2022年7月21日,长达一年之久的滴滴网络审查终于落下帷幕。最终,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款。滴滴成为继阿里、美团之后,第三家被国家监管部门开出天价罚单的企业,而高达80.26亿的天价罚单也瞬间引发了网络热议。
作为数字经济和信息社会的核心资源,数据被誉为“21世纪的石油和钻石矿”,已成为和土地、劳动力、资本、技术并列的五种生产要素之一。而随着近年来有关数据泄露、数据窃听、数据滥用等安全事件屡见不鲜,保护数据资产已引起各国高度重视。2021年5月,由国家工业信息安全发展研究中心和华为公司联合发布的《数据安全白皮书》指出,数据安全已经上升到国家主权的高度,是国家竞争力的直接体现。
在域内,分别于2017年通过的《网络安全法》与2021年通过的《数据安全法》、《个人信息保护法》共同构成我国数据保护领域的行政监管法律体系,其中不仅规定了覆盖数据全生命周期的数据处理基本规则,而且设置专章规定企业数据合规管理义务。然而历经了近二十年的移动互联时代后,几乎没有一家企业能认为自己和这次的数据合规浪潮无关,甚至不夸张地说,几乎所有企业都为数据合规而感到焦虑。本期访谈,德恒上海律师事务所合伙人、律师高亚平将同我们分享她相当独到且深刻的见解。
-----------------------------------------------------------------
高亚平
德恒上海律师事务所合伙人、数据与合规业务部负责人
Q:当前环境下,企业普遍存在哪些数据合规方面的问题?数据合规对于当下企业又意味怎么样的重要性?
A:数据合规这个主题太宏大,让很多人觉得很难找到一个核心的抓手,去看如何应对这样的一个大的趋势,以及各方面的监管的压力。所以我们希望让企业能够看得到核心到底要抓住什么?抓住了这个核心,基本上是说可以势如破竹,所以我基本上把这本书解构为,要从三个维度去看。我们的书的封皮也比较有意思,两种颜色的渐进,实际上就代表了目前数据合规在整个大势下的冲突。
这种冲突表现在三个维度。第一个是说数据是流动的,数据流动就代表它是没有国界、没有边界的。数据的流动性就代表了它是很难被监管的,但是从法律的角度来讲,它是有强烈的地域性的,各个国家的监管又不一样,甚至是同一个国家不同地方都不一样,比如我们都看到地方还有各种的数据条例等等。这种冲突天然就有,在这样的冲突背景下,就会有很多困惑、不清晰、模糊的地方。
第二个维度是数据带有很强的合规的监管的模糊性。包括我们这本书里面一开始就讲到数据合规之所以那么难,是因为它本身的监管的边界是模糊的,对于数据的定义,比如个人信息的定义的边界也是模糊的。当它是模糊的时候,你会觉得很焦虑,而且你投入的合规的成本就变成不确定的。
第三,企业的高速发展,尤其是现在新经济这些领域的发展,它这种商业模式可能会自带系统性风险,或者说它因为前两者的原因。甚至是有些领域,可能都还没有相关的一些监管的要求出来,但实际上企业发展非常快。有些商业模式可能一两年就迭代掉了,一种新的商业模式其实就意味着数据处理的一种方式,所以这就决定了企业的高速发展和监管之间会形成一种强烈的冲突。企业到底选择做还是不做?我到底应该怎么做?这三个维度,其实就构成了刚刚提到的,虽然说数据类的法律已经相对就比较健全了,三驾马车我们也都知道。又经历了多年的数据合规的发展,监管部门又非常的多,甚至是有些功能都是重叠的。
就拿APP上下架的监管为例,其实很多部门都在参与,很多监管部门都有权去检查。但是即便到目前为止,数据合规这件事情对于企业来讲依旧还是蛮痛的。痛就痛在说,这么多监管的维度和压力,这么快速的企业发展和数据处理的维度,以及是数据来源的多元化等等,我如何去面对这样的挑战以及选择我商业发展的路径。所以这里面冲突点非常多,就导致了现状的焦虑、合规的模糊性。也就是为什么要有这样一本书,这本书其实在当下是蛮有意义的。
每篇文章提及的数据合规问题都有典型的现实意义并提供解决问题的路径,所有的问题点就像一颗颗珍珠一样,最后发现它串的是一个很有机的整体,而且解决问题过程就像爆破问题点一样。书里面的序言也提到,把这些爆破点全部都解决完了以后,你会发现数据合规的问题也就解决了。
Q:人力资源行业的合规性体现在哪些方面?
A:人力资源这个行业非常有意思,也正好是我们在从事的数据合规领域当中一个很重要的板块。因为现在我们在谈论数据合规当中,很重要的一个,而且是大占比的,就是关于个人信息保护。个人信息保护当中很重要的是敏感个人信息,这个是最重要的一个部分。包括现在有很多个人信息权益保护维权行动,其实也都是围绕敏感个人信息展开的。人力资源这个领域,比较有意思的是,天天就碰人这件事儿,那人怎么碰?最一开始,从招聘开始,你就会接触到大量跟C端相关的敏感个人信息,包括生物数据。因为生物数据是代表你个人的标签,当需要识别谁是谁的时候,一定会用到你的敏感个人信息。当然在我们书稿当中也有一篇专门讲到。实际上的监管部门来证明你是你的时候,是不是必须要用到你的生物数据,也不一定。
个人信息权属主体在维权的过程中,需要有清晰的认知,不是说现在的这种操作都一定是对的,其实有很多优化的空间。所以回到人资企业的特性来讲,要理解一个行业在数据合规这个维度上,有哪些可以做的动作。首先要能够明白这个行业有哪些商业行为,它是跟着数据流去走的。当了解整个人资企业所从事的商业活动的时候,每一个活动代表着映射到个人的一些数据流的时候,你就知道我应该做哪些合规的动作了。
所以这本书里面提到的一系列的标准动作里面,你就能够去对应着看,咱们这个行业。以及比如我这里面专章只举了一个灵活用工这一个领域,你就会看到它整个数据处理流是非常复杂的,在每一个处理的节点的时候都会面临数据合规的问题,基本上就是这样。
Q:您在书中也提到了行业/领域的应用:灵活用工互联网平台,选取数据合规利益相关者众多的行业与领域进行分析,通过灵活用工互联网平台案例来剖析数据合规面临的主要问题、解决方案以及合规体系。是否可以列举若干的案例。
A:人力资源领域里面现在比较主流的或者说体量比较大的,又代表着新兴方向的就是人力资源的灵活用工这种人和组织的形态。比较典型的就是灵活用工互联网平台,灵活用工互联网平台它产生的背景就是因为新的这种商业结构、商业模式和发展趋势,它产生了很多新的就业形态。而这种就业形态是依附在互联网平台上的,比较好理解的有两种。比如抖音,大家都在用,抖音上有大量的达人,这些达人实际上是自由职业者,有些可能是签的MCN机构,但有很多是经纪合同,也有很多是合作关系。
我们书稿之所以用灵活用工样板去贯穿看数据合规这件事情,就是因为它触及的面特别广。它可以理解为是触及了跟数据合规相关的所有的点。从前端的数据获取的方式开始,到数据处理的全流程,无论to B、to C、to G,所有面向数据要处理的边界问题都碰到了。比如从达人在抖音注册、完成一个视频拍摄、到获得了大量的点赞再到最终的收益,都会留存在互联网平台上。
达人收益要通过互联网平台去做结算,通过结算之后要完成报税,你会发现一个人,不管是一个自然人(如达人),还是说他作为一个商事主体,等于说整个的交易行为的人货场变了,我们传统在线下,它现在线上,这样的一个交易就完全做了一个闭环。而这个闭环最后是要跟政府端发生交互的,完成报税,因为这里面涉及到很多敏感数据。比如他的个人收入、他交付的一些内容,以及报税时候的一些敏感个人信息,所以你会发现他基本上是在这个生态里面,可以讲是数据处理的全生命周期都碰到了。而且现在的税务监管端还会去看你收入的真实性问题,这些都是跟数据的合规性是紧密的绑定的,所以我们用灵活用工互联网平台的案例,去贯穿着让大家看到在一种特定的场景下,从端到端数据流去看商业形态闭环的时候,每一个节点和它主要的症结在哪里?如果说我们以灵工为例,再去看传统的人力资源企业会发现,相较于灵工而言,人力资源企业可能处理数据的维度少一点,可能节点是其中几个重要的问题,这样大家就很有直观的感受。
Q:在IPO 数据合规的全生命周期中,您总结了三个重点:“取之有道”、“用之有度”、“建之有方”。然而,在现实操作过程中,这三点之上分别会遇到什么困难?又该如何解决,从而真正意义上做到“取之有道、用之有度、建之有方”?
A:这三个词是我写东西的时候,写到相应的板块的时候自然冒出来的,觉得还很贴切。其实这本书贯穿了也就这三个主题,首先我们要理清一个概念,很多人对于数据觉得这个东西好复杂,需要有专业的律师来做,尤其是这个东西又是新的,所以才出现了说我提到会有个标配的概念。这个标配就是当一家企业在IPO的时候,现在传统的包括现在大部分的企业都会面临需要三家中介机构去提供专业服务,达到上市的要求。数据这件事情现在被提到比较高的高度,不论在科创板还是北交所上市,都会面临到数据合规问题,这还不是说一个传统企业要面临数据合规的问题。而是说上市的企业数据就是我的产品,就是我的服务。这就是为什么现在,比如上海数据交易所,会有大量的产品要去挂牌交易,逻辑是一样的。他卖的就是数据产品,他卖的就是数据服务,就像我们当年一开始在做数据合规和税务交叉的时候,有一个特别有意思的点。
我们以金蝶为例,现在金蝶卖的是软件还是服务,这个已经是很奇怪的一件事情了。大家理解为以前是有光盘,感觉我卖的是软件产品,是Product。但现在他说我都是云了,我是SaaS了,那又是按月或者按年订购付费,他卖的是Service,SaaS卖的是服务,但是实际上在监管到最后的税务端的时候,会发现不对,这必须明确定义出来。为什么,因为税率是不一样的,产品的税率和服务的税率是不一样的。如果是卖软件,还有即征即退的概念,最后退完是3%的税收政策,但如果是服务,那就是6%,如果面临你要申请高新技术企业的时候,这又会很困难。
企业给自己定性过程中,会发现在监管和商业发展中是有很大冲突的。这一类企业的生命就是数据,数据就是产品和自身的服务了,它还不仅仅简单说我为了产品去做我的数据合规。
因为有这样的需求产生,IPO中会标配数据合规的专业律师,所以在构建这本书的时候,我们实际上是从反向来的。先从监管的维度入手,企业在IPO上市的时候,它会面临怎样的数据合规问题?通过梳理问询函我们发现,现在上市审核机构在数据合规方面也越来越专业了。
我们从近三年企业要上市过程中,被上市审核机构问到的数据合规问题,反过来去看这些问题的案例梳理以及他们是如何应对回答的。如果回答不好,是不是还有二次问询?再来看他们最后的解决方案是什么,所以我们梳理了IPO数据合规一系列的50个问题。把这个50个问题,根据书中提到的核心的数据流的板块,从数据端到端的全生命周期的做了一遍梳理。
说起来其实也很简单,数据就三件事情,拿别人的数据别侵权,拿了以后变自己的不要被人侵权,你得保护好。这里面又有对应的是,现在每家科技企业都在做三级等保等,先保护好企业自身。到下一个阶段,数据本身就是企业产品和服务,就是企业的生命的时候,这个时候数据更大的价值在于企业如何把它资产化。我们讲从确权开始,企业本身要有收益产生,当然企业卖数据相应的产品是一种收益。但它能够体现在企业的资产负债表中吗?
事实上,数据下一个阶段,应该说现在国家也正好在提倡各个交易所在鼓励各个领域能够把数据资产化,这就是我说的三个维度。取之有道、用之有度、建之有方,建之有方的维度里面,就是我刚刚讲的,企业要有一整套的体系保护,最后形成它的资产价值。它是个紧密相连的三个维度,渐进式的。
Q:数据如何才能转化为真正的资产?
A:我们法律上通常会界定为资产是有形资产和无形资产,一个是看得见的,一个是看不见的。这样的分类下,无形资产的企业,它的生态、它的品类会越来越多,因为人不断地在创造很多你看不见的价值。这里面最关键的是无形资产在法律上可以界定为确权的进入资产负债表的,有一个具体数值的,是很小的一个类目。但现在以数据维度下的价值,我们讲叫资产和价值有时候会有混同、一定的等同性,它这个价值如何可计量。一个东西有价值且可计量又可以交易,你就可以理解为是资产了。
数据实际上需要很多的投入,比如AIGC其实是一个高耗能投入的产业,因此你必须要有确权平台。政府在推动北上广深一线的先做,先把我确权的认为是一个值钱的东西。而且这个证明是我的或者我公司的,我们这种律所的作用就是我前期先帮你评估能否合规地证明这个东西是你的,我再看你的数据是不是可交易,再有服务商来评估一下这个值多少钱,然后就挂牌交易,交易完了给你一个证书,这个东西值这么多钱,合规地完成交易。从数据前期的采集到确权,再到最后一整套流程确认完,可交易资产也可以讲是变现路径了,那就是到资产的概念了。所以如果这条路径非常畅通,就意味着什么?会有大量的科技类企业愿意投入。
因为不一定说我这个数据产品必须要有市场上卖得掉,我每年销售额多少才证明我有价值,而是说它前期就可以确权,可以评估,可以被交易,就已经是有资产的价值了。我再给你举个例子,可能你会更直观的,也是跟咱们作为人力资源这个领域可能是相关的。
以灵活用工互联网平台为例。如果平台上有10万达人,这么一个生态的灵活用工互联网平台,它到了中间会沉淀大量的四流合一的数据,合同流内容资金发票。这些数据,可能分散在我们很多平台中,而非聚集到一个平台。他是全域的一个达人,同时可能在好多平台赚钱,当这个数据能够汇集的时候是非常有价值的。
比如这些数据可以帮地方政府在规划产业升级时,起到极大的数据分析作用。它其实是一种新型的广告形态,产业的集聚、产业的培育,或者说产业升级,是要靠大量的这种数据分析的。
帮助地方政府去做产业结构的引导是很有价值的。尤其是细分到一些特别的领域,比如说广告业,它直接促进地方经济的发展,它的高增长性和它的地方经济的促进性和新的产业格局的形成,是要依赖于这些数据能够做分析的,这就是一个很好的应用场景,你看得到它跟灵工平台相关,它跟地方政府的未来的产业格局定位相关,这才是数据的魅力。
Q:本书名叫《成功CEO的临门一脚:数据合规管理》,它能给CEO带来一个怎样的价值?
A:都说看到这本书的名字挺有意思的,要感谢我们的一个客户,因为我们数据律师,实际上视角是比较单一的。所以当我们一个客户看完这本书的一些样张和主要的提纲,他说这个还真的能够帮助到他们。站在CEO的角度是很痛苦的,这么庞大的数据合规管理到底怎么做,有没有很好的方法,你就告诉我怎么做就行了。所以这本书比较有特色的,序言是做了很精要的一个整理,就像是一个导读,读者能够对应的去看到一些东西。
本书最有意思的是最后每一个章节都有一个CEO的Tips。CEO如果很繁忙,而且这种很专业的书看上去有一定的难度,他就直接跳到最后的章节就会告诉他这个部分主要讲什么。为什么说对CEO来讲是要抓重点的,而这个部分里面又需要你做些什么东西?另外一个就是他要关心组织,一个组织它需要有哪些标签去证明数据合规性,其中很重要的就是要构建一个体系,而这个体系能够让你的组织在数据合规这件事情上能够良性循环,不要天天去应对突发事件,一个良性循环机制能够及时发现问题,能够当一个新的业务需求出来的时候,有没有一套机制说我在什么时点、什么样的业务场景下需要先做数据合规评估,再决定这个事情要不要做。如果决定做了,下一步他会面临哪些数据合规的主要问题,能够有很好的应对措施。
所有的数据动作终极目标是为了什么?前提是说我得先保证我的业务,在这个基础上再去看数据合规怎样能够为我的业务加持。一旦数据合规出事,比如说数据泄露,或者说像滴滴一样,一张罚单意味着什么?你的业务不连续了,业务中断了,所以才得把关,保证我的业务正常运转的前提下,要做哪些数据合规动作。
所以CEO需要知道抓什么核心的东西,把这些问题串起来,为了保证业务增长,需要把最关键的几个点拎出来。
Q:相比数据合规的其他书籍,本书最大的亮点和不同之处是?
A:很坦言,写书之前一定是先把市面所有的跟数据合规的书全部拿过来看一遍的。主要分两类。一类是很体系化的,从端到端介绍,数据的从开始整个生命周期的一个系统的保护。还有一类是专章,比如如何做数据合规尽调等等,一般是从律师这方面写的。
这就和我们这本书挺接近的,思考的原点你先去解决问题,再体系化的,这跟老板的思路是一样的。你会觉得很贴近现实,贴近老板每天会遇到的问题。比较有意思是中间加了几个比较特殊的板块。一个板块是专门的IPO的一个专章,相当于我做了一个全案分析,全案分析全部都是案例,案例又做了梳理,归类,因为大家总是希望看到自己在哪个类别里面相似的问题以后可能会面临的,因为凡是现在数据的企业都是未来有规划的,三、五年后有融资,在三五年后有上市等等的,所以能够对号入座。再去看对号入座当中的各个具体的问题如何去爆破,都有解决方案,以及最后几个章节是一个是说我拿一个真实的行业案例,让你看到系统化的该怎么做。
高亚平 周梦 纪倩 徐晶 著
法律出版社 2023-06
本文系HRoot原创,如需转载,请标注来源(来源:HRoot)。部分图片和文字来源于网络。如因版权存在问题,请于本文刊发30日内联系我们进行删除。