网络安全与数据合规操作指引

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

湖北得伟君尚事务所数字经济事业部

1 数据合规的基本概念

2 数据合规的顶层框架

3 数据合规的流程设计

4 数据合规尽调清单

5 数据领域典型案例

6 数据合规法律法规汇编

7 服务与成功案例

目 录

contents

01

02

04

07

18

25

28

…………………………………………………………

…………………………………………………………

…………………………………………………………

…………………………………………………………

…………………………………………………………

…………………………………………………………

…………………………………………………………

得伟君尚数据合规研究院

工作经历

万方律师毕业于武汉大学，拥有法律硕士和经济学学士学位，其曾担任两家美国

上市互联网科技公司法务部负责人，主导了公司法务合规体系的搭建，参与办理

了数十起各类商事合同纠纷和知识产权、不正当竞争纠纷，同时，万方律师还全

程参与公司引入红杉资本、腾讯等风险投资和战略投资，对网络安全与数据合规、

商事争议解决、商业模式合规、私募股权投融资等领域有着丰富的实务经验。

截至目前，万方律师已经通过武汉大学出版社出版了三本法律类的专著：

《网络安全法合规操作指引》（2019年）

《法槌下的游戏江湖——网络游戏行业典型案例裁判要旨汇编及解析》 2020年）

《公司法律顾问——实务操作与案例解析》（2021年）

现任职务

湖北得伟君尚（武汉自贸区）律师事务所创始合伙人、执行主任、数字经济事业

部主任、中世律所联盟TMT行业法律研究中心主任、

得伟君尚数据合规研究院是湖北省乃至全国最早涉足网络安全与数据合规

领域的律师团队之一， 早在2019年，网络安全法正式施行不久，我们就通过

武汉大学出版社出版了《网络安全法合规操作指引》一书，这是国内在该领域

最早的法律实务探索之一。

在网络安全与数据合规领域，我们擅长结合国内外最新法律法规及实务经

验，针对客户的商业模式，为客户搭建可靠且有良好操作性的数据合规体系，

也可以为客户提供全面的涉及数据及个人信息商业化运用的风险评估及合规审

计等服务。

我们服务的行业及领域包括金融、IT与互联网、电子商务、网络游戏、智

能网联汽车、大数据、生命科学、人工智能、传媒等。

（

武汉掌游科技有限公司

湖北省楚天云有限公司

湖北长江电气有限公司

武汉微派网络科技有限公司

万方律师现在服务的客户包括但不限于

武汉市政务服务与大数据局

武汉光迅科技股份有限公司

武汉福禄网络科技有限公司

武汉木仓科技股份有限公司

武汉佰钧成技术有限责任公司

武汉和悦数字科技有限责任公司

等各级政府、企事业单位和各类高科技、互联网公司

负责人 万 方

数据合规的基本概念

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

01 网络安全与数据合规操作指引

数据：任何以电子或者其他方式

对信息的记录。

——（《数据安全法》第三条）

什么是数据

一般数据

重要数据

个人信息

数据的类型

（从法律角度）

网络：是指由计算机或者其他信息终端及相

关设备组成的按照一定的规则和程序对信息

进行收集、存储、传输、交换、处理的系统。

——（《网络安全法》第七十六条）

其他介质

数据的存储介质

数据合规的基本概念 Basic concepts of data compliance

数据合规：网络系统中关于

重要数据和个人信息保护的

一系列管理规范及制度设计

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

01 网络安全与数据合规操作指引

数据合规的顶层框架 Top-level framework for data compliance

数据合规的顶层框架 数据合规顶层设计

（落实总体国家安全）

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

02 网络安全与数据合规操作指引

数据合规的顶层框架 Top-level framework for data compliance

数据合规的顶层框架 数据合规顶层设计

（落实总体国家安全）

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

03 网络安全与数据合规操作指引

Process design of data compliance

数据合规的流程设计

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

04 网络安全与数据合规操作指引

战略

确保数据和个人信息的安

全性、稳定性、可用性

制度

网安制度、数安制度、个保制

度、APP开发合规制度、数据

共享制度、联席会议制度等

流程

参照下一页

构架

首席数据官（一把手或VP以

上）CTO COO CLO 等组成

联席会议，分工负责

数据合规的流程设计

数

据

合

规

体

系

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

05 网络安全与数据合规操作指引

数据合规的流程设计 Process design of data compliance

数据合规的流程设计

数据合规的流程

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

06 网络安全与数据合规操作指引

1. 贵公司所属行业类型？（在所属行业□内打“√”）

□地图导航类 □网络约车类 □即时通信类 □网络支付类 □网上购物类 □餐饮外卖类

□邮件快件寄递类 □交通票务类 □婚恋相亲类 □求职招聘类 □网络借贷类 □房屋租售类

□二手车交易类 □问诊挂号类 □旅游服务类 □酒店服务类 □用车服务类 □投资理财类

□手机银行类 □演出票务类 □网络社区类 □网络游戏类 □学习教育类 □本地生活类

□邮箱云盘类 □远程会议类 □女性健康类 □网络直播类 □在线影音类 □短视频类

□新闻资讯类 □运动健身类 □浏览器类 □输入法类 □安全管理类 □电子图书类

□拍摄美化类 □应用商店类 □实用工具类

2. 请详细说明贵公司的商业模式？

3. 请贵公司将业务开展中收集数据的流程通过思维导图进行展示，并简述业务流程的每个节点可能产生的风险。

4. 贵公司是否有上市计划？

6. 贵公司是否设置专岗负责数据合规工作？是否设立首席数据官职位？

数据合规尽调清单 Data compliance checklist

A 公司自述（5项）

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

07 网络安全与数据合规操作指引

序号 合规风险点 问题 合规依据

1 互联网服务提供

者和联网使用单

位的识别

是否提供如下服务：

(1) 互联网接入、互联网数据中心、内容分发、域名

服务的；（2）提供互联网信息服务的； (3)提供公共

上网服务的； (4) 提供其他互联网服务的；

《公安机关互联网安全监督检查规定》第九条

2 互联网服务提供

者和联网使用单

位的备案要求

如果是互联网服务提供者和联网使用单位，是否在

公安机关办理联网单位备案手续，并报送接入单位

和用户基本信息及其变更情况？

《公安机关互联网安全监督检查规定》第十条

3 CIIO（关键信息基

础设施运营者）的

识别

是否面向公众提供网络信息服务或存在支撑能源、

通信、金融、交通、公用事业等重要行业运行的信

息系统或工业控制系统？如果是CIIO，是否对自身

的网络安全等级进行鉴定？

《关键信息基础设施确定指南（试行）》

4 是否需要申报网

络安全审查

是否掌握超过100万用户个人信息？ 《网络安全审查办法（修订草案征求意见稿）》

5 是否有赴国外上市的计划？ 《网络安全审查办法（修订草案征求意见稿）》

6 数据出境 境内运营中收集和产生的个人信息和重要数据，是

否通过直接提供或开展业务、提供服务、产品等方

式提供给境外的机构、组织或个人？

《信息安全技术 数据出境安全评估指南（征求

意见稿）》

7 安全认证 APP是否通过数据安全管理认证和应用程序安全认

证？

《数据安全管理办法（征求意见稿）》第 34 条

8 第三方 SDK APP 是否接入第三方SDK 服务？是否列明 SDK 的

用目的、收集数据类型和提供主体 ？

《网络安全标准实践指南 — 移动互联网应用程

序（App）中的第三方软件开发工具包（SDK）

安全指引(征求意见稿 )》

序号 合规风险点 问题 合规依据

1 隐私政策的独立性、

易读性

在 App界面中能够找到隐私政策，包括通过弹窗、

文本链接、常见问题（ FAQs）等形式 ?

《App违法违规收集使用个人信息行为认定方

法》《App违法违规收集使用个人信息自评估指

南》

2 隐私政策是否作为用户协议、用户说明等文件中

的一部分存在？

《App违法违规收集使用个人信息自评估指南》

3 进入App主界面后，用户需至少通过几次点击等操

作能够访问到隐私政策等收集使用规则？

《App违法违规收集使用个人信息行为认定方

法》《App违法违规收集使用个人信息自评估指

南》

4 隐私政策等收集使用规则的文字是否存在字体过小

过密、颜色过淡、模糊不清、是否存在大量专业术

语等难以阅读的情形？文本是否提供简体中文版？

《App违法违规收集使用个人信息行为认定方

法》《App违法违规收集使用个人信息自评估指

南》

5 是否清晰说明各项业

务功能及所收集个人

信息类型

隐私政策中是否将收集个人信息的业务功能逐项列

举？

注：业务功能是指App 面向个人用户所提供的一类

完整的服务，如地图导航、网络约车、即时通讯、社

区社交、网络支付、新闻资讯、网上购物、短视频、

《App 违法违规收集使用个人信息自评估指南》

B 基本情况篇（8项）

C 隐私政策（用户协议/个人信息保护政策）篇（18项）

数据合规尽调清单

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

08 网络安全与数据合规操作指引

5 是否清晰说明各项业

务功能及所收集个人

信息类型

隐私政策中是否将收集个人信息的业务功能逐项

列举？

注：业务功能是指App 面向个人用户所提供的一类

完整的服务，如地图导航、网络约车、即时通讯、社

区社交、网络支付、新闻资讯、网上购物、短视频、

快递配送、餐饮外卖、交通票务等。

《App违法违规收集使用个人信息自评估指南》

6 收集的一类个人信息是否与业务功能一一对应？ 《App违法违规收集使用个人信息自评估指南》

7 是否在隐私政策中逐项列举每个业务功能所收集的个

人信息类型？

《App违法违规收集使用个人信息自评估指南》

8 隐私政策是否通过对个人敏感信息显著标识？

注：个人敏感信息包括身份证件号码、个人生物识

别信息、银行账号、通信记录和内容、财产信息、

征信信息、行踪轨迹、住宿信息、健康生理信息、

交易信息、14岁以下（含）未成年人的个人信息等。

《App违法违规收集使用个人信息自评估指南》

个人敏感信息定义见GB/T 35273《个人信息安

全规范》3.2 节）

9 是否清晰说明个人信

息处理规则及用户权

益保障

隐私政策是否包含公司名称、注册地址、个人信息保

护相关负责人联系方式等 APP 运营者基本情况？

《App违法违规收集使用个人信息自评估指南》

10 隐私政策是否明确说明个人信息存放地域（国内、

国外、）存储期 限（法律规定范围内最短期限或明确

的期限）、超期处理方式？

《App违法违规收集使用个人信息自评估指南》

11 如果将个人信息用于用户画像、个性化展示等，隐私

政策中是否说明其应用场景和可能对用户产生的

影响？

《App违法违规收集使用个人信息自评估指南》

12 如果存在个人信息出境情况，隐私政策中是否将出

境个人信息类型逐项列出并显著标识？

《App违法违规收集使用个人信息自评估指南》

13 隐私政策中是否对App 运营者在个人信息保护方面

采取的措施和具备的能力进行说明？（如身份鉴别、

数据加密、访问控制、恶意代码防范、安全审计等）

《App违法违规收集使用个人信息自评估指南》

14 如果存在个人信息对外共享、转让、公开披露等情

况，隐私政策中是否明确以下内容：

1、对外共享、转让、公开披露个人信息的目的；

2、涉及的个人信息类型；

3、接收方类型或身份。

《App违法违规收集使用个人信息自评估指南》

数据合规尽调清单

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

09 网络安全与数据合规操作指引

序号 合规风险点 问题 合规依据

1 未公开收集使用规则 App 首次运行时是否通过弹窗等明显方式提示用户阅

读隐私政策等收集使用规则？

《App 违法违规收集使用个人信息行为认定

方法》《App 违法违规收集使用个人信息自

评估指南》

2 未明示收集使用个人

信息的目的、方式和

范围

是否逐一列出 App(包括委托的第三方或嵌入的第三方

代码、插件)收集使用个人信息的目的、方式、范围、类

型等?

《App违法违规收集使用个人信息行为认定

方法》《App 违法违规收集使用个人信息自

评估指南》

3 收集使用个人信息的目的、方式、范围发生变化时，是

否更新隐私政策等收集使用规则并提醒用户阅读？

《App违法违规收集使用个人信息行为认定

方法》《App 违法违规收集使用个人信息自

评估指南》

4 在申请打开可收集个人信息的权限，或申请收集用户身

份证号、银行账号、行踪轨迹等个人敏感信息时，是否

同步告知用户其目的，或者目的不明确、难以理解？

《App违法违规收集使用个人信息行为认定

方法》《App 违法违规收集使用个人信息自

评估指南》

5 当使用 Cookie 等同类技术（包括脚本、Clickstream、

Web 信标、Flash Cookie、内嵌 Web 链接、sdk 等）

收集个人信息时，是否向用户明示所收集个人信息的目

的、类型？

《App违法违规收集使用个人信息行为认定

方法》《App 违法违规收集使用个人信息自

评估指南》

6 未经用户同意收集使

用个人信息

用户开启业务功能前或关闭、退出业务功能后，是否仍

可以收集个人信息？

《信息安全技术 个人信息安全规范》

7 收集个人信息或打开可收集个人信息的权限前是否征

得用户同意？

《App违法违规收集使用个人信息行为认定

方法》

8 收集 14 周岁以下未成年人个人信息的，是否征得其监

护人同意？

《信息安全技术 个人信息安全规范》

9 是否利用 App 更新自动将用户设置的权限恢复到默认

状态？

《App违法违规收集使用个人信息行为认定

方法》

10 是否存在将多项业务功能和权限打包，要求用户一揽子

接受的情形?

《App 违法违规收集使用个人信息自评估

指南》

11 违反必要原则，收集

与提供的服务无关的

个人信息

收集的个人信息类型或打开的可收集个人信息权限是

否与现有业务功能有关？

《常见类型移动互联网应用程序必要个人信

息范围规定》

用户不同意收集非必要个人信息或打开非必要权限，是

否拒绝提供业务功能？

《App违法违规收集使用个人信息行为认定

方法》

12 是否以改善服务质量、提升用户体验、定向推送信息、

研发新产品等为由，强制要求用户同意收集个人信息？

《App违法违规收集使用个人信息行为认定

方法》

以经营为目的收集重

要数据或个人敏感信

息

D 个人信息收集篇（20项）

数据合规尽调清单

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

10 网络安全与数据合规操作指引

13 以经营为目的收集重

要数据或个人敏感信

息

以经营为目的收集重要数据或个人敏感信息的，是否向

所在地网信部门备案？

注：备案内容包括收集使用规则，收集使用的目的、规

模、方式、范围、类型、期限等，不包括数据内容本身。

数据安全管理办法（征求意见稿）第15 条

14 以经营为目的收集重要数据或个人敏感信息的，是否明

确数据安全责任人？

数据安全管理办法（征求意见稿）第17 条

15 收集、使用个人生物特征、医疗健康、金融账户、个人

行踪等敏感信息的，是否逐项取得信息主体或不满 14

周岁的信息主体监护人的明示同意。

《网络交易监督管理办法》第13 条

16 自动化手段访问收集

网站数据

是否以自动化手段访问收集网站数据？ 数据安全管理办法（征求意见稿）第16 条

17 自动化手段访问收集网站数据的，访问收集流量是否超

序号 合规风险点 问题 合规依据

1 网络日志的存储 服务日志的留存期限是否少于六个月？ 《网络安全法》第 21 条

2 未进行去标识化处理 收集个人信息后是否立即进行去标识化处理，并采

取技术和管理方面的措施，将可用于恢复识别个人

的信息与去标识化后的信息分开存储并加强访问和

使用的权限管理？

《信息安全技术 个人信息安全规范》

3 存储重要数据和个措

人敏感信息的安全施

存储重要数据和个人敏感信息，是否采用加密、安

全存储、访问控制、安全审计等安全措施？

《信息安全技术个人信息安全规范》《信息

安全技术网络数据处理安全规范 ( 征求意

见稿 )》

4 未进行分隔存储 个人生物识别信息是否与个人身份信息分开储存？

是否对个人信息、个人敏感信息、商业秘密等数据

进行分类存储？

《信息安全技术个人信息安全规范》

5 密码技术 采用密码技术时是否遵循密码管理相关国家标准？ 《信息安全技术个人信息安全规范》

6 存储原始个人生物

识别信息

在使用面部识别特征、指纹、掌纹、虹膜等实现识

别身份、认证等功能后是否立即删除可提取个人生

物识别信息的原始图像？

《信息安全技术个人信息安全规范》《信息

安全技术网络数据处理安全规范 (征求意见

稿)》

E 个人信息存储篇（12项）

数据合规尽调清单

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

11 网络安全与数据合规操作指引

7 未按法律规定提供

删除或更正个人信

息功能

用户在更正、删除个人信息或注销用户账号设置

时是否可以直接操作，无需完成前置条件？

《App 违法违规收集使用个人信息行为认

定方法》

8 未按法律规定提供

删除或更正个人信

息功能

更正、删除个人信息或注销用户账号等用户操作

执行完毕后 App后台是否随即完成数据更新？

《App 违法违规收集使用个人信息行为认

定方法》

数据安全管理办法（征求意见稿）第21 条

9 超出保存期限 保存个人信息是否超出收集使用规则中的保存期

限？

数据安全管理办法（征求意见稿）第20 条

10 未及时删除个人信

息或未进行匿名化

处理

用户注销账号后是否及时删除其个人信息或进行

匿名化处理？

注：匿名化处理指个人信息经过处理无法关联到

特定个人且不能复原。

数据安全管理办法（征求意见稿）第20 条

11 删除个人信息后未

采取措施防止技术

手段恢复

将存储的个人信息数据进行删除之后是否采取措

施防止通过技术手段恢复？

《互联网个人信息安全保护指引》

12 数据删除 超过存储期限后，是否及时删除数据或将数据匿

名化、去标识化处理？

《互联网个人信息安全保护指引》

数据合规尽调清单

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

12 网络安全与数据合规操作指引

序号 合规风险点 问题 合规依据

1 用户画像 是否存在用户画像？ 《信息安全技术个人信息安全规范》

2 使用个人信息时是否进行去标识化处理以避免精

确定位到特定个人？

3 定向推送 是否存在利用用户数据和算法推送新闻信息、商

业广告等内容？

《信息安全技术个人信息安全规范》、数据

安全管理办法（征求意见稿）第 23 条、《信

息安全技术网络数据处理安全规范 ( 征求

意见稿 )》

4 进行个性化展示的，是否同时向该消费者提供关

闭个性化展示的选项？

5 定向推送时，是否以明显方式标明“定推”字样，

或通过不同的栏目、版块、页面分别展示？

6 当用户选择退出或关闭个性化展示模式时，是否

向用户提供删除或匿名化定向推送活动所基于的

个人信息的选项 ？

7 信息合成 利用大数据、人工智能等技术自动合成新闻、博

文、帖子、评论等信息，是否以明显方式标明“合

成”字样？

数据安全管理办法（征求意见稿）第24条

8 是否存在以谋取利益或损害他人利益为目的自动

合成信息的行为？

9 信息系统自动决策

机制（如自动决定个

人征信及贷款额度，

或用于面试人员的

自动化筛选等）

在规划设计阶段或首次使用前是否开展个人信息

安全影响评估？

《信息安全技术个人信息安全规范》

10 在使用过程中是否至少每年开展 一次个人信息安

全影响评估，并依评估结果改进保护个人信息主体

的措施 ？

11 是否向用户提供针对自动决策结果的投诉渠道，

并支持对自动决策结果的人工复核

12 信息标注 对于用户通过社交网络转发他人制作的信息，是

否自动标注信息制作者在该社交网络上的账户或

不可更改的用户标识？

数据安全管理办法（征求意见稿）第25条

13 投诉、举报的受理处

置（避风港原则）

在接到相关假冒、仿冒、盗用他人名义发布信息

的举报投诉时，是否能够及时响应，一旦核实立

即停止传播并作删除处理？

数据安全管理办法（征求意见稿）第26条、

《信息安全技术网络数据处理安全规范

(征求意见稿 )》

14 私人信息和可转发

信息的处理

对以私人选项发送的信息 是否提供了转发功能 ？ 《信息安全技术网络数据处理安全规范

(征求意见稿 )》

F 个人信息的使用篇（14项）

数据合规尽调清单

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

13 网络安全与数据合规操作指引

序号 合规风险点 问题 合规依据

1 个 人 信 息 查 询 更

正、删除、撤回同

意

是否提供便捷有效的个体参与机制，包括查询、

更正、删除、撤回同意、注销账号等要求？

《电子商务法》第 24 条、《信息安全技术 个人

信 息 安 全 规 范 》 第 8.1条 ( GB/T35273

—2020）、《APP 违法违规收集使用个人信息

自评估指南》第 3 条

2 个人信息查询 个人信息控制者是否为个人信息主体提供获取

基本资料、身份信息、健康生理信息、教育工

作信息副本的方法，或在技术可行的前提下直

接将信息的副本传输给个人信息主体指定的第

三方？

《信息安全技术个人信息安全规范》第 8.6 条

（GB/ T35273 —2020）

3 响应个人信息主体

的请求

用户在进行更正、删除个人信息或注销用户账

号的操作是否需要 APP 客服人工处理？

《App 违法违规收集使用个人信息行为认定

方法》

4 个人信息主体提出的请求，是否在三十天内或

法律法规规定的期限内作出答复及合理解释，

并告知个人信息主体外部纠纷解决途径？

《信息安全技术 个人信息安全规范》第 8.7 条

（GB/ T35273—2020）

5 投诉管理 是否建立投诉管理机制和投诉跟踪流程，并在

15 个工作日内对投诉进行响应？

《信息安全技术 个人信息安全规范》第 8.8 条

（GB/ T35273 —2020）、《 App 违法违规收集

使用个人信息行为认定方法》

6 限制用户自主决定

权

对于用户可选提供的系统权限，在用户拒绝后，

每当其重新打开 App 或进入相应界面，是否都

会再次向用户索要或以弹窗等形式提示用户缺

少相关权限？ (即频繁索权 )

《App违法违规收集使用个人信息行为认定方法》

7 用户的差异对待 依据个人信息主体是否授权收集个人信息及授

权范围，是否对个人信息主体采取歧视行为（如

服务质量、价格差异等）？

《消费者权益保护法》第 10 条、《 数据安全管理

办法（征求意见稿）》第13条

G 个人信息主体权利篇（7项）

数据合规尽调清单

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

14 网络安全与数据合规操作指引

序号 合规风险点 问题 合规依据

1 委托第三方处理个

人信息的风险

公司是否委托第三方处理公司掌握的个人信息？

（个人信息的处理包括个人信息的收集、存储、使用、

加工、传输、提供、公开等活动 ）

《个人信息保护法》第20、21、59 条；

《App 违法违规收集使用个人信息行

为认定方法》；

《网络安全法》第 43、49 条；

《未成年人保护法》第72 条。

2 公司委托第三方处理个人信息时，委托前后对个人信

息主体是否均明确告知并取得授权同意？

3 个人信息主体包含未成年人的，公司委托前后是否取

得其监护人的明示同意？

4 公司委托第三方处理个人信息时，委托范围是否与信

息主体授权同意的范围一致或小于该范围？

5 公司委托第三方处理个人信息前，是否对第三方的数

据安全能力进行了评估？

（数据安全能力：个人信息控制者应根据有关国家标

准的要求，建立适当的数据安全能力，落实必要的管

理和技术措施，防止个人信息的泄漏、损毁、丢失、

篡改。）

6 公司能否 准确记录和存储委托处理个人信息的情况 ？

7 公司是否固定期限对第三方受委托者进行安全审计？

8 因第三方发生信息安全事件的，公司能否及时采取补

救措施以控制或消除个人信息面临的安全风险？（如

更改口令、回收权限、断开网络连接等）

9 公司是否建立响应个人信息主体的请求和投诉等的机

制及渠道？

10 个人信息共享、转让

风险

公司转让、共享所掌握的个人信息之前，是否开展个

人信息安全影响评估？

《个人信息保护法》第 20 条、21 条；

《网络安全法》第 44 条；

《电信和互联网用户个人信息保护规定》

第14 条；

《未成年人保护法》第 72 条。

11 公司转让、共享所掌 握的个人信息之前，是否已经向

个人信息主体告知了转让、共享个人信息的相关情

况？（包括共享、转让个人信息的目的；信息类型；

数据接收方的类型、身份、数据安全能力；可能产生

的后果；个人信息主体的权利）

12 公司转让、共享所掌握的个人信息之前，是否取得了

个人信息主体的授权及明示同意？

13 个人信息主体包含未成年人的，公司转让、共享前是

否取得其监护人的明示同意？

14 公司转让、共享所掌握的个人信息时，与对方签署的

合同是否明确约定接收方的责任和义务？

H 个人信息委托处理、共享、转让及公开披露篇（24项）

数据合规尽调清单

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

15 网络安全与数据合规操作指引

序号 合规风险点 问题 合规依据

1 个人安全事件应急

预案及培训

公司内部是否制定了个人信息安全事件应急预案? 《网络安全法》第 25 条；

《电信和互联网用户个人信息保护规定》第 13 条、

15 条、16 条；

《个人信息保护法》第 54、55、56、57 条。

2 公司是否按固定期限或相关法律法规的变化更新

应急预案？

3 公司是否组织过人员进行信息安全事件的应急响

应培训？

4 公司内部的信息安全事件的应急响应培训是否是

固定期限举行？（如每年一次）

5 公司是否组织过人员进行信息安全事件的应急 演

练？

6 公司内部的信息安全事件的应急演练是否是固定

期限举行？

7 发生信息安全事件

的处理机制

发生安全事件后，公司能否追踪发现事件的人员、

时间、地点？

《网络安全法》第 25、42、54 条；

《电信和互联网用户个人信息保护规定》14 条。

8 发生安全事件后，公司能否追踪事件涉及的个人信

息及人数？

9 发生安全事件后，公司能否在【24】小时内确定发

生事件的系统名称？

10 发生安全事件后，公司能否追踪对其他互联系统的

影响？

11 发生安全事件后，公司能否在【24】小时内联系执

法机关或有关部门？

12 发生安全事件后，公司能否在【24】小时内将事件

相关情况以邮件、信函、电话、推送通知等方式告

知受影响的个人信息主体？

13 告知内容是否包括安全事件的内容和影响？

14 告知内容是否包括已采取或将要采取的处置措

施？

I 个人信息安全事件处置篇（17项）

数据合规尽调清单

制及渠道？

个人信息共享、

转让风险

《个人信息保护法》第 20 条、21 条；

《网络安全法》第 44 条；

《电信和互联网用户个人信息保护

规定》第14 条；

《未成年人保护法》第 72 条。

1

15 公司转让、共享所掌握的个人信息时，是否准确记录

和储存转让、共享情况？（包括共享、转让的日期、

规模、目的、信息类型，以及数据接收方的类型、身

份、数据安全能力等基本情况）

16 发现数据接收方违法或违规使用个人信息的，公司能

否及时采取补救措施以控制或消除个人信息面临的安

全风险？（如更改口令、回收权限、断开网络连接等）

发生信息安全事件

的处理机制

《网络安全法》第25、42、54条；

《电信和互联网用户个人信息保护规定》14条。

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

16 网络安全与数据合规操作指引

发生信息安全事件

的处理机制

《网络安全法》第25、42、54 条；

《电信和互联网用户个人信息保护规定》14 条。

15 告知内容是否包括个人信息主体自主防范和降低

风险的建议？

16 告知内容是否包括针对个人信息主体提供的补救

措施？

17 告知内容是否包括个人信息保护负责人和个人信

息保护工作机构的联系方式？

序号 合规风险点 问题 合规依据

1 未明确责任部

门与人员

是否设立个人信息保护负责人或专门的工作

机构？

《网络安全法》第 21 条、《信息安全技术个人信息安全

规范》第 11.1 条（GB/T 35273—2020）

2 个人信息处理

活动记录

是否建立、维护和更新所收集使用的个人信息

处理活动记录？

《信息安全技术个人信息安全规范》第11.3 条（GB/T

35273—2020）

3 网络安全技术

措施

是否采取监测、记录网络运行状态、网络安全

事件的技术措施？

《网络安全法》第 21 条

4 是否采取防范计算机病毒和网络攻击、网络侵

入等危害网络安全行为的技术措施？

5 个人信息安全

影响评估

是否建立个人信息安全影响评估制度，评估并

处置个人信息处理活动存在的安全风险？

《信息安全技术个人信息安全规范》第 11.4 条（GB/T

35273—2020）

6 划分安全保护

等级

对信息处理系统是否划分安全保护等级？ 《网络安全法》第 21 条、《信息安全技术网络安全等级

保护基本要求》（GB/T22239—2019）

7 人员培训与

管理

是否与从事个人信息处理岗位上的相关人员

签署保密协议，对大量接触个人敏感信息的人

员进行背景审查？

《信息安全技术个人信息安全规范》第 11.6 条（GB/T

35273—2020）

8 是否明确内部涉及个人信息处理不同岗位的

安全职责，建立发生安全事件的处罚机制？

9 安全审计 是否应对个人信息保护政策、相关规程和安全

措施的有效性进行审计？

《信息安全技术个人信息安全规范》第 11.7 条（GB/T

35273—2020）

J 个人信息安全管理要求篇（9项）

数据合规尽调清单

发生信息安全事件

的处理机制

《网络安全法》第25、42、54条；

《电信和互联网用户个人信息保护规定》14条。

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

17 网络安全与数据合规操作指引

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

18 网络安全与数据合规操作指引

数据合规典型案例

数据领域典型案例 Typical case in the data domain

案例一

A 行业监管案例

数据是国家基础性战略资源和重要的生产要素，数据安全关乎社会稳定和国家安全。2013年，“棱镜门”事件证实了美国窃

取他国网络数据，给国家网络安全敲响了警钟。而本次“滴滴出行”APP接受网络安全审查并在应用商店下架、停止新用户注册

的消息同样引发广泛关注。“滴滴事件”表明，滴滴出行可能不仅只是存在大数据杀熟以及侵害用户个人信息等问题，其背后存

在的数据跨境流动问题已经危及国家安全。随着网络安全、数据安全与个人信息保护领域的法律体系的持续完善，各类企业尤其

是关键信息基础设施运营者（CIIO）将面临更为严格且常态化的数据安全监管。

国家网信办等七部门进驻滴滴出行科技有限公司开展网络安全审查

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

19 网络安全与数据合规操作指引

中央网信办、工业和信息化部、公安部、市场监管总局决定，自2019年1月起，在全国范围组织开展App违法违规收集使用

个人信息专项治理。截止2021年7月30日，工业和信息化部信息通信管理局总共发布了十六批关于侵害用户权益行为的APP，共

计1080个。

App违法违规收集使用个人信息专项治理

数据合规典型案例

墨迹天气是全球天气服务类平台，支持约199个国家、超过20多万个城市及地区的生活类天气查询。截至目前，墨迹天气拥

有约6.5亿用户，天气日查询次数过6亿。2019年10月11日，中国证券监督管理委员会发布《第十八届发审委2019年第142次会

议审核结果公告》称，墨迹科技首发申请未通过。根据公告内容，发审委提出的主要询问便涉及用户数据获取、使用及隐私保护

等合法合规问题。

数据合规已经成为数据处理公司上市必须面对的审查内容。另根据2021年7月10日出台的《网络安全审查办法》（修订草案

征求意见稿），掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。这意味着掌

握大量用户信息的运营者赴国外上市也将更为困难。

“墨迹科技”因数据合规等原因被证监会否决IPO

案例二

案例三

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

20 网络安全与数据合规操作指引

数据合规典型案例

本案是国内首例涉及互联网用户数据信息的不正当竞争纠纷案件。法院经审理认为脉脉的信息获取、使用行为违反了双方之间

的《开发者协议》，未经新浪微博授权，未经非脉脉用户同意，损害了消费者知情权等，且对公平竞争秩序构成了损害，据此判

令脉脉停止侵权、赔偿新浪微博200万元。

OpenAPI模式能够充分发挥数据资源价值，实现开放平台方和第三方应用之间的合作共赢。但是，OpenAPI开发合作模式中

数据提供方向第三方开放数据的前提是数据提供方取得用户同意，同时，第三方平台在使用用户信息时还应当明确告知用户其使

用的目的、方式和范围，再次取得用户的同意。因此，在OpenAPI开发合作模式中，第三方通过OpenAPI获取用户信息时应坚持

“用户授权”+“平台授权”+“用户授权”的三重授权原则。

B 典型民事案例

案例一

未经信息主体及信息授权处理者同意，擅自使用用户数据构成不正当竞争

用户 脉脉

第一重授权 第二重授权

第三重授权

超范围收集个人信息

末获得授权同意

部分授权协议

open API

收集个人相关信息

隐私政策

新浪微博

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

21 网络安全与数据合规操作指引

合法处理数据形成的数据产品或服务具有财产性权益，受法律

保护，实质性替代他人开发的大数据产品构成不正当竞争

淘宝公司通过“生意参谋”大数据产品向商家提供可定制、个性化、一站式的商务决策体验平台，为商家的店铺运营提供数据

化参考。美景公司运营“咕咕互助平台”及“咕咕生意参谋众筹”网站，以提供远程登录已订购涉案数据产品的方式，组织、帮

助他人获取涉案数据产品中的数据内容，并从中获取利益。美景公司的行为对淘宝公司的数据产品已构成实质性替代，直接导致

了淘宝公司数据产品订购量和销售额的减少，损害了淘宝公司的经济利益，同时恶意破坏了淘宝公司的商业模式，扰乱了大数据

行业的竞争秩序，已构成不正当竞争行为。

该案对数据产品的竞争行为进行了积极探索，为构建数据资源权属规则、厘清各类数据资源权利边界及其司法保护路径提供了

有益的启示，对于数据产业行业规则的建立起到规范与指引作用。

案例二

用户

天猫 淘宝

用户海量原始数据

未订阅生意参谋产品的商家

过滤提东、整合

美景公司

(咕咕互助平台)

获取佣金

组织软件分享、共用子账户

淘生意参谋产品(衍生数据)

已订阅产品

的商家用户

数据合规典型案例

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

22 网络安全与数据合规操作指引

数据合规典型案例

C 典型刑事案例

数据时代，企业自行或委托第三方处理（包括收集、储存、使用、加工、传输等）个人信息的行为日渐普遍，任一环节涉及

违法犯罪，都有可能牵连整个企业及相关的负责人。本案中，魔蝎公司及相关人员入罪主要原因在于在未经用户同意，大量非法

收集、储存用户的个人信息。

实际经营中，为了切实杜绝个人信息处理过程中的刑事风险，相关企业及负责人员要着重注意以下三个方面：第一，完善用

户隐私政策及个人信息收集程序，避免概况授权、虚假授权，对于收集用户敏感信息的需要单独、明确的用户同意。如企业属于

第三方信息处理公司，在接收用户信息前需对数据提供方与其用户之间的授权链条进行审核；第二，委托第三方处理用户个人信

息的，在合作协议中明确约定双方对用户个人信息保护的义务。委托方应保证其提供的个人信息已经获得用户的单独授权，确保

其提供数据行为的合法性；受托方义务包括个人信息的保密义务、储存期限、配合委托方保障用户信息主体权利的义务等（如用

户在委托人处注销了账户，那受托方也应及时删除该用户信息）；第三，建立完善的企业内部数据评估及审计制度。企业内部制

度建设是防止数据安全事件非常重要的一个环节，一方面可以将数据来源审核及数据去向监督形成流程，降低操作风险；另一方

面，将法律法规的强制性要求转化为每个员工都应遵守的企业内部制度，引导员工重视个人信息保护的重要性，并加强对员工的

教育培训，降低数据安全事件的发生。

案例一

“魔蝎科技”违规存储数据涉侵犯公民个人信息罪一案

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

23 网络安全与数据合规操作指引

数据合规典型案例

本案中，涉案人员破解微信服务器与客户端之间数据的结构、内容及加密算法，编写“外挂”程序以实现某种特定功能，进而牟

利，影响到微信软件所构建的正常的网络空间，破坏网络产品或者服务的正常运行，实施损害网络用户的合法权益的行为。

违法制作“微信”外挂

张尧等提供侵入、非法控制计算机信息系统程序、工具案

案例二

网络爬虫作为获取数据的一种技术手段，其本身具有中立性，未被法律所禁止。但是，通过破解防抓取措施爬取数据则可以被视

为“入侵”行为。从本质上看，由于其获取数据未经许可，如果情节严重，将构成非法获取计算机信息系统数据罪。

违法爬取“抖音”数据

上海晟品网络科技有限公司、侯明强等非法获取计算机信息系统数据罪一案

案例三

服务器

微信多开、一 键转发等功能

IOS手机端

“果然叼”

“玩得溜” 微信数据 修改、控制

北京字节跳动网络技术有限公司 上海晟品网络技术有限公司

tt-spider

服务器 数据库

伪造UA及IP

数据库

违法抓取数据 终端用户

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

24 网络安全与数据合规操作指引

Compilation of data compliance laws and regulations

数据合规法律法规汇编

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

25 网络安全与数据合规操作指引

数据合规法律法规汇编

最高人民法院、最高人民检察院关于办理利用信息网络

实施诽谤等刑事案件适用法律若干问题的解释

最高人民法院，最高人民检案院关于办理侵犯公民

个人信息刑事案件适用法律若干问题的解释

最高人民法院、最高人民检察院关于办理非法利用信息网络、

帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释

民法典

网络安全法

数据安全法

个人信息保护法

国家安全法

法律

行政法规 关键信息基础设施安全保护条例

互联网信息服务管理办法(修订草案征求意见稿)

规章、规范性文件

司法解释

电信和互联网用户个人信息保护规定

国家网络安全检查操作指南

银行业金融机构数据治理指引

金融信息服务管理规定

App 违法违规收集使用个人信息自评估指南

互联网个人信息安全保护指南

儿童个人信息网络保护规定

App 违法违规收集使用个人信息行为认定方法

中国银保监会监管数据安全管理办法

交通运输政务数据共享管理办法

常见类型移动互联网应用程序必要个人信息范围规定

汽车数据安全管理若干规定(试行)

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

26 网络安全与数据合规操作指引

数据合规法

律法规汇编

数据合规法律法规汇编

地方实践

浙江省公共数据和电子政务管理办法

浙江省公共数据开放与与安全管理暂行办法

湖北省政务数据资源应用管理办法

深圳经济特区数据条例

国家标准

行业标准

团体标准

信息安全技术 金融信息服务安全规范

信息安全技术 网络安全等级保护基本要求

信息安全技术 个人信息去标识化指南

信息安全技术 大数据安全管理指南

信息技术安全 个人信息安全规范

信息安全技术 个人信息安全影响评估指南

信息安全技术 政务信息共享 数据安全分级指南

信息安全技术 健康医疗数据安全指南

个人金融信息保护技术规范

金融数据安全 数据安全分级指南

金融业数据能力建设指南

金融数据安全 数据生命周期安全规范

网络安全标准实践指南—移动互联网应用程序

（App)个人信息安全防范指引

网络安全标准实践指南一移动互联网应用程

（App)收集使用个人信息自评估指南

网络安全标准实践指南—移动互联网应用程序

（App)个人信息保护常见问题及指南

网络安全标准实践指南—移动互联网应用程序

(App)中的第三方软件开发工具包(SDK)安全指引

数据安全治理能力评估方法

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

27 网络安全与数据合规操作指引

数据合规法

律法规汇编

湖北得伟君尚律师事务所（以下简称“得伟君尚”）是经湖北省司法厅批准设立的一家综合性律师事务所，是湖北省唯一

同时荣获全国文明律师事务所（司法部）和全国优秀律师事务所（中华律协）称号的律所。截至目前，本所设有五处办公

室，分别位于武汉市江汉区、武汉自贸区、宜昌自贸区以及北京市和上海市，本所现有执业律师逾250名，其中法学博士，

法律硕士过百名，多名律师曾在美国、英国、德国、法国、日本、新加坡、香港等国家和地区工作和学习过，部分律师兼具

注册会计师、注册税务师、专利代理人、工程师等跨行业的专业资质，同时，另有数名律师先后获得证券法律业务、集体科

技企业产权界定法律业务、国家基本建设大中型项目招标投标法律业务的专业资质。

2007年9月，得伟君尚成为国内首家跨国律师事务所联盟——中世律所联盟（SGLA）创世成员所。SGLA由位于中国主要

经济中心城市的25家中国区域性领先律所和作为全球十大律所之一的霍金路伟国际律师事务所共同组成。目前覆盖的中国区

域包括北京、长春、长沙、成都、重庆、大连、广州、济南、杭州、昆明、兰州、南昌、南京、上海、沈阳、深圳、天津、

太原、武汉、银川、厦门、西安、西宁、贵阳和香港。SGLA 在中国拥有 3900 多名国际、国内法律执业资格的律师。

2014年4月，得伟君尚荣登Chambers国内知名律所排名榜单，是我国华中地区首家也是唯一上榜律所。2019年再次荣获

该殊荣。

关于律所——得伟君尚

关于我们 About us

服务与成功案例

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

28 网络安全与数据合规操作指引

律所荣誉

——Honour of the Law Firm——

1982年

创建武汉市对外律师事务所

1998年

中华人民共和国司法部 “全国文明

律师事务所”

2005年

全国律协“全国优秀律师事务所”

2014年

著名法律评级机构钱伯斯评级中部

地区唯一入选律所（公司/商事法）

2015年

《LEGALBAND中国客户指南：区域

榜单》湖北商事法律服务第一梯队

2019年

著名法律评级机构钱伯斯评级中部

地区继续入选律所（公司/商事法）

2019年

中共中央组织部“全国律师行业先

进党组织”

2020年

中共湖北省委“全省党建工作示范

单位”

服务与成功案例

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

29 网络安全与数据合规操作指引

● 协助客户识别CIIO，建立网络安全合规体系

● 协助客户建立重要数据及个人信息保护合规体系，包括隐私政策、服务

协议数据全流程合规制度、用户权利响应与投诉应对体系等

● 协助客户审查识别IPO前数据合规风险及制定解决方案

● 协助客户建立符合融资和上市需求的业务模式

● 协助客户进行涉及数据和个人信息处理业务的尽调和并购

● 为客户提供重要数据及个人信息应用的事前风险评估及事后合规审计报告

● 为客户提供网络安全、重要数据及个人信息保护等相关法律培训

● 其他涉及网络安全、重要数据及个人信息保护方面的法律服务

成功案例

我们的法律服务包括

1 《湖北省政务数据资源应用管理办法》立法专项服务

2 武汉市政务与大数据局“智慧城市”项目专项服务

3 武汉和悦数字科技有限责任公司“星和联盟APP”专项合规

4 武汉微派网络科技有限公司旗下“贪吃蛇”手机游戏专项合规

5 武汉文一科技有限公司APP专项合规服务

6 卓尔数科数据合规专项法律服务

*此处仅节选部分成功案例

我们的成功案例

OPERATIONAL GUIDELINES FOR NETWORK SECURITY AND DATA COMPLIANCE

30 网络安全与数据合规操作指引

联系电话：027-87518899-8028

官方网站：http：//www.dewellcn.com

企业邮箱：fwan@dewellcn.com

办公地址：武汉东湖新技术开发区关山大道355号铭丰大厦43层

《网络安全法合规操作指引》

（武汉大学出版社）

《法槌下的游戏江湖——网络游戏行业典型案例裁判要旨汇编及解析》

（武汉大学出版社）

《公司法律顾问——实务操作与案例解析》

（武汉大学出版社）

研究成果