网络安全数据合规，近年来成为社会热点和关注的焦点。法律法规层面，《网络安全法》、《数据安全法》、《个人信息保护法》构筑了网络安全数据合规领域的三大法律支柱。其中，除《网络安全法》颁布时间稍早外，其它两部法均是2021年才出台的。此外，自2017年以来颁布近百个重要的法律法规和行业技术规范。中国数据合规监管进入新时代，立法的相继出台，也意味着执法的日趋严格，自《数据安全法》、《个人信息保护法》颁布后，关于个人信息保护及数据安全涌现出大批案件。大量企业面临可能需承担集体诉讼民事责任、强监管带来的行政责任，甚至相关刑事责任的问题，企业数据的合法合规迫在眉睫。就企业数据合规法律实务而言，笔者认为主要可分三大部分内容，即数据合规的基础部分、企业数据合规实务指引部分、企业数据合规专题部分。本文就上述内容所涉具体内容予以阐述，另，对近来较受关注的算法治理相关内容予以简要讨论。

01企业数据合规法律实务

第一部分

企业数据合规的法律基础

第二部分

企业数据合规实务指引

本部分依据企业数据处理的流程，展开对企业数据合规实务指引的讨论。笔者认为，企业数据合规可以数据处理流程为主线，即围绕数据分类分级（包括重要数据），数据资产盘点，数据的收集，数据的传输，数据的存储，数据、个人信息的访问，数据导出、复制、加工，数据对外提供，数据保护管理组织及制度，数据跨境等方面的内容予以合规化。因数据处理流程较多，企业在落实数据合规时，必须保证每个处理环节的合法合规，否则就可能存在违规风险。

企业数据合规服务模块

本部分则主要是律师作为第三方服务机构，可为企业提供的合规服务模块主要包括：儿童个人信息保护 、最小必要原则的具体应用场景、告知同意具体方式、APP专项治理、网络爬虫、企业IPO前数据合规 、算法治理、人脸识别、公共数据（包含政务数据）、数据交易、数据合规刑事专题等。

02算法治理

算法治理，顾名思义是指为使计算机算法的应用合法合规而进行的相关治理。同样，理解算法治理，就要先理解大数据杀熟、信息茧房、应用算法推荐、自动化决策、用户画像、个性化推荐等基本概念。

算法治理所涉主要法律条款有：

《电子商务法》第十八条、《反垄断法》第十七条、《消费者权益保护法》第十条、《价格法》第十四条、《深圳经济特区数据保护条例》第六十九条、《在线旅游经营服务管理暂行规定》第十五条、《互联网信息服务算法推荐管理规定（征求意见稿）》第十八条、《禁止网络不正当竞争行为规定（公开征求意见稿）》第二十一条、《价格违法行为行政处罚规定（修订征求意见稿）》第十三条、《国务院反垄断委员会关于平台经济领域的反垄断指南》第十七条。

算法应用较为常见的一种情形就是自动化决策。笔者认为，自动化决策是指，个人信息处理者通过计算机程序利用所拥有个人信息针自动形成决策的行为。该行为可能会对信息主体产生某种影响，甚至造成个人权益的损害，如差异化推送产品及同物不同价等问题。

就此问题的合规，笔者认为，可考虑从以下方面入手：第一，企业可在相关应用或网站的隐私政策中明确告知使用自动化决策、用户画像或者画像分析技术的业务场景；第二，在具体的业务模块或者前端界面中使用通知横幅、弹窗或者页面标签等形式向用户明示自动化决策机制的使用；第三，可考虑形成针对自动化决策机制所使用的个人信息类型、目的和方式等基本要素的单独描述文件，以满足相应的法律要求。

注：“盈科海淀 合志同方”法律服务科技产业研讨会暨北京市盈科（海淀区）律师事务所开业仪式 在北京清华同方科技广场隆重举行，盈科全国网络数据合规中心副主任、盈科北京知识产权法律事务部（二部）副主任张宾律师受邀出席，并发表《企业数据合规法律实务》的主题演讲，以下内容根据会上张宾律师所作的发言整理收录。

作者简介：张宾