大咖云集 广信君达上海分所“企业数据合规与跨境监管的法律挑战高峰论坛”成功举办
来源 | 广信君达律师事务所
7月20日下午,虹桥国际中央法务区法治化营商环境系列活动——广信君达上海分所2023“虹桥·汇”企业数据合规与跨境监管的法律挑战高峰论坛,在法务大厦三楼多功能厅成功举行。论坛持续四个半小时,研讨气氛热烈,成果十分丰硕。
论坛由广信君达上海分所执行主任徐吉平律师主持。
论坛主讲嘉宾有国务院学位委员会法学学科评议组成员兼召集人、中国法学会副会长、中国法学会民法学研究会会长、中国人民大学一级教授、博士生导师王利明教授,上海政法学院教授、上海全球安全治理研究院全球化法律问题研究所所长张继红教授,广信君达管委会主任、广东省律协国际贸易委员会主任闪涛博士,广信君达企业合规法律专业部部长、广州市律协合规与内控专业委员会副主任张蓉律师,广信君达粤港澳大湾区律师、香港巴塞尔亚太有限公司法律顾问吴金旂女士。
开幕致辞
论坛伊始,华东政法大学教授、博士生导师、中国法学会商法学研究会副会长、中国法学会经济法学研究会副会长顾功耘教授,以及广信君达合伙人会议联席主任、日本东京办公室负责人陈伟雄律师致辞。
主题演讲
精彩纷呈启思维、高屋建瓴述真知。五位主讲嘉宾结合自身专业领域,分别从“数据确权与保护”“跨境数据处理项目规划”“跨境数据合规风险与应对”“云服务提供商的法律责任”以及“企业开展合规建设的必要性”等内容,分享真知灼见,所有来宾表示受益匪浅。
广信君达粤港澳大湾区律师、香港巴赛尔亚太有限公司法律顾问吴金旂律师以“数据传输是不是必要的”“如何进行数据传输、怎样进行数据传输”等问题来引出其“跨境数据处理项目规划”的演讲主题。
吴金旂律师表示,跨境数据项目需要考量多个因素,即应当结合不同法域对不同违规情况下的处罚力度、跨境项目的消费者以及用户的市场现状、客户跨境项目目标市场不同等因素,综合考量、审慎决定律师在跨境数据处理项目中可以为客户提供的法律调研类型和内容,并应适时在法律规范与客户需求之间进行调整。
广信君达管委会主任、广东省律协国际贸易委员会主任闪涛律师以“跨境数据合规风险与应对”为主题,从全球与中国的数字经济、数据合规典型案例、数据跨境传输的法律环境、数据跨境传输的合规经验四个方面展开讨论。
闪涛律师以某APP全球数据泄露事件等为例,说明数据应用中存在的具体合规风险,通过中、美、英、欧盟数据合规环境的总结对比,清晰展现目前中国数据合规的现状。闪律师以图表形式生动说明数据跨境传输国际监管的类型、单边机制、多边安排与贸易协定及数字贸易伙伴关系中存在的相关问题,通过对数据跨境的路径、类型等进行具体分析,对跨境数据合规法律服务项目的具体实施作出详细介绍和风险提示。闪律师表示,各地区与国家不断完善数字经济、数据合规方面的法律法规、增强执法力度,数据合规风险已成为企业“走出去”面临的新的重要风险之一,企业应增强数据合规治理意识,提炼出企业主营业务所面对的数据跨境合规要求,进而探讨风险可控、成本可控、可落地、可执行的合规思路。
上海政法学院教授、上海全球安全治理研究院全球化法律问题研究所所长张继红教授以“云计算和跨境数据存储法律问题—云服务提供商的法律责任和义务”为题,讲解了云计算的概念、云服务提供商的服务模式、部署模式以及云计算的安全风险等基础问题。通过对美国《澄清域外合法使用数据法》和欧盟《通用数据保护条例》的分析,及二者与我国数据出境法律法规及标准、数据出境安全管理制度、数据出境条件的形式等的对比,揭示出我国现实中存在如何保护在境外产生和通过“云存储”形式保存于虚拟终端的中国公民个人信息等重大问题,并指出数据出境既需要建立全方位的统筹性管理制度,也需要着力加强对特殊行业管理制度的建构。张教授以《上海市数据条例》《关于支持浦东新区高水平改革开放打造社会主义现代化建设引领区的意见》等相关地方规范性文件的出台为例,说明为了促进数据跨境安全及自由流动,上海目前正在探索制定“分行业领域的数据跨境正面清单”及“低风险跨境流动数据目录”等制度,并指出可以通过“云存储”的方式实现企业数据的跨境流动。张教授表示,对于云服务提供商而言,基于其角色定位的不同,如直接作为个人信息处理者,或作为受托信息处理者,或仅作为第三方渠道提供方,其义务和责任也明显不同。
广信君达企业合规部部长、广州市律协合规与内控专业委员会副主任张蓉律师开展“高质量发展趋势下企业发展合规建设的必要性”演讲,首先界定企业合规与合规管理的基本涵义,通过梳理国内外企业合规建设的发展历程及合规管理的现状,总结出我国企业合规建设中存在的诸多现实问题,有针对性地提出了相关的解决对策。最后,张律师从防范风险、提高竞争力、减轻责任或免责以及不合规的可能后果及现实案例等诸多角度强调企业开展合规建设的必要性问题。
圆桌论坛
圆桌论坛以“数据合规与企业合规融合路径探讨”为主题,由华东政法大学社会发展学院党委书记、教授、上海法律大数据服务基地负责人童潇教授担任嘉宾主持,由张继红教授、闪涛博士、张蓉律师、吴金旂律师担任与谈人。
童潇教授表示,2021年以来,我国先后颁布实施了《数据安全法》《个人信息保护法》,这两部法律与先前颁布实施的《网络安全法》相呼应,形成国内对网络、数据和个人信息安全保护的“三驾马车”。某种程度上讲,这三部法律是划时代的,既对数据保护做出了宏观的方向性指导,也在某些方面进行了微观规定,具有较强的实操性。比如,在《个人信息保护法》里明确将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息列为敏感个人信息,要求只有在具有特定目的和充分必要性时,并采取了严格保护措施的情形下,方可处理敏感个人信息。再如,对于人脸识别,《个人信息保护法》明确要求“单独同意”等内容。这些举措在一定程度上大大缓解了我国数据安全治理的燃眉之急。但是,在数字经济时代,仅仅依靠这“三驾马车”是远远不够的,尤其是企业数据跨境传输的过程中,将涉及不同法域、不同的数据规范,若国内对企业数据跨境传输的法律保护地基不够扎实,将无法切实地保护到国内企业的合法权益,用户个人数据也将暴露在极大的侵权风险之中。因此,童潇教授认为,本次圆桌论坛具有时代意义,希望各位与谈嘉宾能够充分立足于数据流通的应用实际,以企业合规治理和跨境数据传输为切入点,既能充分探讨理论问题,也能就相关实操技巧进行有效指点。
闪涛律师:在数字经济时代下跨境企业的发展离不开数据的流通,首先可以从数据生命周期的视角,即从数据采集、存储、传输、销毁四个阶段去划分企业数据合规治理的标准与规范。其次可以从数据分级分类的视角对企业数据进行合规治理,目前国家在总体上对数据安全管理制度的最底层设计逻辑就是按数据的风险级别、敏感程度、重要程度以及可能会对国家社会造成消极影响的程度来做分级分类。比如我国在汽车领域就已经率先适用数据分级分类制度,对全国其他行业而言起到了引领作用。最后,数据合规治理应当引起充分重视,企业必须建立起相应的组织架构和管理体系,通过企业内部风控制度手段最大程度地避免数据跨境传输带来的泄露风险。
张继红教授:安全评估(审查)是强制性义务,当触发安全评估条件时,即当网信办通知某企业为关键信息基础设施的运营者时,该企业就必须承担起安全评估义务,故安全评估路径并非是一个仅凭意思自治就能决定是否适用的路径,其以是否构成关键信息基础设施运营者为前提之一。另一方面,若处理的数据为重要数据,那么在一定程度上也需要安全审查,但目前我国并未对“重要数据”作出明确界定,亟待出台相应的名录以划定范围。当信息处理者暂未触发强制性的安全评估义务时,认证和合同是两种可自由选择的路径,企业可根据自身发展需要及其他法律规定选择最适合自己也最高效的数据合规治理路径。
吴金旂律师:围绕“如何对员工进行数据安全意识培训”“如何通过合同约定保护企业数据安全”两个方面进行分享,表示企业应当充分培养数据合规治理意识,比如当项目本身并不需要个人数据时,就应当避免数据外泄、避免多余数据的传输,要尽可能从源头上阻断数据风险。其次在员工数据安全意识培训方面,可以将数据保护义务及数据泄露后的责任以合同的形式明确固定在合同中,或者仿照数据分级分类制度,对员工的信息获取密级也进行适当分类,赋予员工不同的数据获取权限,最大程度上减少员工泄露数据事件的发生。
张蓉律师:就主持人提出有关“数据合规与企业合规如何更好地融合”的问题进行分享,再一次强调企业合规与数据合规之间的关系,即二者并非完全割裂,而是相互交融的关系,因为无论是企业治理的合规体系还是数据合规体系,都是以企业的基本概况、主营业务、组织架构等内容为基础来具体搭建的,都是企业内控的一部分,二者都支撑着企业的长足发展。其次,在明确企业治理合规体系与数据治理合规体系二者相互交融的基础上,可以参照企业治理合规体系建设来打造数据合规体系,即第一应当考虑数据合规政策,结合相应政策补充制定公司内部的管理规章制度,从形式上完善对企业数据的保护;第二应当考虑数据合规的流程,根据企业的主营业务和不同的业务板块找出数据传输和交易过程中的可能风险点,做出有针对性的风险应对。
在童潇教授逻辑缜密、幽默风趣的主持下,嘉宾们各抒己见,不断碰撞出思想的火花,圆桌论坛取得显著的研讨效果。
互动交流
互动交流环节,虽然时间较为有限,但在论坛主持人徐吉平律师的引导下,与会人员积极参与互动交流,论坛很快进入了另一个小高潮。
广信君达大湾区律师梁乐峰,结合论坛主题,分享了香港公司在员工数据合规培训的压力测试方面的小技巧,即部分企业会故意向员工发送钓鱼链接,以测试数据保护专员对外部不明链接是否有足够的敏锐度和警觉性。结果往往很多员工都通不过这样的压力测试,测试结果不尽如人意。由此可见,我国大部分企业及员工尚未形成数据安全意识,亟待企业从内控视角尽快加以完善。梁乐峰律师的发言引起许多与会人员的共鸣,纷纷表示赞同或发言予以回应。
上海国畅律师事务所王越律师,向张继红教授提问,希望张教授能从学术与实务的双重视角,谈一谈大数据技术对律师行业的影响,即律师应当如何借助大数据技术突破职业发展的瓶颈,拓宽案件来源渠道。对此,张教授表示,大数据、云计算的背后是越来越精准的用户群体画像,律师可以结合个性化推荐和定向广告投放给自己带来更高效、稳定的获客渠道。但是,无论是律师还是其他各行各业人士,均应当充分认识到对数据的利用必须是合法且有限的,应当以法律为准绳,充分利用好《个人信息保护法》第13条项下的知情同意规则,做到对数据的合法获取和合法利用。
闭幕致辞
时光飞逝,论坛接近尾声。广信君达管委会委员、上海分所主任汪旭东律师作闭幕致辞,首先代表论坛的指导单位、主办单位、承办单位和支持单位向所有参会嘉宾表示感谢。汪律师表示,企业数据合规与跨境监管是数字经济时代下的新兴话题,无论是对学术研究还是对企业而言都具有至关重要的意义,本次论坛能够邀请到企业数据合规与跨境监管领域的顶尖专家学者及律界大咖齐聚一堂,共同探讨跨境企业所面临的数据合规与跨境监管等重大法律问题,实属荣幸。未来广信君达及上海分所将继续秉持“效率、信任、责任”核心理念,更好地投入并服务于长三角、粤港澳大湾区乃至全国其他地区,面对客户的需求与信任,我们一定尽忠竭虑,做好各类服务工作,为企业群众的生产生活保驾护航。最后,汪旭东律师宣布本次高峰论坛圆满闭幕。
论坛结语
近年来,随着数据作为新型生产要素的崛起,数据无序流动所带来的风险日益成为影响隐私保护、社会稳定、产业发展、网络安全甚至国家安全的潜在威胁。在数字经济高速发展的时代,建立健全数据合规治理体系,促进数据有效流通和使用,对国家安全、社会进步、经济发展、信息保护至关重要。
本次高峰论坛聚焦企业数据合规与跨境监管的法律挑战论题,邀请一众专家学者、实务大咖相聚在一起,共同探讨数据确权与保护、跨境数据处理项目规划、跨境数据合规风险与应对、云服务提供商的法律责任与义务、企业开展合规建设的必要性以及数据合规与企业合规之间如何融合等话题,是广信君达及上海分所努力推动数据合规治理体系建设的一次有益尝试,对社会高质量发展产生非常积极的影响。
我们相信,在大家的共同努力下,中国企业一定能够对标国际标准,积极做好企业内训,有效提升员工的数据安全意识和风险意识,更好地预警企业数据跨境风险,掌握前瞻趋势,牢牢把握企业数据合规治理的新脉搏。
微信扫码关注该文公众号作者