关注我们请点击上方"德勤Deloitte"↑

传统媒体与新媒体的融合发展日益加快，互联网在企业营销体系中扮演的角色愈发举足轻重。鲜花定制的公众号，二手车会员app……企业运营自己的移动互联网媒体工具（本文简称“新媒体工具”）早已不是新鲜事。根据第39次《中国互联网络发展状况统计报告》¹，到2016年，企业经由互联网的营销推广比例已达到38.7%。移动互联网与线下经济联系日益紧密，手机网上支付用户规模达4.69亿，互联网特别是移动互联网营销的受众之大、需求之高，前所未有。

企业自身运营新媒体工具的普及，使得与之伴随的法律风险评估与应对越发成为企业综合管控法律合规风险的实践中不可忽视的重要部分。

新媒体工具类型梳理：风险评估的着手点

许多企业此时可能已经同时运营着不止一个公众号和app，法律风险评估工作应当如何着手成为了摆在企业面前的第一个问题。由于新媒体工具的用途和内容存在区别，不同的新媒体工具在运营时所面临的法律风险可能会有明显不同。我们建议企业在做风险评估工作时，可以先从梳理分类自身运营的新媒体工具开始。

实务中，现有的企业新媒体工具大致可分为以下几类：

• 网络交易工具：这类新媒体工具本质是将传统的交易经由移动互联网渠道开展，无论是公众号平台还是app软件，都有可能提供商品服务的交易功能。

• “双向互动型”的营销工具：这类新媒体工具旨在实现企业和用户的双向交流。互动的需求是多样的：可能是企业客户关系维护的组成（例如一些企业的俱乐部会员app），也可能是为特定事务目的所运营的平台（例如校园招聘公众号）等等。用户可以/需要实现信息输入是“双向”的重要性质。

• 单向的广告发布平台：这也可理解为传统意义上的“新媒体”。不少企业运作新媒体工具都是从广告推送的用途开始，现在这一功能越来越多的已经杂糅在其他功能之中。

• 内部工具：例如企业的工会公众号、年会公众号等。这些工具原则上会通过身份识别机制识别特定用户。

  
  

一些企业还需要留意的另一种类型是与企业自身存在关联可能性的新媒体工具。这主要包括企业的第三方业务伙伴的新媒体工具等等。例如，一些汽车企业在各地均有授权程度不同的销售商，我们观察到有不少经销商自己也在运营新媒体工具，但这些第三方业务伙伴的新媒体无论从logo识别还是其他信息都极易让一般用户难以区分与企业自身的区隔。这不免会产生潜在的连带责任风险的考虑。

新媒体工具不仅只存在互联网领域的法律风险

现在我们知道，企业运营的形态各异的新媒体工具，实质内容不外乎还是商品服务交易、广告宣传、自身管理等线下已经为我们所熟悉的企业运营事项——法律法规和政策在其中许多领域已经有了相应的安排。因此，企业在评估自身新媒体工具运营的潜在法律风险时，既应评估剥去互联网渠道身份之后实体内容本身所存在的传统法律风险，又要考虑互联网的特性与之结合后是否存在着特殊的监管要求²。

尽管有着前述分类，新媒体工具在实际运营的过程中将可能因为同时集合多个功能而变得更为复杂，与之伴随的法律风险也会变化。我们建议企业在管理新媒体工具运营时，可以考虑“复杂工具个案分析、简单工具管控底线”的路径。

一般来说，上述类型的新媒体工具在运营时可能有以下一些主要法律风险需要评估：

• 网络交易工具：企业自身是否具备所开展交易本身以及通过互联网渠道开着目标交易所需的资质牌照，以及传统意义上基于《合同法》、《消费者权益保护法》、《产品质量法》等在内的法律责任。

•  “双向互动”型工具：个人信息保护的法律责任、企业数据被攻击的预防和权利维护。

• 广告发布平台：知识产权（版权）的侵权与被侵权风险、广告法下的规制、涉及反不正当竞争法的规制，以及一般民事侵权责任（如内容可能涉及侵犯肖像权、名誉权等）的风险。

• 企业内部工具：个人信息保护的法律责任、企业商业数据的被泄露的风险等。

• 第三方新媒体：第三方业务伙伴在运营新媒体时不合规行为的潜在连带责任。

新媒体工具的法律风险管控工作是综合复杂的工程，企业的法务部门可以在合规部门、风险控制部门（如有）的支持下牵头，同时需要企业的市场营销、宣传外联、政府关系事务等以及主要涉及的关键业务部门等予以配合，并及时获得外部律师与合规专家的协助。

《网络安全法》对企业运营新媒体的影响

去年底，《中华人民共和国网络安全法》（“《网络安全法》”）通过，将于今年6月1日起正式实施。作为我国首部系统性规范网络空间治理的法律和国家网络安全战略的重要组成部分，《网络安全法》的重要地位不言自明。企业运营新媒体工具本就已经有比较复杂的法律风险环境需要应对，《网络安全法》对企业的网络活动规制“适用直接、管辖全面、要求升级”，它的出台进一步增加了新媒体工具运营管理的艰巨程度：

首先，《网络安全法》对其适用对象——“网络运营者”³的概念界定比较宽泛。在目前尚没有对所谓“网络服务提供者”的定义作进一步说明的情况下，几乎大部分正在运行的新媒体工具的所在企业都有可能被纳入这一范畴。

其次，“关键信息基础设施”的界定和规制需要引起重视。根据《网络安全法》对“关键信息基础设施”的界定⁴，我们有理由相信一些大型即时通讯工具等移动互联网平台将很有可能落入这一范畴，基于这些平台的企业公众号等新媒体工具势必将因为大平台所需要承担的更高标准的义务而需要采取相应的合规措施。

同时，《网络安全法》对企业新媒体运营的重要影响还体现在对个人信息的保护上。个人信息保护是企业运营新媒体的传统风险之一。《网络安全法》对企业从收集到保存、使用以及传输等全环节予以了规制。特别是特定的个人信息一般情况下须存储在我国境内的规定⁵，更需要企业引起足够重视。

涉及个人信息保护的最佳基本实践

中国法律体系的基础性法律之一《中华人民共和国民法总则》3月15日通过，将于10月1日起施行。自此，以《宪法》为根、《民法总则》⁶为纲，《网络安全法》等法律法规为目的个人信息保护领域法律制度框架的“四梁八柱”搭建完成。

《网络安全法》界定了什么是个人信息，明确了网络运营者对个人信息所负有的保护义务，同时对一些特殊事项做出了具体规定（例如第37条的境内存储要求等）。我们预计《网络安全法》涉及个人信息保护的条款还将有进一步的配套实施办法和细则等陆续出台，企业在持续关注后续相关办法细则的同时，在现阶段，可以结合全国信息安全标准化技术委员会在《网络安全法》通过后发布的《<信息安全技术-个人信息安全规范>征求意见稿》以及国务院网信办在去年年中颁布的《移动互联网应用程序信息服务管理规定》等指南规定的有关内容，对照审查企业的新媒体工具，梳理潜在的个人信息保护问题。

以下是我们给出的企业在运营新媒体工具时在个人信息保护方面的最佳基本实践：

• 对照梳理正在运营中的可能收集用户个人信息的新媒体工具，评估相关信息收集的必要性，按照“最少原则”逐个确认需要收集的具体用户个人信息；

• 在每一个新媒体工具以及每一次需要收集个人信息时，确认有清楚、明示的关于收集、使用目的、方式和范围等内容的告知并且获得用户的同意；

• 确认有畅通的渠道可以满足用户通过行使《网络安全法》第43条的权利要求删除或更正已收集的个人信息；

• 建立相关的个人信息内部保护机制和措施，妥善保管收集的个人信息，并制定用户个人信息存在安全问题时的应急预案；

• 涉及可能跨境数据传输的，需要考虑数据收集存储的“本地化”应对方案以及关注有关部门后续制定的跨境传输评估办法。

上海勤理律师事务所（“勤理”）作为专业法律服务机构，时刻关注互联网和新媒体合规监管议题。作为德勤全球网络的成员，勤理还可以联合德勤风险咨询、TMT行业综合服务团队、网络安全风险咨询团队、内控、审计等领域的专家，为企业在互联网+时代的业务发展、制度建设、风险管控、应对执法等需要提供一站式全方位定制化专业服务，具备难以媲美的独特优势。欢迎您随时就上述议题与我们的专家联系。

注：

¹ http://www.cnnic.cn/gywm/xwzx/rdxw/20172017/201701/t20170122_66448.htm

根据这一报告，企业在线销售、采购的开展比例也分别达到45.3%和45.6%，在信息沟通类互联网应用、财务与人力资源管理等内部支撑类应用方面，企业互联网活动的开展比例也都保持着上升态势。

² 例如，企业通过公众号开展广告推送，既要理解推送内容作为“广告”将受到《广告法》等相关法律法规的监管，也需要明确互联网广告还同时要满足《互联网广告管理暂行办法》等特殊规定的要求。

³ 《网络安全法》第76条第(3)款:网络运营者，是指网络的所有者、管理者和网络服务提供者。

⁴ 《网络安全法》对关键信息基础设施的界定采用了列举加危害结果描述的方式：国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的。

⁵ 《网络安全法》第37条：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

⁶ 《民法总则》第111条：自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

作者：

宋姣琳

上海勤理律师事务所

合伙人

电邮：jolsong@qinlilawfirm.com

张浩

上海勤理律师事务所

法律顾问

电邮：johnhzhang@qinlilawfirm.com

本文件中所含乃一般性信息，故此，并不构成上海勤理律师事务所、其人员及代理人提供任何专业建议或服务。在做出任何可能影响自身、自身财务或业务的决策或采取任何相关行动前，请咨询合资格的专业顾问。本文件中所含资料及信息乃以其原貌提供，上海勤理律师事务所并未对该等文件所含资料或信息做出明示或暗示的陈述或保证。在不限制上述规定的前提下，上海勤理律师事务所不保证该等文件所含资料或信息没有错误或达到了任何特定的实施或质量标准。上海勤理律师事务所明确否认所有暗示的或其它保证，包括但不限于适销性、所有权、适合特定目的、不侵权、兼容性、安全性和准确性的保证。上海勤理律师事务所、其人员及代理人不对任何方提起的或其产生的由于其依赖本文件所致的或与本文件相关的任何损失或索赔承担责任。