查看原文
其他

合规季 | 对话崔俊蓉:唤醒“沉睡的数据”,用法律规则拓宽企业商业价值

中联重庆 中联重庆 2023-08-25


Q:“数据合规”对大多数人来说是一个相对陌生的话题。在讨论“数据合规”之前,一个“前置性”的问题需要厘清,对企业而言,数据本身的价值是什么?

A:是的,“数据合规”并不仅仅是一个法律问题。我们在与客户交流的过程中,客户最关心的问题就是:对我而言,数据究竟有什么价值;为什么要做数据合规?


这很好理解。如果一个东西本身没有价值,或者其价值与将要付出的成本不匹配,也就没有关注的意义。


前不久,我们的数据合规团队受重庆百货大楼股份有限公司委托,为其数据合规项目落地提供法律服务。目标是帮助其加快实现数字转型步伐。


以百货公司为例,数据的价值是什么?到商场购物的顾客、会员就是流量。流量沉淀下来就是数据。百货公司的数字转型,并非只是单纯地开发一个网站、一款移动端应用或者小程序,从实体店转到线上销售;也不仅是消费场景的转移,而是消费习惯与依赖的二次培养;同时还需要关注线下线上不同场景、公域私域不同视域的相互导流,以维系顾客的持续选择。其中对顾客消费数据进行收集、存储、处理和分析,掌握不同类型顾客的消费需求并进行大数据分析,以实现精准营销提高服务体验感,更是在充分竞争的“新零售时代”不可小觑的环节。以此为基础,才能打造全新线上购物平台,实现到店和到家全场景的移动购物体验,构筑起线上线下融合发展的新零售模式。这就是数据赋予企业的新商业价值。


在网络信息和数字经济时代,流量就是现金流,数据就是“新石油”。现实中,许多线下企业拥有大量“沉睡的数据”。为什么是“沉睡”的,因为数据没有被充分利用起来,数据的价值没有被开发出来。未来,数据作为关键生产要素,数据权益可以进行评估;贵阳、上海已经建立大数据市场,针对脱敏数据可以进行交易流通。


Q:数据成为一种“资产”,但又是无形的,怎样界定?

A:现阶段在立法层面还没有确立数据资产的概念,因为资产具有独占性,不便于流通。但司法判例中已经提出数据权益的概念。


数据权益的界定和实物不同。比如一本台历,制作花费多少人工、材料成本,可以清楚地计算。而数据的价值在于使用,如何使用,需要以是否合法合规作为判断的标尺。因此可以说,合规是数据权益的底层逻辑。


我们要帮助客户搭建数据权益的边界,最基础的就是数据“来和去”的合规。反映在ToC端,就涉及个人信息和隐私保护。比如企业的会员体系,收集会员个人信息是否经过授权。


反映在ToB端,比如企业之间合作,以前交付的都是实物资产,现在交付的可能是信息,是否在授权范围内使用和传输这些信息。


举个例子。我们在网上购物,货物运输商家委托给第三方物流公司。要完成运输,就要提供收货方的地址信息。如果没有征得消费者同意就把送达地址开放给第三方物流公司,就涉嫌违法。商家的想法可能很朴素,运输当然要提供地址信息给物流公司,我没有从中获利。但对于第三方而言,这些信息沉淀到一定规模,是可以转卖获利的。届时,不管是获利方还是导出数据一方,都面临违法风险,甚至承担刑事责任。


未来,随着公众法治意识和维权意识的增强,相关公益诉讼会越来越多。因此,越是大型互联网平台公司,越是看重数据合规。最近我去字节跳动交流,他们投入大量人力物力在数据合规领域,正是对风险的未雨绸缪。


Q:针对数据合规,目前主要有哪些法律法规来监管?

A:数字经济、数据权益是互联网行业发展的产物。回顾中国互联网行业监管发展的历程,大致有三个阶段。


1994年至2000年,中国互联网从无到有并逐渐普及,这是一个野蛮生长的阶段。1994年颁布的《计算机信息系统安全保护条例》是第一个带有互联网性质的行政法规,这是中国互联网立法的1.0时代。


2000年至2012年,互联网深入社会经济各个方面,标志性的互联网企业在这个阶段崛起。2.0时代的互联网立法带有明显的部门特征,出台大量部门规章和技术规范,主要解决的问题涉及互联网新闻信息、营业场所、视听节目等。


2012年至今,互联网发展到一定阶段需要规范。这个阶段新的监管政策与法律法规不断完善,并构建起以国家立法层面“三驾马车”为主要架构的法律监管体系。“三驾马车”包括:2017年6月1日实施的《网络安全法》;2021年9月1日实施的《数据安全法》;同年11月1日实施的《个人信息保护法》。目前,我们正身处这个以“合规”为主题的3.0时代。


《个人信息保护法》明确了个人信息处理的基本原则、合法性基础、主体权利等法律义务。而《数据安全法》重点关注数据安全保障制度,尤其是数据跨境流动的监管制度。企业数据处理过程中应遵守的法律义务也来源于此。


Q:具体来说,数据合规,律师能为企业做什么?

A:概括来讲,律师做的主要包括两方面:一是确保数据“来与去”的合规性。二是帮助企业打造自己的“护城河”,哪些数据是我享有权益的,防止别人侵犯,其实也是赋予企业数据价值。


以重百的数据合规专项服务为例。我们针对重百股份项下几大核心业态百货、超市、电器、汽贸所涉及的个人信息保护与数据应用问题进行全面尽调,针对不同场景与数据应用的流转链条予以合规差距分析,出具合规建议分析,并协助公司在管理架构、制度建设、程序优化、文本设计等方面落地合规治理。合规治理的最终目的是要赋能。数据是要拿来使用的,通过建立数据合规的体系,建立数据互通的标准和统一接口,确保各个核心业态之间的赋能。


未来,企业数据沉淀得越多,交换流通得越多,合规风险点也会越多。比如现在国家对数据安全很重视,数据出境备受关注。我们上海办公室接受的客户咨询中大多数都涉及数据出境问题。我们在重庆的客户同样有这方面的需求。


企业间涉及数据权益的争议也在逐步增多。数据权益不像车、房这类实体财产,简单明了,你可以拿出产权证来证明所有权,而必须通过其他依据来证明。许多客户对数据权益的认知存在误解,认为数据权益属于技术而非法律范畴。但技术也有法律属性,这样做是否合规,有没有法律风险。不能总是当侵权发生时才考虑如何证明权属。现在我们会提醒客户,已经出现大量类似争议的案例,要以前置的视角,从源头厘清数据权益。


举个例子,比如某外卖平台,送餐后消费者会留下评价。如果其他平台将这些评价抓取到自己的页面上,是否属于不正当竞争。有人可能会说,评价是消费者共同贡献的数据,凭什么说就是属于你的。在杭州互联网法院公布的某年度十大经典案例中,就有反不正当竞争这一类型。裁判观点认为,数据沉淀在商家处,商家对数据投入了团队、算法、精力,以此界定其享有数据权益,其他人擅自使用就构成侵权和不正当竞争。对此我们可以概括为四大原则:来源的合法性,投入人力物力,能够呈现出来,是有价值的。


Q:就像我们一开始讨论的,数据合规并不仅仅是法律问题,其实也是企业商业价值的拓宽?

A:对,前面已经提到,许多线下企业拥有存量数据,但或者没有加以利用,或者对数据的精准分析和使用意识不足,很有些暴殄天物的意思。“互联网+”是传统企业的转型选择,数字经济已经渗透进社会生活的方方面面,不断迭代的数字技术正在催生新的商业模式。而数据合规,就是用法律语言对话技术规则,就是一个借用法律规则搭建并拓宽企业商业价值的创新机遇。


尤其是传统行业的线上转型。我们以物业公司为例,未来的营收空间并不局限于收取物管费、停车费这样的常规项目,而是可以依托庞大的业主资源开拓商业合作。业主资源就是物业公司的流量,通过分析业主数据可以匹配精准营销,对第三方商业合作极具吸引力。


当然,利用数据对外开展第三方合作,这其中会大量涉及到个人信息与隐私保护的问题,即导流相关数据需要进行匿名化、去标识化等脱敏处理,以及数据使用的合规性问题。近期,业主个人信息保护类纠纷诉讼频发,因业主个人信息处理不合规给企业造成的损失与“创伤”值得警示。而这些纠纷的出现也提示我们,在处理业主个人信息保护类纠纷方面,物业服务企业不仅要在企业内部通过强化管理来加强业主个人信息的保护;而且要从顶层设计出发,提升自身的信息安全保护意识,规范外部合作,并注意控制物业服务全过程中的各个风险点。如此才能更好地利用“数据”这把利器,在依法合规的框架下,最大化拓宽物业企业的外部商业价值。


Q:数据合规是互联网法律服务的一个新兴板块,与传统法律服务相比,对律师会有哪些不同的要求?

A:我们都知道,互联网技术的更新迭代很快,与之相比,法律是相对滞后的。互联网法律服务需要综合性的知识与素养,民商事、刑事都要涉猎;还要了解技术,了解技术使用者的语言,这是法律与技术的对话。同时,要把握前沿理论和监管实务。我们正在筹备与政法院校、网信办和知识产权局等机构联合举办主题沙龙。了解实务中监管部门的管理思路,才能帮助企业与时俱进地探求行为边界。




- THE END -






“合规季”精彩回顾

“刑辩季”全季精彩回顾

“重整季”全季精彩回顾




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存