从事数据合规法律业务是什么体验

选择题

编者注：数据合规是近几年的热门法律领域，由此也引发了一波数据合规相关的考证热潮。本期采访嘉宾为某大所数据合规团队初年级律师。采访嘉宾将为我们介绍数据合规业务的工作内容、职业发展等相关信息。
本期导读
1. 选择数据合规领域的原因
2. 数据合规工作内容（包括律所和企业在该领域中工作内容的异同）
3. 数据合规律师从律所到企业的转换
4. 想进入该领域工作需进行的准备
5. 考取相关证书是否值得
1. 您为什么选择数据合规这个领域？
是自身爱好加上一系列机缘巧合的结果。我在中学的时候曾希望以后做一名程序员，或者从事信息技术相关的工作，但高考发挥失常，调剂进了法学专业。一开始作为一名理科生，学习文科专业感觉有些陌生，但是后面硬着头皮学下去之后，发现还不错。
毕业之后，我进入了某个非诉团队工作。在2020-2021年间，数据合规领域开始变得火热，加上团队中有一个新加入的senior有数据合规业务的经验，对于新蓝海的期待以及对信息技术领域的兴趣促使我跟着这位senior接触数据合规业务。随着项目经验的增加，我意识到数据合规业务比较适合自己，并开始在这一领域投入更多精力。后来，我离开了这个非诉团队，加入了一个专注数据合规业务的团队工作。
此外，选择数据合规也有职业发展的考虑。在接触数据合规业务之前，我主要从事反腐败合规调查、公司合规体系建设等业务。我希望通过更多接触数据合规业务，扩大自己擅长的业务领域，以增加自己的职业可能性。
2. 数据合规法律业务大概涉及哪些内容？在律所和企业从事数据合规业务，工作内容会有什么区别？
以下的描述都是我基于自己作为律所中的初年级数据合规律师的体验。可能会有些片面，欢迎读者指教。
什么是数据合规法律服务？我理解的其主要包含以下三大块：

• 第一：为公司的某一个特定商业项目（产品、App、信息服务、业务模式场景等）评估数据合规风险。
  
• 第二：对公司目前的业务现状进行数据合规风险评估，并且根据适用法律的要求为公司进行差异化分析并提出整改建议，帮助公司建立数据合规体系。
  
• 第三：根据《数据出境安全评估办法》等相关法律法规的要求，为公司进行数据出境安全风险自评估，并完成数据出境安全评估申报工作。
  
• 另外还有一些隐私文本或者协议条款的修改等，由于比较零碎，在此不展开。
  

数据合规业务中，律师的实际工作是什么？我理解项目一般由以下流程推进：

• 第一步：以问卷及访谈的形式了解公司背景，公司业务情况，开展数据合规尽职调查。
  
• 第二步：根据不同的项目类型，确定评估范围，进行风险评估，并且提出改进建议。
  
• 第三步：协助公司根据第二步提出的建议进行整改，包括帮助公司优化业务流程、起草内部制度、完善合同模板、优化用户告知文本、完善信息系统建设等。
  

总的来说，我认为数据合规和其他领域的合规业务没有本质的区别，数据合规业务的特点是需要积累一定的专业技术知识。虽说我们不会像IT技术人员一样有扎实全面的专业技术知识基础，但是也需要对专业的术语、名词、概念等有着一定了解以便能理解客户的业务模式并提出建议。比如说我们需要熟悉常见的数据保护技术措施、服务器架构、信息传输模式，才能正确掌握客户的基本情况以开展数据合规服务。目前，我们主要为客户提供中国法下的数据合规建议，偶尔也会涉及一些GDPR的内容。一方面是因为GDPR的适用范围较广，不少我们服务的跨国企业在日常业务中会遇到GDPR的相关问题；另外GDPR作为为数不多比较成熟的数据合规相关法律，有不少实践经验值得我们参考。
在律所和企业从事数据合规业务，工作内容会有什么区别？对于这个问题，我没有从事过法务工作，以下观点是我基于工作中和公司法务同事合作的经验提出的看法。

• 第一，公司法务会涉及到很多的内部协调工作。比如，在项目中，律所会给公司提出各种问题，以了解公司业务情况。但是这些问题会涉及到哪些部门，如何把问题分派给各个部门的同事回答，收集回来的信息如何进行梳理，这些都非常考验法务同事的协调能力。
  
• 第二，公司法务对于公司的制度或者产品需要有一个更加深度的了解，以便能够成为律所和公司之间的“翻译员”。比如说，律所在问卷中可能会问公司的业务逻辑、信息系统逻辑、数据安全措施等问题，这些问题可能是基于法律法规要求所提出的范式化问题，公司法务不仅需要先收集各部门信息，还需要对这些信息进行转化，将公司的实际情况转化为范式化问题的答案，以便律所更有效率地了解公司情况。当然，这个“翻译员”的工作律所也可以做，但由于公司的业务往往具有各自特点，律所通常需要更多的时间以在全面了解公司的基础上进行前面的“翻译”流程，因此专业的公司法务能够帮助律所和公司更为高效地开展数据合规相关工作。
  
• 律所会更加专注于法律层面上的分析，比如根据最新的法律动态或者要求，对公司的情况提出建议。当然，律所也需要关注业务和商业模式的更迭，以完善自己提问的方式，让公司能更好了解律所需要的内容等。
  

3. 从律所转到企业，资历上要满足什么条件？
目前数据合规人才比较少，有不少公司在寻找在律所有着一两年数据合规工作经验的律师作为公司数据合规方向的法务岗，但这些岗位一般不会特别senior。我理解和其他律所转公司senior岗位的情况类似，如果要成为公司的数据合规负责人，至少需要相关领域六年左右的工作经验。当然每个公司的需求不一样，但能否清晰梳理公司现有的涉及数据合规风险的业务，能否对公司业务做初步的风险分析，都是公司比较看重的点。
4. 对于法学生以及从事其他领域的律师，若想要进入该领域，需要做哪些准备？
对于还在职业规划阶段的法学院学生

• 首先是技术知识的积累。据我了解，目前国内还没有学校有这个方向的培养计划，可能会有一些课程，但不会像知识产权、经济法一样作为一个独立的培养方向。因此，有兴趣从事这一领域的同学可以设法补充积累一些信息技术、计算机应用方面的专业技术知识。
  
• 其次是关注日常生活中的数据合规安排。比如可以观察一下生活中遇到的一些隐私文本（比如APP或网站的隐私政策、APP获取的系统权限类型等），熟悉常见场景下的数据合规安排惯例。
  
• 最后是关注行业动态。数据合规领域的法律法规和国家标准仍在不断更新完善的过程中，律所和其他学术机构、咨询机构也不断针对这些更新去写业务文章，同学们可以广泛收集这些信息，及时跟进数据合规领域的监管动态。
  

已经入职其他领域的律师

• 做转换领域这个决定之前需要思考转换成本。不同领域之间的区别很大（哪怕是非诉领域之间）。如果原来从事的是大合规领域的业务，与数据合规业务存在一些共通，转换成本可能相对较低。但如果原来从事的是资本市场、争议解决等领域的业务，转换领域可能意味着很多经验要从头开始积累，这意味着相当高的转换成本。因此在作出决定前要仔细评估自己的转换成本后再作出决定。
  
• 如果确定要转领域，则需要思考基于现有的基础，如何把自己的经验转换到数据合规领域上。比如原来做大合规领域，那么可能基本的工作方法已经掌握，只需要结合数据合规领域积累特殊知识点就可以了。又比如原来是做知产方向，那么对于信息技术有一定的基础，就可以着重学习合规业务的工作方法。
  
• 最后是多积累项目经验。很多工作方法都是在实务中发现的。不管是做项目风险评估还是合规体系建设，每个项目都要认真执行并总结经验，不要因为刚上手时工作比较简单就掉以轻心，持续总结的经验才是自己价值的最大体现。
  

5. 您认为取得一些数据合规相关的证书（比如CIPP/E、DPO之类的）对于在该领域发展是否值得？（我理解取得这些证书的时间和金钱成本并不低。）除了这些证书之外，数据合规律师想要提升自己，还有哪些途径？
我理解证书只是证明自己能力的一种方式，如果候选人的简历上有某个证书，那么就可以快速给陌生人一个直观的印象，就是这个候选人对于某个证书涉及的知识是有一定了解的。
但是，证书对于律师（起码是初年级律师）而言也有一定的局限性。像CIPP/E,DPO这些证书考核范围中通常不包括中国的相关法律法规，而更多覆盖欧洲地区法律法规（如GDPR）的相关内容。并且，这些证书是各个机构自行组织的，这些证书的含金量有多高，大家也需要认真考量。另外不同的证书，聚焦点不一样，有多少的知识能运用到业务中，也是需要考虑的。我个人认为，在初年级律师阶段，可能多积累项目经验，多研究国内法律动向，会比考证更有意义一些，毕竟前者才是直接可以应用到工作中的内容。我更建议大家在有余力的情况下选择适合自己的证书参与考核，将在考核过程中学习到的内容进一步用于工作当中，发掘更多实际价值。