摘要:《重庆市数字产业发展“十四五”规划(2021-2025年)》提出,到2025年实现重庆市数字经济产业业务收入达到1.5万亿元的发展目标。由于数据合规业务对于提升数字经济产业核心竞争力以及企业健康有序发展等方面均具有重要意义,数字经济的发展离不开律师数据合规法律服务的保驾护航,具体体现在针对企业日常运营过程中应当遵守的设立个人信息保护的内部制度及流程等5项义务,律师相应地能提供数据安全管理等全方面的数据合规法律服务。目前,东部沿海地区律师已经在数据合规法律业务方面积累了一定经验,重庆律师可从网站及APP数据合规业务出发,逐步积累相关法律知识储备及服务经验,以便满足数字经济产业的不断发展。
关键词:数据合规 数字经济 个人信息保护 隐私保护 重庆律师发展
一、重庆市数字经济产业的现状及发展规划
根据《重庆市数字经济发展报告(2022)》等报告显示,2018年至2021年期间,重庆市数字经济增加值年均增长16%,数字经济企业数量达1.85万家,业务收入突破1万亿元,占国内生产总值的比重达到27.2%。
为切实推动重庆市数字经济产业发展,重庆市人民政府同时于2022年初发布了《重庆市数字产业发展“十四五”规划(2021-2025年)》(以下简称《十四五规划》),提出到2025年实现重庆市数字产业的跨越式发展,产业业务收入达1.5万亿元,年平均增长速度保持在10%以上,数字经济核心产值增加值占国内生产总值比重达到10%以上。《十四五规划》中提出,重庆市将通过推进数字技术创新等方式,重点发展包括通信网络、智能网联汽车、软件、人工智能、先进计算以及数字内容等在内的12个数字产业领域,相关产业在建设过程中除需要大力投资并完善硬件设施以外,还将伴随着大量数据的采集、储存、利用等与数据合规密切相关的软件服务。
承国家“东数西算”工程的要求,重庆市在自身大力发展数字经济产业的同时,还将作为“西算”工程中10大集群之一的“重庆集群”,以重庆经济技术开发区等高新技术园区为基础建设大型数据中心,承接企业数据的综合储存、使用及加工等工作。
二、数据合规业务对于发展建设数字经济产业的意义
(一)数据的定义
《数据安全法》第3条第1款规定:“本法所称数据,是指任何以电子或者其他方式对信息的记录。”《个人信息保护法》第4条第1款同时规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
从数据合规法律服务的角度考虑,需要律师协助企业进行合规管理的主要是企业在运营过程中所搜集的,一切与用户相关的个人信息,包括姓名、出生年月、证件号码、生物识别信息、联系地址、手机号码、通信记录、网站或软件用户密码、财产信息、征信信息、行踪轨迹等,能够用以识别出“特定”个人的信息,而无论该信息是能够识别出特定个人,或是只能识别出某人的活动情况或所使用的设备信息。
同时,律师在开展数据合规过程中,也应注意区分个人信息与隐私信息,并非所有隐私信息都属于数据合规业务中的个人信息,两者的主要区别在于:《民法典》第1032条所称的隐私是指自然人的私人生活安宁和不愿为他人所知晓的私密空间、私密活动、私密信息,其主要侧重点在于相关信息的“私密性”,与个人信息所强调的“可识别性”存在一定差异。错误地将隐私信息作为个人信息予以保护并进行合规化管理,将极大程度地加大企业及律师的工作量,导致数据合规业务的效率低下,收费畸高。
在判断某类信息到底是否属于隐私信息时,企业和律师应结合信息个人的合理隐私期待、社会大众的一般合理认知以及信息的实际发生场景3方面综合考虑。以“某人在社交软件中的暗恋对象”这一特定信息为例,因其系常人不愿意向大众披露的个人情感内容,属于常规意义上的隐私信息;但一般而言,无论是大众或是网站及软件的运营方,均无法凭借上述信息识别特定自然人的身份或活动,因此该信息并不属于数据合规业务的对象。
(二)数据合规对于建设数字经济产业的意义
1.数据合规业务有利于提升数字经济产业的核心竞争力。数据是数字经济时代重要的生产要素,是构建新发展格局的重要支撑。通过数据合规业务,可以促进数据资源的高效整合、优化配置和创新利用,增强数字经济产业的创新能力和市场竞争力。
2.数据合规业务有利于保障数字经济产业的安全稳定运行。数据安全是数字经济发展的基础和前提。通过数据合规业务,可以有效防范和应对各种数据风险和挑战,如数据泄露、篡改、滥用、攻击等,维护国家安全、社会稳定和公共利益。
3.数据合规业务有利于促进数字经济产业的可持续发展。数据是一种可再生资源,具有无限增值潜力。通过数据合规业务,可以实现数据资源的循环利用和共享开放,推动数字经济产业形成良好的生态环境和发展动力。
4.数据合规业务有利于增强数字经济产业的社会责任感。数据涉及个人隐私、商业秘密、知识产权等多方面权益。通过数据合规业务,可以充分尊重和保护各方主体的权益和诉求,避免或减少因为数据问题引起的纠纷和冲突。
5.数据合规业务有利于推动数字经济产业与其他领域的融合发展。数据是跨界融合创新的重要媒介和桥梁。通过数据合规业务,可以促进不同行业、领域、层级之间的信息交流与协作,拓展数字经济产业与其他领域之间相互支持与共赢。
(三)数据合规对于企业健康有序发展的意义
1.数据合规业务有助于提升企业的社会责任感和信誉度,树立良好的品牌形象,增强用户的信任和忠诚度。
2.数据合规业务有助于降低企业的法律风险和经济损失,避免因违反数据安全法律法规而受到监管部门的处罚或用户的诉讼。
3.数据合规业务有助于优化企业的数据管理流程和制度,提高数据质量和价值,促进数据资源的有效利用和创新。
4.数据合规业务有助于保护企业的核心竞争力和商业秘密,防止数据泄露或被恶意利用而导致市场失衡或商机流失。
5.数据合规业务有助于响应国家政策导向和社会期待,支持数字经济健康发展,为国家主权、安全和发展利益贡献力量。
以滴滴公司违规采集用户信息及未经许可向境外传输用户数据的案件为例,滴滴公司因日常经营过程中存在违法收集用户手机相册截图、剪切板及应用信息、人脸识别等个人信息、过度收集乘客评价等行为,且存在严重违反国家安全的数据处理活动,最终被国家网信办处以80.26亿元的巨额罚款,同时其股价也因此暴跌,对其企业本身的经济利益及社会声誉均造成了巨大影响。
三、重企业在经营过程中应遵守的数据合规义务
数据合规业务贯穿企业收集、储存、处理、使用和传输用户数据及个人信息的全过程中,企业上述数据的保护义务主要体现在以下5个方面:
(一)设立个人信息保护的内部制度及流程
企业在经营过程中,应当根据个人信息的搜集与处理目的、种类、对个人的影响以及存在的安全性风险等因素,通过采取指定个人信息保护制度、分类管理个人信息、对个人信息进行加密或去标识化、确定个人信息操作权限以及定期进行人员培训等方式,保证数据利用的全过程合规化,防止任何主体未经许可访问个人信息或导致个人信息泄露、篡改以及丢失。
(二)设立个人信息保护负责人
根据《个人信息保护法》第52条的规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。上述个人信息保护负责人的联系方式还应进行公开,并将姓名及联系方式等报送监管部门。
另从《数据安全法》及《网络安全法》的规定来看,两部法律亦同时要求个人信息处理企业应当设立数据安全负责人及网络安全负责人。实践中,常存在3类负责人同为1人的情况,虽然目前相关法律法规并未对该情况予以明文禁止,但企业也应当注意分别针对3个岗位确定各自相应的职能、工作侧重点以及考核标准。
(三)发生个人信息泄露事件后,及时向相关部门进行报告
《个人信息保护法》第57条要求企业在发生或者可能发生个人信息泄露、篡改、丢失事件时,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人,通知的内容包括:1.个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;2.个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;3.个人信息处理者的联系方式。
虽然上述规定并未对企业履行通知义务的时限作出明确,但参照《计算机信息系统安全保护条例》的相关规定,企业应当在发生信息泄露事件的24小时内进行报告。
(四)“守门人”企业应遵守特殊义务
在上述3项一般义务的基础上,《个人信息保护法》第58条重点规定了对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者(即俗称“守门人”企业)应额外履行4项特殊义务,包括:
1.按照国家规定,建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
2.遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
3.对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
4.定期发布个人信息保护社会责任报告,接受社会监督。
(五)特定场景下的个人信息保护增强义务
对于部分风险较高且与个人信息高度关联的个人信息使用场景,《个人信息保护法》亦给企业设定了增强义务,主要包括以下5类情况:
1.需要获取用户“单独同意”的场景,主要涉及向其他个人信息处理者提供其处理的个人信息、公开其处理的个人信息、将公共场所收集的个人图像/身份特征信息用于非公共安全目的、处理敏感个人信息以及向境外提供个人信息等场景。
2.处理个人敏感信息时,应当遵循必要性原则,在严格的保护措施下,出于特定目的方可处理敏感个人信息。
3.处理特定信息时,应事先进行个人信息保护影响评估工作,履行相关评估流程,综合数据处理对个人权益的影响及风险程度对个人信息使用流程进行风险评级,识别在此过程中可能引发的风险。
4.保证自动化决策流程的公平公正性,对于可能使用个人信息作为数据源进行自动化决策及个性化推广的企业,应防止出现“大数据杀熟”等不当运用情形,做好消费者权益保障工作。
5.涉及个人信息出境时,落实前期用户“单独同意”、出境前国家部门安全评估、出境过程中安全保护措施以及出境后数据合规使用等保障性措施。
四、律师开展数据合规业务的切入点
(一)数据合规法律服务主要涉及的领域
1、数据安全管理
为企业建立数据安全管理的文件体系、组织架构、流程机制和风险控制,以符合法律法规、政策文件和行业标准的要求。
从实务角度而言,律师及企业内部法务构建企业整体数据安全体系的流程一般包括:
(1)根据《个人信息保护法》《数据安全法》以及《网络安全法》等法律法规的相关规定,识别企业日常业务开展中所处理的数据是否属于需要特殊保护的个人信息。
(2)识别企业自身属于一般主体、“守门人”主体还是其他特殊主体。
(3)从企业处理个人信息的基本要求及流程出发,确保相关处理过程符合《个人信息保护法》所要求的基本规则及一般义务。
(4)当企业属于“守门人”的角色时,则应当在遵守基本规则与一般义务的基础上,按照《个人信息保护法》的规定额外履行4项特殊义务。
(5)当企业经营过程中同时涉及《个人信息保护法》所列举的高风险及复杂场景时,按规定履行相关增强义务。
(6)对于企业经营及数据处理过程中用户提出的合法诉求作出及时响应。
(7)及时排查企业数据处理过程中可能存在的监管及涉诉风险,及时作出研判并做好风险应急预案。
2. 数据隐私保护
以典型的隐私政策制定及整改业务为例,隐私政策系企业向用户明确告知收集、储存、处理、使用和传输个人信息所涉及的目的、方式及范围的法律文件,企业应当根据相关法律法规要求的公平、透明原则,清晰地向用户告知上述事项。但由于企业对于隐私协议的忽视以及产品自身功能的差异,容易导致隐私协议未能全面、准确地反映产品的客观情况,致使企业遭受监管处罚、平台下架以及用户投诉。
从隐私政策的基本架构来看,《信息安全技术 个人信息安全规范》的附录中提供了简要示例,包括信息收集范围、信息用途、委托第三方处理数据的情况、用户权利、联系方式等主要板块;而因企业往往无法准确判断相关板块的法律含义,容易一味地套用相关模板,此时则需要律师通过尽职调查的方式厘清企业及产品运行模式后,再提供具有针对性的修订建议。
3. 数据交易合规
为企业进行数据资产的评估、清洗、标准化与定价的合规性建议以及制定数据交易的合同条款、风险防范措施和纠纷解决方案。
以个人信息匿名化工作为例,根据《个人信息保护法》第4条的规定,若个人信息经过处理后已无法识别特定自然人且不能复原,则对此类信息的处理将不再适用个人信息保护的要求。
在实践中,企业常混淆去标识化与匿名化的概念。去标识化是指,个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程,典型的场景即为在快递面单中隐藏用户手机号码中的部分位数,以达到他人无法通过快递面单获取用户个人信息的目的。根据《个人信息保护法》的相关规定,虽然用户的手机号码在打印时已经隐去部分信息,但在快递企业的系统中仍然保存着用户的完整手机号码,不符合匿名化要求中“不能复原”的要求。
企业在对自身数据资产进行清洗处理并进行交易的过程中,律师将能够利用自身法律知识,协助企业对数据交易前的合规工作进行梳理,保证数据交易的合法性。
4. 企业上市及数据出境监管
为企业提供上市前及跨境传输个人信息和重要数据时所需遵守的条件、程序和标准等方面的合规建议,帮助企业完成上市及出境安全评估并进行备案申报。
以数据出境为例,根据《数据出境安全评估办法》的规定,当存在数据处理者向境外提供重要数据等4种情形时,数据处理者应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
在实践中,数据出境前的“三步走”过程中均需要律师提供协助,主要体现在:
(1)在调查跨境传输需求的过程中,协助企业识别相关数据是否需要进行出境前申报,了解目标国监管要求,以及明确数据传输的目的。
(2)在制定跨境传输规则的过程中,协助企业判断是否存在数据出境的必要性,分析可使用的跨境传输规则,以及了解目标国是否为相关数据公约的缔约国。
(3)在数据出境过程以及出境后的动态检测过程中,协助企业记录传输情况、储存情况以及接收情况,并在出境后分析可能引起的监管及诉讼风险。
(二)以网站及APP数据合规作为重庆律师开展数据合规业务的切入点
一方面,由于东部沿海地区互联网产业发展相对完善,东部律师也早已在几年前即着手开展数据合规法律服务,承接了较多大型企业的整体数据合规建设、上市数据合规审查以及出海数据合规申报等业务,并协同国内各大高校及研究机构等完成了较多数据合规标准及政策的制定工作,足以证明数据合规业务的市场规模较大且发展潜力良好;另一方面,由于重庆自身产业结构仍然较为传统,数字经济产业建设工作任重道远,导致重庆律师在数据合规业务方面经验不足,并未形成有典型意义的示范性案例,无法照搬东部沿海地区的经验将重心放在大型诉讼或非诉业务中。
在此背景下,重庆律师可考虑以网站及APP等单一互联网产品的数据合规业务作为切入点,主要原因在于:
1.业务上手难度较低。承上文所述,目前国家相关部门针对诸如隐私政策、APP授权同意规则以及APP用户注销规则等项目制作了指引,律师在协助企业完善相关项目的过程中,一般仅需按照相关规定及指引,配合尽职调查过程中所了解到的企业实际运营情况提出修订及整改建议,由2-3人所组成的律师团队在1-2周内完成。
2.企业需求较为迫切。企业在业务开展过程中,一般会在产品上线前或遭遇监管部门审查时,需要律师协助完成产品合规工作。此时,由于产品未能按期上架或遭遇下架将给企业带来较大的损失,企业一般愿意聘请律师在较短时间内完成相关工作,以保证正常经营工作的开展。
3.律师收费金额较低。针对网站及APP的数据合规法律服务工作内容较为单一,耗时相对较短,因此律师收费也相对较低。根据产品的复杂程度,目前东部沿海律师的收费一般为10万-20万元,成都市部分律师收费5万-15万元。较低的收费有利于提高企业的接受程度,降低企业负担。
4.带来衍生法律服务的可能性较高。在针对单项产品提供数据合规法律服务的同时,律师还有机会深入地了解企业运营流程,发现可能存在的其他法律风险。律师在完成单项产品的数据合规法律服务后,可与企业共同进行复盘回顾,同时对服务过程中发现的其他风险提出整改建议,并获取更进一步的业务机会。
(三)律师协会与律师共同推进数据合规法律业务开拓工作的建议
1.组织开展业务培训,增强律师业务能力
(1)邀请国内外知名的数据合规专家和律师,通过线上或线下的方式,定期举办数据合规法律讲座,介绍国内外数据合规法律法规的最新动态和实务案例,解答律师在承办数据合规业务中遇到的难点和疑问。
(2)组织有意向从事数据合规业务的律师参加专业培训班,系统学习数据合规相关的法律理论和技能,掌握数据合规风险评估、契约制定、政策制定、应急处置等方面的知识和方法。
(3)建立数据合规业务交流平台或组建新兴法律业务专业委员会,鼓励律师之间分享经验和心得,促进行业内部的沟通和协作,形成良好的学习氛围和专业气氛。
2.牵头走访科技企业,了解企业具体法律需求
(2)通过走访交流,深入了解企业的数据安全风险、数据保护措施、数据利用模式等方面的具体情况,分析企业在数据合规方面的优势和不足。
(3)根据走访结果,为企业提供专业的法律建议和定制化的数据合规解决方案,帮助企业提高数据安全水平、规范数据处理活动、促进数据价值开发。
3.联动教研机构及政府部门,推动本地数字领域立法工作
(1)组织有志于开展数据合规领域的律师定期召开专题研讨会,邀请教研机构和政府部门的专家参与,交流数据合规的最新法律动态、案例分析、行业标准和最佳实践,提高律师在数据合规领域的专业水平和服务能力。
(2)积极参与本地数字领域的立法咨询和评估工作,向政府部门提供专业、中立、有建设性的意见和建议,反映行业和社会的需求和关切。同时,及时向律师同行传达相关立法信息和进展情况,促进律师间的沟通和协作。
(3)开展数据合规普及宣传活动,通过举办讲座、撰写文章、制作视频等形式,向公众介绍数据合规的重要性、基本原则、实施步骤等内容。
五、结 语
对重庆市数字经济产业总体建设而言,积极推进律师开展数据合规业务可以促进数字经济产业的健康发展,维护国家网络安全和公共利益,增强企业开展相关业务的信心。
对重庆市律师行业自身发展而言,开展数据合规业务可以提升自身的专业水平和市场竞争力,满足客户对于网络安全和个人信息保护等方面的需求,迎接未来业务市场的变更,扩大自身的业务范围和收入来源。
综上,以数据合规法律业务为着眼点,增强重庆律师在新兴行业法律服务领域的总体能力,将有利于助推重庆数字经济产业合规有序发展。