一文講清|數據合規法律盡職調查的全流程與合規要點

前言

     在2021年之前，很多企業和個人對數據合規的概念非常模糊不清，只要不嚴重侵犯隱私、不販賣個人信息就是合法合規的。比如說，“你要用我的APP，我要收集什麼就收集什麼，你還不能拒絕，如果你拒絕那連浏覽我產品的界面都不可以”；“作為員工，你想請育兒假，你就必須提供孩子出生醫學證明；你想請喪假，就必須提供死亡證明”。大家都已經形成了一種思維定勢，只要我不泄露信息，我怎麼收集都沒關系，公眾為了便利，也不會計較。

      但是自從2021年以來，國家相繼出臺了數據合規領域的“三駕馬車”（即網安法、數安法及個保法），以及前幾天網信辦對滴滴數據安全事件重錘80.26億元，個人信息的保護已經從被動防禦的隱私權時代進入了主動支配的個人信息權時代，數據安全問題也上升到了國家安全的高度。數據已成為數字經濟時代的基礎性資源、國家的戰略性資源，社會的重要生產力。

      無論是準備上市的企業、外資企業、跨境企業、國有企業，還是投融資並購中企業，數據合規審查已經逐步成為必須審核的內容，企業在數據處理活動的全流程中都應當符合“數據三法”及《刑法》等相關法律法規的規定，一旦發現不合規的情況，除了面臨巨額罰款，還可能涉嫌“出售、非法提供公民個人信息罪”及“非法獲取公民個人信息罪”。

      因此，企業搭建數據合規體系已迫在眉睫，而搭建該體系的第一步就是請專業律師介入開展數據合規盡職調查。數據合規法律盡職調查側重於企業的數據處理活動和數據安全管理體系。在調查方式上，主要包括查閱文件、調查問卷、訪談、走訪、公開網絡檢索、產品體驗、與第三方測評機構合作等手段。下文將結合本團隊的實踐介紹數據合規法律盡職調查的常規流程與關注要點。

一、企業的業務情況

（1）企業的業務資質、業務模式、  業務流程

       數據合規盡職調查首先要弄清楚調查對象的行業屬性，是專門從事數據處理活動的企業，還是業務中包含大量數據處理的電信、教育、醫療、酒店、金融、科技型等企業，或者僅一般性涉及數據處理的工業企業、能源企業等，區分的意義在於精準匹配相應的法律規定，尤其是針對特殊行業制定的專門規範。

      根據《電信業務分類目錄（2015年版）常見問題解答》，如果企業提供的相關服務，屬於經營《電信業務分類目錄（2015年版）》規定的電信業務的，應依法申請相應電信業務經營業務許可。除可能涉及上述電信行業的準入之外，根據企業提供服務所涉及的不同行業，比如遊戲、醫療諮詢、網絡視頻等，還需要根據行業主管部門的要求辦理相應準入資質。

（2）企業與其客戶、供應商和其他合作方的合作模式

      企業與其客戶、供應商和其他合作方合作時，應當重視第三方的行業背景及規模調查。除了對公司規模進行調查之外，更要結合實時行業動態，如涉及較為敏感的行業，或已被爆出其內部數據管理存在漏洞的企業，尤其警惕從所謂的“數據黑市”獲取數據的企業。建議企業可針對市場上的數據合作企業進行分層分類管理，必要時建立行業白名單、黑名單準入機制，對第三方合作盡到審慎審核準入義務。

      在企業與數據提供方簽訂合同時，應要求數據提供方保證其提供的數據為已經數據主體授權同意後，確保其數據來源的合法性，並在合同中明確數據處理活動中雙方的法律責任。

（3）企業經營業務的自營平臺（包括APP、網站、小程序、SaaS平臺等）情況進行核查與了解

     例如專門面向中小學生開發的教育APP，應在開發階段即設計專門程序，在未成年用戶實際使用APP相關功能之前，能以顯著、清晰的方式告知未成年用戶監護人，取得監護人的同意為後續對未成年用戶個人信息的收集和使用奠定合法性基礎。

     金融風控類APP，往往需要從第三方購買/收集大量個人信息進行風控建模與算法優化，企業應當確保數據來源合法。除了需要滿足“數據三法”的要求，還應當注意金融行業的特殊規定，例如交易記錄應自交易記賬當年計起至少保存5年。

     在線醫療類APP需要同時遵循敏感個人信息處理規則及醫療特殊監管要求，並保障數據安全。在醫療數據共享方面，如醫保/商保對接和電子病曆/檔案共享，企業應當做好接口與傳輸安全工作。

二、明確企業在數據處理活動中的角色及對應合規建議

     在進行盡職調查時，要重點核查企業是否屬於關鍵信息基礎設施運營者、處理100萬個人信息數據處理者等特殊角色。其次從企業處理的數據類型來看，是否涉及重要數據、國家核心數據、個人敏感信息等特殊數據類型，如果存在這些情況，則在後續盡職調查的過程中應對企業的特殊義務予以重點關注。

     其次，參與主體在數據處理活動中的角色通常包括數據控制者、數據處理者、共同數據控制者以及接收者或第三方。歐盟數據保護委員會（European Data Protection Board，“EDPB”）恰好於2020年9月2日發布了《GDPR下數據控制者及數據處理者概念的指南（公眾征求意見稿）》（以下簡稱為“指南”）進一步細化了各個角色的特征要素。

三、核查企業數據生命周期全流程

（1）數據分級分類

     數據全生命周期的防護從數據生產之時就已經啟動。此時的防護重點是需要對數據進行分類分級，明確哪些是核心數據、敏感數據、普通數據。不同的數據類型采用不同的采集和存儲方式，敏感個人信息和重要、核心數據必須通過一定措施單列出來，實施特別保護。為不同類型的數據制定適當的安全級別，針對不同的安全級別設置不同的安全等級保護制度，適用不同的數據合規方案。

（2）數據收集

     數據來源是否合法合規；數據采集行為是否符合法律規定；是否存在侵害其他數據主體合法權益和個人信息等情形。

     1.收集必要性審查

     對公司的現有業務及商業模式涉及數據收集事項做全面、逐項的梳理；從商業模式及技術角度判斷相關業務功能是否確實有必要收集數據（尤其是個人信息）；應當逐項梳理業務功能所涉及數據收集的目的、方式和範圍等。

     2.收集方式審查

     企業一般會從三個途徑收集信息，一是數據來源有自身2C業務和2B業務直接收集，二是從第三方數據供應商購買，三是將涉及信息收集的業務外包給第三方。

通過自身2C業務和2B業務等直接收集數據的，須確保收集數據時已經取得個人信息主體對收集、使用目的、方式與範圍的充分授權許可，並符合數據收集的必要性原則，不得超過授權範圍使用。

     通過第三方收集數據的，應注意數據來源是否合法合規，數據內容是否屬於用戶個人隱私或者他人的商業秘密的，如果涉及個人隱私、商業秘密的，應及時停止並刪除。尤其需要注意的是，盡量避免獲取他人核心主營業務的數據，以免因損害其實質性商業利益而構成不正當競爭。

     通過Open API方式收集數據的，應嚴格遵守“三重授權原則”，即開放平臺方直接收集用戶數據時需獲得用戶授權，第三方開發者通過開發平臺Open API接口間接收集用戶數據的，還需獲得用戶授權和平臺方授權，“用戶授權+平臺方授權+用戶授權”須同時滿足，缺一不可。

（3）數據使用、加工

      企業使用數據的範圍應為合同約定的數據範圍，或其公示的使用規則承諾的數據使用範圍，若超出前述範圍使用數據，將可能構成民事違約和侵權、行政違法甚至刑事犯罪。其次，關於數據使用的範圍，應遵循“合法、正當、必要原則”以及“知情同意”原則。

      而數據加工是指，企業會將收集來的個人信息進行的匯聚融合、再加工處理，例如用戶畫像、推薦算法模型、產品優化方向等。有些以廣告為主營收的企業，其推出的實時競價廣告中涉及的個人畫像、自動化決策、匿名化處理對個人數據安全的影響，以及對應的個人信息安全影響評估則尤為重要。

      數據再加工首先需要獲得信息主體的明確授權，其次，企業應該能夠清楚地解釋並證明收集和持有個人數據的必要性，或考慮使用匯總的、匿名的或（當它提供足夠的保護時）去標識化的數據進行分析。

（4）數據傳輸、提供給第三方

      數據價值在於流轉。相較於從第三方接收數據，向第三方提供數據的合規風險更為顯著，如果因第三方的原因造成數據主體損失的，數據提供方需要承擔過錯責任。

      企業使用第三方SDK時，須對SDK做安全審查，確保充分了解 SDK 的搜集信息範圍。此外，通過受讓、共享等方式間接收集的數據，應事先進行關於數據的盡職調查，關注數據轉移方的資質及數據來源的合法性，要求對方就其轉讓、共享數據的充分授權出具有效的承諾與相關證明，確保已獲得的授權範圍能夠滿足企業處理數據的業務需求。在受托方接收相關數據並開展處理活動後，提供方應監督委托方的數據處理活動，確保合同約定的合規義務得到遵守，並在必要時對受托方進行審計。

      此外，企業應當安裝單獨加密軟件或硬件設備，以確保企業數據加密；數據在傳輸過程中以及在存儲系統中靜止時都應該加密，以確保數據的安全性。

（5）數據存儲、刪除

      法律對於不同類型和級別的數據有不同的強制性存儲要求：比如涉及國家秘密的數據、涉及個人信息的數據、涉及兒童信息的數據或者重要數據、敏感信息等均有不同的數據存儲要求。

根據即個人信息保護的“必要原則”，因此企業在數據存儲階段也需要遵守“最小化原則”。在數據收集階段就應當明確告知個人信息主體其信息的存儲期限。例如，根據《網絡遊戲管理暫行辦法》，保存用戶的交易記錄和賬務記錄等信息不得少於180日。

      其次，企業的數據存儲介質和存儲環境、構建強大的網絡存儲安全系統，例如防火牆、反惡意軟件防護、安全網關、入侵檢測系統，以及可能的高級分析和基於機器學習的安全解決方案。這些措施應該可以防止大多數網絡攻擊者獲得對存儲設備的訪問權限。

      另外，存儲用戶數據的數據庫通過主從備份等方式保證數據安全不丟失，確保備份系統和流程適合各種類型事件以及災難恢複的目的，通過對數據庫的高可用配置，保證數據存儲層的高可用性。

      根據《個人信息保護法》第47條，企業應當明確在處理目的已實現或個人撤回同意等情況下應當對所收集的個人信息進行刪除，以及企業應當明確保證刪除後的數據保持不可檢索、訪問的狀態等刪除處理方式。

（6）數據出境

      數據出境的場景包括以下三類，一是向本國境內，但不屬於本國司法管轄或未在境內注冊的主體提供個人信息和重要數據；二是數據未轉移存儲至本國以外的地方，但被境外的機構、組織、個人訪問查看的（公開信息、網頁訪問除外）；三是網絡運營者集團內部數據由境內轉移至境外，涉及其在境內運營中收集和產生的個人信息和重要數據三類情形。

       結合《網絡安全法》第37條、《數據安全法》第31條及《個人信息保護法》第40條的規定，關鍵信息基礎設施者及處理個人信息達到國家網信部門規定數量的個人信息處理者，應當將在境內收集和產生的個人信息和重要數據存儲在境內，確需向境外提供的，應當通過國家網信部門組織的安全評估。

       另外，境內處理者應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項，並取得個人的單獨同意。

四、企業數據合規管理情況

      企業數據合規管理制度必須是能夠同時強化企業對於內部、外部主體的企業數據安全風險識別能力、安全風險評估能力、安全風險化解能力，目的在於能夠構建完整完善的企業數據合規管理體系，這不僅包含靜態的企業數據合規管理制度，還包含動態的企業數據安全管理系統有效運行和企業人員數據合規意識和能力的提升，這些都離不開法律專業人員的服務支撐。

      因此，在開展數據合規盡職調查的過程中，必須全面了解企業內部員工個人數據和企業數據的保護機制。例如，有沒有設置個人信息保護合規制度負責人，企業是否不定期組織員工進行有關數據安全保護的培訓及考試，對新員工進行入職安全培訓，尤其是對接觸數據信息的崗位人員予以重要關注和指導。

      另外，有沒有制定企業內部書面正式的信息系統策略，技術部門應當設定信息資源保密、網絡訪問、物理訪問、第三方訪問、雇員訪問等安全策略以保障策略得以實施。

其次，企業有沒有建立數據分類分級訪問制度，基於角色的訪問控制是安全數據存儲系統的必備條件，在某些情況下，還需要多因素認證。管理員還應確保更改其存儲設備上的默認密碼，並強制新增用戶使用強密碼。

      最後，企業是否建立外聘律師和外部測評機構的有效參與機制。外聘律師和一些測評機構的專業人士的參與，能夠有效完善企業的數據合規管理制度。外聘律師等專業法律服務人員能夠準確完整地理解數據安全相關法律法規以及監管政策，熟悉法律規則的適用，能夠準確及時識別企業經營和管理過程中的數據合規風險，並提出相應的數據合規風險意見和整改方案。

結語

      企業數據合規管理是一個循環、動態的管理，企業在數據合規管理制度的有效指引下，應當不斷梳理和分析企業經營和管理過程中的數據變化。因此聘請專業律師盡早介入開展數據合規盡職調查，充分有效地識別企業的數據安全風險，對於數據的識別結果建立有效的反馈機制和評估機制。

      通過專業律師的反馈和評估，從而制定具有針對性、策略性的不同數據安全風險化解計劃，根據動態、階段性的數據安全風險識別、反馈、評估、化解的不同路徑，幫助各類企業不斷調整現有的數據合規管理制度，實時提升企業人員的數據合規管理水平，規避數據合規風險。

作者介紹 

曾理

高雲律師團隊 律師

從業至今一直專注於知識產權、不正當競爭、網絡數據安全、企業數據合規、數據治理等新型法律業務，服務客戶覆蓋了金融、健康醫療、呼叫中心、人工智能、跨境電商等多個行業，系具備“互聯網+法律”思維的新銳法律人。

團隊介紹