文丨天元律師事務(wù)所 劉瑛 李曉華

編者按

事實(shí)和法律是法律思維的兩大核心，也是數(shù)據(jù)合規(guī)工作的支點(diǎn)。無(wú)論是對(duì)數(shù)據(jù)產(chǎn)品/服務(wù)進(jìn)行合規(guī)性審查，還是搭建數(shù)據(jù)合規(guī)體系，都要先搞清楚事實(shí)，才能準(zhǔn)確地作出判斷，進(jìn)而提出切實(shí)可行的解決方案。與其他領(lǐng)域的法律工作相同，數(shù)據(jù)合規(guī)法律工作同樣需要先梳理事實(shí)，通過(guò)盡職調(diào)查識(shí)別數(shù)據(jù)合規(guī)的法律風(fēng)險(xiǎn)。本文節(jié)選自《數(shù)據(jù)合規(guī)實(shí)務(wù)：盡職調(diào)查及解決方案》（法律出版社2022年6月版），以作者參與的數(shù)據(jù)合規(guī)工作為例，簡(jiǎn)要展示數(shù)據(jù)合規(guī)法律工作中開(kāi)展法律盡職調(diào)查、識(shí)別法律風(fēng)險(xiǎn)的工作流程。

目錄

一、數(shù)據(jù)合規(guī)盡職調(diào)查的內(nèi)容

二、數(shù)據(jù)合規(guī)盡職調(diào)查的方式

三、盡職調(diào)查報(bào)告

四、總結(jié)

一、數(shù)據(jù)合規(guī)盡職調(diào)查的內(nèi)容

數(shù)據(jù)合規(guī)盡職調(diào)查，查什么？

與常規(guī)盡職調(diào)查領(lǐng)域相比，數(shù)據(jù)合規(guī)盡職調(diào)查側(cè)重于業(yè)務(wù)經(jīng)營(yíng)中的數(shù)據(jù)處理活動(dòng)情況以及企業(yè)數(shù)據(jù)管理情況。數(shù)據(jù)合規(guī)盡職調(diào)查主要側(cè)重以下方面：

（一）業(yè)務(wù)中的數(shù)據(jù)處理活動(dòng)

1．了解業(yè)務(wù)活動(dòng)

數(shù)據(jù)處理活動(dòng)主要發(fā)生在業(yè)務(wù)經(jīng)營(yíng)活動(dòng)中，了解業(yè)務(wù)是開(kāi)展數(shù)據(jù)合規(guī)盡職調(diào)查的前提。對(duì)業(yè)務(wù)情況的了解，將影響對(duì)數(shù)據(jù)處理活動(dòng)合規(guī)性的判斷。實(shí)務(wù)中，有些商業(yè)概念看似相同或業(yè)務(wù)貌似相似，但其交易實(shí)質(zhì)或業(yè)務(wù)模式不同，企業(yè)在數(shù)據(jù)處理中的角色不同，在數(shù)據(jù)合規(guī)方面的責(zé)任不同。

2．梳理數(shù)據(jù)類(lèi)型

法律對(duì)不同類(lèi)型的數(shù)據(jù)有不同的保護(hù)要求。例如，對(duì)于敏感個(gè)人信息，在收集時(shí)企業(yè)應(yīng)當(dāng)遵循“單獨(dú)同意”規(guī)則、“特別告知”規(guī)則等。對(duì)于重要數(shù)據(jù)，應(yīng)當(dāng)采取相應(yīng)的措施加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。因此，對(duì)于不同企業(yè)的不同數(shù)據(jù)，在核查時(shí)應(yīng)當(dāng)分類(lèi)考慮。例如，對(duì)于面向青少年兒童的在線教育企業(yè)，企業(yè)通過(guò)其運(yùn)營(yíng)的學(xué)習(xí)類(lèi)APP收集不滿(mǎn)十四周歲的未成年人（兒童）個(gè)人信息，包括姓名、性別、學(xué)校、年級(jí)、感興趣的課程等，需要特別關(guān)注未成年人的個(gè)人信息處理。

3．了解企業(yè)在數(shù)據(jù)處理活動(dòng)中的角色、錨定數(shù)據(jù)處理者

數(shù)據(jù)處理者是自主決定數(shù)據(jù)處理目的、方式的組織和個(gè)人，是承擔(dān)數(shù)據(jù)處理責(zé)任的主體。實(shí)踐中，涉及數(shù)據(jù)處理活動(dòng)的交易場(chǎng)景往往是復(fù)雜的，涉及多方主體、多方商業(yè)關(guān)系相互交織。因此，律師需要在了解業(yè)務(wù)的基礎(chǔ)上，甄別相關(guān)方在數(shù)據(jù)活動(dòng)中的角色，錨定誰(shuí)是數(shù)據(jù)處理者、識(shí)別誰(shuí)應(yīng)當(dāng)承擔(dān)何種數(shù)據(jù)處理責(zé)任。

4．核查數(shù)據(jù)生命周期全流程

數(shù)據(jù)處理包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等一系列活動(dòng)，貫穿數(shù)據(jù)全生命周期。法律和監(jiān)管對(duì)數(shù)據(jù)處理活動(dòng)有明確的要求。數(shù)據(jù)合規(guī)盡職調(diào)查需要核查數(shù)據(jù)生命周期全流程各個(gè)環(huán)節(jié)是否合法合規(guī)。

（二）企業(yè)中的數(shù)據(jù)合規(guī)管理情況

法律對(duì)企業(yè)數(shù)據(jù)處理者落實(shí)數(shù)據(jù)合規(guī)管理責(zé)任有明確要求，企業(yè)應(yīng)當(dāng)予以落實(shí)。數(shù)據(jù)合規(guī)盡職調(diào)查對(duì)企業(yè)的數(shù)據(jù)安全管理情況的核查，主要包括：

● 數(shù)據(jù)安全管理負(fù)責(zé)人及組織架構(gòu)；

● 數(shù)據(jù)安全管理制度；

● 數(shù)據(jù)安全技術(shù)措施；

● 網(wǎng)絡(luò)信息系統(tǒng)安全等級(jí)保護(hù)；

● 人員管理與安全教育。

（三）核查企業(yè)涉及的數(shù)據(jù)合規(guī)相關(guān)的爭(zhēng)議訴訟、仲裁或行政處罰等情況

通過(guò)核查涉及的數(shù)據(jù)合規(guī)相關(guān)爭(zhēng)議、訴訟、仲裁或行政處罰情況，可以了解企業(yè)過(guò)往的數(shù)據(jù)合法合規(guī)情況。如果核查發(fā)現(xiàn)企業(yè)曾經(jīng)因數(shù)據(jù)安全問(wèn)題受到監(jiān)管部門(mén)的調(diào)查、處罰或采取責(zé)令整改等措施或者與其他方發(fā)生爭(zhēng)議、訴訟、仲裁，應(yīng)當(dāng)進(jìn)一步核查該等情況的進(jìn)展，了解企業(yè)是否采取措施、采取了何種措施，并關(guān)注企業(yè)是否仍存在導(dǎo)致同類(lèi)爭(zhēng)議、訴訟、仲裁或行政處罰事件發(fā)生的情況。

（四）視情況需要重點(diǎn)關(guān)注事項(xiàng)

法律對(duì)于某些特定主體（例如關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者、處理數(shù)據(jù)達(dá)到一定規(guī)模的企業(yè)處理者）、特定數(shù)據(jù)處理活動(dòng)（例如境外/國(guó)外上市、數(shù)據(jù)出境）以及涉及特定的數(shù)據(jù)類(lèi)型（例如重要數(shù)據(jù)、國(guó)家核心數(shù)據(jù)）的情況有特別的監(jiān)管要要求。因此，在盡職調(diào)查中往往需要對(duì)上述情況作為重點(diǎn)事項(xiàng)關(guān)注。

重點(diǎn)關(guān)注的事項(xiàng)視數(shù)據(jù)合規(guī)項(xiàng)目而定，例如，上市項(xiàng)目中企業(yè)是否需要進(jìn)行網(wǎng)絡(luò)安全審查、數(shù)據(jù)出境安全評(píng)估等，就是重點(diǎn)關(guān)注的事項(xiàng)。

二、數(shù)據(jù)合規(guī)盡職調(diào)查的方式

數(shù)據(jù)合規(guī)盡職調(diào)查怎樣查？有哪些調(diào)查方式？

與其他領(lǐng)域中的法律盡職調(diào)查工作相同，數(shù)據(jù)合規(guī)盡職調(diào)查需要通過(guò)訪談、書(shū)面核查、公共查詢(xún)等一系列“組合拳”開(kāi)展。

例如，法律人員需要圍繞企業(yè)的情況準(zhǔn)備數(shù)據(jù)合規(guī)法律盡職調(diào)查清單，由企業(yè)反饋相應(yīng)的資料和文件、答復(fù)清單中的問(wèn)題，法律人員對(duì)資料、文件和答復(fù)進(jìn)行審查。

與其他領(lǐng)域中的法律盡職調(diào)查不同，網(wǎng)絡(luò)平臺(tái)穿行測(cè)試（“穿行測(cè)試”）是數(shù)據(jù)合規(guī)調(diào)查中較為特別且必要的手段。特別是，對(duì)于企業(yè)涉及數(shù)據(jù)處理活動(dòng)的業(yè)務(wù)平臺(tái)，包括但不限于網(wǎng)站、APP、小程序等，法律人員通常需要進(jìn)行穿行測(cè)試，即以用戶(hù)身份瀏覽、注冊(cè)、登錄平臺(tái)并體驗(yàn)平臺(tái)功能，對(duì)平臺(tái)內(nèi)所展示的服務(wù)條款和隱私政策等平臺(tái)規(guī)則文件進(jìn)行閱讀和審查。在穿行測(cè)試中，律師需要對(duì)測(cè)試過(guò)程作相應(yīng)的記錄，對(duì)照法律規(guī)定和監(jiān)管要求判斷合規(guī)情況。

必要時(shí)，法律人員還需要對(duì)于企業(yè)后臺(tái)系統(tǒng)中的數(shù)據(jù)處理情況統(tǒng)進(jìn)行核查。例如，為核查某企業(yè)是否已按照其與用戶(hù)的約定，在服務(wù)終止后對(duì)用戶(hù)的數(shù)據(jù)進(jìn)行匿名化處理，法律人員需要核查企業(yè)數(shù)據(jù)系統(tǒng)中的用戶(hù)信息存儲(chǔ)情況，核查企業(yè)所稱(chēng)“經(jīng)匿名化處理”后的信息是否達(dá)到法律所要求的不能識(shí)別特定自然人且不能復(fù)原。

訪談、書(shū)面審查、穿行測(cè)試、公共查詢(xún)等方式可以同時(shí)推進(jìn)，也可以按一定的順序或者不同的方式穿插進(jìn)行，需要結(jié)合具體數(shù)據(jù)盡職調(diào)查情況而定。

例如，在僅針對(duì)特定產(chǎn)品的數(shù)據(jù)合規(guī)審查中，可以在書(shū)面審查、穿行測(cè)試的基礎(chǔ)上，基于發(fā)現(xiàn)的問(wèn)題進(jìn)行訪談。而在數(shù)據(jù)盡職調(diào)查范圍較全面的企業(yè)上市、投融資項(xiàng)目中，可以先就企業(yè)的基本業(yè)務(wù)情況和數(shù)據(jù)處理活動(dòng)進(jìn)行訪談、快速梳理企業(yè)特點(diǎn)和數(shù)據(jù)合規(guī)要點(diǎn)后，再向企業(yè)發(fā)出盡職調(diào)查資料清單，請(qǐng)企業(yè)提供詳細(xì)的書(shū)面材料以進(jìn)行更深入的審查和穿行測(cè)試；或者先向企業(yè)發(fā)出盡職調(diào)查清單，在主要的書(shū)面審查和穿行測(cè)試工作完成后，圍繞書(shū)面審查和穿行測(cè)試中發(fā)現(xiàn)的問(wèn)題進(jìn)行有針對(duì)性的訪談，并根據(jù)訪談情況繼續(xù)通過(guò)向企業(yè)發(fā)出補(bǔ)充盡職調(diào)查清單，請(qǐng)企業(yè)進(jìn)一步提供補(bǔ)充盡職調(diào)查資料。

三、盡職調(diào)查報(bào)告

數(shù)據(jù)合規(guī)盡職調(diào)查完畢后，律師需對(duì)盡職調(diào)查情況進(jìn)行梳理、總結(jié)，對(duì)相關(guān)數(shù)據(jù)合規(guī)問(wèn)題的判斷和分析，形成數(shù)據(jù)合規(guī)盡職調(diào)查報(bào)告。數(shù)據(jù)合規(guī)盡職調(diào)查報(bào)告包括工作背景、企業(yè)數(shù)據(jù)合規(guī)現(xiàn)狀、涉及的數(shù)據(jù)合規(guī)問(wèn)題、風(fēng)險(xiǎn)和初步建議等內(nèi)容。

對(duì)于基于不同的業(yè)務(wù)目標(biāo)，數(shù)據(jù)合規(guī)盡職調(diào)報(bào)告的形式、側(cè)重點(diǎn)不同。例如，在企業(yè)投融資并購(gòu)、上市項(xiàng)目中，數(shù)據(jù)合規(guī)盡職調(diào)查報(bào)告可能需要呈交給企業(yè)、投資人/保薦人/承銷(xiāo)商等，為便于各方了解和討論盡職調(diào)查發(fā)現(xiàn)的數(shù)據(jù)合規(guī)問(wèn)題對(duì)項(xiàng)目的影響，法律人員可以通過(guò)列表的形式呈現(xiàn)盡職調(diào)查結(jié)果。

又如，在數(shù)據(jù)產(chǎn)品合規(guī)性審核中，盡職調(diào)查報(bào)告是法律人員向企業(yè)（特別是業(yè)務(wù)人員等非法律專(zhuān)業(yè)人員）說(shuō)明的業(yè)務(wù)運(yùn)營(yíng)中哪些節(jié)點(diǎn)存在數(shù)據(jù)合規(guī)問(wèn)題、如何整改的“說(shuō)明書(shū)”。因此，盡職調(diào)查報(bào)告中無(wú)論是對(duì)存在的問(wèn)題的描述、還是就整改措施的說(shuō)明，都需要考慮如何為業(yè)務(wù)等非法律專(zhuān)業(yè)條線人員準(zhǔn)確理解、掌握，盡量使用直白、簡(jiǎn)潔的語(yǔ)言，以便能夠讓相應(yīng)的業(yè)務(wù)人員（例如產(chǎn)品經(jīng)理）直觀了解問(wèn)題和解決方案。

四、總結(jié)

數(shù)據(jù)合規(guī)作為較新的法律工作領(lǐng)域，需要在梳理法律事實(shí)的基礎(chǔ)上，了解企業(yè)、理解業(yè)務(wù)活動(dòng)，從而在商業(yè)邏輯與法律邏輯之間建立對(duì)應(yīng)關(guān)系，在數(shù)據(jù)處理規(guī)則與法律規(guī)則之間達(dá)成共識(shí)。

數(shù)據(jù)合規(guī)是需要持續(xù)持之以恒開(kāi)展的工作。法律人員整體理解法律監(jiān)管體系，諳熟法律規(guī)則的適用，將數(shù)據(jù)風(fēng)險(xiǎn)合規(guī)工作嵌入到日常法律工作中，準(zhǔn)確判斷和識(shí)別數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)，在法律法規(guī)框架下給出具有可操作性的解決方案，對(duì)企業(yè)風(fēng)險(xiǎn)防范并在一定程度上為業(yè)務(wù)賦能有非常重要的作用。

更多關(guān)于數(shù)據(jù)合規(guī)盡職調(diào)查“查什么”“怎么查”的具體方法說(shuō)明和示例，可以通過(guò)《數(shù)據(jù)合規(guī)實(shí)務(wù)：盡職調(diào)查及解決方案》一書(shū)進(jìn)一步了解。

《數(shù)據(jù)合規(guī)實(shí)務(wù)：盡職調(diào)查及解決方案》聚焦企業(yè)數(shù)據(jù)合規(guī)實(shí)務(wù)，以作者作為社會(huì)執(zhí)業(yè)律師參與的數(shù)據(jù)合規(guī)工作為例，圍繞著數(shù)據(jù)合規(guī)法律實(shí)務(wù)，深入介紹法律人員可以“做什么”、“怎么做”。書(shū)中使用了大量源于作者在律師執(zhí)業(yè)中的實(shí)例，介紹數(shù)據(jù)合規(guī)法律工作方法，說(shuō)明數(shù)據(jù)合規(guī)常見(jiàn)問(wèn)題以及現(xiàn)行法律和監(jiān)管要求下的重點(diǎn)事項(xiàng)，并通過(guò)工作文件（例如數(shù)據(jù)合規(guī)盡職調(diào)查清單、盡職調(diào)查報(bào)告、法律意見(jiàn)書(shū)）和工作成果（例如合同條款、數(shù)據(jù)合規(guī)行為準(zhǔn)則、數(shù)據(jù)合規(guī)整改行動(dòng)計(jì)劃）示例，直觀地說(shuō)明或幫助法律人員理解數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)識(shí)別（數(shù)據(jù)合規(guī)盡職調(diào)查）——數(shù)據(jù)合規(guī)整改（數(shù)據(jù)合規(guī)解決方案）——數(shù)據(jù)合規(guī)結(jié)論意見(jiàn)（結(jié)論性意見(jiàn)/專(zhuān)項(xiàng)分析意見(jiàn)）的工作流程，以期為法律人員快速了解和掌握數(shù)據(jù)合規(guī)常態(tài)下的法律工作提供參考。

*特別聲明：

本文僅為交流目的，不代表天元律師事務(wù)所的法律意見(jiàn)或?qū)Ψ傻慕庾x，如您需要具體的法律意見(jiàn)，請(qǐng)向相關(guān)專(zhuān)業(yè)人士尋求法律幫助。