文丨天元律師事務所 劉瑛 李曉華

編者按

事實和法律是法律思維的兩大核心，也是數據合規(guī)工作的支點。無論是對數據產品/服務進行合規(guī)性審查，還是搭建數據合規(guī)體系，都要先搞清楚事實，才能準確地作出判斷，進而提出切實可行的解決方案。與其他領域的法律工作相同，數據合規(guī)法律工作同樣需要先梳理事實，通過盡職調查識別數據合規(guī)的法律風險。本文節(jié)選自《數據合規(guī)實務：盡職調查及解決方案》（法律出版社2022年6月版），以作者參與的數據合規(guī)工作為例，簡要展示數據合規(guī)法律工作中開展法律盡職調查、識別法律風險的工作流程。

目錄

一、數據合規(guī)盡職調查的內容

二、數據合規(guī)盡職調查的方式

三、盡職調查報告

四、總結

一、數據合規(guī)盡職調查的內容

數據合規(guī)盡職調查，查什么？

與常規(guī)盡職調查領域相比，數據合規(guī)盡職調查側重于業(yè)務經營中的數據處理活動情況以及企業(yè)數據管理情況。數據合規(guī)盡職調查主要側重以下方面：

（一）業(yè)務中的數據處理活動

1．了解業(yè)務活動

數據處理活動主要發(fā)生在業(yè)務經營活動中，了解業(yè)務是開展數據合規(guī)盡職調查的前提。對業(yè)務情況的了解，將影響對數據處理活動合規(guī)性的判斷。實務中，有些商業(yè)概念看似相同或業(yè)務貌似相似，但其交易實質或業(yè)務模式不同，企業(yè)在數據處理中的角色不同，在數據合規(guī)方面的責任不同。

2．梳理數據類型

法律對不同類型的數據有不同的保護要求。例如，對于敏感個人信息，在收集時企業(yè)應當遵循“單獨同意”規(guī)則、“特別告知”規(guī)則等。對于重要數據，應當采取相應的措施加強對重要數據的保護。因此，對于不同企業(yè)的不同數據，在核查時應當分類考慮。例如，對于面向青少年兒童的在線教育企業(yè)，企業(yè)通過其運營的學習類APP收集不滿十四周歲的未成年人（兒童）個人信息，包括姓名、性別、學校、年級、感興趣的課程等，需要特別關注未成年人的個人信息處理。

3．了解企業(yè)在數據處理活動中的角色、錨定數據處理者

數據處理者是自主決定數據處理目的、方式的組織和個人，是承擔數據處理責任的主體。實踐中，涉及數據處理活動的交易場景往往是復雜的，涉及多方主體、多方商業(yè)關系相互交織。因此，律師需要在了解業(yè)務的基礎上，甄別相關方在數據活動中的角色，錨定誰是數據處理者、識別誰應當承擔何種數據處理責任。

4．核查數據生命周期全流程

數據處理包括數據的收集、存儲、使用、加工、傳輸、提供、公開、刪除等一系列活動，貫穿數據全生命周期。法律和監(jiān)管對數據處理活動有明確的要求。數據合規(guī)盡職調查需要核查數據生命周期全流程各個環(huán)節(jié)是否合法合規(guī)。

（二）企業(yè)中的數據合規(guī)管理情況

法律對企業(yè)數據處理者落實數據合規(guī)管理責任有明確要求，企業(yè)應當予以落實。數據合規(guī)盡職調查對企業(yè)的數據安全管理情況的核查，主要包括：

● 數據安全管理負責人及組織架構；

● 數據安全管理制度；

● 數據安全技術措施；

● 網絡信息系統安全等級保護；

● 人員管理與安全教育。

（三）核查企業(yè)涉及的數據合規(guī)相關的爭議訴訟、仲裁或行政處罰等情況

通過核查涉及的數據合規(guī)相關爭議、訴訟、仲裁或行政處罰情況，可以了解企業(yè)過往的數據合法合規(guī)情況。如果核查發(fā)現企業(yè)曾經因數據安全問題受到監(jiān)管部門的調查、處罰或采取責令整改等措施或者與其他方發(fā)生爭議、訴訟、仲裁，應當進一步核查該等情況的進展，了解企業(yè)是否采取措施、采取了何種措施，并關注企業(yè)是否仍存在導致同類爭議、訴訟、仲裁或行政處罰事件發(fā)生的情況。

（四）視情況需要重點關注事項

法律對于某些特定主體（例如關鍵信息基礎設施的運營者、處理數據達到一定規(guī)模的企業(yè)處理者）、特定數據處理活動（例如境外/國外上市、數據出境）以及涉及特定的數據類型（例如重要數據、國家核心數據）的情況有特別的監(jiān)管要要求。因此，在盡職調查中往往需要對上述情況作為重點事項關注。

重點關注的事項視數據合規(guī)項目而定，例如，上市項目中企業(yè)是否需要進行網絡安全審查、數據出境安全評估等，就是重點關注的事項。

二、數據合規(guī)盡職調查的方式

數據合規(guī)盡職調查怎樣查？有哪些調查方式？

與其他領域中的法律盡職調查工作相同，數據合規(guī)盡職調查需要通過訪談、書面核查、公共查詢等一系列“組合拳”開展。

例如，法律人員需要圍繞企業(yè)的情況準備數據合規(guī)法律盡職調查清單，由企業(yè)反饋相應的資料和文件、答復清單中的問題，法律人員對資料、文件和答復進行審查。

與其他領域中的法律盡職調查不同，網絡平臺穿行測試（“穿行測試”）是數據合規(guī)調查中較為特別且必要的手段。特別是，對于企業(yè)涉及數據處理活動的業(yè)務平臺，包括但不限于網站、APP、小程序等，法律人員通常需要進行穿行測試，即以用戶身份瀏覽、注冊、登錄平臺并體驗平臺功能，對平臺內所展示的服務條款和隱私政策等平臺規(guī)則文件進行閱讀和審查。在穿行測試中，律師需要對測試過程作相應的記錄，對照法律規(guī)定和監(jiān)管要求判斷合規(guī)情況。

必要時，法律人員還需要對于企業(yè)后臺系統中的數據處理情況統進行核查。例如，為核查某企業(yè)是否已按照其與用戶的約定，在服務終止后對用戶的數據進行匿名化處理，法律人員需要核查企業(yè)數據系統中的用戶信息存儲情況，核查企業(yè)所稱“經匿名化處理”后的信息是否達到法律所要求的不能識別特定自然人且不能復原。

訪談、書面審查、穿行測試、公共查詢等方式可以同時推進，也可以按一定的順序或者不同的方式穿插進行，需要結合具體數據盡職調查情況而定。

例如，在僅針對特定產品的數據合規(guī)審查中，可以在書面審查、穿行測試的基礎上，基于發(fā)現的問題進行訪談。而在數據盡職調查范圍較全面的企業(yè)上市、投融資項目中，可以先就企業(yè)的基本業(yè)務情況和數據處理活動進行訪談、快速梳理企業(yè)特點和數據合規(guī)要點后，再向企業(yè)發(fā)出盡職調查資料清單，請企業(yè)提供詳細的書面材料以進行更深入的審查和穿行測試；或者先向企業(yè)發(fā)出盡職調查清單，在主要的書面審查和穿行測試工作完成后，圍繞書面審查和穿行測試中發(fā)現的問題進行有針對性的訪談，并根據訪談情況繼續(xù)通過向企業(yè)發(fā)出補充盡職調查清單，請企業(yè)進一步提供補充盡職調查資料。

三、盡職調查報告

數據合規(guī)盡職調查完畢后，律師需對盡職調查情況進行梳理、總結，對相關數據合規(guī)問題的判斷和分析，形成數據合規(guī)盡職調查報告。數據合規(guī)盡職調查報告包括工作背景、企業(yè)數據合規(guī)現狀、涉及的數據合規(guī)問題、風險和初步建議等內容。

對于基于不同的業(yè)務目標，數據合規(guī)盡職調報告的形式、側重點不同。例如，在企業(yè)投融資并購、上市項目中，數據合規(guī)盡職調查報告可能需要呈交給企業(yè)、投資人/保薦人/承銷商等，為便于各方了解和討論盡職調查發(fā)現的數據合規(guī)問題對項目的影響，法律人員可以通過列表的形式呈現盡職調查結果。

又如，在數據產品合規(guī)性審核中，盡職調查報告是法律人員向企業(yè)（特別是業(yè)務人員等非法律專業(yè)人員）說明的業(yè)務運營中哪些節(jié)點存在數據合規(guī)問題、如何整改的“說明書”。因此，盡職調查報告中無論是對存在的問題的描述、還是就整改措施的說明，都需要考慮如何為業(yè)務等非法律專業(yè)條線人員準確理解、掌握，盡量使用直白、簡潔的語言，以便能夠讓相應的業(yè)務人員（例如產品經理）直觀了解問題和解決方案。

四、總結

數據合規(guī)作為較新的法律工作領域，需要在梳理法律事實的基礎上，了解企業(yè)、理解業(yè)務活動，從而在商業(yè)邏輯與法律邏輯之間建立對應關系，在數據處理規(guī)則與法律規(guī)則之間達成共識。

數據合規(guī)是需要持續(xù)持之以恒開展的工作。法律人員整體理解法律監(jiān)管體系，諳熟法律規(guī)則的適用，將數據風險合規(guī)工作嵌入到日常法律工作中，準確判斷和識別數據合規(guī)風險，在法律法規(guī)框架下給出具有可操作性的解決方案，對企業(yè)風險防范并在一定程度上為業(yè)務賦能有非常重要的作用。

更多關于數據合規(guī)盡職調查“查什么”“怎么查”的具體方法說明和示例，可以通過《數據合規(guī)實務：盡職調查及解決方案》一書進一步了解。

《數據合規(guī)實務：盡職調查及解決方案》聚焦企業(yè)數據合規(guī)實務，以作者作為社會執(zhí)業(yè)律師參與的數據合規(guī)工作為例，圍繞著數據合規(guī)法律實務，深入介紹法律人員可以“做什么”、“怎么做”。書中使用了大量源于作者在律師執(zhí)業(yè)中的實例，介紹數據合規(guī)法律工作方法，說明數據合規(guī)常見問題以及現行法律和監(jiān)管要求下的重點事項，并通過工作文件（例如數據合規(guī)盡職調查清單、盡職調查報告、法律意見書）和工作成果（例如合同條款、數據合規(guī)行為準則、數據合規(guī)整改行動計劃）示例，直觀地說明或幫助法律人員理解數據合規(guī)風險識別（數據合規(guī)盡職調查）——數據合規(guī)整改（數據合規(guī)解決方案）——數據合規(guī)結論意見（結論性意見/專項分析意見）的工作流程，以期為法律人員快速了解和掌握數據合規(guī)常態(tài)下的法律工作提供參考。

*特別聲明：

本文僅為交流目的，不代表天元律師事務所的法律意見或對法律的解讀，如您需要具體的法律意見，請向相關專業(yè)人士尋求法律幫助。