文丨天元律师事务所 刘瑛 李晓华
编者按
事实和法律是法律思维的两大核心,也是数据合规工作的支点。无论是对数据产品/服务进行合规性审查,还是搭建数据合规体系,都要先搞清楚事实,才能准确地作出判断,进而提出切实可行的解决方案。与其他领域的法律工作相同,数据合规法律工作同样需要先梳理事实,通过尽职调查识别数据合规的法律风险。本文节选自《数据合规实务:尽职调查及解决方案》(法律出版社2022年6月版),以作者参与的数据合规工作为例,简要展示数据合规法律工作中开展法律尽职调查、识别法律风险的工作流程。
目录
一、数据合规尽职调查的内容
二、数据合规尽职调查的方式
三、尽职调查报告
四、总结
一、数据合规尽职调查的内容
数据合规尽职调查,查什么?
与常规尽职调查领域相比,数据合规尽职调查侧重于业务经营中的数据处理活动情况以及企业数据管理情况。数据合规尽职调查主要侧重以下方面:
(一)业务中的数据处理活动
1.了解业务活动
数据处理活动主要发生在业务经营活动中,了解业务是开展数据合规尽职调查的前提。对业务情况的了解,将影响对数据处理活动合规性的判断。实务中,有些商业概念看似相同或业务貌似相似,但其交易实质或业务模式不同,企业在数据处理中的角色不同,在数据合规方面的责任不同。
2.梳理数据类型
法律对不同类型的数据有不同的保护要求。例如,对于敏感个人信息,在收集时企业应当遵循“单独同意”规则、“特别告知”规则等。对于重要数据,应当采取相应的措施加强对重要数据的保护。因此,对于不同企业的不同数据,在核查时应当分类考虑。例如,对于面向青少年儿童的在线教育企业,企业通过其运营的学习类APP收集不满十四周岁的未成年人(儿童)个人信息,包括姓名、性别、学校、年级、感兴趣的课程等,需要特别关注未成年人的个人信息处理。
3.了解企业在数据处理活动中的角色、锚定数据处理者
数据处理者是自主决定数据处理目的、方式的组织和个人,是承担数据处理责任的主体。实践中,涉及数据处理活动的交易场景往往是复杂的,涉及多方主体、多方商业关系相互交织。因此,律师需要在了解业务的基础上,甄别相关方在数据活动中的角色,锚定谁是数据处理者、识别谁应当承担何种数据处理责任。
4.核查数据生命周期全流程
数据处理包括数据的收集、存储、使用、加工、传输、提供、公开、删除等一系列活动,贯穿数据全生命周期。法律和监管对数据处理活动有明确的要求。数据合规尽职调查需要核查数据生命周期全流程各个环节是否合法合规。
(二)企业中的数据合规管理情况
法律对企业数据处理者落实数据合规管理责任有明确要求,企业应当予以落实。数据合规尽职调查对企业的数据安全管理情况的核查,主要包括:
● 数据安全管理负责人及组织架构;
● 数据安全管理制度;
● 数据安全技术措施;
● 网络信息系统安全等级保护;
● 人员管理与安全教育。
(三)核查企业涉及的数据合规相关的争议诉讼、仲裁或行政处罚等情况
通过核查涉及的数据合规相关争议、诉讼、仲裁或行政处罚情况,可以了解企业过往的数据合法合规情况。如果核查发现企业曾经因数据安全问题受到监管部门的调查、处罚或采取责令整改等措施或者与其他方发生争议、诉讼、仲裁,应当进一步核查该等情况的进展,了解企业是否采取措施、采取了何种措施,并关注企业是否仍存在导致同类争议、诉讼、仲裁或行政处罚事件发生的情况。
(四)视情况需要重点关注事项
法律对于某些特定主体(例如关键信息基础设施的运营者、处理数据达到一定规模的企业处理者)、特定数据处理活动(例如境外/国外上市、数据出境)以及涉及特定的数据类型(例如重要数据、国家核心数据)的情况有特别的监管要要求。因此,在尽职调查中往往需要对上述情况作为重点事项关注。
重点关注的事项视数据合规项目而定,例如,上市项目中企业是否需要进行网络安全审查、数据出境安全评估等,就是重点关注的事项。
二、数据合规尽职调查的方式
数据合规尽职调查怎样查?有哪些调查方式?
与其他领域中的法律尽职调查工作相同,数据合规尽职调查需要通过访谈、书面核查、公共查询等一系列“组合拳”开展。
例如,法律人员需要围绕企业的情况准备数据合规法律尽职调查清单,由企业反馈相应的资料和文件、答复清单中的问题,法律人员对资料、文件和答复进行审查。
与其他领域中的法律尽职调查不同,网络平台穿行测试(“穿行测试”)是数据合规调查中较为特别且必要的手段。特别是,对于企业涉及数据处理活动的业务平台,包括但不限于网站、APP、小程序等,法律人员通常需要进行穿行测试,即以用户身份浏览、注册、登录平台并体验平台功能,对平台内所展示的服务条款和隐私政策等平台规则文件进行阅读和审查。在穿行测试中,律师需要对测试过程作相应的记录,对照法律规定和监管要求判断合规情况。
必要时,法律人员还需要对于企业后台系统中的数据处理情况统进行核查。例如,为核查某企业是否已按照其与用户的约定,在服务终止后对用户的数据进行匿名化处理,法律人员需要核查企业数据系统中的用户信息存储情况,核查企业所称“经匿名化处理”后的信息是否达到法律所要求的不能识别特定自然人且不能复原。
访谈、书面审查、穿行测试、公共查询等方式可以同时推进,也可以按一定的顺序或者不同的方式穿插进行,需要结合具体数据尽职调查情况而定。
例如,在仅针对特定产品的数据合规审查中,可以在书面审查、穿行测试的基础上,基于发现的问题进行访谈。而在数据尽职调查范围较全面的企业上市、投融资项目中,可以先就企业的基本业务情况和数据处理活动进行访谈、快速梳理企业特点和数据合规要点后,再向企业发出尽职调查资料清单,请企业提供详细的书面材料以进行更深入的审查和穿行测试;或者先向企业发出尽职调查清单,在主要的书面审查和穿行测试工作完成后,围绕书面审查和穿行测试中发现的问题进行有针对性的访谈,并根据访谈情况继续通过向企业发出补充尽职调查清单,请企业进一步提供补充尽职调查资料。
三、尽职调查报告
数据合规尽职调查完毕后,律师需对尽职调查情况进行梳理、总结,对相关数据合规问题的判断和分析,形成数据合规尽职调查报告。数据合规尽职调查报告包括工作背景、企业数据合规现状、涉及的数据合规问题、风险和初步建议等内容。
对于基于不同的业务目标,数据合规尽职调报告的形式、侧重点不同。例如,在企业投融资并购、上市项目中,数据合规尽职调查报告可能需要呈交给企业、投资人/保荐人/承销商等,为便于各方了解和讨论尽职调查发现的数据合规问题对项目的影响,法律人员可以通过列表的形式呈现尽职调查结果。
又如,在数据产品合规性审核中,尽职调查报告是法律人员向企业(特别是业务人员等非法律专业人员)说明的业务运营中哪些节点存在数据合规问题、如何整改的“说明书”。因此,尽职调查报告中无论是对存在的问题的描述、还是就整改措施的说明,都需要考虑如何为业务等非法律专业条线人员准确理解、掌握,尽量使用直白、简洁的语言,以便能够让相应的业务人员(例如产品经理)直观了解问题和解决方案。
四、总结
数据合规作为较新的法律工作领域,需要在梳理法律事实的基础上,了解企业、理解业务活动,从而在商业逻辑与法律逻辑之间建立对应关系,在数据处理规则与法律规则之间达成共识。
数据合规是需要持续持之以恒开展的工作。法律人员整体理解法律监管体系,谙熟法律规则的适用,将数据风险合规工作嵌入到日常法律工作中,准确判断和识别数据合规风险,在法律法规框架下给出具有可操作性的解决方案,对企业风险防范并在一定程度上为业务赋能有非常重要的作用。
更多关于数据合规尽职调查“查什么”“怎么查”的具体方法说明和示例,可以通过《数据合规实务:尽职调查及解决方案》一书进一步了解。
《数据合规实务:尽职调查及解决方案》聚焦企业数据合规实务,以作者作为社会执业律师参与的数据合规工作为例,围绕着数据合规法律实务,深入介绍法律人员可以“做什么”、“怎么做”。书中使用了大量源于作者在律师执业中的实例,介绍数据合规法律工作方法,说明数据合规常见问题以及现行法律和监管要求下的重点事项,并通过工作文件(例如数据合规尽职调查清单、尽职调查报告、法律意见书)和工作成果(例如合同条款、数据合规行为准则、数据合规整改行动计划)示例,直观地说明或帮助法律人员理解数据合规风险识别(数据合规尽职调查)——数据合规整改(数据合规解决方案)——数据合规结论意见(结论性意见/专项分析意见)的工作流程,以期为法律人员快速了解和掌握数据合规常态下的法律工作提供参考。
*特别声明:
本文仅为交流目的,不代表天元律师事务所的法律意见或对法律的解读,如您需要具体的法律意见,请向相关专业人士寻求法律帮助。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。