公司的法务是专业律师吗(实务视角：数据合规律师凭借什么获得企业法务的认可？)

在外行人看来，律师和律师的工作似乎是高度重叠的:两者都是专业的法律人士，他们的工作是帮助公司处理法律问题，所以很多人很自然地认为律师似乎是公司法务人员不足时临时聘请的“法务”。

这种说法有一定道理。事实上，律师和法律事务在工作内容和职业特点上都有很大的区别。他们不是互相替代，而是分工合作。

具体到数据合规的具体业务，外聘律师要想得到公司法务的认可，需要在各种琐碎的细节上与公司法务紧密衔接。

为了展现律师与法务之间微妙的默契，让大家对律师与法务在数据合规业务中的工作有更深入的了解，我们对话了成都“星光”网络与数据法律团队负责人魏冬冬律师，请她谈谈与企业法务对接的体会。

以下为魏律师的口述实录:

一、项目开始前的沟通

律师与律师的合作是法律职业者之间的交流。律师和法务最好的关系是:在项目层面，各司其职，共同走向目标，在个人层面，互相成就。

律师要赢得法律事务的尊重，与法律事务友好相处，靠的是敬业精神、对对方的尊重以及积极的回应和反馈。共同的知识背景和共同的任务目标是双方沟通的基础，但同时，不同的工作角色和情况可能会造成矛盾和障碍。

当我们第一次接触公司的法律事务时，我们会做两件事:

首先是确定沟通方式、信息共享和响应时间。比如我们团队会指定1-2个人作为外部联系人，让他们充当与法务部联系的“窗口”。同时，指定邮箱用于正式文件和交流，我们将建立微信群，用于日常讨论和日常工作的交流。此外，我们还将确定一般事项的响应时间，以确保法律部门有一个稳定的预期。

二是与法务部划定工作边界。划分界限不是为了推卸责任，也不是为了少做。如果从这样的起点划分界限，和法务的关系肯定不好，项目也做不好。我们将专注于任务，充分发挥法律事务和外部律师的各自优势，促进更高效的合作。

二。项目过程中的有效合作

要说数据合规，首先要提到“动态合规”这个概念。因为数据合规的监管是不断变化的，企业必须动态适应监管的变化。接手项目的律师不会也不可能保证100%永久合规，只会做一个期限承诺。

比如，我们可能承诺目前的合规仅限于2022年1月5日前的规范性文件，合规整改方案将在此范围内下发。虽然目前为止还没有这种纠纷或者处罚的案例，但是律师也会提前做好风险控制。

数据合规项目启动后，需要内部信息安全、产品经理、架构师、业务/市场部、人力资源、培训、客服部等多个职能部门的配合。

所以在数据调整阶段，我们会有一个整体的问卷调查(200多项)和一个数据需求清单，但是律师不知道公司内部谁能回答这些问题，所以需要法务部门根据公司内部的分工把调查和数据需求拆分，然后分发收集。

有时候，对于一些内部结构复杂的大企业，为了提高各部门的合作积极性和领导的重视程度，我们会提出和法务部召开“项目启动会”，需要法务部进行准备。同时，根据公司的具体情况，我们也会建议法务部门邀请哪些公司高管、部门领导、文员，然后由法务部门组织。

在启动会上，我们会先和法务部门一起“吓唬”领导，告诉他们数据不合规会带来哪些风险，比如消费者信任度下降或丧失、巨额罚款、上市时的审计、APP下架后公司需要面对的困难等等。

我们还会举一些实际案例，特别是双罚制的案例，对于主管信息和数据的领导来说还是相当有效的。再比如《党委(党组)网络安全工作责任制实施办法》，对国企领导有奇效。

“惊吓”结束后，我们就开始向各个部门解释。这个专项计划分为几个阶段，每个阶段的任务是什么，具体时间安排是什么，需要哪些部门配合，如何配合等。，以便协作部门对项目进展有一个总体的了解，也方便协作部门安排内部工作。

这样领导重视了，部门积极配合，以后法律部推进工作就顺利多了。这是律师与法务良性互动的一个小例子。

同样，如果需要就某项具体整改措施召开会议，法律事务部作为沟通桥梁，召集相应部门参加会议，提前公布议题，组织内部部门配合。

另外，除了项目本身，外聘律师团队可能还需要满足法务部尤其是国企的一些内部申报要求。

数据合规项目往往进行半年，年度数据合规顾问以年为单位。所以我们习惯每半个月/月给公司内部法务部门开一次工作简报，告诉他们我们什么时候做了什么，下一步做什么，交付了什么工作成果，哪个律师负责等等。

在得到我们外聘律师团队的报告后，法律事务部可以向他的上级领导汇报。在这个过程中，法务不仅协助我们，还对我们的工作起到了跟进和监督的作用。

除了上面提到的内容，现实中法律事务与律师的联动还有很多方面，我就不一一赘述了。

三。数据合规律师如何获得法律认可？

我给大家分享一个客户案例。某公司之前的GDPR合规工作由北京某律师事务所承担。但是，因为它没有满足客户的期望，我们的团队现在为他们处理国内个人信息合规性。

我们两家有什么区别？

最核心的区别是合规服务的深度和与场景的结合程度不同，当然在沟通快感和响应速度上也有区别。

数据合规必须在特定场景下实施，否则就是耍流氓。法律大家都知道，懂得结合场景，充分考虑合规成本和商业利益的平衡才是关键。

但如果律师不了解企业的行业、商业模式、业务，所谓合规就是泛泛而谈。如果只是告知企业一定的合规义务，让企业去做整改，而不是帮助企业平衡局面，那么这样的合规工作是没有意义的，企业的钱也是浪费的。不，应该说大部分都是白花。

之前那家律所给这家公司出具的合规整改意见书就有这个问题。

例如，他们的整改意见中写道:“收集特殊类型的个人信息时，应当取得个人的明确同意”。对于这样粗略的意见，公司法务还得鉴定公司哪些场景涉及特殊类型的个人信息，什么是明示同意等。因此，律所的意见并没有实质性降低公司整改落实的难度，被diss是必然的。

由此可见，外部律师团队给出的整改意见是否结合具体情况，是否详细，会很大程度上影响法务部门对外聘团队的评价。公司希望从外部律师团队得到的是具体的、可以直接使用的东西，而不是模糊抽象的法律规定和合规义务。

正因为这些问题没有被一家律所实质性解决，企业对这家律所服务的满意度不高，我们才有机会介入。

另外，在与一些企业法务沟通的过程中，我发现有两种典型情况也会引发负面评价。这些是我们重要的学习资料。在此，我想和大家分享一下:

第一个是律师要求企业100%合规，过于严格，缺乏灵活性和商业思维。一家公司的法务部跟我说:“要求我们处处做到100分。我们不是前三大厂商，监管也不是一直盯着我们。我们不需要达到业界最高的合规水平。我们只想成为行业中的中上水平。”

这个角度给我们外部合规律师带来的启示是，不能仅仅拘泥于政策监管的生硬，而要结合企业的目标和需求以及商业利益进行更合理、更系统的考量，然后给企业出具合规意见。

我个人认为，企业数据合规的目标应该是什么，是60分还是90分，应该由企业自己决定。

很简单，因为合规对业务的负面影响或正面促进作用(有些企业想把隐私保护作为商品的亮点，这也挺好的)，而不合规所产生的处罚和成本最终都是由企业承担的，所以这个决定也应该由企业来做，律师不应该代理他人。

但是律师在项目中的作用是什么？在我看来，律师要做的就是告诉企业哪些是必须改变的，哪些是可以推迟的，哪些是可以妥协改变的，和企业一起平衡业务和业务需求。这才是律师真正有价值的地方。

落实到实践中，在为企业制定整改方案时，可以根据合规的重要程度划分“S1”到“S5”五个等级，从而给企业一个量化的概念，进而匹配业务需求。如果真的要量化合规整改措施是否必要，可以考虑一个公式:整改的必要性=违规不良后果的大小/对业务的伤害大小。

另一个典型情况是数据合规律师不懂技术，与技术沟通有困难。

比如数据律师给企业建议加密个人信息时，会涉及到加密是在传输、存储还是两者都做；。是全库加密还是字段级加密，加密哪些字段，使用哪种密码算法，某一种密码算法是否足够，这些都是技术会问律师的问题。

这时候为了给企业提供专业的技术改造建议，往往需要与保安服务公司合作，咨询保安服务人员，因为只有这样做，才能真正帮助到企业。这个时候，律师懂技术就显得尤为重要。

我说律师一定要懂技术，不是指精通，而是至少要能和技术人员对话，减少噪音，提高沟通的效率和准确性。

比如技术人员说“D-DOS攻击”，律师就不用问“你说的D-DOS攻击是什么意思？”；律师要企业销毁数据，不能只在整改报告上写“删除”，因为会让技术人员怀疑是物理删除还是逻辑删除。

基于这样的考虑，我自己考了CISP的证，现在还在准备CISA和CISP的证，也鼓励团队的小伙伴学习。现在很多企业的数据隐私合规都是由信息安全人员来完成的。我也感觉律师跨技术领域还是比跨技术领域进合规难。

我刚才讲的是企业对服务过程的评价，还有一个更直接的，就是对结果的评价。

比如某律师合规企业被监管处罚。除非是因为企业没有落实整改方案或者监管要求发生变化，否则律师的锅肯定逃不掉。

比如律师为企业做完了APP合规，结果做完之后APP还是会被通知或者起诉，肯定会对律师的名誉造成一万点的损害。我听说过一个案例，某公司APP完成合规，结果却因为“注销冷静期”的设置而被通知。这种情况很尴尬！

对话专家

魏冬冬律师

成都“星光”网络与数据法律团队负责人

以及网络数据法律实务负责人

拥有CISP和CIPP认证。

主要实践领域:

数据合规、个人信息和隐私保护、网络侵权和犯罪等。

本文转载自微信官方账号DataWonder