有温度的法律新媒体

GDPR时代,“四大”、律所和IT供应商的网络安全与数据保护业务角

作者 / 周正

来源 / 智合


44名议员,持续5小时,马克·扎克伯格这辈子都不会忘记国会山里美国东部时间2018年4月10日下午2点15分开始的那场“审判”。

此前,Facebook因向第三方公司提供数据服务而致使8700万人信息被泄露,这一事件在GDPR生效前夜被曝光,直接引发了可能是这家全球知名企业创立以来的最大公关危机。

2018年5月25日,GDPR(欧盟通用数据保护条例,General Data Protection Regulation)正式生效,开启了一个新的数据合规时代。1000万到2000万欧元,或企业全球年营业额2%到4%的罚款让所有受其管辖的企业都必须将数据保护合规提升到生存高度予以应对。

7月17日,荷兰数据保护监管部门无预警启动了执法检查行动,检查荷兰境内大型企业的GDPR合规情况,抽样检查10个私营行业、30家大型企业,覆盖行业包括金属工业、供水、建筑、贸易、餐饮、旅游、通讯、金融服务、商业服务和医疗保健。这一举动突出了GDPR的实际适用性,官方的合规检查已经开始。

面对趋严的监管态势,企业合规服务需求激增。而在更早些时候,“四大”、律所和IT供应商就已经在网络安全和数据保护业务上展开了角逐……

“四大”会计所的早入局

“四大”一直以来都是网络安全和隐私业务的主要玩家。

2014年3月,普华永道美国公司宣布已收购明尼苏达州隐私顾问公司(MPC),包括其隐私专业人员和网络,这一动作明显增强了普华永道的数据保护和隐私服务实力。[1]到2014年底,普华永道已经建立了一支强大的数据隐私保护团队,包含了至少几十名来自科技、医药、金融、汽车、健康和大数据等行业的隐私官等知名专业人士。[2]

这种人才争夺在“四大”的网络安全和数据隐私业务方面已是平常,为了争夺巨大的市场,每家都需要组建强大的专业队伍。

市场有多大?2006年,美国的隐私咨询业务市场总值大约为4亿美元,已经引发“四大”和至少十几家美国律所的争夺。[3] 到2018年5月GDPR生效前夜,预期研究表明,这一新法可能会使仅英国富时100指数公司就被罚款50亿英镑。为了应对GDPR,富时350指数企业在合规工作上已经支付了11亿美元。而根据国际隐私专业人员协会和“四大”之一安永的分析,美国财富500强企业为此付出的账单数额甚至高达78亿美元。[4]

面对新法,企业的应对仍然显得十分不足,这给相关业务带来了巨大空间。2017年,英国政府在“四大”协助下发布了富时350指数网络治理健康检查报告,探讨了所涉公司如何在董事会层面为新规做好准备。

△ 数据来源:网络治理健康检查报告2017,英国政府官网(www.gov.uk)

六成的受访者表示对GDPR不太或并不了解,同时仅有8%的受访者表示已经做了充分的准备,接近75%的人表示仅做了部分准备。GDPR规定下的“同意范围的收紧”和“个人数据删除权”是受访者最关心的问题,也体现出服务机构的针对性业务方向,任命数据保护官(DPO)则相对最不被关注。[5]

思科数字业务转型主席、IMD商学院教授迈克尔·韦德认为,IT供应商、咨询公司、律师都将会从中受益,“有分析认为,英国公司GDPR合规预算总额的40%都将仅用于法律咨询。”[6] 而GDPR的影响范围是全世界的。

△ 安永的Privacy life cycle

相关产品或服务方面,安永针对GDPR推出的是诊断工作坊和隐私影响评估(PIA,Privacy Impact Assessment),通过包含五个环节的“Privacy life cycle”帮助企业将数据隐私和数据保护嵌入整个个人数据处理的流程和应用当中,并借助相关工具和培训提升整个组织的数据隐私意识和合规水平。[7]

△ 毕马威的合规5步建议

毕马威则将隐私服务放在风险咨询业务项下的网络安全服务中,其全球隐私咨询主管Mark Thompson撰文从五个方面提出相关建议。毕马威所提供的相关服务包括风险状况评估、设计隐私合规计划、制定隐私策略、维护互联网安全和隐私控制环境等。[8]

2018年5月24日,德勤联合Allclear ID公司推出一项名为“客户违约支持(CBS)”的产品,针对企业可能面临的数据违规监管问题采取双重措施:数据违规发生前,CBS可提供保留回应支持(RRS),帮助公司就可能发生的违规行为做好准备;如果违规已经发生,CBS将提供实时客户支持,为受影响客户提供数据保护服务。[9]

德勤的国际隐私团队由20名左右的专家组成,在各自专业领域(法律、安全和/或合规)都有相当实力。隐私团队的负责人Annika Sponselee是德勤风险咨询的合伙人,目前负责全球及西北欧的涉GDPR服务。[10] 加入德勤前,她在贝克·麦坚时阿姆斯特丹办公室做了7年的隐私法律师。 [11]

律师事务所的新布局

内资所方面,我们注意到起步较早的团队在2014年前后开始专注相关业务并逐步组建、扩大团队,目前人数较多的单个团队在10人左右,这一数字仅指网络安全和数据合规的专门团队。

而数据法律问题往往涉及到商业活动中的各行各业,需要通过律所内部的跨部门、跨专业领域合作,甚至对接外部技术专家以满足相关法律服务需求。因此,有一定规模的律所在该业务领域相对具有优势,其他部门业务中涉数据法律服务也可以支撑网络安全和数据合规团队的快速成长。

中伦:

从国内外大背景看业务趋势

对于网络安全和数据保护业务大趋势的判断,中伦律师事务所合伙人陈际红认为需要从国内和国际两个大的背景去分析。

国内,中央对网络安全给予了前所未有的重视,习主席指出,没有网络安全就没有国家安全。2018年3月,根据中共中央《深化党和国家机构改革方案》,中央网络安全和信息化领导小组改革为中央网络安全和信息化委员会。在此大背景下,可以预见国内就网络安全的立法和执法会日趋完善和严格。

国际上,许多国家在近几年均加强了网络安全与数据保护的立法。企业也认识到,网络和数据安全是足以影响到企业声誉、重大商业利益,甚至是企业生存的问题。比如Facebook用户信息泄露丑闻,受此事件的影响,Facebook市值缩水 600 多亿美元,CEO马克·扎克伯格被迫发表道歉声明,并被要求到国会作证。之后,Facebook也可能会面临着一系列的民事侵权诉讼和行政调查。

“数字经济在中国蓬勃发展,鉴于以上的大环境,企业的网络安全与数据保护合规需求已经成为一个新的业务领域,企业的业务需求也很旺盛。概括讲,律师参与本领域业务的服务内容包括:企业的网络安全合规、数据保护合规、网络安全与数据泄露事件的处理、数字产品的合规性论证、数据流动和数据跨境的安全评估、并购业务中的数据资产合规尽调等。”

GDPR已经生效,陈际红认为,其对中国企业的影响程度可能会超出一般人的预估。“一是因其扩张型的域外适用效力,中国企业和欧盟的关联因素已经非常广泛,很多中国企业会落入GDPR的适用范围之内;二是其规定的苛刻的法律责任,对于企业,因合规不足而面对巨额的处罚风险是企业不能承受之重。”他认为,中国涉欧企业进行GDPR合规的需求十分强烈,很多金融、互联网、电商和物流企业等已经开始实施GDPR合规项目。

据陈际红介绍,中伦是国内律所中最早涉足网络安全和数据保护业务的律所之一,有比较长时间的知识、经验和人力资源的积累。“中伦内能够从事该业务的合伙人有多位,律师达到二十人以上,累计完成的网络安全与数据保护项目在五十件以上。”

这一领域对律师有着怎样的要求?

“虽然IT领域的知识不是必须的,但具有IT行业的跨领域知识一定会对律师要从事网络安全与数据合规业务有很大的帮助。做该业务,律师一般要先对客户的网络与数据状况进行尽调,并进行合规性的差距分析,进而提出合规的改进措施。这些工作的完成,律师要跟客户的法律部门一起工作,也要跟IT部门和业务部门打交道,IT行业知识会帮助律师与企业人员进行有效的沟通,并找到合适的(法律合规且商业上可行)的解决方案。”

律所层面,中伦的管理层十分重视新业务的研究和发展,认为数据保护是一个新兴的、具有广阔发展空间的业务领域,并愿意为此投入资源。“我们一直在培养专业的数据保护律师,团队不断地在扩大,团队业务能力也不断地在成长。坦率讲,由于是新领域,这个领域人才还主要靠我们自己的培养,同时也随时欢迎优秀的外部人才加入。”陈际红表示。

同时,中伦也注重和在行业内交流此领域的执业心得,“我们把一些自己的‘know-how’共享给律师同行,去年至今,我给全国各地的律师授课就超过五场,希望中伦能成为这个领域的开拓者和分享者。”

汇业:

2014年起即开展相关业务

2017年6月1日《网络安全法》(“网安法”)正式生效后,企业的网络安全与数据合规“由软变硬”,原来可做可不做的事情变成了一项法定强制义务,给律师的挑战随之而来。

“一个挑战是多头监管(网信、工信、网安、市监等)、规范碎片化(例如关于个人信息的定义)等问题,另一个是立法相对滞后,条文内容也比较原则,这就给律师寻找能够平衡法律合规与发展效率的‘最佳实践’带来了极大挑战。”汇业律师事务所管理合伙人黄春林表示。

GDPR的生效又给数据合规增加了国际维度。黄春林认为,除了GDPR的长臂管辖和高额处罚提升了对涉欧企业的相关要求,其文化视角、历史逻辑、价值导向及产业基础等与中国差异较大,都给中国律师开展合规业务带来了较大的难题。

“企业网络安全与数据合规项目往往需要企业多个部门联合推进,其中尤以IT部门为重。如果律师不熟悉互联网行业发展、不了解最新技术形态、不具备必要的网络技术知识,可能很难设计个性化的尽调清单,也很难开展高质量的前期访谈,当然后期也就很难提供有价值的、实用的落地整改建议——这是网安合规项目的关键,你不能只Say No,关键是要明确怎么做。”

黄春林团队是国内较早开展网络安全与数据合规业务的律师团队之一。从2014年开始,团队连续在“汇业观察”公众号上发表相关系列文章,当时同类型的文章和团队都还较少。目前,团队中专门从事网络安全和数据合规业务的就有近10人,规模较去年同期已扩大一倍,这还不包括常规企业合规业务团队。

客户主要为互联网企业和涉网传统企业(尤以外资快销品牌居多),行业涵盖电商、支付、征信、快销、奢侈品、汽车、电子、航空等几乎所有行业,团队每周大约需要出具10份左右的正式合规意见或整改报告。

除了所涉行业范围广之外,数据合规业务也可能涉及多重法律问题。例如数据出境,可能会涉及网安合规,还会涉及消法、海关(海关监管遵从)及劳动(员工权益保护)等专业;例如数据抓取及可携权问题,会涉及反垄断及竞争问题,甚至是刑事犯罪(非法获取计算机系统数据罪),有时还需要IT团队参与协作,等等。

法律服务需求的复杂性和对应的供给是律所在和咨询公司竞争中的主要优势,黄春林认为。

“网安合规绝不单单是网安的问题,还会涉及消法、广告、竞争法等多层次法律领域。而且,如何从争议解决的角度(证据留痕和证据有效性等)开展网安合规,这是律师不可替代的优势。”他说道。

汇业成立了一个企业合规业务组,由公司、广告、消法、反垄断、海关、网安、劳动、刑事、IT等团队合伙人组成,根据项目需要,跨团队组建项目小组,为客户提供一揽子法律服务解决方案。

如何进一步提高服务能力?黄春林表示,团队正在组建互联网准入合规、网络接入与安全合规、个人信息与数据合规、网络竞争、内容审查等内部小组,为客户提供基于同业经验的综合性、个性化、实用性、即时性的网安与数据合规解决方案。

此外,汇业将进一步整合和利用全国各地分所资源,为那些全国多区域经营的互联网企业,提供全国范围内的网安合规尽调及数据合规建议。

“网络安全和数据合规业务已经成为律师业务的一个增长点,各大一线律所都在加大投入,汇业也不例外,未来团队人才需求仍有较大缺口。”

竞天公诚:

服务重在落地,

需要理解行业和商业模式

无论是网安法或GDPR,还是已于今年5月1日生效的国家推荐性标准《个人信息安全规范》,甚至包括前不久在加州通过的《加州消费者隐私法案2018》,这些国内外法律、标准的出台,不断成为社会舆论的热点,对整个社会和普通公民的隐私期待产生了巨大影响,给企业的网络安全、个人信息保护合规带来了客观的压力。

另一方面,企业也非常重视这些新立法、新规定,会去不断研究其背后的监管标准和在实务中落地的措施方法。

竞天公诚律师事务所合伙人冯坚坚认为,“在高层极其重视、社会隐私期待转变、监管不断加强、新规征求意见稿不断出台的各种合力之下,可以预见无论是政策研究、专项合规还是日常咨询方面,整个网络安全和数据隐私相关法律业务的需求增长会继续保持”。

他分析,具体来看,外资企业非常注重网安法合规和数据跨境传输问题;大型互联网企业、国有企业则对包括中国国内的全球视角下的个人信息安全合规、数据治理等问题尤为关注;政府机构由于掌握大量数据,也很可能会成为未来数据法律服务的重要市场。

据冯坚坚介绍,竞天公诚网络安全和数据隐私团队目前有10人左右,北京和上海两地均有团队成员常驻。近期的服务项目包括某纳斯达克上市的国内数据企业、某大型汽车制造业企业的数据专项合规,为若干拟在大陆、香港、美国上市的大型互联网企业、大数据企业提供IPO前的网络安全与个人信息保护相关的合规整改法律服务,为若干特殊行业公司(包括人工智能、无人驾驶、基因检测、金融机构等有海量数据需求或者数据类型极为敏感的企业)提供与数据流通、共享等相关的专项法律咨询服务。

“对于不同的行业,律师需要结合其行业特点、业务模式来提供更有针对性、更具落地性的网络安全与数据隐私法律服务。”他说。

涉及多行业的法律服务对律师的跨界能力提出了怎样的要求?冯坚坚认为,在很多业务场景中,如果律师不具备相关专业知识,将无法与客户的技术团队、业务团队进行有效的沟通,也无法提出在满足合规的基础上同时满足技术实现可行、商业逻辑可行的有效方案。

“但同时我们也认为,相关的律师素质要求并不是技术背景和法律背景的简单叠加,技术与法律相遇并不必然产生理想中的化学反应,强大的学习能力、不同话语体系的互通融合能力以及旺盛的求知欲和好奇心可能是比知识更为本质的要求。”

所内的跨部门协作如何帮助这部分业务发展?冯坚坚表示,竞天公诚的规模以及新经济领域的客户数量、质量,对于数据相关法律服务的拓展都有着极大帮助。

“网络安全和数据隐私团队与所内证券业务部门、公司业务部门、争议解决部门、金融地产部门等多个部门都有密切的业务合作和交集,早期的种子客户均来源于事务所内因上市、并购等原因具有数据法律服务需求的优质客户。通过与事务所在其他优势领域专业部门的合作,网络安全和数据隐私团队日益发展壮大。”

人才建设方面,冯坚坚介绍,目前计划在原有网络安全和数据隐私团队的基础上进一步成立竞天公诚数据法律研究中心,也在考虑进一步扩大团队。目前在人才引进方面,一是主要考虑引进在企业中拥有丰富数据合规、治理经验和一定技术知识背景的法务人员;二是通过与高校、知名企业、专业行业研究机构的合作在数据法律服务领域来共同培养未来的优秀人才;三是通过所内内训体系进行内部律师培训。”

他还表示,对于相关业务的前景,基于“数据必将成为整个商业活动中最为关键的生产要素”的判断,竞天公诚对于网络安全和数据隐私相关的法律业务前景也极为看好。

元达:

完善服务需要全球资源整合

网安法生效后,相关案例不断出现,企业对个人信息合理使用和保护原来越重视,Facebook个人信息泄露事件将这种担心推到了一个新的高度。

元达律师事务所史宇航认为,网安法的影响是一个逐步发酵的过程,一部法律之外配套的法规和实施细则陆续跟上,企业才更加明确自己的行为界限。“尤其是5月1日生效的《个人信息安全规范》,尽管只是一个国家推荐性标准,但在执法的时候就会作为一个比较重要的参考,企业所需要作出的应对就越来越明确和具体。”

几年前,网络安全和数据保护很难被称为一个专门的业务领域,随着相关法律法规的不断出台,法律服务需求日益增长,“根据客户的需求,一些做知识产权、私募股权、风险投资或TMT领域的律师开始尝试进入。”最近一年,史宇航观察到越来越多的律所中出现了专门的网络安全和数据保护团队。

2014年12月3日,元达律师事务所以及与其结成战略联盟的美国McDermott Will and Emery律师事务所于在上海推出元达数据中心,以向在该地区经营业务的客户提供完善的数据法律服务。据其官网描述,这是中国首个由中国执业律师设计、运作及配备人员的数据法律服务平台。

史宇航介绍,数据中心的成立最初是为了配合证据开示而专设的部门,早期成员都是律师,但更强调其技术背景和相关实践,比如电子证据的收集和审阅等。

从2017年以来,涉网络安全法和GDPR的合规工作越来越多,企业越来越关心自身是否属于监管范围,相关应对措施是否符合网安法或GDPR的要求,律师就需要对企业开展数据审计,尽调企业的数据工作现状,和相关要求进行对比,发现并弥补差距。

由于数据具有高度流动性,不仅是国内企业在涉欧数据方面要考虑应对GDPR,外资企业也需要面对网安法的管辖,数据流动到中国域内,也需要遵守相关法律规定。

“虽然网安法的相关处罚没有GDPR那么高额,但中国的执法特点是可以让企业的服务下架或是网站关停。比如在应用市场中的APP被直接要求下架一周,所对应的损失甚至可能会超过直接罚款1000万元,企业不得不非常重视相关的合规工作。”

并且,并非只有互联网公司特别关心这个问题,现在各行各业的企业对个人信息的收集使用都非常频繁,服务协议中很容易涉及到个人信息问题。

“比如快消零售业,就会收集大量客户信息以供产品决策和广告推广,如何收集、保存,是否能向境外传输等等,都需要律师的专业意见,其中可能不止网络安全问题,还有不正当竞争、知识产权等诸多其他法律问题。同时,对律所而言,全球服务资源的整合也显得愈发重要,涉GDPR的合规意见完全由中国律师出具显然是无法完全满足要求的。”他说道。

关于业务前景,史宇航认为其很大程度上取决于政府的监管尺度,如果政府监管非常的严格,对有合规问题的企业约谈甚至罚款,企业肯定会从合规角度更加重视。同时,转型进入这一领域的律师越来越多,也会带动更多新的律师进入,有技术背景的英语好的法学院毕业生会非常受青睐。

外资所:

传统强所优势明显

外资所方面,仅依据2017钱伯斯榜单检索,全球榜的数据保护领域,贝克·麦坚时、科文顿·柏灵和霍金路伟(美国)位列Band1,安理、年利达、鸿鹄、欧华、Hunton Andrews Kurth LLP、美富位列Band2。

2018年4月15日,贝克·麦坚时发布了《全球隐私手册(2018)》,详细介绍了50多个国家日益复杂和复杂的隐私和数据保护标准,手册的第一篇专业分析就是关于GDPR。[12]

而早在GDPR生效整整一年前,霍金路伟就推出了一款名为GDPRnow的APP,帮助企业进行合规检测。[13]

Bird&Bird自2010年开始组建网络安全团队,成员包含技术和通信、商业、企业、人力资源、争议解决和知识产权等多方面专家,同时与网络安全顾问、公关机构、网络安全保险公司和其他相关专家建立了长期密切的合作关系,以提供全面的响应。[14]

更大的市场,更强的竞争

正如迈克尔·韦德所说,IT供应商也是这一业务角逐中的重要玩家。

2018年6月25日,安全牛发布了最新的《中国网络安全企业50强》(2018年上半年),调查区间为2017年全年的企业信息及各项相关数据。所有被调查对象(约210余家)网络安全业务年收入总额为298.9269亿元。

在更严格的统计口径下,网络安全产品与服务业务的实际增长率与2016年相比超过30%,2017年国内网络安全产品与服务的真实市场规模含安全集成收入约为400亿元。[15] 在榜单中,甚至可以看到360和华为这样的重量级企业。

如何与IT供应商竞争?普华永道于2016年收购了身份和访问管理(IAM,Identity and Access Management )领域的专业咨询公司Everett,其拥有五十五名IAM顾问,专门从事商业咨询(咨询)、技术咨询(架构)和系统集成(IT工程)。

德勤则于同年在海牙(荷兰)开设了又一个“网络情报中心” ,并与IT公司Equinix建立了联盟,而毕马威在2015年吸纳了数位网络安全专家。[16]

而根据英国金融时报的报道,安永2014年的网络安全专业人员团队就已经超过1500人。[17] 毕马威2016年的这一数据则是2000人。[18]

结 语

在这样一个三方角逐战中,“四大”、律所和IT供应商大致分别代表了决策、法律和技术。

其日益激烈的竞争态势也正反映出企业相关需求的持续增长,以及需求本身的复杂性,以至于对任何一方来说,都需要在兼顾三方面需求的基础上充分放大自身优势。

咨询公司过去可以评论律师只能当“救火员”,律师现在则不仅能完成合规审查,也能提供商业决策建议,而双方都需要建立自己的IT支持,无论是内设部门还是外部合作。

至少对于国内律所而言,这一领域才起步短短几年,真正的交锋,也才刚刚开始。

参考资料:

[1] PwC Acquires Minnesota PrivacyConsultants

https://iapp.org/news/a/pwc-acquires-minnesota-privacy-consultants/

[2] Why Is PwC Hiring So Many Privacy Pros?

https://iapp.org/news/a/why-is-pwc-hiring-so-many-privacy-pros/#

[3] The best privacy consultancies

https://www.computerworld.com/article/2562253/security0/the-best-privacy-consultancies.html

[4] GDPR preparation has cost FTSE 350businesses around $1.1 billion

https://www.consultancy.uk/news/17226/gdpr-preparation-has-cost-ftse-350-businesses-around-11-billion

[5] Board level GDPR engagement may needmore attention

https://www.consultancy.uk/news/14096/board-level-gdpr-engagement-may-need-more-attention

[6] GDPR comes with teeth – here are thewinners and losers

https://theconversation.com/gdpr-comes-with-teeth-here-are-the-winners-and-losers-96375

[7] EY’s data privacy service offering:https://www.ey.com/Publication/vwLUAssets/ey-data-privacy-service-offering/$FILE/ey-data-privacy-service-offering.pdf

[8] GDPR: privacy as a way of life

https://home.kpmg.com/xx/en/home/insights/2018/03/gdpr-privacy-as-a-way-of-life.html

[9] GDPR即将生效,德勤发布数据违规支持(CBS)服务

https://www.consultancy.uk/news/17226/gdpr-preparation-has-cost-ftse-350-businesses-around-11-billion

[10] 德勤官网:https://www2.deloitte.com/global/en/profiles/gx-asponselee.html

[11] Linkdin:https://www.linkedin.com/in/annikasponselee/

[12]GLOBAL PRIVACY Handbook

https://tmt.bakermckenzie.com/-/media/minisites/tmt/files/global_privacy_handbook-_2018.pdf?la=en

[13]Hogan Lovells Launches GDPRnow App

Hogan Lovells Launches GDPRnow App

[14]Bird&Bird

https://www.twobirds.com/en/in-focus/cybersecurity

[15] 中国网络安全企业50强(2018年上半年): http://www.aqniu.com/industry/35195.html

[16] PwC Advisory buys cybersecurity andprivacy consultant Everett

https://www.consultancy.uk/news/12344/pwc-advisory-buys-cybersecurity-and-privacy-consultant-everett

[17] Big Four get serious on cyber security

https://www.ft.com/content/270d2894-ecb5-11e3-a754-00144feabdc0

[18] Is your provider secure?

https://assets.kpmg.com/content/dam/kpmg/pdf/2016/04/ch-is-your-provider-secure-en.pdf

未经允许不得转载:智合 » GDPR时代,“四大”、律所和IT供应商的网络安全与数据保护业务角

评论 抢沙发

评论前必须登录!

 

This site is protected by wp-copyrightpro.com