随着我国数据领域的法律法规逐渐健全,相关执法措施也更为严格,尤其是在网络安全审查常态化的背景下,企业的数据合规已经成为企业合规体系建设的重要部分。为进一步提高本所律师在数据合规业务领域的专业能力,北京市京师(深圳)律师事务所(以下简称“京师深圳”)携手德国TÜV莱茵学院深入合作,日前,首批合计11名律师已经完成欧盟数据保护官(DPO)培训与认证。
2021年7月30日,TÜV莱茵学院与京师深圳联合举办首批欧盟数据保护官(DPO)培训学员颁证仪式暨“网络安全与数据合规在律师行业的应用”主题座谈会。TÜV莱茵学院大中华区总经理陈俊东、信息安全专家于永、华南区业务发展经理张燕妮、培训顾问刘晓金,北京市京师(深圳)律师事务所联合创始人、法律研究院院长王岩飞、律师樊思琪、汪宗霖、甘伍叶、石晓敏、李新宇,广东融关律师事务所陈慧芳律师等出席了颁证仪式。
会议过程中,DPO学院参观TÜV莱茵学院实验室。
TÜV莱茵学院大中华区总经理陈俊东为各位律师颁证。
接下来,参会人员进行了座谈,座谈会主要围绕DPO培训与认证对律师的影响、相关培训内容与中国法律的衔接适用,以及数据合规领域律师业务的发展等方面进行:
// Q:欧盟数据保护官(DPO)培训与认证,对于京师律所而言,您觉得意义在哪?
王岩飞律师: 企业信息化数据化的快速发展,带来了大量网络安全、数据合规方面的新兴业务需求。为提供更专业完善的法律咨询服务,律所希望通过引进外部力量,增强律师在网络安全与数据合规领域的专业知识,提高业务水平。
// Q:基于欧盟通用数据保护条例GDPR颁发的人员资格认可证书,这个证书对于咱们国内的企业和个人来讲,会有一些什么样的约束呢?
于永:我们之所以说是基于GDPR,首先是因为GDPR的内容全面,且有专门讲解DPO的章节和具体的条款。其次,GDPR界定细致的场景,看起来更像是一个标准要求。但是DPO的培训课程,并不是纯条款的解读,它更侧重讲体系思维、讲方法论、讲实战,包含条款和案例的关系、条款和应用场景的关联……所以,完成数据保护官(DPO)课程并获得证书,对于国内企业和个人而言,没有约束,反而拓宽了国际视野。
// Q:关于加强网络安全和数据保护,国内也陆续出台了相关保护法,这与GDPR会有什么区别和联系吗?会有像DPO数据保护官这样的人员培养认证吗?
于永:我们的DPO课程有很多串讲,也做GDPR跟我们国家要求的映射关系说明,基于这些逻辑,确实区别不大,但联系很多。我们国家《数据安全法》、《网络安全法》、《个人信息保护法》都明确负责人制,运作需要人,需要被赋能的人,人员培养认证是非常重要的环节。比如,2021年5月,《广东省首席数据官制度试点工作方案》正式印发,推动建立首席数据官制度。
樊思琪律师:基于GDPR的学习,包括DPO课程,我觉得在中国也是适用的,差别只在于时间、执行力度以及如何本地化。在这个领域,政府、企业、律所都需要学习和积累。
// Q:从京师律所经手的案例来看,这几年企业在数据安全领域的认知有什么变化?
王岩飞律师:严格来说,2016年我们就接到企业问询,当时企业的想法很简单,更多是花钱买证的心态。这种情况在2019年发生了变化,很多企业认识到数据安全是必须控制的风险,而非单纯的文件。大部分企业真正产生数据安全方面的刚需,是在2020年,几乎所有的客户都有这个需求,提出要做数据合规。
// Q:如何看待近期发生的涉及企业的网络安全事件?
于永:2020年4月,中共中央国务院发布了一份关于完善要素市场化配置机制的意见,这其中,将“数据”列为第5大生产要素。这说明,企业在未来的数据运营过程中,必然要面临更多合规层面的考验,合规性是企业运营的底线,要主动防治、主动设计。
王岩飞律师:首先,作为律师,我们需要帮助企业建立一套合规的体系,识别风险,做好合规自查。其次,近期发生的案例,对于企业经营者,尤其是对于需要上市、境外并购、有跨境业务的企业而言,都必须加快数据领域的规范,要有国家安全的风险防范思维。
樊思琪律师:在深圳,许多中小企业的数据量已经超过100万。对于中小企业而言,经营者是有数据合规意识的,但企业本身可能没有足够的预算进行完整的合规体系建立,更需要律所提供一套基础可落地的实际方案。我希望未来能够给客户一套可执行的方案,兼顾商业层面的可落地的方案,而不仅仅是法律。
甘伍叶律师: 物联网、大数据等新兴信息通信技术的快速发展,日常生产与生活越来越依赖数据。数据合规在未来肯定是常态化,为了面向市场提供更专业的法律服务,律师参与相关方面的专业培训必不可少。接下来,我会针对不同的企业客户,量身定制合适的策略以及方案。
汪宗霖律师: 在隐私安全的问题和数据安全的方面,律师也是用户,是各类APP和程序的使用者,需要从律师思维转换至用户思维,帮助企业从技术和合规的角度去平衡。因为合规如果非常严格,可能会压制技术的一个发展,但是技术如果野蛮的去生长的话,肯定是会侵犯到用户的隐私的权益和数据安全。如何平衡技术与合规的关系,将是为客户提供解决方案的重要考虑因素。
// Q:关于数据保护,你对律师同行有什么建议吗?
王岩飞律师:网络安全与数据合规也已成为法律界和实务界极为关注的新兴领域,企业及个人在该领域的法律需求都在增长,我们需要及早做好准备:一是法律知识,二是体系化思维,三是跨界思维。
// Q:关于DPO及其他数据安全领域的学习,京师律所有规划吗?
王岩飞律师:TÜV莱茵的专业及权威,是我们最为看重的,希望与TÜV莱茵学院、企业、协会等携手深入合作,促进业务发展、深入研究数据合规领域。
首先,京师律所会将DPO的学习扩展至全国五十余家分所;第二,希望继续开展包括37301这种企业合规的课程,以及个人隐私、ISO 27001等,通过学习拓展更多的知识和实践经验;第三,我们也在培育市场,希望能带动协会以及客户一起学习,一起交流,促进各行业之间的良性对接。
// Q:作为信息安全的专家,向所有奋斗在数据安全的同行说一句话,您会说什么?
于永:我们的征途是星辰大海。
如今,全球范围内关于网络安全和数据合规的立法都在普遍化、纵深化,我国已出台多项关于数据合规的法律,通过完善法律保障体系保护数据安全和个人隐私。TÜV莱茵学院凭借多年来在德国及欧洲数据保护领域的深入研究,精准解读GDPR相关法规,按法规要求培养专业数据保护官(DPO),并学习建立全面的数据保护管理体系,持续为数据合规和业务健康可持续发展保驾护航。
关于德国莱茵TÜV德国莱茵TÜV
成立于1872年的德国科隆,是众多检测、检验、认证服务的先行者。在60多个国家和地区,有500多家分支机构,获得600个授权机构认可,获得80个国家/资质认可,已积累全球230个国家的国际认证项目经验,德国莱茵TÜV有五大事业群,24个事业部为13个行业提供检测、检验、认证、培训方面的服务。 TÜV莱茵学院,作为五大事业群之一,是欧洲最久负盛名的独立培训与咨询机构,成立于1970年,总部位于德国科隆。在全球,有约2,500 名专业培训师与咨询师为客户提供超过12,000 个种类的培训与咨询产品服务。他们的服务涵盖十大领域:质量管理、职业教育、职业健康安全、企业社会责任与可持续发展、智能网联、信息安全、工业4.0/智能制造、护理相关、新能源汽车、焊接与无损检测等。