一文讲清|数据合规法律尽职调查的全流程与合规要点

前言

     在2021年之前，很多企业和个人对数据合规的概念非常模糊不清，只要不严重侵犯隐私、不贩卖个人信息就是合法合规的。比如说，“你要用我的APP，我要收集什么就收集什么，你还不能拒绝，如果你拒绝那连浏览我产品的界面都不可以”；“作为员工，你想请育儿假，你就必须提供孩子出生医学证明；你想请丧假，就必须提供死亡证明”。大家都已经形成了一种思维定势，只要我不泄露信息，我怎么收集都没关系，公众为了便利，也不会计较。

      但是自从2021年以来，国家相继出台了数据合规领域的“三驾马车”（即网安法、数安法及个保法），以及前几天网信办对滴滴数据安全事件重锤80.26亿元，个人信息的保护已经从被动防御的隐私权时代进入了主动支配的个人信息权时代，数据安全问题也上升到了国家安全的高度。数据已成为数字经济时代的基础性资源、国家的战略性资源，社会的重要生产力。

      无论是准备上市的企业、外资企业、跨境企业、国有企业，还是投融资并购中企业，数据合规审查已经逐步成为必须审核的内容，企业在数据处理活动的全流程中都应当符合“数据三法”及《刑法》等相关法律法规的规定，一旦发现不合规的情况，除了面临巨额罚款，还可能涉嫌“出售、非法提供公民个人信息罪”及“非法获取公民个人信息罪”。

      因此，企业搭建数据合规体系已迫在眉睫，而搭建该体系的第一步就是请专业律师介入开展数据合规尽职调查。数据合规法律尽职调查侧重于企业的数据处理活动和数据安全管理体系。在调查方式上，主要包括查阅文件、调查问卷、访谈、走访、公开网络检索、产品体验、与第三方测评机构合作等手段。下文将结合本团队的实践介绍数据合规法律尽职调查的常规流程与关注要点。

一、企业的业务情况

（1）企业的业务资质、业务模式、  业务流程

       数据合规尽职调查首先要弄清楚调查对象的行业属性，是专门从事数据处理活动的企业，还是业务中包含大量数据处理的电信、教育、医疗、酒店、金融、科技型等企业，或者仅一般性涉及数据处理的工业企业、能源企业等，区分的意义在于精准匹配相应的法律规定，尤其是针对特殊行业制定的专门规范。

      根据《电信业务分类目录（2015年版）常见问题解答》，如果企业提供的相关服务，属于经营《电信业务分类目录（2015年版）》规定的电信业务的，应依法申请相应电信业务经营业务许可。除可能涉及上述电信行业的准入之外，根据企业提供服务所涉及的不同行业，比如游戏、医疗咨询、网络视频等，还需要根据行业主管部门的要求办理相应准入资质。

（2）企业与其客户、供应商和其他合作方的合作模式

      企业与其客户、供应商和其他合作方合作时，应当重视第三方的行业背景及规模调查。除了对公司规模进行调查之外，更要结合实时行业动态，如涉及较为敏感的行业，或已被爆出其内部数据管理存在漏洞的企业，尤其警惕从所谓的“数据黑市”获取数据的企业。建议企业可针对市场上的数据合作企业进行分层分类管理，必要时建立行业白名单、黑名单准入机制，对第三方合作尽到审慎审核准入义务。

      在企业与数据提供方签订合同时，应要求数据提供方保证其提供的数据为已经数据主体授权同意后，确保其数据来源的合法性，并在合同中明确数据处理活动中双方的法律责任。

（3）企业经营业务的自营平台（包括APP、网站、小程序、SaaS平台等）情况进行核查与了解

     例如专门面向中小学生开发的教育APP，应在开发阶段即设计专门程序，在未成年用户实际使用APP相关功能之前，能以显著、清晰的方式告知未成年用户监护人，取得监护人的同意为后续对未成年用户个人信息的收集和使用奠定合法性基础。

     金融风控类APP，往往需要从第三方购买/收集大量个人信息进行风控建模与算法优化，企业应当确保数据来源合法。除了需要满足“数据三法”的要求，还应当注意金融行业的特殊规定，例如交易记录应自交易记账当年计起至少保存5年。

     在线医疗类APP需要同时遵循敏感个人信息处理规则及医疗特殊监管要求，并保障数据安全。在医疗数据共享方面，如医保/商保对接和电子病历/档案共享，企业应当做好接口与传输安全工作。

二、明确企业在数据处理活动中的角色及对应合规建议

     在进行尽职调查时，要重点核查企业是否属于关键信息基础设施运营者、处理100万个人信息数据处理者等特殊角色。其次从企业处理的数据类型来看，是否涉及重要数据、国家核心数据、个人敏感信息等特殊数据类型，如果存在这些情况，则在后续尽职调查的过程中应对企业的特殊义务予以重点关注。

     其次，参与主体在数据处理活动中的角色通常包括数据控制者、数据处理者、共同数据控制者以及接收者或第三方。欧盟数据保护委员会（European Data Protection Board，“EDPB”）恰好于2020年9月2日发布了《GDPR下数据控制者及数据处理者概念的指南（公众征求意见稿）》（以下简称为“指南”）进一步细化了各个角色的特征要素。

三、核查企业数据生命周期全流程

（1）数据分级分类

     数据全生命周期的防护从数据生产之时就已经启动。此时的防护重点是需要对数据进行分类分级，明确哪些是核心数据、敏感数据、普通数据。不同的数据类型采用不同的采集和存储方式，敏感个人信息和重要、核心数据必须通过一定措施单列出来，实施特别保护。为不同类型的数据制定适当的安全级别，针对不同的安全级别设置不同的安全等级保护制度，适用不同的数据合规方案。

（2）数据收集

     数据来源是否合法合规；数据采集行为是否符合法律规定；是否存在侵害其他数据主体合法权益和个人信息等情形。

     1.收集必要性审查

     对公司的现有业务及商业模式涉及数据收集事项做全面、逐项的梳理；从商业模式及技术角度判断相关业务功能是否确实有必要收集数据（尤其是个人信息）；应当逐项梳理业务功能所涉及数据收集的目的、方式和范围等。

     2.收集方式审查

     企业一般会从三个途径收集信息，一是数据来源有自身2C业务和2B业务直接收集，二是从第三方数据供应商购买，三是将涉及信息收集的业务外包给第三方。

通过自身2C业务和2B业务等直接收集数据的，须确保收集数据时已经取得个人信息主体对收集、使用目的、方式与范围的充分授权许可，并符合数据收集的必要性原则，不得超过授权范围使用。

     通过第三方收集数据的，应注意数据来源是否合法合规，数据内容是否属于用户个人隐私或者他人的商业秘密的，如果涉及个人隐私、商业秘密的，应及时停止并删除。尤其需要注意的是，尽量避免获取他人核心主营业务的数据，以免因损害其实质性商业利益而构成不正当竞争。

     通过Open API方式收集数据的，应严格遵守“三重授权原则”，即开放平台方直接收集用户数据时需获得用户授权，第三方开发者通过开发平台Open API接口间接收集用户数据的，还需获得用户授权和平台方授权，“用户授权+平台方授权+用户授权”须同时满足，缺一不可。

（3）数据使用、加工

      企业使用数据的范围应为合同约定的数据范围，或其公示的使用规则承诺的数据使用范围，若超出前述范围使用数据，将可能构成民事违约和侵权、行政违法甚至刑事犯罪。其次，关于数据使用的范围，应遵循“合法、正当、必要原则”以及“知情同意”原则。

      而数据加工是指，企业会将收集来的个人信息进行的汇聚融合、再加工处理，例如用户画像、推荐算法模型、产品优化方向等。有些以广告为主营收的企业，其推出的实时竞价广告中涉及的个人画像、自动化决策、匿名化处理对个人数据安全的影响，以及对应的个人信息安全影响评估则尤为重要。

      数据再加工首先需要获得信息主体的明确授权，其次，企业应该能够清楚地解释并证明收集和持有个人数据的必要性，或考虑使用汇总的、匿名的或（当它提供足够的保护时）去标识化的数据进行分析。

（4）数据传输、提供给第三方

      数据价值在于流转。相较于从第三方接收数据，向第三方提供数据的合规风险更为显著，如果因第三方的原因造成数据主体损失的，数据提供方需要承担过错责任。

      企业使用第三方SDK时，须对SDK做安全审查，确保充分了解 SDK 的搜集信息范围。此外，通过受让、共享等方式间接收集的数据，应事先进行关于数据的尽职调查，关注数据转移方的资质及数据来源的合法性，要求对方就其转让、共享数据的充分授权出具有效的承诺与相关证明，确保已获得的授权范围能够满足企业处理数据的业务需求。在受托方接收相关数据并开展处理活动后，提供方应监督委托方的数据处理活动，确保合同约定的合规义务得到遵守，并在必要时对受托方进行审计。

      此外，企业应当安装单独加密软件或硬件设备，以确保企业数据加密；数据在传输过程中以及在存储系统中静止时都应该加密，以确保数据的安全性。

（5）数据存储、删除

      法律对于不同类型和级别的数据有不同的强制性存储要求：比如涉及国家秘密的数据、涉及个人信息的数据、涉及儿童信息的数据或者重要数据、敏感信息等均有不同的数据存储要求。

根据即个人信息保护的“必要原则”，因此企业在数据存储阶段也需要遵守“最小化原则”。在数据收集阶段就应当明确告知个人信息主体其信息的存储期限。例如，根据《网络游戏管理暂行办法》，保存用户的交易记录和账务记录等信息不得少于180日。

      其次，企业的数据存储介质和存储环境、构建强大的网络存储安全系统，例如防火墙、反恶意软件防护、安全网关、入侵检测系统，以及可能的高级分析和基于机器学习的安全解决方案。这些措施应该可以防止大多数网络攻击者获得对存储设备的访问权限。

      另外，存储用户数据的数据库通过主从备份等方式保证数据安全不丢失，确保备份系统和流程适合各种类型事件以及灾难恢复的目的，通过对数据库的高可用配置，保证数据存储层的高可用性。

      根据《个人信息保护法》第47条，企业应当明确在处理目的已实现或个人撤回同意等情况下应当对所收集的个人信息进行删除，以及企业应当明确保证删除后的数据保持不可检索、访问的状态等删除处理方式。

（6）数据出境

      数据出境的场景包括以下三类，一是向本国境内，但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据；二是数据未转移存储至本国以外的地方，但被境外的机构、组织、个人访问查看的（公开信息、网页访问除外）；三是网络运营者集团内部数据由境内转移至境外，涉及其在境内运营中收集和产生的个人信息和重要数据三类情形。

       结合《网络安全法》第37条、《数据安全法》第31条及《个人信息保护法》第40条的规定，关键信息基础设施者及处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在境内收集和产生的个人信息和重要数据存储在境内，确需向境外提供的，应当通过国家网信部门组织的安全评估。

       另外，境内处理者应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项，并取得个人的单独同意。

四、企业数据合规管理情况

      企业数据合规管理制度必须是能够同时强化企业对于内部、外部主体的企业数据安全风险识别能力、安全风险评估能力、安全风险化解能力，目的在于能够构建完整完善的企业数据合规管理体系，这不仅包含静态的企业数据合规管理制度，还包含动态的企业数据安全管理系统有效运行和企业人员数据合规意识和能力的提升，这些都离不开法律专业人员的服务支撑。

      因此，在开展数据合规尽职调查的过程中，必须全面了解企业内部员工个人数据和企业数据的保护机制。例如，有没有设置个人信息保护合规制度负责人，企业是否不定期组织员工进行有关数据安全保护的培训及考试，对新员工进行入职安全培训，尤其是对接触数据信息的岗位人员予以重要关注和指导。

      另外，有没有制定企业内部书面正式的信息系统策略，技术部门应当设定信息资源保密、网络访问、物理访问、第三方访问、雇员访问等安全策略以保障策略得以实施。

其次，企业有没有建立数据分类分级访问制度，基于角色的访问控制是安全数据存储系统的必备条件，在某些情况下，还需要多因素认证。管理员还应确保更改其存储设备上的默认密码，并强制新增用户使用强密码。

      最后，企业是否建立外聘律师和外部测评机构的有效参与机制。外聘律师和一些测评机构的专业人士的参与，能够有效完善企业的数据合规管理制度。外聘律师等专业法律服务人员能够准确完整地理解数据安全相关法律法规以及监管政策，熟悉法律规则的适用，能够准确及时识别企业经营和管理过程中的数据合规风险，并提出相应的数据合规风险意见和整改方案。

结语

      企业数据合规管理是一个循环、动态的管理，企业在数据合规管理制度的有效指引下，应当不断梳理和分析企业经营和管理过程中的数据变化。因此聘请专业律师尽早介入开展数据合规尽职调查，充分有效地识别企业的数据安全风险，对于数据的识别结果建立有效的反馈机制和评估机制。

      通过专业律师的反馈和评估，从而制定具有针对性、策略性的不同数据安全风险化解计划，根据动态、阶段性的数据安全风险识别、反馈、评估、化解的不同路径，帮助各类企业不断调整现有的数据合规管理制度，实时提升企业人员的数据合规管理水平，规避数据合规风险。

作者介绍 

曾理

高云律师团队 律师

从业至今一直专注于知识产权、不正当竞争、网络数据安全、企业数据合规、数据治理等新型法律业务，服务客户覆盖了金融、健康医疗、呼叫中心、人工智能、跨境电商等多个行业，系具备“互联网+法律”思维的新锐法律人。

团队介绍