劉瑛、李曉華

編者按：

面對(duì)企業(yè)數(shù)字化轉(zhuǎn)型，如何開展合規(guī)工作，特別是如何對(duì)數(shù)字化的創(chuàng)新業(yè)務(wù)和產(chǎn)品進(jìn)行合規(guī)審查，對(duì)法律人員來說，既是挑戰(zhàn)也是機(jī)遇。天元律師在《互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)法律實(shí)務(wù)》（2020年）、《數(shù)據(jù)合規(guī)實(shí)務(wù)：盡職調(diào)查及解決方案》（2022年）等專業(yè)著作中，場(chǎng)景化地分析了律師參與的案件實(shí)例、分享了工作文本實(shí)例，歸納、提煉和展示了數(shù)字化經(jīng)濟(jì)時(shí)代商事律師對(duì)基礎(chǔ)業(yè)務(wù)和創(chuàng)新業(yè)務(wù)的思考和實(shí)務(wù)心得，以期對(duì)法律人員有所幫助。

數(shù)字經(jīng)濟(jì)時(shí)代，企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)入快車道，通過數(shù)據(jù)、計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)等數(shù)字化形態(tài)表現(xiàn)的創(chuàng)新業(yè)務(wù)和產(chǎn)品（下稱“數(shù)字化產(chǎn)品”）不斷涌現(xiàn)并更新迭代，數(shù)據(jù)合規(guī)領(lǐng)域的法律法規(guī)和規(guī)范性要求日趨精細(xì)化。企業(yè)數(shù)據(jù)合規(guī)工作已不僅是為了滿足上市、投資等活動(dòng)需要而進(jìn)行的應(yīng)急式合規(guī)治理，更是事關(guān)企業(yè)的運(yùn)營(yíng)和持續(xù)發(fā)展，為產(chǎn)品落地和企業(yè)數(shù)字化轉(zhuǎn)型保駕護(hù)航。

本文圍繞數(shù)字化產(chǎn)品的合規(guī)審查，總結(jié)法律人員協(xié)助企業(yè)開展數(shù)字化產(chǎn)品的合規(guī)審查要點(diǎn)，介紹如何在產(chǎn)品的商業(yè)邏輯與法律邏輯之間建立對(duì)應(yīng)關(guān)系，在商業(yè)活動(dòng)與法律規(guī)則之間達(dá)成共識(shí)，為商業(yè)意圖的合法合規(guī)落地提供切實(shí)可行的解決方案。

準(zhǔn)確判斷法律關(guān)系是基礎(chǔ)

了解數(shù)字化產(chǎn)品的業(yè)務(wù)模式，準(zhǔn)確判斷對(duì)應(yīng)的法律關(guān)系，是數(shù)字化產(chǎn)品合規(guī)審查工作的起點(diǎn)。對(duì)數(shù)字化產(chǎn)品的業(yè)務(wù)關(guān)系和法律關(guān)系的梳理可以圍繞三方面展開：一是梳理產(chǎn)品的功能和內(nèi)容，識(shí)別產(chǎn)品所需的資質(zhì)，判斷產(chǎn)品是否符合法律法規(guī)、監(jiān)管要求、行業(yè)準(zhǔn)則，是否存在違反公序良俗或者其他對(duì)用戶帶來不良影響的風(fēng)險(xiǎn)；二是梳理產(chǎn)品的客戶（指訂購(gòu)產(chǎn)品的客戶）及實(shí)際使用產(chǎn)品的用戶（也稱“最終用戶”），核查產(chǎn)品是否符合法律法規(guī)對(duì)特定人群（例如青少年）的保護(hù)要求，為后續(xù)安排業(yè)務(wù)合同等文件的簽署做出預(yù)案；三是核查產(chǎn)品及相關(guān)服務(wù)的業(yè)務(wù)模式，判斷產(chǎn)品的提供方式/途徑是否符合法律法規(guī)和監(jiān)管要求，是否符合商業(yè)慣例。

梳理產(chǎn)品的業(yè)務(wù)模式后，需要確定企業(yè)（作為產(chǎn)品提供方）與交易各方之間的法律關(guān)系，識(shí)別判斷企業(yè)在相應(yīng)法律關(guān)系下應(yīng)當(dāng)承擔(dān)的法律責(zé)任。例如，對(duì)于由多個(gè)主體參與產(chǎn)品開發(fā)、運(yùn)營(yíng)、銷售、服務(wù)提供等環(huán)節(jié)的產(chǎn)品，需要對(duì)照民法典等法律法規(guī)明確該等主體之間的法律關(guān)系（例如委托合同關(guān)系、買賣合同關(guān)系、租賃關(guān)系等），識(shí)別判斷各主體應(yīng)當(dāng)承擔(dān)的法律責(zé)任。

對(duì)于客戶與最終用戶不是同一人的，需要梳理和識(shí)別客戶與最終用戶之間、企業(yè)與客戶之間、企業(yè)與最終用戶之間的業(yè)務(wù)關(guān)系和法律關(guān)系，確保產(chǎn)品有關(guān)各方業(yè)務(wù)關(guān)系的描述（例如產(chǎn)品功能、業(yè)務(wù)流程、業(yè)務(wù)合同等）與其法律關(guān)系匹配，并采取相應(yīng)措施滿足法律法規(guī)和監(jiān)管要求，保障企業(yè)合法權(quán)益的同時(shí)確保產(chǎn)品不侵犯其他方的合法權(quán)益。

加強(qiáng)合規(guī)審查是重點(diǎn)

合規(guī)審查是合規(guī)管理的一項(xiàng)重要活動(dòng)，加強(qiáng)合規(guī)審查是企業(yè)規(guī)范經(jīng)營(yíng)行為、防范違規(guī)風(fēng)險(xiǎn)的第一道關(guān)口，合規(guī)審查做到位可以從源頭上防住大部分合規(guī)風(fēng)險(xiǎn)。而數(shù)據(jù)合規(guī)審查，無疑是數(shù)字化產(chǎn)品合規(guī)審查的重點(diǎn)。數(shù)據(jù)合規(guī)審查主要從網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)三個(gè)方面進(jìn)行。

在網(wǎng)絡(luò)安全方面，對(duì)照網(wǎng)絡(luò)安全法等法律法規(guī)審查企業(yè)是否采取了技術(shù)措施和其他必要措施保障網(wǎng)絡(luò)運(yùn)行安全和網(wǎng)絡(luò)信息安全。例如，對(duì)于產(chǎn)品運(yùn)營(yíng)涉及的相關(guān)信息系統(tǒng)，審查企業(yè)是否按照網(wǎng)絡(luò)安全法、《信息安全等級(jí)保護(hù)管理辦法》和相關(guān)技術(shù)標(biāo)準(zhǔn)進(jìn)行了安全保護(hù)等級(jí)的確定、測(cè)評(píng)以及向公安機(jī)關(guān)辦理了備案手續(xù)。又如，對(duì)于涉及互聯(lián)網(wǎng)信息服務(wù)的產(chǎn)品，根據(jù)網(wǎng)絡(luò)安全法、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等法律法規(guī)，審查企業(yè)是否采取了相應(yīng)措施加強(qiáng)對(duì)用戶發(fā)布的信息管理，確保信息內(nèi)容安全。

在數(shù)據(jù)安全方面，對(duì)照數(shù)據(jù)安全法等法律法規(guī)，審查企業(yè)是否履行了數(shù)據(jù)安全保護(hù)責(zé)任。例如，企業(yè)是否按照法律法規(guī)要求對(duì)產(chǎn)品收集和產(chǎn)生的數(shù)據(jù)進(jìn)行分類分級(jí)，并采取相應(yīng)保護(hù)措施。又如，判斷產(chǎn)品涉及的數(shù)據(jù)是否應(yīng)當(dāng)在中國(guó)境內(nèi)存儲(chǔ)；對(duì)于需要出境的數(shù)據(jù)，是否按照《數(shù)據(jù)出境安全評(píng)估辦法》等法律法規(guī)，履行了相關(guān)評(píng)估程序、落實(shí)相關(guān)數(shù)據(jù)安全責(zé)任。

在個(gè)人信息保護(hù)方面，一是審查企業(yè)是否按照個(gè)人信息保護(hù)法等相關(guān)法律法規(guī)的要求對(duì)個(gè)人信息、敏感個(gè)人信息進(jìn)行分類管理，是否依法對(duì)敏感個(gè)人信息采取了加強(qiáng)保護(hù)措施；二是甄別產(chǎn)品運(yùn)營(yíng)主體、其他業(yè)務(wù)參與單位等相關(guān)方在產(chǎn)品數(shù)據(jù)處理活動(dòng)中的角色，錨定誰是個(gè)人信息處理者，識(shí)別企業(yè)對(duì)相關(guān)個(gè)人信息處理應(yīng)當(dāng)承擔(dān)的義務(wù)和責(zé)任，審查業(yè)務(wù)合同和交易文件是否正確反映和明確企業(yè)在個(gè)人信息處理活動(dòng)中的角色和責(zé)任，是否按照法律法規(guī)和監(jiān)管要求采取了相應(yīng)的合規(guī)措施；三是審查產(chǎn)品在收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等個(gè)人信息處理全流程的各環(huán)節(jié)是否符合法律法規(guī)和監(jiān)管要求。對(duì)于法律法規(guī)規(guī)定應(yīng)當(dāng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估的產(chǎn)品，是否進(jìn)行了個(gè)人信息保護(hù)影響評(píng)估。

除了數(shù)據(jù)合規(guī)角度進(jìn)行的審查以外，對(duì)數(shù)字化產(chǎn)品的合規(guī)審查還需要關(guān)注產(chǎn)品是否符合其他領(lǐng)域的法律法規(guī)和監(jiān)管要求，是否存在其他合規(guī)風(fēng)險(xiǎn)。常見的關(guān)注重點(diǎn)例如知識(shí)產(chǎn)權(quán)、反壟斷與反不正當(dāng)競(jìng)爭(zhēng)、消費(fèi)者權(quán)益保護(hù)等。以消費(fèi)者權(quán)益保護(hù)為例，審查產(chǎn)品是否保障了消費(fèi)者的知情權(quán)、選擇權(quán)和公平交易權(quán)等權(quán)利，產(chǎn)品宣傳等是否符合廣告法等規(guī)定，是否涉及利用數(shù)據(jù)算法對(duì)消費(fèi)者實(shí)施不合理的差別待遇等。

妥善制定交易文件是保障

企業(yè)需要通過一定的方式將數(shù)字化產(chǎn)品提供給客戶（用戶）。為此，企業(yè)往往需要與客戶（用戶）等交易各方簽訂各類業(yè)務(wù)合同和交易文件（下稱“交易文件”）。這些交易文件，有的側(cè)重于交易安排，例如產(chǎn)品銷售/許可合同、訂單，約定交易標(biāo)的、交易價(jià)格、產(chǎn)品服務(wù)內(nèi)容及標(biāo)準(zhǔn)、各方的權(quán)利義務(wù)等；有的則側(cè)重于產(chǎn)品交付/運(yùn)營(yíng)中的業(yè)務(wù)規(guī)范和工作步驟，例如工作說明書等。

視乎產(chǎn)品的經(jīng)營(yíng)模式等商業(yè)安排，數(shù)字化產(chǎn)品的交易文件可能由企業(yè)與客戶（用戶）通過線下雙方簽字蓋章方式簽訂，也可能由企業(yè)通過互聯(lián)網(wǎng)平臺(tái)在線向客戶（用戶）展示，客戶（用戶）通過線上點(diǎn)擊同意等方式簽署。同時(shí)，也存在由企業(yè)與客戶線下簽訂銷售合同，通過互聯(lián)網(wǎng)平臺(tái)線上交付產(chǎn)品，客戶/最終用戶登錄使用互聯(lián)網(wǎng)平臺(tái)時(shí)線上簽訂用戶協(xié)議、隱私政策等平臺(tái)文件的情況。

法律人員在起草、審查數(shù)字化產(chǎn)品的合同等交易文件時(shí)，需要在全面、準(zhǔn)確理解商業(yè)安排的基礎(chǔ)上，正確判斷交易對(duì)應(yīng)的法律關(guān)系，找到數(shù)據(jù)流、業(yè)務(wù)流與法律規(guī)則之間的對(duì)應(yīng)關(guān)系；審查合同等交易文件是否符合法律法規(guī)和監(jiān)管要求，關(guān)注交易文件文本安排是否符合業(yè)務(wù)實(shí)際和商業(yè)慣例，考量線下、線上合同等各交易文件的設(shè)置是否匹配且無沖突，確保合同等交易文件既能夠明確各方權(quán)利義務(wù)，也能夠清晰地說明業(yè)務(wù)安排；在合法合規(guī)的前提下，增強(qiáng)數(shù)字化產(chǎn)品落地實(shí)施的可行性。

總結(jié)來說，企業(yè)數(shù)字化轉(zhuǎn)型對(duì)法律人員既是挑戰(zhàn)也是機(jī)遇。一方面，數(shù)據(jù)合規(guī)工作常態(tài)化對(duì)法律人員提出了越來越高的要求——不僅需要整體理解法律監(jiān)管體系，諳熟法律規(guī)則的適用，還需要懂得業(yè)務(wù)活動(dòng)和商業(yè)規(guī)則，了解企業(yè)的商業(yè)意圖和交易目標(biāo)，理解業(yè)務(wù)與產(chǎn)品邏輯；另一方面，合規(guī)工作不限于“后臺(tái)”審核、提示可能的法律合規(guī)風(fēng)險(xiǎn)或者解決已出現(xiàn)的法律合規(guī)風(fēng)險(xiǎn)，也讓法律人員走向“前臺(tái)”，成為企業(yè)其他部門重要的合作伙伴。

在企業(yè)新產(chǎn)品、新領(lǐng)域的研發(fā)階段，法律人員參與研判和論證，協(xié)助企業(yè)建立商業(yè)邏輯與法律邏輯之間建立對(duì)應(yīng)關(guān)系，在數(shù)據(jù)處理規(guī)則與法律規(guī)則之間達(dá)成共識(shí)，協(xié)助企業(yè)找到創(chuàng)新的數(shù)字化產(chǎn)品落地的合規(guī)可行路徑，助力企業(yè)數(shù)字化轉(zhuǎn)型，為企業(yè)賦能。