查看原文
其他

新基建主题系列——移动互联网产品跨境出海的合规风险与对策

蔡鹏 闫莹 薛泽涵 中伦视界 2022-07-31

随着人工智能、大数据技术及云计算能力的推广运用,在日渐纯熟的移动通信技术的推动下,互联网技术正在加速各地区各领域信息和数据的互联互通。越来越多的国内互联网企业在巩固境内竞争优势的同时,着眼于海外市场的扩展建设,发力于移动互联产品的出海落地。此外,国内市场日趋饱和以及新冠疫情的出现,一定程度上助推国内企业加快移动互联产品的海外布局和推广落地。


移动互联网服务和产品具有传播速度快、传播范围广等特点,产品和服务一旦上传至网络,短短几小时内就能传播至世界各地,其推广效率远远超过了传统工业产品。而移动互联网的这些新优势,往往也会使企业面临更多的不可控因素和法律风险。


根据我们多年法律实践与观察,特选取了与移动互联网产品密切相关的落地资质、数据合规及知识产权问题作为本篇主要讨论的内容。

落地资质


 “落地资质”板块,包括电信运营资质及产品认证,系决定移动互联网产品是否能在特定国家或地区落地并正常运营的直接因素。互联网企业在推进产品海外布局时,应着重评估此板块要求,调研了解本企业产品进入当地市场的难度及限制,探寻合法有效的应对措施。


1.运营资质


(1)所需牌照识别


鉴于移动互联产品通常需依赖本地或远程互联网(局域网)或通讯网(或两者同时运用)以保持正常运营,可能涉及运营或者使用本地电信资源,而电信资源通常由所在国家或地区进行管控及有序分配,因此不同国家或地区,对于境外移动互联产品的进入,可能会采取不同程度的准入限制。确定产品落入本地电信服务监管范围,并认准产品本地运营所需的电信相关牌照,对于出海企业而言属于首要核心工作。


判断是否需要获取特定电信牌照,以及需要怎样的电信牌照,需严格按照本地电信监管要求,并结合产品自身在应用环境、产品功能、技术特征等方面的情况,进行匹配评估。通常而言,评估逻辑包括如下:

点击图片查看大图


(2)牌照申领


在明确落地所需的电信牌照后,需关注本地申领相应牌照的对应要求。除申请材料、办理时限、牌照有效期及续期安排等具体要求外,针对申领主体是否有注册国籍限制(即仅允许本国或本地区注册企业申领)、是否有独立法人身份(即不允许分公司、办事处等非独立法人实体进行申领)等要求,将直接影响出海企业在当地开展服务运营的主体选择。整体而言,目前主要国家或地区,针对非特定领域的一般性软件产品,在电信牌照申请管理层面,主要采取如下三类管理模式:


  • 要求申领电信牌照的主体须为本国/地区注册的独立法人实体:例如泰国。


  • 要求申领电信牌照的主体须为独立法人实体,但不要求必须为本国/地区注册法人:例如中国香港。


  • 未限制申领电信牌照(或依要求无须申领牌照但需进行备案认证或提交合规声明)的法人主体性质:例如英国、法国、美国部分州(加利福尼亚州、纽约州等)。


建议出海企业在海外布局时,充分考虑对应国家或地区在牌照申领主体层面的条件限制情况,决定是否由本企业或由本企业另设/注资的法人实体进行相应申领工作,或者委托所在国或地区的本地电信运营商进行相应牌照申领及当地服务运营。


2.产品认证


部分国家或地区,可能会对软件产品的安全认证,以及搭载相应软件产品的硬件终端的性能测试,进行强制性的前置要求。通常而言,如出海产品涉及如下特征,则一般情况下需重点关注落地国家或地区可能存在的、针对软硬件产品的测试认证要求:


  • 产品涉及对码号资源、无线电频谱、卫星信号等的使用;


  • 产品会在勘探、军工、海运等特定场合中予以投放使用;


  • 产品存在电磁辐射等可能影响使用者身体健康的情形的。


对于经评估无需进行强制性测试认证的产品,为增强当地用户对产品的安全确信,方便产品在当地的顺利推广,建议运营企业可同步关注所在国或地区是否具备自愿认证申请的程序(例如泰国针对电信设备的供应商符合性声明制度),申请并张贴相应的认证标签。


另需注意的是,产品在境内已做过对应的CE认证、CCC认证等,一般情况下不能豁免这部分测试认证要求。

数据合规


围绕个人信息保护的数据合规监管,是目前主要国家和地区加紧立法建设及执法检查的重点领域。主流国家及地区已建立或者逐步形成体系完善的数据保护制度,规制发生于本国境内的数据收集处理行为,或者通过服务提供方式收集、处理本国境内用户个人信息的场景。鉴于移动互联产品具有较强的用户交互特征,多数产品均将本地用户个人信息作为支撑服务正常运转的“源动力”,因此数据合规问题,属于互联网出海企业需高度重视的合规板块。


本部分将基于数据全生命周期管理理念,将多数国家及地区的数据合规的共性要求进行总结,从企业合规操作侧角度考虑,为出海企业合规提供通用的底线指引。


1.个人信息收集处理规则/说明


个人信息收集处理规则/说明,常见形式为隐私政策,系产品运营者面向用户所公开的关于个人信息合规处理及保护的主要说明文件。因其内容集中性及公开性特征,也成为本地执法机关所重点关注的对象。一般而言,执法机关对于隐私政策的审查,主要基于以下方面及要点:

点击图片查看大图


2.第三方协议


基于产品本地部署安排,出海企业可能会就产品运营事宜,与本地或境外技术运维或者内容服务提供商、软硬件支持方等上游企业进行合作,也可能就产品实际推广及落地服务事宜,与代理商或者具体客户等下游单位签订合作协议。针对与上述上下游企业的合作协议的管理,尽管多数情况下本地执法机关不会具体审查协议内容,但就数据合规层面的责任义务约定,将影响产品本地服务的正常运营开展,以及一旦发生数据安全事件时的责任分配问题,对于预先保障出海企业的数据管理合法利益,追究他方的违约责任,具有关键意义。


为此,我们建议出海企业在处理与第三方的合作协议时,重点关注如下层面的条款;如存在条款缺失的,可通过补充签署数据处理协议等形式进行合规完善。

点击图片查看大图


3.数据本地化和数据出境


针对数据本地化(即要求在境内收集处理的全部或特定类别的个人信息需在境内存储)及对数据出境的限制,实际上是各国或地区在网络空间主权、数据资源管控与数据流动带来的经济效益之间的权衡考虑。整体而言,目前主流国家或地区对此的管控举措,可分为如下三类:


(1)明确要求数据本地化且对数据出境进行条件限制的


代表国家为俄罗斯。根据《俄罗斯联邦个人数据法》要求,运营商收集个人数据(包括使用互联网手段)时,需要保证使用位于俄罗斯境内的数据库,对俄罗斯公民的个人信息进行收集处理活动。对于此类国家或地区,出海企业应严格按照本地法规要求,部署或者租赁本地数据库或服务器,做好数据本地化存储;如有必要进行数据出境处理的,遵照当地要求做好备案申报(行政措施层面,如有)、合作协议责任约定(民事责任层面)等应对措施。


(2)不要求数据本地化但对数据出境进行条件限制的


代表国家或地区为接受欧盟《一般数据保护条例》(“GDPR”)管辖的国家及地区(主要为EEA欧洲经济区国家),以及在立法上借鉴GDPR模式进行数据立法的国家或地区(例如泰国)。这类国家或地区尚未明确要求数据本地化,允许数据有条件地向域外提供。一般而言,限制条件包括:数据接收方所在国或地区被数据共享方所在国或地区的数据监管部门认定为”具备充分保护水平“,则可无限制传输;通过企业的具有约束力的内部规则来约束和实现集团企业间的数据流动;与数据接收方签订数据处理协议,由数据接收方承诺按照合同履行其数据保护义务。鉴于中国目前的实践情况,对于此类国家或地区,建议通过内部个人信息安全影响评估流程(Data Protection Impact Assessment, ”DPIA”),对数据出境的安全风险进行综合评估。经评估认定可推进数据出境的,通过与境外接收方签订数据处理协议的方式,厘清双方在数据出境合规及安全方面的责任义务。


(3)目前对于数据本地化及数据出境未作过多限制的


此类模式包括两种情形:一是现有制度体系并未限制数据存储及出境(代表国家为美国);二是已制定了数据出境的相关限制要求但未生效(代表地区为中国香港)。在此类模式下,数据可在相关国家或地区自由流通。


4.营销推送


营销推送,常以App内定向推送、营销短信、电话、邮件等形式呈现,系企业基于商业开发考虑所经常涉足的个人信息使用行为。因其与数据的经济价值直接相关,并直接影响用户的使用体验,容易引发用户投诉等情形,因此有不少国家或地区通过国内数据专项立法方式,对个人信息用于营销推送场景进行专门限制。综合来看,目前主流国家或地区,主要采用“opt-in”(以用户明示同意为推送服务开展前提)及“opt-out”(不以用户明示同意为前提,但需保障用户退出权利)的两种模式。两种模式的对应合规措施要求展示如下:

点击图片查看大图


5.个人信息主体行权


个人信息主体的权利保障,同样是目前不少国家或地区数据合规监管的重点关注对象。综合相关立法及执法情况来看,尽管各国或地区对于个人信息主体所拥有的权利内容存在差异,但在监管直接关注的用户必要权利、展现形式及内部响应机制方面,存在一定的共通性。我们理解,出海企业应尽量保证自身产品能够满足如下共通要求,在此基础上关注具体法域在用户权利内容方面的进一步要求。


  • 必要权利内容:个人信息查看、更正、删除的权利;撤回同意;获取个人信息副本;注销账户;投诉及反馈意见并获得积极响应。


  • 展现形式:支持用户通过移动互联产品界面实现上述权利;对于难以实现或者需要进一步验证的,可支持通过预留的联系方式实现。


  • 内部响应机制:出海企业内部应建立一套自用户反馈信息收集、转移至对应处理部门、及时处理并反馈用户的响应机制;对外载明反馈处理时间(一般不超过30日)。


6.数据内控管理机制


数据内控管理机制,包括数据合规专职机构及/或个人的设置、信息安全事件应急处理机制、数据安全管理制度体系等部分,尽管其更偏向后台管理,在直接监管风险上稍弱于上述其他层面,但作为组织管理的必要构成部分,其同样常见于主要国家及地区的数据保护立法中。


综合目前主要国家及地区对于数据内控管理机制的建设要求,我们理解,在合规应对层面,应至少满足如下要求,作为整体数据合规处理的有效制度支撑。


  • 专职机构及/或个人设置:出海企业应保证内部已建立负责数据合规事宜的专职机构(实体部门或者虚拟小组均可),能够实际处理内部数据合规日常咨询、用户行权请求处理及投诉应对、隐私政策及第三方数据处理协议的审阅及更新等工作。


  • 信息安全事件应急处理机制:出海企业应保证内部已搭建针对传统信息安全事件(安全漏洞、木马病毒攻击、数据泄露等)及个人信息安全事件(非法提供、个人信息大规模泄露等)的应急处理机制和预案;机制和预案应覆盖自事件发现、处理、上报、用户告知至后续总结及培训提升等全流程;保证日常有相应培训及演练活动。


  • 数据安全管理制度体系:出海企业应在申请办理ISO /IEC 27001 信息安全管理体系认证的基础上,参考ISO/IEC 27002及ISO/IEC 27701等关于个人信息合规处理及安全保护的最新国际标准的要求,构建、完善内部数据安全管理制度体系。

知识产权


1.软件平台的风险和对策


移动互联网的软件产品,如APP等,基本上都依托于iOS或者安卓等操作系统的软件平台(以下简称为“平台”)上架销售。在实践层面,平台在与企业沟通时一般都相对强势。面对可能发生的知识产权风险,平台一贯秉持谨慎态度,以免除自身责任为优先原则。而平台的这种态度,却往往导致“一刀切”的下架行为。即平台一旦接到软件可能涉嫌侵权的投诉,在双方长期争执不下时,可能会优先考虑下架“侵权产品”以迅速争取善意免责,往往忽视了针对侵权行为本身的分析判断。这种情况下,移动互联网产品可能因竞争对手的“恶意”投诉而被迫下架。


以iOS平台为例,权利人在平台投诉的程序非常简单,只需在苹果官网的“App Store Content Dispute”页面填写权利人姓名、涉嫌侵权软件的链接等基本信息,并简单描述争议问题,平台就会将权利人的联系方式、争议内容发送给被投诉软件的开发商,要求双方直接沟通解决争议。由于投诉程序简便,并且iOS平台本身不会轻易针对侵权做出评判,国外竞争对手恶意投诉软件、导致国内企业软件面临下架风险的情形时有发生。


以曾处理的类似案件举例。一家中国软件企业在iOS平台面向海外用户连续推出了几款广受欢迎的软件,下载量和销售量都很可观,并迅速攀升到同类软件下载排行榜的前列。该企业的海外竞争对手不断向iOS平台投诉,认为该企业软件产品侵犯了境外企业软件的知识产权。虽然双方软件的用户界面、显示效果等具有明显区别,但该海外企业持续致信iOS平台,要求iOS平台下架所谓的“侵权软件”。iOS平台接到投诉后,不会直接去判断事实和法律问题,而是将投诉内容、联系方式直接转发给中国企业,要求双方通过往来信函解决。所有信函均要抄送平台,平台会根据双方的往来确定责任,并进而决定是否采取下架的措施。


该企业之前并未有专业律师参与处理,导致对手投诉成功,平台下架其产品,导致巨额的损失。我们介入后,迅速对双方的软件进行了专业的比对和分析,并组成专业团队代为向iOS进行交涉与回复,最终取得了对方撤回投诉的结果。


本案带给我们的启示是,由于存在善意下架免责的原则,平台类似于居中裁判的角色,而双方的往来函件则像法庭上的主张和抗辩。平台往往会就往来信函所体现出的事实进行裁判,采取有关的“必要措施”。因此遇到平台投诉时,企业应对的积极程度以及专业程度则显得十分关键。出海企业需要有专门的预案和专业律师的支撑,才能最大限度的保护自身合法权益。


2.商标和著作权保护的问题


(1)  商标领域的常见法律风险


在商标领域,最常见的法律风险出现在商标申请阶段。随着企业知识产权保护意识的增强,许多移动互联网企业在产品投入市场之前,就同时开始准备境内和境外商标的申请注册事宜。许多企业认为,多数国家的商标申请流程相似,因此仅给出一套粗略的申请方案,就匆匆在各个国家提交了商标申请。这其中其实隐藏了重要的法律风险。事实上,每个国家的商标申请流程、所需文件、审查思路均有不同。在提交商标申请之前,如对当地法律实践缺少认识而匆匆提交申请,一方面可能会延误商标专用权的取得,另一方面企业在未来使用商标时可能会面临巨大的法律风险。


笔者以美国商标申请的实践为例,阐述中美商标申请的几点不同。首先,在中国,商标申请的提交流程比较简便,在提交商标申请时无需提供商标的使用证据。但在美国,如果商标申请不是以本国有效商标注册为基础的,那么在商标申请提交后短时间内,申请人就需要向美国专利商标局提交商标的使用证据。其次,中美两国商标申请在挑选指定商品时的思路不同。在中国提交商标申请时,出于扩大保护范围的考虑,企业往往会倾向于多选几项指定商品,或者多选几个与产品有关系的类别。但在美国提交商标申请,出于实际使用意图的考虑,我们反而会建议客户尽量选择与其产品具有最密切联系的指定商品。否则,在美国商标申请的后续程序中,即“提交商标使用证据”时,美国专利商标局会要求企业删除与产品联系不紧密的商品。第三,很多企业在提交商标申请之前,都希望在目标国家或地区的官方商标数据库中检索近似在先商标,以判断商标注册的可能性。但各国商标数据库的更新情况各不相同,中美审查员的社会经验、文化均具有差异,即使检索出可能近似的在先商标,我们也不能使用中国业内判断商标近似的思路来直接推断美国商标的近似性。第四,如发现企业的商标在美国遭遇抢注,在清除抢注商标时,中美在程序方面和实体方面均有较大差异。特别是美国商标异议案件的流程、判断思路、证据收集方式,均不能直接套用中国商标异议案件的经验。因此,当跨境移动互联网产品涉及商标相关的问题时,我们建议企业邀请专业的商标律师介入,根据当地实践给出具体的法律意见,一方面更高效地规避在先近似商标带来的法律风险,另一方面如遇商标被抢注的情况,商标律师能够给出符合当地实践的、更可行的应对策略。


(2)  著作权领域的常见法律风险


移动互联网企业的跨境产品中,有时部分画面、视频、角色设计等要素可能被域外主体主张侵犯他人著作权。许多域外企业在知识产权领域比较激进,可能会第一时间发出措辞强硬的律师函,或者要求平台立即下架中国企业的产品,对我国企业造成巨大的心理压力。但在实践中,许多行为是否真正构成“著作权侵权”实际上仍值得商榷。


首先,著作权法只保护“表达”,不保护“思想”,即“思想表达两分法”。以游戏软件为例,一家企业无法垄断一种游戏的玩法,因此不可能禁止他人使用不同的游戏画面组织同一种游戏玩法。例如,A公司拥有一款消除类游戏“宝石消除”,核心玩法是,玩家通过移动方格中的“宝石”,将三个或者更多的“宝石”连在一起,即完成消除,消除的宝石越多、越快,得分越高。B公司之后也推出一款相同玩法的消除类游戏“糖果连连”,玩家通过移动方格中的“糖果”,将三个或者更多的“糖果”连接,即完成消除。此外,“糖果连连”游戏中还设置了可以成片、成条地消除糖果的特殊道具,以及为游戏增添难度的、不易消除的特殊糖果。B公司的游戏“糖果连连”虽然在核心玩法上与A公司的“宝石消除”完全相同,但游戏画面、细节设置、事件触发后的动画效果、奖励机制等方面相差迥异。如A公司主张B公司的游戏侵犯了A公司的著作权,那么依据“思想表达两分法”,我们认为A公司的主张恐难成立。


另一方面,即使作品的部分内容确实涉嫌侵权,专业的知识产权律师能够针对涉嫌侵权的部分给出修改建议,提前规避侵权风险。


著作权侵权的考量因素相对复杂。不同法域中对侵权的判断因素各不相同。移动互联网企业如在跨境经营时遭遇他人主张著作权侵权,建议不要对对方律师函等法律文书置之不理,更不要贸然自行回复。企业应当委托专业的知识产权律师研究案情,分析获胜的可能性,并根据当地法律实践制定合理的应对策略,从而更好地维护自己的合法权利。


总结:


《礼记·中庸》:“凡事豫则立,不豫则废”。法律基于其地域性、多样性等特点,即使是同一种法律体系下的同一项制度,在实施执行层面仍会有千差万别。出海企业在关键产品和服务出境之前,应当做好功课,梳理形成通用、精炼的对策清单,提前识别核心风险;出海后如遇到法律纠纷,应当以积极的心态应对,建立本地化思维,找到最优解决方案。


近期,Facebook与美国联邦贸易委员会(FTC)就剑桥分析丑闻达成了50亿美元和解协议,此事件充分说明了企业在海外经营应当重视内部风控制度的建立和信息安全事件应急预案。对于出海企业而言,合规工作尽量避免“解渴”心态,而需要“未雨绸缪”的规划和“一以贯之”的决心。


新基建主题系列阅读

点击下列文章标题可查看原文

1. 《新基建主题系列——关注特高压及新能源项目的用地法律风险》

2. 《新基建主题系列——IDC行业有关运营和架构的法律考量》

3. 《“新基建”风口下投资新能源汽车充电桩项目的法律问题》

4. 《新基建主题系列——智能家居出海的八个数据保护关键词》

5. 《“新基建”投资背景下PPP-ICT项目交易结构设计要点》

6. 《新基建主题系列——数字金融的应用、监管及合规思考

7.  《新基建主题系列——人工智能之间达成“垄断协议”?算法合谋的反垄断法律风险分析

8.  《新基建主题系列——人工智能技术开发中的知识产权法律风险

9.  《新基建主题系列——大数据从何而来,涉足大数据业务需留意的网络爬虫技术合规风险》



The End


 作者简介

蔡鹏  律师


北京办公室  合伙人

业务领域:知识产权, 科技、电信与互联网, 合规/政府监管

闫莹  律师  


北京办公室  知识产权部

薛泽涵   


北京办公室  知识产权部

作者往期文章推荐:

《新基建主题系列——人工智能技术开发中的知识产权法律风险》

《不打无准备之仗——企业上市如何面对知识产权诉讼争议?(境外篇)》

《不打无准备之仗——企业上市如何应对知识产权诉讼争议?(境内篇)》

《当数据合规遇见资本市场:从墨迹IPO被否谈起 (下)》

《当数据合规遇见资本市场:从墨迹IPO被否谈起 (上)》

《证券基金公司网络安全与数据保护的合规指引》

特别声明:

以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。


如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

点击“阅读原文”,可查阅该专业文章官网版。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存