2022年7月21日,长达一年之久的滴滴网络审查终于落下帷幕。最终,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款。滴滴成为继阿里、美团之后,第三家被国家监管部门开出天价罚单的企业,而高达80.26亿的天价罚单也瞬间引发了网络热议。 作为数字经济和信息社会的核心资源,数据被誉为“21世纪的石油和钻石矿”,已成为和土地、劳动力、资本、技术并列的五种生产要素之一。而随着近年来有关数据泄露、数据窃听、数据滥用等安全事件屡见不鲜,保护数据资产已引起各国高度重视。2021年5月,由国家工业信息安全发展研究中心和华为公司联合发布的《数据安全白皮书》指出,数据安全已经上升到国家主权的高度,是国家竞争力的直接体现。 在域内,分别于2017年通过的《网络安全法》与2021年通过的《数据安全法》、《个人信息保护法》共同构成我国数据保护领域的行政监管法律体系,其中不仅规定了覆盖数据全生命周期的数据处理基本规则,而且设置专章规定企业数据合规管理义务。然而历经了近二十年的移动互联时代后,几乎没有一家企业能认为自己和这次的数据合规浪潮无关,甚至不夸张地说,几乎所有企业都为数据合规而感到焦虑。本期访谈,德恒上海律师事务所合伙人、律师高亚平将同我们分享她相当独到且深刻的见解。 高亚平 德恒上海律师事务所合伙人、数据与合规业务部负责人 Q:当前环境下,企业普遍存在哪些数据合规方面的问题?数据合规对于当下企业又意味怎么样的重要性? A:数据合规这个主题太宏大,让很多人觉得很难找到一个核心的抓手,去看如何应对这样的一个大的趋势,以及各方面的监管的压力。所以我们希望让企业能够看得到核心到底要抓住什么?抓住了这个核心,基本上是说可以势如破竹,所以我基本上把这本书解构为,要从三个维度去看。我们的书的封皮也比较有意思,两种颜色的渐进,实际上就代表了目前数据合规在整个大势下的冲突。
第二个维度是数据带有很强的合规的监管的模糊性。包括我们这本书里面一开始就讲到数据合规之所以那么难,是因为它本身的监管的边界是模糊的,对于数据的定义,比如个人信息的定义的边界也是模糊的。当它是模糊的时候,你会觉得很焦虑,而且你投入的合规的成本就变成不确定的。 第三,企业的高速发展,尤其是现在新经济这些领域的发展,它这种商业模式可能会自带系统性风险,或者说它因为前两者的原因。甚至是有些领域,可能都还没有相关的一些监管的要求出来,但实际上企业发展非常快。有些商业模式可能一两年就迭代掉了,一种新的商业模式其实就意味着数据处理的一种方式,所以这就决定了企业的高速发展和监管之间会形成一种强烈的冲突。企业到底选择做还是不做?我到底应该怎么做?这三个维度,其实就构成了刚刚提到的,虽然说数据类的法律已经相对就比较健全了,三驾马车我们也都知道。又经历了多年的数据合规的发展,监管部门又非常的多,甚至是有些功能都是重叠的。
Q:人力资源行业的合规性体现在哪些方面? A:人力资源这个行业非常有意思,也正好是我们在从事的数据合规领域当中一个很重要的板块。因为现在我们在谈论数据合规当中,很重要的一个,而且是大占比的,就是关于个人信息保护。个人信息保护当中很重要的是敏感个人信息,这个是最重要的一个部分。包括现在有很多个人信息权益保护维权行动,其实也都是围绕敏感个人信息展开的。人力资源这个领域,比较有意思的是,天天就碰人这件事儿,那人怎么碰?最一开始,从招聘开始,你就会接触到大量跟C端相关的敏感个人信息,包括生物数据。因为生物数据是代表你个人的标签,当需要识别谁是谁的时候,一定会用到你的敏感个人信息。当然在我们书稿当中也有一篇专门讲到。实际上的监管部门来证明你是你的时候,是不是必须要用到你的生物数据,也不一定。
Q:您在书中也提到了行业/领域的应用:灵活用工互联网平台,选取数据合规利益相关者众多的行业与领域进行分析,通过灵活用工互联网平台案例来剖析数据合规面临的主要问题、解决方案以及合规体系。是否可以列举若干的案例。 A:人力资源领域里面现在比较主流的或者说体量比较大的,又代表着新兴方向的就是人力资源的灵活用工这种人和组织的形态。比较典型的就是灵活用工互联网平台,灵活用工互联网平台它产生的背景就是因为新的这种商业结构、商业模式和发展趋势,它产生了很多新的就业形态。而这种就业形态是依附在互联网平台上的,比较好理解的有两种。比如抖音,大家都在用,抖音上有大量的达人,这些达人实际上是自由职业者,有些可能是签的MCN机构,但有很多是经纪合同,也有很多是合作关系。 我们书稿之所以用灵活用工样板去贯穿看数据合规这件事情,就是因为它触及的面特别广。它可以理解为是触及了跟数据合规相关的所有的点。从前端的数据获取的方式开始,到数据处理的全流程,无论to B、to C、to G,所有面向数据要处理的边界问题都碰到了。比如从达人在抖音注册、完成一个视频拍摄、到获得了大量的点赞再到最终的收益,都会留存在互联网平台上。
Q:在IPO 数据合规的全生命周期中,您总结了三个重点:“取之有道”、“用之有度”、“建之有方”。然而,在现实操作过程中,这三点之上分别会遇到什么困难?又该如何解决,从而真正意义上做到“取之有道、用之有度、建之有方”? A:这三个词是我写东西的时候,写到相应的板块的时候自然冒出来的,觉得还很贴切。其实这本书贯穿了也就这三个主题,首先我们要理清一个概念,很多人对于数据觉得这个东西好复杂,需要有专业的律师来做,尤其是这个东西又是新的,所以才出现了说我提到会有个标配的概念。这个标配就是当一家企业在IPO的时候,现在传统的包括现在大部分的企业都会面临需要三家中介机构去提供专业服务,达到上市的要求。数据这件事情现在被提到比较高的高度,不论在科创板还是北交所上市,都会面临到数据合规问题,这还不是说一个传统企业要面临数据合规的问题。而是说上市的企业数据就是我的产品,就是我的服务。这就是为什么现在,比如上海数据交易所,会有大量的产品要去挂牌交易,逻辑是一样的。他卖的就是数据产品,他卖的就是数据服务,就像我们当年一开始在做数据合规和税务交叉的时候,有一个特别有意思的点。
因为有这样的需求产生,IPO中会标配数据合规的专业律师,所以在构建这本书的时候,我们实际上是从反向来的。先从监管的维度入手,企业在IPO上市的时候,它会面临怎样的数据合规问题?通过梳理问询函我们发现,现在上市审核机构在数据合规方面也越来越专业了。 我们从近三年企业要上市过程中,被上市审核机构问到的数据合规问题,反过来去看这些问题的案例梳理以及他们是如何应对回答的。如果回答不好,是不是还有二次问询?再来看他们最后的解决方案是什么,所以我们梳理了IPO数据合规一系列的50个问题。把这个50个问题,根据书中提到的核心的数据流的板块,从数据端到端的全生命周期的做了一遍梳理。 说起来其实也很简单,数据就三件事情,拿别人的数据别侵权,拿了以后变自己的不要被人侵权,你得保护好。这里面又有对应的是,现在每家科技企业都在做三级等保等,先保护好企业自身。到下一个阶段,数据本身就是企业产品和服务,就是企业的生命的时候,这个时候数据更大的价值在于企业如何把它资产化。我们讲从确权开始,企业本身要有收益产生,当然企业卖数据相应的产品是一种收益。但它能够体现在企业的资产负债表中吗?
Q:数据如何才能转化为真正的资产? A:我们法律上通常会界定为资产是有形资产和无形资产,一个是看得见的,一个是看不见的。这样的分类下,无形资产的企业,它的生态、它的品类会越来越多,因为人不断地在创造很多你看不见的价值。这里面最关键的是无形资产在法律上可以界定为确权的进入资产负债表的,有一个具体数值的,是很小的一个类目。但现在以数据维度下的价值,我们讲叫资产和价值有时候会有混同、一定的等同性,它这个价值如何可计量。一个东西有价值且可计量又可以交易,你就可以理解为是资产了。 数据实际上需要很多的投入,比如AIGC其实是一个高耗能投入的产业,因此你必须要有确权平台。政府在推动北上广深一线的先做,先把我确权的认为是一个值钱的东西。而且这个证明是我的或者我公司的,我们这种律所的作用就是我前期先帮你评估能否合规地证明这个东西是你的,我再看你的数据是不是可交易,再有服务商来评估一下这个值多少钱,然后就挂牌交易,交易完了给你一个证书,这个东西值这么多钱,合规地完成交易。从数据前期的采集到确权,再到最后一整套流程确认完,可交易资产也可以讲是变现路径了,那就是到资产的概念了。所以如果这条路径非常畅通,就意味着什么?会有大量的科技类企业愿意投入。
比如这些数据可以帮地方政府在规划产业升级时,起到极大的数据分析作用。它其实是一种新型的广告形态,产业的集聚、产业的培育,或者说产业升级,是要靠大量的这种数据分析的。
Q:本书名叫《成功CEO的临门一脚:数据合规管理》,它能给CEO带来一个怎样的价值? A:都说看到这本书的名字挺有意思的,要感谢我们的一个客户,因为我们数据律师,实际上视角是比较单一的。所以当我们一个客户看完这本书的一些样张和主要的提纲,他说这个还真的能够帮助到他们。站在CEO的角度是很痛苦的,这么庞大的数据合规管理到底怎么做,有没有很好的方法,你就告诉我怎么做就行了。所以这本书比较有特色的,序言是做了很精要的一个整理,就像是一个导读,读者能够对应的去看到一些东西。
所以CEO需要知道抓什么核心的东西,把这些问题串起来,为了保证业务增长,需要把最关键的几个点拎出来。 Q:相比数据合规的其他书籍,本书最大的亮点和不同之处是? A:很坦言,写书之前一定是先把市面所有的跟数据合规的书全部拿过来看一遍的。主要分两类。一类是很体系化的,从端到端介绍,数据的从开始整个生命周期的一个系统的保护。还有一类是专章,比如如何做数据合规尽调等等,一般是从律师这方面写的。
高亚平 周梦 纪倩 徐晶 著 法律出版社 2023-06 |
|