文丨天元律師事務所 劉瑛 李曉華

編者按

事實和法律是法律思維的兩大核心，也是數(shù)據(jù)合規(guī)工作的支點。無論是對數(shù)據(jù)產(chǎn)品/服務進行合規(guī)性審查，還是搭建數(shù)據(jù)合規(guī)體系，都要先搞清楚事實，才能準確地作出判斷，進而提出切實可行的解決方案。與其他領域的法律工作相同，數(shù)據(jù)合規(guī)法律工作同樣需要先梳理事實，通過盡職調(diào)查識別數(shù)據(jù)合規(guī)的法律風險。本文節(jié)選自《數(shù)據(jù)合規(guī)實務：盡職調(diào)查及解決方案》（法律出版社2022年6月版），以作者參與的數(shù)據(jù)合規(guī)工作為例，簡要展示數(shù)據(jù)合規(guī)法律工作中開展法律盡職調(diào)查、識別法律風險的工作流程。

目錄

一、數(shù)據(jù)合規(guī)盡職調(diào)查的內(nèi)容

二、數(shù)據(jù)合規(guī)盡職調(diào)查的方式

三、盡職調(diào)查報告

四、總結

一、數(shù)據(jù)合規(guī)盡職調(diào)查的內(nèi)容

數(shù)據(jù)合規(guī)盡職調(diào)查，查什么？

與常規(guī)盡職調(diào)查領域相比，數(shù)據(jù)合規(guī)盡職調(diào)查側(cè)重于業(yè)務經(jīng)營中的數(shù)據(jù)處理活動情況以及企業(yè)數(shù)據(jù)管理情況。數(shù)據(jù)合規(guī)盡職調(diào)查主要側(cè)重以下方面：

（一）業(yè)務中的數(shù)據(jù)處理活動

1．了解業(yè)務活動

數(shù)據(jù)處理活動主要發(fā)生在業(yè)務經(jīng)營活動中，了解業(yè)務是開展數(shù)據(jù)合規(guī)盡職調(diào)查的前提。對業(yè)務情況的了解，將影響對數(shù)據(jù)處理活動合規(guī)性的判斷。實務中，有些商業(yè)概念看似相同或業(yè)務貌似相似，但其交易實質(zhì)或業(yè)務模式不同，企業(yè)在數(shù)據(jù)處理中的角色不同，在數(shù)據(jù)合規(guī)方面的責任不同。

2．梳理數(shù)據(jù)類型

法律對不同類型的數(shù)據(jù)有不同的保護要求。例如，對于敏感個人信息，在收集時企業(yè)應當遵循“單獨同意”規(guī)則、“特別告知”規(guī)則等。對于重要數(shù)據(jù)，應當采取相應的措施加強對重要數(shù)據(jù)的保護。因此，對于不同企業(yè)的不同數(shù)據(jù)，在核查時應當分類考慮。例如，對于面向青少年兒童的在線教育企業(yè)，企業(yè)通過其運營的學習類APP收集不滿十四周歲的未成年人（兒童）個人信息，包括姓名、性別、學校、年級、感興趣的課程等，需要特別關注未成年人的個人信息處理。

3．了解企業(yè)在數(shù)據(jù)處理活動中的角色、錨定數(shù)據(jù)處理者

數(shù)據(jù)處理者是自主決定數(shù)據(jù)處理目的、方式的組織和個人，是承擔數(shù)據(jù)處理責任的主體。實踐中，涉及數(shù)據(jù)處理活動的交易場景往往是復雜的，涉及多方主體、多方商業(yè)關系相互交織。因此，律師需要在了解業(yè)務的基礎上，甄別相關方在數(shù)據(jù)活動中的角色，錨定誰是數(shù)據(jù)處理者、識別誰應當承擔何種數(shù)據(jù)處理責任。

4．核查數(shù)據(jù)生命周期全流程

數(shù)據(jù)處理包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開、刪除等一系列活動，貫穿數(shù)據(jù)全生命周期。法律和監(jiān)管對數(shù)據(jù)處理活動有明確的要求。數(shù)據(jù)合規(guī)盡職調(diào)查需要核查數(shù)據(jù)生命周期全流程各個環(huán)節(jié)是否合法合規(guī)。

（二）企業(yè)中的數(shù)據(jù)合規(guī)管理情況

法律對企業(yè)數(shù)據(jù)處理者落實數(shù)據(jù)合規(guī)管理責任有明確要求，企業(yè)應當予以落實。數(shù)據(jù)合規(guī)盡職調(diào)查對企業(yè)的數(shù)據(jù)安全管理情況的核查，主要包括：

● 數(shù)據(jù)安全管理負責人及組織架構；

● 數(shù)據(jù)安全管理制度；

● 數(shù)據(jù)安全技術措施；

● 網(wǎng)絡信息系統(tǒng)安全等級保護；

● 人員管理與安全教育。

（三）核查企業(yè)涉及的數(shù)據(jù)合規(guī)相關的爭議訴訟、仲裁或行政處罰等情況

通過核查涉及的數(shù)據(jù)合規(guī)相關爭議、訴訟、仲裁或行政處罰情況，可以了解企業(yè)過往的數(shù)據(jù)合法合規(guī)情況。如果核查發(fā)現(xiàn)企業(yè)曾經(jīng)因數(shù)據(jù)安全問題受到監(jiān)管部門的調(diào)查、處罰或采取責令整改等措施或者與其他方發(fā)生爭議、訴訟、仲裁，應當進一步核查該等情況的進展，了解企業(yè)是否采取措施、采取了何種措施，并關注企業(yè)是否仍存在導致同類爭議、訴訟、仲裁或行政處罰事件發(fā)生的情況。

（四）視情況需要重點關注事項

法律對于某些特定主體（例如關鍵信息基礎設施的運營者、處理數(shù)據(jù)達到一定規(guī)模的企業(yè)處理者）、特定數(shù)據(jù)處理活動（例如境外/國外上市、數(shù)據(jù)出境）以及涉及特定的數(shù)據(jù)類型（例如重要數(shù)據(jù)、國家核心數(shù)據(jù)）的情況有特別的監(jiān)管要要求。因此，在盡職調(diào)查中往往需要對上述情況作為重點事項關注。

重點關注的事項視數(shù)據(jù)合規(guī)項目而定，例如，上市項目中企業(yè)是否需要進行網(wǎng)絡安全審查、數(shù)據(jù)出境安全評估等，就是重點關注的事項。

二、數(shù)據(jù)合規(guī)盡職調(diào)查的方式

數(shù)據(jù)合規(guī)盡職調(diào)查怎樣查？有哪些調(diào)查方式？

與其他領域中的法律盡職調(diào)查工作相同，數(shù)據(jù)合規(guī)盡職調(diào)查需要通過訪談、書面核查、公共查詢等一系列“組合拳”開展。

例如，法律人員需要圍繞企業(yè)的情況準備數(shù)據(jù)合規(guī)法律盡職調(diào)查清單，由企業(yè)反饋相應的資料和文件、答復清單中的問題，法律人員對資料、文件和答復進行審查。

與其他領域中的法律盡職調(diào)查不同，網(wǎng)絡平臺穿行測試（“穿行測試”）是數(shù)據(jù)合規(guī)調(diào)查中較為特別且必要的手段。特別是，對于企業(yè)涉及數(shù)據(jù)處理活動的業(yè)務平臺，包括但不限于網(wǎng)站、APP、小程序等，法律人員通常需要進行穿行測試，即以用戶身份瀏覽、注冊、登錄平臺并體驗平臺功能，對平臺內(nèi)所展示的服務條款和隱私政策等平臺規(guī)則文件進行閱讀和審查。在穿行測試中，律師需要對測試過程作相應的記錄，對照法律規(guī)定和監(jiān)管要求判斷合規(guī)情況。

必要時，法律人員還需要對于企業(yè)后臺系統(tǒng)中的數(shù)據(jù)處理情況統(tǒng)進行核查。例如，為核查某企業(yè)是否已按照其與用戶的約定，在服務終止后對用戶的數(shù)據(jù)進行匿名化處理，法律人員需要核查企業(yè)數(shù)據(jù)系統(tǒng)中的用戶信息存儲情況，核查企業(yè)所稱“經(jīng)匿名化處理”后的信息是否達到法律所要求的不能識別特定自然人且不能復原。

訪談、書面審查、穿行測試、公共查詢等方式可以同時推進，也可以按一定的順序或者不同的方式穿插進行，需要結合具體數(shù)據(jù)盡職調(diào)查情況而定。

例如，在僅針對特定產(chǎn)品的數(shù)據(jù)合規(guī)審查中，可以在書面審查、穿行測試的基礎上，基于發(fā)現(xiàn)的問題進行訪談。而在數(shù)據(jù)盡職調(diào)查范圍較全面的企業(yè)上市、投融資項目中，可以先就企業(yè)的基本業(yè)務情況和數(shù)據(jù)處理活動進行訪談、快速梳理企業(yè)特點和數(shù)據(jù)合規(guī)要點后，再向企業(yè)發(fā)出盡職調(diào)查資料清單，請企業(yè)提供詳細的書面材料以進行更深入的審查和穿行測試；或者先向企業(yè)發(fā)出盡職調(diào)查清單，在主要的書面審查和穿行測試工作完成后，圍繞書面審查和穿行測試中發(fā)現(xiàn)的問題進行有針對性的訪談，并根據(jù)訪談情況繼續(xù)通過向企業(yè)發(fā)出補充盡職調(diào)查清單，請企業(yè)進一步提供補充盡職調(diào)查資料。

三、盡職調(diào)查報告

數(shù)據(jù)合規(guī)盡職調(diào)查完畢后，律師需對盡職調(diào)查情況進行梳理、總結，對相關數(shù)據(jù)合規(guī)問題的判斷和分析，形成數(shù)據(jù)合規(guī)盡職調(diào)查報告。數(shù)據(jù)合規(guī)盡職調(diào)查報告包括工作背景、企業(yè)數(shù)據(jù)合規(guī)現(xiàn)狀、涉及的數(shù)據(jù)合規(guī)問題、風險和初步建議等內(nèi)容。

對于基于不同的業(yè)務目標，數(shù)據(jù)合規(guī)盡職調(diào)報告的形式、側(cè)重點不同。例如，在企業(yè)投融資并購、上市項目中，數(shù)據(jù)合規(guī)盡職調(diào)查報告可能需要呈交給企業(yè)、投資人/保薦人/承銷商等，為便于各方了解和討論盡職調(diào)查發(fā)現(xiàn)的數(shù)據(jù)合規(guī)問題對項目的影響，法律人員可以通過列表的形式呈現(xiàn)盡職調(diào)查結果。

又如，在數(shù)據(jù)產(chǎn)品合規(guī)性審核中，盡職調(diào)查報告是法律人員向企業(yè)（特別是業(yè)務人員等非法律專業(yè)人員）說明的業(yè)務運營中哪些節(jié)點存在數(shù)據(jù)合規(guī)問題、如何整改的“說明書”。因此，盡職調(diào)查報告中無論是對存在的問題的描述、還是就整改措施的說明，都需要考慮如何為業(yè)務等非法律專業(yè)條線人員準確理解、掌握，盡量使用直白、簡潔的語言，以便能夠讓相應的業(yè)務人員（例如產(chǎn)品經(jīng)理）直觀了解問題和解決方案。

四、總結

數(shù)據(jù)合規(guī)作為較新的法律工作領域，需要在梳理法律事實的基礎上，了解企業(yè)、理解業(yè)務活動，從而在商業(yè)邏輯與法律邏輯之間建立對應關系，在數(shù)據(jù)處理規(guī)則與法律規(guī)則之間達成共識。

數(shù)據(jù)合規(guī)是需要持續(xù)持之以恒開展的工作。法律人員整體理解法律監(jiān)管體系，諳熟法律規(guī)則的適用，將數(shù)據(jù)風險合規(guī)工作嵌入到日常法律工作中，準確判斷和識別數(shù)據(jù)合規(guī)風險，在法律法規(guī)框架下給出具有可操作性的解決方案，對企業(yè)風險防范并在一定程度上為業(yè)務賦能有非常重要的作用。

更多關于數(shù)據(jù)合規(guī)盡職調(diào)查“查什么”“怎么查”的具體方法說明和示例，可以通過《數(shù)據(jù)合規(guī)實務：盡職調(diào)查及解決方案》一書進一步了解。

《數(shù)據(jù)合規(guī)實務：盡職調(diào)查及解決方案》聚焦企業(yè)數(shù)據(jù)合規(guī)實務，以作者作為社會執(zhí)業(yè)律師參與的數(shù)據(jù)合規(guī)工作為例，圍繞著數(shù)據(jù)合規(guī)法律實務，深入介紹法律人員可以“做什么”、“怎么做”。書中使用了大量源于作者在律師執(zhí)業(yè)中的實例，介紹數(shù)據(jù)合規(guī)法律工作方法，說明數(shù)據(jù)合規(guī)常見問題以及現(xiàn)行法律和監(jiān)管要求下的重點事項，并通過工作文件（例如數(shù)據(jù)合規(guī)盡職調(diào)查清單、盡職調(diào)查報告、法律意見書）和工作成果（例如合同條款、數(shù)據(jù)合規(guī)行為準則、數(shù)據(jù)合規(guī)整改行動計劃）示例，直觀地說明或幫助法律人員理解數(shù)據(jù)合規(guī)風險識別（數(shù)據(jù)合規(guī)盡職調(diào)查）——數(shù)據(jù)合規(guī)整改（數(shù)據(jù)合規(guī)解決方案）——數(shù)據(jù)合規(guī)結論意見（結論性意見/專項分析意見）的工作流程，以期為法律人員快速了解和掌握數(shù)據(jù)合規(guī)常態(tài)下的法律工作提供參考。

*特別聲明：

本文僅為交流目的，不代表天元律師事務所的法律意見或?qū)Ψ傻慕庾x，如您需要具體的法律意見，請向相關專業(yè)人士尋求法律幫助。