2023年2月，“金茂法律丛书”之《数据与个人信息疑难问题法律指引：基于215则典型案例的分析》由法律出版社正式出版。著者为金茂所合伙人万波律师。

新书简介

本书基于作者在数据合规及个人信息保护领域的理论和实务经验，借鉴境内外立法和执法实践，从问题视角出发，用问答的形式探讨关于数据和个人信息的法律问题，通过对众多假设和真实的场景案例分析，系统梳理和回应了数据和个人信息保护与利用中的疑难法律问题。本书分为（1）基本通识篇、（2）网络安全审查篇、（3）数据跨境篇、（4）个人信息合规审计与保护影响评估篇、（5）数据安全事件应急处置篇、（6）个人信息直接收集和处置篇、（7）个人信息外部交互篇、（8）个人信息主体权利篇、（9）数据不正当竞争篇、（10）数据交易市场篇及（11）域外动态篇。

本书着力探讨、总结数据与个人信息保护实务中的常见问题、法律难点、应对方案等，尽可能兼顾了监管合规、诉讼风险、实务建议等多方面的问题，并且提出具有操作价值的建议，不仅详述了我国的相关法律法规和案例，更涵盖了欧洲、美洲、非洲及其他亚洲国家。

作者简介

万律师主要执业领域为银行、融资租赁、保理、金融科技、数字化转型法律服务。其代表性的案例包括资产投资和处置、证券化、供应链管理、电子商务平台、互联网金融、网络安全、数据和个人信息保护等领域的法律服务，服务的客户涉及政府机关、金融企业、数据公司、平台运营者、能源、医药、教育、物流、商旅酒店等行业，致力于综合运用法律手段、金融知识、数字化能力等赋能客户，具有国际云安全联盟（CSA）认证数据保护官资质，凭借其在数据和个人信息保护领域的拓展和口碑被国际知名法律媒体和评级机构CBLJ评为2022年“A-List”法律精英。

现为中国服务贸易协会理事、中国服贸协会商业保理专委会学术委员、中国个人信息保护合规审计推进小组成员、上海市融资租赁行业协会理事、上海市商业保理同业公会监事长、上海数商协会理事、上海市大数据联盟成员。

万律师还担任最高人民检察院民事行政诉讼监督案件咨询专家，华东政法大学兼职教授、上海仲裁委员会仲裁员，海南国际仲裁院仲裁员、华鑫证券有限公司独立董事等社会职务。

专家寄语

数据已经上升到第五大生产要素的高度，数据的价值通过流动可以发挥更大的作用。但如何合规地利用好数据，可以通过本书中生动的实际案例窥见一斑。

——卢勇 上海市数商协会秘书长、上海数据交易所副总裁

数据、模型、算力是人工智能的三大基本要素，在互联网企业致力于提高人工智能水平的今天，获取及使用数据的正当性和合法性也值得从业者的关注。《数据与个人信息疑难问题法律指引》紧跟科技和法律的发展，收录了大量业界关于收集、处理、储存数据的司法案例，对于科技行业的从业者来说是一本非常实用的普法读物。

——李昂 百度人工智能技术专家

网络安全法律的相继出台和实施正加速中国网络安全产业与法律产业的融合发展。数据安全、跨境传输和个人隐私保护成为当前网络安全工作中的热点问题。万律师通过对众多典型的场景案例分析给读者上了一堂生动的网络安全法律解析课。本书对于想详细了解数据与个人隐私保护相关法律和具体实战运用的安全从业者是一本不可多得的好书。

——施勇 国际信息系统安全认证协会 (ISC)2上海分会主席，上海交通大学网络空间安全学院博士

有关数据和个人信息保护法律的著作已经有很多，本书的出版绝不仅仅是再增加一本而已。在我看来，“读者友好”和“前沿深入”是本书的两大特色，体例上既以问题为中心，通过问答方式让读者直接找到感兴趣的问题，内容中又拆分大量中外实务案例场景进行深入讨论，娓娓道来。我认为是一本有知识增量的著作。

——胡凌 北京大学法学院副教授

随着《数据安全法》《个人信息保护法》的出台，我国迎来了“数据法元年”，数据保护和数据合规已经成为每个企业和法律服务工作者必须重视的问题。《数据与个人信息疑难问题法律指引》紧扣法律适用的典型场景，以轻松叙事的问答方式，系统梳理和回应了数据和个人信息保护与利用的疑难问题，是一本实用和应时的法律实务工具书。

——张韬略 同济大学法学院 互联网与人工智能法律研究中心主任

成书特点

主题全面，案例详实

本书共十一个主题，分为基本通识篇、网络安全审查篇、数据跨境篇、个人信息合规审计与保护影响评估篇、数据安全事件应急处置篇、个人信息直接收集和处置篇、个人信息外部交互篇、个人信息主体权利篇、数据不正当竞争篇、数据交易市场篇及域外动态篇。每项分篇下都辅以丰富详实的案例，共计215则典型案例及法律适用的场景，全面细致地对各类场景中关于数据和个人信息的收集、处理和使用等进行了案例化的分析。

一问一答，条分缕析

本书体例上即以问题为中心，通过问答的方式让读者在检索目录时可以直接找到感兴趣的问题，内容上又拆分大量中外实务案例场景进行深入讨论，系统梳理和回应了数据和个人信息保护与利用的疑难问题。通过“一问一答”的形式，深入浅出地用“是什么”、“为什么”、“怎么做”的行文逻辑探讨并回答了数据和个人信息保护中的一系列热点、难点问题。同时，就同一个热点、难点问题，通过多个问题的对比问答，条分缕析，帮助阅读者把握细节的“魔鬼”。无论阅读者是否具有法学教育背景，本书都易于阅读，各专题所涉内容和案例也将对其实务工作带来借鉴及启发。

实用应时，案头工具

本书不仅聚焦于当前数据和个人信息保护的法律研究，更将视角落于实务操作，辅以大量的参考案例，对数据行业的从业者来说是一本实用的案头工具。例如对当前热门的“数据跨境”话题，本书第三章-数据跨境篇，从为什么要建立数据跨境制度，有哪些数据本地化的规则和模式，什么是法律意义上的“数据跨境”，什么情形可认定属于“确需向境外提供”，如何进行数据跨境保护认证，如何签订数据跨境标准合同，如何进行数据跨境安全评估，如何评估接收国家的政治法律环境，对数据跨境中的实务问题，从概念辨析到实际操作，进行了细致、全面的剖析。兼顾了法律规定、监管合规、实务建议等多方面的问题，对问题的分析及讨论尽可能结合非诉讼思维给出有操作价值的建议，并尽可能地避免数据合规风险，避免本书成为数据与个人信息保护法律问题的简单堆砌，从而沦为“法律法规汇编”或“裁判文书汇编”。

一、 样张示例

下述内容节选自《数据与个人信息疑难问题法律指引：基于215则典型案例的分析》第三章 数据跨境篇，未尽完整部分，敬请以纸质书为准。

什么是法律意义上的数据跨境？

《网终安全法》《数据安全法》和《个人信息保护法》使用了“向境外提供”“出境”等词汇来表述数据跨境，但均未作出专门的定义。各界对数据跨境的界定尚未达成统一认知。

实务中客户经常问及的一个问题就是：我们的行为属于中国法律意义上的个人信息跨境传输吗？试举几个案例以作辨析：

案例1：
居住在北京的自然人A在一个在线电子商务网站上填写了她的个人资料以便完成她的订单并在她的北京住所收到她在网上购买的衣服。该在线服装网站是由一家在新加坡成立的公司运营的。在这种情况下，A需将她的个人信息传递给新加坡公司。

案例2：
公司B是一个在欧盟境内设立的控制者，将其雇员/客户的个人信息（他们都是欧盟居民）发送给设立在中国境内的C公司，由C代表B在中国进行数据清洗C将数据处理完成后，再重新传输给B。

案例3：
某美国企业看中了中国相对低廉的人力成本，在中国境内设立专门的客服中心，但该客服中心仅针对美国境内的顾客开展客户服务。

案例4：
某德国企业看中了中国相对低廉的人力成本，在中国境内聘请了第三方的客服中心，该客服中心直接向德国境内的顾客提供客户服务，为此收集了德国顾客的订单等个人信息，并需要定期传输给德国企业。

案例5：
公司D是一个在中国境内设立的个人信息处理者，将其雇员/客户的个人信息（他们都是非欧盟居民）发送给设立在欧盟境内的受托者E公司，由E代表D在欧盟境内进行处理，E将数据处理完成后，再重新传输给D。

案例6：
公司F（公司设立在上海）的员工G前往印度参加会议。在印度逗留期间，G打开他自己的电脑，远程访问F公司数据库中的个人信息，以完成一份备忘录的起草和修订工作。

案例7：
中国公司H是美国母公司I的子公司，它向母公司I披露其中国区域雇员（既有中国居民、也有部分外国居民）的个人信息，并由母公司I储存在美国一个集中的人力资源数据库中，以进行雇员行为分析和管理。

案例8：
瑞典某女士担任传教士期间，在互联网上建立了涉案网页，以允许教区信徒获取他们可能需要的信息，网页上传了其18位同事的信息（包括全名、工作、爱好、家庭情况、电话号码以及其他事项），包括其中一位同事脚部受伤并因此处于半工半薪的状态。

案例9：
中国公司J是公司K的一个客户，K书面通知J，称它正在采用一个基于云的解决方案来存储和分析其客户数据，其中包括客户的身份信息、地址、联系方式信息和收入范围等个人数据，并要求J同意将其客户数据转移到基于云的解决方案。K还向了提供一份书面摘要，说明了的个人数据在被转移到的国家和地区将受到何种程度的保护，如果了表示同意，K就可以开始转移其个人数据。

案例1中，A需将她的个人信息传递给新加坡公司，这属于“跨境采集”，但并不构成法律意义上的“向境外提供”，因为个人信息不是由个人信息处理者传输的，而是由个人信息主体自已主动传输的。《个人信息保护法》第三章将向境外提供个人信息的主体限定为“个人信息处理者”即将个人信息主体排除了境外提供方的范围，《网络数据安全管理条例（征求意见稿）》和《数据出境安全评估办法》也都采用相同的立法例。因此，我国《个人信息保护法》第三章应不适用于这种个人自主向境外提供的情形。

案例2中，被处理的个人信息都是由B公司收集的，B是个人信息的处理者，而C仅是作为受托人在中国境内接收、存储、加工处理这些境外自然人的个人信息，处理完成后立即重新传回给B。这是否属于我国《个人信息保护法》项下的“跨境传输”呢？仅根据《个人信息保护法》无法得出答案。我们认为，这比较符合《信息安全技术 数据出境安全评估指南（征求意见稿）》提出的豁免情形。根据《数据出境安全评估办法》仅适用于在境内运营中收集和产生的数据的规定，此时我国《个人信息保护法》第三章应不适用于这种情况。

案例3与案例2不同，该案例中的个人信息由美国企业自身在境内设立和运营的客户中心负责收集，客户中心跨境收集美国顾客的个人信息后再经中国出境，此时我国《个人信息保护法》第三章仍应适用于这种情况。

案例4中，在中国境内运营的第三方客服中心根据德国企业的委托提供客户服务，在此过程中收集了德国境内顾客的个人信息并跨境传输给德国企业，此时客服中心为“第三方受托处理者”。国家网信办颁布的《数据出境安全评估办法》第2条规定“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法”。但《数据出境安全评估办法》并未明确此处的“数据处理者”是否也包括了第三方“受托处理者”，我们认为，此处的“数据处理者”应作广义理解，即包括“受托处理者”更符合立法目的和更有利于真正实现对境内个人信息的保护。

案例5中，根据《个人信息保护法》第3条的规定，D的处理行为受我国《个人信息保护法》的约束。由于E是第三国的处理者，从D向E披露数据应被视为个人信息的跨境提供，这也符合《信息安全技术 数据出境安全评估指南（征求意见稿）》列举的（1）种情形和《数据出境安全评估办法》“跨境传输”的规定，即将个人信息和重要数据，直接提供境外的机构、组织或个人，因此《个人信息保护法》第三章对这种情况应予适用。

案例6中，这种情形是否属于我国《个人信息保护法》项下的“向境外提供”呢？仅从《个人信息保护法》无法得出答案。理论上来说，这种从第三国远程“跨境访问”个人信息的行为，符合《信息安全技术 数据出境安全评估指南（征求意见稿）》列举的第（5）种情形以及《数据出境安全评估办法》“跨境访问”的情形，应当属于个人信息的出境，但因员工不是另一个信息处理者，而仅仅是一个雇员，因此处理者并未发生变化，也要求按照“向境外提供”是不合理的，应予以一定的豁免为宜。

案例7中，中国公司H以其雇主的身份、在中华人民共和国境内处理和披露这些个人信息，根据我国《个人信息保护法》第3条第1款应受该法的约束。而母公司则根据自己的目的和方式收集、使用这些信息，较为符合我国《个人信息保护法》第3条第2款。“分析、评估境内自然人的行为”很可能也应受《个人信息保护法》的约束。但是，无论I公司是否也受我国《个人信息保护法》约束，都应不妨碍在此情形下“跨境传输”的认定和我国《个人信息保护法》第三章对其的适用。

案例8中，因对《95/46 指令》在本案中应如何适用存在疑问，瑞典歌塔法院请求欧洲法院就相关问题作出先予裁决，其中一个问题是：“如果瑞典境内的个人使用计算机将个人信息上传至存储在瑞典境内服务器上的相关主页，从而导致第三国的人可以访问该个人信息，则上述行为是否属于《95/46 指令》规定的向第三国传输数据？如果就目前所知没有第三国的人访问过该数据，或者相关服务器位于第三国境内，则在此情况下，对于前述问题的答复是否仍然相同？2003年11月6日，欧洲法院对该案作出判决。欧洲法院认为，互联网上的信息可为居住在不同地方的人在任何时候访问，从本案材料看，G女士的网页并不包括将这些信息自动发送给无意访问这些网页的人的技术措施，出现在第三国个人计算机上的个人信息并非在G女士与该第三国个人之间直接传输，而是通过网页存储地的托管服务提供商的计算机基础设施进行传输，《95/46 指令》第25条应解释为诸如G女士进行的相关操作并不构成“向第三国传输个人信息”。在此情形下，审查某个第三国的个人是否访问涉案网页或者相关托管服务器是否位于第三国已无必要。

案例9中，被处理的客户个人信息都是由J公司收集的，J是个人信息的处理者，而K仅是基于云的解决方案作为受托人将这些个人数据跨境传输到的境外国家和地区，因此我国《个人信息保护法》第三章应予以适用。