金诺法谈 | 万言“数”说我国数据立法体系与常见数据违规场景

A.数据合规概述

伴随着我国《网络安全法》、《数据安全法》、《个人信息保护法》三部大法的落地与实施，数据合规与个人信息保护领域的执法监管活动也逐步走入企业合规建设领域的视线。

 例如，2021年，滴滴宣布赴美上市成功后即受到来自国家网信办的网络安全审查，并被要求滴滴APP全系下架，停止新用户注册。经过国家网信办、公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局七部门联合进驻检查后，滴滴被认定存在多项违法违规处理个人信息的情形和严重影响国家安全的数据处理活动，且违法违规运营给国家关键信息基础设施带来严重安全隐患。2022年7月21日，国家网信办宣布对滴滴处以80.26亿元罚款，对董事长兼CEO和总裁各处以100万元罚款，为《个人信息保护法》下罚款金额上限，也创下了有史以来全球隐私保护领域第二高罚单记录[1]。

 另外，工信部负责的APP侵害用户权益专项整治行动一直在以常态化的方式开展。例如，截至2022年10月，工信部每个月或每两个月通报一批侵害用户权益的APP名单[2]。各地通信管理局也相应开展地方APP治理活动或电信和互联网行业网络和数据安全执法检查工作。[3]

 周彦聪诉唯品会案（广州中院（2022）粤01民终3937号）是《民法典》实施以来个人信息主体向平台维权第一案。法院在该案中判决唯品会败诉，全面支持个人信息主体所享有的个人信息查阅权、复制权；同时，也指出了APP运营方对第三方SDK的审慎选择义务和动态监管责任。

 配合《个人信息保护法》第七十条的规定，各地检察院在个人信息保护领域开展了多项公益诉讼工作。例如杭州市上城区人民检察院诉孙某非法买卖个人信息民事公益诉讼案、杭州市余杭区人民检察院诉某短视频平台未成年人保护民事公益诉讼案、杭州市余杭区人民检察院诉某网络科技公司个人信息保护民事公益诉讼案。

 除了民事公益诉讼以外，手机应用程序的违法违规行为也已落入到刑事案件侦查和审判的视角。例如，浙江省嘉兴市中级人民法院（2019）浙04刑终71号案件，某科技公司开发、运营团队共计28人，因其开发和营销的一款广告SDK违规搭载到手机系统，自动获取手机用户系统权限，静默下载安装软件并模拟用户的操作行为，增加公众号粉丝量并以此牟利，该28人被判犯非法控制计算机信息系统罪，全部获刑。

 伴随着数据立法落地以及监管执法和司法领域的常态化推进，数据合规的话题有必要纳入到企业日常合规建设的范畴当中，企业在传统合规治理的同时，有必要从数据合规的角度重新审视其业务活动和日常管理行为。

数据合规是我国网络空间综合治理立法框架所提出的要求，包括自上而下的治理体系法规建设和作为每一个企业应当尽到的具体合规义务。以下内容旨在从宏观立法和监管思路的角度对数据的概念以及重点监管领域作简要概述。

一、数据和数据处理的定义

“数据”是指任何以电子或者其他方式对信息的记录。“数据处理”是指数据的收集、存储、使用、加工、传输、提供、公开等。“数据安全”是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。[4]

二、数据的分类

从不同的目的出发，或者按照不同维度，可以将数据分为不同的类型。

按照是否涉及个人信息的角度，数据分为个人信息和非个人信息类的数据。

按照国家关于数据分类分级保护和监管的思路，数据又可以分为一般数据、重要数据、核心数据。

按照行业监管维度，数据分为工业数据、金融数据、卫生健康数据、电信数据等。[5]

按照企业日常运营和管理适配性的角度，企业又可以将数据按照用户数据、业务数据、经营管理数据、系统运行和安全数据。[6]

三、围绕重要系统、重要主体、重要数据、重点数据处理行为、重要行业领域进行监管的监管思路

纵览我国网络空间综合治理的立法框架，我们可以总结出如下治理思路和治理重点：

(一)对重要系统进行重点保护和监管。

《网络安全法》从网络、系统、基础设施硬件和信息安全的角度对在境内建设、运营、维护和使用网络的行为进行规制，对网络安全提出了基本的合规要求，也对关键信息基础设施提出了更高的保护要求。《关键信息基础设施安全保护条例》在《网络安全法》的基础上，进一步细化了关键信息基础设施运营者的特殊网络安全保障职责和合规义务。

关键信息基础设施指的是在公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等领域，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施和信息系统。

对于关键信息基础设施，其网络安全等级一般均设定在三级以上，并应遵守一般网络安全义务之上的增强保护义务，包括但不限于设置专门的安全管理机构和安全管理负责人，该负责人和关键岗位的人员要通过安全背景调查，定期对从业人员进行安全教育培训和技能考核，对重要系统和数据库要进行容灾备份，制定网络安全事件应急预案并进行定期演练。

关键信息基础设施应当每年开展一次网络安全检测和风险评估，并将检测评估情况和改进措施上报到保护工作部门和公安机关。

关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当向相关保护工作部门，乃至公安机关（包括公安部）、网信部门（包括国家网信办）报告。 

关键信息基础设施运营者在采购网络产品和服务（主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务）时，对于可能影响国家安全的，需要履行网络安全审查程序。

关键信息基础设施运营中收集和产生的重要数据应当遵守本地化存储的原则。确有必要向境外提供的，应当申报安全评估。

(二)对重点主体进行重点监管。

在不考虑细分行业和领域的情况下，国家目前重点监管的特定数据责任主体，除了前文提到的关键信息基础设施运营者外，还重点关注处理大量个人信息的平台型企业，即处理个人信息达到国家规定数量的个人信息处理者，应当指定个人信息保护负责人，公开个人信息保护负责人的联系方式，并将其姓名、联系方式报送主管部门。[7] 对于提供重要互联网服务平台、用户数量巨大、业务类型复杂的个人信息处理者，国家进一步要求该类组织应当建立个人信息保护制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督，并定期发布个人信息保护社会责任报告，接受社会监督。[8]

(三)对重要数据、核心数据进行重点监管。

《数据安全法》在对开展数据处理活动的主体做出一般性数据安全要求的同时，从国家顶层设计层面建立了数据分类分级保护制度，即，落入到重要数据范畴内的数据，要遵从比一般数据保护更高的合规义务标准。对重要数据，国家本着维护国家安全的宗旨实施监管；对于核心数据，国家也通过立法方式宣布要对其建立更加严格的管理制度。

根据《数据安全法》、《信息安全技术 重要数据识别指南（征求意见稿）》和《网络安全标准实践指南—网络数据分类分级指引》（TC260-PG-20212A）的规定，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、利用，可能危害国家安全、公共利益的数据；核心数据是指关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据。

然而，目前除了汽车领域已经出台具有法律约束力的重要数据清单[9] 以外，国家层面未曾出台重要数据目录，不同地区和不同部门也尚未制定并发布本地区、本行业领域的重要数据具体目录。目前各行业主体一般都需要按照重要数据的识别参考因素，按照行业指导性数据分级标准自主识别自身数据，并遵守国家对于重要数据提出的保护义务。

除了需要满足《数据安全法》规定的一般数据处理义务外，重要数据处理者还应当明确数据安全负责人和管理机构，定期开展风险评估并向主管机关进行报送。重要数据处理要遵循本地化原则，确有必要出境的，需要向国家网信办申报数据出境安全评估。

(四)对算法合规和平台经济公平竞争问题进行重点监管。

1.算法合规

根据《个人信息保护法》，运用算法进行自动化决策的，应当保证决策的透明度和结果公平、公正，不对个人在交易价格上实施不合理的差别待遇；定向推送和营销的，应当同时提供不针对个人特征的选项，或者向个人提供便捷的拒绝方式；做出对个人权益有重大影响的决定时，个人有权要求予以说明，并有权拒绝仅通过自动化决策方式做出决定。[10]

《互联网信息服务算法推荐管理规定》和《互联网信息服务深度合成管理规定》进一步从个人信息保护、数据安全、信息内容治理、机制机理审核、伦理审查等角度提出了算法合规治理的各项特殊要求。

2.平台经济公平竞争

《国务院反垄断委员会关于平台经济领域的反垄断指南》（“《指南》”）首次将平台经济纳入到反垄断法的治理范围当中，考虑到平台经济的特有业态、数据和算法能力，《指南》特别关注到平台经济领域利用技术手段实施垄断行为，排除和限制竞争的各类情形，以及在认定是否存在垄断行为时应当考虑的特殊因素。

2022年6月24日发布，8月1日实施的新《反垄断法》，专门增加一条“经营者不得利用数据和算法、技术、资本优势以及平台规则等从事本法禁止的垄断行为”的规定。

《市场监管总局关于公开征求<中华人民共和国反不正当竞争法（修订草案征求意见稿）>意见的公告》也透露出未来《反不正当竞争法》的修订重点，将增加数字经济领域反不正当竞争的规定。根据现有征求意见稿的内容来看，大概率将会出现规制违法违规使用爬虫技术的规定，以及不得利用算法、技术和平台规则扰乱市场公平竞争秩序的规定。

(五)创设网络安全审查和数据出境等新制度

除了对重要系统、重点主体、重要数据、算法和竞争行为这些客体层面进行规制以外，我国网络数据立法还就专门情形创设了新的监管制度体系，其中已经建立了网络安全审查制度和数据出境制度。《数据安全法》还提到将会建立数据安全审查制度[11]。

1.网络安全审查制度

根据《网络安全审查办法（2021）》，国家网络安全审查机制将在如下四类情形下启动：

（1）关键信息基础设施运营者采购重要网络产品和服务，影响或可能影响国家安全的；

（2）掌握超过100万用户个人信息的网络平台运营者赴国外上市的；

（3）网络平台运营者开展数据处理活动，影响或可能影响国家安全的；

（4）网络安全审查工作机制成员单位认为特定网络产品和服务以及数据处理活动影响或可能影响国家安全的。

在需要启动网络安全审查时，唯有通过国家网信办网络安全审查办公室的审查通过，方可实施相关采购行为和申报国外上市。

2.数据出境制度

《网络安全法》、《数据安全法》、《个人信息保护法》，连同《数据出境安全评估办法》共同构建了我国重要数据和个人信息出境的基本治理思路和制度框架，即重要数据和达到一定数量规模的个人信息[12] 需要遵循本地化原则，确有出境必要的，应当向国家网信办申报数据出境安全评估。

通过上述制度设计，可以看出，从数据出境的角度，某种程度上，国家不再细致区分出境数据内容属于个人信息，还是非个人数据，而是将海量个人信息按照重要数据来看待，一律从国家安全层面进行出境安全评估。

如果相关数据属于一般数据，则因其与国家安全无关，大多为企业自主处理的商业信息，故其是否出境交给企业自行决定。

如果是非达量的个人信息出境，虽然一般来说不会涉及国家安全问题，但是立法层面依然考虑到会涉及个人信息保护的问题，因此虽然无需申报数据出境安全评估，企业还是需要履行特定的个人信息出境程序——委托专业机构开展跨境处理个人信息认证，或者由个人信息出境方和接收方签署网信办制定的标准合同[13]，以此将《个人信息保护法》落实到个人信息出境场景当中。

(六)各行业、各领域数据合规治理

在上述国家层面的横向制度体系以外，各行业、各领域、各地区还就各自行业范围内或地域范围内的特定数据治理问题，制定了专门的规定、标准和指南。常见领域包括汽车领域、工业和电信领域、金融领域、医疗健康领域、公共数据领域等。

综上，伴随着《网络安全法》、《数据安全法》和《个人信息保护法》的出台和落地，我国已经打破了传统信息安全的局限，逐步构建了以网络安全为硬件基础，以数据安全为核心目的，以个人信息保护彰显人文关怀，立足维护国家安全底线，在保障数据主体权益的基础之上，鼓励数据依法合规流转流通，发挥应有价值的纵横交错的数据治理模式。

B.主要规范索引表

数据合规领域部分重点规范索引：

C.常见合规风险分析

【根据我们处理过的过往案例和对执法领域的持续观察，以下案例为数据合规高频风险场景】

【风险场景】

跨国集团境内子公司A公司按照境外集团的要求，使用统一部署在境外的系统，将境内业务的全部数据直接存储在境外服务器中。A公司是境内一家生产和销售电气产品的公司，其产品最终用户包括机场、医院、电厂、房地产开发公司。未来A公司还会将其产品推广至银行领域、汽车行业。A公司境内业务中除了内部管理数据、财务数据、研发数据、人力资源信息（几百人规模的员工姓名、身份证号、电话号码、家庭成员信息、考勤信息、职位信息、薪资信息、银行账户信息、社保公积金信息、纳税信息、应聘简历信息、体检信息等）以外，还包括订单数据、用户信息、客户信息、客户联系人信息（几万人规模，包括姓名、邮箱、公司地址、电话号码）。

以上数据目前全部存储在境内服务器中。未来A公司计划按照境外集团公司的要求，统一使用海外集团总部采购的系统，境内数据生成后实时存储到位于境外的服务器中。据了解，A公司并未收到将其认定为关键信息基础设施运营者的通知。A公司也不属于大量个人信息处理者。

【相关法规】

《数据安全法》第三十一条规定：“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。”

《数据安全法》第四十六条规定：“本法第三十一条规定，向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。”

《数据出境安全评估办法》第二条规定：“数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估，适用本办法。”

《数据出境安全评估办法》第四条规定：“数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：（一）数据处理者向境外提供重要数据；（二）……”

《个人信息保护法》第三十八条规定：“个人信息处理者因业务等需要，确需向中华人民共和国境外提供个人信息的，应当具备下列条件之一：（一）依照本法第四十条的规定通过国家网信部门组织的安全评估；（二）按照国家网信部门的规定经专业机构进行个人信息保护认证；（三）按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务；（四）法律、行政法规或者国家网信部门规定的其他条件。个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。”

《个人信息保护法》第三十九条规定：“个人信息处理者向中华人民共和国境外提供个人信息的，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。”

《个人信息保护法》第六十六条规定：“违反本法规定处理个人信息，或者处理个人信息未履行本法规定的个人信息保护义务的，由履行个人信息保护职责的部门责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为，情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”

《个人信息保护法》第六十七条规定：“有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。”

《个人信息保护法》第六十九条第一款规定：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”

【风险分析】

风险一：以上A公司业务中的收集和形成的产品销售信息、客户信息、用户信息，经过分析，可能能够反映出国家特定敏感行业的建设运营情况，在不加甄别地将全部境内业务数据实时存储到境外服务器时，这些可能关系到国家安全、社会重大公共利益的敏感信息也会直接出境，未来一旦国家制定了重要数据目录或者特定行业主管部门颁布了重要数据的具体目录，A公司将面临行政处罚风险和被要求将重要数据迁回境内的风险，同时，由于其境内没有服务器，A公司很可能还会进一步面临业务中断的风险。

风险二：A公司境内人力资源信息以及客户联系人信息没有经过任何出境程序，全部直接存储到境外，而且缺乏考虑是否全部境内个人信息（包括境内个人的敏感个人信息）都有必要出境这一问题，出境前也未履行告知、同意程序。这种操作方式不排除会受到来自内部员工的举报，并且在个人信息发生泄露或滥用时，受到侵害的个人有权向A公司提起诉讼。

【管理建议】

建议一：

A公司应当首先盘点境内数据资产，对数据进行分类识别，并标识出可能会构成重要数据的数据项、数据集、数据库，进而仅将一般数据直接存储在境外，疑似构成重要数据的数据继续存储在境内。或者，在当下尚无正式颁布的重要数据目录的情况下，即便目前将全部数据直接存储在境外，依然需要启动数据盘点和分类分级工作，并在全球部署的系统中，增设境内服务器备用节点，以保证将来在确定存在重要数据时，可以方便快捷地将重要数据迁回境内，或者在通过安全评估后再行出境。

建议二：

建议A公司盘点和识别其处理的全部境内个人信息，重新考虑是否每一项个人信息确有必要全部明文直接存储到境外服务器中，或者是否在出境时需同步做匿名化处理。另外，A公司还需要根据《个人信息保护法》的要求，履行必要的“告知——同意”流程和个人信息保护影响评估，履行个人信息出境的法定程序（签署标准合同，或者取得跨境处理个人信息的认证）。

【风险场景】

场景一：APP运营者线上隐私政策简单抄袭其他类似平台的隐私条款，与自身实际业务场景和个人信息收集、使用、存储、共享、对外提供等处理情况不匹配。

场景二：APP运营者没有识别与其合作的每一款SDK，不了解APP和SDK在个人信息处理方面是何法律关系，未与SDK签订任何合同。

【相关法规】

《个人信息保护法》第十七条：“个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限……”

《个人信息保护法》第二十条规定：“两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的，应当约定各自的权利和义务”，“个人信息处理者共同处理个人信息，侵害个人信息权益造成损害的，应当依法承担连带责任。”

《个人信息保护法》第二十一条规定，“个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。”

《个人信息保护法》第二十三条规定：“个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。”

《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》对APP服务提供者、SDK提供者和应用分发平台提出了四大类共10项专项整治任务，其中包括APP、SDK违规收集个人信息、超范围收集个人信息、违规使用个人信息、强制用户使用定向推送功能等。

《工业和信息化部关于开展信息通信服务感知提升行动的通知》要求互联网企业建立个人信息保护“双清单”，即“各相关企业应建立已收集个人信息清单和与第三方共享个人信息清单，并在APP二级菜单中展示，方便用户查询。已收集个人信息清单应简洁、清晰列出APP（包括内嵌第三方软件工具开发包SDK）已经收集到的用户个人信息基本情况，包括信息种类、使用目的、使用场景等。与第三方共享个人信息清单应简洁、清晰列出APP与第三方共享的用户个人信息基本情况，包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。”

【风险分析】

风险一：前述场景中，APP运营者没有根据自身业务功能和处理个人信息的实际情况来撰写隐私政策，而是简单“抄作业“，很可能已经构成未明确告知用户处理个人信息的目的、场景、个人信息类型等即收集和处理了个人信息，存在极大的违规收集个人信息的风险。

风险二：APP运营者在不了解、检测SDK个人信息处理方式，不甄别双方合作法律关系，也不签署合同的情况下即开展合作，可能因SDK存在系统漏洞或者违法违规处理个人信息的行为而致使APP上大量用户个人信息泄露，届时APP需要对外承担侵权责任。且因未签署合同，APP难以向SDK进一步追责。

【管理建议】

建议一：APP运营者可以借鉴同行业隐私政策文本，但是一定要结合自身业务功能和用户个人信息处理的具体场景进行定制化完善工作。

建议二：建议在引入SDK之前，APP运营者充分了解SDK的功能和其处理个人信息的具体范围和流程，甄别或者设计双方之间的数据处理关系（例如委托处理、共同处理、各自独立处理），签署合作协议，并持续监督SDK对协议的履行情况。同时，建议确定备选SDK，以防止在合作SDK出现重大风险需要终止合作时，能够快速引入备选SDK，最大限度降低业务停运的风险。

[1] 全球最高罚单！四张表看懂滴滴处罚依据（ 附法规标准原文定位）。

[2] 通知公告：

https://www.miit.gov.cn/jgsj/xgj/APPqhyhqyzxzzxd/tzgg/index.html

[3] 天津市通信管理局关于3款未按要求完成整改APP的通报：

https://tjca.miit.gov.cn/zwgk/dxhhlwgl/art/2022/art_96600587d50243458b7a46cb2743662b.html

广东省通信管理局公开通报48款未按要求完成整改APP：

https://gdca.miit.gov.cn/zwgk/wlaqgl/art/2022/art_61393d449bf642b3be18be88b98bef3b.html

关于开展2022年上海市电信和互联网行业网络和数据安全检查的通知：

https://shca.miit.gov.cn/ztzl/zxxd/wlxxaq/art/2022/art_87adb3f8b64648bfabd683e9821b4f22.html

[4] 参见《数据保护法》第三条。

[5] 参见《网络安全标准实践指南——网络数据分类分级指引》（v1.0-202112）。

[6] 参见《网络安全标准实践指南——网络数据分类分级指引》（v1.0-202112）。

[7] 参见《个人信息保护法》第五十二条。

[8] 参见《个人信息保护法》第五十八条。

[9] 《汽车数据安全管理若干规定（试行）》第三条第六款明确列举了汽车数据范畴内的6类重要数据。

[10] 参见《个人信息保护法》第二十四条。

[11] 参见《数据安全法》第二十四条。

[12] 在涉及甄别个人信息出境是否需要申报出境安全评估的问题时，为简便起见，通常称需做申报的主体为“大量个人信息处理者”。具体来看，以下类型的个人信息出境，需要做出境安全评估：（1）关键信息基础设施运营者向境外提供个人信息；（2）处理100万人以上个人信息的数据处理者向境外提供个人信息；（3）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。（参见《数据出境安全评估办法》）

[13] 参见《个人信息保护法》第三十八条和《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》。标准合同目前尚在征求意见阶段，未正式发布。