摘要:《重慶市數字產業發展“十四五”規劃(2021-2025年)》提出,到2025年實現重慶市數字經濟產業業務收入達到1.5萬億元的發展目標。由于數據合規業務對于提升數字經濟產業核心競爭力以及企業健康有序發展等方面均具有重要意義,數字經濟的發展離不開律師數據合規法律服務的保駕護航,具體體現在針對企業日常運營過程中應當遵守的設立個人信息保護的內部制度及流程等5項義務,律師相應地能提供數據安全管理等全方面的數據合規法律服務。目前,東部沿海地區律師已經在數據合規法律業務方面積累了一定經驗,重慶律師可從網站及APP數據合規業務出發,逐步積累相關法律知識儲備及服務經驗,以便滿足數字經濟產業的不斷發展。
關鍵詞:數據合規 數字經濟 個人信息保護 隱私保護 重慶律師發展
一、重慶市數字經濟產業的現狀及發展規劃
根據《重慶市數字經濟發展報告(2022)》等報告顯示,2018年至2021年期間,重慶市數字經濟增加值年均增長16%,數字經濟企業數量達1.85萬家,業務收入突破1萬億元,占國內生產總值的比重達到27.2%。
為切實推動重慶市數字經濟產業發展,重慶市人民政府同時于2022年初發布了《重慶市數字產業發展“十四五”規劃(2021-2025年)》(以下簡稱《十四五規劃》),提出到2025年實現重慶市數字產業的跨越式發展,產業業務收入達1.5萬億元,年平均增長速度保持在10%以上,數字經濟核心產值增加值占國內生產總值比重達到10%以上。《十四五規劃》中提出,重慶市將通過推進數字技術創新等方式,重點發展包括通信網絡、智能網聯汽車、軟件、人工智能、先進計算以及數字內容等在內的12個數字產業領域,相關產業在建設過程中除需要大力投資并完善硬件設施以外,還將伴隨著大量數據的采集、儲存、利用等與數據合規密切相關的軟件服務。
承國家“東數西算”工程的要求,重慶市在自身大力發展數字經濟產業的同時,還將作為“西算”工程中10大集群之一的“重慶集群”,以重慶經濟技術開發區等高新技術園區為基礎建設大型數據中心,承接企業數據的綜合儲存、使用及加工等工作。
二、數據合規業務對于發展建設數字經濟產業的意義
(一)數據的定義
《數據安全法》第3條第1款規定:“本法所稱數據,是指任何以電子或者其他方式對信息的記錄。”《個人信息保護法》第4條第1款同時規定:“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。”
從數據合規法律服務的角度考慮,需要律師協助企業進行合規管理的主要是企業在運營過程中所搜集的,一切與用戶相關的個人信息,包括姓名、出生年月、證件號碼、生物識別信息、聯系地址、手機號碼、通信記錄、網站或軟件用戶密碼、財產信息、征信信息、行蹤軌跡等,能夠用以識別出“特定”個人的信息,而無論該信息是能夠識別出特定個人,或是只能識別出某人的活動情況或所使用的設備信息。
同時,律師在開展數據合規過程中,也應注意區分個人信息與隱私信息,并非所有隱私信息都屬于數據合規業務中的個人信息,兩者的主要區別在于:《民法典》第1032條所稱的隱私是指自然人的私人生活安寧和不愿為他人所知曉的私密空間、私密活動、私密信息,其主要側重點在于相關信息的“私密性”,與個人信息所強調的“可識別性”存在一定差異。錯誤地將隱私信息作為個人信息予以保護并進行合規化管理,將極大程度地加大企業及律師的工作量,導致數據合規業務的效率低下,收費畸高。
在判斷某類信息到底是否屬于隱私信息時,企業和律師應結合信息個人的合理隱私期待、社會大眾的一般合理認知以及信息的實際發生場景3方面綜合考慮。以“某人在社交軟件中的暗戀對象”這一特定信息為例,因其系常人不愿意向大眾披露的個人情感內容,屬于常規意義上的隱私信息;但一般而言,無論是大眾或是網站及軟件的運營方,均無法憑借上述信息識別特定自然人的身份或活動,因此該信息并不屬于數據合規業務的對象。
(二)數據合規對于建設數字經濟產業的意義
1.數據合規業務有利于提升數字經濟產業的核心競爭力。數據是數字經濟時代重要的生產要素,是構建新發展格局的重要支撐。通過數據合規業務,可以促進數據資源的高效整合、優化配置和創新利用,增強數字經濟產業的創新能力和市場競爭力。
2.數據合規業務有利于保障數字經濟產業的安全穩定運行。數據安全是數字經濟發展的基礎和前提。通過數據合規業務,可以有效防范和應對各種數據風險和挑戰,如數據泄露、篡改、濫用、攻擊等,維護國家安全、社會穩定和公共利益。
3.數據合規業務有利于促進數字經濟產業的可持續發展。數據是一種可再生資源,具有無限增值潛力。通過數據合規業務,可以實現數據資源的循環利用和共享開放,推動數字經濟產業形成良好的生態環境和發展動力。
4.數據合規業務有利于增強數字經濟產業的社會責任感。數據涉及個人隱私、商業秘密、知識產權等多方面權益。通過數據合規業務,可以充分尊重和保護各方主體的權益和訴求,避免或減少因為數據問題引起的糾紛和沖突。
5.數據合規業務有利于推動數字經濟產業與其他領域的融合發展。數據是跨界融合創新的重要媒介和橋梁。通過數據合規業務,可以促進不同行業、領域、層級之間的信息交流與協作,拓展數字經濟產業與其他領域之間相互支持與共贏。
(三)數據合規對于企業健康有序發展的意義
1.數據合規業務有助于提升企業的社會責任感和信譽度,樹立良好的品牌形象,增強用戶的信任和忠誠度。
2.數據合規業務有助于降低企業的法律風險和經濟損失,避免因違反數據安全法律法規而受到監管部門的處罰或用戶的訴訟。
3.數據合規業務有助于優化企業的數據管理流程和制度,提高數據質量和價值,促進數據資源的有效利用和創新。
4.數據合規業務有助于保護企業的核心競爭力和商業秘密,防止數據泄露或被惡意利用而導致市場失衡或商機流失。
5.數據合規業務有助于響應國家政策導向和社會期待,支持數字經濟健康發展,為國家主權、安全和發展利益貢獻力量。
以滴滴公司違規采集用戶信息及未經許可向境外傳輸用戶數據的案件為例,滴滴公司因日常經營過程中存在違法收集用戶手機相冊截圖、剪切板及應用信息、人臉識別等個人信息、過度收集乘客評價等行為,且存在嚴重違反國家安全的數據處理活動,最終被國家網信辦處以80.26億元的巨額罰款,同時其股價也因此暴跌,對其企業本身的經濟利益及社會聲譽均造成了巨大影響。
三、重企業在經營過程中應遵守的數據合規義務
數據合規業務貫穿企業收集、儲存、處理、使用和傳輸用戶數據及個人信息的全過程中,企業上述數據的保護義務主要體現在以下5個方面:
(一)設立個人信息保護的內部制度及流程
企業在經營過程中,應當根據個人信息的搜集與處理目的、種類、對個人的影響以及存在的安全性風險等因素,通過采取指定個人信息保護制度、分類管理個人信息、對個人信息進行加密或去標識化、確定個人信息操作權限以及定期進行人員培訓等方式,保證數據利用的全過程合規化,防止任何主體未經許可訪問個人信息或導致個人信息泄露、篡改以及丟失。
(二)設立個人信息保護負責人
根據《個人信息保護法》第52條的規定,處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。上述個人信息保護負責人的聯系方式還應進行公開,并將姓名及聯系方式等報送監管部門。
另從《數據安全法》及《網絡安全法》的規定來看,兩部法律亦同時要求個人信息處理企業應當設立數據安全負責人及網絡安全負責人。實踐中,常存在3類負責人同為1人的情況,雖然目前相關法律法規并未對該情況予以明文禁止,但企業也應當注意分別針對3個崗位確定各自相應的職能、工作側重點以及考核標準。
(三)發生個人信息泄露事件后,及時向相關部門進行報告
《個人信息保護法》第57條要求企業在發生或者可能發生個人信息泄露、篡改、丟失事件時,個人信息處理者應當立即采取補救措施,并通知履行個人信息保護職責的部門和個人,通知的內容包括:1.個人信息泄露、篡改、丟失的信息種類、原因和可能造成的危害;2.個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施;3.個人信息處理者的聯系方式。
雖然上述規定并未對企業履行通知義務的時限作出明確,但參照《計算機信息系統安全保護條例》的相關規定,企業應當在發生信息泄露事件的24小時內進行報告。
(四)“守門人”企業應遵守特殊義務
在上述3項一般義務的基礎上,《個人信息保護法》第58條重點規定了對于提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者(即俗稱“守門人”企業)應額外履行4項特殊義務,包括:
1.按照國家規定,建立健全個人信息保護合規制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督;
2.遵循公開、公平、公正的原則,制定平臺規則,明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務;
3.對嚴重違反法律、行政法規處理個人信息的平臺內的產品或者服務提供者,停止提供服務;
4.定期發布個人信息保護社會責任報告,接受社會監督。
(五)特定場景下的個人信息保護增強義務
對于部分風險較高且與個人信息高度關聯的個人信息使用場景,《個人信息保護法》亦給企業設定了增強義務,主要包括以下5類情況:
1.需要獲取用戶“單獨同意”的場景,主要涉及向其他個人信息處理者提供其處理的個人信息、公開其處理的個人信息、將公共場所收集的個人圖像/身份特征信息用于非公共安全目的、處理敏感個人信息以及向境外提供個人信息等場景。
2.處理個人敏感信息時,應當遵循必要性原則,在嚴格的保護措施下,出于特定目的方可處理敏感個人信息。
3.處理特定信息時,應事先進行個人信息保護影響評估工作,履行相關評估流程,綜合數據處理對個人權益的影響及風險程度對個人信息使用流程進行風險評級,識別在此過程中可能引發的風險。
4.保證自動化決策流程的公平公正性,對于可能使用個人信息作為數據源進行自動化決策及個性化推廣的企業,應防止出現“大數據殺熟”等不當運用情形,做好消費者權益保障工作。
5.涉及個人信息出境時,落實前期用戶“單獨同意”、出境前國家部門安全評估、出境過程中安全保護措施以及出境后數據合規使用等保障性措施。
四、律師開展數據合規業務的切入點
(一)數據合規法律服務主要涉及的領域
1、數據安全管理
為企業建立數據安全管理的文件體系、組織架構、流程機制和風險控制,以符合法律法規、政策文件和行業標準的要求。
從實務角度而言,律師及企業內部法務構建企業整體數據安全體系的流程一般包括:
(1)根據《個人信息保護法》《數據安全法》以及《網絡安全法》等法律法規的相關規定,識別企業日常業務開展中所處理的數據是否屬于需要特殊保護的個人信息。
(2)識別企業自身屬于一般主體、“守門人”主體還是其他特殊主體。
(3)從企業處理個人信息的基本要求及流程出發,確保相關處理過程符合《個人信息保護法》所要求的基本規則及一般義務。
(4)當企業屬于“守門人”的角色時,則應當在遵守基本規則與一般義務的基礎上,按照《個人信息保護法》的規定額外履行4項特殊義務。
(5)當企業經營過程中同時涉及《個人信息保護法》所列舉的高風險及復雜場景時,按規定履行相關增強義務。
(6)對于企業經營及數據處理過程中用戶提出的合法訴求作出及時響應。
(7)及時排查企業數據處理過程中可能存在的監管及涉訴風險,及時作出研判并做好風險應急預案。
2. 數據隱私保護
以典型的隱私政策制定及整改業務為例,隱私政策系企業向用戶明確告知收集、儲存、處理、使用和傳輸個人信息所涉及的目的、方式及范圍的法律文件,企業應當根據相關法律法規要求的公平、透明原則,清晰地向用戶告知上述事項。但由于企業對于隱私協議的忽視以及產品自身功能的差異,容易導致隱私協議未能全面、準確地反映產品的客觀情況,致使企業遭受監管處罰、平臺下架以及用戶投訴。
從隱私政策的基本架構來看,《信息安全技術 個人信息安全規范》的附錄中提供了簡要示例,包括信息收集范圍、信息用途、委托第三方處理數據的情況、用戶權利、聯系方式等主要板塊;而因企業往往無法準確判斷相關板塊的法律含義,容易一味地套用相關模板,此時則需要律師通過盡職調查的方式厘清企業及產品運行模式后,再提供具有針對性的修訂建議。
3. 數據交易合規
為企業進行數據資產的評估、清洗、標準化與定價的合規性建議以及制定數據交易的合同條款、風險防范措施和糾紛解決方案。
以個人信息匿名化工作為例,根據《個人信息保護法》第4條的規定,若個人信息經過處理后已無法識別特定自然人且不能復原,則對此類信息的處理將不再適用個人信息保護的要求。
在實踐中,企業常混淆去標識化與匿名化的概念。去標識化是指,個人信息經過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程,典型的場景即為在快遞面單中隱藏用戶手機號碼中的部分位數,以達到他人無法通過快遞面單獲取用戶個人信息的目的。根據《個人信息保護法》的相關規定,雖然用戶的手機號碼在打印時已經隱去部分信息,但在快遞企業的系統中仍然保存著用戶的完整手機號碼,不符合匿名化要求中“不能復原”的要求。
企業在對自身數據資產進行清洗處理并進行交易的過程中,律師將能夠利用自身法律知識,協助企業對數據交易前的合規工作進行梳理,保證數據交易的合法性。
4. 企業上市及數據出境監管
為企業提供上市前及跨境傳輸個人信息和重要數據時所需遵守的條件、程序和標準等方面的合規建議,幫助企業完成上市及出境安全評估并進行備案申報。
以數據出境為例,根據《數據出境安全評估辦法》的規定,當存在數據處理者向境外提供重要數據等4種情形時,數據處理者應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。
在實踐中,數據出境前的“三步走”過程中均需要律師提供協助,主要體現在:
(1)在調查跨境傳輸需求的過程中,協助企業識別相關數據是否需要進行出境前申報,了解目標國監管要求,以及明確數據傳輸的目的。
(2)在制定跨境傳輸規則的過程中,協助企業判斷是否存在數據出境的必要性,分析可使用的跨境傳輸規則,以及了解目標國是否為相關數據公約的締約國。
(3)在數據出境過程以及出境后的動態檢測過程中,協助企業記錄傳輸情況、儲存情況以及接收情況,并在出境后分析可能引起的監管及訴訟風險。
(二)以網站及APP數據合規作為重慶律師開展數據合規業務的切入點
一方面,由于東部沿海地區互聯網產業發展相對完善,東部律師也早已在幾年前即著手開展數據合規法律服務,承接了較多大型企業的整體數據合規建設、上市數據合規審查以及出海數據合規申報等業務,并協同國內各大高校及研究機構等完成了較多數據合規標準及政策的制定工作,足以證明數據合規業務的市場規模較大且發展潛力良好;另一方面,由于重慶自身產業結構仍然較為傳統,數字經濟產業建設工作任重道遠,導致重慶律師在數據合規業務方面經驗不足,并未形成有典型意義的示范性案例,無法照搬東部沿海地區的經驗將重心放在大型訴訟或非訴業務中。
在此背景下,重慶律師可考慮以網站及APP等單一互聯網產品的數據合規業務作為切入點,主要原因在于:
1.業務上手難度較低。承上文所述,目前國家相關部門針對諸如隱私政策、APP授權同意規則以及APP用戶注銷規則等項目制作了指引,律師在協助企業完善相關項目的過程中,一般僅需按照相關規定及指引,配合盡職調查過程中所了解到的企業實際運營情況提出修訂及整改建議,由2-3人所組成的律師團隊在1-2周內完成。
2.企業需求較為迫切。企業在業務開展過程中,一般會在產品上線前或遭遇監管部門審查時,需要律師協助完成產品合規工作。此時,由于產品未能按期上架或遭遇下架將給企業帶來較大的損失,企業一般愿意聘請律師在較短時間內完成相關工作,以保證正常經營工作的開展。
3.律師收費金額較低。針對網站及APP的數據合規法律服務工作內容較為單一,耗時相對較短,因此律師收費也相對較低。根據產品的復雜程度,目前東部沿海律師的收費一般為10萬-20萬元,成都市部分律師收費5萬-15萬元。較低的收費有利于提高企業的接受程度,降低企業負擔。
4.帶來衍生法律服務的可能性較高。在針對單項產品提供數據合規法律服務的同時,律師還有機會深入地了解企業運營流程,發現可能存在的其他法律風險。律師在完成單項產品的數據合規法律服務后,可與企業共同進行復盤回顧,同時對服務過程中發現的其他風險提出整改建議,并獲取更進一步的業務機會。
(三)律師協會與律師共同推進數據合規法律業務開拓工作的建議
1.組織開展業務培訓,增強律師業務能力
(1)邀請國內外知名的數據合規專家和律師,通過線上或線下的方式,定期舉辦數據合規法律講座,介紹國內外數據合規法律法規的最新動態和實務案例,解答律師在承辦數據合規業務中遇到的難點和疑問。
(2)組織有意向從事數據合規業務的律師參加專業培訓班,系統學習數據合規相關的法律理論和技能,掌握數據合規風險評估、契約制定、政策制定、應急處置等方面的知識和方法。
(3)建立數據合規業務交流平臺或組建新興法律業務專業委員會,鼓勵律師之間分享經驗和心得,促進行業內部的溝通和協作,形成良好的學習氛圍和專業氣氛。
2.牽頭走訪科技企業,了解企業具體法律需求
(2)通過走訪交流,深入了解企業的數據安全風險、數據保護措施、數據利用模式等方面的具體情況,分析企業在數據合規方面的優勢和不足。
(3)根據走訪結果,為企業提供專業的法律建議和定制化的數據合規解決方案,幫助企業提高數據安全水平、規范數據處理活動、促進數據價值開發。
3.聯動教研機構及政府部門,推動本地數字領域立法工作
(1)組織有志于開展數據合規領域的律師定期召開專題研討會,邀請教研機構和政府部門的專家參與,交流數據合規的最新法律動態、案例分析、行業標準和最佳實踐,提高律師在數據合規領域的專業水平和服務能力。
(2)積極參與本地數字領域的立法咨詢和評估工作,向政府部門提供專業、中立、有建設性的意見和建議,反映行業和社會的需求和關切。同時,及時向律師同行傳達相關立法信息和進展情況,促進律師間的溝通和協作。
(3)開展數據合規普及宣傳活動,通過舉辦講座、撰寫文章、制作視頻等形式,向公眾介紹數據合規的重要性、基本原則、實施步驟等內容。
五、結 語
對重慶市數字經濟產業總體建設而言,積極推進律師開展數據合規業務可以促進數字經濟產業的健康發展,維護國家網絡安全和公共利益,增強企業開展相關業務的信心。
對重慶市律師行業自身發展而言,開展數據合規業務可以提升自身的專業水平和市場競爭力,滿足客戶對于網絡安全和個人信息保護等方面的需求,迎接未來業務市場的變更,擴大自身的業務范圍和收入來源。
綜上,以數據合規法律業務為著眼點,增強重慶律師在新興行業法律服務領域的總體能力,將有利于助推重慶數字經濟產業合規有序發展。
