新书作者：天元律师事务所 刘瑛 李晓华
2021年，中国数据保护发展迈进新里程。这一年，《数据安全法》和《个人信息保护法》相继出台并施行，个人信息保护、互联网平台、网络安全审查等重点领域的立法频出，监管要求日趋精细化，执法呈常态化趋势。这些对企业网络安全、数据安全和个人信息保护（统称“数据合规”）的治理及合规管理提出了越来越高、越来越细的要求。网络已经深度融入社会经济生活的各个方面，网络安全的重要性日益凸显。
随着数字经济的发展，数据已成为新的生产要素，数据所蕴含的巨大商业价值也愈发被市场发现和认可。企业数据资产在企业总资产的占比越来越高。企业数据资产如果存在严重不合规问题，可能影响运营和持续发展。在投融资项目中，数据合规问题被投资人关注。在企业上市中，数据合规问题更是从幕后走向前台，成为上市相关审核部门在企业上市评估及问询过程中的重点关注话题。为保障公司业务的合规经营、促进上市计划的顺利实施，企业开始建立数据合规体系，布局数据合规治理工作，应对数据合规挑战。
伴随着监管催生的企业应急式数据合规治理，企业数据合规工作也逐渐融入企业的日常经营和企业管理活动，呈现出常态化的趋势。
社会执业律师、公司律师或企业内部法律顾问等法律专业人士（统称“法律人员”）能够整体理解法律监管体系，谙熟法律规则的适用，在数据合规工作中起着非常重要性的作用。数据合规常态化下，法律人员可以做什么、怎样做，是大多数法律人员亟需了解和掌握的问题。
数据合规法律实务，做什么？
企业在数据合规方面的服务需求是多方面的，与企业的业务活动、企业的发展阶段、合规管理要求、监管动态等等相关。下图呈现目前阶段企业在数据合规方面的常见需求：
我们将以上大致归纳在三类场景中：
一是企业运营管理、商业交易中的数据合规
企业日常运营中，无论是用户数据、还是员工个人信息的保护，无论是业务产品的合法合规性论证、还是用户个人信息处理规则以及数据处理合同等交易文件的准备，都越来越多地需要法律人员从数据合规角度审视和考量。特别是对于涉及大数据、网络安全、云计算服务以及互联网平台等业务的企业，在对产品和服务进行可行性分析及制定解决方案时，更是必须考虑数据合规。企业处理和应对网络安全事件或案件，也离不开法律人员的专业支撑。
二是企业合规体系建设中的数据合规
从企业合规体系建设看，无论是企业数据合规管理机构和“三道防线”[1]的设置、还是数据合规制度和规范建立、数据安全管理措施的实施，以及为员工提供数据安全合规培训等，都需要法律人员提供专业支撑。
三是企业上市、投融资等重大经营事项中的数据合规
上市、投融资等重大交易活动中，企业的网络安全及数据安全、个人信息保护合规情况是证券监管机构/投资人关注的重点。特别是对于科技企业和互联网企业，数据是企业资产价值评估的重点，数据处理全流程合法合规情况也成为上市审核的核心要素。数据合规已经从幕后走向前台，成为上市相关审核部门和投资人重点关注的事项。
为实现上市、投融资目标，满足上市监管规则/投资人的要求，企业亟需法律人员专业支撑，排查数据合规风险，并在相对较短期限内完成整改。法律人员通过对企业网络安全和数据处理情况的调查了解，结合对法律法规和监管要求的理解判断，识别企业数据合规风险，提供整改方案，与企业业务、信息安全等各专业条线一同落实整改措施，防范交易风险、促进交易的安全实现。
数据合规法律实务，怎样做？
与其他领域中的合规工作类似，法律人员提供数据合规支撑通常都需经过数据合规风险识别（数据合规尽职调查）——数据合规整改（数据合规解决方案）——数据合规结论意见（结论性意见/专项分析意见）的流程。
数据合规工作需要以尽职调查为基础，通过尽职调查摸底企业数据处理情况，识别企业存在的数据合规问题。通过数据合规尽职调查，了解了企业的数据合规状况，识别出存在或潜在的数据合规问题和风险，法律人员对于需要整改的事项和整改工作方向有了基本判断，进而进入整改环节，为企业的数据合规整改工作提供专业支撑。企业完成数据合规整改工作后，通常需要法律人员（特别是社会执业律师）对企业的数据合规情况发表结论性意见。在上市、投融资项目中，数据合规情况结论法律意见可能是企业申请上市或完成投融资交割的必备文件。在企业日常运营、合规体系建设项目中，企业也需要律师发表法律意见，作为对企业数据合规相关工作成效的“认证”或“背书”。
与其他领域中的合规工作相比，数据合规工作有其特点。专业、高效、务实的数据合规工作要求法律人员既要熟悉数据合规法律规则和监管要求，又要理解企业业务和企业管理。
首先，法律人员需要熟悉数据合规法律规则和监管要求

数据合规话题中最为典型的、且引起社会关注的领域是个人信息保护。但是，数据合规远不止个人信息保护。
2021年相继出台和施行的《数据安全法》和《个人信息保护法》，与早在2017年已生效实施的《网络安全法》共同构建了中国网络安全、数据安全和个人信息保护的法律框架体系。这三部法律以《国家安全法》所代表的国家总体安全观为统一指引，以维护国家安全、网络安全、数据安全和保护个人信息权益为宗旨，为网络安全、数据安全和个人信息保护合规管理体系建设奠定重要法治基础。
除《网络安全法》《数据安全法》和《个人信息保护法》外，《民法典》《刑法》《密码法》《消费者权益保护法》《电子商务法》等也对网络安全、数据安全和个人信息保护有相关规定。为配套网络安全、数据安全和个人信息保护法律的落地实施，行政法规、规范性文件、司法解释、部门规章、地方性法规以及技术标准逐步出台、修订，其侧重点不同，分别规定各自领域内的具体规则。
法律人员开展数据合规工作，必须了解并正确把握网络安全、数据安全和个人信息保护三者之间的关系，谙熟并掌握《网络安全法》《数据安全法》和《个人信息保护法》与其他部门法以及相关行政法规、规范性文件、司法解释、部门规章、地方性法规以及技术标准的适用关系和具体规则要求。
其次，法律人员需要理解企业的业务和管理

数据活动产生于经营和管理活动，法律人员开展数据合规工作需要理解企业的业务和管理，包括但不限于理解企业的业务或产品逻辑、相关经营活动的商业意图或交易目标，以及企业的信息技术系统资源等情况。切忌将数据合规工作与业务、管理相割裂，仅考虑“数据合规”而不考虑业务实质和管理实际。
例如，法律人员需要起草一个电子商务平台的移动应用程序（App）的个人信息处理规则（隐私政策）时，需要先了解该平台中平台运营者的角色，平台运营者与平台内经营者、用户（消费者）、平台内其他服务方（例如支付、物流、技术服务商等等）之间的业务关系、法律关系，并且通过以用户视角体验App收集和使用个人信息等数据的全流程、对企业后台数据管理系统进行核查等方式进行穿行测试，从而正确梳理在电子商务平台中的各类业务活动所涉及的各项数据处理活动情况，准确判断平台内的各方在数据处理活动中的决策、分别享有和承担何种数据保护权利和义务，才能准确地草拟该平台对应的隐私政策。如果复制、粘贴其他企业的隐私政策或套用、照搬各类模板，将出现与业务实际情况不相符。这样不但不能满足法律和监管规定要求，而且平台在个人信息处理等方面发生争议时，这样的隐私政策将无法为提供合法有效的抗辩。
又如，在法律人员对企业的数据合规管理体系建设提供法律支撑时，除需要了解法律和监管要求外，还需要了解企业所在的行业、企业战略、业务发展、组织结构、信息技术系统基础等现有资源以及企业整体合规治理安排，综合考虑从而提出贴合企业实际情况、切实可行的数据合规管理方案。否则，法律人员形成的企业数据合规管理的有关制度、文件，可能因不具有可操作性而被束之高阁，无法发挥其价值。
《数据合规实务：尽职调查及解决方案》——工作说明与实例展示
《数据合规实务：尽职调查及解决方案》一书聚焦企业数据合规实务，以作者作为社会执业律师参与的数据合规工作为例，围绕着数据合规法律实务，深入介绍法律人员可以“做什么”、“怎么做”。书中使用了大量源于作者在律师执业中的实例，介绍数据合规法律工作方法，说明数据合规常见问题以及现行法律和监管要求下的重点事项，并通过工作文件（例如数据合规尽职调查清单、尽职调查报告、法律意见书）和工作成果（例如合同条款、数据合规行为准则、数据合规整改行动计划）示例，直观地说明或帮助法律人员理解数据合规风险识别（数据合规尽职调查）——数据合规整改（数据合规解决方案）——数据合规结论意见（结论性意见/专项分析意见）的工作流程，以期为法律人员快速了解和掌握数据合规常态下的法律工作提供参考。