数据合规是技术活、管理活还是艺术活?7位行业精英支招企业如何炼“数”成“金”丨律新观察
作者丨杨闪闪
出品丨律新社品牌服务中心
数字时代,每一家企业都可以进行数据转型,数据的活力代表着企业的生命力。如何筑牢数据合规的“四梁八柱”?如何炼“数”成“金”?是当前许多企业关注的课题。
2024年6月30日,在律新社与华东政法大学数字法治研究院、上海政法学院经济法学院数字法学研究中心共同主办的“循规而行·数据致远——2024数据合规法律服务发展论坛”上,7位数据合规领域的精英专家汇聚一堂,共同探讨“企业数据资产价值化路径与合规建设之道”。此次对话由北京国枫(上海)律师事务所合伙人龚琳主持。广东卓建律师事务所高级合伙人、卓建合规研究院副院长、数据合规中心主任李兰兰,科沃斯集团总法律顾问韩斐,透云生物科技集团有限公司法律合规部总监周洲,美丽田园医疗健康产业有限公司法务总监兼证券事务代表李倩,数据合规专家徐燕,香港山竹科技有限公司创始人、CEO向丽共同参与了本场对话。嘉宾们从各自的专业角度出发,分享了关于企业数据资产管理的最新洞察、最佳实践和未来趋势,为企业提供多维度的参考,帮助其在数据资产管理上作出更明智的决策。
01
如何“把大象放进冰箱里”?解码企业数据资产价值化的有效路径
数字时代背景下,企业数据资产的价值发掘和合规转化成为业界焦点。数据合规法律服务快速发展,旨在帮助企业应对《数据安全法》《个人信息保护法》等法规带来的挑战。然而,数据合规领域面临着复杂法规环境下边界模糊、技术与法律融合于一身,以及企业内部数据管理分散与合规意识淡薄等痛点。数据资产如何确权、入表等成为亟待“攻坚破局”的关键点。
广东卓建律师事务所高级合伙人、卓建合规研究院副院长、数据合规中心主任李兰兰拥有在网络安全与数据保护领域的深厚专业知识和丰富实践经验,并参与出版《民营企业合规与法律风险防控读本》等专业书籍和参与《广东省数字经济促进条例》《深圳数据要素市场化配置改革方案》等征求意见稿的专家评审和立法建议。她认为,可以作为入表的数据资产应当有实际应用场景,无论是对内的降本增效还是对外的交易流通能够发挥作用。在数据资产入表过程中,数据合规律师的工作应前置到对数据资源的梳理和数据产品的设计,通过数据治理、尽调分析、评估确权等,来确保数据资产的来源合规、内容合规与流通合规等。
凭借领先的市场占有率和自主研发的核心智能技术,科沃斯集团在清洁赛道始终占据龙头地位。科沃斯集团总法律顾问韩斐从企业内部数据合规治理的角度作了分享。她表示,合规实务与应用场景密不可分。企业做好数据治理的第一步便是梳理好业务场景;其次是梳理法律法规要求,并落实到实际业务中,使业务贴合法规进行。同时,在数据流通过程中,做好对第三方数据的梳理,包括如何签订处理协议、如何执行、如何开展审计工作等也十分必要。最后韩斐强调,从实务来讲,企业应建立一套完善的信息权利保障工作机制,以及时响应权利人的要求,应对突发状况等情况。
透云生物科技集团在中国大陆拥有广泛的业务板块,例如透云科技(上海、北京)专注于物联网行业,面向国内外白酒、啤酒、矿泉水等领域的防伪溯源和数字营销业务场景,提供防伪溯源、一物一码及数字化营销服务;透云生物(山西)则以先进的生产工艺和严格的质量控制体系,成为目前全球最大的莱茵衣藻生产基地。透云生物科技集团有限公司法律合规部总监周洲以某矿泉水品牌的防伪溯源和数字化工作为例,阐述了数据资产管理的重要性。他表示,无论什么行业,做好对数据质量、规模、价值、潜力的评估,都将是数据资产化或资本化的前提。在推进数据资产价值化过程中,对目前国家法律法规政策和专业资源的合理使用,亦尤为关键。随着生产数据、供应链数据、消费数据、个人信息数据等大量数据围绕不同业务场景产生,数据合规专业律师必须尽早参与其中,以防数据堆积对合规工作造成的影响。合规律师的提前介入有助于构建坚实的数据合规框架,确保数据在收集、处理和利用的每一个环节都符合法律规范,从而避免潜在的合规风险。通过这种方式,企业不仅能够有效管理数据资产,还能在合法合规的前提下最大化数据的价值,促进业务的健康发展。
作为国内领先的美丽与健康管理服务商,美丽田园医疗健康产业有限公司的业务范围涵盖了传统美容服务、医疗美容服务和亚健康评估及干预服务等多个领域。美丽田园医疗健康产业有限公司法务总监兼证券事务代表李倩表示,作为线下服务行业,在收并购中往往面临商誉问题。通过对客户信息的价值评估,可以将之视为会员资产或会员资源。通过分析客户的消费习惯和消费力度,计算出这部分负债对应的潜在经济价值。随后,这些数据资产将被正式计入资产负债表,从而平衡因收购产生的商誉,避免商誉过度膨胀。而在解决收购中的数据来源合规问题时,通常有两种办法,一是通过出售方背书获取客户同意及相应的使用权和所有权,二是在客户转化时进一步获得客户本人书面授权,以完成数据资产入表的底层要求,确保数据及来源的合规性。
数据合规专家徐燕在分享中提到了企业在全球化业务扩张中面临的两大核心议题:一是数据合规框架的搭建与优化,二是对法律服务的期待与要求。她强调,企业在国际化进程中,原有的基于国内数据保护法建立的合规框架可能不足以应对全球范围内的数据合规挑战。针对合规框架的搭建,徐燕指出企业需要考虑以下三点:一是业务适用法的问题。企业需要了解其业务覆盖地区的具体数据法律,如欧盟的GDPR、美国的CCPA等,确保在每个区域的运营都能符合当地的法律法规。二是寻找共性与差异。在全球化业务框架下,企业应寻求不同国家数据法之间的共性,以建立统一的合规标准,并借助外部专家和当地律师的支持来实现。同时,也要识别和解决各国法律间的差异,比如用户权利响应的时效要求。三是成本效益分析。企业在设计合规框架时,还需综合考虑人力成本和预期花费,进行ROI的整体计算,以平衡合规投入与收益。最后,徐燕从企业立场出发,表达了对合规人才和法律服务的深层次期待。她强调,除了扎实的专业能力,法律服务提供者还应具备深厚的行业知识与体系化思维,以及能够提供与具体业务场景相匹配的个性化和差异化服务的能力,为企业提供前瞻性的指导,并灵活应对不同场景下的特殊需求。
香港山竹科技有限公司创始人、CEO向丽是国内早期个人信息保护从业者、DPO数据合规布道者,于2019年1月开始从事数据合规培训工作。她认为,企业数据资产化不仅涉及法律和合规问题,还需要财务专业人员的参与,尤其是对会计准则的应用。通过会计的专业视角,可以解答诸如数据资产的分类、入账方式、成本核算以及数据资产的生命周期评估等关键问题。此外,站在企业CEO的视角,向丽指出,由于数据资产的特殊性质,其价值可能会随时间变化,因此需要谨慎评估其真实价值。她建议在企业内部推动数据资产化时,应首先确保得到企业高层的价值认可,从而获得自上而下的支持。
02
合规究竟是技术活、管理活还是艺术活?探寻数据治理下的合规本质
企业作为《网络安全法》下的网络运营者、《数据安全法》下的数据处理者、《个人信息保护法》下的个人信息处理者,以及《数据二十条》下的相关数据权益持有者,面临着不同维度的合规要求。在具体的合规建设过程中,除了业务部门,往往还会涉及信息安全部门、IT部门、法务部门、合规部门等等。如何构建组织、制度、机制等保障,以应对数据治理中的复杂合规难题,是企业的一大挑战。
科沃斯集团总法律顾问韩斐分享了集团在数据治理与合规建设方面的策略与实践。她表示,科沃斯将数据合规视为整体合规体系中的重要组成部分,通过构建合规组织、培育合规文化、实施合规风险管理三大支柱,形成了全面的合规框架。在合规组织架构上,集团确立了全员合规的理念,将业务一线人员定位为合规的第一道防线,法务部和内控风控部门作为第二、三道防线,上面还有最高决策层如合规管理委员会等,形成了自上而下的合规保障机制。合规文化建设方面,集团通过内部宣刊、合规月活动等方式,提高员工的合规意识。在最重要也是最复杂的合规风险管理方面,集团每年上半年会对业务进行访谈梳理,了解业务动态并预警潜在合规风险,通过专业评估将风险等级分为低、中、高三级;对于中高级风险成立专项治理小组,上报合规管理委员会,确保风险在规定时间内得到闭环管理。下半年则通过合规审计,检查风险治理措施的落实执行情况。另外,针对隐私数据合规,集团也构建了贯穿数据全生命周期的合规体系,包括收集、使用、存储、销毁等环节,确保数据资产的合规性,为未来可能的数据资产入表和资本化奠定基础。
透云生物科技集团有限公司法律合规部总监周洲着重阐述了企业法务在数据合规中的角色与挑战。他指出,在数据成为商业秘密与不正当竞争矛盾焦点的情况下,企业法务需思考如何妥善处理数据,特别是在数据资产化或数据融资的背景下,需要在数据收集和使用初期就进行规划。他强调,企业法务的角色更偏向于协调,需将企业内部与外部资源相结合,克服向企业高层解释数据合规价值的难点。在数据角度,企业法务需要与技术团队紧密合作,了解API接口和数据存储等技术细节,确保数据的加密和合规性。此外,他还提到了在新业务开展时,如抢红包活动,数据收集与使用可能伴随的税务风险和不正当竞争问题,需要协同技术团队共同解决。最后,周洲强调了数据合规闭环的重要性,这包括对内部员工的数据合规培训,防止数据泄露,以及对外部供应商使用数据的监管,确保数据在整个供应链中的合规性。
美丽田园医疗健康产业有限公司法务总监兼证券事务代表李倩分享了To C企业在数据合规中的具体实践与挑战。她指出,有效的法律意见需基于具体业务场景,单纯泛泛的建议难以满足企业需求。美丽田园通过完善的制度指导并管理整体的数据合规,除了覆盖内部员工,还包括外部的客户及供应商,并贯穿数据的采集、处理、使用、管理和销毁整个生命周期。此外,李倩还特别提醒,企业在做数据等级备案时,与主管机关保持良好沟通至关重要。而在隐性数据采集场景中,线下服务企业还需额外注意获取客户同意和联网导致的数据泄露等问题。李倩强调,数据对企业的价值在于分析出客户消费习惯、产品消耗规律及客户偏好服务,以制定针对性营销策略。企业内部各部门如财务、营销分析及一线人员均需使用采集数据,合规的第一道防线在于一线业务部门,因此企业应实行部门间防火墙及数据脱敏处理,对外部供应商的管理也应通过协议规定数据使用权和安全性,确保数据合规使用。
数据合规专家徐燕强调了数据治理合规中的三大核心问题:组织保障、制度保障和技术保障。她表示,从一般企业角度来看,组织保障方面,专业人员的培训资质是必需的,但更重要的是管理层的认可和支持,需将数据合规作为战略决策层面的目标。在制度保障方面,虽然多数企业会建立多套数据合规治理制度,但这些制度能否有效实施并结合具体业务需求落地,是企业需要关注的问题。技术保障方面,频繁的监管行动对企业技术开发工作造成压力;为此,企业应进行前置性工作,如整理出通用技术措施文档,以应对不同监管行动,实现降本提效。总而言之,通过确保管理层支持、建立有效落地的制度,并优化技术应对策略,才能更高效地实施数据合规管理。
香港山竹科技有限公司创始人、CEO向丽在分享中提出了一个引人深思的问题:建立合规体系究竟是技术活、管理活还是艺术活?她分享了几年前科大讯飞企业DPO内训的案例,当时法务与合规部门牵头,IT部门与主要产品负责人都有参加此次内训,而不只是法务合规部门的同事参加培训,强调了合规体系建设中领导层的重视与全员参与的重要性。在建立合规体系时,领导层的推动和全员参与对于成功构建合规文化起到决定性作用。通过将合规责任分解到各个部门,可以提高整个组织的合规意识,确保合规工作能够真正融入日常运营,而不是仅仅停留在表面或成为特定部门的孤立任务。这种全面的合规管理方法,有助于企业更好地应对数据合规挑战,实现可持续发展。
广东卓建律师事务所高级合伙人、卓建合规研究院副院长、数据合规中心主任李兰兰同样认为,高层的重视是企业合规建设的重要条件,企业领导人需认识到保护客户个人信息是企业应尽的责任。其次,合规与业务之间的平衡是一门艺术,需要企业分步骤地建立合规体系,可以从风险评估和合规整改开始建设1.0体系,再完善到2.0体系等。最后,李兰兰作出总结,数据合规和数据资产管理是一个动态持续的过程,需要企业内外部各方联动,共同构建数据合规基础,以挖掘数据价值,促进数据的合规高效流通,进而推动数字经济的发展。
北京国枫(上海)律师事务所合伙人龚琳最后总结道,在合规建设过程中,企业会面临既包含普适性合规原则,又基于具体业务场景及行业特性的个性化合规要求。这一过程不仅要求企业内部紧密协作,也需要借助外部专业且可靠的数据合规法律服务。对话中,嘉宾们分享的诸多实践细节与见解为数据合规领域提供了丰富视角,希望能够为数据合规的持续发展提供有益参考。
03
结语
在数据驱动的今天,企业数据资产价值化与合规建设堪称一场持久战,需要企业内外部的共同努力,以创新的视角和前瞻性的策略,构建坚实的合规基础,挖掘数据的内在价值,方能将无形的数据资产转化为有形的财富,推动数字经济的健康、可持续发展。
↓扫码观看演讲视频↓
相关阅读
►加“数”信任基建 撬动万亿市场!2024数据合规法律服务发展论坛隆重举行
►数据合规领域“品牌之星”闪耀登场!律新社《精品法律服务品牌指南(2024):数据合规领域》重磅发布
►“守正创新”:数据合规管理新次元丨律新社2024数据合规领域见解洞察
END
了解更多行业干货
欢迎关注律新社新媒体矩阵
商务合作
lvxinnews@126.com