随着云计算、大数据和人工智能技术的飞速发展，既往的运营和商业模式正在不断被颠覆，而企业数字化转型已经逐步迈向了更深层次的阶段。

在安拓平台上也有这样一位律师，与众多高科技生态圈的业务合作伙伴一起探索新技术新商业模式中的新合规模式，为多家出海企业把控出海数据合规风险，她就是陈国彧(yù)律师。

陈国彧律师先后在大成、海华永泰等知名律所担任合伙人，2019年加入德和衡律师事务所担任高级联席合伙人。陈律师在一家头部通信公司工作的时候就一直非常关注网络安全领域。

“当时我在通信技术行业，非常明显地能感受到各国对于网络和通信安全问题地重视，它不仅关系到个人隐私，还涉及国家安全问题。国际形势的波云诡谲，让通信公司以及其他出海企业都不敢在网络安全问题上越雷池一步。

同时，国内外相关个人信息保护法规的相继出台，使得各企业开始重视和保护个人数据，比如：《刑法》修正案九“侵犯公民个人信息罪”、《中华人民共和国网络安全法》、《个人信息安全规范》、欧盟的GDPR、美国的CCPA。“

今日，安拓特别专访陈国彧律师，与大家共同分享目前企业的数字化转型进程与高科技新技术下的数据合规风险。

“仅仅投资技术并不能让企业实现数字化转型”

Q1

无论是业务线上化还是“互联网+”的开展，如今数字化转型对企业来说都不陌生。那么在您看来，企业数字化转型的现状如何？从您接触到的众多企业当中，您看到的未来是怎样的？

陈国彧律师：随着云计算、大数据和人工智能技术的飞速发展，越来越多繁重的体力甚至脑力工作被智能机器所替代，既往的运营和商业模式正在不断被颠覆。目前数字化转型已经成为全球企业的共识，根据互联网数据中心（IDC）的预测，企业直接用于数字化转型的投入在2020-2034年间将达到17.5%的年复合增长率。 

目前企业数字化转型已经进入了更加深层次的阶段，仅仅投资技术并不能让企业实现转型，企业领导者必须了解企业、市场、社会和经济之间的复杂相互作用。企业内部必须连接自身组织和员工，解决数字化问题，提升效率；外部必须连接上下游的合作伙伴，解决产业互联中的业务在线、数据采集等问题；同时企业需要利用新的技术和算法模型将获得的数据进行归类、分析、总结和应用，集合成数字资产；再次，企业通过对内外数据的深层次分析获取新的商业机会，再通过智能分析技术，构建不同领域的数据模型实现数据可视化，优化企业的商业决策。

Q2

数字时代下 ，虽然各行各业进程不同，但基本上许多企业都在进行数字化转型过程中，我们也访谈过来自企业的法务合规人员，他们普遍认为数字化转型是一直正在进行并且不断推进的日常工作，那您觉得在这个过程中需要注意哪些合规风险？

陈国彧律师：首先，企业在进行数字化转型的过程中需要平衡商业需求和合规要求之间的关系，在收集用户数据进行分析的时候，需要遵循最小化原则，在告知用户使用目的之后，只取实现这一目的必要的数据进行处理；

其次，企业需要熟悉国内外关于数据合规的法律法规，如中国的《网络安全法》，欧洲的GDPR等，保证自己企业在运营过程中遵循法律的要求；

再次，数据的控制者（Date Controller）和处理者(Data Processor)均需要遵循数据保护要求，这就要求当企业将收集到的用户信息交于第三方处理或与第三方共享的时候，需要明确提示数据保护的要求，要求第三方做到合法合规。

人物

陈国彧 北京德和衡（上海）律师事务所 高级联席合伙人

“与高科技生态圈的业务合作伙伴持续探索，有幸也充满挑战！”

Q3

现在智能产品、智能家居非常火热，我们了解到您也处理了很多科技企业的案子，您觉得这类企业、厂商需要特别注意哪些数据合规的相关法律风险？

陈国彧律师：首先，现在的智能产品、家居会收集到很多用户的个人信息，如用户的家庭住址、手机号码、照片等。这类产品甚至会收集到很多用户敏感信息，例如健身手环可能会收集到使用者的健康信息。厂商必须确保在获取这类信息之前，向用户告知了使用目的并取得了用户的书面同意。针对敏感信息，厂商还应当用技术手段对数据进行脱敏处理。

其次，这类厂商经常会用统一的格式条款来获得用户的授权，一方面，用户是否真的知晓了条款内容，做出真实的同意尚未可知，简单的勾选“我已阅读并同意隐私条款”并不必然的构成数据主体有效的同意。另一方面这些条款往往会要求用户授权其收集很多本不必要收集的信息，违反了“最小化”原则，可能会给企业招致数据合规风险。

“客户在哪里，我们的服务就延伸到哪里。”

Q4

为许多高科技公司提供法律服务，是不是会经常遇到一些比较前沿的法律问题？会不会觉得有压力或者很有挑战？ 

我们与高科技生态圈的业务合作伙伴持续努力，探索新技术新商业模式的新合规模式。一方面非常有幸能与这个行业世界级的顶尖科学家和商业伙伴保持业务交流例如金融科技、网络安全、人工智能、物联网、生物医疗等等，每个话题抛出来都是行业热点；另一方面我们也需要不断学习最新的前沿技术原理、商业逻辑和技术伦理以及最新的法律规定，这对我们无疑是个挑战。

我一直相信挑战与机遇并存的，克服挑战没有其他捷径可走，你只有脚踏实地的去研究、分析每个行业，了解每个公司的产品、业务模式，才能提出解决方案、降低或者规避风险，为客户创造法律服务的价值。

比如我们团队近期服务的客户华大基因，作为生物医疗行业的佼佼者，要了解公司产品出海风险、业务模式，必须实地对接产品经理、研发人员，进行一轮又一轮的尽调访谈，才能真正落地法律服务方案，为客户创造新的价值。虽然在疫情期间，要严格遵守各地的防控措施，但是团队成员都克服了各种困难，在确保自身健康的前提下，保质保量如期完成了工作，获得客户的认可。

综合而言，我们认为中国企业出海风险大致可以分为以下七个方面（供参考）：

1、海外数据保护机构的调查与处罚

2、海外集体诉讼

3、中国政府的监管与处罚（例如瑞幸事件证监会的跟进）

4、数据泄露事件

5、来自客户的网络安全与数据保护审计（如审计条款出现主要问题，将会产生巨额损失）

6、上市公司的信息披露风险责任

7、董监高的个人责任

客户在哪里，我们的服务就延伸到哪里。法律服务必须落地为客户解决实际问题，并如期达到客户的商业目的。

Q5

目前中国企业出海大环境越来越严峻，世界各国对于个人隐私的保护以及数据出境都非常重视，您也协助过多家中国企业进行出海数据合规的工作，您觉得企业应当更加重视哪方面内容？

陈国彧律师：

中国企业数据隐私出海，不仅需要注意中国自身的法律法规合规（包括国家和地方层面的，甚至于技术规范等）。同时，中国企业需要关注“出海国”乃至其周边法律渊源和法治历史相似的国家。在这方面，走的靠前的代表有欧盟《一般数据保护条例（GDPR）》、美国《加州消费者隐私法案》（CCPA），这两个“高度保护代表性”隐私法律为各国法律的隐私立法设立高标杆，因此中国企业对此应当尤为重视。但是这两部法律侧重各有不同。

中国企业出海合规，具体而言，第一，必须重视消费者个人信息安全和隐私保护问题；第二，比须建立符合法律体系监管消费者数据隐私保护的组织架构；第三，必须采取合理必要的技术安全和法律合规措施切实保护消费者隐私；第四，通过技术和法律两方面审计数据合规。