【实务派】一文探索APP业务合规及数据合规要点|iLaw

作者 | 杨博、于晓明

单位 | 广东连越律师事务所

当前我国网络安全与数据保护领域已经搭建起以《网络安全法》《数据安全法》《个人信息保护法》为核心的基本法律框架。数据合规及数据安全保护工作成为众多企业发展的第一要事。与此同时,各类App随着数字经济发展呈现爆发式的增长,用户规模持续扩大,但也存在着如非法获取、过度索权等诸多风险,个人信息安全问题已然成为影响数据价值释放的绊脚石。

为此平台应当如何做好APP运营中的风险识别和合规义务?本文将从平台业务合规、股权风险隔离要点以及App数据合规整改落地措施三方面进行论述,以探索APP业务合规之道。

温馨提示:

文末附年度《App违法违规收集使用个人信息监测分析报告》& App运营者《双清单模板》(2份),如有需要,可滑至文末自行获取。

01平台经营业务合规

01APP平台经营者义务责任清单

APP平台经营者义务主要以《中华人民共和国电子商务法》《中华人民共和国消费者权益保护法》《最高人民法院关于审理网络消费纠纷案件适用法律若干问题的规定(一)》等规范性文件为基础。我们将上述内容通过思维导图拆解为五大板块,即法律依据名称、电子商务通用内容、电子商务经营者基本义务清单、平台经营者义务清单、法律责任。其中以电子商务经营者基本义务清单及平台经营者义务清单最为重要。

APP平台经营者主要承担平台经营者主体资格管理、网络安全与个人信息保护、制定平台服务协议与交易规则、产品与服务销售责任承担、广告合规、知识产权保护、消费者权益保护、交易全程保障等义务。

02围绕APP搭建的经营模式违法

APP业务合规必须以平台合法经营为前提,否则APP合规将毫无意义。实践中,部分平台以新兴产业形式从事涉嫌传销等违法行为,但商业模式的差异并不影响传销行为的成立,实务中对于传销行为的认定需要依据《禁止传销条例》第七条判断。除涉嫌传销之外,围绕APP所搭建的商业模式也不能存在网络赌博、色情直播等法律法规禁止的违法犯罪行为。因此,我们在讨论APP平台经营者义务之前,首先应当对APP中的商业模式合法性进行论证,APP中的商业模式合法,才有进一步讨论APP经营者其他法定义务的必要性。

03平台经营者与平台经营主体身份混同

在APP经营者产品与服务销售责任承担义务中,平台经营者与平台内经营主体发生身份混同成为当前消费者权益保护工作的阻碍,平台经营者须以显著方式标记平台内经营主体及平台经营者身份,并于交易环节及业务流程中设置相应提示。若以标记自营业务方式或者虽未标记自营但实际开展自营业务所销售的商品或提供的服务损害消费者合法权益,以及虽非实际开展自营业务,但所作标识足以误导消费者相信为其自营业务,平台经营者可能最终承担产品销售者或服务提供者的法律责任。

04优惠券场景下的大数据杀熟

在APP经营者网络安全与个人信息保护义务中,消费者在其所购买商品或服务价格高于他人时会认为存在大数据杀熟。在大数据杀熟案件中,消费者作为原告负有较重的举证责任,但其多数不具备相应的举证能力,而交易主体及被认为实施大数据杀熟的主体则需从商业交易目的、交易方式、市场惯例等方面进行举证证明其所实行的差异价格存在合理性。

大数据杀熟的数据处理动作包括信息收集、数据分析(标签、画像)及应用推送,其主要应用于三种业务环节,即根据客户设计产品和服务,精准定标客户,精准定制营销策略产生交易。但当前司法机关并未对数据处理及业务环节进行综合整体考量,导致审判中一旦被告提出差别待遇具备合理性主张并提供法律依据,原告胜诉可能性将微乎其微。

除上述已经举例说明的业务合规要点之外,APP平台经营者应当根据自身实际情况履行义务清单的法定义务。

02股权风险隔离要点

01股权架构与业务布局

合理的股权架构设计不仅可以分散APP业务经营风险,还可成为企业数据合规架构设计的重要工具。因此,建议企业针对自身经营情况调整业务布局,将同一项目的不业务交由不同子公司处理,各司其职,为达成共同的经营目标而通力合作。

02APP模式下各公司的责任切割

实现股权风险隔离,保证项目顺利落地需要两方主体的紧密配合:

一方面需要律师、法务等专业人士通过开展尽职调查的方式,对于企业业务流、数据流展开充分调查并据此提出有关业务合规与数据合规的综合整改方案,包括差距分析报告、整改报告、隐私政策等,为企业提供全方位合规发展方向。

另一方面,APP合规的实现需要企业及其管理人员的高度配合,企业管理人员对于整改方案的接纳程度高低将直接影响股权风险隔离效果。

03合规回报:公司估值

作为企业经营者的“心血”,APP合规业务的开展不仅需要基于业务角度把握合规要点,同时统筹考虑股权架构、数据合规和个人信息保护。通过上述三个维度综合判断,制定整体整改方案,有助于企业实现长远发展。

03APP数据合规整改落地实操分享

01确立标准

确保APP数据合规整改顺利落地以确立合规标准为前提。首先,需要梳理当前数据合规相关法律规范体系,把握项目所在行业的国家标准以及行业标准、行业监管部门的具体规定等要求;其次,企业需要了解目前的监管重点,包括工信部、网信办、行业监管部门等通知,通过不同时期监管部门的监管重点对于自身项目合规情况进行及时调整;最后,在前述基础上梳理符合企业自身经营情况的合规业务清单(正面清单以及负面清单),以确立自身合规标准。

02客户交流

客户交流的方式需要具体情况具体分析,但必须建立在已经对企业运营APP合规情况进行初步测评的基础上,并对于相关法律风险和问题进行归纳总结,进而确保能够在与客户的交流过程针对APP现存的法律风险提出符合客户自身运营需求的初步合规建议,提高沟通效率。

03风险排查

开展风险排查要善用排查工具,前端原型便是首要选择,其通过平面形式展现各项APP功能节点,极大提高尽职调查工作效率。开展尽职调查需要根据企业具体项目情况制定针对性访谈清单,包括但不限于业务基本信息、用户信息收集的告知和同意等合法性基础、敏感个人信息处理情况、数据处理全生命周期、用户权利响应机制等内容。

此外,开展风险排查还需把握几大重点合规义务,如识别基本业务功能、系统权限调用情况以及第三方SDK合规情况等,以全面降低风险发生概率。

04差距分析

差距分析工作需要基于上述三步骤的基础上开展,涵盖APP所有与个人信息收集、存储、处理、第三方共享等全生命周期活动。

实践中,可以采取可视化的形式向客户展示APP各项功能节点所涉及的风险和问题,并配合合规整改建议,融项目成果报告与合规培训为一体,提升企业内部合规意识,提升后续沟通效率。其次,通过形成整改跟踪表,将合规报告的内容全面拆分,跟踪企业相关合规整改情况,并针对企业采取的整改措施及时作出调整或者制定替代方案,协助企业将整改方案实际落地。

05成果输出

经过上述合规整改工作,最终需要输出的成果主要包括:

(1)落实个人信息保护“双清单”;

(2)APP功能优化清单;

(3)隐私政策;

(4)用户协议;

(5)外部协议;

(6)合规评估报告;

(7)法律风险防范建议书。

04总结

数据合规业务以APP合规作为入口,尚存在较多内容以待法律人进行拓展,包括个人信息合规专项、数据安全与网络安全合规专项、个人信息保护影响评估、企业上市与投融资等各方面。法律工作者需基于自身专业经验,以更全面的视角对于数据合规领域进行深入挖掘,方能推动数据合规工作的全面深入开展。

来源:ilaw合规

编辑:梵高先生

分享到微博
分享到微信
    分享到领英

相关文章