2019年6月30日，北京市环球律师事务所与垦丁网络法学院联合举办了主题为“数据合规新规解读”的分享交流活动，来自小米集团、58同城集团、快手公司、百度公司、智联、微店等企业的法务专家们出席本次与谈，围绕《数据安全管理办法（征求意见稿）》、《个人信息出境安全评估办法（征求意见稿）》、《网络安全审查办法（征求意见稿）》以及四部新规等最新法律动态以及二手车领域的数据合规问题展开了热烈讨论。

 

 

首先，来自58集团查博士项目的法务负责人孙强先生通过中外实践比对，与大家分享了二手车领域的数据合规问题。孙总认为，现阶段我国的二手车市场具有体量大、活力差、行业痛点多、监管部门多但执法不力、争议解决渠道不畅等特征。解决以上问题的核心在于能否有效公开二手车的历史数据，打破二手车交易中信息不对称的壁垒。只有让消费者能够充分知晓车辆的历史状况，才能使之建立起对二手车市场的信任，盘活二手车交易。

 

紧接着孙总对美国、欧盟二手车交易的数据保护规定做了细致解读。他说，美国对二手车的监管以数据为核心，实行商事优先主义，政府立法支持二手车数据的归拢与公开，维护消费者的知情权，使得美国二手车市场形成依赖数据的交易习惯。而欧盟则以隐私优先，公开二手车数据需要以车主同意为原则。整体来看，欧洲全民整体诚信度比较高，但二手车市场汽车保有量不大，不如美国发达。

 

孙总还强调，我国解决二手车问题主要以政府兜底为主，介于美国和欧盟的中间地带。虽然政府部门曾颁布要求披露车辆历史数据的规定，如交通部《汽车维修管理办法》，商务部《二手车流通管理办法》，及银保监会要求各保险公司均应当向中国保信上传理赔数据等，但由于法律责任设置相对简单，或由于各部门出于各方利益考量，实施效果并不显著。市场急需专门归拢机构处理庞杂繁密的数据。

 

来自小米集团的隐私保护专家朱玲凤女士认为，2019年中国迎来数据合规元年，各类数据合规法律法规呈井喷状态。如刚刚发布的《个人信息出境安全评估办法（征求意见稿）》等规定，意在为年初各部委颁布的规范性文件明确上位法。

 

关于数据出境问题，朱女士强调，2019年《个人信息出境安全评估办法（征求意见稿）》（“《评估办法（征求意见稿）》”）变成了监管机构评估为中心，改变了2017年《个人信息和重要数据出境安全评估办法（征求意见稿）》企业自评估+监管机构评估结合的方式。《评估办法（征求意见稿）》的评估内容借鉴了SCC标准合同条款，但其个案审批的方式又与SCC的审批思路（数据转移双方的合同中纳入标准合同条款，将法定义务和责任转化为合同义务和违约责任，通过争议解决及法律适用等条款来落实数据主体的权利）不同，很可能造成政府审查负担过重、审查期限过长等诸多问题。

 

关于儿童数据保护，朱女士指出，新出台的《儿童个人信息网络保护规定（征求意见稿）》（“《规定》”）第5、7、15条具有较大争议，其他条款与《个人信息安全规范》中的思路差别不大。比如，《规定》第5条，要求设置专门的儿童个人信息保护规则和用户协议，并指定专人负责儿童个人信息保护，如果产品本身的受众不是专门针对儿童的，大人儿童均可使用那种，《规定》反而为这类企业创设了较高成本的义务。第7条，如何证明征得儿童监护人的明示同意存在困难，儿童可能会以各种方式伪装成人从而使监管落空。第15条，网络运营者向第三方转移儿童信息的行为缺乏认定标准，我国目前整体上缺乏关于儿童保护的配套机制，实操难度较大等。

 

此外，朱女士还从企业合规官应当向决策层强调隐私执法的严峻形势、隐私保护可以为企业创设价值等方面做出指引。

 

 

环球律师事务所数据合规团队合伙人孟洁律师首先对朱女士的观点作了补充回应，认为《规定》首次明确规定了处罚措施，具有重要意义。虽然对非专门儿童产品适用统一规定是否可行存在商榷，但对于专供儿童产品的企业来说仍是重要的行为准则。此外，《评估办法（征求意见稿）》对个人信息和重要数据分开规制具有重要意义，个人信息报审难以落地，但重要数据的逐案评估可能具有合理之处。2017年的《个人信息和重要数据出境安全评估办法（征求意见稿）》等规定与相关指南迟迟未生效，可能是因为国际利益、贸易战争等的博弈所致。

 

针对《网络安全审查办法（征求意见稿）》（“《网络安全审查办法》”），孟律师逐条作了细致全面的解读，强调理解《网络安全审查办法》需牢记一套流程、两项适用条件、三类审查主体、七大对比维度，具体文字稿请参见：记住“一、二、三、七”，读懂《网络安全审查办法》。

 

针对《数据安全管理办法（征求意见稿）》（“《数据安全管理办法》”），孟律师则强调了“总、收、使、附”四个字，分别对总则、收集和使用数据的要求，及附则部分与《网络安全法》《App违法违规收集使用个人信息自评估指南》《信息安全技术 个人信息安全规范（征求意见稿）》等做了详细对比。另外孟律师分别从立法者的立法意图与不同类型企业对每一条款的理解与考量进行了解读。

 

就其中的亮点问题，如定向推送要求事前Opt-in、事中标注“定推”字样、及事后给予退出机制的必要性与合理性；借鉴《加州消费者隐私法案》要求网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围，对个人信息主体采取歧视行为；重要数据或个人敏感信息需向所在地网信部门备案；重要数据区别于个人信息，可能会单独出台出境的审查办法，以及爬虫、第三方应用接入等问题一一作了阐述。详情敬请关注团队近期即将发布的相关解读文章。

 

 

会议从下午二点半一直持续到晚上七点半，大家收获满满，讨论意犹未尽，期待下一次能有更多的话题可以交流与研讨。最后，我们对所有新规进行了解读与全面梳理，旨在帮助企业法务进一步厘清网络安全与数据合规的最新监管思路，为企业合规及早准备，保驾护航。