回望2023是数字经济和人工智能产业加速发展、立法和监管实践丰富的一年:数据安全立法落实到行业层面,执法活动持续推进并加强力度,APP个人信息保护监管常态化,数据合规已成为了企业日常合规需求;“数据二十条”开启数据要素元年后,随着数据资产入表确立、国家数据局的成立,我们迈入数据要素流通大时代;在数据跨境方面,国家回应社会经济发展和对外开外现实需要,在现有数据跨境监管基础上,开始探索更灵活高效的跨境流动机制;而以生成式人工智能服务为代表的人工智能技术进步引发全球监管关注,中国更是敏捷治理颁布首部生成式人工智能立法,并推出科技伦理审查办法,通过算法和大模型备案以及伦理审查平衡技术创新发展中的安全问题。
在过去充满变革与挑战的一年里,德和衡数字经济和人工智能业务中心勤勉务实、励精笃行协助企业完成产品包括生成式人工智能产品合规、搭建企业内部数据合规体系,顺利通过数据出境安全评估;探索数据确权、政务数据/公共数据共享、知识产权证券化;通过刑事手段协助科技企业维权等等。律回春渐,新元肇启,2024年,我们也将继续心怀热忱,相信未来,坚信合规创造价值,与您邀约共赴数字经济和人工智能这片星辰大海!
01数据合规篇
1.多业态文旅企业数据合规风险筛查
该项目客户经营的业务以及运营的互联网产品涉及多行业,处理个人信息包括敏感个人信息种类多且量大。在项目前期沟通中史蕾律师带领团队先协助客户选定十个具有代表性或个人信息处理量比较大的业务板块作为此次项目重点,后续通过纵向和横向两个维度开展整体项目风险筛查和分析工作。
纵向方面,分别对选定的十个业务板从数据收集到删除销毁整个数据处理活动进行逐个风险筛查,根据法律规定和实际监管处罚情况对风险进行等级划分并给出整改建议,以便客户合理权衡业务和风险进行合规整改。横向方面,围绕组织架构、管理制度和安全技术措施、数据处理全生命周期以及个人信息主体权利保护这四个合规模块对不同业务板块下的共性数据合规问题进行了总结并给出分析建议,有助于客户更全局观地了解整个集团的数据合规现状,更好地开展下一步的合规工作。
2.国际仓储物流企业数据出境安全评估
该项目客户开展的仓储物流业务涉及数据向境内外众多国家与地区的流转。业务类型细分众多且数据流转路径复杂。史蕾律师带领团队结合业务实际情况厘清数据出境场景及监管部门关注重点,明确数据出境的必要性判断标准,协助客户进行数据出境链路识别,分析境外接收方所在国家或地区的个人信息保护与数据安全水平。为项目客户制定了数据出境制度文件、开展个人信息出境保护影响评估以及制定告知同意文件等。适时咨询与跟踪监管部门意见对申报方案进行完善,最终助力客户成功通过了国家网信办的数据出境安全评估审查,合法合规开展数据出境。
3.某护肤行业领军企业数据合规服务
辛小天律师带领团队针对客户重点研发及运营的小程序产品的数据合规情况进行摸底,详细了解客户相应产品各项业务功能的数据处理规则及数据活动实际开展情况,结合最新数据合规相关法律法规和标准的规定、小程序及美容设备等产品最新监管动态从运营资质、产品设计、个人信息保护及数据合规流转等方面评估分析合规差距并提出法律建议;在服务过程中,我们始终与客户保持紧密联系,及时了解客户产品业务功能更新情况及业务开展的新规划,及时提供合规建议并起草、修订、审核用户协议、隐私政策、数据合作协议等法律文件。
此外,我们还结合客户的实际需求从组织架构、数据合规管理制度等各方面协助企业健全内部数据合规管理体系,并通过合规培训等方式协助客户促进数据合规管理工作的落地实施工作。
4.云服务企业数据合规服务
辛小天律师带领团队针对客户内部系统及云服务产品的数据运营是否符合国内合规监管规定进行全面自查,并从客户在日常运营中的数据处理角色、数据合作模式、企业数据全生命周期合规管理、数据合规管理体系搭建等多维度提供全面的法律分析及合规整改建议。在业务合规管理方面,围绕客户各职能部门的数据合规运营情况梳理数据流程图,并结合最新的数据合规相关法律法规和标准的规定、云服务行业监管要求及数据合规相关监管处罚案例确定合规整改事项的优先级,助力客户制定并落地实施合规整改计划;在企业整体数据合规管理方面,围绕组织架构、数据合规管理制度及管理措施等方面结合客户实际情况出具数据合规体系搭建方案,协助客户确定近期及远期数据合规管理工作规划,提升企业数据合规的管理效率。
5.保险集团数据合规常年法律服务
在保险集团客户的数据治理项目,史蕾律师带领团队协助法务合规部门审阅制定数据分类分级的数据治理规范、数据安全管理制度以及数据出境安全管理规范,就重大数据合规问题,例如去标识化的实践与意义、个人信息出境中的个人信息原则如何遵照执行、以及特定场景下的数据出境是否需要满足监管合规路径要求等等,向管理层出具法律意见书。在常年法律顾问服务中充分发挥团队在数据合规保护的经验优势,及时将数据合规保护新进展、新要求宣贯到集团实务中,响应业务部门和公司管理层的需求,有力地支持公司法务合规部门的日常数据合规工作。
6.保险科技移动应用PIA服务
该项目启动一款保险移动互联网应用程序的个人信息保护影响评估(PIA)活动。史蕾律师带领团队协助客户按照《个人信息保护法》第五十五条的要求对法定的五个场景分别开展评估,全面落实公司的个人信息保护影响评估工作。本项目分析公司整体的数据安全管理制度、技术安全措施能力是否满足保护要求,再到具体场景下的个人信息处理活动的必要性、合法事由、个人信息风险场景和影响评估,找出可能造成个人信息保护风险的不足之处开展下一步的合规整改工作。本次PIA工作既是个人信息保护法要求的规定动作,也是公司个人信息保护的一场宣贯活动,为日后产品更新与日常运营中的隐私设计以及个人信息保护理念带来积极引导。
02数据资产和知识产权篇
7.数据公司的数据确权与数据合规常年法律服务
客户致力于构建全方位的大数据运营生态系统,通过党和国家社会数据转换的快捷通道,实现国家全域大数据安全、精准服务于党的 “科学执政、数据执政、智慧执政”的新发展理念,使大数据更加便捷、高效地服务于经济社会发展,为各行各业广泛应用。作为新时代大数据领域中的 “国家队”,客户打造安全、高效、开放、共享的国家级大数据平台,并致力于做好各级党政机关、央国企、民企等大数据的 “存、管、用” 工作。客户打通各级党委政府、企事业单位之间的数据壁垒,达到实现数据资源的安全共享和发展的目标。同时,周天喜律师团队还协助客户构建数据确权服务,虽然具有一定的难度,但可以依托国务院数据二十条的规定,进行创新,数据确权业务对数据资产化,数据入表具有相当大的促进作用。
8.政务/公共数据授权运营平台数据开放流程设计
该项目客户授权运营某政务数据平台,需要对政务/公共数据共享流程进行设计。辛小天律师带领团队针对国家层面和北京、上海、广东、深圳、浙江、安徽等各地方层面以及各行业部门对于政务数据/公共数据共享的有关规定、标准和地方实践对该项目客户的咨询需求提供了点面兼具的调研报告,创设性的提供了政务/公共数据共享流程设计。为该客户合法运营以及进行政务/公共数据共享提供了可参考的实践路径。
9.某产业链客户知识产权证券化法律服务
本项目提供知识产权资产支持专项计划,是资产证卷化(ABS)业务的一个具体产品类型,即以知识产权未来预期收益权为基础资产,设定一个专项计划,由认购人向专项计划认购份额,通过知识产权的未来收益进行偿还。其复杂性在于,需要进行一定的结构化设计,目前比较成熟的模式有小货模式、售后回租的租赁模式、质押模式和信托模式。周天喜律师团队凭借其卓越的业绩展示了数据、知识产权等新型资产与金融证券经典业务相结合的无限潜力。这一模式不仅为业界带来了新的发展机遇,也为解决当前法律难题提供了新的思路,其重大意义在于,实现了无形资产在资本市场上公允合理的融资,为未来其他资产类型,比如数据资产的证券化融资起到了引领和指导的意义。
10.某科技有限公司侵害计算机软件著作权纠纷案
某科技公司(我方客户)是某系列计算机软件的著作权人,对该软件享有著作权。该软件已经过该科技公司的商业推广和广泛应用,具有极高的市场价值。某科技公司发现,某侵权主体以营利为目的,未经该科技公司合法授权许可,在其生产和销售的产品上大量预装该科技公司享有著作权的软件,再通过包括阿里巴巴、亚马逊等渠道进行商业销售,最终售往世界各地,且销售量及销售额巨大。针对上述侵权行为,辛小天、崔春花和王希娟律师团队作为代理人,采用刑事、民事等多种手段、举措,帮助该科技公司维权,且已取得阶段性成效。
此案在数字经济和刑民交叉角度具有典型意义,突显了数字化环境中的计算机软件著作权保护的挑战。侵权人在未经权利人授权的情况下大量使用权利人享有著作权的计算机软件,并将其安装在自己的产品中。数字经济时代,信息、资源获取的便利、快捷为侵权人获取权利人的软件提供了便利,并为其大规模销售侵权产品提供了渠道。因此,权利人也通过电商平台取证、并通过系统分析等方式搜集了侵权证据。针对侵权人如此恶意的大规模侵权行为,某科技公司不仅采取民事诉讼的手段对侵权人侵害其著作权的行为进行民事责任追究,更以刑事控告的方式进一步维权,以遏制侵权人的恶意侵权。权利人通过各种现代化信息技术手段搜集证据,及通过刑民交叉的手段维护自身合法权益,为数字经济时代,类似案件取证和维权提供了案例借鉴。
11.某跨国公司官网合规审查专项法律服务
崔春花律师团队受委托为一家跨国公司提供中文官网内容合规审查服务。我方从绝对化用语、歧义性语言、真实性待确认、翻译有误、信息不全面等五个方面提示了委托人客户相关的法律风险。同时,收集、整理、归纳了部分有关歧义性语言和真实性待确认问题的,涉广告宣传合规案例、虚假宜传相关的部分案例,供委托人参考以警示相关涉诉风险,建议委托人高度重视合规问题。
在数字经济时代,企业的运营越来越依赖于数字渠道,包括但不限于网站和移动应用等。在经济全球化以及数字化时代,外国企业的中文官方网站通常为其在中国大陆市场的一张名片。同时,官方网站作为其数字化业务的门户,承载着重要的在线业务和服务。合规审查对提升客户官网数字业务的合法合规性大有裨益,对于客户持续的数字化业务运营至关重要。通过合规审查,我们帮助客户提升了其中文官网数字业务的合法合规性。此案例体现了合规审查服务对数字经济时代企业稳健运营的重要作用。
03科研篇
12.电商平台的生成式AI产品合规
在《生成式人工智能服务管理暂行办法》颁布前,协助该电商平台就其专门为平台商家研发的生成式AI产品提供合规评估服务。从运营资质、互联网信息服务算法治理、知识产权保护、数据安全和个人信息保护等维度对产品进行了摸排风险筛查,协助客户完成产品正式上线前的合规评估并给出适配的合规整改建议。
结合此次产品合规经验,史蕾律师和杨雪娇律师带领团队又与iLaw合作研发了《生成式人工智能产品/服务合规评估模版》并在iLaw的LawTrust数据合规平台发布。评估模版吸收了后续颁布的《生成式人工智能服务管理暂行办法》进一步完善,在确保合规检查项多维度、多角度以及全面性的基础上,通过问卷形式帮助相关组织/个人实现合规轻量化的诉求。
13.参与网络安全协会《数据安全治理体系与能力建设研究》课题研究
北京网络安全和数据合规部辛小天和史蕾律师带领团队参与中国网络空间安全协会《数据安全治理体系与能力建设研究》的研撰工作。该份报告在网安协会的整体统筹下,由企业、技术公司、律师事务所、研究机构等多方专业团队共同参与,旨在探索政府监管与市场自律、行业自治的数据要素治理结构。德和衡律师发挥合规研究的专业特点,与各参与方协同配合,为课题研究工作顺利圆满的交付贡献了一份力量,并获得协会的认可。通过此次工作,我们也充分向企业和技术公司参与同仁进行了学习和交流。
14.发布《中国上市公司数据合规案例研究报告(2018-2023)》
上市公司作为重点监管对象,需要依据过往监管处罚实践,总结数据合规要点,防范法律政策风险。随着去年底“数据二十条”的颁布,数据要素化进程加速,企业特别是上市公司也尤为需要通过数据合规建设在数据合规流通和利用中激活其数据资产的价值。北京德和衡律师事务所、中国政法大学国际法治研究院与深圳企业联合会法工委企业合规专业委员会更新发布联合撰写的《中国上市公司数据合规案例研究报告(2018-2023)》,旨在对近几年上市公司数据合规案例进行梳理和解读,以此展望不断更新的监管动态对企业数据合规实践的影响,并为企业合规落地提供建议。这也是自2021年首次发布《中国上市公司数据合规案例研究报告(2018-2021)》,我们对报告的新增案例收录、内容更新和发布。我们也将持续密切关注立法监管动态,不断更新充实报告以飨客户、业界同仁!