律師和法務的工作在外行人看來似乎是高度重合的:二者都是專業的法律人士,其工作也都是幫助公司處理法律問題,于是許多人自然覺得,律師似乎就是在公司的法務人員不夠用時,臨時聘請的“法務”。
這種說法有一定的道理。但其實,律師和法務的工作内容和職業特點具有很大的差異,二者并非互相替代的關系,而更多是一種分工合作。
具體到資料合規這一特定業務上,外部律師要想獲得企業法務的認可,就需要在各種瑣碎的細節中,實作與企業法務的緊密關聯。
為了展現了律師和法務之間那種微妙的默契,讓大家對資料合規業務中律師和法務的工作有更加深入的了解,我們對談了成都“星光”網絡與資料法團隊的負責人魏冬冬律師,請她聊一聊與公司法務對接的經驗。
以下整理自魏律師的口述:
一、項目啟動前的溝通交流
法務與律師之間的配合,是法律專業人士之間的溝通交流。律師跟法務最好的關系是:在項目層面上,各司其職、共赴目标,在個人層面上,互相成就。
律師要赢得法務的尊重,跟法務友好相處,一要靠專業,二要靠尊重對方,三要積極響應和回報。共同的知識背景和共同的任務目标,是雙方溝通的基礎,但與此同時,工作角色和處境的不同,又可能造成沖突和障礙。
我們在首次跟公司法務接觸的時候,會做兩件事情:
第一是确定溝通的方式、共享資訊的方式和響應的時間。比如:我們團隊會指定1-2個人為對外聯系人,讓他們作為“視窗”與法務進行對接。同時,指定一個郵箱用于正式的文書和溝通,就日常讨論、事務性工作的溝通,我們會建立微信群。除此之外,我們還會确定一般性事項的響應時間,確定法務有一個穩定的預期。
第二是與法務劃定工作邊界。劃分邊界并非為了推诿責任或少做事,如果從這樣的出發點去劃分,那跟法務的關系肯定是處不好的,項目也是做不好的。我們會以任務中心,發揮法務和外部律師各自的優勢,促成更高效的配合。
二、項目過程中的高效配合
要講資料合規,首先要提到“動态合規”的理念。因為資料合規的監管是不斷變化的,是以企業内部必須動态地适應監管的變化。律師接手項目,不會也無法保證100%的永久合規,隻會做出期限性的承諾。
比如我們可能會承諾,本次的合規僅限于2022年1月5号之前的規範性檔案,在這個範圍内出具合規整改方案。盡管目前為止還沒有這類糾紛或者處罰的案例,但律師也會提前做好風控。
資料合規專項啟動後,是需要公司内部資訊安全、産品經理、架構師、業務/市場部門、人力資源、教育訓練和客服部門等諸多職能部門的配合的。
是以,在資料盡調階段,我們會有一個總體的問卷調查(200多項)和資料需求清單,但是律師是不知道公司内部哪些人能夠回答這些問題的,這時就需要由法務根據公司内部的分工将調查和資料需求拆分,再進行發放和收集。
有時候,對一些公司内部結構比較複雜的大型企業,為了提高各部門對項目的配合積極性和上司層的重視程度,我們會跟法務提出召開一個“項目啟動會”,這是需要法務來準備的。同時,我們也會根據公司的具體情況,建議法務邀請哪些公司高管、部門上司和辦事人員參加,再由法務去組織。
啟動會上,我們會先跟法務一起“吓唬”上司,告訴他們資料不合規會帶來哪些風險,比如消費者信任的下降或喪失、巨額的罰款、上市時的稽核、APP下架後公司需要面臨的困境等等。
我們還會舉一些實在的案例,尤其是雙罰制的案例,這個對分管資訊和資料的上司還是相當奏效的。又比如《黨委(黨組)網絡安全工作責任制實施辦法》,這個對國企上司有奇效。
“吓唬”完之後,我們就會開始給各個部門講解,這個專項計劃分為幾個階段,每個階段的任務是什麼,具體的時間安排是什麼,需要哪些部門的配合以及需要如何配合等等,讓配合部門對項目的推進有一個概覽,友善配合部門去安排内部的工作。
這樣一來,上司重視了,配合部門積極了,以後法務推進起工作也就順滑得多。這是律師與法務之間良性互動的一個小例子。
與之類似的問題還有,如果我們需要就某一個具體的整改措施召開會議,法務就會作為溝通橋梁,召集對應的部門參與會議,提前公布議題,組織内部部門配合。
另外,外部律師團隊除了要把項目本身做好以外,可能還需要滿足法務一些内部彙報的要求,尤其是國企。
資料合規專項動辄半年,常年的資料合規顧問都是以年為機關的。是以我們習慣每半個月/一個月給公司内部法務做一個工作通報,告知他們我們什麼時間做了什麼事情,接下來要做什麼,傳遞了什麼工作成果,哪個律師負責的等等。
法務拿到我們外聘律師團隊的彙報情況後,就可以跟他的上級上司彙報。這個過程中,法務既輔助了我們,也對我們的工作起到跟進和監督的作用。
除了以上提到的内容,現實中法務和律師的關聯還有很多很多方面,就不一一細說了。
三、資料合規律師如何獲得法務的認可?
給大家分享一個客戶案例,某公司之前的 GDPR 合規工作由北京一家律所承擔,但由于沒有達到客戶預期,現換成我們團隊為他們處理國内個人資訊合規。
那我們兩家的差別是什麼呢?
核心的差別就是合規服務的深度和跟場景結合程度不同,當然也有溝通愉快程度、響應速度的差異。
資料合規這件事情一定是要落實到具體場景的,否則就是耍流氓。法律誰都知道,知道如何結合場景,并充分考慮合規成本和商業利益之間的平衡以實作落地,才是關鍵。
但如果律師對企業其所處的行業、商業模式和業務不了解,那所謂的合規就是泛泛而談。如果隻是把某項合規義務告知企業,讓企業去做整改,而不去幫助企業結合場景做平衡,那這樣的合規工作是沒有意義的,企業的錢就白花了。不,應該說是,大部分白花了。
此前那家律所給這家公司出具的合規整改意見,就有這個問題。
舉個例子,他們的整改意見寫着:“在收集特殊類型個人資訊的時候,要擷取個人明确同意”。對于這樣的一個比較粗線條的意見,公司的法務,還得去識别本公司哪些場景涉及到了特殊類型個人資訊、什麼算是明确同意等問題,是以律所的意見沒有實質上降低公司的整改實施難度,被diss是難免的。
由此可見,外聘律師團隊給出的整改意見有沒有結合具體場景,是否細化,會極大影響法務對外聘團隊的評價。公司想從外聘律師團隊得到的是具體的、直接可用的東西,而不是缥缈抽象的法律條文和合規義務。
正是因為這些問題上一家律所都沒有實質上解決,是以企業對這家律所服務的滿意度就不高,我們才有了介入的機會。
除此之外,平時在跟一些公司法務溝通的過程中,發現兩種典型情況也會招緻負面評價,這些都是我們重要的學習素材,在此跟大家分享一下:
第一種是律師要求企業100%合規,過于嚴苛,缺乏靈活性,沒有商業思維。一家企業的法務就跟我說:“處處都要求我們做到100分,我們又不是排名前三的那種大廠,監管也不總是盯着我們,我們沒有必要去做到行業的頂尖的合規水準,我們自己也隻想做行業中上水準而已。”
這個角度帶給我們外部合規律師的啟發就是,我們不能生硬地僅僅将注意力集中在政策監管上,還應該結合企業目标需求、商業利益進行更加合理的、體系性的考量,再給企業出具合規意見。
在我個人看來,企業資料合規的目标應該定到多少分,是60分還是90分,應該由企業來定。
很簡單,因為合規對業務帶來的負面影響或積極提升(有的企業想把隐私保護作為商品亮點,這樣也挺好),以及不合規遭受的處罰和成本,最終都是由企業來承擔的,是以這個決定也應該由企業來作出,律師不要越俎代庖,
但律師在項目中發揮的作用又是什麼呢?我認為,律師要做的,是告訴企業哪些是必須改的,哪些可以緩一緩,哪些可以采取折中的方式改,并跟企業共同去結合商業和業務需要做好平衡,這是律師真正值錢的地方。
落到實處,就是在給企業做整改方案的時候,可以按照合規重要性分出“S1”到“S5”五個級别,給企業一個量化的概念,再去比對業務需要。如果真要去量化一個合規整改措施有沒有必要實施的話,可以考慮一個公式:整改必要性=違規不利後果大小/對業務的傷害大小。
另一種典型情況是,資料合規律師不懂技術,難以跟技術溝通,雞同鴨講。
比如資料律師在建議企業做個人資訊加密的時候,就會涉及到加密是做在傳輸環節、存儲環節,還是both;是對整個庫進行加密,還是是字段級加密,加密哪些字段,采用哪種密碼算法,某種密碼算法夠不夠,這些都是技術會問律師的問題。
這時候,為了給企業專業的技術改造建議,我們往往需要跟安全服務公司合作,咨詢安全服務人員的意見,因為隻有做到這個程度,才能真正幫到企業。這時律師懂技術就顯得尤為重要。
我說律師必須要懂技術,這種懂,不是說要精通,而是至少要做到可以跟技術人員對話,減少噪音,提高溝通的效率和準确性。
比方說,當技術人員說“D-DOS攻擊” 的時候,律師要做到不需要反問“您說的D-DOS攻擊是什麼?”;當律師想讓企業銷毀資料的時候,不能在整改報告上隻寫“删除”,因為這會讓技術人員不知道該實體删除,還是邏輯删除。
正是基于這個考慮,我自己考了CISP證書,目前還在準備CISA和CISSP的認證,也鼓勵我們團隊的小夥伴去學。現在很多企業的資料隐私合規都是資訊安全人員轉行在做,我也感覺,律師想跨到技術界,比技術跨到合規,還是要難一些。
剛才講的都是企業針對服務過程的評價,還有一種更直接的,就是針對結果的評價。
比如律師做完合規的企業被監管處罰了,除非是因為企業沒落實整改方案或監管要求變了,否則律師的這個鍋肯定是逃不掉的。
又比如說律師給企業做完APP合規,結果做完後這個APP還是被通報了,或被人起訴了,那肯定也會對律師的信譽造成一萬點的傷害。我就聽說過一個案例,有個公司的APP做完合規,結果還是因為設定“登出冷靜期”被通報了,這種情況就非常尴尬了!
對談專家
魏冬冬律師
成都“星光”網絡與資料法團隊 負責人
網絡與資料法實務 主理人
持有CISP 、CIPP/E認證。
主要執業領域:
資料合規、個人資訊與隐私保護、網絡侵權與犯罪等。
本文轉載自公衆号DataWonder