8月3日,国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《征求意见稿》”)。该《征求意见稿》明确提出,处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。
走出去智库(CGGT)特约法律专家、中伦律师事务所合伙人李瑞与顾问贾申认为,本次《征求意见稿》主要是对《个人信息保护法》第54条和第64条所确定的个人信息保护合规审计机制的细化与补充。根据《征求意见稿》第13条,国家网信部门将会同公安机关等国务院有关部门建立个人信息保护合规审计专业机构推荐目录,并每年对专业机构开展评估评价,根据评估评价情况动态调整推荐目录。个人信息处理者可以优先选择推荐目录中的专业机构开展合规审计,但并非强制要求。
《征求意见稿》有哪些具体规定?今天,走出去智库(CGGT)刊发中伦律师事务所李瑞、贾申、钟俊鹏、姚远的文章,供关注个人信息合规管理的读者参阅。
要 点
1、监管部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者进行合规审计。
2、专业机构在开展合规审计时应保持独立性和客观性,连续为同一审计对象开展个人信息保护合规审计不得超过三次。
3、《征求意见稿》还包含了一份名为《个人信息保护合规审计参考要点》(以下简称“《参考要点》”)的附件。《参考要点》较为全面地覆盖了个人信息保护处理活动在组织管理、全生命周期保护方面的基础性合规义务。企业不仅可以根据《参考要点》推进实施审计,也可以对照相关要求开展个人信息保护日常检查、进行查缺补漏。
文/李瑞、贾申、钟俊鹏、姚远,中伦律师事务所
2023年8月3日,国家互联网信息办公室发布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《征求意见稿》”),向社会公开征求意见。本次《征求意见稿》主要是对《个人信息保护法》第54条和第64条所确定的个人信息保护合规审计机制的细化与补充。根据《个人信息保护法》,个人信息保护合规审计(以下简称“合规审计”)主要分为以下两类:
• 一类是定期自行审计,即个人信息处理者定期对其处理个人信息遵守法律、行政法规的情况进行合规审计;
• 另一类是专项强制审计,即履行个人信息保护职责的监管部门(以下简称“监管部门”)在一定情形下,可要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
作为一项法定义务,合规审计不仅是企业自纠自查的必要手段,也是监管部门监督企业落实法律法规义务的重要工具。本次《征求意见稿》为合规审计工作制定了具体的执行规则,填补了自《个人信息保护法》规定合规审计机制以来相关下位规范的空白。[1]对企业开展合规审计、建立多层次的个人信息保护体系、提升个人信息保护能力水平具有重要意义。
我们通过本篇短文对《征求意见稿》的重要内容进行了归纳总结,主要提炼了以下五个主要方面,以供读者参考。
一、 个人信息保护合规审计的含义
合规审计是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。(第3条)
二、 自行审计需要关注的要点
1.自行审计可以由谁开展?
自行审计既可以由本组织内部机构开展,以内审方式开展,也可以自行委托专业机构开展。(第5条)
2.自行审计的频率如何确定?
• 处理超过100万人个人信息的个人信息处理者至少1年开展1次合规审计;
• 其他未达100万人的个人信息处理者至少2年开展1次合规审计。(第4条)
三、 强制审计需要关注的要点
1.强制审计的触发情形为何?
监管部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者进行合规审计。(第6条)
2.强制审计可以由谁开展?
强制涉及只能由个人信息处理者委托专业机构进行审计,且个人信息处理者应当在收到监管部门通知后尽快按照要求选定专业机构。(第6条、第7条)
3.强制审计的持续多长时间?
强制审计的情形下,专业机构应当在90个工作日内完成合规审计;情况复杂的,报监管部门批准后可适当延长。(第9条)
4.强制审计过程中个人信息处理者有哪些义务?
个人信息处理者应当保证专业机构能够正常行使下列权限(第8条):
(1) 要求提供或者协助查阅相关文件或资料;
(2) 进入个人信息处理活动相关场所;
(3) 观察场所内发生的个人信息处理活动;
(4) 调查相关业务活动及所依赖的信息系统;
(5) 检查、测试个人信息处理活动相关设备设施
(6) 调取、查阅个人信息处理活动相关数据或信息;
(7) 访谈与个人信息处理活动有关的人员;
(8) 就相关问题进行调查、质询和取证;
(9) 其他开展合规审计工作所必需的权限。
5.审计结束后个人信息处理者有哪些义务?
•报送审计报告:在实施必要合规审计程序后,个人信息处理者应及时将专业机构出具的合规审计报告报送监管部门,且报告应当由合规审计负责人、专业机构负责人签字并加盖专业机构公章。(第10条)
• 根据专业机构意见整改:个人信息处理者应当按照专业机构给出的整改建议进行整改。(第11条)
• 整改复核后再次报送:经专业机构复核后,个人信息处理者应将整改情况再次报送监管部门。(第11条)
四、专业机构的选任与义务
1.专业机构的选任
根据《征求意见稿》第13条,国家网信部门将会同公安机关等国务院有关部门建立个人信息保护合规审计专业机构推荐目录,并每年对专业机构开展评估评价,根据评估评价情况动态调整推荐目录。
个人信息处理者可以优先选择推荐目录中的专业机构开展合规审计,但并非强制要求。
2.不得连续三次为同一审计对象开展审计
专业机构在开展合规审计时应保持独立性和客观性,连续为同一审计对象开展个人信息保护合规审计不得超过三次。(第12条)
3.遵守诚信正直和公正客观
专业机构在开展合规审计时,应诚信正直,公正客观地作出合规审计职业判断。(第14条)
4.不得转包委托
专业机构不能转包委托第三方开展相关审计工作。(第14条)
5.对审计相关信息保密
专业机构在履行合规审计职责中获得的信息,只能用于合规审计的需要,不得用于其他用途,专业机构应当对获得的信息承担保密责任,且应当采取相应技术措施和其他必要措施保障数据安全。(第14条)
6.不得恶意干扰正常经营
专业机构在履行合规审计职责时不得恶意干扰个人信息处理者正常经营活动。(第14条)
7.不得出具虚假、失实报告
专业机构有出具虚假、失实报告等违规行为的,个人信息处理者及相关方可向监管部门投诉,经监管部门核实后,将永久禁止其列入专业机构推荐目录。(第14条)
五、合规审计的参考要点
《征求意见稿》还包含了一份名为《个人信息保护合规审计参考要点》(以下简称“《参考要点》”)的附件。根据《参考要点》第1条的表述,该附件仅为开展个人信息保护合规审计提供参考,并不具有强制拘束力。
但是,《参考要点》已经较为全面地覆盖了个人信息保护处理活动在组织管理、全生命周期保护方面的基础性合规义务。企业不仅可以根据《参考要点》推进实施审计,也可以对照相关要求开展个人信息保护日常检查、进行查缺补漏,并在此基础上细化形成合规义务清单。
以下表格总结了《参考要点》的主要内容:
审查内容 | 重点关注事项 |
合法性基础 | o 是否取得个人同意,同意是否在个人信息主体充分知情的前提下自愿、明确作出。 o 基于个人同意处理个人信息: o 个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,是否重新取得个人同意; o 是否为个人提供便捷的撤回同意的方式; o 是否对个人同意的操作进行记录; o 是否存在以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务的情况,处理个人信息属于提供产品或者服务所必需的除外; o 未取得个人同意,是否属于法律、行政法规规定不需取得个人同意的情形。 |
个人信息处理规则 | o 是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式; o 是否以清单形式列明所收集的个人信息及其处理目的、方式、范围; o 是否明确个人信息存储期限或者存储期限的确定方法、到期后的处理方式,以及确保存储期限为实现处理目的所必要的最短时间; o 是否明确个人查阅、复制、加工、转移、更正、补充、删除、公开、限制处理个人信息以及注销账号、撤回同意的途径和方法; o 向第三方提供个人信息的,是否明确向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,是否取得个人的单独同意。 |
告知义务 | o 在处理个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则; o 告知文本的大小、字体和颜色是否便于个人完整阅读告知事项; o 线下告知是否通过标注、说明等多种方式向个人履行告知义务; o 在线告知是否提供文本信息或通过适当方式向个人履行告知义务; o 个人信息处理规则发生变更的,是否将变更内容及时告知个人。 |
共同处理 | o 是否约定各自的权利义务; o 各方采取的个人信息保护措施; o 个人信息权益保护机制; o 个人信息安全事件报告机制; o 侵害个人信息权益造成损害的,各方应当承担的责任; o 其他法律、行政法规规定需要约定的权利和义务。 |
委托处理 | o 在委托处理个人信息前,是否开展个人信息保护影响评估; o 与受托人签订的合同,是否约定了委托处理的目的、期限、方式及个人信息的种类、受托人应当采取的技术措施和管理措施、双方的权利义务等; o 是否采取定期检查等方式,对受托人的个人信息处理活动进行监督,以确保委托处理个人信息的活动符合法律规定; o 受托人是否严格按照委托合同的约定处理个人信息,是否存在超出约定的处理目的、处理方式处理个人信息的情况; o 当委托合同不生效、无效、被撤销或者终止时,受托人是否将个人信息返还个人信息处理者或者予以删除; o 受托人是否存在转委托他人处理个人信息的情况,是否得到个人信息处理者的同意。 |
因合并、重组、分立、解散、被宣告破产等原因转移个人信息 | o 个人信息处理者是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类; o 接收方是否继续履行个人信息处理者的义务; o 接收方变更处理目的、处理方式的,是否依照法律、行政法规规定重新取得个人同意。 |
向其他个人信息处理者提供个人信息 | o 是否取得个人的单独同意; o 是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类; o 接收方是否在双方约定的处理目的、处理方式和个人信息的种类等范围内处理个人信息; o 变更处理目的、处理方式的,是否依照法律、行政法规规定重新取得个人同意; o 是否事前进行个人信息保护影响评估。 |
自动化决策 | 重点评价自动化决策的透明度和结果的公平性、公正性: o 是否事前主动告知个人自动化决策处理个人信息的种类及可能带来的影响; o 是否事前对算法模型进行安全评估,并按国家相关规定进行备案,以尽可能减少自动化决策算法模型存在的缺陷,当应用场景和主要功能发生变化时,是否对算法模型重新进行评估; o 是否事前对算法模型进行科技伦理审查; o 是否事前进行个人信息保护影响评估; o 是否向用户提供保障机制,以便用户可以通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定,或要求个人信息处理者就应用自动化决策方式作出对用户个人权益有重大影响的决定予以说明; o 是否向用户提供删除或者修改用于自动化决策服务的针对其个人特征的用户标签功能; o 是否采取必要措施对算法和参数模型进行保护; o 是否对个人信息处理、标签管理、模型训练等自动化决策过程中的人工操作进行记录,防范人为恶意操纵自动化决策信息和结果; o 向个人进行信息推送、商业营销时,是否同时提供不针对个人特征的选项,或者提供便捷的拒绝自动化决策服务的方式; o 是否采取了有效措施,防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇; o 是否存在其他可能影响自动化决策的透明度和结果公平、公正的事项。 |
公开处理 | o 公开其处理的个人信息前是否取得个人单独同意,该授权是否真实、有效,是否存在违背个人意愿将个人信息予以公开的情况; o 公开个人信息前,是否进行了个人信息保护影响评估。 |
在公共场所安装图像采集、个人身份识别设备 | 重点对其安装图像采集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查: o 是否为维护公共安全所必需,是否存在为商业目的处理所采集信息的情况; o 是否设置了显著的提示标志; o 若个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的,是否取得个人单独同意。 |
处理已公开个人信息 | o 是否向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的信息; o 是否利用已公开的个人信息从事网络暴力活动; o 是否处理个人明确拒绝处理的已公开个人信息; o 处理已公开的个人信息对个人权益造成重大影响的,是否取得个人同意。 |
处理敏感个人信息 | o 处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,是否事前取得个人的单独同意; o 处理不满十四周岁未成年人的个人信息,是否事前取得未成年人的父母或者其他监护人的同意; o 处理敏感个人信息的目的、方式是否合法、正当、必要; o 敏感个人信息处理是否与提供商品或者服务、履行法定职责或者法定义务等特定的目的密切相关,是否以非必要不处理为原则; o 是否在事前进行个人信息保护影响评估,并向个人告知处理敏感个人信息的必要性以及对个人权益的影响; o 法律、行政法规规定应当取得书面同意的,是否取得书面同意; o 是否对处理敏感个人信息的过程进行了记录,以保障处理敏感个人信息流程合法合规。 |
处理不满十四周岁未成人个人信息 | o 是否制定专门的未成年人个人信息处理规则; o 是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性及处理个人信息的种类、所采取的保护措施等; o 是否存在强制要求未成年人或者其监护人同意非必要的个人信息处理的行为。 |
向境外提供个人信息 | o 关键信息基础设施运营者和处理100万人以上个人信息的个人信息处理者向境外提供个人信息是否经过国家网信部门组织的安全评估; o 自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的个人信息处理者向境外提供个人信息是否经过国家网信部门组织的安全评估; o 是否存在向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息的情形,若有,是否经过中华人民共和国主管机关批准; o 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,是否按照其规定执行; o 是否按照国家网信部门的规定,经专业机构进行个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同,或者符合法律、行政法规、国家网信部门规定的其他条件; o 是否了解境外接收方所在国家或者地区的个人信息保护政策和网络安全环境对出境个人信息的影响; o 是否存在违规向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息的情形。 |
个人信息处理者向境外提供个人信息,应当采取必要措施,保障境外接收方处理个人信息的活动达到《中华人民共和国个人信息保护法》规定的个人信息保护标准。审计时应当重点审查个人信息处理者对境外接收方采取监督措施的有效性,包括但不限于: o 是否了解和掌握境外接收方的情况,特别是接收方是否具备必要的个人信息保护能力; o 是否向境外接收方告知我国法律、行政法规对个人信息保护的要求,并要求境外接收方采取相应的保护措施; o 是否采取签订协议、定期核查等方式,督促境外接收方切实履行个人信息保护义务。 | |
个人信息删除权的保障 | 重点审查下列情形个人信息删除的情况: o 个人信息处理目的已实现、无法实现或者为实现处理目的不再必要; o 停止提供产品或者服务,或者个人注销账号; o 达到与个人约定的存储期限; o 个人撤回同意; o 因使用自动化采集技术等,无法避免采集到非必要个人信息或者未经同意的个人信息; o 个人信息处理者违反法律、行政法规或者违反约定处理个人信息。 法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全措施之外的处理。 |
个人信息权利的响应 | o 是否建立个人行使权利的申请受理机制; o 是否向个人提供便捷的查阅、复制、转移、更正、补充、删除个人信息的方法; o 是否及时响应个人行使权利的申请,是否及时、完整、准确告知处理意见或者执行结果。 个人信息主体要求对个人信息处理规则进行解释说明时: o 个人信息处理者是否提供便捷的方式和途径,接受、处理个人关于个人信息处理规则解释说明的要求; o 接到个人的要求后,个人信息处理者是否在合理的时间内,使用通俗易懂的语言对其个人信息处理规则作出解释说明。 |
个人信息处理者主体责任 | o 个人信息保护制度制定、组织架构、管理程序与处理个人信息的性质、规模、复杂程度、风险程度的适应性; o 个人信息保护职责分工是否合理、职责是否明确、报告关系是否清晰; o 个人信息处理者为个人信息保护提供的人、财、物保障与企业业务规模、运营计划、个人信息合规风险管理的匹配性。 |
个人信息处理者个人信息保护内部管理制度和操作规程 | o 个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定; o 个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应; o 是否根据个人信息的种类、来源、敏感程度、用途等,对个人信息进行分类,并采取有针对性的管理或者安全技术措施; o 是否建立个人信息安全事件应急响应机制; o 是否建立个人信息保护影响评估、合规审计制度; o 是否建立畅通的个人信息保护投诉举报受理流程; o 是否制定实施个人信息保护安全教育和培训计划; o 是否建立个人信息保护负责人及相关人员履职评价制度; o 是否建立针对个人信息处理相关人员的个人信息违规处置或者违规行为责任制度,并有效实施。 |
个人信息处理者采取的技术措施的有效性 | o 是否参照有关国家标准或者技术要求,采取相应安全技术措施实现个人信息的保密性、完整性、可用性; o 是否采取加密、去标识化等安全技术措施,确保在不借助额外信息的情况下,消除或者降低个人信息的可识别性; o 采取的安全技术措施能否合理确定有关人员查阅、复制、传输等个人信息的操作权限,减少个人信息在处理过程中未经授权的访问和滥用风险。 |
个人信息处理者教育培训计划的制定和实施情况 | o 是否按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训,是否对相应人员的个人信息保护意识和技能进行考核; o 培训内容、培训方式、培训对象、培训频率等能否满足个人信息保护需要。 |
个人信息保护负责人 | 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,对个人信息处理活动的合规性负责。审计时,应当重点审查下列事项: o 个人信息保护负责人是否具有相关的工作经历和专业知识,熟悉个人信息保护相关法律、行政法规; o 个人信息保护负责人是否具有明确清晰的职责,是否被赋予充分的权限协调组织内个人信息处理相关部门与人员; o 个人信息保护负责人是否有权提名个人信息保护团队负责人,并与其保持顺畅的沟通和联系; o 个人信息保护负责人在个人信息处理重大事项决策前是否有权提出相关意见和建议; o 个人信息保护负责人是否有权对组织内部个人信息处理的不合规操作进行制止和采取必要的纠正措施; o 个人信息处理者是否公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。 |
个人信息保护影响评估情况 | o 是否依照法律、行政法规的规定,在进行对个人权益具有重大影响的个人信息处理活动前通过个人信息保护影响评估; o 是否对个人处理活动的合法性、正当性和必要性进行了分析评估,是否存在过度收集个人信息的情况; o 是否对限制个人自主决定权、引发差别性待遇、导致个人名誉受损或者遭受精神压力、造成人身财产受损等安全风险进行了分析评估; o 是否对所采取的保护措施的合法性、有效性、适应性进行了分析评估; o 个人信息保护影响评估报告和处理记录是否至少保存三年。 |
个人信息安全事件应急预案 | 应当对应急预案的全面性、有效性、可执行性作出评价,包括但不限于下列内容: o 是否结合业务实际,对面临的个人信息安全风险作出了系统评估和预测; o 指导思想、基本策略,组织机构、人员,技术、物资保障及指挥处置程序、应急和支持措施等是否足以应对预测的风险; o 是否对相关人员进行应急预案培训,定期对应急预案进行演练。 |
个人信息安全事件应急响应处置情况 | o 是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害,分析、确定事件发生的原因,提出防止危害扩大的措施方案; o 是否建立通报渠道,能否在事件发生后72小时内通知履行个人信息保护职责的部门和个人; o 是否采取相应措施将个人信息安全事件可能造成的损失和可能产生的危害风险降低到最小。 |
大型互联网平台运营者[2] | 大型互联网平台运营者应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。审计时,应当对独立机构的独立性、履职能力、监督作用等进行评价。 o 评价独立机构对个人信息保护情况进行监督的独立性,重点审查外部成员与个人信息处理者及其主要股东是否存在可能妨碍其进行独立客观判断的关系; o 评价外部成员的履职能力,重点审查外部成员是否具备相应的专业知识、能力和经验,能否对个人信息处理者的个人信息保护情况进行监督、指导,发表客观公正的意见建议; o 评价独立机构的监督作用,重点审查独立机构在个人信息处理者合规制度体系建设、平台规则制定、重大个人信息安全事件处置、督促企业履行社会责任等方面发挥的作用。 |
针对大型互联网平台规则,应当重点审计下列事项: o 评价平台规则的合法合规性,是否存在与法律、行政法规相抵触的情况; o 评价平台规则的公平公正性,是否存在恶意竞争、影响消费者权益等违反公平竞争原则、诚实信用原则、公序良俗的内容; o 评价平台规则个人信息保护条款的有效性,是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务,是否对平台内经营者处理个人信息行为进行规范,平台内经营者的个人信息保护义务是否明确; o 检查平台规则的执行情况,通过抽样等方式验证平台规则是否被有效执行。 | |
大型互联网平台运营者应当对其平台内产品或者服务提供者的个人信息处理活动进行监督。审计时,应当重点审查下列事项: o 是否定期审核平台内产品或者服务提供者个人信息处理规则的合法性、合理性; o 是否定期对平台内产品或者服务提供者处理个人信息遵守法律、行政法规情况进行审核; o 对于严重违反法律、行政法规处理个人信息的产品或者服务提供者,平台是否及时停止向其提供服务。 | |
大型互联网平台运营者应当每年发布个人信息保护社会责任报告。审计时,应当重点审查社会责任报告下列内容的披露情况: o 个人信息保护组织架构和内部管理情况; o 个人信息保护能力建设情况; o 个人信息保护措施和成效; o 个人行使权利的申请受理情况; o 独立监督机构履职情况; o 重大个人信息安全事件处理情况; o 法律、行政法规规定的其他情况。 |
注释:
1. 2021年12月,中国内部审计协会、中国银行业协会、中国通信标准化协会互联网医疗健康标准推进委员会的指导下,由中国信通院云大所牵头组织的“个人信息保护合规审计推进小组”曾发布《关于推进个人信息保护合规审计的若干建议》,对合规审计机制的开展与审计要点提出了相关设计与建议,但该文件并无监管效力。
2.根据《网络安全数据管理条例(征求意见稿)》,大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
免责声明:
本文仅代表原作者观点,不代表走出去智库立场。
作者简介
李瑞
走出去智库(CGGT)特约法律专家
中伦律师事务所合伙人
李律师是中伦北京办公室的合伙人,业务专长为投资并购、网络安全及数据合规、及反垄断和竞争法业务。她的客户包括大型跨国公司、国有企业、民营企业、上市公司、私募投资基金等各种不同类型的客户,涉及汽车、半导体、芯片、无线通信、人工智能、互联网、机车及铁路产品、化工、零售、能源矿产、文旅等行业。
自从2007年加入中伦北京办公室以来,李律师为多家企业的战略投资、融资、合规及日常经营提供了多方位的法律服务支持,其中既包括协助跨国公司在中国开展投融资交易,也包括协助中国企业在海外开展投资并购交易。近年来,李律师还协助多家知名企业在中国开展网络安全及数据合规、个人信息保护及隐私、反垄断合规方面的工作,覆盖企业经营的各方各面。在合规方面,李律师提供的法律服务不仅包括大型投融资交易项目中的反垄断申报、投资安全审查、网络安全审查等合规申报程序,也包括协助公司建立内部合规体系、应对中国监管部门的调查、办理数据出境安全评估等专项程序及数据安全事故处理等各方各面。
李律师在多个项目中担任主要承办律师。她参与过多个广受关注的海内外投资并购项目,其中包括数个交易金额数十亿美元的并购和合资项目,以及若干标杆性的合规政府调查及诉讼项目。在这些项目中,李律师从法律及从商业角度深入了解客户需求和交易需要、为客户提供实务解决方案,获得客户的高度评价。
贾申
走出去智库(CGGT)特约法律专家
中伦律师事务所顾问
贾申律师是中伦律师事务所北京办公室的顾问。贾律师曾于京东方科技集团担任合规中心中心长,曾任国家商务部反垄断局副调研员、驻欧盟和东盟使领馆领事、北京某中级人民法院涉外经济庭法官。贾律师毕业于清华大学,并获得法律硕士学位。
贾律师负责企业合规体系建设,包括合规方案、合规管理制度、合规行为准则等;长期负责合规风险管理和海外投资项目,包括反垄断、商业秘密、贸易调查应对、出口管制&经济制裁、中国PIPL和欧盟GDPR等数据合规(取得欧盟GDPR第三方认证)、美国CFIUS审查、海外直接投资等。贾律师参与北京国资委第一批合规试点项目,参与制订《北京市管企业合规管理工作实施方案》,兼任中国贸促会全国企业合规委员会专家、浙江省外贸企业合规专家。
贾律师2021年荣获《商法》年度跨境合规、科技与电信优秀法务个人大奖,2020年荣获《法治日报》年度“最具法治影响力个人”奖,2019年荣获《法制日报》评选“一带一路”十佳法律合规团队,2018年荣获《首席法务官》杂志评选全国十佳合规总监。
贾律师曾为多家互联网企业提供数据和合规体系服务,包括唯品会、昆仑万维集团、碧捷科技、搜狗公司等;为多家企业提供应对政府调查和网络安全审查服务。
贾律师是中国贸促会全国企业合规委员会专家,并就反垄断、个人信息保护、出口管制制裁、企业合规实践等多次受邀在北京市律协、国内外著名律师事务所、世界500强央企、民企、外企和咨询公司等授课。
钟俊鹏
中伦律师事务所非权益合伙人
北京办公室
姚远
中伦律师事务所律师
北京办公室
*蒲昱含对本文亦有贡献
声明:本文来自走出去智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
