bookworm-smart-assistant/skills/legal-review-skill/references/data-compliance.md

# 数据合规与个人信息保护审查指南

## 适用法规

- 《中华人民共和国个人信息保护法》（2021年11月1日施行）
- 《中华人民共和国数据安全法》（2021年9月1日施行）
- 《中华人民共和国网络安全法》（2017年6月1日施行）
- 《信息安全技术 个人信息安全规范》（GB/T 35273-2020）
- 《数据出境安全评估办法》
- 《个人信息出境标准合同办法》

## 个人信息处理合法性基础

**法律依据**：《个人信息保护法》第13条

处理个人信息应当具备下列情形之一：

1. **取得个人同意**（最常用基础）
2. 为订立、履行合同所必需
3. 为履行法定职责或法定义务所必需
4. 为应对突发公共卫生事件或紧急情况下保护自然人的生命健康和财产安全所必需
5. 为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息
6. 依照本法规定在合理的范围内处理个人自行公开或其他已经合法公开的个人信息
7. 法律、行政法规规定的其他情形

## 知情同意审查要点

### 同意的有效性要件

**法律依据**：《个人信息保护法》第14条

有效同意必须满足：
- **充分知情**：告知内容完整、清晰、易懂
- **自愿**：不得以不同意为由拒绝提供产品或服务（必要范围除外）
- **明确**：同意行为明确、肯定
- **可撤回**：提供便捷的撤回同意方式

### 告知事项清单

**法律依据**：《个人信息保护法》第17条

必须告知的内容：
1. 个人信息处理者的名称或者姓名和联系方式
2. 个人信息的处理目的、处理方式
3. 处理的个人信息种类、保存期限
4. 个人行使本法规定权利的方式和程序
5. 法律、行政法规规定应当告知的其他事项

### 单独同意场景

以下情形需要取得**单独同意**：
- 向其他个人信息处理者提供个人信息
- 公开个人信息
- 处理敏感个人信息
- 向境外提供个人信息

### 常见违规情形

| 违规情形 | 风险等级 | 法律依据 |
|----------|----------|----------|
| 未提供隐私政策或内容不完整 | 高 | 第17条 |
| 一揽子授权，未提供分项选择 | 高 | 第14条 |
| 以不同意为由拒绝提供核心服务 | 高 | 第16条 |
| 未提供撤回同意的便捷方式 | 中 | 第15条 |
| 默认勾选同意 | 高 | 第14条 |

## 敏感个人信息处理

**法律依据**：《个人信息保护法》第28-32条

### 敏感个人信息定义

一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括：
- 生物识别信息（人脸、指纹、虹膜等）
- 宗教信仰
- 特定身份
- 医疗健康
- 金融账户
- 行踪轨迹
- **不满十四周岁未成年人的个人信息**

### 处理敏感信息的额外要求

1. 具有特定的目的和充分的必要性
2. 取得**单独同意**（处理不满14周岁未成年人信息需取得监护人同意）
3. 进行**个人信息保护影响评估**
4. 额外告知处理敏感信息的必要性及对个人权益的影响

## 跨境数据传输审查

**法律依据**：《个人信息保护法》第38-43条、《数据出境安全评估办法》

### 跨境传输合法路径

1. **安全评估**：向国家网信部门申报安全评估
2. **保护认证**：通过专业机构进行个人信息保护认证
3. **标准合同**：与境外接收方订立个人信息出境标准合同

### 安全评估门槛

以下情形必须申报安全评估：
- 关键信息基础设施运营者向境外提供个人信息
- 向境外提供重要数据
- 处理100万人以上个人信息的处理者向境外提供个人信息
- 累计向境外提供10万人个人信息或1万人敏感个人信息

## 数据安全义务审查

**法律依据**：《数据安全法》、《网络安全法》

### 核心义务清单

1. **数据分类分级**：建立数据分类分级保护制度
2. **安全管理制度**：制定内部管理制度和操作规程
3. **技术措施**：采取相应的技术措施保障数据安全
4. **数据安全负责人**：重要数据处理者应当设立数据安全负责人
5. **风险评估**：定期开展数据安全风险评估
6. **应急响应**：建立数据安全应急处置机制

## 个人信息主体权利保障

**法律依据**：《个人信息保护法》第44-50条

必须保障的权利：
1. **知情权、决定权**
2. **查阅权、复制权**
3. **更正权、补充权**
4. **删除权**
5. **要求解释权**
6. **可携带权**（向指定处理者转移）

## 隐私政策审查清单

| 审查项 | 要求 | 风险等级 |
|--------|------|----------|
| 处理者身份 | 必须载明名称、联系方式 | 高 |
| 处理目的 | 必须明确、具体 | 高 |
| 信息类型 | 必须列明收集的信息种类 | 高 |
| 保存期限 | 必须明确期限或确定方式 | 中 |
| 第三方共享 | 必须说明共享对象、目的 | 高 |
| 跨境传输 | 如有，必须单独告知并取得同意 | 高 |
| 权利行使 | 必须提供行使权利的途径 | 中 |
| 未成年人 | 如收集需特别说明 | 高 |
| 更新机制 | 应说明更新时的通知方式 | 低 |

## 审查输出示例

```
风险等级：高
条款位置：隐私政策第3条"信息共享"
现有表述："我们可能会与合作伙伴共享您的个人信息以提供更好的服务"

问题描述：
1. "合作伙伴"表述模糊，未明确共享对象
2. "可能"表述不确定，未明确共享目的
3. 未说明共享的信息类型
4. 未取得单独同意

法律依据：《个人信息保护法》第23条
"个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意"

修改建议：
修改为"在以下场景，我们会在获得您的单独同意后向以下第三方共享您的个人信息：
（一）[具体场景]：向[具体接收方名称及联系方式]共享[具体信息类型]，用于[具体目的]
..."
```