欢迎访问北京强企知识产权研究院!
傅彤:创新企业法律合规架构
来源:知识产权家 日期:2022/11/07 浏览量:616
图片

2022年9月24日,由《中国知识产权》杂志主办的“第十二届中国知识产权新年论坛暨2022年中国知识产权经理人年会”在京召开。本届新年论坛以“守正创新 聚势谋远”为主题,持续关注企业知识产权管理与法律合规问题。在主论坛“中国知识产权高峰趋势论坛”上,同元法律咨询公司创始人傅彤发表了题为“创新企业法律合规架构”的主题演讲。


图片

傅彤在演讲中介绍了创新企业的法律合规架构,分析了当前创新企业数据合规所面临的内外部环境,并阐述了企业数据分类分级的相关标准及流程。


图片

以下为演讲实录:


大家上午好!很荣幸有机会在此分享关于创新企业法律合规架构的一些观点。


一、互联网行业特征


人工智能、大数据、云计算以及移动互联网深度普及等趋势,催生了以数据驱动、用户免费、平台化经营、效率与体验为主要特征的新经济创新企业。以数据驱动为例,从当前的立法动态、规定细则、监管趋势来看,国家要求各个行业,尤其是互联网、金融等高度依赖数据的行业,需要建立起完善的数据管理体系。


因此,今天的知识产权管理,不仅要考虑商标、专利、软件著作权等传统项目,还要根据企业特征,尤其是创新企业的特点,考虑开源合规和数据合规。


以汽车行业为例,数据合规工作需要了解自动驾驶技术需要采集哪些数据、这些数据用什么方式传输、怎样做好最小单元的数据存储和隔离、开源代码的嵌入方式、静态链接库与动态链接库的区别等。这需要既懂技术又了解各国法律法规的专家人才,在这方面,专利工程师可能很有优势。


看移动应用App的隐私保护,大量的移动应用都希望通过一次授权能获得更多用户的数据,如地理位置、手机代码、通知权限等。但根据《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》(GB/T41391-2022)的规定,数据获取要采取最小必要原则;工信部在对App个人信息的专项调查也提出了相关要求。对此,数据合规工作也设置了许多非常细致的要求。


通常一家中型科技企业的组织架构分为前、中与后台。法律合规部属于后台部门,知识产权是法律合规中的一个工作小组,话语权和资源都很有限。在这种情况下,要怎样把企业的法律合规做好?


二、企业法律合规架构


企业法律合规架构的搭建要以业务需求为导向、以解决问题为目标、以降本增效为考核。企业关注的维度是人、财、务。这里的“务”,是指业务。


从人的角度,要关注公司治理、牌照资质、董监高资质、审批流程、授权安排等。从财的角度,要关注无形资产(商标、专利、软件著作权)、资本市场(融资、投资并购、上市)、数据资产(收集、使用、流转、输出)、资产争议(争议防范与解决)等。从务的角度,要关注的业务合规(管理体系、合规文化)、数据合规(内控制度、专项评估、合作方管理)、战略合规(构建监管沟通体系、良性互动)、政策研究(政策研究精准性、前瞻性、支撑度)等。


三、数据合规业务外部环境


近年来,企业数据合规业务的外部环境发生了重要变化。


首先是法律法规政策标准得到完善,从2012年开始到2022年,国家陆续推出并施行了《网络安全法》《数据安全法》《个人信息保护法》,意味着当前国家关于个人信息保护法律制度的顶层设计基本形成。而在针对行业领域个人信息保护方面,相关管理规定也在积极地制定、完善、修订过程中。


其次是标志性案件增多,反映监管态度。国家网信办对“滴滴出行”的网络安全审查引发了企业和大众对网络安全和数据合规的高度关注。审查期间“滴滴出行”停止新用户注册,“滴滴出行”App也被各应用商店下架。这使得很多企业真正认识到,网络和数据安全事关公民个人权益、企业健康发展甚至国家安全。


再次是治理迈向纵深,关注算法治理和数据出境。2022年7月国家网信办出台《数据出境安全评估办法》以规范数据出境活动、保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全,表明我国网络空间治理的监管思路日趋深入与细化。


最后是多部门分工协作开展日常与专项检查,包括网信办、工信部、市监总局及各行业监管部门,都开展针对数据安全、网络安全、个人信息保护等方面的专项检查,并形成常态化严监管态势。


四、企业数据分类分级标准及流程


所谓“数据分类”,通常指依照数据的来源、内容和用途对数据进行分类,即从业务角度出发,理清数据家底,明确知道有哪些数据、属于哪个业务类别。所谓“数据分级”,通常指按照数据的价值、内容的敏感程度、影响和分发范围,对数据进行敏感级别划分,并采取相应的安全等级规则,对不同级别的数据分别采取不同授权。考虑到每家企业掌握的数据不同,使用目的和范围也不一样,且行业差距也很大,例如金融、医疗等产业对于数据合规就有着特殊要求,大部分企业的数据分类分级工作都是“私人订制”的。企业需要深入学习和领会法律法规监管要求,参考《中国移动大数据安全管控分类分级实施指南》这类标准,根据企业自身的数据并结合行业惯用做法,形成一整套企业数据资产分类分级方法论和策略组合。


一般而言,企业数据合规模块主要包括App、小程序、公众号隐私合规服务等。在数据合规方面,企业面临着多重监管,既有传统的“四轮驱动”——网信办、工信部、公安部、市场监管部门,又有涵盖各个行业的主管部门,还有地区的管辖,这些机构的监管相互交错。在此背景下,企业要使用体系化的工具解决隐私保护的痛点问题,实际上面临着非常大的挑战。行业非常期待国家能进一步完善基础法律和政策指引,帮助企业更好地落实数据合规义务。行业内也有共识,一部分数据合规是可以实现标准化、自动化的,因此,建议企业使用专业工具进行数据合规检测,如评估工具底表等,以节省时间、精力与财力。


个人信息管理现状调研与隐私影响评估也是值得企业关注的一个方面。特别是拟上市企业和国家重点关注行业,都应梳理个人信息数据清单,做好合规审计(数据流动轨迹、记录留存、数据保护模式、合法性事由、通知与提示、数据风险评估、服务合同、隐私政策与程序),评估合规差距,形成分析报告,并量身制定合规整改方案,最后通过优化数据管理模式、完善政策规章制度、建设应用数据合规体系、持续性跟踪与培训等方式协助实施整改方案。


在数据保护合规体系策划与实施服务方面,应建设内控制度,结合现有组织架构,完善数据安全合规制度;做好合作方管理,保障客户、供应商、监管机构相关数据交互的合规;开展专项评估,根据《个人信息保护法》等监管要求、特定业务的安全合规要求等进行评估。


安全合规咨询服务对于一些创新型、技术型企业而言尤为重要,包括专项安全咨询服务(商用密码应用安全、重要数据出境、跨境业务信息安全、金融业务信息安全合规、地图业务信息安全合规)、公司主体安全资质规划服务(网络安全等级保护、产品资质、公司主体资质、合规管理资质等)、数据安全能力成熟度评估服务(人员能力、技术工具、制度流程、组织建设)、数据安全能力建设咨询(数据分类分级、数据安全管理、数据安全技术、数据安全事件处置、数据安全标准研制)四个方面。


最后,梳理总结企业数据保护专项的一般工作流程。首先启动项目时,应起草初步的项目计划书,做好相关培训,关键是通过尽职调查、分享交流、资料梳理等步骤进行数据梳理;随后,建立数据分类,出具风险评估意见和整改方案(包括差距分析、风险评估、实施方案制定和落地等内容),最后完成构建企业数据合规保护体系。


今年9月,国家知识产权局在京组织召开数据知识产权工作指导专家组第一次全体会议。申长雨指出,构建数据知识产权制度是一项重大的制度创新和实践创新,要充分考虑数据的安全、公众的利益和个人的隐私,要充分发挥数据对产业数字化转型和经济高质量发展的支撑作用。我们也深切关注数据和知识产权制度的构建,希望能够跟业界同仁共同构建企业数据保护体系。


谢谢大家!

010-57297529