法律视角下企业数字化转型所遇问题及挑战
中国 | Publication | October 2023
近年来大数据、5G、元宇宙、人工智能等领域持续出现技术突破,引发了政策、法律、金融和产业界人士的关注热潮。然而,对于许多并非互联网或信息技术“原生居民“的企业,投入、寻求、摸索“数字化转型”将依然是中短期内的重大课题[1]。基于对几家传统行业龙头企业相关的服务经验,笔者希望在此简要分享法律视角下企业开展数字化转型所遇问题与挑战,以期抛砖引玉以飨读者。
什么是企业数字化转型
数字化转型”并非严格定义的概念。笔者认为,随着经济环境、核心技术、商业生态等因素的变迁,“数字化转型”的内涵和外延也会随之调整。根据维基百科,数字化转型是指人们利用信息技术来改造自身的业务,人们通过推广数字化流程来取代非数字化或人工作业流程,或用较新的信息技术取代旧的信息技术[2]。我认为可以从目的与手段两个维度来理解这一概念:
从目的上讲,企业数字化转型主要分为两个方向:
- 对内 - 打破部门间的数据信息壁垒,优化整合内部资源,提高组织成员沟通协作的效率,最终实现企业的降本增效;
- 对外 - 对现有商业模式进行升级迭代,提高产品的市场渗透率,实现产品营收的增长;或者,进一步挖掘市场需求,通过数字化手段整合资源为客户提供新产品或服务,开拓新的变现模式。
就手段而言,数字化转型需要根据具体商业目的和需求,采用适合的技术,实现业务流程与交互模式的简单化、便利化、无纸化与数字化。
技术作为一种手段须为业务服务。要判断如何通过数字化来实现企业的业务升级、转型与拓展,则必须理解行业、市场、产品、商业模式的特点与底层逻辑,识别现有业务流与数字化工具能够有机融合的关键节点。数字化转型是一项系统工程,法务侧需要与业务、IT技术、财务、市场等部门达成共识、通力合作,良好的跨部门合作机制能够使企业数字化转型事半功倍。
战略调整
数字化转型不仅意味着引用新技术、锻造新产品,也往往伴随着企业经营战略与服务能力的调整革新。比如,传统重资产的制造业企业转变为数字化智能解决方案提供者,凭借对上下游商业生态的洞察,为其他市场参与者提供服务。
具体而言,企业通常对内寻求重组,剥离持续亏损或者前景黯淡的业务资产,建立专注于数字化服务与智能解决方案的团队与业务部门,力争实现自交付能力的构建;对外,我们看到企业通过收购、合资或者协议外包等方式,致力于快速获取数字化服务的能力与资源。
相对于收购或合资,协议外包的路径因为成本低、变现快、周期短、轻整合等优势而被许多企业青睐。实践中,我们看到许多企业在拿到项目以后将技术服务部分全盘外包,然而因为缺失对分包商的尽职调查、外包合同条款不严谨、对服务实施环节的管控疲弱等种种原因,致使企业在项目开展的过程中面临无照运营、侵权或合同违约等监管挑战或法律困境。由于对支付条款或信用风险的认识不足,一些企业还会遭受因不当垫资而引起的资金链断裂的风险。
资质与许可
建立网站或APP(包括各类小程序、快应用)作为对内对外交互的新渠道是企业数字化转型过程中的常见手段,然而运营网站或APP所须资质许可却时常被企业或其委托的IT供应商所忽略。
电信行业作为国民经济重点领域受到以工信部、国家网信办、公安部为主导的政府机关的密切关注。取决于网站或APP所搭载的具体功能和内容,或将适用不同类型的许可证要求。增值电信业务许可证是企业通过网站或者APP向企业端或公众端提供服务时所须的一类常见许可证,比如经营网上商城平台需取得B21和/或B25类增值电信业务许可证。
随着固定和移动宽带持续的提速降费,营销视频在线播放、主播直播带货等新型营销形式在近年来得以蓬勃发展。供给端内容输出的多样化将触发不同监管机构基于不同法益和监管策略的审查与监督。比如国家广播电视总局管理的《信息网络传播视听节目许可证》,文化部管理的《网络文化经营许可证》,市场监督管理部门对于网络直播营销行为的若干规范等,都是致力于生产、运营内容的企业应当关注的监管要求。当然,网站或APP的部署模式以及企业在整个服务安排里的具体角色和作用等因素的差异,都会影响许可证或其他资质要求的适用性分析。
归功于互联网随时随地即可得的特性,企业产品、服务与营销内容所影响的权益主体在规模和数量层面已经发生了质的改变。如果合规措施没有做出及时调整,那么企业面临的可能不仅是监管机关的处罚,还会遭受广泛的口碑贬损与用户的流失。随着今年7月工信部颁布《关于开展移动互联网应用程序备案工作的通知》,我们预期监管层面对于APP侧的合规审查将持续收紧。
网络安全
2017年《网络安全法》实施以来,我们看到许多客户在维护网络信息系统安全方面投入大量资源,但也发现一些企业因为各种原因疏于网安职责的履行。在一起制造业企业遭遇勒索软件攻击的案件中,我们发现客户虽然部署了数百台服务器存储用户、业务数据,但是其并未按照《网络安全法》等要求就网络安全等级保护采取任何行动。客户不仅因为关停服务器、通知数据权益主体而遭受运营与商誉损失,并且因为未履行等保要求而在后续向监管机关的报告程序中变得十分被动。
另外一方面,据我们观察,许多企业在采购第三方软件或信息系统时,在合同谈判、供应商管理等环节往往忽略网安风险识别、责任承担的情况。近年来地方公安对于辖区内信息系统网络安全的主动扫描逐渐频繁,不少客户收到通知要求其限时纠正系统漏洞或采取其他措施。积极响应并及时按照通知要求采取纠正措施固然重要,但我们认为主动建立完善的网安保护制度与管理流程防患于未然,是企业在数字化转型的过程中需要考量的战略性举措。
数据保护与利用
我国近年来在数据保护的立法、司法与执法层面颇有建树,广泛吸纳借鉴国际社会的有益经验,同时扎根本土环境彰显出因地制宜的特色。随着大数据概念和技术的普及,数据资产的重要性不言而喻。业务层面要消除“数据孤岛”、挖掘数据价值、打通数据流转链路,而在法务层面则需甄别厘清数据类型及对应的使用规则。
我们在服务客户的过程中发现个人信息保护的观念不断深入人心。这不仅归功于《网络安全法》颁布后国家在个人信息保护方面热火朝天的制度建设,也得益于各地执法机构每年开展净网行动打击各类窃取、非法倒卖公民个人信息的违法行为,开展落地务实的普法教育。制备、完善《隐私政策》或个人信息使用规则并在网站、APP上公示,依法取得个人信息主体同意等处理个人信息的合法基础,已基本成为各行业共识。
另一方面,加强其他类型数据保护的规则意识仍迫在眉睫。商业秘密、保密信息的存储与分享一直以来是许多企业的痛点。据我们观察,近年来许多企业客户在商业秘密管理规章制度、保密协议、劳动合同保密条款/竞业限制协议等文本层面实现了“0到1“的突破。我们还看到一些已经基本实现无纸化办公的企业通过采购和部署商业秘密管理软件系统,进一步加强企业商业秘密的上传、存储、传输和下载等环节的管理与控制。
当然,不同的企业在数据保护和利用方面会有不同的侧重点,无法一概而论。对于境外企业的中国子公司、分支或者具有海外布局需求的中国企业,数据跨境是其时下应着力解决的重点问题。对于一些行业龙头企业,在利用数字化工具进行业务拓展时,还需要考虑分享或接收竞争性敏感信息可能触发的反垄断问题。而对于身处于关键行业(如金融、医疗、军工、交通、能源等)的一些企业客户,还应注意围绕重要数据、国家秘密等特殊数据类型而构筑的监管框架。
其他问题
自建或者采购第三方软件系统进行本地化部署,或者订阅云服务,都是企业数字化转型过程中常见的IT部署形式。对于法务侧,理解不同部署形式的异同对于从合同文本层面进行针对性的风险把控尤为关键。针对软件系统的权利归属以及由此产生的许可、转让等商业模式及平台内容的创作与展示等问题,著作权、商标权、合理使用等知产维度的考量愈发重要。
对于2B业务为主的企业客户,在其数字化转型的过程中可能需要通过数字化工具将服务触手向消费者端延伸以开辟新的变现渠道。激增的C端投诉与纠纷以及舆论舆情的监控,或将成为该类企业客户面临的新挑战。
我们深信,数字化转型将成为众多企业突破瓶颈、寻求机遇的有利武器。但要实现收益真正的“落袋为安”,我们建议企业寻求法律专业人士的帮助,尽早“主动合规”,防范、解决上述法律风险。