数字化产品合规工作三步法

刘瑛、李晓华

编者按：

面对企业数字化转型，如何开展合规工作，特别是如何对数字化的创新业务和产品进行合规审查，对法律人员来说，既是挑战也是机遇。天元律师在《互联网平台运营法律实务》（2020年）、《数据合规实务：尽职调查及解决方案》（2022年）等专业著作中，场景化地分析了律师参与的案件实例、分享了工作文本实例，归纳、提炼和展示了数字化经济时代商事律师对基础业务和创新业务的思考和实务心得，以期对法律人员有所帮助。

数字经济时代，企业数字化转型进入快车道，通过数据、计算机技术和网络等数字化形态表现的创新业务和产品（下称“数字化产品”）不断涌现并更新迭代，数据合规领域的法律法规和规范性要求日趋精细化。企业数据合规工作已不仅是为了满足上市、投资等活动需要而进行的应急式合规治理，更是事关企业的运营和持续发展，为产品落地和企业数字化转型保驾护航。

本文围绕数字化产品的合规审查，总结法律人员协助企业开展数字化产品的合规审查要点，介绍如何在产品的商业逻辑与法律逻辑之间建立对应关系，在商业活动与法律规则之间达成共识，为商业意图的合法合规落地提供切实可行的解决方案。

准确判断法律关系是基础

了解数字化产品的业务模式，准确判断对应的法律关系，是数字化产品合规审查工作的起点。对数字化产品的业务关系和法律关系的梳理可以围绕三方面展开：一是梳理产品的功能和内容，识别产品所需的资质，判断产品是否符合法律法规、监管要求、行业准则，是否存在违反公序良俗或者其他对用户带来不良影响的风险；二是梳理产品的客户（指订购产品的客户）及实际使用产品的用户（也称“最终用户”），核查产品是否符合法律法规对特定人群（例如青少年）的保护要求，为后续安排业务合同等文件的签署做出预案；三是核查产品及相关服务的业务模式，判断产品的提供方式/途径是否符合法律法规和监管要求，是否符合商业惯例。

梳理产品的业务模式后，需要确定企业（作为产品提供方）与交易各方之间的法律关系，识别判断企业在相应法律关系下应当承担的法律责任。例如，对于由多个主体参与产品开发、运营、销售、服务提供等环节的产品，需要对照民法典等法律法规明确该等主体之间的法律关系（例如委托合同关系、买卖合同关系、租赁关系等），识别判断各主体应当承担的法律责任。

对于客户与最终用户不是同一人的，需要梳理和识别客户与最终用户之间、企业与客户之间、企业与最终用户之间的业务关系和法律关系，确保产品有关各方业务关系的描述（例如产品功能、业务流程、业务合同等）与其法律关系匹配，并采取相应措施满足法律法规和监管要求，保障企业合法权益的同时确保产品不侵犯其他方的合法权益。

加强合规审查是重点

合规审查是合规管理的一项重要活动，加强合规审查是企业规范经营行为、防范违规风险的第一道关口，合规审查做到位可以从源头上防住大部分合规风险。而数据合规审查，无疑是数字化产品合规审查的重点。数据合规审查主要从网络安全、数据安全和个人信息保护三个方面进行。

在网络安全方面，对照网络安全法等法律法规审查企业是否采取了技术措施和其他必要措施保障网络运行安全和网络信息安全。例如，对于产品运营涉及的相关信息系统，审查企业是否按照网络安全法、《信息安全等级保护管理办法》和相关技术标准进行了安全保护等级的确定、测评以及向公安机关办理了备案手续。又如，对于涉及互联网信息服务的产品，根据网络安全法、《互联网信息服务管理办法》等法律法规，审查企业是否采取了相应措施加强对用户发布的信息管理，确保信息内容安全。

在数据安全方面，对照数据安全法等法律法规，审查企业是否履行了数据安全保护责任。例如，企业是否按照法律法规要求对产品收集和产生的数据进行分类分级，并采取相应保护措施。又如，判断产品涉及的数据是否应当在中国境内存储；对于需要出境的数据，是否按照《数据出境安全评估办法》等法律法规，履行了相关评估程序、落实相关数据安全责任。

在个人信息保护方面，一是审查企业是否按照个人信息保护法等相关法律法规的要求对个人信息、敏感个人信息进行分类管理，是否依法对敏感个人信息采取了加强保护措施；二是甄别产品运营主体、其他业务参与单位等相关方在产品数据处理活动中的角色，锚定谁是个人信息处理者，识别企业对相关个人信息处理应当承担的义务和责任，审查业务合同和交易文件是否正确反映和明确企业在个人信息处理活动中的角色和责任，是否按照法律法规和监管要求采取了相应的合规措施；三是审查产品在收集、存储、使用、加工、传输、提供、公开、删除等个人信息处理全流程的各环节是否符合法律法规和监管要求。对于法律法规规定应当进行个人信息保护影响评估的产品，是否进行了个人信息保护影响评估。

除了数据合规角度进行的审查以外，对数字化产品的合规审查还需要关注产品是否符合其他领域的法律法规和监管要求，是否存在其他合规风险。常见的关注重点例如知识产权、反垄断与反不正当竞争、消费者权益保护等。以消费者权益保护为例，审查产品是否保障了消费者的知情权、选择权和公平交易权等权利，产品宣传等是否符合广告法等规定，是否涉及利用数据算法对消费者实施不合理的差别待遇等。

妥善制定交易文件是保障

企业需要通过一定的方式将数字化产品提供给客户（用户）。为此，企业往往需要与客户（用户）等交易各方签订各类业务合同和交易文件（下称“交易文件”）。这些交易文件，有的侧重于交易安排，例如产品销售/许可合同、订单，约定交易标的、交易价格、产品服务内容及标准、各方的权利义务等；有的则侧重于产品交付/运营中的业务规范和工作步骤，例如工作说明书等。

视乎产品的经营模式等商业安排，数字化产品的交易文件可能由企业与客户（用户）通过线下双方签字盖章方式签订，也可能由企业通过互联网平台在线向客户（用户）展示，客户（用户）通过线上点击同意等方式签署。同时，也存在由企业与客户线下签订销售合同，通过互联网平台线上交付产品，客户/最终用户登录使用互联网平台时线上签订用户协议、隐私政策等平台文件的情况。

法律人员在起草、审查数字化产品的合同等交易文件时，需要在全面、准确理解商业安排的基础上，正确判断交易对应的法律关系，找到数据流、业务流与法律规则之间的对应关系；审查合同等交易文件是否符合法律法规和监管要求，关注交易文件文本安排是否符合业务实际和商业惯例，考量线下、线上合同等各交易文件的设置是否匹配且无冲突，确保合同等交易文件既能够明确各方权利义务，也能够清晰地说明业务安排；在合法合规的前提下，增强数字化产品落地实施的可行性。

总结来说，企业数字化转型对法律人员既是挑战也是机遇。一方面，数据合规工作常态化对法律人员提出了越来越高的要求——不仅需要整体理解法律监管体系，谙熟法律规则的适用，还需要懂得业务活动和商业规则，了解企业的商业意图和交易目标，理解业务与产品逻辑；另一方面，合规工作不限于“后台”审核、提示可能的法律合规风险或者解决已出现的法律合规风险，也让法律人员走向“前台”，成为企业其他部门重要的合作伙伴。

在企业新产品、新领域的研发阶段，法律人员参与研判和论证，协助企业建立商业逻辑与法律逻辑之间建立对应关系，在数据处理规则与法律规则之间达成共识，协助企业找到创新的数字化产品落地的合规可行路径，助力企业数字化转型，为企业赋能。