杭律说|蔡天啸:数据合规热下的冷思考——一名新人律师的执业观察
背
景
近年来,随着《网络安全法》《数字安全法》和《个人信息保护法》的陆续出台和生效,数据合规(data compliance)一词成为一个炙手可热的概念。时至今日,《个人信息保护法》生效已届一年,越来越多的律师都加入到了数据合规业务的潮流中,同时越来越多的律所也都开设了专门的数据合规委员会,大有铺天盖地之势。而关于数据合规的内涵和外延是什么,数据合规业务是否具有市场空间,又是否值得年轻律师进入,还有传统法学的教义学内核是否会被颠覆等等问题都值得我们年轻律师思考。作为一名新人律师,笔者认为,对于当下的数据合规热,是否追逐潮流和热点应当因人而异。本文即尝试对数据合规热下的一些疑惑进行粗浅的分析,以期给读者提供一些思考。
数据合规,顾名思义,就是企业在日常的经营过程中必须要遵守的与数据相关的所有规则,目的是防止数据被丢失、盗窃和滥用,以及维护数据主体合法权益。
按照我国《数据安全法》第三条,数据是指任何以电子或者其他方式对信息的记录。可知数据的重点在于记录信息,对应地,“数据合规”本身的内涵就是以数据为中心展开的。但是,如果以非常狭义的方式去看待“数据合规”,可能会与实际产生一定的偏差。综合法学研究和法律实践来看,“数据合规”的外延是比较宽广的,不仅仅是传统意义上的“数据”业务,还包括了较早作为单独学科的“网络法”业务以及隐私保护领域业务。
图一 数据合规的内涵与外延
从一个新人律师的角度来看,数据合规的法律业务确实存在巨大的市场空间。
首先,不论是我国信息基础设施的建设规模还是建设速度,或者是信息技术的创新和应用能力,我国和我国的企业都在全国处于世界领先的位置。2022年7月,中国信息通信研究院发布《中国数字经济发展报告(2022年)》,报告显示我国数字经济规模在2021年达到了45.5亿万元,同比名义增长16.2%,数字经济在国民经济中的地位更加稳固、支撑作用也更加明显。数字经济作为国民经济“稳定器”和“加速器”的作用更加凸显,产业数字化成为数字经济发展的主引擎。当然,如此体量的市场自然离不开法律的支撑和保障。
其次,数据合规业务是符合世界潮流与我国国家政策的。随着网络信息技术的高速发展,互联网或者移动互联网与我们的日常生活和学习日渐紧密,几乎每个人都离不开手机、APP等移动终端,也几乎每时每刻都连接着互联网,数据、信息和个人信息也都充斥着互联网的角角落落。因此,无论是企业的数据,抑或是个人信息和个人隐私,都处于暴露的风险之中。在这一时代背景下,世界各国或地区都纷纷进行了个人信息保护或数据合规方面的立法。据不完全统计,截至2020年12月,全世界232个国家或地区中,共有145个国家或地区颁布了数据保护法、个人信息保护法或数据隐私保护方面的法律。其中,仅在2019年至2020年这一年中,颁布相关法案的国家或地区的数量就从132个增加到145个。
紧跟国际的潮流,我国也已经建立起了《网络安全法》《数据保护法》和《个人信息保护法》三部法律为核心的数据保护体系。除了《民法典》《刑法》等基本法律,行政法规、司法解释,还有各种标准文件也在数据保护的体系中扮演着非常重要的角色。当企业面对日新月异的法律规范要求,需要有人替他们把握最新的方向。这时候,精通各种法律法规的律师就成了不二人选。
当然,数据合规的业务形态还是立足于企业在完善数据处理和数据安全方面的问题。核心的内容包括对企业数据风险进行识别以及整改,通常的方式为对企业进行尽职调查从而识别企业目前存在的合规风险;还包括企业数据合规体系的搭建,帮助企业建立、完善成套的数据合规机制,从企业自身业务的管理和运营出发,配合人员和监督等方面的制度搭建有效的合规体系;另外,评估也是数据合规业务中比较常见的形态,如协助企业进行个人信息保护影响评估、数据跨境风险评估等;最后,常见的方式还有数据合规专项,如App数据合规专项、法律法规培训等。
由于数据合规政策日新月异以及与信息技术高度融合的特点,对于选择数据合规业务作为主要业务的律师来说,有几项能力就尤为重要了。
首先,数据合规律师应当有高度的行业政策敏感性。就拿最近更新的数据出境政策来说,从最早的“数据出境”都没有规范文件定义到现在出现官方的数据出境申报通道就只有几个月的时间。其他数据合规细分领域的规范更新亦是如此。数据合规律师需要时刻保持对行业的新鲜感和敏感性,及时更新自己的知识库,才能更得上政策抑或是技术的快速变化。
其次,规范研究的能力也是必备之一。一方面,数据或信息方面的法律规范日渐完善,带来的是大量实操细节仍然有待商榷,这就需要律师以自己的经验结合实务来进行专业的判断;另一方面,目前大量域外法也是高歌猛进,数据合规本身也是“舶来品”,域外的许多制度和实践经验不仅对于我国目前的立法有借鉴的意义,对于很多空白领域的实操也具有指导的作用。
再次,与人沟通交流的能力也十分重要。作为一名数据合规律师,沟通交流的能力在很多情况下甚至比前两项更为重要。当数据合规律师介入公司内部进行数据合规整改的时候,律师往往需要在公司法务、公司业务部门以及公司技术部门之间充当“缓冲剂”。如果没有良好的沟通技巧,很多问题会卡在各个部门之间,项目也就无法正常开展。
最后,数据合规律师还得懂点技术。归根到底,数据合规的出现是由于技术的急速升级与现有规制方式之间存在落差。当市场上出现一个新事物的时候,数据合规律师需要根据现行规范或者专业经验对其可能存在的问题进行分析。另外,如果数据合规律师不懂技术,在做项目的时候可能会陷入茫然无措的状态。NFT(非同质化代币,即Non-Fungible Token)、Web3.0、暗黑模式……这些最新涌现出的技术应用或者概念在传统行业的律师看来或许比较遥远,但对于数据合规律师来说,这些概念是极有可能在开展项目或者客户商谈过程中实际碰到的,不懂点基本的技术常识,可能无法与客户进行良好沟通,甚至无法开展项目。
尽管数据合规带来了许多新鲜的概念和工具,但是不可否认,数据合规并没有改变传统法学的教义学内核。以NFT侵权第一案为例,原告律师需要依据现行法律规范对NFT的性质进行界定,至少要论证NFT作品是当事人的合法权利,在此基础上才可以讨论侵权与否的问题。该案件中,原告律师提出,原告方奇策公司与“胖虎”系列作品的作者马千里签署了《著作权授权许可使用合同》,约定了奇策公司对该系列作品在全球范围内独占的著作权财产性权利及维权权利,而被告某科技公司平台上发布的NFT作品不仅与原作作者的插图完全一致,甚至右下角还带有原作作者的水印。原告律师还基于NFT数字作品的特征提出,NFT作品一旦被铸造就难以像传统互联网信息一样易于处理,而被告作为专业的NFT平台,理应对该类数字作品负有更高的知识产权保护义务。最终,杭州互联网法院基于NFT作品的权属以及侵权的事实作出了支持原告方的判决。从以上案例中,我们不难看出,虽然NFT是近些年的新生事物,但是传统法教义学的思维方式仍然是本案律师采用的核心方法——从NFT法律概念的界定到NFT作品的特征,从NFT平台的平台责任到侵权责任的构成,无一不在法教义学的范畴之中。
同时,我们也应该看到,新的业务形态不代表颠覆传统,传统法学分析方法在法律实践中具有不可替代的地位。“法无解释不得适用”,无论业务形态发生何种变化,法律的适用问题都会一直存在,只不过是解释空间的大小问题罢了。具体而言,非诉项目的数据合规专项需要对监管文件进行解读,以求得实操中的重点和底线,而诉讼项目则非常依赖律师对于请求权基础分析方法的展开,“目光在规范与事实之间往返流转”,将具有法律意义的案件事实归入到法律条文所描述的构成要件事实当中。这一系列的法学分析方法,不仅适用于传统法律业务,在数据合规领域皆然。
可以预见,数字化和信息化的浪潮一定会在今后的生活和业务开展中占据非常重要的一席之地,数据合规的业务也会在律师行业的发展过程中有着举足轻重的地位。数据合规业务固然处在当红的状态,但年轻律师应当有自己的“冷”思考,是否追逐时下的热点需要因人而异。每个律师有不同的教育背景、知识结构、个性特征、兴趣爱好、特长专长以及资源结构等。律师行业的生态是多样化的,年轻律师的执业方向选择也应当是多样化的。每个年轻律师在面对一个“前景广阔”的业务方向的时候,都应该秉持一颗冷静且理性的心,基于自己的个人特色,科学合理、坚定地选择方向。否则,年轻律师容易陷入不断追逐热点,从而导致自己没有擅长的领域和专业方向,“一直在路上”这样的状态。
主动学习和及时接触最新最热的热点业务固然是年轻律师应有的态度,但是以一名优秀的专业律师为目标,更应当秉持理性科学的精神,冷静思考,坚定选择合适自己的方向,方能有所成就。
欢迎大家踊跃投稿,邮箱:hzlxdwb@hzlawyer.net
· 此文系作者个人观点,不代表杭州市律师协会立场 ·
杭州律协 原创发布
来源丨浙江京衡律师事务所 蔡天啸