专访鸿鹄律师事务所合伙人龚钰：数据律师是一个很“酷”的职业

安拓很荣幸采访到的是来自鸿鹄律师事务所，数据领域合伙人的龚钰律师。在龚律师的采访中，他说：“这是一个很酷的数据黄金时代”。但从我们看来，这是一群很“酷”的人们汇聚而成、不断前行的时代，而龚钰律师则是其中“跨境/出海”的代表。大数据时代，一寸数据一寸金，本篇将以龚钰律师背景视角出来，剖析专属于他的挖“金"指南，希望能够给大家一些新思考，同时也从带大家一窥这个有点“酷”的数据时代。受访者 | 龚钰

鸿鹄律师事务所（Bird & Bird）

合伙人

龚钰是鸿鹄律师事务所北京办公室的合伙人，领导中国的数据保护和网络安全团队。他在数据保护、网络安全以及科技、媒体、电信相关的监管及交易方面经验非常丰富。他曾为来自多个行业的中国和跨国客户提供境内外法律服务，擅长解决行业相关的复杂法律问题。龚钰的观点经常被媒体引用，并且作为业内认可的作者发表TMT及隐私相关文章。龚钰拥有中华人民共和国法律职业资格和美国纽约州律师执业资格。他还是国际隐私专业人员协会成员，持有CIPP/E、 CIPP/US 和CIPM证书。

01龚钰律师的专属挖“金”指南

STEP1——

如何选择or进入一个快速发展的新兴领域 

　　对行业的敏锐感知与时间的积累&等待，龚律师见证了数据合规在中国从无到有、从小到大的发展，在其中也深刻地感受到法律发展进程中自己付出的那一份力量的价值。

我最开始是做公司法和并购来入行的，从业大概三年左右，开始逐渐转到TMT相关的领域。15年在TMT这个领域中，我开始逐渐向数据和网安方向发力，因为当时看到了这个领域的发展前景，虽然中间等待的时间很长，从15年到21年个保法的出台，中间经过了6年的时间，但是因为个人的兴趣，一直保持了对这个方向的关注，不断地参与了一些国内外的数据合规项目。

当初选择TMT领域，主要也是因为它更新很快，发展很快，每天都有新的新闻出来。从律师角度而言，我们很乐意看到一些新的技术、新的概念诞生，比如像现在的元宇宙、NFT，如何去监管，我觉得这对于监管者，对于从业者，对于律师来讲，都会是一个新的挑战。从事数据律师职业，至少现在而言，我觉得还是一个非常酷的概念。见证了数据合规在中国从无到有、从小到大的发展，开始意识到自己能够帮助很多的企业做到数据合规，能够看到更多的数据保护措施能够落地，尤其是能够真正地保护很多个人信息，我觉得是一件非常酷的事情。至少在整个法律发展进程中，能够尽到自己一点力量，也是非常值得的。现在应该是我们作为数据律师的黄金时期的开始，所以我也希望能够和更多的同仁一起，把这样一个行业做得更大，做得更好。

STEP2——

如何面对快速更新的未知挑战

　　快速的更新意味着接踵而至的全新挑战，但换个视角，也是一件非常快乐的事情。

虽然这不是一个可以颐养天年的工作，也注定不会是一个轻松的工作，但是不轻松的工作并不意味着它是一个会让人痛苦的工作。从我角度来讲，虽然在这个过程中，每天会花很多时间工作，甚至可能会有很多的加班，但如果你喜欢每天有一些新的挑战，能够热爱你所做的行业或者你喜欢的方向，能够在一个很好的团队里，持续地去提高自己、发展自己，这是一件非常快乐的事情。

我倒不觉得有任何的痛苦，这些工作和压力，对于我来讲都不会是一个大问题。对于我喜欢工作而言，对于我喜欢的方式而言，反而我觉得是一个非常好的现象。当你有很多工作、有很多挑战的时候，说明你在这个行业上做得还是可以的。

STEP3——

选择一个好的窗口平台：全球网络协作与本土化

　　“我之前在内资所执业过一段时间，但基本上大部分时间是在外资所。我觉得外资所的优势在于，它从一个更大的视野、更高的角度去看很多事情。相对而言，外资所的特点在于它的全球网络，以及全球化的业务方式，通过全球各个办公室的协作来进行工作。”

在外资所的经历改变了我之前对于律师行业的一些想法。此前多是团队内部协作，项目往往限于中国国内业务，它可能只是前期项目中很小的一部分，当它来到你手里的话，你可能更多考虑手中的这部分工作。到了外资所，更多看到的是整个全球网络内，其他人是怎么工作的，不同的办公室之间有不同的语言，他们可能有不同的习惯，那么他们是如何在同一个标准下完成一个跨国的项目，是如何去协作的，你能感受到你是能够融入全球的合作网络中的，我觉得这非常重要。

比如在服务中国企业出海的过程中，我们经常需要协调十几个甚至是几十个国家的律师就同一项目提供法律意见。这些律师来自不同的大洲，他们的文化背景和所在国的法律境况迥异，有的来自于本所的办公室，也有一些来自于外部的合作律所。如何让他们能够在客户的预算之内按照同一高标准在规定的时间内提供意见，并把意见以客户需要并且容易理解的方式呈现，是我们需要面对的挑战。这里要求我们需要对于项目进行筹划和管理、掌握与不同国家律师沟通与交流的技巧、同时还要对于所涉及的法律问题具有较为深入的了解和研究，以帮助客户高效地达成目标。

我们一般服务客户的跨境需求，要么是跨国企业在中国的事务，要么是中国企业出海，我们起到一个桥梁的作用。对于跨国公司可能更看重外资所对于他们公司的了解，对于他们的工作要求、工作习惯，包括对于文件要求的了解。我们可以做到国际间相对比较无缝的衔接，给他们提供整合的服务，在同一个网络之内就能够实现一站式的服务体验。

对于中国客户而言，在境外出海的过程中，企业需要面对一个陌生的法律环境，去实现符合境外合规、了解境外当地的监管动向、去做交易。作为一个全球性的律所，我们在中国可以有效地把客户的诉求传递到我们的律所网络中，能够协调网络内当地的律师或者网络外的律师，实现一个非常有效率的法律服务。同时把他们提供的法律服务和意见，以客户比较易于理解的方式，提供给我们的客户，从而提高我们在服务过程中的效率，也让客户能够达到更高的满意度。

作为在激烈市场竞争和高速迭代发展中成长起来的中国公司，尤其是科技公司，其工作节奏和沟通方式往往是紧张高效，务实灵活的，注重落地实践并以结果为导向。与此同时，他们的法律需求在具有前沿性的同时也经常需要根据业务需要进行变化调整，以适应业务的创新和发展。此外，创新型的业务模式和技术在海外推广时，也常常需要面临当地监管部门的询问和质疑，也需要当地律师对于客户需求有精准的把握和理解。这些都对我们提出了更高的要求，也是我们一直以来能够赢得众多中国企业信赖的重要原因。

02一窥数据黄金时代01国内企业们都在做什么数据合规项目？目前仍然出于初期阶段，主要以搭建数据合规体系为主，以及处理一些数据泄漏事件。

现阶段，国内企业做的数据合规项目，主要是搭建数据合规体系。客户的需求跟法规的发展是紧紧相关的，个保法刚刚出台生效，大家会更加关注在个保法生效之后，如何做到合规。所以在初期，大部分的客户要求是，对他们现有的数据流进行盘点、摸底，同时发现他们可能遇到的问题或者存在的缺陷，最后通过我们提出解决方案来帮助客户减少风险，这是我们在这个阶段经常遇到的。

在进行数据盘点和差距分析的过程中，我们除了确保将企业的数据处理活动进行全面有效的梳理并识别相关风险之外，还十分注重我们交付的意见和报告是否能够帮助企业的法务理解目前企业所面临的合规问题，并提供清晰的行动方案以消除风险和解决问题。考虑到很多跨国企业内部的沟通和报告流程，我们也会根据各个企业的特点和当地法务的要求对于我们的交付文件进行调整，提供能够为总部和管理层认可的工作方案。由于我们同时为包括跨国企业在内众多企业提供境外合规服务，使得对于企业的全球合规体系以及运作方式有深入和全面的了解。而这使得我们在帮助跨国企业进行境内合规的时候具有天然的优势。

例如，在跨国企业将数据从中国传输的境外时，在考虑中国个保法的同时，还要考虑到企业的全球数据传输合规体系，以及中国的合规措施与目前所使用的全球跨境传输合规工具的兼容性。在确保中国数据出境合规的同时，还要考虑到是否可能因此导致全球合规工具的有效性受到影响，是否会因此需要调整全球合规策略和部署等。这些都需要相关律师熟悉跨国企业的合规体系，才能提供令当地和境外法务满意的解决方案。

此外，数据泄露的事件，我们也需要帮助客户去处理。客户如果是出海的话，对于一些商业模式、产品运作模式，还有产品功能的合规风险，需要我们帮助发现中间可能存在的问题，或者帮助设计一个比较合理的、能够达到风险和收益相对平衡的商业模式。

数据泄露的泄露可能由于多种原因引起，而企业为了有效应对可能发生的数据泄露，除了需要在平时采取适当的合规措施预防数据泄露的发生之外，还需要制定应急预案并定期演练。这里涉及到控制数据泄露损失的补救措施、对于涉及个人的通知、以及向有关部门的报告程序等等。尤其是向有关部门的报告义务，往往会涉及对于企业自身合规义务的整改并可能触发行政处罚，因此需要企业慎重对待。

02内外资企业都在关注什么数据问题？——跨境传输、GDPR

对于跨境传输而言，尤其是GDPR相关，现在可能是中国企业比较关注的问题。个保法下的一些规定，目前我们虽然看到了端倪，但是对于最终它是如何实现的，目前的法规并没有给我们提供一个非常确定的答案。对于企业而言，比如说要去欧洲销售一款产品，可能是智能车、手机，大部分情况，我们主要的研发、维护运营的人员还是在国内，国内的工作人员难以避免需要访问在欧洲收集的这些个人数据或者说个人信息。

在这种情况下，我们怎么去确认它是不是能够达到欧洲GDPR的要求？GDPR在过去的两三年也发生了很多的变化，首先在回传过程中，你对回传是不是进行了影响评估？如果存在任何被认为是传输不安全的因素的话，你有哪些方式能够去解决这些问题？在这之后你要采用哪种方式，哪种安全措施来进行传输，是不是通过这种有约束的公司规则，还是通过标准合同条款来进行阐述？如何确保这些风险得到解决的，那么我采取的措施是什么？欧盟也提供了一系列补充的安全措施来帮助解决这些问题。那么我们要去看这些措施是不是有效，能不能帮助我们有效解决这些问题。在我们采取了这些措施之后，还要看随时要去回溯，定期检查这种传输是不是有任何的变化，如果发生变化，措施是不是继续有效等等。

这一系列的措施相对来讲，虽然对于我们合规而言提出了很多要求，但是我觉得整体来讲是可以管理、可以控制、有章可循的一个合规流程。我觉得我们目前比较关注的还是，未来从中国向境外传输的数据到底会采用什么样的管理方式，尤其是现在法律提到的网信办未来会进行的安全评估，它会是一种什么样的方式来进行，什么样的企业或者什么样的传输会受到管辖或影响，这些都已经或者将在不久的将来确定下来并通过实践不断改进。

对于外资企业而言，往往不可避免地涉及到数据出境。全球一体化和远程化的信息系统在给企业带来了效率的同时，往往也带来大量的跨境数据交换。这里对于企业而言如何选择适当的出境路径是首要问题，这将取决于企业对于自身数据出境活动情况的掌握程度。考虑到我国目前数据出境的路径将主要为安全评估和标准合同，而安全评估的流程又较为复杂，因此企业采取有效的数据出境策略将至关重要。

03龚律师的制胜“法宝”：深入行业最重要

“不同的企业可能面临的问题是不太一样的。对于数据合规的项目而言，首先要做的就是知己。”

制造业企业最大的问题可能是面临员工数据合规的问题，很多制造业企业可能会有几万甚至十几万的员工，你要收集大量的员工信息，就必然涉及到对于员工的数据流盘点或调查。

消费品公司最大的问题是可能会有几百上千万的个人信息，通过电子商务平台、线下平台、通过客户的积分计划等方式，留存在系统中，那么它所需要面对的是处理汇总不同平台中的个人信息，每一个平台，它可能面临的合规要求不一样。

对于生产企业，它面临的客户，一方面具有消费企业的特点，另一方面它所收集的个人信息数量类型、内部功能复杂，这时候可能需要去细看它的每一个功能，每一个功能都可能会是一个单独的数据流，要对产品本身进行更细致地分析。

随着法规的发展，可能未来也会有一些新的情况出现，随着执法案件越来越多，诉讼案也越来越多，我们可能会遇到更多关于调查、诉讼，甚至像吹哨人之类的情况，每个行业在不同的时间，不同的发展阶段，都可能遇到很多问题，它是一个不断发展，不断迭代的过程。对于这个领域未来每个阶段可能遇到的问题，我都会有所预判、有所准备，永远在这里准备着接招。

龚钰律师是安拓数据保护大会的分享嘉宾之一，将与企业同仁们共同探讨企业数据出境整体应对。

2022安拓数据保护大会，8月5日，不见不散！

网址：专访鸿鹄律师事务所合伙人龚钰：数据律师是一个很“酷”的职业 http://c.mxgxt.com/news/view/683263

相关内容

苏畅 金杜律师事务所 合伙人
高文律师事务所
北京天源律师事务所王立华,北京天元律师事务所王辉
清律律师事务所
全国十大娱乐法律师所 国内擅长处理娱乐法业务的律所 演艺经纪纠纷专业律所
盈科律师事务所
天元律师事务所
高朋律师事务所
浩天律师事务所
上海礼法律师事务所

随便看看