摘要:
企业怎么合规以及各生态怎么做,面临一些挑战。
第一, 国内企业,出海和跨境电商面临的国际法规的数据合规。
第二,本土数据合规,企业IPO数据合规以及刑事合规。
痛点:
第一,企业存在侥幸心理,法务合规人员很难推动,因为觉得执法还是有很大的灵活性。
第二,国内企业出海要符合欧盟的GDPR,外资企业来国内做生意要符合我国个保法,企业在做的时候要做风险分析,这个风险到底是高还是低,这个界定有很大的空间。
第三,数据出境了,要报备,但是没人受理,无法可依。
第四,同意授权的实践,还是需要一些相应的技术和产品方案。
数据合规一部法律的出来,需要专业的人才,希望监管能够多走进企业宣讲这些法律法规。
刚才庞律师包括胡总提到了几个,其实跟我后面谈到的一些还是有点重合的。我自己其实是2003年就开始从事个人数据保护,我是国内比较早的一批从事个人数据保护层面的人员,并且还是属于金融行业。我现在虽然做培训,其实大部分时间也都是跟庞律师,DPO律师和顾问一起做数据合规的咨询项目。我创业之前一直在甲方做数据的,这次代表我们几百名DPO甲方学员以及律师在做数据合规业务以及企业落地的时候面临的挑战和痛点讲一些,我是非法律学者,是企业实操的问题,但不一定在法律上面非常专业,请大家多指教包涵。
一个是挑战,一个是痛点,还有企业心声,以及做合规项目当中缺位的地方,我们建立这样一个生态和游戏规则,法律也是为了合规,我们怎么合规以及各生态怎么做,企业当中面临的挑战,讲几个大的数据合规事件,我们听到的一些比较大的事件都有我们DPO学员,并且还是负责这块的,我们也是跟他们有交流的。ZOOM也是因为数据合规上升到企业,影响到企业和产品的事件我们也都有参与进去,因为是我们的一些学员。面临的挑战来说,国内企业第一条是出海和跨境电商面临的国际法规的数据合规,我们所做几个咨询项目,他们已经招标了,已经确定了的,合同都没签,告诉他已经暂缓出海,说明大家还是面临比较大的压力,对于企业来说先在国内做一做,然后看一下这个形势。在国外的话除了巨额罚款以外还有诉讼和赔偿,有非常成熟的流程和专职律师做这一块,这也是国内律师的一些机遇吧。 下面是本土数据合规,企业IPO数据合规以及刑事合规,对于我们国家来说,阿里巴巴反垄断条款对于他们来说是非常轻松的,但是对于企业主来说人身自由是最大的一个风险,所以这也是我们律师,很多DPO律师会在这一块发力的领域。
我们来看痛点,说实话我是收集了几百名DPO学员反馈的问题,所以说有可能每个人的角色会不一样。有几大事件,国家确实现在大力加强监管,并且这个决心是非常大的,合规人员来说非常态化,因为我们也有很多DPO专家会和公安部和各个部门参与到专项,比如个保法专项整顿,有可能比较阶段性的,在企业合规人员来说跟老板讨论数据合规落地的时候就会觉得这只是这一阵要管一管,其他时间就过了,企业存在一个侥幸心理,这个数据合规的话作为企业当中专职人员或者从事这块的,比如说法务合规人员就很难推动,因为觉得我们执法还是有很大灵活性。
第二个,现在数据安全已经上升到国家安全以及大国之间的政治博弈了,所以在很多企业当中为什么会暂停产品出海欧美,我们做了好几个数据合规项目都已经投标,也中标,告诉你合同还不能签,因为考虑政治环境,我们不愿意,现在暂缓。做跨境电商的大家都知道亚马逊已经关闭大量中国跨境卖家,规模非常大,对于我们来说,这么多年就是不合规,并且做大做强还走出海外了,现在合规经营已经非常重要了,所以你去看一下很多做跨境电商的都在讨论如何合规,要不然直接给你关闭,跟我们一样,下架也是一样。
律师如果要做这块业务,包括个人信息维权,我们讲到法律边界或者责任界定上面如果有模糊的话,我们就会给企业做数据合规的时候,因为GDPR当中分的很清楚,控制者是主要责任人,要找这个幕后的,某宝11.8个亿的会员数据被人泄漏了,英国航空才几百万数据,欧洲人少嘛,也罚了1.83亿英镑,后面讨价还价到两千万英镑,在这个上面来说我们做国内合规,尤其是外资企业做国内合规的时候,我们出海要符合欧盟的GDPR,但是外资企业来国内做生意要符合我们个保法,我们在做的时候要做风险分析,这个风险到底是高还是低,或者发现这件事情如果不合规的话有可能面临哪些风险,这个东西就很难说,有可能罚,也有可能不罚,所以这个界定就有很大空间。
上个月我在北大法学院参加个保研修班的时候,给法学教授提出过这个问题,6月19到23号,因为我们有很多出海DPO学员,我敢肯定说数据肯定是有出境的,但是很多企业,包括很多做DPO学员说我们想报备,可是没有人受理,现在数据就是出境了,要报备,但是没有人受理,如果出境了怎么办,才几天的时间滴滴事件就出来了。因为我们无法可依,数据确实出境了,某种情况下面没有说一定违反哪个法律法规,因为我们有一个立法空白,秋后算帐,企业又不服,这个就是被动监管和事后秋后算帐。
还有监管部门协作和一致性,也是企业合规部门比较头痛的,因为一监管起来各个部门都起来了,但是我们希望有一个主监管部门,关于个人数据的罚款,其他都报给网信办就好了。
还有同意授权的实践,其实你要做合规不仅仅法律法规和管理政策,也还是需要一些相应的技术和产品方案,这个我们也是不太成熟,当然也是一个机遇了,给很多安全厂家是一个机遇。
企业一个是招不到人,第二找不到合适的、专业的顾问专家,有一个出海企业跟我说找了半年都没有找到合适的,我要找这样一个外包DPO律师,还有一个外资企业讲我们出了很多法律,但是没有官方外文版,他们跟老外沟通的时候很难沟通。
企业的心声,监管还有一个最佳实践,企业任何主动的预防合规。还有一个是我个人的建议,我上次有提到,我们做很多数据合规项目当中还有出境的风险,还有一个就是数据合规一部法律出来这么大的市场,确实需要专业的人才,无论是甲方专业人才还是律所,包括四大专业数据合规顾问专家,监管希望能够多走进企业宣讲这些法律法规,因为监管部门做宣讲比它自己内部人会好一些,信通院有走进会计事务所,包括一些律师合伙人计划,有一个数据合规专家库,帮助企业做合规。其实现在企业做合规压力非常大,企业一下架饭碗都没了,我们也有培养很多DPO学员,但是他们发现监管部门也是需要做培训的,有可能网信办还可以。
今天我拿到名单的时候看到很多法学教授,很多学校都在开设数据法学院,确实可以培养这些人才,中国政法大学,包括中央财经大学,他们上完课以后找实习单位,一发朋友圈简直是秒杀,信通院也要,各大律所也要,因为真的是缺人。(向丽:珠海山竹科技有限公司创始人、CEO)