網(wǎng)上投稿
《上海律師》
主 管:上海市司法局
主 辦:上海市律師協(xié)會
編 輯:《上海律師》編輯部
編輯委員會主任:邵萬權(quán)
副 主 任: 朱林海 張鵬峰
廖明濤 黃寧寧
陸 胤 韓 璐
金冰一 聶衛(wèi)東
徐宗新 曹志龍
屠 磊 唐 潔
潘 瑜
編 委 會:李華平 胡 婧
張逸瑞 趙亮波
王夏青 趙 秦
祝筱青 儲小青
方正宇 王凌俊
閆 艷 應(yīng)朝陽
陳志華 周 憶
徐巧月 翁冠星
黃培明 李維世
吳月琴 黃 東
曾 濤
主 編: 韓 璐
副 主 編:譚 芳 曹 頻
責(zé)任編輯:王鳳梅
攝影記者:曹申星
美術(shù)編輯:高春光
編 務(wù):許 倩
編輯部地址:
上海市肇嘉浜路 789 號均瑤國際廣場 33 樓
電 話:021-64030000
傳 真:021-64185837
投稿郵箱:
E-mail:tougao@lawyers.org.cn
網(wǎng)上投稿系統(tǒng):
http://m.aineast.com/wangzhantougao
上海市律師協(xié)會網(wǎng)址(東方律師網(wǎng))
m.aineast.com
上海市連續(xù)性內(nèi)部資料準(zhǔn)印證(K 第 272 號)
本刊所用圖片如未署名的,請作者與本刊編輯部聯(lián)系
加強數(shù)據(jù)權(quán)益司法保護
2025年第05期 作者:文字整理:許倩 閱讀 324 次
主持人:黃培明 上海律協(xié)對外宣傳與聯(lián)絡(luò)委員會委員、公司與商事專業(yè)委員會委員,上海市金石律師事務(wù)所合伙人
嘉賓:葉娟 上海蘭迪律師事務(wù)所律師
陳沛文 上海律協(xié)數(shù)據(jù)合規(guī)與網(wǎng)絡(luò)安全專業(yè)委員會委員,上海靖霖律師事務(wù)所合伙人
文字整理:許倩
黃培明: 大家好,歡迎來到《上海律師》2025年第五期“法律咖吧”,我是本期咖吧的主持人黃培明,嘉賓分別是葉娟律師、陳沛文律師。8月28日,最高人民法院首次發(fā)布數(shù)據(jù)權(quán)益司法保護專題指導(dǎo)性案例。該批指導(dǎo)性案例共六件,積極回應(yīng)數(shù)據(jù)權(quán)屬認(rèn)定、數(shù)據(jù)產(chǎn)品利用、個人信息保護、網(wǎng)絡(luò)平臺賬號交付等社會高度關(guān)注的問題,統(tǒng)一類案裁判尺度。首批數(shù)據(jù)權(quán)益司法保護專題指導(dǎo)性案例有哪些鮮明特征?能否為數(shù)據(jù)權(quán)屬這一立法空白提供可預(yù)期的裁判規(guī)則?基于最新司法實踐,企業(yè)在數(shù)據(jù)收集、處理、使用和交易等各環(huán)節(jié)應(yīng)重點關(guān)注哪些合規(guī)問題?首先請葉律師談?wù)効捶ā?/span>
葉娟:本批的六件指導(dǎo)性案例在同一問題上選擇了原告勝訴和敗訴的不同案例,從正反兩面統(tǒng)一裁判尺度,體現(xiàn)了最高院在目前法律框架下解決數(shù)據(jù)權(quán)益問題的三大核心思路:一是確權(quán),即“誰投入、誰貢獻、誰受益”;二是流通,即通過用戶授權(quán)打破數(shù)據(jù)壁壘,防止平臺“圈地為王”;三是保護與執(zhí)行,即界定個人信息收集的“必需性”場景化標(biāo)準(zhǔn),加強個人信息保護,必要時通過執(zhí)行程序依法實質(zhì)性維護當(dāng)事人的勝訴權(quán)益。
基于案例指引,企業(yè)應(yīng)重點關(guān)注以下問題:
第一,間接收集場景下的數(shù)據(jù)來源合法性問題——數(shù)據(jù)是通過公開渠道合法采集,還是未經(jīng)許可進行爬取?是否對原平臺構(gòu)成實質(zhì)性替代?
第二,直接收集場景下的用戶授權(quán)問題——APP/網(wǎng)站是否存在“一攬子授權(quán)”或強制收集非必要信息?用戶點擊“同意”并不等同于合法授權(quán);
第三,數(shù)據(jù)保護問題——企業(yè)采取反爬蟲技術(shù)是否有效?出現(xiàn)爭議時,企業(yè)能否證明自身為數(shù)據(jù)集合付出了實質(zhì)性投入?
另外,基于我們的項目服務(wù)經(jīng)驗,還有一點提示:在數(shù)據(jù)交易環(huán)節(jié)關(guān)注對涉數(shù)供應(yīng)商的管理,從在合同中加入特定的數(shù)據(jù)保護條款,到事前盡調(diào)、事后問詢,以及內(nèi)部管理制度的建立,在不同交易合作場景下確保數(shù)據(jù)流通中的安全合規(guī)。
陳沛文:首批數(shù)據(jù)權(quán)益司法保護專題指導(dǎo)性案例的鮮明特征可概括為類型全面、規(guī)則務(wù)實、效力突出三個核心方面。案例覆蓋的都是數(shù)據(jù)糾紛的高頻場景,精準(zhǔn)回應(yīng)了數(shù)據(jù)權(quán)屬認(rèn)定、數(shù)據(jù)產(chǎn)品利用、網(wǎng)絡(luò)賬號交付等司法實務(wù)堵點和社會熱點問題,形成了全產(chǎn)業(yè)鏈條的司法指引。對于《數(shù)據(jù)安全法》《個人信息保護法》等法律規(guī)范中的原則性條款給出了具體的適用標(biāo)準(zhǔn),明確了數(shù)據(jù)權(quán)益保護的權(quán)力邊界、個人信息授權(quán)最小必要原則的界定等一系列實踐中的爭議問題,切實統(tǒng)一了類案裁判尺度,也為未來的數(shù)據(jù)立法積累了實踐經(jīng)驗。
該批案例在區(qū)分信息權(quán)屬與數(shù)據(jù)權(quán)屬的不同屬性適用不同保護規(guī)則的基礎(chǔ)上,進一步確認(rèn)了數(shù)據(jù)法益的分層保護邏輯,摒棄了單一的權(quán)屬思維,形成了以權(quán)益保護邊界為核心的裁判準(zhǔn)則。從數(shù)據(jù)的獲取、處理、儲存、使用、共享、消滅的全生命周期出發(fā),有針對性地在各個有爭議性的核心節(jié)點上設(shè)置了切實可行的裁判標(biāo)準(zhǔn)。
對于數(shù)據(jù)企業(yè)而言,這批指導(dǎo)性案例帶來的最大指引就是要建立數(shù)據(jù)收集、處理、使用及盈利的邊界感。企業(yè)需要進一步規(guī)范數(shù)據(jù)采集的行為邊界,明確公開數(shù)據(jù)采集的范圍與限制,履行個人信息等敏感數(shù)據(jù)采集最小必要原則的實踐要求。在數(shù)據(jù)使用與收益的過程中,嚴(yán)格遵循“誰投入、誰貢獻、誰受益”的核心原則,完善數(shù)據(jù)授權(quán)鏈路的合規(guī)管理。
黃培明:新修訂的《反不正當(dāng)競爭法》于2025年10月15日起正式施行,首次將數(shù)據(jù)爬取、流量造假等數(shù)字亂象納入規(guī)制,特別是第十三條新增了數(shù)據(jù)條款。該批指導(dǎo)性案例中,262號“某科技有限公司訴某文化傳媒有限公司不正當(dāng)競爭糾紛案”、263號“某網(wǎng)絡(luò)信息技術(shù)有限公司訴某信息科技有限公司不正當(dāng)競爭糾紛案”為不正當(dāng)競爭糾紛案例。在《反不正當(dāng)競爭法》修訂的背景下,這兩件案例有何指導(dǎo)意義?
葉娟:在指導(dǎo)性案例262號中,某文化公司運營的乙APP未經(jīng)許可,抓取、搬運某科技公司運營的甲APP內(nèi)的大量短視頻、用戶信息及評論,導(dǎo)致乙APP與甲APP內(nèi)容高度同質(zhì)化,實質(zhì)性替代了甲APP的產(chǎn)品和服務(wù)。該案的爭議焦點在于:某科技公司對匯聚短視頻、用戶評論、用戶信息形成的數(shù)據(jù)集合享有何種權(quán)益?某文化公司獲取、使用案涉數(shù)據(jù)的行為是否構(gòu)成不正當(dāng)競爭行為?
法院審理認(rèn)為,案涉數(shù)據(jù)集合包含短視頻、用戶注冊信息及評論等,系某科技公司采集、匯聚而成。某科技公司為數(shù)據(jù)集合的形成和積累投入了大量人力、物力、財力,通過經(jīng)營吸引大量用戶流量,使數(shù)據(jù)集合產(chǎn)生獨立于單一短視頻的經(jīng)濟價值,因此其持有、使用、經(jīng)營該數(shù)據(jù)集合產(chǎn)生的經(jīng)營性利益應(yīng)受法律保護。某文化公司未經(jīng)許可獲取并向公眾提供相關(guān)數(shù)據(jù),足以實質(zhì)性替代某科技公司提供的產(chǎn)品和服務(wù),依法構(gòu)成不正當(dāng)競爭行為。該案例為企業(yè)數(shù)據(jù)競爭劃定了紅線,禁止實質(zhì)性替代式的惡意數(shù)據(jù)爬取,體現(xiàn)了“誰投入、誰貢獻、誰受益”的原則,有助于推動數(shù)據(jù)要素收益向數(shù)據(jù)價值創(chuàng)造者的合理傾斜。
陳沛文:此前涉及數(shù)據(jù)的不正當(dāng)競爭糾紛多依賴《反不正當(dāng)競爭法》第二條的原則性條款進行裁判,而新修訂的《反不正當(dāng)競爭法》第十三條第三款首次對侵害數(shù)據(jù)權(quán)益的不正當(dāng)競爭行為作出專門規(guī)定。指導(dǎo)性案例262號針對爬取搬運數(shù)據(jù)、實質(zhì)性替代平臺服務(wù)的行為,明確“平臺對數(shù)據(jù)集合的經(jīng)營性利益受保護”;指導(dǎo)性案例263號針對關(guān)聯(lián)賬號數(shù)據(jù)轉(zhuǎn)移的行為,明確“用戶授權(quán)+不擾亂競爭秩序即合法”。這兩類場景正是新法重點規(guī)制的核心情形。兩起案例中提煉的“是否損害數(shù)據(jù)集合的經(jīng)營性利益”“是否經(jīng)用戶合法授權(quán)”“是否擾亂市場競爭秩序”等裁判要素,可直接作為適用新法第十三條第三款的關(guān)鍵判斷標(biāo)準(zhǔn),避免法律修訂后司法適用出現(xiàn)空窗期,確保新舊法律適用的平穩(wěn)銜接。
指導(dǎo)性案例262號明確了數(shù)據(jù)集合經(jīng)營性利益的保護邊界——對于平臺投入人力、物力形成的具有商業(yè)價值的數(shù)據(jù)集合,他人未經(jīng)許可,不得通過爬取、搬運形成實質(zhì)性替代。明確禁止無投入?yún)s通過爬取、搬運竊取他人數(shù)據(jù)成果的行為,警示平臺不得通過“搭便車”方式損害競爭對手的經(jīng)營性利益。
指導(dǎo)性案例263號則劃定了合法數(shù)據(jù)轉(zhuǎn)移的范圍——經(jīng)用戶主動授權(quán),在不同平臺間轉(zhuǎn)移用戶自有數(shù)據(jù)且未侵害第三方權(quán)益的,不構(gòu)成不正當(dāng)競爭。肯定了用戶授權(quán)下的數(shù)據(jù)跨平臺轉(zhuǎn)移的正當(dāng)性,鼓勵平臺通過優(yōu)化服務(wù)提升用戶體驗,而非通過“數(shù)據(jù)壁壘”限制競爭。
兩個案例形成了鮮明的對比,清晰界定了合法與違法的邊界,既保護數(shù)據(jù)權(quán)益,又促進數(shù)據(jù)合理流通;既符合新修訂的《反不正當(dāng)競爭法》“保護經(jīng)營者與消費者權(quán)益、維護公平競爭”的立法目的,也與“數(shù)據(jù)二十條”中“促進數(shù)據(jù)自由流動、激活數(shù)據(jù)要素潛能”的要求相契合。
黃培明:網(wǎng)絡(luò)不正當(dāng)競爭案件存在電子證據(jù)易篡改、侵權(quán)行為隱蔽等特點,律師如何構(gòu)建有效的證據(jù)保全與舉證體系?
陳沛文:從電子數(shù)據(jù)取證和運用的角度來講,有兩方面需要關(guān)注:一是證據(jù)保全體系,二是有效舉證體系。
應(yīng)對網(wǎng)絡(luò)不正當(dāng)競爭案件中電子證據(jù)易篡改、侵權(quán)行為隱蔽的痛點,證據(jù)保全的核心在于構(gòu)建“技術(shù)固化+司法背書+全程留痕”的立體防護體系,確保證據(jù)從獲取到提交的真實性與完整性。
證據(jù)保全體系需把握即時性保全原則,抓住侵權(quán)證據(jù)未被銷毀的黃金窗口期。網(wǎng)絡(luò)數(shù)據(jù)存在定期清理、服務(wù)器日志覆蓋等特性,一旦發(fā)現(xiàn)侵權(quán)跡象,應(yīng)第一時間通過技術(shù)手段固定原始載體信息——對于網(wǎng)頁、APP界面等線上內(nèi)容,可采用“錄屏+源代碼提取”同步操作,并利用不可逆時間戳工具強化證據(jù)的真實性,避免僅截取靜態(tài)圖導(dǎo)致的內(nèi)容殘缺;對于社交平臺聊天、郵件等通信記錄,需優(yōu)先提取原始設(shè)備中的完整數(shù)據(jù),而非依賴轉(zhuǎn)發(fā)或截圖,并通過哈希值校驗技術(shù)記錄數(shù)據(jù)的初始狀態(tài),為后續(xù)驗證該數(shù)據(jù)未被篡改提供依據(jù)。同時,在取證的過程中,可結(jié)合區(qū)塊鏈存證等技術(shù)手段,將取證過程、數(shù)據(jù)內(nèi)容實時上鏈。利用區(qū)塊鏈不可篡改、全程可追溯的特性,解決傳統(tǒng)公證在跨地域、高頻次取證中的效率不足問題,形成“公證+區(qū)塊鏈”雙重效力背書的證據(jù)保全體系。
有效舉證體系的搭建則需圍繞“侵權(quán)行為認(rèn)定—競爭關(guān)系界定—損失后果量化”的核心邏輯,通過“直接證據(jù)錨定核心事實、輔助證據(jù)形成閉環(huán)、專業(yè)意見強化說服力”的分層舉證策略,破解侵權(quán)行為隱蔽性帶來的舉證難題。
在侵權(quán)行為舉證層面,需實現(xiàn)從單一證據(jù)到多維印證的升級,針對不同侵權(quán)類型精準(zhǔn)匹配證據(jù)組合。如主張數(shù)據(jù)爬取構(gòu)成不正當(dāng)競爭的案件,在提交證據(jù)時需要注重三重核心證據(jù):技術(shù)層面的爬取痕跡證明,如侵權(quán)方服務(wù)器IP與爬取IP的對應(yīng)記錄、專家對爬取代碼的分析報告;內(nèi)容層面的數(shù)據(jù)實質(zhì)性相似證明,如第三方審計機構(gòu)出具的原被告平臺數(shù)據(jù)重合度報告;行為層面的主觀故意證明,如侵權(quán)方內(nèi)部關(guān)于快速復(fù)制競品數(shù)據(jù)的郵件記錄等,形成一個舉證閉環(huán)。
在損失后果與因果關(guān)系舉證層面,需突破“量化難”瓶頸,采用“客觀數(shù)據(jù)+合理推定”的證明路徑。可引入第三方機構(gòu)的專業(yè)數(shù)據(jù)支持,如通過市場調(diào)研公司出具的“侵權(quán)前后市場份額變化報告”,將抽象損失轉(zhuǎn)化為具體數(shù)值。
黃培明:除了不正當(dāng)競爭糾紛,指導(dǎo)性案例265號“羅某訴某科技有限公司隱私權(quán)、個人信息保護糾紛案”、指導(dǎo)性案例266號“黃某歡訴某信用管理有限公司個人信息保護糾紛案”為個人信息保護糾紛案例,這兩件案例在加強個人信息保護方面有何指導(dǎo)意義?
葉娟:指導(dǎo)性案例265號聚焦非必要信息強制收集問題。某科技公司運營的某英語學(xué)習(xí)網(wǎng)站及APP收集了用戶羅某較多的個人信息,且上述過程中并無“跳過”“拒絕”等選項,亦無授權(quán)同意收集個人信息的提示。法院從必要性的角度認(rèn)為,該APP的基本功能服務(wù)為提供在線課程視頻流和相關(guān)圖文、視頻等信息,目前收集的用戶信息并非其基本功能服務(wù)所必需;從合法性的角度認(rèn)為,某科技公司在不具有取得個人同意的法定例外事由的情況下,未經(jīng)同意收集羅某用戶畫像信息的行為,侵害了羅某的個人信息權(quán)益。
從司法審判角度,處理個人信息侵權(quán)案件時,必要性判斷是很大的難點,這兩個案例則給出了參照準(zhǔn)則;從企業(yè)數(shù)據(jù)合規(guī)角度,必要性判斷也是一個難點。常見的場景是產(chǎn)品/業(yè)務(wù)部門傾向于多收集信息,既有利于產(chǎn)品的精細化迭代升級,也有利于業(yè)務(wù)場景的開發(fā)或者數(shù)據(jù)的準(zhǔn)確性,而法務(wù)部門需要把關(guān)相關(guān)信息收集是否必要。雖然在APP信息收集范圍上已有可參照的規(guī)定,但大部分企業(yè)的場景都比規(guī)范中的基本場景復(fù)雜,這就需要靈活且準(zhǔn)確把握必要性的判斷標(biāo)準(zhǔn);有時也要結(jié)合監(jiān)管政策的動態(tài),從監(jiān)管部門公布的違法違規(guī)案例中作總結(jié)。我在企業(yè)里既做過法總,也帶過產(chǎn)品研發(fā)團隊,肩負不同職能的時候,我發(fā)現(xiàn)自己對合規(guī)標(biāo)準(zhǔn)的理解也有所不同。
陳沛文:從司法實踐與企業(yè)合規(guī)的雙重維度看,這兩件案例均為個人信息保護提供了極具操作性的規(guī)則指引,既填補了《個人信息保護法》中最小必要原則的適用空白,也為用戶維權(quán)、企業(yè)合規(guī)劃出了清晰的邊界。
在指導(dǎo)性案例265號中,法院明確最小必要原則必須以“履行合同所必需”為前提,需滿足規(guī)范對照和功能測試的雙重要求:一方面參照《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》,直接界定學(xué)習(xí)教育類APP的必要個人信息僅為“注冊用戶手機號碼”,否定了某科技公司將職業(yè)、學(xué)習(xí)目的等畫像信息納入“必需”的主張;另一方面通過功能測試指出,案涉APP的基本功能是“在線輔導(dǎo)、網(wǎng)絡(luò)課堂等”,缺少畫像信息并不會導(dǎo)致課程服務(wù)無法提供,故自動化決策推送不屬于“履行合同所必需”的功能。這一規(guī)則直接打擊了企業(yè)“以個性化服務(wù)為名,行強制收集之實”的常見操作,明確“必需性”需以基本功能實現(xiàn)為核心,而非企業(yè)單方宣稱的商業(yè)需求。
指導(dǎo)性案例266號則從正面給出“必需性”的適用場景:“先享后付”功能涉及第三方墊資,信用服務(wù)商需通過收集用戶信用信息評估履約風(fēng)險,否則無法實現(xiàn)“先乘車、后付款”的合同目的,故此類信息收集屬于“履行合同所必需”。同時,法院進一步限定最小必要原則,明確服務(wù)商僅需向公交公司提供“準(zhǔn)入與否”的結(jié)論性信息,無需過度收集詳細信用數(shù)據(jù),既保障了服務(wù)正常開展,又避免了個人信息的不必要暴露。
同時,指導(dǎo)性案例265號直指“強制同意”的典型場景:某科技公司在登錄界面未設(shè)置“跳過”“拒絕”等選項,將填寫畫像信息作為唯一登錄路徑,用戶為使用服務(wù)只能被迫提交信息。法院明確此種“唯一選項即無選項”的設(shè)計不符合“同意需自愿、明確”的法定要求,即便用戶最終填寫信息,也不構(gòu)成有效同意。這一裁判直接否定了行業(yè)內(nèi)“不授權(quán)就不讓用”的常見操作,為APP產(chǎn)品設(shè)計劃定了合規(guī)底線——對于非必要信息收集,必須提供不同意仍可使用基礎(chǔ)功能的替代方案,不能以服務(wù)權(quán)限捆綁用戶同意。指導(dǎo)性案例266號則從告知義務(wù)角度強化同意的有效性:某信用公司在協(xié)議中以標(biāo)藍、加粗等顯著方式提示信息收集條款,明確告知收集信用信息用于風(fēng)險評估的目的,且用戶可自主選擇乘車支付方式(現(xiàn)金、實體卡或電子卡),也能便捷注銷信用賬戶。法院認(rèn)定此種“充分告知+自主選擇”的模式符合同意的法定要件,既保障了用戶的知情權(quán),又未剝奪其選擇權(quán)。
兩件案例形成了“否定強制同意、肯定合規(guī)告知”的導(dǎo)向,讓“同意”從形式上的勾選回歸到用戶真實意愿的表達,有效遏制了“一攬子授權(quán)”“默認(rèn)同意”等損害用戶權(quán)益的行為。
此外,兩件案例還傳遞出實質(zhì)合規(guī)的信號:企業(yè)不能僅在隱私政策中堆砌條款,而需在實際操作中落實最小必要原則和自愿同意原則,通過優(yōu)化產(chǎn)品設(shè)計完善內(nèi)部審核機制,將合規(guī)要求融入數(shù)據(jù)處理全流程,避免因形式合規(guī)而實質(zhì)侵權(quán)的行為發(fā)生。
黃培明:對于加強數(shù)據(jù)權(quán)益司法保護,企業(yè)如何建立內(nèi)部合規(guī)體系?
陳沛文:結(jié)合最高人民法院首批數(shù)據(jù)權(quán)益司法保護指導(dǎo)性案例及《數(shù)據(jù)安全法》《個人信息保護法》等法律要求,企業(yè)建立內(nèi)部數(shù)據(jù)合規(guī)體系需圍繞“組織架構(gòu)為基、全流程管控為核、風(fēng)險應(yīng)對為盾”三個方面展開,重點解決數(shù)據(jù)收集、處理、使用、交易等各環(huán)節(jié)的合規(guī)痛點,同時銜接司法實踐中明確的裁判規(guī)則,確保合規(guī)體系兼具合法性與實操性。
從組織架構(gòu)搭建來看,企業(yè)需先明確“決策—管理—執(zhí)行”三級責(zé)任體系,避免合規(guī)流于形式,形成“決策層定方向、管理層抓落實、執(zhí)行層做落地”的閉環(huán),避免出現(xiàn)多頭管理或無人負責(zé)的合規(guī)真空。
在數(shù)據(jù)全生命周期合規(guī)管控層面,需結(jié)合司法實踐明確的規(guī)則,針對數(shù)據(jù)收集、處理、使用、交易等各環(huán)節(jié)制定細化標(biāo)準(zhǔn)。數(shù)據(jù)收集環(huán)節(jié)要嚴(yán)守“合法+授權(quán)”底線,避免“強制同意”,提供不同意仍可使用基礎(chǔ)功能的替代方案;數(shù)據(jù)處理與使用環(huán)節(jié)要落實“分類分級+最小必要”原則;數(shù)據(jù)交易環(huán)節(jié)則需建立“來源審查+協(xié)議約束”機制,尤其對原始數(shù)據(jù)的交易需格外審慎,避免涉及未脫敏的個人信息或企業(yè)商業(yè)秘密的不當(dāng)流轉(zhuǎn)。
風(fēng)險應(yīng)對與持續(xù)優(yōu)化是合規(guī)體系的重要支撐,須銜接司法實踐中的證據(jù)要求與責(zé)任認(rèn)定標(biāo)準(zhǔn)。企業(yè)須建立“事前評估—事中監(jiān)測—事后處置”的風(fēng)險防控機制,落實企業(yè)合規(guī)體系的實質(zhì)有效性,避免“制度上墻但未落地”的不當(dāng)處置方式。
葉娟:做律師之前,我在一家數(shù)據(jù)智能企業(yè)工作。在《數(shù)據(jù)安全法》《個人信息保護法》正式施行前,我們根據(jù)企業(yè)業(yè)務(wù)發(fā)展、融資的需要考慮數(shù)據(jù)合規(guī)體系建設(shè);在數(shù)據(jù)安全三大法都生效之后,企業(yè)數(shù)據(jù)合規(guī)體系的建設(shè)也更有章可循。企業(yè)數(shù)據(jù)合規(guī)體系建設(shè)是個大課題,我們團隊的數(shù)據(jù)合規(guī)實戰(zhàn)營課程中有三小時的主題課程。簡單來說,可分為四步:
第一步:數(shù)據(jù)盤點和盡調(diào)。識別企業(yè)數(shù)據(jù)的類型和流向,繪制數(shù)據(jù)地圖,明確數(shù)據(jù)處理環(huán)節(jié),以及企業(yè)在不同環(huán)節(jié)/業(yè)務(wù)場景下的角色。
第二步:差距分析。基于盡調(diào)的結(jié)果,對照具體的法律法規(guī),明確企業(yè)應(yīng)當(dāng)遵守的合規(guī)義務(wù),再對照現(xiàn)狀明確合規(guī)差距。當(dāng)然,并不是每一項差距都需要去補齊,而是需要結(jié)合業(yè)務(wù)、法務(wù)和數(shù)據(jù)安全三個部門的意見評估各項差距的風(fēng)險等級,邊做邊合規(guī),分階段整改。
第三步:組織和制度建設(shè)。具體的組織架構(gòu)可因企業(yè)而不同,通常包含決策、管理、執(zhí)行等角色;制定數(shù)據(jù)管理制度,可結(jié)合企業(yè)現(xiàn)有流程,建立企業(yè)內(nèi)部數(shù)據(jù)合規(guī)的操作規(guī)程;設(shè)置應(yīng)急預(yù)案相關(guān)制度。
第四步:持續(xù)運營。對內(nèi)定期開展合規(guī)審計,定期進行合規(guī)培訓(xùn),關(guān)注企業(yè)隨著業(yè)務(wù)發(fā)展在數(shù)據(jù)收集、應(yīng)用上的明顯變化;對外完善常用的合同模板,及時響應(yīng)數(shù)據(jù)主體的請求。
黃培明:最高人民法院發(fā)布的首批數(shù)據(jù)權(quán)益司法保護專題指導(dǎo)性案例對地方各級人民法院涉數(shù)據(jù)類案件的審判執(zhí)行工作具有范例指導(dǎo)意義,為加強數(shù)據(jù)權(quán)益司法保護、推動數(shù)字經(jīng)濟高質(zhì)量發(fā)展提供了有力的司法保障。再次感謝兩位嘉賓參與本次咖吧討論及精彩評述。
(本文內(nèi)容根據(jù)錄音整理,系嘉賓個人觀點,整理時間:2025年10月22日)