2024年9月30日,国务院发布《网络数据安全管理条例》(简称《网数安全条例》),该条例将于2025年1月1日起施行。本文从实务角度出发,针对《网数安全条例》的新要求,为企业提供如下合规提示:
一
各类义务主体及其关系
《网数安全条例》适用于网络数据处理者。“网络数据”中的“网络”二字是“网络空间”之意,用以修饰和限定“数据”,即网络空间中的数据,相对于非网络空间中的数据而言。
网络数据处理者包括个人信息处理者、重要数据处理者及其他网络数据处理者,这是从数据类型维度对网络数据处理者做的分类。个人信息处理者中有一类特殊类型,即处理1000万人以上个人信息的处理者,这是从规模维度对个人信息处理者做的进一步细分。
此外,《网数安全条例》还规定了 “网络平台服务提供者”与“大型网络平台服务提供者”的义务,前者可以理解为特殊的网络数据处理者,这是从交易身份维度对网络数据处理者做的细分;后者则是特殊的网络平台服务提供者,这是从规模和影响力维度对网络平台服务提供者做的进一步细分。
要注意的是,数据类型和交易身份是两种不同的分类维度,故存在交叉重叠。比如,网络平台服务提供者,可能同时是个人信息处理者或重要数据处理者。
上述从不同维度对网络数据处理者做的细分和再细分,旨在分类监管,在普遍义务或共同义务的基础上,对不同的细分主体施加不同的特殊义务。条例对父节点主体的义务规定同时适用于其下的所有子节点义务主体,如网络数据处理者的义务同时适用于个人信息处理者、重要数据处理者及其他网络数据处理者。同时具备多种身份的主体,多种义务重叠适用,如网络平台服务提供者同时构成个人信息处理者,则两类主体的义务同时适用。
二
网络数据处理者的义务
为落实《网数安全条例》,网络数据处理者可从如下几方面着手开展合规工作:
1
漏洞管理与应急响应
《网数安全条例》新增“24小时内报告义务”,此条规定与《网络产品安全漏洞管理规定》进行衔接,即发生或者获知所提供网络产品存在安全漏洞后应在2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息,如涉及危害国家安全、公共利益的则在24小时内进行报告。
《网数安全条例》第11条则规定了网络数据安全事件应急响应要求,包括事件上报、通知利害关系人等。我们建议企业建立较为详细的网络数据安全事件应急预案,对安全事件进行分级,明确各类事件上报的时限、对接的主管部门、通知利害关系人(如受影响的用户、上下游合作方等)的模板,以便应对未来可能发生的网络安全事件。
现行法律规定及部分行业有关漏洞缺陷与安全事件的上报条件、上报时限等要求如下所示:
法律 | 上报条件 | 上报时间 | 上报部门 |
《网络产品安全漏洞管理规定》 | 网络产品提供者发生或者获知所提供网络产品存在安全漏洞 | 2日内 | 工信部 |
《网络数据安全管理条例》 | 涉及危害国家安全、公共利益的产品缺陷或漏洞 | 24小时内 | 工信部 |
《国家网络安全事件应急预案》 | 初判为特别重大、重大网络安全事件的 | 立即 | 应急办(中央网信办网络安全协调局) |
《公共互联网网络安全突发事件应急预案》 | 发生本预案规定的网络安全突发事件 | 立即通过电话等方式 | 部应急办和相关省(自治区、直辖市)通信管理局 |
《中华人民共和国计算机信息系统安全保护条例》 | 计算机信息系统中发生的案件 | 24小时内 | 当地县级以上人民政府公安机关 |
《工业和信息化领域数据安全管理办法(试行)》 | 涉及重要数据和核心数据的安全事件 | 第一时间 | 本地区行业监管部门 |
《中国人民银行金融消费者权益保护实施办法》 | 发生信息泄露、毁损、丢失可能危及金融消费者人身/财产安全的事件 | 立即 | 银行、支付机构住所地的中国人民银行分支机构报告 |
信息泄露、毁损、丢失可能对金融消费者产生其他不利影响的 | 72小时以内 | ||
《证券期货业网络安全事件报告与调查处理办法(2021)》 | 发生网络安全事件 | 立即,可能构成特别重大、重大网络安全事件的,每隔30分钟至少上报一次事件处置情况 | 通过电话或事件报送平台进行报告中国证监会或其派出机构 |
《邮政行业安全信息报告和处理规定》 | 用户使用寄递服务的信息遭非法泄露 | 第一时间 | 所在地省级以下邮政管理机构,并视情况依法报告当地公安、安全生产监督管理等部门 |
遭非法泄露500条以上 | 2小时内 | 邮政管理机构应在2小时内报省级邮政管理部门 | |
《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》 | 发生本预案规定的网络安全突发事件 | 按规定 | 按照《公共互联网网络安全突发事件应急预案》向有关主管部门报告 |
2
第三方合作管理
(1)建立系列数据处理协议(DPA)模板
《个人信息保护法》规定在共同处理、委托处理个人信息场景下签署协议,明确约定双方权利和义务。《网数安全条例》将前述协议的要求扩大至“对外提供个人信息”的场景,并进一步扩展至重要数据处理,明确要求在共同处理、委托处理、对外提供个人信息和重要数据的情形,均需与第三方签署合同,约定数据处理目的、方式、范围及安全保护义务。
基于我们的服务经验,我们建议企业搭建系列的数据保护协议模板,根据不同的数据法律关系制定不同的数据保护协议模板。在与第三方开展数据交互合作时,准确适当地识别或构建双方数据法律关系,并签署对应版本的数据保护协议。
(2)搭建第三方数据合作管理台账
《网数安全条例》中规定需存储对外提供、委托处理活动记录至少3年。为满足法律要求、监督管控企业数据流转情况,建议企业建立第三方数据合作管理台账,明确记录合作方信息、数据法律关系、数据流转情况、DPA签署情况、安全技术措施、PIA评估情况等。
3
对从事2G业务的网络数据处理者的要求
《网数安全条例》第15-17条规定了从事2G业务的网络数据处理者在数据安全方面的要求。实践中,向国家机关提供智能软硬件产品或服务、受托处理政务数据、受托建设运营电子政务系统的企业不在少数,如为交通部门提供图像采集设备(CCTV)及监控系统,为民政部门开发运营一套社区养老系统等。该类企业需根据《网数安全条例》及《党委(党组)网络安全工作责任制实施办法》《互联网政务应用安全管理规定》等规定,重点落实电子政务系统安全要求,包括落实网络安全等级保护(三级)要求、国密要求、访问控制策略设置、容灾备份、境内部署境内存储、域名解析管控等。
三
个人信息处理者的义务
1
产品设计
(1)梳理完善产品个人信息处理规则,增加个人信息保护“双清单”
《网数安全条例》第31条重申了个人信息处理告知规则,并明确了个人信息保护“双清单”要求,“双清单”要求首次列入法律法规中。该要求最早源于2021年工业和信息化部发布《关于开展信息通信服务感知提升行动的通知》(“524”行动),当时要求39家头部企业建立已收集个人信息清单和与第三方共享个人信息清单,并在APP二级菜单中展示。而后在2023年,工信部发布《关于进一步提升移动互联网应用服务能力的通知》,进一步明确了个人信息收集清单和第三方SDK清单的要求。然而,实践中仍有不少企业未落实“双清单”要求,我们建议企业可先着手梳理设置静态的个人信息收集清单、个人信息共享清单(第三方SDK清单可并入本清单,亦可单独成文),并在App、小程序等网络载体的二级菜单进行展示。
(2)梳理敏感个人信息处理场景,补足敏感个人信息单独告知书与单独同意功能
网络数据处理者提供产品或服务过程中,存在多个处理敏感个人信息的场景,如实名认证、绑定银行卡、线上购药或问诊时提供历史病历等。企业应在用户触发该等场景时,通过单独的敏感个人信息告知书说明处理情况、必要性及对个人权益的影响,并通过勾选或同意按钮等方式获得用户的单独同意。如具备其他合法事由,企业可不获取用户的单独同意,但应落实增强告知的义务。
实务中,企业在界定敏感个人信息时会存在歧义,如身份证照片等个人身份信息、身高体重体脂率骨骼肌含量等个人健康数据。我们建议结合业务场景,参考《网络安全标准实践指南-敏感个人信息识别指南》,对个人信息的敏感程度进行判定,并落实相应要求。
(3)建立个人信息授权同意管理平台(CMP),设置隐私更新弹窗等类似产品交互机制,个人信息处理情况发生变化时重新获得个人的同意
为更好地记录和管理用户的授权情况,履行合规证明,我们建议企业搭建个人信息授权同意日志管理平台,记录用户授权同意的情况,如个人信息的处理目的、方式、种类发生变更的,应当重新通过恰当方式取得个人同意。通常企业可采取设置隐私更新弹窗模块功能,在前述事宜发生变化时及时更新隐私政策,并通过同意平台圈选适用的用户人群包进行弹窗重获授权,用户不同意的则根据产品情况为其提供浏览模式或旧版模式,避免强迫用户同意。如个人信息的处理目的、方式、种类发生变更后可依赖除同意外的其他合法事由,则可仅通过站内信、push等方式告知用户即可。
2
个人行权响应
(1)搭建内部个人信息行权响应机制与工作规范
实践中,不少企业对个人信息主体行权响应的工作并不重视,对外公示的邮箱或客服电话往往没有专人维护,无法保障及时与专业地回复。但随着数据保护工作的深入、用户隐私意识的提升,个人行权如未及时处理,可能导致事件升级,对企业来说是一个非常大的风险敞口。因此,我们建议企业建立畅通的个人信息行权响应机制,根据企业情况设置专人专岗或明确工作流,制定工作流程与规范、个人信息行权响应话术,及时处理维护对外公示的邮箱中接收到的反馈问题。
(2)关注个人信息转移权
《个人信息保护法》第45条第三款规定了“个人信息转移权”,然而实践中,由于技术发展、商业竞争等多种原因,个人信息转移权一直未落实。本次《网数安全条例》通过单独条款明确了“个人信息转移权”的条件,企业需将这一权利的响应与落实列上日程。值得关注的是,条款中明确可适用转移权的个人信息是基于个人同意或履行合同所必需提供的个人信息,基于其他合法事由的个人信息不适用个人信息转移请求。
至于如何落实转移权以及适用的个人信息范围,可以参考TC260在今年4月发布的《数据安全技术 基于个人请求的个人信息转移要求》(征求意见稿),其中列明了3种个人信息转移的实现方式,具体如下:
转移权的实际落地,还取决于市场生态与技术的发展。目前国内头部企业多数产品已上线了个人信息副本下载或导出功能,这为转移权奠定了基础,但其仅是个人信息复制权的实现。国外已有部分产品落实了个人信息转移权,如Facebook,国内企业可做参考:
3
机构设置与人员管理
处理1000万以上个人信息的企业应在内部机构设置与人员管理方面开展以下工作:
(1)任命网络数据安全负责人和网络数据安全管理机构。网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历,由网络数据处理者管理层成员担任,如企业的CTO、CDO、CRO等,有权直接向有关主管部门报告网络数据安全情况。有关“管理层”的定义,《网数安全条例》未做进一步解释,根据《公司法》及相关法律,我们理解此处管理层相当于《公司法》所称的董事、监事、高级管理人员的范围,按照《公司法》定义,高级管理人员是指公司的经理、副经理、财务负责人,上市公司董事会秘书和公司章程规定的其他人员,即企业可以通过修改章程自定义高级管理人员的范围。至于具体人选的任命,我们建议视各自企业情况,与《网络安全法》规定的网络安全负责人(多称为CSO、CISO)、《数据安全法》规定的数据安全负责人(多称为CDO)、《个人信息保护法》中规定的个人信息保护负责人(实践中多称为DPO)分别设置或合并设置。
(2)关键岗位人员管理。企业应明确关键岗位清单,如系统管理岗位、信息安全岗位、数据治理岗位等与数据处理相关度高、权限大的岗位。针对关键岗位人员招聘建立安全背景审查机制,如过往履历中是否发生过网络安全事件,调查方式可包括在已有背调模板中添加有关网数安全方面的背调问题,由公司或第三方背调公司开展背调,或通过裁判文书网、行政处罚公示途径、公开新闻等渠道查询被调人是否存在网数安全方面的违法记录;此外,企业应要求关键岗位人员签署数据安全责任书或保密协议,内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容。
(3)加强网数安全培训。企业应制定培训计划,并对相关人员开展网络数据安全教育和培训,其中部分行业要求年度培训达到一定课时,如电信领域一般数据处理岗位年度培训不少于10个学时,重要数据处理岗位人员不少于20个学时。
4
个人信息保护合规审计
《网数安全条例》再次重申了个人信息保护合规审计要求,结合2023年8月国家网信办发布的《个人信息保护合规审计管理办法》(征求意见稿)《个人信息保护合规审计参考要点》以及今年7月TC260发布的《数据安全技术 个人信息保护合规审计要求》(征求意见稿),我们猜测个保审计规则将年底或明年出台。前述征求意见稿中要求处理超过100万个人信息的个人信息处理者应每年至少开展一次个保审计,其余应至少每2年开展一次个保审计。
因此,我们建议企业提前着手合规审计工作,委托专业机构全面开展合规审计,尽早发现内部数据合规风险点或问题项,落实整改措施,留存个人信息处理合规记录与合规审计报告,以衔接平台社会责任报告、合规自证等要求。
四
重要数据处理者的义务
1
重要数据处理者界定与重要数据识别
重要数据的定义与识别规则虽在多个法律法规及标准文件中出现,但各地区、各行业重要数据目录仍在探索制定中。过去两年部分行业主管部门仅就部分地区部分企业开展重要数据识别试点工作,如工信部的“数安护航”专项行动,依据《工业领域重要数据和核心数据识别指南(试行)》《电信领域重要数据和核心数据识别指南(试行)》开展重要数据识别试点工作,目前该等文件并未对外公示。
后《促进和规范数据跨境流动规定》提出“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”,侧面说明“企业如未被告知或公布涉及处理重要数据,则不构成重要数据处理者”,该逻辑同“关键信息基础设施运营者”。《网数安全条例》重申了此规则,将重要数据的识别与认定工作交给了监管部门。
我们理解,接下来重要数据识别工作将从部分试点走向全面推行,目前尚未接到重要数据识别通知的企业,仍应提前着手准备重要数据安全管理工作,梳理筹备重要数据处理者的合规义务,以便后续及时顺利地响应监管要求。
2
重要数据处理者的义务
企业可从如下几个方面,着手开展重要数据准备工作:
(1)内部机构设置
同上文处理1000万以上个人信息的企业的组织设置要求。
(2)重要数据识别与目录梳理
企业可根据所在行业制定的重要数据识别指南或公开的目录识别重要数据,并按要求填写重要数据目录,并按要求报主管部门。目前各行业可参考的重要数据识别规则如下:
行业 | 识别规则 | 示例 | 目录 |
工业领域 | 《工业领域重要数据和核心数据识别指南(试行)》 YD/T xxx《工业领域重要数据识别指南》 | 示例: • 汽车OTA升级中安全、节能、环保、防盗等技术参数; • 智慧工厂等高度智能化工厂的人工智能控制程序、算法、源代码、训练模型 数据、数据挖掘分析数据; • 100万人以上的个人信息 • 10万人以上具有一定特征群体的个人信息(军人、公务员等) | 《工业和信息化领域重要数据和核心数据目录备案表》 |
电信领域 | 《电信领域重要数据和核心数据识别指南(试行)》 YD/T 3867-2024《电信领域重要数据识别指南》 | 示例: • 网络关键设备、存储设备、网络安全专用产品数据库等重要设备和基础软件的具体型号、版本号数量、部署架构、配置策略等。 • 100万人以上的个人信息 • 10万人以上具有一定特征群体的个人信息(军人、公务员等) | 《工业和信息化领域重要数据和核心数据目录备案表》 |
汽车行业 | 《汽车数据安全管理若干规定(试行)》 | • 军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据; • 车辆流量、物流等反映经济运行情况的数据; • 汽车充电网的运行数据; • 包含人脸信息、车牌信息等的车外视频、图像数据; • 涉及个人信息主体超过10万人的个人信息; • 国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。 | 《汽车数据安全年度工作报告》 |
卫生健康领域 | 《卫生健康行业数据分类分级指南(试行)》 | 示例: • 100万人及以上个人信息或10万人敏感个人信息 • 全国性业务数据,如涉及10万人群体健康生理状况数据;涉及1万族群生物特征数据、医疗资源数据;涉及10万人特定药品实验数据等 | 《重要数据梳理识别情况汇总表》 |
(3) 重要数据风险评估
风险评估分为定期风险评估与触发型风险评估。定期评估是指重要数据处理者每年需对网络数据处理活动开展风险评估,并向省级以上有关主管部门报送评估报告,部分行业有特殊规定的还需遵循特殊规定,如汽车领域每年12月15日前向省级网信部门及通管部门报送汽车数据处理年报;工信领域每年12月25日前向省级网信部门及相关部门进行报送;触发型风险评估是指触发相应场景时,如委托处理、共同处理、对外提供重要数据的,重要数据处理者需开展风险评估;如基于履行法定职责或法定义务的情形委托处理、共同处理、对外提供重要数据的,则豁免风险评估。
如何开展风险评估?风险评估有哪些要素呢?风险评估报告何时向谁报送?根据现在已有规则,我们梳理了不同行业重要数据主体开展风险评估的要素、形式与报送要求等内容,具体如下:
主体 | 工业和电信领域重要数据处理者 | 汽车重要数据处理者 | 网络重要数据处理者 |
依据 | 《工业和信息化领域数据安全管理办法(试行)》 《工业和信息化领域数据安全风险评估实施细则(试行)》 YD/T3956-2024《电信领域数据安全风险评估规范》 | 《汽车数据安全管理若干规定(试行)》 | 《网数安全条例》 |
评估场景 | 年度:每年至少1次 新增评估: 1.新增跨主体提供、委托处理、转移核心数据的; 2.重要数据、核心数据安全状态发生变化对数据安全造成不利影响的,包括但不限于数据处理目的、方式、适用范围和安全制度策略等发生重大调整的; 3.发生涉及重要数据、核心数据的安全事件的; 4.重要数据和核心数据目录备案内容发生重大变化的; 5.行业监管部门要求进行评估的其他情形。 | 日常开展重要数据处理活动 | 年度:每年1次 日常:提供、委托处理、共同处理网络数据时 |
评估要素 | • 数据处理目的、方式、范围是否合法、正当、必要; • 数据安全管理制度、流程策略的制定和落实情况; • 数据安全组织架构、岗位配备和职责履行情况; • 数据安全技术防护能力建设及应用情况; • 数据处理活动相关人员是否熟悉数据安全相关政策法规、是否具备数据安全知识技能、是否接受数据安全相关教育培训等情况; • 发生数据遭到篡改、破坏、泄露、丢失或者被非法获取、非法利用等安全事件,对国家安全、公共利益的影响范围、程度等风险; • 涉及数据提供、委托处理、转移的,数据获取方或受托方的安全保障能力、责任义务约束和履行情况; • 涉及国家法律法规中规定需要申报的数据出境安全评估情形,履行数据出境安全评估要求情况。 | • 处理的重要数据的种类、数量、范围、保存地点与期限、使用方式 • 开展数据处理活动情况以及是否向第三方提供 • 面临的数据安全风险及其应对措施 | • 提供、委托处理、共同处理网络数据,以及网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要; • 提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险,以及对国家安全、公共利益或者个人、组织合法权益带来的风险; • 网络数据接收方的诚信、守法等情况; • 与网络数据接收方订立或者拟订立的相关合同中关于网络数据安全的要求能否有效约束网络数据接收方履行网络数据安全保护义务; • 采取或者拟采取的技术和管理措施等能否有效防范网络数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险; • 有关主管部门规定的其他评估内容。 |
报告形式 | 年度数据安全风险评估报告 | • 日常风险评估报告 • 汽车年度报告 | • 日常风险评估报告 • 年度风险评估报告 |
报送时间 | 评估完成后10个工作日内,每年12月25日前 | 随汽车年报一同在每年12月15日前报送 | 随年度风险评估报告一同报送,时间待各地行业主管部门明确 |
报送形式 | 各地省级通管局 | • 省级网信办 • 省级经信委/通管局(各地有所区别) | 各地主管部门,待明确 |
(4)并购重组时的重要数据管理
如涉及合并、分立、解散、破产等可能影响重要数据安全的,应当采取措施保障网络数据安全,并向省级以上有关主管部门报告重要数据处置方案、接收方的名称或者姓名和联系方式等;主管部门不明确的,应当向省级以上数据安全工作协调机制报告。
五
网络平台服务提供者的义务
《网数安全条例》设专章规定网络平台服务提供者的义务,常见的电商平台、应用程序分发平台、软件开放平台、预置应用的智能终端设备生产者、智能网联汽车运营商等均适用该等要求。
《网数安全条例》颁布前,《个人信息保护法》第58条提出过“重要互联网平台”的概念,但并未给出明确界定标准。后《互联网平台分类分级指南(征求意见稿)》(征求意见稿)中给出了界定标准,但至今仍为征求意见稿状态。
本次《网数安全条例》对“大型网络平台”给出了定义,即指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。
企业应识别自身是否构成大型网络平台服务提供者,并结合要求落实如下合规义务:
(1)成立主要由外部成员组成的个人信息保护监督机构,对平台个人信息保护情况进行监督。有关外部成员的任职与任免规则可参考《信息安全技术 大型互联网企业内设个人信息保护监督机构要求(征求意见稿)》;
(2)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(3)建立平台内对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者停止提供服务的机制;
(4)每年发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等,具体可参考CCIA发布的《数据安全和个人信息保护社会责任指南》(T/CCIA 002—2022)。
六
结语
随着监管审查的深化和用户隐私保护意识的提升,企业在数据安全和隐私保护方面的工作必须从最初的建设思维转变为落地执行和运营思维。过去从零开始搭建的合规体系已无法满足当前和未来的合规要求。因此,我们建议企业以《网数安全条例》为契机,建立专项项目,全面审视数据安全实践,开展个人信息保护的合规审计,制定重要数据的合规应对策略,以确保企业的稳健和安全发展。
数据隐私与网络安全专栏往期文章
作者介绍
袁立志律师先后从上海对外经贸大学和新加坡国立大学取得国际法硕士和国际商法硕士学位,并于2006年取得律师执业资格证,2016年作为合伙人加入竞天公诚律师事务所。
袁律师是注册信息隐私专业人员(CIPP/E)、注册信息隐私管理人员(CIPM)、注册信息安全专业人员(CISP),参与多项信息安全国家标准的编制,并兼任华东师范大学法学院校外实务导师,“数据安全推进计划”智库专家,Welegal法商学院特聘导师。
袁律师专注于网络与数据法、前沿科技法律服务,为众多知名的互联网、大数据、人工智能、自动驾驶等领域的企业提供法律服务。
袁律师自2019年起连续多年名列Legal 500数据保护或TMT领域“特别推荐律师”,以及Legal Band中国顶级律师排行榜“网络安全与数据”第一梯队;先后荣获中国法律商务(China Law & Practice)年度网络安全杰出律师提名,Ace Legaltech Award年度大奖“Top 20 Data Privacy Lawyers”,ALB China十五佳网络安全与数据保护律师等奖项。
袁立志律师历史文章
朱垒律师获法学硕士学位,法学、经济学双学士学位并持有CIPP/E、CIPM、FIP、AIGP等证书资格。朱律师曾在多家头部互联网企业从事隐私保护与数据安全工作,参与多部国家标准、行业标准、协会文件等制定工作。朱律师的执业领域为网络与数据法、TMT合规、科技法律事务,已服务多家头部互联网、人工智能、汽车、医疗、云服务、新零售、物流、能源等企业。
朱垒律师历史文章
