对建议等法律顾问服务的水平，帮助企业做好合规工作，管控好诱发风险的可能性，完善企业合规体系，保障企业的业务连续性发展。现将本次讲座的主要内容综述如下：

讲座根据主持人的开场介绍及四位嘉宾律师带来的四种不同角度来论述信息安全和企业合规的主题。

一、企顾委秘书长林景行律师开场致辞发言

首先企顾委秘书长、浙江智仁律师事务所林景行律师向大家介绍了随着数字经济时代下信息化手段和大数据分析技术的运用，为企业带来便利、提升经济社会发展的速度和品质的同时，也出现了信息安全风险、数据滥用、企业不公平竞争等问题，严重损害了个人和社会利益，扰乱了正常市场秩序，破坏了企业创新和可持续发展的土壤。因此，帮助做好企业合规建设、为企业提供配套完善的法律顾问服务显得尤为重要，由此引出四位嘉宾律师分享的主题，并对每位嘉宾律师进行了介绍。

二、四位嘉宾律师交流分享

（一）孙迪风律师分享发言

孙迪风律师围绕“信息安全与合规建设的前景与机遇”的主题，从法规需求、信用评价、商业需求三方面为突破口进行要点分析，介绍了信息安全与合规建设的前景及应用领域，目前主要体现在互联网服务、云计算、物联网、人工智能等众多领域。并特别指出目前信息安全合规建设时刻面临的法律风险，以及大多企业管理者的观念尚未转变，其合规意识仍然仅停留在“合法层面”，然而面对当下的信息化环境早已不足以适用，因此作为律师的我们应当担负起社会责任，帮助企业发现并遏制潜在合规风险，为企业提供真正解决实务操作的法律服务产品，真正实现信息安全与合规建设的持续性发展。

（二）周佳律师分享发言

周佳律师以“《个人信息保护法》下企业用工合规之路初探”为主题，在《个人信息保护法》出台前已有几部相关法律法规，包括2017年6月1日施行的《网络安全法》、2021年1月1日施行的《民法典》、2021年9月1日施行的《数据安全法》，并于2021年11月1日新出台了《个人信息保护法》，周佳律师接着为大家梳理了《个人信息保护法》的六大要点，具体而言：

1、核心原则——“告知-同意”

应在事先充分告知对前提下取得个人同意，不得误导、欺诈、胁迫等；不得以不同意为由拒绝提供产品或者服务；信息处理者应当提供便捷的撤回同意的方式。

2、个人信息处理有“三最”

处理应当采取对个人权益影响最小；收集范围应当限于实现处理目的最小范围；保存期限应当为实现处理目的所必要最短时间。

3、禁止强制利用个人信息进行自动化决策

个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。

4、对未成年人单独提出了保护措施

处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。还应当制定专门的个人信息处理规则。

5、规范个人信息跨境规则

需满足“四选一”加“二”的条件：

（1）通过国家网信部门组织的安全评估；

（2）经专业机构进行个人信息保护认证；

（3）按标准与境外接收方订立合同，约定权利和义务；

（4）法律、行政法规或者国家网信部门规定的其他条件。

1）应当采取必要措施，保障境外接收方活动达标本法；

2）向境外提供个人信息的，应当告知+单独同意。

6、健全投诉举报机制，加大了监管惩处力度

对法代或主要负责人约谈；委托专业机构合规审计；涉嫌犯罪应当移送公安。提高了罚款金额，违法应用程序暂停或停止服务；与直接责任人职业生涯挂钩；禁止一定期限担任董监高、个人信息保护负责人等职务；记入信用档案。

并梳理了企业用工合规风险点，特别列举了员工应聘登记表上的各项信息属于敏感个人信息的部分，例如户籍性质属于城镇还是农业，婚育状况，家庭情况，是否携带乙肝等疾病的问题等等，提醒企业在招工时注意对个人信息的调查以防涉及侵害劳动者平等就业权等违法事项；一旦实践中需要采集劳动者的个人信息如人脸识别，可以通过签署告知同意书的形式获取其单独同意。同时通过实务案例详细分析了在实务中法院对于侵犯个人隐私如何认定，最后总结了合规管理体系的结构要素：关注内外部条件和要求及其变化；制订应对合规风险的目标和措施；为建立、实施、维护和持续改进合规管理体系而确定并提供所需的资源；对过程制订规则并按照规则对过程实施控制；对合规管理体系进行监管检查，确保合规目标的实现；持续改进合规管理体系以保证适应性、充分性、有效性。全面系统地阐释了法律服务工作者如何应对当下信息安全合规环境。

（三）杨海强律师分享发言

杨海强律师分享的是“企业合规体系建设”的主题，首先为大家介绍了合规管理的前沿，在2009年浙江省司法厅便在全省范围内推广“法律体检”业务，并逐渐完善形成目前的企业合规管理。所谓合规，是指企业及其员工的经营管理行为符合有关法律法规、国际条约、监管规定、行业准则、商业惯例、道徳规范和企业依法制定的章程及规章制度等要求。并从国际和国内两方面介绍了何为合规体系标准，进而引出何为合规体系建设，即在企业内为实施合规管理而专门建立的制度、流程、机制的总和。建立企业合规管理体系，不仅能够促进企业可持续发展，避免受到财产减损和声誉损失，还能帮助企业建立“防火墙”，实现企业责任与员工、第三方、被并购方、客户等多方责任的有效切割。同时在企业中形成浓厚的依法依规经营的企业合规文化，承担起社会责任；最终激发企业自我监管的活力，节省外部监管成本。

建立企业合规管理体系势必离不开严丝合密的一套通用架构，包括董事会、监事会、经理层、合规委员会、合规负责人、合规部门等等。但体系建设并非一朝一夕，也不能将原有的组织架构直接赋予其合规管理职权进行生搬硬套，要注意合规管理体系与企业原有的制度、组织体系融合的问题；如何结合企业自身组织体系、制度体系、合规重点领域以及关键的风险点等因素，建立有针对性的合规管理体系；以及真正能够使合规管理体系能够落地执行，而非浮于纸面。因此要秉承三大建设原则：一为注重小而精的专项合规体系；二为根据企业的性质、业务、主要风险等特点，制定基于风险的有针对性的合规管理体系；三为注重合规体系的有效性，使其切实有效地发挥防控合规风险的效用。并结合合规业务案列详细展开建立合规管理体系的流程和内容，为我们展示了完整且系统的合规建设体系方案。

（四）兰艳霞律师分享发言

兰艳霞律师围绕“数据合规之企业应用场景”，主要抓住企业合规中的数据合规为重点展开，介绍了三大企业应用场景，每种应用场景均以实务案例为导向，结合最新法律法规的应用，并针对每种场景全面系统地提出了企业数据合规划建议，具体展开如下：

1、数据跨境

兰律师首先向我们提出一个疑问，如何处理某医疗器械公司的临床数据跨境的问题？那么首先要判断出当下涉及数据信息跨境的几种情形，如远程访问式出境；脱敏后的信息出境；员工信息出境等等，针对这一现象，新出台的《个人信息保护法》第三十八条明确进行了规定，个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备法律明文规定的条件，同时个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。因此律师在此提出建设企业数据跨境合规化建议：确认主体、数据安全措施（备份、加密、控制访问人员等必要措施）；跨国公司境内外数据隔离（数据库、人员等）；建立数据出具自评制度及机制；依据相应程序操作。

    2、数据处理

企业被委托进行个人信息数据化处理时，《个人信息保护法》第二十一条明确规定，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。未经个人信息处理者同意，受托人不得转委托他人处理个人信息。因此律师在此建议，建立企业规章制度；对数据进行分级管理；完善与受托方的协议签订（委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等）。

3、数据查阅

此种情形易出现于当过世员工亲属因继承需要查阅其个人档案等信息时，企业是否应准予其查看，以及由此而产生的风险如何进行规避。《个人信息保护法》第十三条为此种境况进行了详细规定，为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需，个人信息处理者方可处理个人信息。第四十九条规定，自然人死亡的，其近亲属为了自身的合法、正当利益，可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利；死者生前另有安排的除外。由此建议企业建议数据查阅合规时，应对数据进行分类和分级，并建立数据查阅规章制度。

三、总结陈词

主题讲座分享结束后，林景行律师作总结致辞，对各位嘉宾的分享表示诚挚的感谢，并指出顺应大数据网络时代的快速发展，数字经济已成为推动经济高质量发展的重要引擎，为各行各业提供了相应的工作便利，特别是依靠互联网技术发展的中小企业。但也使得企业在发展过程中时刻面对各方各面的风险与合规问题，严重威胁企业健康发展，因此我们律师应当帮助企业认识到信息安全和企业合规的重要性，建立完善的合规体系，管控好诱发风险的可能性，采取积极可预见性措施和预防性措施，为企业提供系统完善的法律顾问服务，使得企业能够在未来信息化道路上长足发展。