万物互联,数字引领。十问十答系数字经济专题季下固定栏目,每一期将聚焦不同话题内容,最终将形成数字经济百问百答,旨在展示泰和泰律师在数字经济的专业成果。本期话题为:企业数字化转型不得不关注的十大问题。
企业数字化转型,是一个利用大数据、云计算、人工智能等数字化技术推动企业组织转变业务模式、组织架构和企业文化的变革过程。具体来说,就是将数字化技术运用于企业组织、研发、经营等各个方面,以优化企业的销售渠道、营销方式、人力管理、客户体验等流程和机制,具体体现为企业在渠道数字化、营销数字化、人力数字化等方面持续不断投入资源进行建设,这也是过去十年“互联网+”浪潮之下企业数字化转型的风向标。
站在2024年这个节点来看,对企业数字化转型的理解,除了过往“互联网+”时代的数字化转型方面,还需要密切关注面向未来十年的“数据要素×”的数字化转型的新兴战略机遇。具体而言,在过去十年甚至更长时间内,不少企业完成了对客户关系管理(CRM)系统、企业资源计划(ERP)系统、财务管理系统(FMS)、人力资源管理系统(HRMS)等信息基础设施、计算能力的升级改造,积累了大量数据,这些数据可再进一步进行梳理、挖掘、清洗、统计分析等处理,形成企业的数据产品,通过评估作价后作为企业的一项资产,后续通过质押融资、数据交易等方式实现资本化。借助数据要素流通的机制,产业链上的不同企业也可以构建起完善的、体系化的数据产业,将数据要素的效用最大化。另外,基于这些数据积累和数据流通,企业也可以借助人工智能(如AIGC)等新兴技术将数据用于生产力的提升。这或将成为未来十年企业深化数字化转型的历史机遇,也将进一步激励或者倒逼更多企业完成数字化转型。
渠道数字化是指利用互联网和数字技术来改革和优化传统的营销渠道。它主要通过两种方式来改变传统的营销渠道:一是通过数字化手段增强渠道的推送力(推力),二是通过激活消费者端资源来增强渠道的拉力[1]。在数字化时代之前,营销渠道主要依赖品牌驱动和渠道驱动这两种方式。所谓品牌驱动,即拉销,通常通过大众媒体传播来建立品牌力,从而在渠道中形成拉力。而所谓渠道驱动,即推销,则是一级一级的说服过程,从厂家到经销商,再到零售终端,最后到消费者。而数字化渠道改变了这种模式,通过渠道数字化建设,企业通过互联网和数字技术,可以直接触达消费者(C端),通过调动消费者资源来激活商业端(B端),从而形成强大的渠道拉力。这种推力和拉力的结合,对渠道的影响力远超过传统的品牌驱动或渠道驱动单独作用时的效果。例如,传统的品牌驱动模型可以表示为:品牌商(F)通过大众媒体传播(F2C)影响消费者的品牌认知(C),然后消费者到终端购买(C2b),拉动终端(b)从经销商进货(b2B)。而数字化的渠道模型则可能表现为:品牌商(F)通过互联网直接触达消费者(C),再由消费者影响零售终端(b)和经销商(B)。具体的表现形式为:企业通过第三方电商平台、自建电商平台、线下智慧门店、内容电商(如直播带货)等方式,将产品直接从企业端销售给消费者端。ntent="t">就渠道数字化而言,存在的典型法律风险为: 第一,电商平台作为网络运营者、平台经营者以及数据处理者,存在开展业务或者处理数据未取得相关许可资质的风险。相应地,电商平台作为有偿的互联网信息服务的提供方,应当依法取得ICP许可、EDI经营许可甚至IDC许可等资质,如果涉及食品/药品经营、出版物经营、支付业务等,还应依法取得相应的网络食品交易第三方平台备案、互联网药品信息服务资格证书、药品经营许可证、广播电视节目制作经营许可证、出版物经营许可证、支付业务许可证、单用途预付卡业务备案等许可或备案,否则会因为缺少相应资质而违反相关法律法规、部门规章等的规定。第二,电商平台数据全生命周期处理存在合规风险。电商平台内存在不同的角色,包括平台经营者、平台内经营者、第三方物流、第三方支付、第三方广告服务商等各类主体,在用户注册、登录、浏览商品、收藏、种草、加入购物车、下单、支付、送货、售后服务等各个环节,都存在个人信息的处理,该等数据处理覆盖数据从收集、传输、存储、计算分析、加工使用、对外提供、删除甚至跨境传输等全生命周期,各个环节的数据收集方、发送方、接收方分别以处理者或者受托处理者等身份处理数据,存在处理数据违反法律法规等相关规定的风险。第三,在数据处理过程中,无论通过第三方电商平台,还是通过自建电商平台(如自有App、小程序、web网页等),都涉及处理消费者设备权限和个人信息违反法律规定的风险,比如存在违规收集个人信息,强制、频繁、过度索取权限,违规使用个人信息,欺骗、误导、强迫用户,账号注销难等违规情况。
营销数字化是一种利用数字技术和在线平台来促进产品或服务销售的策略。它涉及使用各种数字渠道,如社交媒体、搜索引擎优化(SEO)、内容营销、数据分析和算法推荐等,与目标受众建立联系并推动销售。营销数字化扮演着至关重要的角色,因为它使企业能够更直接地与目标受众互动,精准地定位并满足客户需求,从而提高销售额并建立品牌忠诚度。营销数字化比较典型的场景就是精准营销,精准营销是指通过对用户的特征和行为特征进行计算分析,形成某些标签和用户画像,将营销内容精准地触达用户,完成品牌影响力的传播,从而推动产品和品牌对用户产生吸引力、留下印象并影响用户作出购买决策。ntent="t">就营销数字化而言,存在的典型法律风险为: 第一,在算法推荐场景下,算法根据用户标签和用户的偏好向用户推送信息,容易让用户获得的信息仅仅停留在与其观点、兴趣和认知相似的范围内,容易造成信息茧房的负面效应,最终导致严重的伦理风险。第二,在算法推荐场景下,涉及通过算法根据用户的特征向用户推送信息,该种做法容易导致算法对个体构成歧视,包括出现大众熟知的大数据杀熟等情况,比如仅仅通过算法计算结果对个人的职业能力作出判断,可能会因算法的设计存在偏见而影响劳动者的公平就业权,从而在就业方面构成算法歧视。第三,在算法推荐场景下,用于算法推荐的个人信息可能未经用户同意而收集和使用,该种使用个人信息的方式则构成对个人信息或隐私的侵犯,比如未经用户同意收集其消费流水记录,并用之于向用户推荐其感兴趣的商品,则该种使用个人信息于算法推荐的方式构成对个人权益的侵犯。
人力数字化是指将数字技术应用于人力资源管理的各个方面,以提高效率、优化员工体验、改善决策质量以及推动组织战略目标实现的过程,包括从招聘到入职、从在职管理到岗位调整、从离职到档案和员工数据销毁的各个环节的数字化变革。ntent="t">就人力数字化而言,存在的典型法律风险为: 第一,在招聘环节开展背景调查时,企业容易侵犯劳动者的个人信息权益。具体而言,企业可能在未经劳动者同意的情况下向其上一家单位索取劳动者的个人信息,或者虽经过同意但索取的个人信息明显超出了双方签订劳动合同所必需,该等情形均存在侵犯劳动者合法权益的风险。第二,在劳动用工监控场景下,企业开展数字化监控(包括人脸打卡、指纹打卡、办公电脑安装监控软件等)时,可能因为涉及收集和处理劳动者的生物识别信息、网络浏览记录、行踪轨迹等敏感个人信息,超出合法、正当、必要的范围,进而侵犯劳动者的合法权益。第三,在跨国企业跨境传输劳动者个人信息时,企业未对个人信息出境开展个人信息保护影响评估、未开展合规审计以及未履行充分告知同意义务,或者跨境传输在发送方和接收方之间的数据安全保护措施不满足所适用法域下的法律法规要求,进而构成对劳动者个人信息权益的侵犯以及对相关法律法规、部门规章等规定的强制义务的违反。
目前,企业使用AIGC的方式主要包括两种,一种是RAG的模式,一种是微调的模式,其中RAG(Retriever-Augmented Generation)是检索增强生成的简称,RAG是一种自然语言处理技术,它结合了信息检索和文本生成的能力。在这种技术中,一个检索器被用来从大量文本数据中检索与当前任务相关的信息,然后这些信息被用来指导文本生成模型生成更加准确和丰富的回答。微调(Fine-tuning),是一种机器学习技术,它涉及使用已经训练好的模型作为起点,以改进其性能或适应新的任务。这两种应用模式都是大模型应用中的重要技术手段。在实际应用中,选择RAG还是微调主要取决于具体需求。如果需要生成基于定制知识库的输出,同时保持大语言模型的词汇和写作风格不变,RAG是更好的选择。相反,如果需要改变模型的行为或适应特定的任务或场景,微调则更为合适。在某些情况下,还可以考虑采用RAG和微调的混合方案,以充分利用两者的优势。ntent="t">就企业使用AIGC而言,存在的典型法律风险为: 第一,使用AIGC的数据来源不合法。在企业使用AIGC时,无论在微调模式下,还是在RAG模式下,在数据输入端,在使用数据训练算法或模型时,通常需要海量训练数据,这些数据可能通过自行收集、从第三方采购和通过自动化工具采集。其中,自行收集,是指企业通过网站、App、小程序、SDK 等方式从数据主体处直接收集;从第三方采购,是指从数据供应商处直接采购;通过自动化工具采集,是指通过网络爬虫等技术抓取网络上现有的数据。前两种数据获取方式,其来源相对确定,但通过自动化工具采集方式获取数据,因为数据量庞大且来源广泛,容易对其他主体的民事权益构成侵害,比如侵害其他主体的著作权、侵害其他主体的商业权益和竞争权益,从而对其他主体构成著作权侵权和不正当竞争等风险。第二,AIGC内容侵犯版权。在企业使用AIGC时,在AIGC 的输出端,在AIGC生成过程中,因为生成内容把基本要素进行了重新编排,融入了算法设计者的劳动价值,其可能因为具有独创性而获得著作权,从而获取版权法律的保护。但是,也可能因为生成作品不具有独创性而无法获得版权法律的保护。相反,AIGC生成内容还可能因为与已有作品构成实质性相似而对其构成版权侵权。第三,AGC内容涉及违法和不良信息。在企业使用AIGC时,AIGC技术也可以被用于生成违法内容和伪造欺诈内容,最为典型的场景是,他人可以通过 AIGC 技术将特定自然人的声音或面部等数据与其他人的生物数据进行合成,从而将该人伪装成特定自然人,再通过冒用该特定自然人的身份进行伪造及欺诈行为。第四,企业人员在使用AIGC过程中,涉及商业秘密和个人隐私泄露等法律风险。在企业人员使用AIGC过程中,无论是RAG模式,还是微调模式,甚至直接使用大模型模式,都存在将数据提供给大模型的情况,而在这些数据中,可能存在涉及企业技术信息和经营信息等相关的商业秘密和使用者的个人隐私数据等内容,如此对外提供数据则可能造成企业商业秘密泄露以及相关人员隐私数据泄露。根据媒体报道,某知名企业的员工曾经使用大模型进行半导体测试、将现有代码放到大模型中进行芯片良率优化方案生成以及使用大模型做会议纪要,这些使用AIGC的行为最终导致该企业的半导体测试数据、芯片良率的机密代码、会议嘉宾等信息泄露。
经过过去十年“互联网+”的数字化转型准备,不少企业已经完成了数字化变革,积累了大量数据,但这些数据是分散地、独立地存储在不同的服务器或数据库中的,并且很多数据的存储是混乱的、管理职责不清的,这些未经过盘点和梳理的数据,难以发挥应有的经济效用。这就需要公司成立专门的数据治理机构对这些数据进行整理、挖掘、清洗、统计分析和加工等处理,按照数据的应用场景和需求设计成不同的数据产品,这样的数据产品和其他产品一样,具有可流通的特性,这些数据产品可以应用于不同的场景、用途,即便是相同字段和内容的数据,如果应用场景不一样,其用途和效用也不一样,比如同样是供应链的相同字段的数据,既可以用于供应链企业之间进行数据共享提升整个供应链的协同效率,也可以用于评估供应链上合作方的生产能力、交付能力等信用评价。这是企业将数据资源转化成数据产品的过程,也是数据产品化的过程。在完成数据产品化的基础上,可以将数据通过评估作价方式作为一项资产列入企业的资产列表,并按照资产的识别与盘点、资产确权、资产应用、资产变更、资产处置等全生命周期管理策略进行妥善管理,建立相应的数据资产目录,形成完善的资产管理组织和职责,明确数据资产的权属状态、权属变更以及资产存续状态。该过程是企业数据资产化的过程。在完成数据资产化的基础上,通过质押融资、数据交易、数据使用许可、股权融资等方式实现数据资产的资本化,促进数据要素的安全流通,发挥数据要素的经济效用,推动新质生产力发展。以上从数据资源化、数据产品化、数据资产化到数据资本化的完整过程以及数据资产的全生命周期管理,就是企业数据资产积累的策略。ntent="t">就企业数据资产积累而言,存在的典型法律风险为: 第一,可能存在数据资产形成过程不合法的风险,主要包括数据来源不合法、数据加工和使用过程不合法、整个数据资产形成过程中数据传输存储安全方面不符合相关法律法规等规定,以及相应主体不具备相应的资质等不合法的情况。第二,在数据资产积累的过程中,会涉及多方主体,包括数据安全管理、数据治理、数据确权、数据合规、数据质量评估、数据资产价值评估等主体,还会涉及数据挖掘、标注、清洗等数据加工方,在原始数据积累、数据产品形成和衍生数据产生过程中,都容易出现权属约定不清的问题,相对比较容易产生数据权属纠纷。第三,在数据资产形成过程中,还会涉及数据在各个主体之间的流通,可能会存在流通过程中,各方之间在主体、资质、授权同意以及个人信息保护影响评估、数据安全风险评估、数据质量保障、数据安全保护等方面的义务履行不符合相关法律法规等规定。
数据安全是企业数字化转型的基础保障,企业数据安全保护不善,会存在哪些典型的风险?
企业数据安全保护不善,会存在行政处罚、民事侵权甚至刑事犯罪等方面的风险,具体而言:
企业数据安全保护不善,发生数据处理违法行为,企业可能涉及《网络安全法》规定的不履行网络安全保护义务、未履行网络产品和服务安全义务、侵害个人信息等行政处罚风险,也可能涉及《个人信息保护法》规定的违法处理个人信息的行政处罚风险,还可能涉及《数据安全法》规定的不履行数据安全保护义务、重要数据违法出境、拒不配合调取数据或者违法向境外司法或执法机构提供数据、非法处理数据等行政处罚风险,亦可能涉及《反不正当竞争法》规定的侵犯商业秘密、妨碍/破坏其他经营者合法提供的网络产品或者服务正常运行、妨碍检查/调查等行政处罚风险。企业数据处理不当,民事侵权损害赔偿风险也比较高。《民法典》“人格权”编第六章专章规定公民的个人信息受法律保护、个人信息处理者的义务、处理个人信息的原则以及泄露个人信息的法律责任等事项。《网络安全法》《个人信息保护法》对履行网络安全保护义务、个人信息保护作出了详尽规定,《数据安全法》则对包括个人信息在内的数据安全作出了细致、全面的规定。违反上述法律规定给他人造成损失的,企业都可能面临民事侵权损害赔偿的风险。 企业数字化转型过程中如涉及数据非法处理可能会使企业及相关责任人员面临刑事犯罪风险。具体而言,可以将此类风险分为两大类,一类是行为本身直接侵犯数据权益,另一类是在获取数据的过程中侵犯计算机信息系统安全及网络安全。如行为本身直接侵犯数据权益,可能涉及的刑事罪名包括非法获取计算机信息系统数据罪、侵犯公民个人信息罪等;如在获取数据的过程中侵犯计算机信息系统安全及网络安全的,可能涉及的刑事罪名包括非法侵入计算机信息系统罪、非法控制计算机信息系统罪、提供侵入/非法控制计算机信息系统程序/工具罪、非法利用信息网络罪、帮助信息网络犯罪活动罪、拒不履行网络安全管理义务罪、破坏计算机信息系统罪等。
企业落实数据合规义务,对于企业数字化转型的意义有哪些?
对企业而言,落实数据合规义务,至少具有行政合规不处罚、举证证明尽合理义务不承担侵权责任等方面的效用,能够降低企业数字化转型过程中的违法违规成本。具体而言:企业在数字化转型过程中落实数据合规义务,如涉及违反相关法律法规规定而面临行政处罚时,在满足一定条件下可以从轻、减轻甚至不予行政处罚。具体来说,根据《行政处罚法》的相关规定,“当事人有下列情形之一,应当从轻或者减轻行政处罚:(一)主动消除或者减轻违法行为危害后果的;(二)受他人胁迫或者诱骗实施违法行为的;(三)主动供述行政机关尚未掌握的违法行为的;(四)配合行政机关查处违法行为有立功表现的;(五)法律、法规、规章规定其他应当从轻或者减轻行政处罚的”,“违法行为轻微并及时改正,没有造成危害后果的,不予行政处罚。初次违法且危害后果轻微并及时改正的,可以不予行政处罚”,“当事人有证据足以证明没有主观过错的,不予行政处罚。法律、行政法规另有规定的,从其规定”。据此,《行政处罚法》规定了从轻、减轻、不予行政处罚的措施和情形。在2023年11月,工信部发布的《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》规定,有下列情形之一的,依法不予行政处罚:(一)违法行为轻微并及时改正,没有造成危害后果的;初次违法且危害后果轻微并及时改正的可以不予处罚;(二)工业和信息化领域数据处理者有证据足以证明没有主观过错的;(三)其他依法应当不予行政处罚的。《网络安全法》《个人信息保护法》《数据安全法》等法律法规、部门规章等规范均规定了企业需要履行的法定义务,该等义务涵盖网络安全等级保护、个人信息保护影响评估、个人信息保护合规审计、数据分类分级、数据安全风险评估、数据加密存储和传输、访问控制、应急预案及演练、数据安全教育培训、网络/数据安全事件分级管理、安全事件处置和报告、网络日志留存符合法律法规规定等法定义务。而在发生侵权等民事纠纷时,法院原则上会推定企业存在过错,需要企业举证证明自己没有过错方可免除承担侵权责任,与之相应,如果企业完成了数据合规风险管理体系建设,落实相关安全和合规义务,并对合规管理过程留下详细记录,在发生民事纠纷时,能够举证证明自己尽到了合理义务,则企业可以免除承担相应的民事法律责任。
为保障企业数字化转型的顺利开展,帮助企业未来十年发展抓住机遇,企业应当如何尽到数据安全合规管理义务?
ntent="t">我们建议企业从以下几个方面去尽到数据安全合规管理义务: 企业梳理个人信息保护和数据安全相关的合规义务,形成相应合规义务清单。企业建立健全数据安全合规的体系建设,建立相应的责任组织架构、制度文件、工作流程、沟通机制。遵守隐私设计的理念,在产品设计之初就将个人信息保护工作融入产品研发流程。第四,建立全生命周期安全和合规管理机制和流程。建立覆盖数据产生、收集、传输、存储、使用和加工、提供、删除等数据处理全生命周期的安全合规管理机制和管理流程,尤其关注数据的收集、加工和使用、对外提供、跨境流通、个性化推荐和自动化决策的算法应用等高风险环节,严格遵守合法、正当、必要、诚信等原则,履行法定的告知义务并取得数据主体的同意,落实法律法规等规范规定的个人信息保护影响评估、个人信息保护审计、数据出境安全评估以及数据安全保护等法定义务。第五,持续关注和落实数据安全合规义务,随着立法的完善和数据利用模式的不断演进,相应的法律规范也不断发布,这就要求企业需要持续关注数据处理目的、方式、范围、规模等方面的变更以及立法、监管的动态变化,及时跟进落实数据安全合规义务工作。
ntent="t">我们建议企业通过如下方式保障所处理数据的安全: 第一,建立数据处理全生命周期的安全管理体系,包括建立相应的网络数据安全管理制度、组织机构,指定安全岗位和数据安全负责人,设置数据分类分级保护机制,落实安全人员的聘用、保密、离职审计、安全培训等管理义务,同时建立完善的网络数据安全合作方管理机制和制度,建立相应的安全威胁防范、监测、预警以及安全事件应急预案和应急管理,从安全管理方面落实《网络安全法》和《数据安全法》等法律法规、部门规章规定的合规义务。第二,采取有效的安全技术措施,保障数据从收集、传输、存储、使用和加工、委托处理、对外提供、删除和销毁等全生命周期的安全,比如,在数据传输过程中,采取符合法律法规要求的加密方式、加密内容、加密算法、传输通道、传输媒介等安全措施;在数据存储过程中,保障数据加密存储、分类分级存储、分类分域存储、及时容灾备份、设置数据库防入侵等安全措施;在数据使用和加工过程中,保障数据访问权限管理、访问日志记录、数据库审计、API接口异常检测等安全措施。第三,建议企业通过开展相应的安全认证、测评等方式,引入第三方安全技术服务方和法律服务方,对企业的安全管理能力和技术措施的有效性进行检测、评估、审计。比如,在国内,根据《网络安全法》第二十一条、《数据安全法》第二十七条、公安部GA/T1389-2017《信息安全技术 网络安全等级保护定级指南》、国标GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》等要求完成网络安全等级保护相关义务。针对存在将数据传输至境外的情形,建议企业对境外接收方的数据安全能力进行全面的评估、监测和审计,如有可能,建议境外接收方就其数据处理相关的系统完成ISO27001认证等相关安全认证。[1] 参考文章《数字化改变营销:数字化彻底改变渠道力》,作者:刘春雄,文章链接:https://new.qq.com/rain/a/20210327A02S1H00,访问时间:2024年8月12日12:30。
ntent="t" style="width: 100%;padding: 5px 10px;background: rgb(249, 249, 249);border-radius: 3px;border-width: 1px;border-style: solid;border-color: rgb(239, 239, 239);margin-bottom: 8px;display: flex;justify-content: space-between;align-items: center;" data-mid="">泰和泰研析 | 对于可以采用特许经营模式的项目,本地国有企业该如何参与
