企業(yè)對其管控經(jīng)營信息、商業(yè)秘密和/或涉?zhèn)€人隱私數(shù)據(jù)等問題產(chǎn)生焦慮，我們認(rèn)為原因主要在于：1）宏觀上，沒有對自己所掌握和/或涉及的數(shù)據(jù)有清晰的框架性/結(jié)構(gòu)性認(rèn)識；2）微觀上，沒能對自己應(yīng)遵守的法律法規(guī)進(jìn)行細(xì)節(jié)認(rèn)知；3）對內(nèi)，無力掌控員工行為；4）對外，無法管控業(yè)務(wù)伙伴；最終在面對繁雜的合規(guī)要求時感覺一團(tuán)亂麻，無從下手。

?

針對上述癥結(jié)，我們認(rèn)為如果企業(yè)可以構(gòu)建以橫向數(shù)據(jù)種類為基礎(chǔ)，縱向法律要求為依據(jù)，細(xì)分行業(yè)領(lǐng)域，責(zé)任落實到個人，任務(wù)分解到單位的數(shù)據(jù)合規(guī)體系，那么無論靈活工作制給予員工多少程度的自由，企業(yè)都不用過于擔(dān)心數(shù)據(jù)合規(guī)出現(xiàn)系統(tǒng)性風(fēng)險和/或企業(yè)數(shù)據(jù)得不到基本的保護(hù)。

?

所謂以橫向數(shù)據(jù)種類為基礎(chǔ)，指的是無論企業(yè)掌握和/或涉及多少數(shù)量的數(shù)據(jù)，這些數(shù)據(jù)總是可以按其性質(zhì)進(jìn)行分類，而企業(yè)首先應(yīng)當(dāng)做的就是對自身掌握和/或涉及的數(shù)據(jù)種類按照一定標(biāo)準(zhǔn)進(jìn)行梳理與分類，并以此為基礎(chǔ)開展接下來的數(shù)據(jù)合規(guī)體系建設(shè)。這是因為，清晰的框架性/結(jié)構(gòu)性認(rèn)知對于企業(yè)來說就像是合規(guī)的目錄和/或大綱，如果將來出現(xiàn)任何有關(guān)合規(guī)的問題，企業(yè)只要將對應(yīng)問題投射到這個目錄和/或大綱上，就能迅速定位問題所在及其所對應(yīng)的合規(guī)要求和/政策，而不至于在茫茫的合規(guī)要求中大海撈針。

?

就數(shù)據(jù)種類而言，我們認(rèn)為企業(yè)經(jīng)營過程中可能掌握和/或涉及的數(shù)據(jù)主要可以劃分為以下幾類：一般經(jīng)營信息[1]、個人信息[2]、商業(yè)秘密，以及國家秘密。

?

所謂以縱向法律要求為依據(jù)，指的是企業(yè)在對自身掌握和/或涉及的數(shù)據(jù)進(jìn)行分類之后，應(yīng)當(dāng)嚴(yán)格按照法律法規(guī)對每種數(shù)據(jù)的要求制定細(xì)致的合規(guī)政策，以確保企業(yè)能合法合規(guī)地處理相關(guān)數(shù)據(jù)，和/或企業(yè)相關(guān)數(shù)據(jù)能得到法律的有效保護(hù)。受限于篇幅，筆者在此僅就一般經(jīng)營信息、個人信息、商業(yè)秘密以及國家秘密的部分合規(guī)要點進(jìn)行初步梳理：

?

?

就企業(yè)的一般經(jīng)營信息而言，其受到的合規(guī)限制相對較少。一方面，很多企業(yè)經(jīng)營信息是被要求強(qiáng)制公開的。另一方面，許多企業(yè)出于各類目的，也樂于將自己的部分經(jīng)營信息進(jìn)行披露與分享。

?

但這里需要注意的是，對于上市企業(yè)，其經(jīng)營信息的公開可能需要遵循一定的程序。除此以外，上市企業(yè)還需對公開信息的內(nèi)容、形式等要素有所關(guān)注。上市企業(yè)不當(dāng)披露和/或泄露經(jīng)營信息的，企業(yè)及企業(yè)相關(guān)人員可能會面臨相應(yīng)民事、行政甚至刑事責(zé)任。

?

?

個人信息保護(hù)是近幾年來的熱點問題?，F(xiàn)行法律法規(guī)對個人信息從收集、使用、存儲到披露各個環(huán)節(jié)都有程度不同的規(guī)范。企業(yè)應(yīng)當(dāng)根據(jù)自己所涉及的個人信息處理環(huán)節(jié)分別制定細(xì)致的合規(guī)政策，并對員工進(jìn)行培訓(xùn)教育以使其熟悉相應(yīng)要求。

?

根據(jù)我們的觀察，企業(yè)對于其客戶的個人信息保護(hù)開始逐漸重視。但對于如何處理自身員工的個人信息，有時候卻陷入迷茫。對于這個問題，我們認(rèn)為，為保障企業(yè)的正常經(jīng)營與日常業(yè)務(wù)開展，企業(yè)有權(quán)利要求員工提供和/或使用員工個人信息。但企業(yè)對員工個人信息的要求提供和/或使用應(yīng)僅限于正常經(jīng)營活動和日常業(yè)務(wù)的開展，且企業(yè)應(yīng)確保對員工個人信息的收集、使用、存儲和披露等行為均符合法律法規(guī)的要求。簡單來說，面對員工個人信息，企業(yè)除了可以在必要和/或合理的經(jīng)營與業(yè)務(wù)限度內(nèi)適當(dāng)擴(kuò)寬信息收集的范圍外，其他合規(guī)要求應(yīng)與處理企業(yè)客戶的個人信息要求無異。

?

?

對于商業(yè)秘密，我們理解企業(yè)其實最關(guān)心的是在靈活工作制度下如何確保自己的商業(yè)秘密不被外泄。我們認(rèn)為，管控商業(yè)秘密，需要從制度建設(shè)方面和人員管理同時入手。具體來說，制度建設(shè)上：1）應(yīng)明確企業(yè)商業(yè)秘密的內(nèi)容、范圍及保密期限；2）在商業(yè)秘密及其載體上加注顯著標(biāo)識；3）采取制度和技術(shù)手段加強(qiáng)對商業(yè)秘密及其載體的管控。人員管理上：1）應(yīng)加強(qiáng)對員工的保密教育；2）加強(qiáng)員工入職和離職審查。

?

?

涉及國家秘密的行業(yè)和/或企業(yè)總體上還是少數(shù)，但如果企業(yè)確實在經(jīng)營過程中接觸到國家秘密，我們建議企業(yè)嚴(yán)格按照《保守國家秘密法》等法律法規(guī)的要求以及相關(guān)政府部門的指導(dǎo)進(jìn)行處理。另外，如果企業(yè)需要參與涉外訴訟和/或仲裁程序，在證據(jù)開示前，可以考慮主動進(jìn)行國家秘密篩查，以免因任何疏漏和/或過失產(chǎn)生難以挽回的損失并承擔(dān)相應(yīng)責(zé)任。

?

企業(yè)完成了橫向的數(shù)據(jù)種類梳理和縱向的合規(guī)政策制定后，數(shù)據(jù)合規(guī)體系就基本有了雛形。但是，這只是一個通用模板。如果要讓數(shù)據(jù)合規(guī)體系這棵大樹枝繁葉茂，那么企業(yè)還需要就自己所處的行業(yè)、所采取的業(yè)務(wù)模式以及企業(yè)性質(zhì)進(jìn)行針對性的數(shù)據(jù)合規(guī)梳理。

?

以行業(yè)特殊性為例，如果企業(yè)涉及生命健康行業(yè)，我們國家對于病患信息、生物遺傳信息等數(shù)據(jù)有著更嚴(yán)格的規(guī)定。以業(yè)務(wù)模式特殊性為例，以前獵企、房地產(chǎn)銷售/租賃等行業(yè)對于潛在客戶的信息管理相對粗放，應(yīng)聘者簡歷被傳閱、房客手機(jī)號碼被共享等現(xiàn)象屢見不鮮。但隨著個人信息保護(hù)相關(guān)法律的出臺，相應(yīng)企業(yè)業(yè)務(wù)模式也需要進(jìn)行調(diào)整，否則隨時都可能觸及相關(guān)法律紅線。

?

除此以外，以企業(yè)性質(zhì)特殊性為例，我們在此主要對外資企業(yè)數(shù)據(jù)合規(guī)的幾重要個問題進(jìn)行簡單討論：

?

1.外資企業(yè)數(shù)據(jù)出境如何合規(guī)操作？

?

起初，根據(jù)《網(wǎng)絡(luò)安全法》，"關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估"。接下來，2017年的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》將上述義務(wù)主體由關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者擴(kuò)大到了全部網(wǎng)絡(luò)經(jīng)營者。但根據(jù)2019年的《個人信息出境安全評估辦法（征求意見稿）》，重要數(shù)據(jù)和個人信息可能會分離管理。

?

雖然與數(shù)據(jù)出境相關(guān)的內(nèi)容暫時沒有塵埃落定，但企業(yè)不應(yīng)抱有"既然沒有落地，那就等生效后再說"的懈怠心理。我們認(rèn)為企業(yè)至少可以從以下幾個方面著手?jǐn)?shù)據(jù)出境合規(guī)建設(shè)：

?

a）?確被列為關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者的企業(yè)應(yīng)當(dāng)嚴(yán)格按照《網(wǎng)絡(luò)安全法》的要求進(jìn)行數(shù)據(jù)本地化操作。但我們理解，一般外企被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者的情況是極少數(shù)；

?

b）?針對一般業(yè)務(wù)數(shù)據(jù)（例如，一般經(jīng)營信息，業(yè)務(wù)活動信息等），出于企業(yè)日常經(jīng)營與業(yè)務(wù)開展之目的，我們認(rèn)為可以向境外傳輸，企業(yè)不必杯弓蛇影。

?

c）?對于重要數(shù)據(jù)[3]，企業(yè)暫時可參照2017年的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》和《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南（征求意見稿）》進(jìn)行合規(guī)梳理。

?

d）?對于個人信息，企業(yè)暫時可參照2019年的《個人信息出境安全評估辦法（征求意見稿）》進(jìn)行合規(guī)梳理。具體來說，企業(yè)需要對個人信息出境進(jìn)行安全評估、與境外個人信息接收者簽訂合同和/或其他有法律效力的文件，并出具個人信息出境安全風(fēng)險及安全保障措施分析報告。關(guān)于上述問題和文件的細(xì)節(jié)說明，各位可參看筆者拙著《未雨綢繆?| 企業(yè)如何提前備戰(zhàn)個人信息出境管理？》。

?

2.外資企業(yè)員工不幸感染新冠病毒是否可以向境外總部報送相關(guān)信息？

?

如果外資企業(yè)員工不幸感染新冠病毒，我們認(rèn)為原則上可以向境外總部報送受感染員工數(shù)量、是否有出差經(jīng)歷、是否已采取隔離措施等基本情況。但是，不建議向境外總部報送受感染員工的具體個人信息（如住院醫(yī)院、家庭地址等）。這是因為，如果外資企業(yè)向境外總部過度披露不幸感染新冠病毒的員工個人信息，至少可能會面臨兩個問題：a）未取得個人信息主體同意；b）與企業(yè)日常經(jīng)營和業(yè)務(wù)開展之目的無關(guān)（即，個人信息處理的必要性與最小化原則未能被遵守）。

?

除此以外，我們還希望提醒戰(zhàn)斗在抗擊疫情一線的企業(yè)，如果在參與抗擊疫情的過程中接觸到任何病患信息、生物遺傳信息以及其他涉及生命健康和/或藥物使用的敏感信息，請務(wù)必嚴(yán)格按照相關(guān)部門指導(dǎo)意見進(jìn)行工作，并時刻保持與相關(guān)部門的順暢溝通。

?

3.外資企業(yè)如何應(yīng)對數(shù)據(jù)跨境時的多法域合規(guī)監(jiān)管要求？

?

外資企業(yè)在進(jìn)行數(shù)據(jù)跨境傳輸時，經(jīng)常遇到的另一困難在于如何同時滿足多國或多法域數(shù)據(jù)合規(guī)監(jiān)管要求。 企業(yè)之所以感到困難，我們認(rèn)為很多時候其實是沒有做到"不重不漏"，最后導(dǎo)致工作沒少做，但結(jié)果卻事倍功半。

?

所謂"不重"，指的是盡管各國各地區(qū)的數(shù)據(jù)立法都不盡相同，但各國各地區(qū)關(guān)于數(shù)據(jù)流動性和數(shù)據(jù)保護(hù)的基本原則與目的是相通的。對于不同法域下數(shù)據(jù)合規(guī)要求中一致的部分，企業(yè)應(yīng)爭取做到花一份精力滿足多個要求。所謂"不漏"，指的是外資企業(yè)在數(shù)據(jù)合規(guī)上不能有類似"GDPR的要求比國內(nèi)相關(guān)法律法規(guī)要求更高，只要滿足了GDPR的要求就到哪都肯定是合規(guī)了的"懈怠和錯誤思想。這是因為，如果只在深度上關(guān)注某個嚴(yán)格的監(jiān)管要求，那么就可能忽視其他監(jiān)管體系在廣度上做出的要求。最后，如果多法域監(jiān)管要求不幸出現(xiàn)沖突，在中國境內(nèi)，我們建議優(yōu)先適用和考慮中國法律法規(guī)的要求與行為規(guī)范。

?

4.責(zé)任落實到個人

?

合規(guī)義務(wù)主體，可以細(xì)化分為三類：1）企業(yè)本身；2）企業(yè)工作人員，如股東、管理層、普通員工等；3）與企業(yè)經(jīng)營管理發(fā)生聯(lián)系的第三方，如供應(yīng)商、承包商、中間商等[4]。截至本部分之前，我們主要討論的是企業(yè)本身應(yīng)當(dāng)如何做好合規(guī)。接下來的一部分，我們將與各位就其他兩個合規(guī)義務(wù)主體的相關(guān)內(nèi)容進(jìn)行簡單分享。

?

所謂責(zé)任落實到人，指的是企業(yè)合規(guī)除了意味著要建章立制外，還需要對其員工行為進(jìn)行管控。某種意義上，員工行為是否合規(guī)將直接決定企業(yè)合規(guī)工作的成敗。因此，我們建議：1)持續(xù)進(jìn)行員工培訓(xùn)與風(fēng)險教育，確保員工清晰的知道企業(yè)的合規(guī)要求以及不合規(guī)行為可能給其自身及企業(yè)帶來的風(fēng)險；2）通過對數(shù)據(jù)接觸、使用、披露等行為進(jìn)行權(quán)限制度設(shè)計和技術(shù)保障，從而幫助員工被動合規(guī)；3）還需注意對高級管理人員及股東等人員的合規(guī)管控，例如，當(dāng)年SEC訴馬斯克事件就曾給馬斯克本人及特斯拉公司帶來不小的負(fù)面后果。

?

5.任務(wù)分解到單位

?

所謂任務(wù)分解到單位，這里的單位主要指的就是與企業(yè)經(jīng)營管理發(fā)生聯(lián)系的第三方。簡單來說，這部分問題討論的是企業(yè)在與第三方合作中如何有效管控第三方數(shù)據(jù)行為的合規(guī)性。我們認(rèn)為：

?

首先，與第三方合作前可以進(jìn)行盡職調(diào)查，盡調(diào)內(nèi)容包括但不限于：1）第三方是否擁有提供該等服務(wù)的相應(yīng)資質(zhì)或牌照；2）第三方是否存在濫用個人信息、數(shù)據(jù)泄露、監(jiān)管部門處罰，或有類似重大風(fēng)險事件等不良記錄；3）第三方的管理制度是否滿足網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的要求；4）第三方的技術(shù)能力、設(shè)備標(biāo)準(zhǔn)是否滿足網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的要求。

?

其次，企業(yè)可以在與第三方合作的合同中放入數(shù)據(jù)合規(guī)管控條款以適當(dāng)分配相應(yīng)風(fēng)險，包括但不限于以下幾方面的內(nèi)容：1）行為合規(guī)保證條款；2）合規(guī)責(zé)任分配條款；3）合規(guī)危機(jī)處置條款。

?

?