高新技术业务合规指南

熊定中

面对“互联网+”的迅猛发展势态，各行各业都在为能够进入创新快车道而努力。然而无论是新增区块链技术应用，还是完善广告精准投放，都离不开对服务进行风险评估和合规整改，以维护产品服务的运营安全，获得稳定高效的发展，避免触犯法律底线。

不同于传统的法律服务提供商，北京清律律师事务所（以下简称“清律”）不仅仅是简单地基于法律规定或行政执法的现状来提供合规建议，还充分融入对社会舆情的考量，从法律和宣传效果两方面提供全方位的综合法律服务支持，并可以针对企业的实际需求和现状，起草或完善相关的流程制度。

清律以缔造“高科技、新形态”律所为目标，尝试以客户所在行业为本所提供各项服务的出发点，在内部设置和对外服务上打破了法律部门的界线，致力于以“行业法律专家”的身份，一揽子解决企业在发展中可能或已經遇到的所有法律问题。

清律商业合规团队目前是华为、蓝色光标、知乎等企业的法律顾问，并承接了华为、腾讯、阿里、京东、新浪等大型公司的新科技法律风险课题研究，还参与教育部、科技部、网信办、海关总署等国家机关重要项目的合规审核服务，在互联网、高科技和大数据应用等方面的法律前沿研究领域卓有声誉，属于律师行业里较少的在创新领域内法律研究和法律实务同时长期保持人员和资金投入的团队。

2018年，清律商业合规团队为海关总署指定的区块链改造通关流程试点项目提供法律服务，并负责最终提供法律合规交付物。服务过程中，团队在对海关进出口流程进行摸底调查的同时，充分考虑了区块链技术应用背景和突出优势，在不影响法定流程的前提下，为保障各主体的数据安全和数据共享行为合法性制定了配套的落地措施，进一步帮助海关提升了业务效率降低了企业的沟通成本。

根据以往的服务经验，清律发现企业对于新型业务的合规意识仍然较为薄弱，在业务投入市场运营前安排风险排查、进行合规的仍是少数企业，当然这背后有各种各样的原因，例如企业经费不足、管理层的法律风险意识不够等。

对此，清律针对应用范围较广、最近受关注力度较大的数据业务进行合规审查重点提示，以供相关企业参考，期望能够帮助各企业了解业务合规的必要性，并根据分享内容来合理分配资源。

自2017年6月《中华人民共和国网络安全法》实施以来，针对“数据安全”的新闻报道和执法调查通报就屡现不鲜，并有愈演愈烈之势，同时国家各部门也在逐步推动出台与数据安全配套的法律法规和执行。2019年1月25日，中央网信办、工信部、公安部、市场监管总局正式发布《关于开展App违法违规收集使用个人信息专项治理的公告》，决定于2019年1月至12月期间在全国范围内开展为期长达一年的专项治理工作，力度之大，决心之坚决，前所罕见。

目前，直接搜集个人信息的企业获得了更多的监管机关和社会公众的关注，但这并不意味着对于大数据商业利用企业就可以高枕无忧。事实上，后者面临的合规风险更高。除了在企业未来发展，如在融资或上市程序中是否能获得清洁的法律尽调意见书等方面受到商业影响之外，还会有受到行政处罚致使企业商誉受到影响的可能，情节严重的，甚至将因触犯刑法而使直接负责的主管人员和其他直接责任人员被定罪处刑。而从目前来看，大部分进入到刑事诉讼领域的案例，基本上都是纯粹的数据利用企业，而不是目前监管或者公众较为关注的信息收集企业。例如，2018年8月9日，因转卖手机号、地区和个人偏好等公民敏感个人信息，山东省费县人民法院就以侵犯公民个人信息罪分别判处数据堂（北京）科技股份有限公司涉案人员柴银辉（首席运营官）、揭宇飞（董事）三年和二年有期徒刑。而其他尚未公布、正在办理过程中的刑事案件，笔者也接触了不少。

因此，数据利用行业企业及时针对自己的实际运营模式进行法律风险评估及合规整改是当务之急。而在全民关注个人信息安全的当下，商业交易相对方尤其是跨国企业也越来越关注合作方的合规标准和措施。团队提供日常顾问服务的数据型企业就经常受到客户提出的要求提供合规资料和证明的需求，否则将不予合作。因此，企业做好数据合规，不仅是降低自身的法律风险的需要，同时也是提升商业竞争力，增强客户使用公司服务的安全可信度的需要。

数据业务是在互联网发展下产生的一种新形态服务模式，如不理解数据业务的实质运作方式，则难以直击痛点，解决实际问题。在办理数据合规工作的过程中，我们在对企业运营实际场景进行调查和整改时，总结下来，有如下一些难点和重点。

1、 难点

（1）业务模式的隐蔽性

数据利用的业务运行模式因极度依赖计算机程序自行处理而存在天然的隐蔽性。而对合规对象进行完整了解是提供合规服务的前提，这无疑增加了合规的难度。但实际上，不仅社会公众无法知晓业务实质运营的整体流程，企业内部也因各部门之间存在的信息壁垒，难以统一针对业务运行的流程有一个完整的认识。一线业务部门可能并不知晓数据在企业内部存储流转的技术方案是如何设计，而技术安全部门也无法获知接收的数据是否“安全”。

（2）合规启动的复杂性

正是基于前述原因，若企业启动业务合规，必需调动较多的部门进行配合并协调之间的关系，这样对召集合规启动的部门或人员的权限等级有一定要求。而如何让领导层重视或者说认识到数据业务合规的重要性，其实也是大数据企业启动合规的难点之一，从实践来看，企业启动合规很大程度上的动力还是来源于外部，比如客户要求或监管关注，甚至是刑事案例的震慑。

（3）监管规范的原则性

正如本文之前所提到的，中国政府针对数据利用这一新领域已开始着手建设完善的法律体系，大数据企业不仅面临着传统意义上的法律管制，还需要应对政府在新形势下出台的带有“原则性”“指导意见”的法律法规或者国家标准。而在“原则性”“指导意见”的法律法规未有完善的配套落地政策指导的情况下，又难以直接参照已有规定执行。因此，如何在业务执行过程中做到不踩法律红线，是大数据企业合规最难以掌握的边界。

2、 重点

所谓的数据合规其本质是对企业现有业务流程的梳理，并进行合理排序改进的过程。优秀的合规服务不仅不会对企业现有业务效率带来不利影响，甚至可以在降低企业法律风险的同时，提高业务效率或拓展业务面，从长远角度来说，企业越早进行合规对自身发展越有利。

需要明确的是，所有合规所涉及的重点内容都需要书面化，并建立规则制度体系。没有系统书面化的制度，则可能会因为人员流动而导致执行断层，甚至影响处罚结果。规则制度涵盖的范围需要完整，但又要重点突出，下面向大家简要介绍在数据业务合规过程中需要关注的两大重点问题。

（1）数据安全

针对大数据企业的特性，数据安全是所有制度中最重要的部分。在过去的1年中，我们不难听到如下事件：视频网站AcFun对外宣称900万条用户数据外泄;招聘网站前程无忧的195万条用户求职简历泄露;圆通快递10亿条快递数据被售卖;5亿条华住旗下酒店客户开房数据在暗网被公开出售;万豪国际集团旗下喜达屋酒店的一个客房预订数据库被黑客入侵，多达5亿人次的详细信息可能遭到泄露。

为了降低数据泄露事件发生的可能性，企业可以重点关注以下几个维度。

设备安全：设备指的是在保障数据安全中使用的非人力资源，如操作系统、防火墙及服务器。“工欲善其事必先利其器”，采购并使用优质而符合标准的设备是保障数据安全的第一道防线。

人力安全：人力安全指的是在数据收集、存储和利用过程中，对所涉及人员进行权限设计和管理，以防止人为安全隐患的产生。

质量安全：大数据企业的生命力会受数据丰富程度的影响，但并非单纯的掌握越多的数据越好，而是需要对数据进行质量分析，考察数据的可利用性，把本地存储的数据控制在一个合理的内容和数量范围，才是企业能够长久保持正常运转的关键因素。

供应链安全：无论大数据企业是直接面对个人收集数据，还是从第三方获得数据，无疑都需要注意在对数据收集和向外提供数据时，采取合理的风控措施，而不是单纯的从数据是否对自己可用的角度来进行收集。例如直接面对个人收集数据，就需要设计好有关获取“用户同意”的文本内容和流程，而从第三方获得数据时，就需要注意对对手方进行背景调查。

（2）风险应对

预防措施的完善并无法保证完全不会有意外情况发生，因此制度建设中的另一重点在于风险应对策略的设计。如果没有提前制定好风险应对策略，掌握主动权，一旦发生意外，企业无法做出高效的处置措施，不仅自己无法確认风险大小，而且在互联网信息传播如此迅速的当下，商誉也会受到不小的影响。

有关风险应对的制度，有事前评估和事后应对两大类别，在关注方向上需要注意综合考量以下几个方面。

内部组织：企业需要能够集中已有的资源并进行合理分配。特别是当获知事故发生或疑似事故发生时，让各部门各司其职，从最大程度上采取漏洞补救措施以发挥安全维护效果，不因职责真空或效率低下而导致更加严重的后果产生。

政府部门：关注政府部门的动向和保持良好关系，根据数据安全事故的影响范围和严重程度，需要考虑是否上报通知相关主管部门，并配合主管部门的安排。

社会力量：必要情况下，企业也需要注意引入公正第三方机构的服务，以免因自身力量不足而导致问题被忽略未及时补救，同时第三方机构的介入也可以辅助加强企业的公信力。

以上是针对大数据企业在合规审查时需要注意的重难点总结，因各大数据企业业务和流程设计的不同，上述重点建议并不能全部直接适用且可能存在遗漏之处，还需要根据企业的实际状况进行调整完善和细化。但希望上述内容能够帮助大家关注和了解数据合规的体系建设，以在工作中进行灵活应用。

期望有越来越多的企业能够重视数据合规的必要性，以长远的眼光来看问题，为大数据时代的到来做好长足准备。

（作者系北京清律律师事务所主任）

链接：

清律律师事务所是清法律师团组建的第一家律师事务所，由一批毕业于清华大学法学院的优秀律师创建，致力于缔造互联网时代的新形态律师执业平台。律所成员背景全面，覆盖常年顾问、投融资并购、民商事诉讼等主要法律服务领域，深谙各实体行业的商业规则，有丰富的为各行业提供定制化法律服务的经验，具备为公私客户提供全案的风险管控措施和纠纷解决的专业能力。

在科技与互联网领域，清律深度服务于华为、新浪、惠普、平安、知乎等行业一线企业。在娱乐领域，清律是优酷、完美世界、大地电影、清控科创等知名企业及巩俐、赵薇、杨颖（Angelababy）等知名艺人的常年顾问及专项服务律所。在初创企业及金融领域，清律为华宇元典、京西产业基金、医渡云等企业提供专项服务。在房地产建工领域，清律为北亚华欣、顺宇洁能等海淀区企业提供服务。在婚姻家庭和劳动人事领域，也积累了一批高端私人客户。秉持卓越的敬业精神和专业水准，我们为客户提供了定制、高效、务实、尽责的法律专业服务，赢得了客户的信任和依赖，使得客户在我们的帮助下能够平稳、健康地实现商业目标并取得瞩目的成绩。