LCOUNCIL微总结丨数字经济赋能下,企业最大化利用数据信息价值实用指南
2019年5月29日,LCOUNCIL联合通力律师事务所,成功举办了“数字经济赋能下,实现企业数字信息利益最大化“Workshop,聚焦数字经济中,企业如何实现数字信息利益最大化全流程问题,特别邀请了通力律师事务所杨迅律师、潘永建律师、辜鸿鹄律师,分别从数据权利规范、合规体系建立、劳动雇佣三大维度进行分享。来自快消零售、医药医疗、TMT、汽车汽配、化工、房地产、教育、物流、金融等行业70余位法务同行齐聚一堂,共同探讨。LCOUNCIL现将三位律师分享内容精华总结如下,希望能给您带来帮助。
互联网和移动应用已经成为当前国民经济发展的主要推动力之一,传统行业也正逐步数字化转型,各大公司的数据合规工作正在如火如荼地进行中。数据被誉为除算法和算力以外,大数据公司的第三种重要资产。当前国内外数据安全事件频发,《网络安全法》配套法规更趋于完善,国家网办会在5月28日发布了《数据安全管理办法(征求意见稿)》,已实施一周年的GDPR要求企业承担更多的合规义务。
一切具备无形财产属性的信息应如何归属?
在现有的法律体系下,不能简单得出数据属于个人或某个实体所有的结论,对数据的占有和约定都可以是判断用益权利的依据。企业若想要充分利用数据信息的价值,就要预见信息利用时所面临的风险,做出前瞻性的风险防范工作。另外,企业要对所拥有的信息进行产权化改造,从模型到合理的信息保密和安全管理措施都必不可少。
数据在企业运营中无时不在,企业通过公开的方式,如蜘蛛技术、爬虫技术等,尽可能地获取更多的数据,借助对信息的分析和运用,从而获得竞争优势。
爬虫技术是否违法?
爬虫技术违法与否,不能一概而论,要根据个案进行分析,但原则上爬虫技术的使用并不违法。但是,必须遵守行业惯例,以及遵守从知识产权法到计算机信息安全规定的一系列限制。
如何保护信息的“产权”
企业对数据的财产权利的保护需要综合运用专利权、著作权、商业秘密的保护。除商业秘密之外,法院倾向于将通过一定投入和承担一定风险获得的信息作为一种财产性权益,以《反不正当竞争法》的原则来保护。
与“技术秘密”通过司法鉴定获取密点不同,企业需要尽可能明确数据“非公开”的密点,明确“占有的数据”与公开信息的边界,以求获得更及时有效的保护。
对于“窃取”数据的行为,可以考虑从“行为”(如入侵计算机系统)以及结果(如“搭便车效应”)着手,充分利用法律赋予的“取证责任倒置”减轻举证负担。
数据的流通
目前司法实践中,信息数据的转授权一般需要遵守“三重授权”原则,同时考虑基础数据权利人的利益和第一重信息收集人的利益。
同时,信息的流通将受到如下法律的限制:(1)国家秘密保护,(2)网络安全法下对CII以及重要数据的安全评估,(3)行政监管(包括:卫健委对人口健康信息的监管、遗产办对人类遗传资源的限制、证监会和人行对金融信息的监管等),(4)商业秘密保护的限制等
数据的处分
数据不仅可以自己使用,更可以对外许可或资本化,为企业创造更大的价值。这需要:
在收集时预见信息的用途;
在使用时建立合法的商业模式。
管理建议
企业都尽可能地保护已有的数据不被他人使用,如何构建完善的商业秘密保护制度也是当前数字经济下企业重点任务之一。
企业要关注其商业秘密中的风险点,并根据风险点建立健全商业秘密保护制度的相关措施。
企业在核心员工雇佣中,应在每个阶段都做好相应的秘密管理工作。入职前,要对员工做一定的背景调查,判断其是否存在限制其就业的竞业限制协议或是保密协议。还要判断其是否有重大违纪或者信用问题等;雇佣期间,要对其工作绩效有明确的考核标准,同时,企业应对其可能涉及或接触到的商业秘密加以保护;当员工准备离职时,企业在对其就业去向进行调查外,还要注重脱密期间的应对措施;在员工离职后,若是决定实施竞业限制协议或是保密协议,要对相关协议的实施进行相应地部署和安排。
当离职员工造成了商业秘密泄露,企业在处理商业秘密带来的争议纠纷,以及产生不利影响后应如何追责等问题时,法务部门应当做好全面地分析,选定最优的诉讼策略。另外,企业在处理商业秘密侵权案件时,应当明白法官在审理时的想法。如:
明确受保护商业秘密的内容
审核商业秘密的构成要件
秘密性、价值性和采取保密措施
认定商业秘密侵权行为
信息相同或者实质相同 + 侵权人存在接触 - 合法取得(反向工程、客户信赖、自愿交易等)
举证责任的分配
确定损害赔偿额
实际损失 / 侵权获利 / 法定数额内自由裁量
数据的价值之一就是其的流动性,数据共享、转让、交易等,无不体现其价值所在。企业在进行内部数据合规体系搭建过程中,要处理好隐私与权属保护与大数据商用,安全审查与跨国界自由流动,数字经济竞争与大数据垄断之间三对矛盾。
大数据应用领域的不断丰富,企业在数据竞争中的垄断问题接踵而来。大数据在运用中,其价值密度低,但商业价值极高,同时企业投入成本也极高。大数据企业竞争中,常见的如“平台二选一”垄断风险外,企业还面临着:安全性问题,侵犯隐私,损害交易公平与自由;对数据盲目依赖,脱离实际,丧失理性思维和决策能力;数据流动受限,造成数据资源浪费,阻碍技术创新等大数据垄断风险。
大数据对于企业竞争的影响并非是单一的,而是包括了两方面的影响:
企业合规五步经验法
企业应根据大方向判断:公司主营业务所在行业,并逐步进行自查和合规工作部署。
第一步:网安数据合规自查
对企业IT 系统、软件、供应商进行盘点自查;对网安实践情况、数据情况进行盘点自查。企业收集、生成、处理、存储的信息类型包括:国家秘密、情报、个人信息、重要数据等。
第二步:等级保护测评
企业应对照网络安全等级保护基本要求进行相应的整改。
第三步:CII自评 【与主管部门的沟通】
第四步:信息主体的同意 / 重要数据的来源
在收集信息时,应征得信息主体的同意,收集同意的方式包括:明示、默示;移转同意的范围包括:接收方、移转方式等。另外,重要数据的来源应保证其合法性。
第五步:境外输出评估
关于信息境外输出应对其输出的必要性和目的进行分析,要分析输出数据的定性和定量。输出的方式包括:主动或被动、线上或线下、自主输出或第三方输出。数据在输出的过程中,应确保数据转移中,个人信息不被个人信息获得者之外的任何个人、组织和机构所获知。
基于数据元的全生命周期管控需求
同行互动
Q:我们作为集团在上海的总公司,需要将我们与客户签订的合同都传输到在外国的总部,那这种情况下侵犯了客户的数据保护或其他权利?
A:首先看与客户之间签订的合同是否属于双方的商业秘密,如果是商业秘密的话,未经对方许可不得披露给第三方,一般而言我们会在合同里约定,为了履行合同目的可以进行有限的披露,那么如果属于自己关联公司,为了履行合同或管理合同目的进行的披露,如果是必要的,可以落入这个范围之内。
其次,这个合同是与公司签的,不牵扯到个人信息,那么就与个人信息出境的管制没有关系,也不需要知情同意或者数据出境的安全生产。
对于一些金融、技术类的合同,我们需要看这个协议及附件里边有没有包含重要数据,就是公共利益有重大影响的,或者国家秘密,也就是对国家里有重大影响的数据和信息,如果有的话当然会受到限制,但一般的合同牵涉到的可能性比较小。
Q:如果在中国境内自行研发的实验数据和成果(生物医药方面)上传到(境外)服务期给投资人看,是否存在风险?如果此类实验数据和分析报告有风险的话,一般实践中有什么方式提供给投资人看呢?投资人可能境内外都有的,国籍也是。
A:脱离具体的应用场景(数据传输者是谁,数据到底包含哪些类型、数据数量等因素),无法给出具体的建议。简言之,特定主体有特定的义务(包括但不限于CIIO),特定数据(国家秘密+国家情报+重要数据+其他特殊数据)等会受限。如需要具体意见,需要提供具体场景因素后加以分析。
随着数字经济规模的持续增长,国内外数据安全事件频发,《网络安全法》配套法规更趋于完善,企业数据合规体系搭建任重道远。LCOUNCIL与通力律师事务也将持续关注企业数据合规,希望能为LCOUNCIL平台会员企业提供更多业态最新信息与实务经验的分享。
最新活动
精彩回顾