iLaw、FAHFA联合主办的第二届数据合规年度论坛于3月22日上海圆满闭幕!｜iLaw

会议内容整理如下，您可扫描二维码联系圈圈，回复“2025数据合规年度论坛”获取部分会议演讲ppt。

3月21日下午的闭门研讨会由北京大成(上海)律师事务所、FAHFA、iLaw联合主办。

在闭门研讨会上，华东政法大学高富平教授作为第一位发言嘉宾深入分析了中国在数据利用产业方面的政策法规发展历程，从2015年的“互联网+”行动指导意见到2022年关于构建数据基础制度的意见，全面扫描了数据要素市场化配置的体制机制。

分享中，高教授强调了个人信息保护的重要性，并回顾了我国数据保护法律的进程，包括《个人信息保护法》、《数据安全法》和《网络安全法》等关键立法。他还详细介绍了数据要素利用的政策法规进程，如数据流通安全治理、公共数据资源开发利用等，这些政策旨在促进数据要素的市场化价值化，同时确保数据安全和个人隐私保护。

高教授进一步提出了对当前数据法律政策的观察和思考，包括国家数据局相关制度政策的落实、安全与数据经济发展的关系，以及国家AI发展战略面临的挑战。他探讨了如何在保障安全的同时促进数据的开放和流通，以及如何实现发展和安全的统筹。最后，高教授对数据法律政策的未来走向进行了展望，包括修法和立法的方向，如《人工智能安全治理框架》和《网络数据安全管理条例》等。

(华东政法大学数据法律研究中心主任高富平教授)

随后，北京大成（上海）律师事务所合伙人戴健民律师分享了关于“中国企业如何应对跨境监管调查的数据提供问题”的专业见解。戴律师凭借其在数据合规、政府监管、反垄断、投资与争议解决等领域的丰富经验，为与会者提供了宝贵的指导。

戴律师深入分析了中国企业在面对境外监管机构跨境调取数据时所面临的挑战，详细解读了包括数安法、个保法在内的中国对于境外监管机构跨境调取数据的规则，并通过两个经典案例，全方位剖析了企业在实际操作中可能遇到的问题，并提出了应对策略。

会议重点讨论了中国企业在跨境监管数据调取中的措施，包括事前的数据管理与制度建设，事中的谨慎评估与合理传输，以及事后的文档编录和经验总结。戴律师的演讲不仅涵盖了法律框架，还提供了实操经验，为企业在应对跨境监管调查的数据提供问题时提供了实用的指导。

(北京大成（上海）律师事务所合伙人戴健民)

在闭门研讨会上，对外经济贸易大学数字经济与法律创新研究中心主任许可教授全面解析了《数安条例》的演变历程，强调了其在数据安全和个人信息保护方面的重要性，以及如何更好地适应行业实践和与上位法保持一致。许可教授详细阐述了条例对个人信息保护规则的优化，包括对个人信息收集的解释放宽和个人信息转移权行使的细化，以及“单独同意”法律含义的明确化。此外，分享还提到了重要数据的定义和识别路径，以及中国守门人规则的初步确立，这些都是条例的主要贡献。许可教授同参会嘉宾们探讨了《数安条例》的结构，包括一般规定、个人信息保护、重要数据安全、网络数据跨境安全管理以及网络平台服务提供者的责任等章节。最后，许可教授提出了对《数安条例》未来走向的展望，包括修法和立法的方向，为与会者提供了对数据安全领域未来趋势的深刻见解。

(对外经济贸易大学数字经济与法律创新研究中心主任许可)

最后，数据合规专家姜文发表了一场主题为“企业人工智能合规实践”的精彩演讲。姜文以算法备案、科技伦理审查、AI标识为核心，深入探讨了人工智能合规的新概念和挑战。

姜文首先对人工智能合规中的关键概念进行了阐述，包括通用人工智能模型、基础模型、生成式人工智能模型和大模型等，并强调了合规义务的多样性和复杂性。他通过案例分析，详细解释了个保法框架下个人信息的直接使用关系和非直接使用关系中的个人信息使用规则。

(某互联网平台数据合规专家姜文)

此次研讨会以深度、具体的分享内容吸引了近80位行业同仁的热情参与，专家们不仅分享了他们在数据合规领域的丰富经验和深刻见解，还提出了对当前数据法律政策的观察和思考，探讨了如何在保障安全的同时促进数据的开放和流通，以及如何实现发展和安全的统筹。此外，研讨会还对数据法律政策的未来走向进行了展望。

高教授首先阐述了个保法中单独同意的重要性，指出其在维护个人信息处理活动中个人权利方面的作用，进一步讨论了非直接使用关系中的个人信息使用规则，包括公开个人信息的处理和非接触式采集的同意问题。在匿名化问题上，高教授提出，匿名化信息的流通不应被视为违法行为，而是个人信息流通的一种合法方式。

演讲中，高教授还分析了个人保护与数据要素利用之间的潜在冲突，并探讨了如何在保护个人隐私的同时，促进数据的合理利用。他强调了控制身份识别和规范个性特征识别的重要性，并提出了保护个人权益的具体规则。此外，高教授提出了单独同意的突破点，即受控去标识化/匿名化规则，这是一种降低风险的措施，旨在实现个人数据的合法流通。他还介绍了信息查验和信息补全的典型应用案例，展示了数据加密和匿态求交技术在实际场景中的应用。

最后，高教授对行业立法提出了建议，包括建立适合企业的个人信息分类规范，借鉴商业交易豁免规则，商业联系信息豁免，以及借鉴GDPR合法利益条款。这些建议旨在为个人数据的流通和利用提供更加明确和灵活的法律框架。

(华东政法大学数据法律研究中心主任高富平教授)

论坛第二位分享嘉宾中伦文德律师事务所合伙人徐云飞律师围绕《个人信息保护法》（个保法）的合规审计要求展开，徐律师详细解析了合规审计的类型、触发条件、角色分配以及具体执行要求。他强调了专业机构在合规审计中应具备的能力及职业操守，并提出了针对专业机构的具体要求，包括保密义务和禁止转委托等规定。

徐律师还探讨了个人信息保护负责人的设置标准和合规审计中的“守门人”制度，这些都是确保个人信息保护合规性的重要制度性补充。此外，他还深入分析了合规审计的具体流程，包括审计内容、审计证据和审计方法，特别是对于自动化决策和向境外提供个人信息的审计要点。

最后，徐律师对合规审计的未来趋势进行了分析，为企业提供了一个清晰的合规审计框架，并强调了持续适应法律变化的重要性。

(中伦文德律师事务所合伙人徐云飞律师)

3月22日大会上，对外经济贸易大学数字经济与法律创新研究中心主任许可教授详细阐述了《数安条例》的监管思路变迁，特别是如何从传统的”由上而下”监管模式转变为更加注重“上下结合”的共治模式。演讲中强调了条例在优化“重要数据”的内涵和识别路径，以及明确“个人信息”和“重要数据”区分方面的贡献，这有助于数据处理者更好地理解和遵守规定。

许可教授通过案例分析，展示了重要数据保护的重要性，如李某等人非法采集并向境外传送敏感气象数据的案例，突出了数据安全对国家安全的影响。此外，演讲者讨论了《数安条例》如何适应行业实践，包括对技术特征的充分考虑和对监管措施的调整，以及如何从网信部门主导的监管向多部门协作监管转变。

许可教授谈到了网络平台服务提供者的责任，包括在第三方产品和服务提供者违反规定时所需承担的民事和行政责任。最后，许可教授对《数安条例》的未来走向进行了展望，包括修法和立法的方向，如《汽车数据安全管理若干规定（试行）》等，为与会者提供了对数据安全领域未来趋势的深刻见解。这场演讲为与会者提供了对《数安条例》及其在数据安全监管中作用的全面理解。

(对外经济贸易大学数字经济与法律创新研究中心主任许可)

上午茶歇过后，北京大成(上海)律师事务所戴健民律师发表了题为”数据合规视角下的供应商管理“的演讲。戴律师是最早从事中国数据与隐私保护、网络安全领域的先锋律师之一。自2012年起，他即在该领域为众多跨国公司和大型企业提供法律服务。

演讲中，戴律师分享了他在供应商数据合规管理方面的实务经验，包括事前、事中、事后的主要考量与实践。他强调，在事前，企业就应当做好包括要求供应商提供独立报告、进行个人信息影响评估报告、网络安全审查等全面的事前评估工作，筑牢合作基础；在事中，企业应当严格把控数据保护条款，确保数据处理活动的合规性；在事后则需要进行全面的数据合规审计，保障数据安全。

戴律师的演讲从事前、事中、事后三个层面，深度剖析了供应商管理中的数据合规，为与会者提供了宝贵的合规管理指导。他的见解和建议对于企业在数据保护和隐私合规方面的策略制定具有重要的参考价值，有助于企业在全球化运营中更好地管理和保护数据资产。此次论坛为法律专业人士和企业提供了一个交流和学习的平台，促进了数据合规领域的知识共享和实践进步。

(北京大成（上海）律师事务所合伙人戴健民)

某汽车集团数据合规专家史进军律师深入探讨了“出海数据合规中法律与技术的协作和落地”。史进军律师深入探讨了“出海数据合规中法律与技术的协作和落地”。史律师是一位拥有法律和技术双重背景的专业人士，同时他在数据安全管理、欧盟GDPR落地实施以及反洗钱等领域具有丰富经验。

会议重点强调了数据合规的价值和挑战，特别是在法条中的技术语言和如何将技术落地实施方面。史律师通过分析GDPR的处罚案例库，揭示了即使拥有专业法务团队的国际公司也难逃重罚，从而突出了法律文本的不足和隐私保护技术、数据安全技术、网络安全技术在数据合规中的重要性。

史律师进一步讨论了法律与技术协作面临的挑战，包括沟通效率低下和风险控制不足等问题，并提出了通过代码将法规条文融入产品设计中的解决方案。他还详细解释了如何将法律条文中的技术语言具体化，例如使用加密算法和隐私保护技术来满足GDPR的要求。

(某汽车集团数据合规专家史进军)

接下来,在关于汽车与自动驾驶数据合规问题圆桌讨论中，理想汽车数据合规与法律研究负责人张建肖担任主持人，引导了一场深入的行业对话。参与讨论的嘉宾包括某汽车公司数据合规专家高小峰、中汽研(上海)车联网安全专家孙权、垦丁(广州)律师事务所创始合伙人王捷。

圆桌讨论聚焦于国内智能网联汽车领域的数据合规挑战与治理实践，以及中国车企出海相关的合规挑战及应对策略。高小峰老师首先就自动驾驶的数据采集问题进行了发言，随后孙权老师谈到了关于“双随机一公开”、APP执法检查以及上海“铸盾车联”专项行动,以及自动驾驶乘用车、无人配送车等自动驾驶应用场景中，相关立法法规、交通责任、保险等领域的监管情况。王捷律师则探讨了中国车机系统合规最新变化和中国车机的数据合规最主要集中的问题点。

在讨论中国车企出海合规挑战时，孙权老师提出了海外汽车路测数据回传跨境的问题，王捷律师分析了车机系统出海面临的最大合规挑战及解决方案，特别是如何解决跨国数据合规的问题，以及如何设计兼容国内外数据合规要求的车机系统。高小峰老师则讨论了如何搭建车企内部产研端和销服端的数据合规体系。

(从左至右：理想汽车数据合规与法律研究负责人张建肖、垦丁(广州)律师事务所创始合伙人王捷、中汽研(上海)车联网安全专家孙权、某汽车公司数据合规专家高小峰)

论坛上，火山引擎安全解决方案专家李一浩发表了题为“新合规形势下的跨境场景治理和日常运营实践”的演讲。李一浩深入分析了出海企业在数据合规方面面临的挑战，并提出了构建数据本地化和跨境合规治理体系的解决方案。

演讲重点讨论了数据跨境传输的复杂性，包括跨境访问境外数据、数据跨境同步/传输以及不同司法管辖区的数据访问问题。李一浩通过案例分析，如滴滴、Meta和Uber的跨境合规事件，强调了数据合规的重要性和违规的严重后果。

此外，他还探讨了出海企业在数据跨境治理中的具体困境，包括业务团队对数据跨境场景的不确定性，法务合规团队的监管盲区，以及安全团队在跨境流量审计上的挑战。李一浩提出了一系列应对策略，如建立跨境合规的“海关”治理体系，收敛全球化IT架构的访问边界，建立合规治理和技术管控之间的连接，管理合规评估和合规事实的一致性，通过技术驱动实现数据跨境合规的自证清白。

最后，李一浩介绍了一个创新的出海数据合规智能体，这是一个旨在帮助企业更便捷、高效地了解出海数据合规风险和挑战的智能工具。此次演讲为与会者提供了宝贵的合规治理洞见，特别是在汽车行业的典型场景和运营实践中，为企业在全球范围内的数据合规管理提供了实用的指导和启发。

(火山引擎安全解决方案专家李一浩)

接下来，北京市竞天公诚律师事务所合伙人周杨律师做了题为“企业出海前的数据合规基线准备”的演讲。周律师重点讨论了企业在海外数据处理时可能遇到的常见场景，包括HR数据处理、境外用户信息处理以及第三国数据中台的管理。周律师强调了数据收集与存储的合规性，以及数据跨境传输的框架和规则，指出企业必须了解目标国家的法律法规，确保数据处理活动符合当地要求。

此外，周律师还探讨了员工权利保障和响应机制，以及如何平衡员工权利与企业合规需求。他提出了数据跨境传输的合法性基础，并讨论了本地化政策对数据出境的影响。周律师的演讲为企业提供了一套全面的合规框架，帮助企业在出海过程中规避风险，确保数据合规性。周律师的分享不仅提升了与会者对数据合规重要性的认识，也为出海企业提供了实用的合规策略和建议。

(北京市竞天公诚律师事务所合伙人周杨)

随后，美团数据和隐私保护法务负责人薛晶深入探讨了数据要素流通中的挑战与解决方案。薛晶，作为美团数据和隐私保护领域的专家，分享了美团在数据合规治理方面的实践经验，包括告知同意、最小必要原则、安全保障等关键措施。

薛晶重点讨论了企业在数据要素流通中面临的困难，特别是在数据权属划分、数据利益冲突以及责任承担方面的挑战。薛晶强调了数据的无形性、非排他性以及应用场景的复杂性，这些问题在数据流通与隐私保护、商业秘密保护之间造成了冲突。他指出，数据流通的合法性、技术能力支撑以及公众期待是当前判断安全性的关键，而流通后的影响则需要具有高度的可预期性。

薛晶提出了技术赋能、协议自治和平台生态作为破局的策略。他提倡利用技术工具解决信任与安全问题，通过数据交易共享协议约定权责边界与利益分配，并在多元共治机制下实现利益均衡。此外，薛晶还介绍了美团在数据赋能生活服务产业生态的实践，包括动态观测本地消费需求、提升数字化经营能力以及加速实体店数字化升级。

(美团数据和隐私保护法务负责人薛晶)

下午的首个圆桌讨论，会议邀请到施耐德电气中国区首席信息安全官蒋宇寒、某跨国文娱公司DPO赵泱地以及数据合规专家姜文、京衡律师事务所高级合伙人张豪, 圆桌由张豪律师担任主持。讨论聚焦于两个核心主题：跨国公司面临的数据跨境合规挑战以及如何有效实施数据跨境合规方案。

首先，嘉宾们讨论了跨国公司在设计数据跨境方案时的主要挑战，包括顶层设计时需要考虑的信息安全和法务合规因素，以及如何平衡不同因素或利益点。嘉宾们分享了从不同视角出发的挑战和困难，探讨了外资企业和出海企业在数据跨境合规方面的异同。

第二个主题关注于如何有效实施数据跨境合规方案。嘉宾们讨论了方案落地的关键因素和核心卡点，以及应尽早预见或避开的潜在问题。此外，还分享了具体的实践经验和方法论，这些内容对外资企业和出海企业都具有参考价值。讨论还涉及了公司内部各部门或团队在处理数据跨境合规相关工作时如何分工协作，以有效推动合规方案的实施。

(从左至右：京衡律师事务所高级合伙人张豪、某跨国文娱公司DPO赵泱地、施耐德电气中国区首席信息安全官蒋宇寒、某互联网平台数据合规专家姜文)

数据安全合规专家高瑞鑫发表了题为“AI驱动下的数据安全合规：模式变革与范式构建”的演讲，深入探讨了人工智能在数据安全合规领域的应用及其带来的变革。高瑞鑫强调了从传统的导入式管理到敏捷型应用的转变，以及数字生态剧变下数据作为“原料-产品”的新角色。

演讲中，高瑞鑫详细阐述了AI在数据安全合规方面的应用，包括无感知AI数据训练、低成本AI数据智能、高逼真AI数据生成等。他讨论了管理语境的变迁，从技术防御到价值驱动，以及如何通过AI+数据对能力建模，从而提高业务流程的效率和效果。

高瑞鑫特别提到了数据安全合规的未来范式，包括全域动态安全合规、人机协同安全合规决策机制和可信伙伴安全合规评分网络。他强调了AI在提高数据处理效率、降低成本、增强技术渗透率方面的潜力，并讨论了AI如何帮助企业在数据安全合规方面实现创新和变革。

(数据安全合规专家高瑞鑫)

必维集团认证部合规产品开发总监张风作为主讲人，就“如何合规地使用用户数据持续训练AI模型”这一主题进行了深入的讲解。张风在演讲中强调了隐私和AI叠加之后的管理复杂性，从隐私保护、AI治理和业务管理三个不同视角来探讨解决方案。在隐私保护视角强调了个人数据全生命周期的风险管理和PIA/DPIA/风险评估的要求；在AI治理视角强调了算法公平等科技伦理对用个人信息训练模型的重要性以及相关的评估方法；在业务管理视角介绍了业务人员的关注点，介绍了将隐私、AI管理要求融入业务管理体系的要点和案例。

AI治理涉及多个管理体系和安全技术，在实际执行过程中需关注体系的融合以及体系与技术方案的协同。张风还结合集成合规管理框架（ICF）探讨了企业在使用用户数据持续进行AI训练时的体系集成方法，分享了结合ISO/IEC高阶框架的管理体系集成方案，AI和隐私相关管理体系之间的关系，基于安全基线的安全解决方案落地要点等内容。

(必维集团认证部合规产品开发总监张风)

会议的压轴圆桌,论坛有幸邀请到联想中国数据安全与隐私保护委员会秘书长张忻、礼丰律师事务所合伙人宇文沛、某跨国医疗公司企业信息安全官陈皓、中国信息化百人会研究员林梓瀚，嘉宾们在联想张忻女士的主持下探讨了“AI大模型对不同产业的影响及合规管理实务。四位嘉宾围绕AI大模型对产业的影响、合规应对措施以及未来趋势进行了深入的探讨。

讨论首先聚焦于AI大模型给产业带来的影响和挑战，每位嘉宾结合案例、国际形势和产业实践，嘉宾们讨论了科技伦理与数据伦理，特别是医药领域和网络数据安全的问题，如DeepSeek案例。随后，讨论转向面对AI大模型影响的合规应对措施。嘉宾们就数据质量、数据要素、数据安全合规和内容安全合规等议题进行了讨论，并结合了最新的立法、监管政策和实践。宇文沛和陈皓就科技伦理/数据伦理应对提出了建议。最后，嘉宾们分别从法律和数据合规职业共同体、智能化的数据安全合规治理、全球AI治理、数据质量与数据跨域互联等不同的视角讨论并预测了AI大模型的未来趋势和合规管理。

(从左至右：联想中国数据安全与隐私保护委员会秘书长张忻、礼丰律师事务所合伙人宇文沛、某跨国医疗公司企业信息安全官陈皓、中国信息化百人会研究员林梓瀚)

论坛回放（付费制）及相关事宜欢迎咨询小助理圈圈圈👇👇👇