中豪研究丨积极开展数据合规法律服务，助推数字经济产业健康有序发展

关键词：数据合规数字经济个人信息保护隐私保护重庆律师发展

根据《重庆市数字经济发展报告（2022）》等报告显示，2018年至2021年期间，重庆市数字经济增加值年均增长16%，数字经济企业数量达1.85万家，业务收入突破1万亿元，占国内生产总值的比重达到27.2%。

承国家“东数西算”工程的要求，重庆市在自身大力发展数字经济产业的同时，还将作为“西算”工程中10大集群之一的“重庆集群”，以重庆经济技术开发区等高新技术园区为基础建设大型数据中心，承接企业数据的综合储存、使用及加工等工作。

（一）数据的定义

《数据安全法》第3条第1款规定：“本法所称数据，是指任何以电子或者其他方式对信息的记录。”《个人信息保护法》第4条第1款同时规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”

在判断某类信息到底是否属于隐私信息时，企业和律师应结合信息个人的合理隐私期待、社会大众的一般合理认知以及信息的实际发生场景3方面综合考虑。以“某人在社交软件中的暗恋对象”这一特定信息为例，因其系常人不愿意向大众披露的个人情感内容，属于常规意义上的隐私信息；但一般而言，无论是大众或是网站及软件的运营方，均无法凭借上述信息识别特定自然人的身份或活动，因此该信息并不属于数据合规业务的对象。

（二）数据合规对于建设数字经济产业的意义

1.数据合规业务有利于提升数字经济产业的核心竞争力。数据是数字经济时代重要的生产要素，是构建新发展格局的重要支撑。通过数据合规业务，可以促进数据资源的高效整合、优化配置和创新利用，增强数字经济产业的创新能力和市场竞争力。

2.数据合规业务有利于保障数字经济产业的安全稳定运行。数据安全是数字经济发展的基础和前提。通过数据合规业务，可以有效防范和应对各种数据风险和挑战，如数据泄露、篡改、滥用、攻击等，维护国家安全、社会稳定和公共利益。

3.数据合规业务有利于促进数字经济产业的可持续发展。数据是一种可再生资源，具有无限增值潜力。通过数据合规业务，可以实现数据资源的循环利用和共享开放，推动数字经济产业形成良好的生态环境和发展动力。

4.数据合规业务有利于增强数字经济产业的社会责任感。数据涉及个人隐私、商业秘密、知识产权等多方面权益。通过数据合规业务，可以充分尊重和保护各方主体的权益和诉求，避免或减少因为数据问题引起的纠纷和冲突。

5.数据合规业务有利于推动数字经济产业与其他领域的融合发展。数据是跨界融合创新的重要媒介和桥梁。通过数据合规业务，可以促进不同行业、领域、层级之间的信息交流与协作，拓展数字经济产业与其他领域之间相互支持与共赢。

（三）数据合规对于企业健康有序发展的意义

1.数据合规业务有助于提升企业的社会责任感和信誉度，树立良好的品牌形象，增强用户的信任和忠诚度。

2.数据合规业务有助于降低企业的法律风险和经济损失，避免因违反数据安全法律法规而受到监管部门的处罚或用户的诉讼。

3.数据合规业务有助于优化企业的数据管理流程和制度，提高数据质量和价值，促进数据资源的有效利用和创新。

4.数据合规业务有助于保护企业的核心竞争力和商业秘密，防止数据泄露或被恶意利用而导致市场失衡或商机流失。

5.数据合规业务有助于响应国家政策导向和社会期待，支持数字经济健康发展，为国家主权、安全和发展利益贡献力量。

以滴滴公司违规采集用户信息及未经许可向境外传输用户数据的案件为例，滴滴公司因日常经营过程中存在违法收集用户手机相册截图、剪切板及应用信息、人脸识别等个人信息、过度收集乘客评价等行为，且存在严重违反国家安全的数据处理活动，最终被国家网信办处以80.26亿元的巨额罚款，同时其股价也因此暴跌，对其企业本身的经济利益及社会声誉均造成了巨大影响。

数据合规业务贯穿企业收集、储存、处理、使用和传输用户数据及个人信息的全过程中，企业上述数据的保护义务主要体现在以下5个方面：

（一）设立个人信息保护的内部制度及流程

企业在经营过程中，应当根据个人信息的搜集与处理目的、种类、对个人的影响以及存在的安全性风险等因素，通过采取指定个人信息保护制度、分类管理个人信息、对个人信息进行加密或去标识化、确定个人信息操作权限以及定期进行人员培训等方式，保证数据利用的全过程合规化，防止任何主体未经许可访问个人信息或导致个人信息泄露、篡改以及丢失。

（二）设立个人信息保护负责人

根据《个人信息保护法》第52条的规定，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。上述个人信息保护负责人的联系方式还应进行公开，并将姓名及联系方式等报送监管部门。

《个人信息保护法》第57条要求企业在发生或者可能发生个人信息泄露、篡改、丢失事件时，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人，通知的内容包括：1.个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；2.个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；3.个人信息处理者的联系方式。

（四）“守门人”企业应遵守特殊义务

在上述3项一般义务的基础上，《个人信息保护法》第58条重点规定了对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者（即俗称“守门人”企业）应额外履行4项特殊义务，包括：

1.按照国家规定，建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；

2.遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；

3.对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；

4.定期发布个人信息保护社会责任报告，接受社会监督。

（五）特定场景下的个人信息保护增强义务

对于部分风险较高且与个人信息高度关联的个人信息使用场景，《个人信息保护法》亦给企业设定了增强义务，主要包括以下5类情况：

1.需要获取用户“单独同意”的场景，主要涉及向其他个人信息处理者提供其处理的个人信息、公开其处理的个人信息、将公共场所收集的个人图像/身份特征信息用于非公共安全目的、处理敏感个人信息以及向境外提供个人信息等场景。

2.处理个人敏感信息时，应当遵循必要性原则，在严格的保护措施下，出于特定目的方可处理敏感个人信息。

4.保证自动化决策流程的公平公正性，对于可能使用个人信息作为数据源进行自动化决策及个性化推广的企业，应防止出现“大数据杀熟”等不当运用情形，做好消费者权益保障工作。

5.涉及个人信息出境时，落实前期用户“单独同意”、出境前国家部门安全评估、出境过程中安全保护措施以及出境后数据合规使用等保障性措施。

（一）数据合规法律服务主要涉及的领域

1、数据安全管理

为企业建立数据安全管理的文件体系、组织架构、流程机制和风险控制，以符合法律法规、政策文件和行业标准的要求。

从实务角度而言，律师及企业内部法务构建企业整体数据安全体系的流程一般包括：

（2）识别企业自身属于一般主体、“守门人”主体还是其他特殊主体。

（4）当企业属于“守门人”的角色时，则应当在遵守基本规则与一般义务的基础上，按照《个人信息保护法》的规定额外履行4项特殊义务。

（6）对于企业经营及数据处理过程中用户提出的合法诉求作出及时响应。

（7）及时排查企业数据处理过程中可能存在的监管及涉诉风险，及时作出研判并做好风险应急预案。

2.数据隐私保护

3.数据交易合规

为企业进行数据资产的评估、清洗、标准化与定价的合规性建议以及制定数据交易的合同条款、风险防范措施和纠纷解决方案。

以个人信息匿名化工作为例，根据《个人信息保护法》第4条的规定，若个人信息经过处理后已无法识别特定自然人且不能复原，则对此类信息的处理将不再适用个人信息保护的要求。

企业在对自身数据资产进行清洗处理并进行交易的过程中，律师将能够利用自身法律知识，协助企业对数据交易前的合规工作进行梳理，保证数据交易的合法性。

4.企业上市及数据出境监管

为企业提供上市前及跨境传输个人信息和重要数据时所需遵守的条件、程序和标准等方面的合规建议，帮助企业完成上市及出境安全评估并进行备案申报。

以数据出境为例，根据《数据出境安全评估办法》的规定，当存在数据处理者向境外提供重要数据等4种情形时，数据处理者应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

在实践中，数据出境前的“三步走”过程中均需要律师提供协助，主要体现在：

（3）在数据出境过程以及出境后的动态检测过程中，协助企业记录传输情况、储存情况以及接收情况，并在出境后分析可能引起的监管及诉讼风险。

（二）以网站及APP数据合规作为重庆律师开展数据合规业务的切入点

一方面，由于东部沿海地区互联网产业发展相对完善，东部律师也早已在几年前即着手开展数据合规法律服务，承接了较多大型企业的整体数据合规建设、上市数据合规审查以及出海数据合规申报等业务，并协同国内各大高校及研究机构等完成了较多数据合规标准及政策的制定工作，足以证明数据合规业务的市场规模较大且发展潜力良好；另一方面，由于重庆自身产业结构仍然较为传统，数字经济产业建设工作任重道远，导致重庆律师在数据合规业务方面经验不足，并未形成有典型意义的示范性案例，无法照搬东部沿海地区的经验将重心放在大型诉讼或非诉业务中。

在此背景下，重庆律师可考虑以网站及APP等单一互联网产品的数据合规业务作为切入点，主要原因在于：

3.律师收费金额较低。针对网站及APP的数据合规法律服务工作内容较为单一，耗时相对较短，因此律师收费也相对较低。根据产品的复杂程度，目前东部沿海律师的收费一般为10万-20万元，成都市部分律师收费5万-15万元。较低的收费有利于提高企业的接受程度，降低企业负担。

4.带来衍生法律服务的可能性较高。在针对单项产品提供数据合规法律服务的同时，律师还有机会深入地了解企业运营流程，发现可能存在的其他法律风险。律师在完成单项产品的数据合规法律服务后，可与企业共同进行复盘回顾，同时对服务过程中发现的其他风险提出整改建议，并获取更进一步的业务机会。

（三）律师协会与律师共同推进数据合规法律业务开拓工作的建议

1.组织开展业务培训，增强律师业务能力

（1）邀请国内外知名的数据合规专家和律师，通过线上或线下的方式，定期举办数据合规法律讲座，介绍国内外数据合规法律法规的最新动态和实务案例，解答律师在承办数据合规业务中遇到的难点和疑问。

2.牵头走访科技企业，了解企业具体法律需求

（2）通过走访交流，深入了解企业的数据安全风险、数据保护措施、数据利用模式等方面的具体情况，分析企业在数据合规方面的优势和不足。

（3）根据走访结果，为企业提供专业的法律建议和定制化的数据合规解决方案，帮助企业提高数据安全水平、规范数据处理活动、促进数据价值开发。

3.联动教研机构及政府部门，推动本地数字领域立法工作

（1）组织有志于开展数据合规领域的律师定期召开专题研讨会，邀请教研机构和政府部门的专家参与，交流数据合规的最新法律动态、案例分析、行业标准和最佳实践，提高律师在数据合规领域的专业水平和服务能力。

综上，以数据合规法律业务为着眼点，增强重庆律师在新兴行业法律服务领域的总体能力，将有利于助推重庆数字经济产业合规有序发展。