數(shù)字化產(chǎn)品合規(guī)工作三步法

劉瑛、李曉華

編者按：

面對企業(yè)數(shù)字化轉(zhuǎn)型，如何開展合規(guī)工作，特別是如何對數(shù)字化的創(chuàng)新業(yè)務(wù)和產(chǎn)品進行合規(guī)審查，對法律人員來說，既是挑戰(zhàn)也是機遇。天元律師在《互聯(lián)網(wǎng)平臺運營法律實務(wù)》（2020年）、《數(shù)據(jù)合規(guī)實務(wù)：盡職調(diào)查及解決方案》（2022年）等專業(yè)著作中，場景化地分析了律師參與的案件實例、分享了工作文本實例，歸納、提煉和展示了數(shù)字化經(jīng)濟時代商事律師對基礎(chǔ)業(yè)務(wù)和創(chuàng)新業(yè)務(wù)的思考和實務(wù)心得，以期對法律人員有所幫助。

數(shù)字經(jīng)濟時代，企業(yè)數(shù)字化轉(zhuǎn)型進入快車道，通過數(shù)據(jù)、計算機技術(shù)和網(wǎng)絡(luò)等數(shù)字化形態(tài)表現(xiàn)的創(chuàng)新業(yè)務(wù)和產(chǎn)品（下稱“數(shù)字化產(chǎn)品”）不斷涌現(xiàn)并更新迭代，數(shù)據(jù)合規(guī)領(lǐng)域的法律法規(guī)和規(guī)范性要求日趨精細化。企業(yè)數(shù)據(jù)合規(guī)工作已不僅是為了滿足上市、投資等活動需要而進行的應(yīng)急式合規(guī)治理，更是事關(guān)企業(yè)的運營和持續(xù)發(fā)展，為產(chǎn)品落地和企業(yè)數(shù)字化轉(zhuǎn)型保駕護航。

本文圍繞數(shù)字化產(chǎn)品的合規(guī)審查，總結(jié)法律人員協(xié)助企業(yè)開展數(shù)字化產(chǎn)品的合規(guī)審查要點，介紹如何在產(chǎn)品的商業(yè)邏輯與法律邏輯之間建立對應(yīng)關(guān)系，在商業(yè)活動與法律規(guī)則之間達成共識，為商業(yè)意圖的合法合規(guī)落地提供切實可行的解決方案。

準確判斷法律關(guān)系是基礎(chǔ)

了解數(shù)字化產(chǎn)品的業(yè)務(wù)模式，準確判斷對應(yīng)的法律關(guān)系，是數(shù)字化產(chǎn)品合規(guī)審查工作的起點。對數(shù)字化產(chǎn)品的業(yè)務(wù)關(guān)系和法律關(guān)系的梳理可以圍繞三方面展開：一是梳理產(chǎn)品的功能和內(nèi)容，識別產(chǎn)品所需的資質(zhì)，判斷產(chǎn)品是否符合法律法規(guī)、監(jiān)管要求、行業(yè)準則，是否存在違反公序良俗或者其他對用戶帶來不良影響的風險；二是梳理產(chǎn)品的客戶（指訂購產(chǎn)品的客戶）及實際使用產(chǎn)品的用戶（也稱“最終用戶”），核查產(chǎn)品是否符合法律法規(guī)對特定人群（例如青少年）的保護要求，為后續(xù)安排業(yè)務(wù)合同等文件的簽署做出預(yù)案；三是核查產(chǎn)品及相關(guān)服務(wù)的業(yè)務(wù)模式，判斷產(chǎn)品的提供方式/途徑是否符合法律法規(guī)和監(jiān)管要求，是否符合商業(yè)慣例。

梳理產(chǎn)品的業(yè)務(wù)模式后，需要確定企業(yè)（作為產(chǎn)品提供方）與交易各方之間的法律關(guān)系，識別判斷企業(yè)在相應(yīng)法律關(guān)系下應(yīng)當承擔的法律責任。例如，對于由多個主體參與產(chǎn)品開發(fā)、運營、銷售、服務(wù)提供等環(huán)節(jié)的產(chǎn)品，需要對照民法典等法律法規(guī)明確該等主體之間的法律關(guān)系（例如委托合同關(guān)系、買賣合同關(guān)系、租賃關(guān)系等），識別判斷各主體應(yīng)當承擔的法律責任。

對于客戶與最終用戶不是同一人的，需要梳理和識別客戶與最終用戶之間、企業(yè)與客戶之間、企業(yè)與最終用戶之間的業(yè)務(wù)關(guān)系和法律關(guān)系，確保產(chǎn)品有關(guān)各方業(yè)務(wù)關(guān)系的描述（例如產(chǎn)品功能、業(yè)務(wù)流程、業(yè)務(wù)合同等）與其法律關(guān)系匹配，并采取相應(yīng)措施滿足法律法規(guī)和監(jiān)管要求，保障企業(yè)合法權(quán)益的同時確保產(chǎn)品不侵犯其他方的合法權(quán)益。

加強合規(guī)審查是重點

合規(guī)審查是合規(guī)管理的一項重要活動，加強合規(guī)審查是企業(yè)規(guī)范經(jīng)營行為、防范違規(guī)風險的第一道關(guān)口，合規(guī)審查做到位可以從源頭上防住大部分合規(guī)風險。而數(shù)據(jù)合規(guī)審查，無疑是數(shù)字化產(chǎn)品合規(guī)審查的重點。數(shù)據(jù)合規(guī)審查主要從網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個人信息保護三個方面進行。

在網(wǎng)絡(luò)安全方面，對照網(wǎng)絡(luò)安全法等法律法規(guī)審查企業(yè)是否采取了技術(shù)措施和其他必要措施保障網(wǎng)絡(luò)運行安全和網(wǎng)絡(luò)信息安全。例如，對于產(chǎn)品運營涉及的相關(guān)信息系統(tǒng)，審查企業(yè)是否按照網(wǎng)絡(luò)安全法、《信息安全等級保護管理辦法》和相關(guān)技術(shù)標準進行了安全保護等級的確定、測評以及向公安機關(guān)辦理了備案手續(xù)。又如，對于涉及互聯(lián)網(wǎng)信息服務(wù)的產(chǎn)品，根據(jù)網(wǎng)絡(luò)安全法、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等法律法規(guī)，審查企業(yè)是否采取了相應(yīng)措施加強對用戶發(fā)布的信息管理，確保信息內(nèi)容安全。

在數(shù)據(jù)安全方面，對照數(shù)據(jù)安全法等法律法規(guī)，審查企業(yè)是否履行了數(shù)據(jù)安全保護責任。例如，企業(yè)是否按照法律法規(guī)要求對產(chǎn)品收集和產(chǎn)生的數(shù)據(jù)進行分類分級，并采取相應(yīng)保護措施。又如，判斷產(chǎn)品涉及的數(shù)據(jù)是否應(yīng)當在中國境內(nèi)存儲；對于需要出境的數(shù)據(jù)，是否按照《數(shù)據(jù)出境安全評估辦法》等法律法規(guī)，履行了相關(guān)評估程序、落實相關(guān)數(shù)據(jù)安全責任。

在個人信息保護方面，一是審查企業(yè)是否按照個人信息保護法等相關(guān)法律法規(guī)的要求對個人信息、敏感個人信息進行分類管理，是否依法對敏感個人信息采取了加強保護措施；二是甄別產(chǎn)品運營主體、其他業(yè)務(wù)參與單位等相關(guān)方在產(chǎn)品數(shù)據(jù)處理活動中的角色，錨定誰是個人信息處理者，識別企業(yè)對相關(guān)個人信息處理應(yīng)當承擔的義務(wù)和責任，審查業(yè)務(wù)合同和交易文件是否正確反映和明確企業(yè)在個人信息處理活動中的角色和責任，是否按照法律法規(guī)和監(jiān)管要求采取了相應(yīng)的合規(guī)措施；三是審查產(chǎn)品在收集、存儲、使用、加工、傳輸、提供、公開、刪除等個人信息處理全流程的各環(huán)節(jié)是否符合法律法規(guī)和監(jiān)管要求。對于法律法規(guī)規(guī)定應(yīng)當進行個人信息保護影響評估的產(chǎn)品，是否進行了個人信息保護影響評估。

除了數(shù)據(jù)合規(guī)角度進行的審查以外，對數(shù)字化產(chǎn)品的合規(guī)審查還需要關(guān)注產(chǎn)品是否符合其他領(lǐng)域的法律法規(guī)和監(jiān)管要求，是否存在其他合規(guī)風險。常見的關(guān)注重點例如知識產(chǎn)權(quán)、反壟斷與反不正當競爭、消費者權(quán)益保護等。以消費者權(quán)益保護為例，審查產(chǎn)品是否保障了消費者的知情權(quán)、選擇權(quán)和公平交易權(quán)等權(quán)利，產(chǎn)品宣傳等是否符合廣告法等規(guī)定，是否涉及利用數(shù)據(jù)算法對消費者實施不合理的差別待遇等。

妥善制定交易文件是保障

企業(yè)需要通過一定的方式將數(shù)字化產(chǎn)品提供給客戶（用戶）。為此，企業(yè)往往需要與客戶（用戶）等交易各方簽訂各類業(yè)務(wù)合同和交易文件（下稱“交易文件”）。這些交易文件，有的側(cè)重于交易安排，例如產(chǎn)品銷售/許可合同、訂單，約定交易標的、交易價格、產(chǎn)品服務(wù)內(nèi)容及標準、各方的權(quán)利義務(wù)等；有的則側(cè)重于產(chǎn)品交付/運營中的業(yè)務(wù)規(guī)范和工作步驟，例如工作說明書等。

視乎產(chǎn)品的經(jīng)營模式等商業(yè)安排，數(shù)字化產(chǎn)品的交易文件可能由企業(yè)與客戶（用戶）通過線下雙方簽字蓋章方式簽訂，也可能由企業(yè)通過互聯(lián)網(wǎng)平臺在線向客戶（用戶）展示，客戶（用戶）通過線上點擊同意等方式簽署。同時，也存在由企業(yè)與客戶線下簽訂銷售合同，通過互聯(lián)網(wǎng)平臺線上交付產(chǎn)品，客戶/最終用戶登錄使用互聯(lián)網(wǎng)平臺時線上簽訂用戶協(xié)議、隱私政策等平臺文件的情況。

法律人員在起草、審查數(shù)字化產(chǎn)品的合同等交易文件時，需要在全面、準確理解商業(yè)安排的基礎(chǔ)上，正確判斷交易對應(yīng)的法律關(guān)系，找到數(shù)據(jù)流、業(yè)務(wù)流與法律規(guī)則之間的對應(yīng)關(guān)系；審查合同等交易文件是否符合法律法規(guī)和監(jiān)管要求，關(guān)注交易文件文本安排是否符合業(yè)務(wù)實際和商業(yè)慣例，考量線下、線上合同等各交易文件的設(shè)置是否匹配且無沖突，確保合同等交易文件既能夠明確各方權(quán)利義務(wù)，也能夠清晰地說明業(yè)務(wù)安排；在合法合規(guī)的前提下，增強數(shù)字化產(chǎn)品落地實施的可行性。

總結(jié)來說，企業(yè)數(shù)字化轉(zhuǎn)型對法律人員既是挑戰(zhàn)也是機遇。一方面，數(shù)據(jù)合規(guī)工作常態(tài)化對法律人員提出了越來越高的要求——不僅需要整體理解法律監(jiān)管體系，諳熟法律規(guī)則的適用，還需要懂得業(yè)務(wù)活動和商業(yè)規(guī)則，了解企業(yè)的商業(yè)意圖和交易目標，理解業(yè)務(wù)與產(chǎn)品邏輯；另一方面，合規(guī)工作不限于“后臺”審核、提示可能的法律合規(guī)風險或者解決已出現(xiàn)的法律合規(guī)風險，也讓法律人員走向“前臺”，成為企業(yè)其他部門重要的合作伙伴。

在企業(yè)新產(chǎn)品、新領(lǐng)域的研發(fā)階段，法律人員參與研判和論證，協(xié)助企業(yè)建立商業(yè)邏輯與法律邏輯之間建立對應(yīng)關(guān)系，在數(shù)據(jù)處理規(guī)則與法律規(guī)則之間達成共識，協(xié)助企業(yè)找到創(chuàng)新的數(shù)字化產(chǎn)品落地的合規(guī)可行路徑，助力企業(yè)數(shù)字化轉(zhuǎn)型，為企業(yè)賦能。