熊定中

面對“互聯(lián)網(wǎng)+”的迅猛發(fā)展勢態(tài)，各行各業(yè)都在為能夠進(jìn)入創(chuàng)新快車道而努力。然而無論是新增區(qū)塊鏈技術(shù)應(yīng)用，還是完善廣告精準(zhǔn)投放，都離不開對服務(wù)進(jìn)行風(fēng)險評估和合規(guī)整改，以維護產(chǎn)品服務(wù)的運營安全，獲得穩(wěn)定高效的發(fā)展，避免觸犯法律底線。

不同于傳統(tǒng)的法律服務(wù)提供商，北京清律律師事務(wù)所（以下簡稱“清律”）不僅僅是簡單地基于法律規(guī)定或行政執(zhí)法的現(xiàn)狀來提供合規(guī)建議，還充分融入對社會輿情的考量，從法律和宣傳效果兩方面提供全方位的綜合法律服務(wù)支持，并可以針對企業(yè)的實際需求和現(xiàn)狀，起草或完善相關(guān)的流程制度。

清律以締造“高科技、新形態(tài)”律所為目標(biāo)，嘗試以客戶所在行業(yè)為本所提供各項服務(wù)的出發(fā)點，在內(nèi)部設(shè)置和對外服務(wù)上打破了法律部門的界線，致力于以“行業(yè)法律專家”的身份，一攬子解決企業(yè)在發(fā)展中可能或已經(jīng)遇到的所有法律問題。

清律商業(yè)合規(guī)團隊目前是華為、藍(lán)色光標(biāo)、知乎等企業(yè)的法律顧問，并承接了華為、騰訊、阿里、京東、新浪等大型公司的新科技法律風(fēng)險課題研究，還參與教育部、科技部、網(wǎng)信辦、海關(guān)總署等國家機關(guān)重要項目的合規(guī)審核服務(wù)，在互聯(lián)網(wǎng)、高科技和大數(shù)據(jù)應(yīng)用等方面的法律前沿研究領(lǐng)域卓有聲譽，屬于律師行業(yè)里較少的在創(chuàng)新領(lǐng)域內(nèi)法律研究和法律實務(wù)同時長期保持人員和資金投入的團隊。

2018年，清律商業(yè)合規(guī)團隊為海關(guān)總署指定的區(qū)塊鏈改造通關(guān)流程試點項目提供法律服務(wù)，并負(fù)責(zé)最終提供法律合規(guī)交付物。服務(wù)過程中，團隊在對海關(guān)進(jìn)出口流程進(jìn)行摸底調(diào)查的同時，充分考慮了區(qū)塊鏈技術(shù)應(yīng)用背景和突出優(yōu)勢，在不影響法定流程的前提下，為保障各主體的數(shù)據(jù)安全和數(shù)據(jù)共享行為合法性制定了配套的落地措施，進(jìn)一步幫助海關(guān)提升了業(yè)務(wù)效率降低了企業(yè)的溝通成本。

根據(jù)以往的服務(wù)經(jīng)驗，清律發(fā)現(xiàn)企業(yè)對于新型業(yè)務(wù)的合規(guī)意識仍然較為薄弱，在業(yè)務(wù)投入市場運營前安排風(fēng)險排查、進(jìn)行合規(guī)的仍是少數(shù)企業(yè)，當(dāng)然這背后有各種各樣的原因，例如企業(yè)經(jīng)費不足、管理層的法律風(fēng)險意識不夠等。

對此，清律針對應(yīng)用范圍較廣、最近受關(guān)注力度較大的數(shù)據(jù)業(yè)務(wù)進(jìn)行合規(guī)審查重點提示，以供相關(guān)企業(yè)參考，期望能夠幫助各企業(yè)了解業(yè)務(wù)合規(guī)的必要性，并根據(jù)分享內(nèi)容來合理分配資源。

自2017年6月《中華人民共和國網(wǎng)絡(luò)安全法》實施以來，針對“數(shù)據(jù)安全”的新聞報道和執(zhí)法調(diào)查通報就屢現(xiàn)不鮮，并有愈演愈烈之勢，同時國家各部門也在逐步推動出臺與數(shù)據(jù)安全配套的法律法規(guī)和執(zhí)行。2019年1月25日，中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局正式發(fā)布《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》，決定于2019年1月至12月期間在全國范圍內(nèi)開展為期長達(dá)一年的專項治理工作，力度之大，決心之堅決，前所罕見。

目前，直接搜集個人信息的企業(yè)獲得了更多的監(jiān)管機關(guān)和社會公眾的關(guān)注，但這并不意味著對于大數(shù)據(jù)商業(yè)利用企業(yè)就可以高枕無憂。事實上，后者面臨的合規(guī)風(fēng)險更高。除了在企業(yè)未來發(fā)展，如在融資或上市程序中是否能獲得清潔的法律盡調(diào)意見書等方面受到商業(yè)影響之外，還會有受到行政處罰致使企業(yè)商譽受到影響的可能，情節(jié)嚴(yán)重的，甚至將因觸犯刑法而使直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員被定罪處刑。而從目前來看，大部分進(jìn)入到刑事訴訟領(lǐng)域的案例，基本上都是純粹的數(shù)據(jù)利用企業(yè)，而不是目前監(jiān)管或者公眾較為關(guān)注的信息收集企業(yè)。例如，2018年8月9日，因轉(zhuǎn)賣手機號、地區(qū)和個人偏好等公民敏感個人信息，山東省費縣人民法院就以侵犯公民個人信息罪分別判處數(shù)據(jù)堂（北京）科技股份有限公司涉案人員柴銀輝（首席運營官）、揭宇飛（董事）三年和二年有期徒刑。而其他尚未公布、正在辦理過程中的刑事案件，筆者也接觸了不少。

因此，數(shù)據(jù)利用行業(yè)企業(yè)及時針對自己的實際運營模式進(jìn)行法律風(fēng)險評估及合規(guī)整改是當(dāng)務(wù)之急。而在全民關(guān)注個人信息安全的當(dāng)下，商業(yè)交易相對方尤其是跨國企業(yè)也越來越關(guān)注合作方的合規(guī)標(biāo)準(zhǔn)和措施。團隊提供日常顧問服務(wù)的數(shù)據(jù)型企業(yè)就經(jīng)常受到客戶提出的要求提供合規(guī)資料和證明的需求，否則將不予合作。因此，企業(yè)做好數(shù)據(jù)合規(guī)，不僅是降低自身的法律風(fēng)險的需要，同時也是提升商業(yè)競爭力，增強客戶使用公司服務(wù)的安全可信度的需要。

數(shù)據(jù)業(yè)務(wù)是在互聯(lián)網(wǎng)發(fā)展下產(chǎn)生的一種新形態(tài)服務(wù)模式，如不理解數(shù)據(jù)業(yè)務(wù)的實質(zhì)運作方式，則難以直擊痛點，解決實際問題。在辦理數(shù)據(jù)合規(guī)工作的過程中，我們在對企業(yè)運營實際場景進(jìn)行調(diào)查和整改時，總結(jié)下來，有如下一些難點和重點。

1、 難點

（1）業(yè)務(wù)模式的隱蔽性

數(shù)據(jù)利用的業(yè)務(wù)運行模式因極度依賴計算機程序自行處理而存在天然的隱蔽性。而對合規(guī)對象進(jìn)行完整了解是提供合規(guī)服務(wù)的前提，這無疑增加了合規(guī)的難度。但實際上，不僅社會公眾無法知曉業(yè)務(wù)實質(zhì)運營的整體流程，企業(yè)內(nèi)部也因各部門之間存在的信息壁壘，難以統(tǒng)一針對業(yè)務(wù)運行的流程有一個完整的認(rèn)識。一線業(yè)務(wù)部門可能并不知曉數(shù)據(jù)在企業(yè)內(nèi)部存儲流轉(zhuǎn)的技術(shù)方案是如何設(shè)計，而技術(shù)安全部門也無法獲知接收的數(shù)據(jù)是否“安全”。

（2）合規(guī)啟動的復(fù)雜性

正是基于前述原因，若企業(yè)啟動業(yè)務(wù)合規(guī)，必需調(diào)動較多的部門進(jìn)行配合并協(xié)調(diào)之間的關(guān)系，這樣對召集合規(guī)啟動的部門或人員的權(quán)限等級有一定要求。而如何讓領(lǐng)導(dǎo)層重視或者說認(rèn)識到數(shù)據(jù)業(yè)務(wù)合規(guī)的重要性，其實也是大數(shù)據(jù)企業(yè)啟動合規(guī)的難點之一，從實踐來看，企業(yè)啟動合規(guī)很大程度上的動力還是來源于外部，比如客戶要求或監(jiān)管關(guān)注，甚至是刑事案例的震懾。

（3）監(jiān)管規(guī)范的原則性

正如本文之前所提到的，中國政府針對數(shù)據(jù)利用這一新領(lǐng)域已開始著手建設(shè)完善的法律體系，大數(shù)據(jù)企業(yè)不僅面臨著傳統(tǒng)意義上的法律管制，還需要應(yīng)對政府在新形勢下出臺的帶有“原則性”“指導(dǎo)意見”的法律法規(guī)或者國家標(biāo)準(zhǔn)。而在“原則性”“指導(dǎo)意見”的法律法規(guī)未有完善的配套落地政策指導(dǎo)的情況下，又難以直接參照已有規(guī)定執(zhí)行。因此，如何在業(yè)務(wù)執(zhí)行過程中做到不踩法律紅線，是大數(shù)據(jù)企業(yè)合規(guī)最難以掌握的邊界。

2、 重點

所謂的數(shù)據(jù)合規(guī)其本質(zhì)是對企業(yè)現(xiàn)有業(yè)務(wù)流程的梳理，并進(jìn)行合理排序改進(jìn)的過程。優(yōu)秀的合規(guī)服務(wù)不僅不會對企業(yè)現(xiàn)有業(yè)務(wù)效率帶來不利影響，甚至可以在降低企業(yè)法律風(fēng)險的同時，提高業(yè)務(wù)效率或拓展業(yè)務(wù)面，從長遠(yuǎn)角度來說，企業(yè)越早進(jìn)行合規(guī)對自身發(fā)展越有利。

需要明確的是，所有合規(guī)所涉及的重點內(nèi)容都需要書面化，并建立規(guī)則制度體系。沒有系統(tǒng)書面化的制度，則可能會因為人員流動而導(dǎo)致執(zhí)行斷層，甚至影響處罰結(jié)果。規(guī)則制度涵蓋的范圍需要完整，但又要重點突出，下面向大家簡要介紹在數(shù)據(jù)業(yè)務(wù)合規(guī)過程中需要關(guān)注的兩大重點問題。

（1）數(shù)據(jù)安全

針對大數(shù)據(jù)企業(yè)的特性，數(shù)據(jù)安全是所有制度中最重要的部分。在過去的1年中，我們不難聽到如下事件：視頻網(wǎng)站AcFun對外宣稱900萬條用戶數(shù)據(jù)外泄;招聘網(wǎng)站前程無憂的195萬條用戶求職簡歷泄露;圓通快遞10億條快遞數(shù)據(jù)被售賣;5億條華住旗下酒店客戶開房數(shù)據(jù)在暗網(wǎng)被公開出售;萬豪國際集團旗下喜達(dá)屋酒店的一個客房預(yù)訂數(shù)據(jù)庫被黑客入侵，多達(dá)5億人次的詳細(xì)信息可能遭到泄露。

為了降低數(shù)據(jù)泄露事件發(fā)生的可能性，企業(yè)可以重點關(guān)注以下幾個維度。

設(shè)備安全：設(shè)備指的是在保障數(shù)據(jù)安全中使用的非人力資源，如操作系統(tǒng)、防火墻及服務(wù)器。“工欲善其事必先利其器”，采購并使用優(yōu)質(zhì)而符合標(biāo)準(zhǔn)的設(shè)備是保障數(shù)據(jù)安全的第一道防線。

人力安全：人力安全指的是在數(shù)據(jù)收集、存儲和利用過程中，對所涉及人員進(jìn)行權(quán)限設(shè)計和管理，以防止人為安全隱患的產(chǎn)生。

質(zhì)量安全：大數(shù)據(jù)企業(yè)的生命力會受數(shù)據(jù)豐富程度的影響，但并非單純的掌握越多的數(shù)據(jù)越好，而是需要對數(shù)據(jù)進(jìn)行質(zhì)量分析，考察數(shù)據(jù)的可利用性，把本地存儲的數(shù)據(jù)控制在一個合理的內(nèi)容和數(shù)量范圍，才是企業(yè)能夠長久保持正常運轉(zhuǎn)的關(guān)鍵因素。

供應(yīng)鏈安全：無論大數(shù)據(jù)企業(yè)是直接面對個人收集數(shù)據(jù)，還是從第三方獲得數(shù)據(jù)，無疑都需要注意在對數(shù)據(jù)收集和向外提供數(shù)據(jù)時，采取合理的風(fēng)控措施，而不是單純的從數(shù)據(jù)是否對自己可用的角度來進(jìn)行收集。例如直接面對個人收集數(shù)據(jù)，就需要設(shè)計好有關(guān)獲取“用戶同意”的文本內(nèi)容和流程，而從第三方獲得數(shù)據(jù)時，就需要注意對對手方進(jìn)行背景調(diào)查。

（2）風(fēng)險應(yīng)對

預(yù)防措施的完善并無法保證完全不會有意外情況發(fā)生，因此制度建設(shè)中的另一重點在于風(fēng)險應(yīng)對策略的設(shè)計。如果沒有提前制定好風(fēng)險應(yīng)對策略，掌握主動權(quán)，一旦發(fā)生意外，企業(yè)無法做出高效的處置措施，不僅自己無法確認(rèn)風(fēng)險大小，而且在互聯(lián)網(wǎng)信息傳播如此迅速的當(dāng)下，商譽也會受到不小的影響。

有關(guān)風(fēng)險應(yīng)對的制度，有事前評估和事后應(yīng)對兩大類別，在關(guān)注方向上需要注意綜合考量以下幾個方面。

內(nèi)部組織：企業(yè)需要能夠集中已有的資源并進(jìn)行合理分配。特別是當(dāng)獲知事故發(fā)生或疑似事故發(fā)生時，讓各部門各司其職，從最大程度上采取漏洞補救措施以發(fā)揮安全維護效果，不因職責(zé)真空或效率低下而導(dǎo)致更加嚴(yán)重的后果產(chǎn)生。

政府部門：關(guān)注政府部門的動向和保持良好關(guān)系，根據(jù)數(shù)據(jù)安全事故的影響范圍和嚴(yán)重程度，需要考慮是否上報通知相關(guān)主管部門，并配合主管部門的安排。

社會力量：必要情況下，企業(yè)也需要注意引入公正第三方機構(gòu)的服務(wù)，以免因自身力量不足而導(dǎo)致問題被忽略未及時補救，同時第三方機構(gòu)的介入也可以輔助加強企業(yè)的公信力。

以上是針對大數(shù)據(jù)企業(yè)在合規(guī)審查時需要注意的重難點總結(jié)，因各大數(shù)據(jù)企業(yè)業(yè)務(wù)和流程設(shè)計的不同，上述重點建議并不能全部直接適用且可能存在遺漏之處，還需要根據(jù)企業(yè)的實際狀況進(jìn)行調(diào)整完善和細(xì)化。但希望上述內(nèi)容能夠幫助大家關(guān)注和了解數(shù)據(jù)合規(guī)的體系建設(shè)，以在工作中進(jìn)行靈活應(yīng)用。

期望有越來越多的企業(yè)能夠重視數(shù)據(jù)合規(guī)的必要性，以長遠(yuǎn)的眼光來看問題，為大數(shù)據(jù)時代的到來做好長足準(zhǔn)備。

（作者系北京清律律師事務(wù)所主任）

鏈接：

清律律師事務(wù)所是清法律師團組建的第一家律師事務(wù)所，由一批畢業(yè)于清華大學(xué)法學(xué)院的優(yōu)秀律師創(chuàng)建，致力于締造互聯(lián)網(wǎng)時代的新形態(tài)律師執(zhí)業(yè)平臺。律所成員背景全面，覆蓋常年顧問、投融資并購、民商事訴訟等主要法律服務(wù)領(lǐng)域，深諳各實體行業(yè)的商業(yè)規(guī)則，有豐富的為各行業(yè)提供定制化法律服務(wù)的經(jīng)驗，具備為公私客戶提供全案的風(fēng)險管控措施和糾紛解決的專業(yè)能力。

在科技與互聯(lián)網(wǎng)領(lǐng)域，清律深度服務(wù)于華為、新浪、惠普、平安、知乎等行業(yè)一線企業(yè)。在娛樂領(lǐng)域，清律是優(yōu)酷、完美世界、大地電影、清控科創(chuàng)等知名企業(yè)及鞏俐、趙薇、楊穎（Angelababy）等知名藝人的常年顧問及專項服務(wù)律所。在初創(chuàng)企業(yè)及金融領(lǐng)域，清律為華宇元典、京西產(chǎn)業(yè)基金、醫(yī)渡云等企業(yè)提供專項服務(wù)。在房地產(chǎn)建工領(lǐng)域，清律為北亞華欣、順宇潔能等海淀區(qū)企業(yè)提供服務(wù)。在婚姻家庭和勞動人事領(lǐng)域，也積累了一批高端私人客戶。秉持卓越的敬業(yè)精神和專業(yè)水準(zhǔn)，我們?yōu)榭蛻籼峁┝硕ㄖ?、高效、?wù)實、盡責(zé)的法律專業(yè)服務(wù)，贏得了客戶的信任和依賴，使得客戶在我們的幫助下能夠平穩(wěn)、健康地實現(xiàn)商業(yè)目標(biāo)并取得矚目的成績。