本书结构清晰、体系完整，可使读者快速获得数据合规工作的全景式认知。
开篇 明确了企业数据合规工作的基本工作范围和避坑红线。
入门篇 梳理了我国及美欧的数据保护立法体系与监管情况，作为入门必备。
进阶篇 介绍了企业数据合规工作的必备通用场景，如个保法落地、隐私政策开发、账号注销、员工个人信息保护等。
高阶篇 讲解企业数据合规工作中的高难复杂场景，如个性化推荐、数据共享、生物识别信息使用、出海业务的跨境传输、企业上市中的数据合规问题等，并展望了数据合规律师向数据保护官转变的跨越式发展路径和能力要求。
附录 提供了一线数据合规工作的实用工具，如常用法条清单、数据本地存储的要求汇总等。

孟洁，现任北京市环球律师事务所合伙人，主要执业领域为网络安全、个人信息与隐私保护。曾在多家知名企业担任法务负责人和数据保护官，任IAPP中国区知识社区主席，被钱伯斯、The Legal500、LEGALBAND等知名法律评级机构评为“TMT领域领军人物”“数据保护领域领军人物”“Fintech领域头部律师”等，被北京市律协评为全国干名涉外专家律师。

自序
开篇 小白入职“数据合规”法务岗位，一头雾水怎么办
第一章 “数据合规”都管哪些事儿
第一节 这些数据很重要：用户数据、个人信息、隐私
第二节 要管理的数据处理活动太多了：覆盖数据全生命周期
第三节 数据合规工作面面观：政策研究、合规评估、管理体系、技术措施
小结
第二章 数据合规之避坑预警
第一节 避坑点之产品端在线协议
第二节 避坑点之内部管控
小结
入门篇 对症下药，小白必知的合规要求
第三章 我国数据合规立法体系与监管要求
第一节 现行数据合规立法体系
第二节 多重监管要求的对比分析
第三节 数据合规违法案例
小结
第四章 如何让《个人信息保护法》在业务中落地
第一节 摸排场景：识别个人信息和主体身份
第二节 遵循个人信息处理的基本规则和通用义务
第三节 遵循个人信息处理的特殊义务
第四节 个人信息主体的权利及其他
小结
第五章 欧盟数据保护立法体系与监管要求
第一节 欧盟数据保护立法概况
第二节 欧盟数据保护监管案例
小结
第六章 美国数据保护立法体系及监管要求
第一节 美国数据保护立法概况
第二节 美国数据保护监管案例
小结
进阶篇 不得不知，小白最常遇到的普通场景
第七章 “告知同意”就是用户“点击同意隐私政策”吗
第一节 “告知同意”法典化概况
第二节 “告知”规则的适用要求
第三节 获取个人的有效“同意”
小结
第八章 隐私政策不能抄！那该怎么办
第一节 用户同意的隐私政策是合同吗
第二节 隐私政策的合规要求
第三节 隐私政策的开发路径
小结
第九章 账号注销，落实起来不容易
第一节 账号注销，这事儿必须做
第二节 账号注销需要哪些流程才能完成
第三节 用户注销账号之后，企业还需要做什么
小结
第十章 员工个人信息保护，这事儿不能忘
第一节 雇用中国籍员工的注意事项
第二节 雇用外国籍员工的注意事项
第三节 境外分支机构雇用员工的注意事项
小结
高阶篇 见招拆招，小白化身数据合规专家应对高难场景
第十一章 更懂你的精准营销和个性化推荐
第一节 为什么广告是为我量身定做的：精准营销
第二节 为什么互联网产品总能“猜你喜欢”：个性化推荐
第三节 解开算法中的你和我
小结
第十二章 数据要素效能发挥：数据共享与交易
第一节 数据共享与交易的困境
第二节 平台企业有数据垄断“原罪”吗
小结
第十三章 生物识别技术的发展：人脸识别的恐慌与合规
第一节 辨析人脸识别技术及其应用场景
第二节 映射人脸识别的数据合规要点
小结
第十四章 出海业务中如何跨境传输数据才不碰雷
第一节 第一道雷：数据本地化
第二节 第二道雷：跨境传输合规机制
第三节 避雷指南：出海业务跨境传输合规三步走
小结
第十五章 企业上市中的数据合规：全面布局
第一节 证监会上市要求洞察与分析
第二节 拟上市企业的前期准备
第三节 企业上市后的合规保健
小结
第十六章 月薪10万元是个小目标：职业跨越式发展
第一节 从数据合规律师到数据保护官
第二节 数字化转型时代对数据保护官的进一步要求
后记
附录
附录A 名词解释
附录B 数据保护相关的常用法规、规章与规范性文件
附录C 数据保护领域单行专项法律
附录D 综合性法律中的数据保护专条
附录E 关于数据本地化和出境要求的规范汇总

掐指算来，这些年我们作
为企业法务和律师，其中很
长时间都是从事一线数据合
规工作，加起来也有将近20
年的“数据合规”工作经历了
。那时我们都还年轻（当然
，现在热爱学习的心也依然
），对这个领域无知且无畏
，那时没有《网络安全法》
，也没有GDPR（暴露年龄
了），那时我们看到数据处
理条款和“同意”要求都还很
懵圈，那时我们作为中国律
师在这个领域没有发言权，
需要跟随域外法律从头学起
……时光荏苒，一晃已经过
去了好多年。
后来我们不知不觉在这个
领域一路走下来，不断成长
，也不断收获，平时对一线
数据合规治理工作有了些心
得体会，就赶紧写下来。细
壤不拒，细流不择，慢慢有
了最初10万字的积累，再后
来就有了体系化、做“成书”
，以总结传承的想法。然而
，每每汇总整理时，却又都
重重受阻，不是新法更新太
快，就是日常工作太忙。其
实，归根结底还是内心忐忑
，不知成书是真的能够帮助
大家，还是贻笑大方。
赶上我国《个人信息保护
法》的制定、颁布和生效，
也算是从事数据合规工作遇
到了一个里程碑。我们决定
以此为动力，督促自己一定
把这本书最终写完。
本书将以一位数据合规法
务或律师“白晓萌萌”的成长
之路为脉络，分别从入门篇
、进阶篇、高阶篇逐步介绍
数据合规领域专业人士一路
成长过程中会遇到的各类业
务场景和风险点，探讨梳理
各场景下的数据合规治理解
决方案，为希望了解、从事
或喜欢数据合规这个领域的
法务或律师们拨开云雾，提
供数据合规治理的门径与指
引，并展望这一专业领域的
职业前景和蓝图规划。
写这样一本书并不是任务
，也没有指标，更无关奖酬
，就是为了提醒、督促、鉴
证自己在数据合规这个枯燥
而又生动的领域不懈努力、
不忘初心。其实说起来，在
这个领域坚持下来的初心真
就以下两个，虽看起来有些
太过“诗与远方”，却不惮于
读者诸君窃笑无知狂妄而分
享于此。
一是从小处着手。希望在
一线业务场景中实现“Law is
Code”。多年前初见劳伦斯·
莱斯格教授的金句“Code is
Law”，并无甚感觉，然而在
一线互联网或物联网场景从
事隐私保护设计工作多年下
来，对此经典判断颇感认同
，并有了进一步的化用和体
会，还希望“Law is Code”，
乃至“Code is Code”——在应
然状态下，良好的“隐私保护
设计”方式确保软件代码与法
律规范要求（法律侧代码，
另一种“Code”）一致，让技
术和法律两种“Code”协同实
现业务功能，落实法律对个
人信息与数据保护的要求。
例如，在用户做出“同意”之
前，不能触发SDK来收集用
户个人信息，避免不必要地
高频读取用户终端地理位置
，可以便利地关闭App的访
问权限……这些细致具体的
数据合规工作落地到一线场
景，就是需要让法律规范要
求限制技术代码，而不是让
技术代码自行其是地获取数
据，做出任意处理；同时，
也要借助技术手段来高效实
现法律对个人信息和重要数
据等法益的保护。
这些工作初始可以自己做
，随后带动团队做，再后来
多方一起努力，影响一条业
务线、一家企业，甚至一个
行业参与其中。写书不失为
一种有效的方式——影响更
多人关注和投入这个领域。
二是从大处着眼。希望能
为推动数据治理规则更加完
善献上一份微薄之力。数据
合规的治理规则是数字化时
代全社会治理规则体系不可
缺失，甚至越来越重要的组
成部分。时下热议的数字经
济、人工智能、元宇宙等的
发展背后都离不开数据伦理
和数据处理规则。良善治理
和共同富裕的美好社会使普
通人受益于数据使用带来的
安全、便利和更多福祉，同
时，亦无须无限制地让渡个
人信息保护和隐私，当然也
会避免由资本裹挟技术推动
数据使用的无限扩张。
只有在法律的治理与规则
的约束下，个人信息、重要
数据、大数据和人工智能等
与数据相关的要素和资源才
会被确保用于做“好”的事情
。在AI还不能自主生成法律
规则之前，我们还可以抓紧
时间探索和制定愈加成熟的
、推动技术向善发展的规则
体系。如果说，在以前这是
重要而不迫切的事情，那么
随着个人信息收集使用、大
数据算法和人工智能越来越
广泛运用，这件事已经变得
重要且迫切了。正如苹果公
司CEO库克在2021年1月的
一次演讲中提到的：“如果我
们接受生活中的一切都可以
被汇总和出售，并且认为这
是正常的、不可避免的，那
么我们失去的不仅仅是数据
，而是失去了做人的自由。”
当然，为个人信息保护和
数据使用设立规则并非为了
阻碍数据的利用，而是为了
促进数据被合法有效地利用
，真正让个人、企业和社会
都能得到保护，实现各方利
益共赢，达到并保持“有效保
护与合法使用的可持续状态”
。
近代以来的法治精神始终
贯穿着“尊重人之为人”的思
想，如果法律人能够做一点
点事情，推动完善数据治理
的规则，以避免把人异化为
可以被随意处理的数据字段
，使得大数据时代下的人仍
然可以保有隐私与尊严，维
持人格独