其他
企业数字化转型过程中,如何构建合规保障?
以下文章来源于国浩律师事务所 ,作者史跃 程婷 程梦珂
“
在全球数字经济的浪潮下,面对数字技术创新与迭代带来的机遇与挑战,开展数字化转型已成为企业谋求生存及长远发展的必然选择。在企业数字化转型过程中,关注、把控重点环节、重要场景、重要事项的合规性,能够为转型成功提供坚实的保护与保障。企业如何在数字化转型过程中,构建数字化治理体系?如何对数据进行分类分级?如何建立一条数据权益的护城河?
”文 | 史跃、程婷、程梦珂
国浩(深圳)律师事务所律师
来源 | 国浩律师事务所
1. 基础设施的搭建与管理
传统企业数字化转型通常需要大量增加智能设备、网络系统和数据上网,对技术基础设施的需求会迅速增长,比如网络配置、云计算、云存储等。网络一般来自于基础电信运营服务商,但云计算、云存储有可能搭建自有服务器,更多时候可能会采购第三方云服务。各类智能化管理系统也呈现自研和外包两种类型。
如果自行搭建网络基础设施,可能会涉及增值电信业务,相应产生资质牌照申请需要(详见下文“业务数字化的合规确认”)。如果是自第三方采购网络基础设施,鉴于提供该等服务的企业需要具有对应的资质,因此,将涉及供应商管理的特殊风险防范(详见下文“供应商的合规审查”)。
2. 管理制度的建立与健全
根据《数据安全法》的规定,企业开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度。一方面,为切实保障企业数据安全,规范与保护信息在传输、存储和处理过程中的机密性、完整性,提高员工信息安全防范意识和操作技能;另一方面,为确保企业数据处理活动符合《数据安全法》等相关法律法规的要求,企业在数字化转型过程中,应建立健全覆盖全部数据生命周期的数据合规管理制度,包括数据采集、数据使用、数据访问权限控制、数据导出和数据删除等相关的制度。
通常而言,企业的数据管理制度体系由如下部分组成:
3. 执行机构的设立与完善
数字化转型合规治理执行机构的设立有两种情形,第一种为上文所述的沟通协调部门,基于企业转型的实施方案,根据实际需要决定是否设立;第二种为根据法律规定必须要设立的专职部门。
数字化转型的网络化、数字上云等必然产生数据安全问题,根据《数据安全法》,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
此外,随着数据管理制度的建立健全,执行机构也需同步设立与完善,否则制度建设将流于形式,无法真正践行、保障数据安全及数据合规,数字化治理体系的构建也是纸上谈兵。
4. 数字化办公的管理与规范
数字化办公既包括无纸化办公,也包括远程办公。无纸化办公依赖于文件形式虚拟化、审批流程线上化,需要较高的网络安全环境。
远程办公并不是一个新话题,但近两年的新冠疫情发展使得远程办公、居家办公成为热点话题。在企业数字化转型过程中,可能会产生新业态新模式,相应地,远程办公、无纸化办公可能会愈发普遍。在给予员工更灵活的办公条件的同时,设施的安全性、员工的隐私等都成为突出的法律问题。
① 第三方服务对远程办公的风险
远程办公大量借助于第三方提供的服务,比如在线会议软件、文档协作软件等,这些软件大量收集、传输、存储企业信息。因此,在使用第三方服务前,必须审核第三方服务资质、确认系统是否符合技术安全要求、通过签署正式协议明确网络安全责任主体、商业秘密或其他权益数据泄漏的责任主体。如企业本身对在线功能实时性要求极高,还需审核第三方服务的SLA(服务等级协议)。
② 员工使用自有设备带来的风险
在常规办公情景下,企业会要求员工必须使用企业设备,如电脑,企业对设备本身的控制力较强,可以将提前设置好系统权限、安装好必备软件的设备交员工使用,在员工离职时,对设备的数据进行查验、清理、备份,甚至成为员工与企业纠纷中重要的证据来源。在远程办公情景下,为响应工作要求,允许员工使用自有设备的必要性大大增强,也可以在一定程度上减少企业开支。
但是,员工使用自有设备会带来一系列的数据安全(如自有设备未经企业IT人员安装安全装置,配置安全参数)、VPN权限滥用的风险,并且,基于企业对员工行为负责的法律要求,员工滥装盗版软件会带来知识产权侵权风险。
我们建议,为降低和避免员工使用自有设备所带来的法律风险,企业可考虑采取包括制定自有设备安全使用制度、建立访问权限制度和数据分类分级管理制度、制定网络应急预案等方式保障员工安全使用自有设备。
③ 视频打卡等管理措施带来的侵犯隐私风险
在远程工作的过程中,企业出于对员工进行管理和监督的需要,可能会对员工进行各种形式的工作状态监控,比如要求员工定时定点视频打卡、要求员工时刻开启摄像头、通过插件追踪员工上网记录等。这些管理和监控措施,一旦超过公平、必要、合理的界限,就会触及员工合法的个人隐私。因此,远程办公情景下,平衡管理和隐私成为必须关注的合规议题。
5. 线上签约的效率与安全
随着加密传输、时间戳固化技术、区块链存证技术、SSL数字证书等可信性加持技术的发展和成熟,越来越多的企业合同签订电子化、公司内部文件数字化,在数字化转型过程中,前述情形也会相应产生和增加。
合同线上签订大大缩短与合作伙伴签约的流程、提高签约效率,但是,要确保线上合同签订行为的效力没有瑕疵,并非鼠标点击确认即可,一一对应的实名信息验证、具有电子签名认证资质的服务机构颁发的数字证书、签署后数据电文内容和形式的改动可被发现、合同本身对线上签约的特别约定等都是风险要点,都会影响合同的效力。此外,并非所有的合同都允许电子签署,例如,企业与行政主体之间的数字合同或行政管理文件不允许线上签订。
6. 数字化管理的留痕与备份
当企业各类事项一一电子化、数据化后,面临纠纷时,电子数据成为纠纷应对的重要证据。日常管理中,为确保数字化管理信息的真实、全面,留痕和备份十分重要,根据《电子签名法》以及《最高人民法院关于互联网法院审理案件若干问题的规定》,电子证据需要着重审查电子证据所依赖的计算机软硬件是否可靠、生成时间及主体是否明确、保管方式是否妥当、提取方式是否可靠、内容是否存在修改或不完整以及是否可以对电子证据进行重复验证等多方面内容,从而综合判断电子数据的真实性并决定是否采纳。
企业以采购资源、委托研发等形式进行数字化转型时,除却从技术层面了解供应商的网络安全保护能力、网络稳定性支持能力、数据安全保护能力外,还需要特别审核供应商是否具有提供服务的资质、是否提供了合法资源,尤其是企业选择云计算服务供应商的情况下,需要确保:
1. 供应商不得超业务范围、地域范围经营:电信业务经营者应当按照经营许可证所载明电信业务种类,在规定的业务覆盖范围内,按照经营许可证的规定经营电信业务;IDC业务经营范围以机房所在地为限;ISP业务经营范围以业务用户覆盖范围为限;
2. 云计算服务供应商应当提供增值电信业务许可证的证照或者编号;
3. 云计算服务供应商的许可证为其母公司持有的,需确保母公司的持股比例不少于51%;
4. 购买IDC、ISP、CDN服务时,供应商的资源不得来自于无证企业资源。
- 3 -业务数字化的合规确认
1. 基础业务资质牌照
企业原本线下业务不需要申请资质牌照或者业务需要具有资质牌照的,都有可能因转向互联网产生新的资质牌照要求。比如,药品经营企业从事药品销售,仅有线下业务时,只需要具有《药品经营许可证(零售/批发)》,而当该企业于互联网上销售药品时,则必须办理《互联网药品信息服务资格证》。
在数字化转型过程中,企业业务上线常常触发第二类增值电信业务许可证的申请,常见情形包括:
B25信息服务业务(ICP)是指通过信息采集、开发、处理和信息平台的建设,通过公用通信网或互联网向用户提供信息服务的业务。信息服务的类型按照信息组织、传递等技术服务方式,主要包括信息发布平台和递送服务、信息搜索查询服务、信息社区平台服务、信息即时交互服务、信息保护和处理服务等。
就何种情况办理ICP备案,何种情况办理ICP许可,是办理ICP许可还是办理EDI,实践中,许多企业对此无法准确区分与判断,导致要么无证经营或者超范围经营,要么花费额外的成本办理本不需要的资质证照。
企业数字化转型后,新的资质牌照的必要性在于:(1)未获得电信业务经营许可证的,任何组织和个人不得从事电信业务经营活动;(2)未获得电信业务经营许可证的经营者无法合法获得基础电信业务经营者提供的电信服务和电信资源。
如果企业资源和技术足够强大,为数字化转型自行设立新的业务公司为集团内其他企业提供服务,则该企业落入第一类增值电信业务范畴时,还需要视情况去申请B11互联网数据中心业务IDC、B12内容分发网络业务CDN、B13国内互联网虚拟专用网业务VPN、B14互联网接入服务业务ISP等牌照。
数字化转型带来的资质牌照的申请,也会对企业的股权结构调整、融资运作带来重要影响,因为增值电信业务的外资限制比较多,具体如下表所示:
2. 转型后的等级保护
为推动工业互联网安全责任落实,对工业互联网企业网络安全实施分类分级管理,提升工业互联网安全保障能力和水平,工业和信息化部研究起草了《工业互联网企业网络安全分类分级指南(试行)》,将工业互联网企业分为三类:
- 4 -云计算的合规监管
无论是技术角度还是业务角度,企业数字化转型都会与云计算密切相关,云计算也在技术安全和法律合规两个层面影响着企业数字化转型的基础,即数字化转型金字塔的第一个层级。
云计算,简单来说是分布式计算技术的一种,是透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序,再交由多部服务器所组成的庞大系统经搜寻、计算、分析之后将处理结果回传给用户。透过这项技术,网络服务提供者可以在数秒之内,达成处理数以千万计甚至亿计的信息,达到和“超级计算机”同样强大效能的网络服务。
根据《信息安全技术云计算服务安全指南(GB/T31167-2014)》,从用户体验的角度,云计算可以分为IaaS(Infrastructure as a Service基础设施即服务)、PaaS(Platform as a Service平台即服务)和SaaS(Software as a Service软件即服务),不同类别的云计算之间的区别如下表:
在云计算业务体系下,狭义的云计算服务商——IaaS、PaaS、SaaS下需要取得IDC牌照的厂商,即提供数据中心业务的厂商,以及提供内容分发网络业务(B12-CDN)和互联网接入服务业务(B14-ISP)的厂商,面临资源来源合法、资源使用合法和资源去向合法的强监管。
1. 资源来源合法
① ISP业务经营者:应当租用取得相应经营许可证的基础电信业务经营者提供的电信服务或者电信资源从事业务经营活动,不得从其他ISP经营者转租电信服务或者资源;
② IDC、ISP、CDN业务经营者不得自建通信传输设施,不得使用无相应电信业务经营许可证的单位或个人提供的网络基础设施和IP地址、宽带等网络接入资源;
③ 禁止“下水道”“黑带宽”,打击通过专线合同替换通信资源、使用不合法资源,严禁更改资源用途,严禁宽带汇聚(将小流量带宽汇聚成大流量带宽使用)。
2. 资源使用合法
① 不得超业务范围、地域范围经营:电信业务经营者应当按照经营许可证所载明电信业务种类,在规定的业务覆盖范围内,按照经营许可证的规定经营电信业务;
② 标注证书编号:电信业务经营者应当在公司的主要经营场所、网站主页、业务宣传材料等显著位置标明其经营许可证编号;
③ 无批准不授权:电信业务经营者经发证机关批准,可授权其持股比例不少于51%并符合经营电信业务条件的公司经营其获准经营的电信业务;
④ 不得转租:IDC、ISP、CDN业务经营者禁止以技术合作等名义向无证企业非法经营电信业务提供资质或者资源,ISP业务经营者不得向其他从事ISP业务的经营者转租所获得的电信服务或者电信资源。
3. 资源去向合法
① 审核合作方:
基础电信企业不得向无证企业和个人提供用于经营IDC、ISP、CDN等业务的网络基础设施和IP地址、带宽等网络接入资源; ISP企业不得为未取得经营许可证的或者未履行非经营性互联网信息服务备案手续的单位或个人提供ISP或代收费服务; ISP企业需要对所接入网站传播违法信息的行为进行监督; ISP企业向其他增值电信业务经营者提供ISP或代收费服务及开展业务合作时,应当审查合作方是否被列入电信业务经营不良名单或失信名单; IDC企业对接入的第三方应用开发者进行实名登记和核验;
② 禁止层层转租:IDC、ISP企业不得将其获得的IP地址、宽带等网络接入资源转租给其他企业用于经营IDC、ISP等业务;
③ CDN业务禁止:CDN企业不得为未备案网站、列入黑名单的网站提供CDN服务。
在数字化转型过程中,企业需要特别关注云计算服务商的法律监管,否则可能会因使用不合法服务而遭遇安全风险和法律合规风险。
《数据安全法》从国家层面确立了数据分类分级保护制度,同时提出各地区、各部门要制定本地区、行业或者领域的重要数据目录;《个人信息保护法》直接规定了个人信息处理者应对个人信息实行分类管理;工业和信息化部办公厅出台《工业数据分类分级指南(试行)》的通知,对工业数据分类分级提供指引;金融行业等特定行业监管部门也陆续出台了数据分类分级指南。
在数字化转型过程中,面对海量数据,企业需要以国家制定的数据分类分级保护制度为基准,以各地区、各部门的数据目录为指导,制定企业内部的数据分类分级管理制度。在当前环境下,虽然相关概念尚不明确,但企业基于管理的需要,建立针对自身的数据分类分级管理制度,以满足不同类型数据监管的要求,具有相当的必要性。
- 6 -数据处理的流程合规
在数字化转型过程中,企业不可避免会遇到数据处理事项。数据处理是数据“从生到死”的整个生命周期,包含“收集、存储、使用、加工、传输、提供、公开、删除”八个阶段,数据处理合规与否的关键在于是否符合数据处理的原则要求和前述八个阶段中每个阶段的特定合规要求。
根据《民法典》《网络安全法》《数据安全法》,数据处理原则概括为合法、正当、必要,这也是广为流传和接受的数据保护三原则。《个人信息保护法》《深圳市数据保护条例》等对处理原则进行了不少细节扩充,最终包括:合法正当必要诚信(不得以欺诈、诱骗、诱导的方式处理个人信息)、目的明确合理及最小必要(只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量)、公开透明(公开个人信息处理规则,明示处理的目的、方式和范围)、准确完整(避免因个人信息不准确、不完整对个人权益造成不利影响)和确保安全(防止个人数据泄露、毁损、丢失、篡改和非法使用)。
从工信部持续发布的专项整治行动通报、《个人信息安全规范》、公安部发布的《互联网个人信息安全保护指南》、全国信息安全标准化技术委员会发布的两份《网络安全标准实践指南》《互联网信息服务算法推荐管理规定》等,针对各个阶段的数据处理活动需要遵循和关注的合规要点,逐一分析如下:
1. 收集
收集信息的类型、数量、方式、渠道是否合法、正当、最小必要;是否以清晰明确、易于理解的方式,完整、真实、准确地向个人信息主体告知收集、使用个人信息的目的、方式和范围等;是否获取了个人信息主体的同意;敏感个人信息或未成年个人信息是否单独获得同意;是否提供便捷的撤回同意的方式;是否提供了查询、更正、补充、删除个人信息的渠道等。
2. 存储
个人信息存储方式、地点;存储时间是否为实现处理目的所必需的最短时间;是否有特定行业的存储期限规定;是否在分级分类基础上建立存储安全制度,包括存储载体、是否加密存储或授权访问、是否去标识化或者匿名化、是否分开存储等。
3. 使用
个人信息使用的监管要点在于展示限制、用户画像使用限制、自动决策机制限制、大数据杀熟禁止等。使用的合规要点包括:是否建立最小授权的访问控制策略;是否对需展示的个人信息采取去标识化处理等措施;是否超出与收集个人信息时所声称的目的具有直接或合理关联的范围;是否向个人信息主体明示用户画像的具体用途和主要规则;是否以易获取的方式向个人信息主体提供拒绝用户画像的有效途径;是否基于用户画像向未满十四周岁的未成年人推荐个性化产品或者服务;用户画像中对个人信息主体的特征描述是否包含淫秽等内容及表达对民族等歧视的内容;是否定期开展个人信息安全影响评估;是否向个人信息主体提供针对自动决策结果的投诉渠道;是否利用数据分析对交易条件相同的交易相对人实施差别待遇;是否向用户公开了自动化决策算法的规定内容等。
4. 加工和传输
对于个人信息的加工和传输,目前虽尚无具体、有针对性的条文,但仍应当符合合法、正当、必要的基本原则。
数据加工,常见的运用场景是利用基础数据进行数据的深度挖掘和分析,进而形成有价值的数据产品,为商业决策提供支持。当数据加工(大数据分析)与人工智能联合时,会产生巨大的想象空间和商业价值。在此情形下,关键法律问题包括基础数据来源的合法性、分析结果是否构成新的法律权益(如著作权、商业秘密)、企业是否为了使数据加工后的产品具备商业秘密的性质而采取了必要的保密措施、数据加工结果的使用是否会侵害他人尤其是竞争者的权益等。
数据传输则是风险事故发生的关键环节之一,因此,对于数据在传输过程中采用了何种形式、是否采取与数据级别相匹配的安全保护措施需要予以特别注意。
5. 提供
提供,涉及个人信息的委托处理、共享、转让、出境等。针对个人信息的委托处理,合规要点包括:委托行为是否超出已征得个人信息主体授权同意的范围;委托处理涉及的个人信息的类型;是否与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等;是否及如何对受托人的个人信息处理活动进行监督;是否转委托他人处理个人信息;是否对委托行为进行个人信息安全影响评估;是否准确记录和保存委托处理情况等。
针对个人信息的共享、转让,合规要点包括:是否事先开展个人信息安全影响评估;是否涉及个人敏感信息;是否向个人信息主体告知共享、转让个人信息的目的、接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意;是否进行去标识化处理;是否通过合同等方式规定接收方的责任和义务;是否准确记录和保存个人信息的共享、转让情况,包括共享、转让的日期、规模、目的,以及接收方基本情况;是否存在通过接入第三方软件开发工具包(“SDK”)与第三方实现个人信息的共享、转让情形;App中是否对内嵌SDK信息一一列明;是否对第三方SDK开展技术检测以确保个人信息收集使用符合约定要求等。
针对个人信息出境,合规要点包括:出境个人信息的类型、数量、方式、渠道;是否需要通过或者是已经通过国家网信部门组织的安全评估;是否按照国家网信部门的规定经专业机构进行个人信息保护认证;是否与境外接收方订立合同及合同的内容;保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准的措施等。
6. 公开
个人信息以不公开为原则、公开为例外。针对个人信息的公开应当关注:是否经法律授权或具备合理事由确需公开披露;是否事先开展个人信息安全影响评估,并依据评估结果采取有效的保护个人信息主体的措施;是否向个人信息主体告知公开披露个人信息的目的、类型,并事先征得其明示同意;是否涉及个人敏感信息;是否涉及个人生物识别信息;是否涉及我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果;是否准确记录和保存个人信息的公开披露情况,包括公开披露的日期、规模、目的、公开范围等。
7. 删除
删除是《个人信息保护法》规定的独立的处理阶段。针对个人信息的删除应关注:是否建立个人信息删除机制;是否依法主动删除个人信息;是否建立响应个人信息主体有关删除个人信息请求的机制等。
在数字化转型过程中,数据必定会在企业内部流动,为避免数据的滥用和泄漏,需要建立企业内部数据流动的管理权限制度,针对数据的分类分级、数据量的大小、员工本身的岗位和职级,设定不同员工对数据的访问、修改、复制、下载的权限,当超出权限时,由高一层级的权限人员进行逐级审批。
企业内部数据流动管理合规措施主要包括:
1. 隔离存储
对不同重要等级(如重要数据、敏感数据、一般数据)、用途和目的、来源的信息,应采取特定的隔离措施(如物理隔离或逻辑隔离措施),确保各类数据妥善、安全地存储;
2. 最小权限
员工应仅具备完成职责所需的最少的数据信息访问权限(包括所能访问的信息类型、范围以及访问期限),员工对信息的访问权限应与工作职责紧密关联并及时更新;
3. 按需审批
对信息的访问与其他操作应设置内部权限审批、记录流程。在授予员工信息访问权限时,应根据员工的工作职责实际需求进行授权,避免出现员工访问权限过大的情况;
4. 职责分离
一个员工不能同时承担多个存在职责冲突的角色,以防止获得过大权限,如对数据安全管理员、审计人员的角色进行分离设置;
5. 默认拒绝
未经明确授权的员工,涉及信息的相关系统应默认采用禁止访问原则。
在数字化转型过程中,对于已经在企业内部收集、存储的数据,尤其是全面的备份数据,应建立风险监测方案、数据安全事件应急处置措施、定期合规评审等制度,同时确保与主管部门有效的沟通机制,方便在需要时能够做到及时备案、报告。
静态数据安全保障的逻辑应用为进行安全事件分类分级、安全事件的监测、安全事件的处理流程、安全事件的处置方法以及事件处理的记录和归档,具体分析如下:
1. 信息安全事件分类
根据信息安全事件发生的原因、表现形式等,可以将信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施安全故障、灾害性事件和其他网络安全事件等类别,具体如下表所示:
2. 信息安全事件分级
信息安全事件按照给企业带来的经济损失和名誉的影响从低到高分为若干级别,例如,在分为四级情况下:
① 一级信息安全事件
影响个别业务,但未影响公司核心业务系统正常运行,未影响业务的正常开展,未造成敏感信息外泄的事件,如个别终端用户因中毒导致短时间终端不可用、网络短时间中断、一般业务系统短时间中断等。
② 二级信息安全事件
公司经营数据泄密、丢失或破坏;业务系统及其支撑设施中断产生影响在可控范围内,未对公众利益、公司利益及相关个人利益造成较大不利影响且未对公司名誉造成影响。
③ 三级信息安全事件
公司秘密数据、个人信息(包括敏感个人信息)遭到泄密、丢失或破坏;网络、应用系统中断在可容忍时间以上,已造成关键业务短时间中断,影响业务正常进行的事件,可能对公众利益、公司利益及相关个人利益造成重大损害的。
④ 四级信息安全事件
对公司业务产生影响,数据不可恢复、数据丢失造成公司机密和绝密信息泄露、对公司经济和名誉造成重大损失的,产生严重不良社会影响的,如个人信息(包括敏感个人信息)、绝密信息泄密;人员失职造成公司重大经济或名誉损失,或可能对生命安全造成影响的;重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力的。
示例如下:
3. 信息安全事态监测和预防
公司建立信息系统安全监控和异常分析机制,建立安全事态上报程序,在不打断信息系统正常的业务运行的条件下,制定信息安全事件的演练和培训计划,定期组织员工参与培训、完成演练。
4. 信息安全事件的处理流程
员工发现信息安全事件应立即上报上级负责人,上级负责人根据上报的信息安全事件,初步判定该事件的等级,并根据不同等级的事件进行相应的处置。企业应当就不同级别的安全事件设置不同的处理流程,安全级别越高,最终负责处理的部门和管理层级也应当越高。
企业还应注意,在事件处理过程中,对事件级别进行动态管理,实时对事件进行降级或升级管理。
5. 安全事件的报告和归档
信息安全事件处理报告必须包含以下内容:事件发生过程描述、参与事件处理人员名单以及各自担任的工作、事件处理过程、事件发生原因分析、整改措施、责任追究处罚等。处理结束之后,进行归档管理。
静态数据的安全保障逻辑和体系,在发生安全事件时,对事件本身的应急处理和监管追责有着十分重要的意义,在数字化转型过程中,企业应建立健全静态数据的安全保障体系,以便及时、有效应对安全事件。
在数字化转型过程中,数据将成为企业发展的驱动要素,也将成为企业的重要资产,因此,对数据权益的保护尤为重要。当企业可以通过数据加工,利用基础数据进行数据的深度挖掘和分析,进而形成有价值的数据产品或者数据权益时,在确保基础数据来源的合法性的前提下,将数据产品和权益视情况归于著作权、商业秘密等受法律保护的权益范畴内,在此基础上,以法律权益构建自身商业体系的护城河,一方面禁止他人无偿使用,另一方面在他人提起诉讼时可从容应对。
通过数据权益护城河的建立,可以有效保障企业数据资产的合法权益,发挥数据驱动企业发展的重要作用。
- END -
# 新则派 #
6月24日下午,新则派来到厦门,邀请到福建信实(福州)律师事务所主任潘天文,福建信实律师事务所党委书记、高级合伙人陈莹,与大鱼一起聊聊『新形势下,律所如何革新发展』的主题进行分享与探讨。欢迎扫码免费报名。↓↓↓
# 推荐阅读 #