贰
零
贰
肆
龙
年
大
吉
娱法游理
Vol.20
恺英网络法务部
二零二四年三月
目录
本月咨询
1
2
实务研究
立法动向
01
行业动态
06
有序管理、适当放宽——详述《促进和规范数据跨境流动规定》
17
网络推广服务合同中“数据造假”的认定
24
新《公司法》语境下,与目标公司进行股权回购对赌如何实施?
29
公司董监高违反信义义务的风险提示——以新公司法与刑法修正案十二为背景
34
合同履行地规则司法认定标准的变迁
11
目录
4
上市公司治理
APP合规:用户协议及隐私政策审查要点
55
上交所、深交所、北交所就可持续报告披露指引向公众征求意见,上市企业应当了解些什么?
62
数据资产化与合规的重要事项研究
43
企业合规
3
01
立法动向/LEGISLATION
2024年3月4日,全国网络安全标准化技术委员会(TC260)正式发布《生成式人工智能服务安全基本要求》(以下简称“基本要求”)。
《基本要求》提出生成式人工智能服务提供者需遵循的安全要求,包括语料安全、模型安全、安全措施等。同时,《基本要求》作为《生成式人工智能服务管理暂行办法》(以下简称“暂行办法”)的支撑文件,也为《暂行办法》第十七条规定的“安全评估”确立了明确的评估标准。生成式人工智能服务提供者在按照有关要求履行算法备案手续时,需按照《基本要求》进行安全评估,并提交评估报告。
全国网络安全标准化技术委员会发布《生成式人工智能服务安全基本要求》
立法动向/LEGISLATION
3月12日,广东省游戏产业协会发布通知:“根据版署要求,2024年3月1日起,游戏接入防沉迷系统需省局进行初核。申请是由版号文件上的运营公司向所在属地省局提交。”
广东发布《关于游戏接入防沉迷系统需省局进行初核的通知》
02
立法动向/LEGISLATION
3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》(以下简称《规定》),自公布之日起施行。
国家互联网信息办公室有关负责人表示,数据跨境流动已经成为全球资金、信息、技术、人才、货物等资源要素交换、共享的基础。为了促进数据依法有序自由流动,激发数据要素价值,扩大高水平对外开放,《规定》对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出优化调整。
国家互联网信息办公室公布《促进和规范数据跨境流动规定》
03
立法动向/LEGISLATION
日前,中国电子信息行业联合会正式发布《数据合规审计指南》(以下简称《指南》)团体标准及其编制说明。根据《指南》及其编制说明,数据合规审计是审计机构根据商定的法律法规要求,对被审计单位数据合规义务履行情况进行的审查和评价的监督活动,形成审计意见,并出具审计报告。本文件以全面数据合规审计的鉴证业务为核心,规范了审计计划、审计实施、沟通与报告、期后事项各阶段的内容、步骤和要求;明确了数据合规审计领域中各项审计要素的内容和要求,为数据合规审计人员提供执行标准,同时为数据合规审计报告和结果的使用者提供必要的参考信息。
《指南》以全面数据合规审计的鉴证业务为核心,其主要内容分为审计分类、审计要素、审计事项及审计流程共四个部分,并在附录中提供了审计报告参考模板和外部审计的参考路径。
中国电子信息行业联合会发布《数据合规审计指南》系列团体标准
04
立法动向/LEGISLATION
近日,国新办举行新闻发布会,最高人民法院知识产权法庭副庭长、一级高级法官郃中林答记者问表示,知识产权是保护创新的一种法律制度,所以在经济社会快速发展,尤其在科技进步日新月异的情况下,知识产权的司法保护也确实出现了一些新的情况或者是新的特点。郃中林表示,面对这些新的情况新的问题,要准确把握好几个特点。下一步,最高法将重点做好以下四方面的工作:
一是深化知识产权审判理念变革,一定要坚持严格保护、能动司法、统筹协调的知识产权审判理念。
二是完善知识产权审判体系,这里面既包括深化国家层面知识产权案件上诉审理机制改革,也包括进一步优化地方知识产权专门审判机构的布局以及职能配置。
三是要健全知识产权审判机制,最重要的、现在更渴望的是加快制定知识产权诉讼特别程序法,尤其是针对专利案件有很多特殊规律和特殊需要。
四是提升知识产权审判能力,要进一步大力推进知识产权审判队伍的正规化、专业化、职业化和国际化建设。
最高法:要加快制定知识产权诉讼特别程序法
欧洲议会通过《人工智能法案》
2024年3月13日,欧洲议会正式通过《人工智能法案》(Artificial Intelligence Act)。《人工智能法案》对人工智能系统的开发、投放及使用制定了统一的法律框架,侧重于人工智能系统的具体利用和相关风险,包括透明度相关的规则及某些禁令。同时,《人工智能法案》基于不同人工智能系统所对应的风险对其进行分级治理,可能对健康、安全、基本权利、环境、民主和法治存在重大潜在危害的高风险人工智能系统将被重点监管。
《人工智能法案》的适用范围广泛,对于位于欧盟境外的,将人工智能系统投放到欧盟市场或在欧盟投入使用的人工智能系统提供商或相关人工智能系统产生的输出成果在欧盟内使用的人工智能系统开发商、提供商都将适用,可能对相关中国出海企业业务产生一定影响。
05
行业动态/INDUSTRY TRENDS
2024年3月14日,工信部通报2024年第2批,总第37批侵害用户权益行为的App(SDK),共涉及54款APP、小程序和8款SDK。
除“违规收集个人信息”“APP强制、频繁、过度索取权限”“应用分发平台APP信息明示不到位”等常见问题外,本次通报同2024年第1批通报一致,重点关注“开屏信息窗口‘乱跳转’,误导用户”“信息窗口‘摇一摇’乱跳转,误导用户”“信息窗口未提供关闭或退出标识”等侵害消费者权益行为。
工信部通报怪兽充电、途虎养车等62款App有侵害用户权益行为
近年来,中央网信办坚持以清朗网络空间为目标,以人民根本利益为出发点和落脚点,持续开展“清朗”系列专项行动,集中整治网上突出问题乱象,推动网络生态持续向好。2024年“清朗”系列专项行动将紧紧围绕人民群众的新期待新要求,全面覆盖网上重点领域环节,着力研究破解网络生态新问题新风险,重点开展10项整治任务。
1.“清朗·2024年春节网络环境整治”专项行动。春节期间,集中整治6方面问题乱象:发布误导性旅游攻略、自导自演有违公序良俗的离奇剧情视频;借热点话题挑起互撕谩骂、煽动群体对立;利用年终盘点、返乡见闻等形式编造不实内容;发布涉色情、赌博、网络水军等违法引流信息;鼓吹炫富拜金、诱导粉丝无底线追星;危害未成年人身心健康等,为广大网民营造积极向上、文明健康的春节网上氛围。
2.“清朗·优化营商网络环境—整治涉企侵权信息乱象”专项行动。重点整治散布传播涉企虚假不实信息,蓄意造谣抹黑企业、企业家,以“舆论监督”名义对企业进行敲诈勒索等问题。督促网站平台加强涉企信息审核管理,及时提醒有关账号主体严格遵守落实法律法规、社区规则和专项行动要求。依法处置问题突出、情节严重的网站平台和账号。
中央网信办部署开展2024年“清朗”系列专项行动
06
行业动态/INDUSTRY TRENDS
3.“清朗·打击违法信息外链”专项行动。坚决打击利用各种“暗号”“套路”发布非法外链,严防通过将用户引流到隐蔽环节或境外网站等形式,发布传输色情、赌博、网络水军等违法信息。督促网站平台持续加大对图形化、符号化等各类引流变形体的识别打击力度,开展跨平台联动,排查处置引流信息指向的黑灰产群组、账号、APP,违法犯罪线索及时移交公安机关。
4.“清朗·整治‘自媒体’无底线博流量”专项行动。集中整治“自媒体”造热点蹭热点制造“信息陷阱”、无底线吸粉引流牟利等问题。督促网站平台做好涉国内外时事、公共政策、社会事件等领域信息来源标注,AI生成信息标注以及虚构摆拍内容标注。严格营利权限开通条件,明确审核、认定及处置标准。优化流量分发机制,有效扩大优质信息内容触达范围。
5.“清朗·网络直播领域虚假和低俗乱象整治”专项行动。重点整治7方面突出问题:通过摆拍场景等方式,制作“扮穷”“卖惨”内容博眼球;通过渲染商品“功效”等方式,在直播带货中进行虚假宣传;虚构直播“相亲”嘉宾身份,炒作婚恋话题;主播刻意展示发布“软色情”内容;通过深夜付费直播躲避监管,隐蔽传播低俗色情信息;直播低俗搭讪,实施恶俗PK行为,无底线挑战公众审美;在直播时传播虚假科普信息,混淆视听。
6.“清朗·规范生成合成内容标识”专项行动。落实《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》相关要求,督促生成合成服务提供者、网络信息内容服务平台落实主体责任,规范开展生成合成内容标识,清理未有效标识、易造成公众混淆误认的生成合成信息内容,处置利用生成合成技术制造谣言、营销炒作的违规账号。
7.“清朗·2024年暑期未成年人网络环境整治”专项行动。贯彻落实《未成年人网络保护条例》相关要求,从人民群众反映强烈的突出问题入手,集中整治在首页首屏、弹窗、热搜等醒目位置呈现涉未成年人不良内容,以手办文具、动漫二创等方式变相发布低俗色情内容,利用密聊软件、加密照片等方式实施网络欺凌、隔空猥亵等突出问题,严管儿童智能设备信息内容安全,防范未成年人网络沉迷,对问题突出平台、机构和账号从严采取处置处罚措施。
07
行业动态/INDUSTRY TRENDS
8.“清朗·规范网络语言文字使用”专项行动。重点整治通过故意使用错字、滥用谐音指代词、编造黑话烂梗、恶意曲解文字含义等方式,传播低俗色情、攻击恶搞、煽动对立等违法不良信息问题。督促短视频、智能编辑工具等平台,优化错别字提示功能,协助用户规范使用语言文字。督促网站平台进一步畅通举报受理渠道,鼓励网民广泛参与,及时处置不规范使用语言文字的违法不良信息。
9.“清朗·整治违规开展互联网新闻信息服务”专项行动。集中整治未经批准或超范围提供互联网新闻信息服务,倒卖、出租、出借互联网新闻信息服务许可证,发布传播虚假不实新闻信息等问题。指导督促互联网新闻信息服务单位加强内部管理,提高服务质量,依法依规提供互联网新闻信息服务。压实重点网站平台和应用程序分发平台主体责任,加强对使用“新闻”“报道”等具有新闻属性表述的账号、应用程序的资质审核,从严处置违法违规主体。
10.“清朗·同城版块信息内容问题整治”专项行动。重点整治低俗不良营销、网络水军、网络谣言和虚假信息、网络戾气等同城版块多发易发问题。督促网站平台强化日常巡查管理,及时处置违规账号主体,优化信息内容推荐机制,严防根据用户地理位置和兴趣爱好扎堆推送违法不良信息,切实净化同城版块网络生态环境。
中央网信办相关部门负责人表示,将按照工作计划安排,有力有序推进2024年“清朗”系列专项行动,确保整治工作取得扎实成效,为广大网民营造文明健康的网络环境。
2024年3月22日上午10时,上海市第一中级人民法院(以下简称上海一中院)依法公开宣判被告人许垚故意杀人、投放危险物质案,以故意杀人罪对被告人许垚判处死刑,剥夺政治权利终身;以投放危险物质罪对被告人许垚判处有期徒刑六年,决定执行死刑,剥夺政治权利终身。
上海一中院经审理查明:被告人许垚因公司经营管理事宜与被害人林某产生矛盾,经预谋于2020年12月14日至15日间,在被害人林某食用物品中投毒,致林某中毒死亡。许垚还因工作上的原因与被害人赵某甲、赵某乙产生矛盾,经预谋于2020年9月至12月,在两人办公室内饮品等物品中投毒,致赵某甲、赵某乙等四人中毒。2020年12月18日18时40分许,许垚被公安机关抓获。
游族投毒案一审宣判 被告人许垚被判死刑
08
行业动态/INDUSTRY TRENDS
近日,微博话题#周杰伦一审败诉网易#冲上热搜。最新公开信息显示,广州网易计算机系统有限公司等与杰威尔音乐有限公司的不正当竞争纠纷案件将于3月26日二审开庭,上诉人为周杰伦、杰威尔音乐有限公司。
周杰伦诉网易一审败诉,《天下3》微博抽奖不构成不正当竞争
上海一中院认为,被告人许垚故意杀人,致一人死亡,其行为构成故意杀人罪;投放毒害性物质危害公共安全,致四人中毒,其行为构成投放危险物质罪,依法应数罪并罚。被告人许垚系有预谋地以投毒方式故意杀人、危害公共安全,其犯罪动机极其卑劣,犯罪手段极其恶劣,危害后果特别严重,主观恶性极大,依法应予严惩。法院据此作出上述判决。
据接近网易《天下3》的相关人士证实,该案件一审判定被告《天下3》胜诉,法院驳回杰威尔205万元索赔等全部诉讼请求。
法院认定,转发抽奖的模式是微博中常见的宣传方式,《天下3》微博自费抽送周杰伦数字专辑等玩家福利活动不具备营利性质,较难令公众产生周杰伦是代言人等联想,未违反商业道德,判定被告不构成不正当竞争。
09
行业动态/INDUSTRY TRENDS
近日,上海行吟信息科技公司(“原告”)诉厦门群量科技公司(“被告”)不正当竞争纠纷案二审宣判。判决书显示,原告系小红书运营者,被告系群量网经营者,其平台系为品牌商家寻求广告推广、网红达人“种草”接任务的撮合平台。原告认为,被告在群量网发布种草任务,诱导用户在小红书上发布种草笔记;为品牌商家提供虚假种草推广服务,利用技术手段抓取并使用小红书平台数据,在其平台上使用虚假小红书平台数据用于宣传等构成不正当竞争。
一审法院认为,被告发现平台上存在涉嫌虚假种草的任务时,已采取相应处理措施。群量平台中达人的相关数据系其自行填报,属于个人数据,有权自主使用。被告不存在不正当竞争行为,故驳回原告全部诉讼请求。二审法院维持原判。
平台达人发布种草探店任务,小红书主张虚假推广等被判驳回
10
合同履行地规则司法认定标准的变迁
摘录自微信公众号“君合法律评论”
民商事争议的博弈无处不在,如何选择对己方最优的管辖法院往往是博弈的开端。合同履行地不仅关系当事人实体权利义务,也会直接影响确定争议的管辖法院。因此,合同履行地的认定在合同纠纷案件中显得尤为重要。由于合同履行地的认定同时涉及程序及实体问题,司法实践中对于合同履行地的认定存在较多争议。下文将通过最高人民法院的案例及法律、司法解释的规定,简要归纳合同履行地认定规则的变迁。
1
裁判思路的变化
在介绍合同履行地认定规则之前,我们先看两个最高人民法院关于股权转让合同纠纷中合同履行地的认定情况。
在(2019)最高法民辖终54号股权转让纠纷一案中,最高人民法院认为《股权转让合同》的特征义务是转让股权,应以转让股权的行为地作为合同履行地。具体案情如下:刘某与李某、杨某签订了《股权转让合同》,约定将刘某持有的位于新疆维吾尔自治区富蕴县的某公司股权转让给李某、杨某。后刘某向新疆维吾尔自治区高级人民法院起诉要求李某、杨某支付股权转让的对价、利息及违约金。李某、杨某提出管辖权异议,认为依照《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》第十八条规定“其他标的,履行义务一方所在地为合同履行地”,该案应当由其所在的住所地法院管辖。最高人民法院经审查认为,股权转让合同是一方转让股权、另一方给付价款的双务合同,双方均有履行合同的义务。在存在多方或双方均负有合同义务的情况下,应以反映合同本质特征的合同义务为特征义务,以特征义务履行地为确定合同履行地的依据。本案《股权转让合同》的特征义务是转让股权,应以转让股权的行为地作为合同履行地。
在(2023)最高法民辖31号股权转让纠纷一案中,最高人民法院认为转让方请求受让方支付股权转让价款的,争议标的属于给付货币,接收货币一方所在地为合同履行地。具体案
11
实务研究/Practical Research
实务研究/Practical Research
情如下:邓某向深圳市南山区人民法院起诉舒某要求支付股权转让余款及逾期利息,并赔偿损失等。深圳市南山区人民法院认为本案属于股权转让纠纷,争议标的为股权,属于其他标的,履行义务一方为被告,被告住所地为合同履行地,裁定移送湖南省溆浦县人民法院处理。湖南省溆浦县人民法院认为舒某经常居住地位于重庆市九龙坡区,将本案移送重庆市九龙坡区人民法院处理。重庆市九龙坡区人民法院认为移送不当,遂层报重庆市高级人民法院。重庆市高级人民法院与湖南省高级人民法院协商未果,报请最高人民法院指定管辖。最高人民法院认为邓某依据股权转让协议,请求舒某支付相应的股权转让余款,其争议标的属于给付货币,接收货币一方所在地为合同履行地。邓某住所地为深圳市南山区,可以认定为合同履行地。深圳市南山区人民法院对本案具有管辖权,在先行受理的情况下移送管辖,适用法律不当。
据此,对于原告诉请被告主张支付股权转让款的合同纠纷,最高人民法院关于合同履行地的认定标准存在两种不同的认定方式。前一个案例中最高人民法院认为应当以特征义务履行地为合同履行地,后一个案例中其认为争议标的为给付货币的,接收货币一方所在地为合同履行地,两种认定方式对于案件的管辖亦产生了明显的差别。为此,下文将简要梳理合同履行地认定规则的变化情况。
2
合同履行地的含义
(一)实体法上的合同履行地
合同履行地是指债务人履行债务及债权人接受债务人履行债务的具体地点。同一个合同中可能存在多项合同义务,比如主给付义务、从给付义务、附随义务,因此一个合同中存在数个给付义务的情况十分常见,而数个给付义务并不需要约定相同的履行地点。比如在借款合同中,如果出借双方没有约定履行地点,出借方出借款项应当在借款人所在地履行,借款人偿还借款应当在出借方所在地履行,这是由合同双方当事人负有的实体义务决定。
实体法上的合同履行地属于合同主要内容之一,与合同义务或债务的履行相互联系,对确定合同当事人权利义务、风险转移等内容具有重要的法律意义。《中华人民共和国民法典》(以下称“《民法典》”)第四百七十条、第五百一十条、第五百一十一条第三项对于合同履行地点作出了详细规定,对合同履行地的判断分为三个层次。
首先,充分尊重合同当事人的意思自治,以约定的履行地点为准。其次,在没有约定或约定不明时,可以协议补充,不能达成补充协议的,按照合同有关条款或交易习惯确定。最
12
实务研究/Practical Research
后,前两种方式仍无法确定的,适用《民法典》第五百一十一条第三项“给付货币的,在接受货币一方所在地履行;交付不动产的,在不动产所在地履行;其他标的,在履行义务一方所在地履行。”这是《民法典》在合同编通则对确认履行地点的概括规定,在合同编分编的买卖合同、供用电合同对履行地点也作出了规定。
(二)程序法上的合同履行地
与实体法的规定相比,程序法上规定合同履行地的主要目的在于确定合同纠纷的管辖法院,因此程序法对于合同履行地的规定比较简单。《中华人民共和国民事诉讼法》(2023修正)(以下称“《民事诉讼法》”)第二十四条“因合同纠纷提起的诉讼,由被告住所地或者合同履行地人民法院管辖”,对于如何确定合同履行地,《民事诉讼法》并没有规定。
程序法上关于合同履行地规定最早的文件为《最高人民法院关于适用<中华人民共和国民事诉讼法>若干问题的意见》(法发〔1992〕22号,以下称“《92意见》”),第十八条“因合同纠纷提起的诉讼,如果合同没有实际履行,当事人双方住所地又都不在合同约定的履行地的,应由被告住所地人民法院管辖。”,第十九条至第二十二条对购销合同、加工承揽合同、财产租赁合同及融资租赁合同、补偿贸易合同的合同履行地作出了规定。
2015年最高人民法院修改《关于适用<中华人民共和国民事诉讼法>的解释》(以下称“《2015民诉法解释》”的第十八条,对合同履行地的规定作出了大幅度修改,改为以争议标的确定合同履行地,此后民事诉讼法司法解释均未修改该条规定。(该条详细分析见下文)
3
特征履行说vs争议标的说
特征履行地为主、结合实际履行地的判断原则;《2015民诉法解释》修改之后,合同履行地规则吸收了实体法的内容,改为以争议标的确定合同履行地。
(一)特征履行规则
不同的合同类型必定存在差异,在合同的众多义务中,必定有一个最能反映合同本质特征的义务,这是导致合同类型差异的主要原因。以常见的双务合同为例,当事人双方均负有向对方履行相应合同义务,一方的合同义务是交付标的物、提供劳务或服务;另一方的合同义务通常是支付金钱作为对价。一般认为非金钱的给付义务最能体现合同的特征,以该特征义务作为确定合同履行地的管辖法院,既有利于将争议提交到与合同履行具有最密切
13
实务研究/Practical Research
联系的法院管辖,便于当事人参加诉讼,也有利于法院调查事实、收集证据,符合确定管辖的“两便”原则。
因此,特征履行地规则确定合同履行地主要分两步,第一步是判断当事人争议的合同性质;第二步是识别最能反映合同本质特征的义务,由此确定的特征义务履行方所在地即为合同履行地。比如买卖合同中卖方向买方转移标的物的所有权,因此交付标的物的履行地是买卖合同的本质特征。同理,加工承揽合同的加工行为地是合同履行地;租赁合同中租赁物使用地是合同履行地。
根据特征义务识别的合同履行地并不总是与实际履行地一致,合同是否实际履行也会影响合同履行地的确定,这又可能存在以下两种情况:一是合同没有实际履行,根据《92意见》第十八条,“因合同纠纷提起的诉讼,如果合同没有实际履行,当事人双方住所地又都不在合同约定的履行地的,应由被告住所地人民法院管辖。”二是实际履行地与约定的履行地不一致,根据《92意见》第十九条规定,“购销合同的实际履行地点与合同中约定的交货地点不一致的,以实际履行地点为合同履行地。”
(二)争议标的规则
由于特征履行地规则的适用需要根据合同类型分别确定合同履行地的规则,而识别合同特征义务并不总是能够得出统一意见,尤其是实践中存在大量的无名合同,难以对每一类合同的履行地进行统一规定。
《2015民诉法解释》第十八条用三款内容规定了合同履行地判断的新规则,具体内容为“合同约定履行地点的,以约定的履行地点为合同履行地。合同对履行地点没有约定或者约定不明确,争议标的为给付货币的,接收货币一方所在地为合同履行地;交付不动产的,不动产所在地为合同履行地;其他标的,履行义务一方所在地为合同履行地。即时结清的合同,交易行为地为合同履行地。合同没有实际履行,当事人双方住所地都不在合同约定的履行地的,由被告住所地人民法院管辖。”
总体而言,对于合同履行地的确定规则可以概括为:有约定依约定;没有约定或约定不明的,以争议标的具体类型确定合同履行地。在如何判断合同履行地的问题上借鉴了实体法的规定。
4
争议标的规则的具体适用
14
实务研究/Practical Research
(一)适用前提
首先,根据《2015民诉法解释》第十八条第一款“合同约定履行地点的,以约定的履行地点为合同履行地。”只要合同约定了履行地点,则以约定履行地点为准,无论合同是否已经实际履行,均应当以合同约定的履行地为准。一般而言,合同约定明确的履行地点应当以案涉合同中有相应的文字表述,比如约定合同履行地为××。
其次,第十八条第二款规定,只有在合同对履行地点没有约定或约定不明确情形下,才能根据争议标的判断合同履行地。所谓对于合同没有约定履行地点或约定不明确的情形,一般可以通过审查合同内容进行判断,但在约定不明确时能否对当事人的约定进行补充解释,该条并未规定。
最后,合同约定履行地与实际履行地不一致时,在实体法上产生变更原合同内容的法律效果,但在程序法上仍应当以约定履行地为准,不因约定履行地与实际履行地与不符而改变管辖。在合同尚未实际履行,且约定履行地不在当事人住所地的,则回归到管辖的基本原则即被告住所地管辖,不存在根据合同履行地确定管辖法院的问题。
(二)争议标的与诉讼请求的区分
第十八条第二款按照争议标的确定合同履行地的另一问题是如何理解争议标的,有观点认为争议标的是指原告诉讼请求指向的合同义务内容,有观点认为争议标的就是诉讼请求。我们认为,争议标的与诉讼请求是两个相互联系但却完全不同的法律概念。争议标的指的是一方当事人请求人民法院进行裁判的民事法律关系,在合同纠纷中争议标的指的是合同当事人之间的权利义务关系。诉讼请求是一方当事人以争议标的为基础向法院提出的具体实体请求。因此,争议标的是诉讼请求的前提和基础,没有争议标的,就不存在诉讼请求,但争议标的显然不等同于诉讼请求。
结合最高人民法院对第十八条的解读,合同履行地规则必须以当事人的诉讼请求并结合合同履行义务确定合同履行地,对于履行义务的含义要结合实体内容确定,而不是简单以原告诉讼请求为判断依据。在(2019)最高法民辖终385号、(2020)最高法知民辖终362号案件中,最高人民法院亦表明争议标的是指双方发生纠纷的合同类型或性质所决定的主要或特征性义务,而不是指原告提出的诉讼请求中被告应当履行的义务。因此,对于合同履行地应当通过原告的诉讼请求确定合同双方争议的权利义务关系,再进一步判断合同义务是给付金钱还是非金钱给付,从而确定合同履行地。
(三)不同争议标的的合同履行地判断
第十八条第二款以三类争议标的明确了合同履行地判断规则,第一,争议标的为给付货币
15
实务研究/Practical Research
的,以接受货币一方所在地为合同履行地。第二,交付不动产的,不动产所在地为合同履行地。第三,其他标的,履行义务一方所在地为合同履行地。前述规定看似十分简洁,但如何理解履行义务一方?如何理解给付货币一方?
在合同纠纷中,原告向被告主张给付货币的诉讼请求十分常见,可能是基于合同约定要求被告履行支付货币义务,可能是因被告违约要求其承担相应违约责任,还可能是主张合同无效、可撤销或存在解除事由等请求恢复原状产生的货币给付。由此带来一个问题,对于原告诉请被告支付货币的合同纠纷,是否均应当由接受货币一方所在地的法院进行管辖?以股权转让合同纠纷为例,转让方起诉要求受让方支付股权转让款,依照前述规定,转让方作为接受货币一方是合同履行地。但若受让方主张解除合同并返还股权转让款,此时受让方作为接收货币一方,其所在地是否为合同履行地?
如前所述,争议标的与诉讼请求存在本质区分,原告可以基于不同的请求权基础提出给付货币的诉讼请求,但合同履行地的判断并非简单以原告的诉讼请求中涉及的给付货币作为判断依据,而应当结合原告向被告提出的诉讼请求依据的合同义务进行判断。因此,在原告以合同义务向被告主张给付货币请求的合同纠纷中,原告作为接收货币一方所在地是合同履行地,但原告要求被告承担违约责任及主张解除产生的返还货币,这两种诉讼请求均不是基于合同义务产生。如果一律将给付货币的诉讼请求作为判断合同履行地和管辖的依据,则会出现主张给付货币的合同纠纷均由原告所在地法院管辖,明显违反“原告就被告”的基本原则。
由于司法政策保持动态变化,同时在新《民事诉讼法》生效后,可以预见有可能对合同履行地作出新的规定。我们将密切关注司法解释和法院案例的变化。
(完)
16
实务研究/Practical Research
有序管理、适当放宽
——详述《促进和规范数据跨境流动规定》
摘录自微信公众号“君合法律评论”
2024年3月22日,国家互联网信息办公室(“国家网信办”)发布《促进和规范数据跨境流动规定》(以下简称“《跨境新规》”),在2023年9月28日发布征求意见稿(以下简称“《征求意见稿》”)半年后,正式对现有数据跨境机制进行调整。《跨境新规》延续了《征求意见稿》有序管理、适当放宽的基调及规定框架,并结合数据出境安全管理工作实际,对《征求意见稿》进行了适当调整。
- 《跨境新规》确定了豁免申报的特定场景:包括不包含个人信息、重要数据的国际贸易、跨境运输等场景的数据出境、数据纯过境、确认并增补列举了豁免申报的高频出境活动场景(跨境购物、跨境寄递、跨境汇款、跨境支付等)以及跨境人力资源管理目的的员工个人信息出境等。
- 提高个人信息出境评估和备案触发标准:(1)当年累计向境外提供100万人以上个人信息或者1万人以上敏感个人信息,应当申报数据出境安全评估;(2)当年累计向境外提供10万人以上、不满100万人个人信息或者不满1万人敏感个人信息,应当订立个人信息出境标准合同或者通过个人信息保护认证;相较于《征求意见稿》:一是补充了敏感个人信息出境数量作为单独的一项触发评估或备案的标准,二是将触发备案的人数标准从1万提高到10万,三是关于标准的计算,对于出境人数的计算方式从“预计未来一年”变更为“申报当年”,四是将评估有效期从2年改为3年,且经申请可延长。
- 重要数据出境申报确立依公开发布的目录或被告知的前提,即未被相关部门、地区告知或者公开发布为重要数据的,无需作为重要数据申报出境。
- 自由贸易试验区可发布负面数据清单,即需进行安全评估、标准合同备案或认证的数据类别,但其仅适用于相关自由贸易区内的数据处理者。
企业尚未提交安全评估或标准合同备案的,应尽快判断是否需评估、备案或认证
新规要点
17
实务研究/Practical Research
证,并及时申请。根据国家网信办有关负责人答记者问,如果企业在《跨境新规》施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案,但根据《跨境新规》无需开展上述程序的,数据处理者可以按照原程序进行,也可以向所在地省级网信部门撤回申报、备案。如果企业在此前未通过或者部分未通过数据出境安全评估,根据《跨境新规》免予申报数据出境安全评估的数据出境活动,数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。
当然,《跨境新规》依旧强调与出境相关的合规要求,例如对于个人信息出境,需履行告知、取得个人单独同意、进行个人信息保护影响评估的要求;对于重要数据,明确了数据处理者应当按照相关规定识别、申报重要数据;强调事前事中事后全链条全领域监管,明确境外发生数据安全事件的报告要求。从企业管理和合规的角度,首先是确认自身是否豁免或调整申报路径,但并非跳出原有合规框架和要求,而是仍应完成完善合规流程和落地合规举措。
以下请见我们的详细分析。
一
《跨境新规》全文一共14条,涉及以下几个方面的主要内容:
- 明确在未被相关部门、地区告知或者公开发布为重要数据的,数据处理者无需就此数据申报数据出境安全评估
从实操层面来看,在缺乏相关部门、地区告知或者公开发布重要数据目录的情况下,数据处理者很难判断其是否处理了重要数据,更难以基于此不确定性进行数据出境安全评估申报。此条款减少了重要数据识别的不确定性,便利企业开展正常的数据跨境流动,与《征求意见稿》保持一致。
鉴于重要数据对国家安全和社会公共利益的影响,此条款仍然强调了数据处理者应按照相关规定对重要数据进行识别和申报,落实重要数据的安全保护义务。例如,《工业和信息化领域数据安全管理办法(试行)》即规定,工业和信息化领域数据处理者应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成本单位的具体目录。2024年3月21日,国家标准《数据安全技术数据分类分级规则》(GB/T 43697-2024)正式发布,其中,附录G规定了重要数据识别指南,列出了对关键行业和领域的重要数据进行识别所应
18
实务研究/Practical Research
中,附录G规定了重要数据识别指南,列出了对关键行业和领域的重要数据进行识别所应当考虑的因素。另外,天津自贸区发布的《中国(天津)自由贸易试验区企业数据分类分级标准规范》也包括了重要数据的识别目录,并要求企业开展内部数据分类分级工作,并向天津自贸试验区网络数据安全工作主管部门报送重要数据目录。各行业和地区的重要数据目录仍值得进一步关注,以判断是否涉及企业自身所产生或管理的数据。
- 针对不涉及境内个人信息或者重要数据的数据跨境流动,明确免于出境申报机制
针对不涉及境内个人信息或者重要数据情况下的两类数据跨境流动,《跨境新规》明确豁免其申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(1) 实践中常见的跨境商业经营活动,包括国际贸易、跨境运输、跨国生产制造和市场营销等以及学术合作,如果出境数据不包括个人信息或重要数据,企业可以自由出境。
(2) 此外,如果将在境外收集和产生的个人信息传输至境内处理后向境外提供,多见于面向境外用户提供服务的出海企业,假如在处理过程中没有引入境内个人信息或者重要数据的,即不涉及我国境内个人信息主体权益的,也免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
- 调整不同出境申报机制的触发数量门槛以及计算周期
不同于《数据出境安全评估办法》以数据处理者所持有的存量数据数量作为出境申报的触发门槛之一,《跨境新规》已调整为以数据处理者当年累计出境数量和数据类型作为不同出境机制的触发判断标准,更侧重于对于数据出境风险的评估,并有效降低了企业的合规成本。相较于《征求意见稿》:一是补充了敏感个人信息出境数量作为单独的一项触发评估或备案的标准,二是将触发备案的人数标准从1万提高到10万,三是将出境人数的计算方式从“预计未来一年”变更为“申报当年”,四是将评估有效期从2年改为3年,且经申请可延长。
以下我们分别就关键信息基础设施运营者和关键信息基础设施运营者之外的一般数据处理者对外提供重要数据和个人信息所需适用的出境申报类型及触发标准进行了总结,方便企业了解自身对应的合规义务:
19
实务研究/Practical Research
- 豁免出境申报的个人信息出境场景
针对实践中需要高频次进行数据出境传输的业务、跨国公司基于跨境人力资源管理需要而对外传输员工个人信息等特定的个人信息出境场景,《跨境新规》也豁免其申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(1) 为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
(2) 按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
(3) 紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
(4) 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
20
实务研究/Practical Research
针对上述个人信息出境的豁免情形,实践中普遍关注第二项,即对外传输员工个人信息如何满足豁免申报的要求。与《征求意见稿》相比,《跨境新规》仍然没有明确“跨境人力资源管理”、“确需”的范围和判断标准。根据此前的项目经验,网信部门对于“确需”出境仍有相应的判定标准和要求,后续该等标准和要求是否在豁免情形或者评估、备案项目之中仍将延续或有相应的放宽,仍有待进一步观察。这也意味着,如果企业对外传输员工敏感个人信息累计不足1万人的,除非该等敏感个人信息出境满足本项豁免的要求,否则还是需要按照《跨境新规》第八条的规定与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。因此,该条的后续解释仍值得继续关注。
- 自由贸易试验区内的数据处理者对外提供“负面清单”以外数据,也可豁免申报
自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称“负面清单”),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。但此项豁免仅适用于自由贸易试验区内的数据处理者。
近期,企业可以关注不同地方的自由贸易试验区的相应尝试出台促进数据流通的规定。例如,北京市商务局发布《北京市外商投资条例(草案征求意见稿)》,规定“高效开展重要数据和个人信息出境安全评估,制定可自由流动的一般数据清单,促进数据安全有序自由流动。”广州市政务服务数据管理局则发布《广州市数据条例(征求意见稿)》,提出了跨境数据流通“白名单”制度。上海市政府发布了《上海市落实〈全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案〉的实施方案》,其中提到探索建立合法安全便利的数据跨境流动机制,提升数据跨境流动便利性。通过加强相关行业出境数据分类指导、发布示范场景、在临港新片区建立数据跨境服务中心等,便利数据处理者开展数据出境自评等数据出境安全合规工作。
- 重申出境的相关法律要求及数据安全事件的处理义务
《跨境新规》第十条强调,数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。与《征求意见稿》之中多次强调单独同意的要求相一致,该条款再次强调了,适度放宽的主要是指触发评估和备案的场景范围,而对于涉及到个人信息出境的管理要求并没有改变。对于即便不需要进行评估或备案的企业,上述的出境基本义务仍然应当在业务流程之中落地,不因豁
21
实务研究/Practical Research
免评估或备案而不遵守相应的基本法律要求。
《跨境新规》第十一条在强调保障数据出境安全的前提下,规定发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
《网络安全法》施行至今已经6年有余,有关网络安全的各项配套规则和执法活动已逐渐深入和完善。2023年,国家网信办也发布了《网络安全事件报告管理办法(征求意见稿)》,其中规定网络运营者在发生网络安全事件时,应当及时启动应急预案进行处置;属于较大、重大或特别重大网络安全事件的,应当于1小时内进行报告。就跨境数据发生数据安全事件后续的报告流程和具体要求,还需待实践之中进一步明确。该等要求也与目前的实践操作相一致,企业内部也建议预先制定预案流程和管理要求。
二
我们的观察和建议
整体而言,《跨境新规》在保障国家数据安全的前提下,调整和优化了数据跨境申报机制,便利数据跨境流动,降低企业的合规成本。在《跨境新规》的指引下,企业可参照以下要点,综合评估和完善自身数据跨境场景的合规。
1. 评估判断《跨境新规》对企业的具体适用,根据自身情况,确定相应合规策略。
(1) 尚未提交安全评估或备案的,应尽快判断是否需评估、备案或认证,并尽快申请。如果经过对数据出境情况的梳理,数据处理者仍然符合申报标准的,需根据国家网信办在同日发布的《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》,进一步更新和完善申报材料并尽快提交。根据国家网信办相关负责人答记者问4,一般的申请可登录数据出境申报系统提交。
(2) 已提交的安全评估或备案确定撤回或推进。根据国家网信办有关负责人答记者问,如果企业在2024年3月22日前已经申报数据出境安全评估、提交个人信息出境标准合同备案,但根据《跨境新规》无需开展上述程序的,数据处理者可以按照原程序进行,也可以向所在地省级网信部门撤回申报、备案。虽具体撤回的流程暂未明确,后续可与相关负责官员联系确认。
(3) 未通过或部分通过安全评估的确定是否按照其他途径出境。根据国家网信办有关负责人答记者问,如果企业在2024年3月22日前未通过或者部分未通过数据出境安全评估,根据《跨境新规》免予申报数据出境安全评估的数据出境活动,数据处理者可以依法通过订立
22
实务研究/Practical Research
个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。对于当时申报时未通过或者部分未通过的情形或具体字段,在其他出境途径下,是否可以满足相关的条件顺利通过,目前相关细节仍有待实践之中确认。
(4) 已通过的安全评估有效期延长为3年,届满可申请续期。如果数据处理者在2024年3月22日前已经通过数据出境安全评估的数据出境活动,数据处理者可以根据申报事项继续开展。依据《跨境新规》,通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内申请延期3年。
2. 完善内部合规举措、满足个人信息出境合规基本要求。虽然《跨境新规》规定了豁免申报的具体情形,但豁免针对的并不是出境的合规义务。特别的,《跨境新规》第十条强调了个人信息出境的一般性合规义务,包括履行告知义务、取得个人单独同意,以及进行个人信息保护影响评估。这也是《个人信息保护法》项下个人信息出境的基本合规要求。企业在梳理个人信息出境过程中,无论是否需要适用评估、标准合同备案或认证,仍需对照判断是否存在合规差距,进行必要整改,并留存相应记录,这也是企业未来满足个人信息保护合规审计的基本要求。
3. 紧密跟进重要数据的目录变化,依法识别、申报重要数据。《跨境新规》说明,数据处理者应当按照相关规定识别、申报重要数据。即便企业在未被相关部门、 地区告知或者公开发布为重要数据的情况下,无需申请重要数据出境的安全评估,但鉴于各地区、 各部门将按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录的实践会相应发展,企业仍应根据自身所处行业、所处理数据、所从事业务的情况,紧密跟进及持续关注关于重要数据的识别和申报要求。
(完)
23
实务研究/Practical Research
网络推广服务合同中“数据造假”的认定
摘录自微信公众号“网络法实务圈”
随着互联网的迅速发展,许多产品、平台都需要通过推广来吸引更多的用户,因此产品、平台公司都需要与渠道方签订推广合同,明确推广计划。但在实际推广过程中,许多渠道方会虚增流量,甚至造假数据,来赚取更多的推广费用。而在司法实践中,因推广数据真假难辨,法官也很难从一大堆数据中认定出造假的数据。如何识别数据造假,成为审理这类案件的关键点。
目前推广渠道结算的方式主要包括CPM、CPA、CPC、CPT。CPM是通过计算每千人的曝光花费来进行结算的,CPA是通过每个购买行为的平均花费来进行结算的,CPC是通过每次点击的平均花费来进行结算,CPT是通过时间长短(每天)的花费来进行结算的。除了CPT之外,其他3种结算模式都直接与流量挂钩,因此,在以流量为主要衡量标准的结算模式中,推广渠道往往会虚增流量,以提高自身收入。
在过往的新闻中,数据造假的新闻屡见不鲜。2019年5月8日新华社发表《“手机墙”4个月“刷单”骗走1200余万元——“流量造假”乱象何时休?》一文,指出APP刷量现象严重,推广渠道利用“手机墙”的方式,让手机通过自动程序重复从应用商店点击、下载并安装运行软件,制造虚假数据,骗取广告费超1200万元。
在“2018互联网法律大会十大案例”中,也曝光了国内首例数据作弊民事案件。2018年杭州西湖区互联网法院审理了原告友盟同欣(北京)科技有限公司与被告杭州维奇科技有限公司、浙江快推网络科技有限公司侵权纠纷,原告诉称自己在大数据采集和分析领域享有一定知名度,两被告公然通过淘宝平台提供针对原告平台数据的虚假数据刷量服务,侵犯了原告权益。最终,法院判定两被告APP刷量的行为破坏了原告友盟公司数据的客观性和真实性,更损害了原告平台的信誉和经营活动,属于严重的侵权行为,法院判决被告应当赔偿由此给原告公司造成的损失。
网络推广行业的数据造假已成为一种普遍的“水分”,然而,如何认定“数据造假”,从而根据“数据造假”的证据认定渠道方违约,成为困扰司法从业者的难题。
一、网络推广行业“数据造假”普遍存在
24
实务研究/Practical Research
虽然推广行业中数据造假现象普遍存在,屡禁不止,但是,在司法实践中却很难证明推广渠道存在数据造假问题,原因主要包括以下三点:
第一,作为证据提交的数据真实性得不到对方当事人认可。推广服务合同的双方在签订合同时未就数据真实性约定标准,一旦发生争议,渠道方会对推广行为产生的数据,尤其是用于证明存在刷单的数据矢口否认,不认可数据的真实性。在无其他证据辅助证明数据的真实性时,法院往往也不会采纳这份数据证据作为定案依据。
第二、“数据造假”缺乏统一、具有公信力的衡量标准。现在许多产品或平台都会进行反作弊监测,监测推广渠道数据的“水分”。这些监测的途径包括:不同用户行为的对比、不同渠道方数据的对比、用户行为的合理性分析、监测数据之间的关联性分析等。然而,经过上述数据分析得出的“作弊”结论仅是建立在部分数据的分析之上的,不具有权威性,业界“作弊”也缺乏一个统一的判断标准,因此法院难以根据数据分析的结果认定数据造假。
第三,发现数据造假行为具有滞后性。推广结算一般每月一结,甚至是按周结算,并在结算期内确认数据。但在确认数据时,产品或者平台公司不一定能及时发现推广渠道的作弊行为,即使怀疑渠道方存在数据造假的行为,但分析成千上万条数据,并判断其是否是造假数据也需要一定时间,不能立即与渠道方沟通数据造假的问题,以至于对已经确认的数据难以进行否认和追责。
上述三点是在“数据造假”认定过程中普遍存在的问题,例如,在北京派瑞威行互联技术有限公司(以下简称“派瑞公司”)、唯品会(中国)有限公司(以下简称“唯品会公司”)与爱普互动(北京)科技有限公司(以下简称“爱普公司”)合同纠纷案中,关于“数据造假”问题的认定时,虽然唯品会提交了一份反作弊系统的《说明》,拟证明爱普公司的刷单行为,但爱普公司抗辩,不认可《说明》的真实性、合法性,且认为说明的筛选标准系唯品会单方面作出,数据不具有公正性和可信性。最终法院认为,唯品会公司和派瑞公司在结算时节点后一年半才出具《说明》证明爱普公司存在刷单作弊行为,且派瑞公司未能提交充分证据予以证明刷单行为的存在,因此,法院对爱普公司存在作弊行为的主张不予支持。由此可以看到,《说明》作为证据,真实性难以得到爱普公司和法院的认可,并且因为《说明》的反作弊标准不具有公信力,法院也未采纳。等到唯品会公司和派瑞公司发现爱普公司的作弊行为时,早已过了结算时间,难以证明爱普公司存在数据造假的行为。
二、司法实践中认定“数据造假”存在困难
三、认定推广合同中“数据造假”的方法
数据造假的分析与认定虽然是一个极其复杂的技术问题,但在司法实践中,也有个别成功案例成功证明了“数据造假”的存在,归纳总结成功案例的认证方法,可以分为以下三条:
25
实务研究/Practical Research
(一)确立判断数据真实性的标准
推广服务合同双方发生争议后,被指“数据造假”的一方常对推广数据的真实性予以否认,在双方未明确约定数据真实性的判断标准下,法院也难以认定数据的真实性,不利于证明“数据造假”的一方。因此,在合同中事先作出约定,例如“以XX方的数据为准”,建立判断数据真实性的标准,避免在合同发生争议时陷入不利境地。
例如,在深圳市微网力合信息技术有限公司(以下简称“微网公司”)与唯品会(中国)有限公司(以下简称“唯品会”)合同纠纷案中,双方在双方签订的协议第4.2.2约定:“该协议下的推广合作所产生的效果监测数据应以甲方监测数据为准,有效销售额以及新客数据只能以甲方提供数据为准”,第4.3.3条约定:“甲方有权自行或指定第三方提供反作弊监测服务,推广过程中如出现了数据远远异常于正常水平的情况,且甲方监测系统或该第三方监测方认定存在作弊行为而乙方未能提供有效解释说明的,甲方有权视情形认定其为无效数据”。
因此,法院在认定数据真实性时指出,双方已在合同中约定以甲方(唯品会)提供的数据为准。唯品会提交的公证书显示,其对微网公司所主张的结算数据进行提取然后反作弊监测,监测结果显示该数据存在大量收货地址虚假、电话空号、收货人姓名虚假等问题,符合协议规定的“推广数据出现远远异常于正常水平的情况”,法院对唯品会“异常数据无效”的主张予以采纳。
由此可以看出,事先在合同中约定数据真实性的判断标准有利于认定“数据造假”。可以说,数据真实性的确定,是论证存在数据造假行为的基础与前提。事先在合同中作出此种约定,一旦发生争议,法院可以合同约定直接认定数据的真实性问题,避免渠道方否认数据真实性带来的证明难题。
(二)确立“数据造假”具有公信力的衡量标准
法院难以判定推广数据是否存在造假行为,主要原因是“数据造假”在业内并没有一个统一的标准,通过数据分析或反作弊系统得出的结论,往往具有单方性,难以得到法院的认可。此时,能否得到第三方机构的具有公信力的结论,就成为案件成败的关键。
在江苏三步科技股份有限公司(以下简称“三步公司”)与网易传媒科技(北京)有限公司(以下简称“网易公司”)合同纠纷案中,双方在《推广合作协议》(以下简称“《协议》”)中对“有效激活用户”作出了定义——手机用户经由点击甲方产品信息后,访问并下载甲方产品客户端,按照提示安装完毕并启动使用,即为一个有效激活用户。同一终端重复激活的行为,只能视为一个有效数据,不重复计算。
26
实务研究/Practical Research
在审理过程中,网易公司主张,三步公司的“有效激活用户”存在大量虚假数据,原因在于,用户的手机IMEI码不具有唯一性。
IMEI码是移动设备的识别码,是由GSMA(全球移动通信系统协会)核发管理的,前8位为TAC码,与手机型号相对应,不同的手机型号有对应的TAC码,例如,苹果手机对应的TAC码以“35”开头,而华为手机对应的TAC码以“86”开头。在本案中,双方推广的APP为安卓端“网易新闻”,但用户数据中出现大量TAC码为“35”的苹果手机,且多次出现一个IMEI码对应多部手机、IMEI码查验不到的情况。由此推定,数据并非真实用户数据。
为建立“数据造假”具有公信力的衡量标准,网易公司申请对推广数据进行专业鉴定,由法院从数据平台提取了涉案的推广数据交由我国核发管理TAC码的电信终端产业协会(TAF)协助调查采集的TAC码是否与手机型号相对应。该协会回函显示,数据经与其数据库进行了比对分析,仅有1.73%的TAC码与手机型号相匹配。
这份回函成为本案的关键证据,也为本案“数据造假”的认定提供了一个具有公信力的认定标准。回函来自第三方电信终端产业协会,与当事人并无利益关系,并且电信终端产业协会作为我国唯一具有TAC码核发管理权限的机构,有能力对TAC码的真伪进行核对,因此该结果具有公信力。
虽然推广渠道方否认该回函的结果,但最终法院认为,每个有效激活用户的数据中应当含有TAC码,并且根据行业规定和法律规定该码应当具有唯一性,TAC码与手机型号相匹配可以证明真实用户的存在,反之,不能证明数据来源于真实用户,系数据造假。
(三)及时与渠道方沟通数据核查的结果
在前述派瑞公司、唯品会公司与爱普公司合同纠纷案中,虽然唯品会公司和派瑞公司出具了《说明》证明爱普公司存在刷单作弊行为,但法院认为两公司的《说明》是在结算时节点后一年半才出具,不应认定为“及时通知”。
相反,在微网公司与唯品会合同纠纷案中,唯品会就“及时”通知了渠道方微网公司虚假数据的核查结果,为其最终胜诉奠定了基础,2015年11月4日,唯品会在VIP联盟发布公告,明确了其对订单刷单行为拒绝结算的态度,并对异常刷单行为进行了定义。2016年1月1日唯品会与微网公司签订了推广协议,合作期限为2016年1月1日至2016年12月31日。2016年6月12日唯品会给微网公司发出电子邮件核对2016年3月、4月结算情况,明确微网公司数据存在造假,对造假数据不予结算。虽然微网公司在审理中指出,唯品会用于证明数据造假的公证在2017年2月22日作出,距离结算日期将近1年,不能证明数据真实性,但法院最终认定,根据双方合同约定,协议下的效果监测数据以唯品会监测数据为准,如认定存在作弊行为而微网公司未能提供有效解释说明的,唯品会有权视情况认定为无效数据,对该部
27
实务研究/Practical Research
分推广费不予支付。唯品会对2016年3月和4月监测出的数据已经及时进行了解释说明,并进行了公证,在微网力合公司未作出有效解释,也无其他相反证据情形下,对唯品会的监测数据予以采纳。
从上述两个相反案例可以看到,对产品、平台公司应及时对推广数据予以核查、监测,尤其是对疑似造假的数据,及时以书面形式通知对方,避免数据结算后较长时间才发现作弊行为,无法对已结算金额进行追偿。
四、结语
对推广合同中数据造假的认定虽然难度较高,但从目前的成功案例中也能学习到认定数据造假的方法。这些方法不仅对事后的诉讼具有借鉴意义,也对推广合同的起草具有警示作用。产品、平台公司在进行推广时就应考虑到这个行业“造假水分”的问题,对此点进行有效的预防,避免出现因“造假数据”引起合同纠纷。若实在无法避免争议,也应按照上述认定标准,积极应诉,尽量减少公司损失,维护公司利益。
(完)
28
实务研究/Practical Research
背景:新《公司法》对于公司定向减资所需的法定程序进行了明确规定,对于“投资人与目标公司进行股权回购对赌”这一问题产生深远影响。面对这种局面,投资人还能否、如何实现回购目标呢?本文中,笔者将基于相关规定及司法、商业实践,提出一些可供参考的应对思路。
新《公司法》语境下,与目标公司进行股权回购对赌如何实施?
摘录自微信公众号“ 星瀚微法苑”
在国内的PE/VC领域,投资人为解决与目标公司、创始股东间信息不对称的问题,其常见需求是为目标公司约定业绩指标或上市时间指标,如未达成,则通过相对方回购股权或进行金钱/股权补偿的方式进行估值调整。对于基础的法律适用问题,《九民纪要》已经给出了结论性的意见。简单而言:投资人与公司创始股东之间的对赌只涉及平等商事主体间的法律关系,按合同约定履行即可。但涉及与目标公司对赌时,需一并考虑是否违反《公司法》强制性规定的问题。
只考虑股权回购这一类对赌方式的话,现行《公司法》相关规定主要是第三十五条(股东不得抽逃出资)、第一百四十二条(公司可因减少注册资本而收购本公司股份)。《九民纪要》结合现行公司法及“海富案”“瀚霖案”“华工案”等相关典型案例所确定的司法观点,认为与目标公司对赌有效,但在执行层面,如需目标公司回购股权的,公司必须先履行减资程序、再进行回购;对于目标公司是否主动配合进行减资程序的问题,司法选择不干预,交由公司自治。
《九民纪要》发布后,司法实践中基本沿用前述观点,逾四年的时间中,市场已基本接受了“公司回购必先减资”的操作流程。但对于具体的操作方式,实践中出现了一些分歧:在公司回购语境下的减资往往是一种定向减资,其结果是只有部分股东可以从公司取得减资款,各股东持股比例也较减资前有了变动。其面临的首要问题是,减资决议是经三分之二以上多数决即可通过,还是必须经全体股东一致决通过?这个问题的答案会对投资人向目标公司行使回购权的成功率产生直接影响。
一、与公司进行股权回购对赌的相关规定及司法观点
29
实务研究/Practical Research
对于这个问题,部分司法观点认为定向减资的决议需要全体股东一致同意、而不是现行公司法第四十三条规定的三分之二以上表决权股东同意。也有部分观点认为不能对现行公司法第四十三条进行过于随意的限缩解释。这就使得投资人对于能否回购成功的预期面临了较强的不确定性。
如在上海市一中院(2018)沪01民终11780号华某某诉上海圣甲虫电子商务有限公司公司决议纠纷案中,一审法院认为定向减资只需三分之二以上多数决,然而二审法院则认为如只需经三分之二以上表决权的股东通过即可做出不同比减资决议,实际上是“以多数决形式改变公司设立时经发起人一致决所形成的股权架构,故对于不同比减资,在全体股东或者公司章程另有约定除外,应当由全体股东一致同意”。
然而,这种观点在文义上突破了现行公司法的规定,毕竟是较为大胆的。在上海市高院(2018)沪民申1491号吕某与上海鸿洋船舶有限公司、霍某公司决议效力确认纠纷中,再审法院上海市高院即认为“注册资本的增减必然涉及具体股东出资额及出资比例的变化,若强求(定向减资决议)达成一致意见才能对注册资本进行增减,显然有违公司法第四十三条规定的初衷。”
对于这个问题,将于今年7月1日正式实施的新公司法第二百二十四条第三款给出了明确规定:“公司减少注册资本,应当按照股东出资或者持有股份的比例相应减少出资额或者股份,法律另有规定、有限责任公司全体股东另有约定或者股份有限公司章程另有规定的除外。”即倾向于前述上海市一中院的观点,认为有限责任公司定向减资需经过全体股东的合意方可进行(股份公司则章程规定即可)。
二、新《公司法》实施后,定向减资相关风险的应对思路探讨
前文已述,一旦“定向减资需经全体股东合意”被法律确认,既有的享有回购权的投资人将面临更加难以要求公司回购股权的风险。对于这种风险,我们从投资人(回购权人)视角探讨一些可行的措施或思路。
思路一
要求公司全体股东在投资交易文件或相关文件中预先同意对赌条件触发时目标公司做定向减资
30
实务研究/Practical Research
这种方式的依据在于,新公司法并未规定定向减资必须在股东会层面得到全体股东一致同意。为此,可尝试在签交易文件时就要求全体股东签署附条件同意定向减资的条款(有限责任公司)、或要求将相关条款加入公司章程(股份有限公司)。届时如对赌条件触发,哪怕股东会层面只有三分之二以上决议通过,如按法律条文规定也应认可减资决议的效力。此时公司依法履行法定的公告、通知义务即可,也不涉及损害外部债权人利益的问题。
这种方式的主要风险在于:第一,随着新公司法的实施将近,市场监督管理部门可能遵循新的材料审核标准,届时只提供三分之二以上股东签署的定向减资决议是否能完成工商变更办理还是未知数,如果届时不能办理,极端情况可能需要通过诉讼或仲裁确认定向减资决议的效力;第二,有限责任公司的语境下,对于公司有多轮投资人的情况,各轮投资人或将相互掣肘,使得任何一轮均难以独自通过定向减资回购退出——一方面,后轮投资人可能主张自身未签署定向减资承诺而对抗前轮投资人的回购主张,另一方面,前轮投资人的股权受让方也可能对后轮投资人的回购主张不予认可——这就要求投资人在交易文件中作出更加精细化的约定,并在投后管理中随时关注各轮投资人权利情况的变化。
一些投资机构的交易文件中,在约定目标公司承担回购义务的同时,会约定目标公司有义务尽快减资、否则应承担相应的违约责任。更有甚者,会直接为目标公司的该项违约责任约定一笔金额等同于回购价款的违约金,希望将对赌问题完全转化为违约责任的承担问题。
对此笔者认为,《九民纪要》要求目标公司减资后才能实施回购,其主要目的在于通过增加对目标公司的约束,保护外部债权人的信赖利益,而并非意在对投资人合同权利进行不合理的限制,《九民纪要》不应成为目标公司避免承担对赌义务的“避风港”。目标公司在签订其作为股权回购义务主体的协议时,理应隐含了一种“在对赌条件触发时应协调各股东,促成定向减资程序”的承诺。届时如未实现这种承诺,必然给投资人的信赖利益造成损害,故要求其承担违约责任,在笔者看来是有合理性的。
然而,如果将违约金金额约定的十分高,甚至与回购价款基本相当,不免有实质上“抽逃出资”之嫌。如果通过约定合理数额的“滞纳金”,则或可理解为其目的并非套利退出,而是在于促使目标公司早日推动相关定向减资程序的执行。这在笔者看来并无明显的法律瑕疵,在实务操作中应有尝试价值。
思路二
通过向责任方主张目标公司未按期回购的违约金来减少己方损失、或促使责任方尽快推进减资/回购进度
31
实务研究/Practical Research
相关案例如北京市高级人民法院(2021)京民终495号张某某等与南京钢研创业投资合伙企业(有限合伙)股权转让纠纷中,北京市高院沿用一审法院北京市三中院的观点,认为对于“目标公司如未按期履行股权回购义务即承担违约责任”的约定有效且可执行。针对目标公司“支付逾期回购违约金相当于投资方变相抽逃出资”的抗辩,法院的回应可归纳为:第一,《公司法》对“抽逃出资”的规制是为了保护公司债权人的利益。本案中目标公司支付违约金,并不导致公司注册资本减少,亦不必然导致债权人利益受损;第二,目标公司签订合同时应对己方能否履行相应的义务有合理预期并如实履行,其未能及时履行减资程序违反了合同的附随义务,应承担因此而产生的迟延履行违约责任。在笔者看来,这里应该还有隐含的第三点:对赌协议约定的违约金在形式上类似于滞纳金,且数额上并不明显过高。
这种思路的整体操作方式是:通过要求目标公司为创始股东的回购义务承担连带保证责任,使得对赌条件触发后投资人有机会直接通过诉讼方式要求目标公司不经减资地承担保证责任,目标公司随后再(有权)向回购义务人追偿。
笔者对于这种思路始终保有疑虑。原因在于,投资人之所以在法律的重重阻碍下仍要选择目标公司作为对赌主体,正是因为创始股东往往没有那么强的经济实力。所以不难想见,目标公司在承担了连带保证责任后,能够全额追偿的概率将十分有限。如此一来,投资人似乎通过这种方式、在外部债权人不知情的情况下完成了投资款的抽出,实质上造成了一种类似于“抽逃出资”的结果。
然而,实务中仍然不乏要求目标公司承担连带保证责任的诉求被法院支持的案例,而且相关案例在《九民纪要》出台后仍有出现。这说明至少在无进一步司法指导性观点的当下,这种操作方式是可行的,而且或许是投资人得以从目标公司处实现对赌价款收回的最直接方式,具有较强的实务价值。
除了知名的“瀚霖案”中最高院作为再审法院作出“逆转裁判”、肯定目标公司为创始股东回购义务承担连带担保责任的有效性外,《九民纪要》后的案例如北京市三中院(2020)京03民终7314号蒋某某等与重庆佰纳投资中心(有限合伙)股权转让纠纷中,一审法院混淆了目标公司承担回购义务与连带担保责任的区别,对于投资人要求目标公司承担连带担保责任的诉请不予支持,认为目标公司未完成减资程序,不得支付回购款项;二审法院则依据对赌协议中的明确约定支持了投资人的诉请,并在判决书中写明“目标公司承担保证责任后,有权向创始股东追偿”。
思路三
将对赌价款“转化”为担保责任
32
实务研究/Practical Research
三、结语
前述三种应对思路中,第一种是基于新公司法规定提出的尝试性方案,后两种是基于现行公司法提出的方案,目前看来在新公司法实施后应仍有实用价值(后两种思路的实质在于尽可能的绕开被认定为“回购义务”的定性)。
笔者提出三类应对思路,并非意在为投资机构提供“投机取巧”的方案,而是为投融资各方探讨一种可落地的交易架构或模块化的法律工具,增强各方的可预期性。笔者认为正是这种可预期性,有益于激发商业创新和市场繁荣。
(完)
33
实务研究/Practical Research
公司董监高违反信义义务的风险提示
——以新公司法与刑法修正案十二为背景
摘录自微信公众号“金诚同达”
公司董监高的忠实勤勉义务,又称为信义义务,主要体现在2018年《公司法》第148条,新《公司法》将此条拆分为两个条文,区分董事守法(合规)义务、忠实义务和勤勉义务,界定了忠实义务与勤勉义务的内涵与具体内容,并新增事实董事的认定规则。
一、董监高忠实勤勉义务内涵
2023年12月29日,第十四届全国人民代表大会常务委员会第七次会议通过《中华人民共和国刑法修正案(十二)》(以下简称“《草案》”),《草案》增加了打击民营企业内部人员尤其是董监高腐败犯罪的相关条款,主要涉及刑法第165条非法经营同类营业罪、第166条为亲友非法牟利罪和第169条徇私舞弊低价折股、出售国有资产罪。此前,此三类犯罪仅适用于国有公司、企业,而《草案》拟将三类犯罪扩展适用至民营企业,这意味着民营企业高管若对公司背信损害公司利益,面临的不仅仅是民事赔偿责任,还可能被追究刑事责任。
同日,《中华人民共和国公司法(2023修订)》(以下简称“新《公司法》或《公司法》”)经表决通过,并将于2024年7月1日起施行,新公司法进一步加强了董监高忠实勤勉、合规履职的义务。上述两部法律的颁布和实施,对于引导企业管理人依法治企、合法经营具有重要意义,并对民营企业及相关人员的合规提出了更为严格的法律要求。借此契机,本文将结合新规和实践经验,通过梳理企业高管忠实勤勉合规义务的类型及认定、以及违反该系列义务可能面临的法律责任,为民企合规建设提供参考。
34
实务研究/Practical Research
就“守法(合规)义务”,新《公司法》第179条规定,董事、监事、高级管理人员应当遵守法律、行政法规和公司章程。
就“忠实义务”,新《公司法》第180条第1款规定董事、监事、高级管理人员对公司负有忠实义务,应当采取措施避免自身利益与公司利益冲突,不得利用职权牟取不正当利益。
就“勤勉义务”,新《公司法》第180条第2款规定董事、监事、高级管理人员对公司负有勤勉义务,执行职务应当为公司的最大利益尽到管理者通常应有的合理注意。
此外,新公司法额外规定,对于不担任公司董事但实际执行公司事务的公司的控股股东、实际控制人,即“事实董事”,同样适用忠实、勤勉义务的规定。
二、忠实勤勉义务的具体行为类型
新《公司法》第181条是《公司法》第148条的延续,具体规定了公司董监高不得违反具体忠实义务的行为,包括不得侵占公司财产、挪用公司资金;不得将公司资金以其个人名义或者以其他个人名义开立账户存储;不得利用职权贿赂或者收受其他非法收入;不得接受他人与公司交易的佣金归为己有;不得擅自披露公司秘密以及不得有违反对公司忠实义务的其他行为。尤其是,新《公司法》整合董事忠实义务的重要类型,将不得自我交易、不得篡夺公司商业机会单独列出,于新《公司法》第182条及第183条另作更完备的规定,并新增了关于竞业禁止义务的规定于新《公司法》第184条。
(一)董监高关联交易行为
新《公司法》进一步完善了我国董监高关联交易制度的程序规制框架和要素,明确规定(1)监事亦不得从事违反具体忠实义务的行为;
(2)扩大关联交易中关联人的范围;
(3) 引入董监高与公司进行关联交易的报告义务。
(4)增加董事会作为自我交易的批准机关的同时,要求在董事会决议时具有利害关系的关联董事应当回避。
35
实务研究/Practical Research
董事与公司间的自我交易往往具有一定的隐蔽性,其并非局限于董事本人与公司间的直接交易,还包括与董事存在某种可能影响交易之公正性的关联关系的个人或者企业与公司间的交易。原《公司法》第148条第1款第4项仅约束董事、高级管理人员本人与公司间的交易,却忽视了董事、高级管理人员利用他人之名与公司进行交易从而规避法律的情形。
新《公司法》第183条第2款与第191条采纳了从直接交易扩张至间接交易的实质认定原则,将董监高的关联交易主体穿透到隐藏其后的关联人,规定董事自我交易的主体包括:
1)董事、监事、高级管理人员的近亲属;近亲属范围除包括《民法典》第 1045 条中所述的董监高的配偶、父母、子女、兄弟姐妹、祖父母、外祖父母、孙子女、外孙子女外,还应包括董监高配偶的父母、兄弟姐妹、祖父母、外祖父母等关系密切的家庭成员。
2)董事、监事、高级管理人员或者其近亲属直接或者间接控制的企业;
3)与董事、监事、高级管理人员有其他关联关系的关联人,与公司订立合同或者进行交易,适用前款规定。此条款为兜底条款。
公正严谨的信息披露程序是确保董监高关联交易公平性的基石,新《公司法》第182条将此信息披露制度转化为报告义务,明确了“董监高”应就与订立合同或者进行交易有关的事项向董事会或者股东会报告,并按照公司章程的规定经董事会或者股东会决议通过。
公司法要求的信息披露的重点是让公司知悉和了解关联交易的发生,揭示关联交易的内容以及可能存在的利益冲突,展示关联交易是否公平。披露的对象是公司的有权决策机关,董事会或者股东会。至于具体是向董事会披露还是向股东会披露,则由公司章程规定。披露的内容应该符合真实性、充分性、准确性和及时性要求。
根据原《公司法》第148条的规定,董事可以在经股东(大)会批准的情况下实施自我交易行为。但股东(大)会通常每年仅召开一次,且在股东人数较多的公司中通畅面临着召集时间和召集费用等复杂问题。股东(大)会作为单一的批准机关不符合效率的法律价值目标,有鉴于此,新《公司法》第183条第1款增加董监高关联交易的批准机关,公司可以根据实际情况选择由公司董事会批准,亦或由公司股东会批准。董事会作为公司的常设机构,负责公司日常经营性业务,具有较高的灵活性,可以对公司的日常经营活动进行及时判断,有助于公司更好地应对变化。
1. 关联交易中关联人的范围认定
2. 关联事项报告制度
3. 董监高关联交易的批准规则
36
实务研究/Practical Research
在公司治理中,董事会的决策过程至关重要。为了确保决策的公正性和透明度,防止董事会内部成员与利益冲突交易存在利害关系,新《公司法》第185条将上市公司的关联董事回避表决制度扩大到所有公司,对关联董事的表决权进行了严格限制。增加规定在关联交易、谋取公司商业机会和同业竞争情形下,关联董事不得参与表决,其表决权不计入表决权总数。出席董事会会议的无关联关系董事人数不足三人的,应当将该事项提交股东会审议。
新《公司法》建立关联董事回避制度,由董事会中的无利害关系董事对公司的关联交易进行审查和判断,强化公司内部监督和管理,旨在保障公司及其股东的利益。
新《公司法》将篡夺公司商业机会或同业行为单独列出,将监事纳入篡夺公司商业机会和同业竞争监管限制的主体,并增加董事会作为豁免同业竞争的机关,
就禁止篡夺公司商业机会的行为,原则上,董监高不得利用职务便利为自己或者他人谋取属于公司的商业机会。但《公司法》规定董监高可以事先向董事会或者股东会报告,并按照公司章程的规定经董事会或者股东会决议通过,公司同意董监高使用该本属于公司的商业机会或者公司拒绝使用该商业机会即不违反法律规定。另新《公司法》增加一项除外规定,即公司因受到法律、行政法规或公司章程的限制不能使用该商业机会的,董事即可使用该商业机会。
新《公司法》从资本充实角度进一步强化了董监高义务。新增规定1)有限责任公司成立后,董事会应当对股东的出资情况进行核查,发现股东未按期足额缴纳公司章程规定的出资的,董事如未及时对股东出资进行核查和催缴的,需承担以及负赔偿责任;(2)对于股东抽逃出资的给公司造成损失的行为,负有责任的董监高应与股东承担连带赔偿责任;
此外,新公司法新增在发生1)公司违规给他人提供取得公司股份提供财务资助时,2)违规向股东进行利润分配时,3)违规减少注册资本时给公司造成损失的,对此负有责任的“董监高”需承担赔偿责任的规定。
4. 关联董事表决权排除制度
(二)篡夺公司商业机会或同业行为
(三)维护公司资本充实的义务
37
实务研究/Practical Research
最高人民法院 2011年修订的《民事案件案由规定》中二级案由“与公司有关的纠纷”下设三级案由“损害公司利益责任纠纷”,而这也是关于公司董监高等违反忠实勤勉义务、承担赔偿责任案例的主要案由。根据《公司法》第22条规定,公司的控股股东、实际控制人、董监高不得利用关联关系损害公司利益。换言之,公司董监高在行为时应当采取措施避免自身利益与公司利益冲突,如果结果上存在不公平、损害公司利益的情形,公司可以主张控股股东、实际控制人、董监高等关联人承担损害赔偿责任。《公司法解释五》第1条特别强调,即使关联交易通过法定决议程序也不能豁免赔偿责任。由此可见,公司实质利益是否受损是判断公司董监高违反忠实勤勉义务行为的重要标准之一。
新《公司法》对程序规则进行修订,该程序性规则作为基本的事前防范标准,未能涉及实质性公允标准,当利益冲突交易具备程序公平但缺乏实质公平时,除了以上程序性审查,法官还会进行实质性审查,在满足以上程序性要求的基础之上,法院会从时间、价格、结果等因素判断交易是否实际上损害公司利益,《公司法》规定的程序规则作为前置规范可以触发司法审判中举证责任的转换,具体来说:如果董监高提供证据证明被诉行为事先已向公司披露且经过股东会或者非利害关系的董事批准时,当公司起诉至法院要求追究董事责任时,应由原告举证证明被诉行为的不适当性,但如果该交易未经事先披露和批准,则董监高有义务举证证明该交易达到了实质公平标准。
例如在“韩炳江与孙存照损害公司利益责任纠纷[1]”一案中,法院论述如下:董事、高级管理人员实施的关联交易需满足“公平标准”,而“公平标准”具体又包含:一、程序公平标准;二、实质公平标准。程序公平标准主要指根据法律和公司章程的规定,关联交易需经股东会、股东大会同意,并且履行了信息披露义务。在此前提下,关联交易还需满足实质公平标准,是指公司所得与公司所失相等,公司是否愿意以同等条件与第三人进行交易。对上述要求,主要应由董事、高级管理人员负担举证责任,否则其要承担举证不能的法律后果,关联交易便不具有正当性。法院认为涉案交易并不符合程序标准,而韩炳江也并未举证证明该交易符合公平标准,故承担败诉风险。
对于董事是否勤勉尽责,法院还会以一般人的角度审查其决策行为是否合理。在李某某与甲公司高级管理人员损害公司利益赔偿纠纷案[2]中,法院认为:判断董事等高级人员是否履行了勤勉义务,应该从三个方面加以辨别:(1)须以善意为之;(2)在处理公司事务时负有在类似的情形、处于类似地位的具有一般性谨慎的人在处理自己事务时的注意;(3)有理由相信是为了公司的最大利益的方式履行其职责。
三、违反忠实勤勉义务的认定标准和裁判思路
38
实务研究/Practical Research
区别于其他民事赔偿责任,公司归入权的行使有其独立的构成要件。首先,董事有违反法定的忠实义务即《公司法》第181条至184条规定的行为均适用董事归入责任,而不论董事是否在执行职务。这意味着,董事归入责任是基于其董事身份所产生的责任,与其执行职务与否无关。其次,董事归入责任不以董事的行为存在过错为要件。另外,我国公司法对行使归入权的期限未作规定。实务上认为,归入权纠纷属于损害公司利益责任纠纷,本质上属于侵权纠纷,因而应适用诉讼时效的规定,从公司知道或者应当知道其权利被侵害之日起计算,根据《民法典》规定,一般诉讼时效期限为三年。
1. 归入权的构成要件
(一)董事违反忠实义务的归入权责任
董事归入责任,是指董事违反忠实义务取得的利益归公司所有,对公司要求其返还归入利益而承担的民事责任。《公司法》第186条规定,对于《公司法》第181条和关联交易、谋取公司商业机会和同业竞争的情形,均可适用公司归入权。
如何计算“归入”的数额,我国法律并未设定明确的标准,但实践中法官依据不同情况对“收入”的判定具有丰富的实践经验,从而弥补了具体计算方面的法律空白。通过对过往案例进行归纳总结,归入数额的计算可以从以下几个角度进行参考。
第一,将工资所得视为所得收入。在李家滨、济南东方泰威机械设备有限公司损害公司利益责任纠纷案[3]中,法院认定,“被告违反公司法相关规定担任同业企业的法定代表人或执行董事,因此认定其工资所得为其所得收入,归原告所有并无不当”。
第二,从事竞争业务而亏损不可冲抵其他业务部分所得收入。在“辛颖梅、汪晓刚等损害公司利益责任纠纷”[4]一案中,法院认为,“公司归入权意在将负有竞业禁止义务的主体在竞业范围内的全部收益归入公司所有,但是如果公司的董事、高管因从事竞争业务而亏损,应由其自己承担后果,不应一并计入经营所得,抵销其他业务部分的收益”
2. 归入数额的计算
四、董监高违反忠实勤勉义务的责任承担
39
实务研究/Practical Research
第三,将可期待利益计入所得收入。在“武政与连云港佳泰海洋发展有限公司损害公司利益责任纠纷[5]”一案中,法院论述为:竞业禁止义务的侵害客体不仅包括公司已掌握的商业机会,也包括公司应当获得、期望获得或者需要的商业机会,被告认为原告只有在现实的已经取得的山洞经营权受到侵害的前提下方可主张损害赔偿,缺乏法律依据。
第四,综合考虑公司的投入、贡献、实际损失以及合理期待利益来确定所得收入。在“李严、深圳市华佗在线网络有限公司损害公司利益责任纠纷[6]”一案中,在原告损失标的系商业机会难以准确认定数额且被告的个人获益和原告公司及其股东的实际损失亦无法认定的情况下,原判决综合公司的运营成本、网络医院项目的发展前景和技术团队、资本团队对网络医院项目的投入、贡献情况,酌定被告向原告赔偿2916万元以弥补原告及其背后投资人的实际损失及合理期待利益。
根据《公司法》第188条,董监高执行职务违反法律、行政法规或者公司章程的规定,给公司造成损失的,应当承担赔偿责任。董监高如违反忠实勤勉义务除适用归入责任外,还可适用民事赔偿责任,其构成要件包括:
第一,强调董监高在执行公司职务的过程中违反法律、行政法规或者公司章程的规定。若非执行公司职务,不适用此条规定的董事责任,应当以《民法典》规定的民事责任对待。
第二,董监高执行职务的行为具有违法性,包括违反守法(合规)义务、忠实勤勉义务。
第三,董事执行职务与损害结果之间有因果关系。
(三)董监高背信行为的刑事风险
(二)董事执行职务的民事责任
结合《刑法修正案十二》的新规定,民营企业的高管如果自己或伙同他人非法经营同类业务,或者为亲友非法牟利,或者徇私舞弊将公司资产低价折股或者低价出售的,都构成犯罪。这一规定拓宽了民营企业或公司管理人因履职、决策或经营管理不当可能面临的刑事责任范围。
40
实务研究/Practical Research
现行《刑法》规定犯罪主体为国有公司、企业的董事、经理,《刑法修正案(十二)》第165条增加一款作为第二款,将该罪主体扩大为所有公司、企业的董事、监事、高级管理人。其利用职务便利,自己经营或者为他人经营与其所任职公司、企业同类的营业,获取非法利益,数额巨大的,处三年以下有期徒刑或者拘役,并处或者单处罚金;数额特别巨大的,处三年以上七年以下有期徒刑,并处罚金。上述行为只要行为人获取非法利益数额巨大达10万元以上的,即可能被刑事追诉。
1. 董监高非法经营同类营业罪
现行《刑法》规定犯罪主体为国有公司、企业、事业单位的工作人员,《刑法修正案(十二)》第166条扩大为所有公司、企业的工作人员,在非法牟利情形中加入更加隐蔽但普遍存在的“接受和提供服务”的行为模式。
具体指下述致使公司遭受重大损失的行为:
1)将本单位的盈利业务交由自己的亲友进行经营的;
2)以明显高于市场的价格从自己的亲友经营管理的单位采购商品、接受服务或者以明显低于市场的价格向自己的亲友经营管理的单位销售商品、提供服务的;
3)从自己的亲友经营管理的单位采购、接受不合格商品、服务的。
2. 公司董监高为亲友非法牟利罪
现行《刑法》规定犯罪主体为国有公司、企业、事业单位的工作人员,《刑法修正案(十二)》第169条扩大为所有公司、企业直接负责的主管人员,具体指徇私舞弊。将公司、企业资产低价折股或者低价出售,致使公司遭受重大损失的行为。该罪的本质是企业内部人员利用职务便利,非法利益输送,损害企业利益。
3. 徇私舞弊低价折股、出售公司资产罪
41
实务研究/Practical Research
公司的高级管理层是公司治理架构的核心组成部分。本次公司法和刑法的最新修订,从外部系统性监管角度出发,聚焦于公司治理中董监高行为的规范、程序合规及问责方面,共同构建了公司董监高以及相关人员的忠实勤勉义务合规体系。面临日益严峻的外部环境,企业内部管理不善或外部监管环境变化均可能引发合规危机,针对不合规行为的整治措施亦呈愈发严厉之势,企业应在不断实践中构建、完善、优化内部合规体系,在面临合规危机时,可以及时采取应对措施,有效防范和化解法律风险,确保企业在合法合规的道路上稳健发展。
(完)
结语
42
企业合规/ORPORATE COMPLIANCE
数据资产化与合规的重要事项研究
摘录自微信公众号“ 国浩律师事务所”
2024年1月1日,《企业数据资源相关会计处理暂行规定》正式实施,迈出了从数据资源到数据资产的重要一步,数据要素已然成为经济增长的重要引擎。
在数据资产化的过程中,企业除了享受数据资产化带来的优势,也需要确保数据合规及数据安全。国浩大连律师李思为认为,数据资源入表,有利于显化数据资源价值,提升企业数据资产意识,本文通过对数据入表重要事项的分析,提出数据入表相关合规建议。
01
引 言
2020年4月,中共中央、国务院印发的《关于构建更加完善的要素市场化配置体制机制意见》将数据提升为和土地、劳动力、资本、技术同样高度的生产力要素,并称“五要素”。强调加强数据资源整合和安全保护,探索建立统一规范的数据管理制度,提高数据质量和规范性,丰富数据产品。自此,数据成为国家重要的战略型资源,推动数据资源建设成为国家经济发展的重要战略。
2022年12月,中共中央、国务院印发的《关于构建数据基础制度更好的发挥数据要素作用的意见》(业内称为“数据十二条”)提到加快数据产权制度、数据流通交易制度、数据收益分配制度和数据安全治理制度的建设。其中数据产权制度的建设旨在保护数据主体的权益,建立数据持有、使用、加工和公开的权益体系,探索建立数据产权结构性分置制度,根据数据处于生产、流通、使用等环节的特征和不同参与方的合法权益,为数据资源设定持有权、加工使用权和产品经营权。
43
企业合规/ORPORATE COMPLIANCE
数据领域立法的“三驾马车”为数据经济主体设定了较强的义务属性,《网络安全法》对底层安全,即网络安全、应急管理等事项做出规定,《数据安全法》强调对数据的分类分级、风险评估、安全保障等要求,《个人信息保护法》对具体的个人信息的知情同意、撤回权、删除权等事项做出规定。而在数据资产化层面,“数据主体”企业具有更多的权利属性,这也是数据资源生产要素化的鲜明特征,数据变成企业的资产为企业带来经济效益,合法拥有和控制数据的企业有权利用数据创造价值,将数据纳入资产负债表中增加其自身的“价值”。
2023年8月,财政部印发的《企业数据资源相关会计处理暂行规定》(以下简称《暂行规定》)已于2024年1月1日正式实施。《暂定规定》的发布是对中共中央数据二十条落地实施的重要举措,《暂定规定》为数据入表提供了细致化的依据,有利于企业更有效地利用数据资源、提高企业价值进而推动数据经济发展。
02
数据资产和数据资产化
(一) 资产
我国《企业会计准则》将资产定义为“由企业过去的交易或者事项形成的、由企业拥有或者控制的、预期会给企业带来经济利益的资源。”从这一定义出发,企业数据资产可以理解为过去交易或事项形成的,被主体拥有或控制的,能带来经济利益的一种数据资源。2018年国际会计准则理事会(IASB)发布了修订的《财务报告概念框架》,其中对资产定义的调整为理解数据资产提供了新的视角和启发。
修订的《财务报告概念框架》将资产定义为“有潜力产生经济利益的权利”,这一定义较以往出现较大变化,即强调资产是一种权利,突出资产的权利属性而非实物属性,这适应了经济活动和业务模式创新的需求,能够将更多的新经济资源纳入资产概念框架之中。与此同时,IASB的资产概念框架弱化了资产所带来的经济利益流入可能性标准,这在一定程度上更适用于对数据资产内涵的界定,因为IASB资产概念框架将经济利益不确定性融入对资产概念的理解,而数据资产正是一种价值不确定的资产。
44
企业合规/ORPORATE COMPLIANCE
(二) 数据资产
在《信息技术服务数据资产管理要求》(GB/T 40685-2021)中对“数据资产”的定义为:“合法拥有或者控制的,能进行计量的,为组织带来经济和社会价值的数据资源。”浙江省征求意见中的地方标准《数据资产确认工作指南(征求意见稿)》对“数据资产”的定义为:“会计主体过去的交易或事项形成的,由会计主体拥有或合法控制的,能够进行可靠计量的,预期会给会计主体带来经济利益或产生服务潜力的数据资源。”除此之外,其他规范性文件也对数据资产做出了定义,总结来说数据资产应当具备可确权和可溯源、合法拥有或控制、能够计量和流通以及能够带来经济效益几个要素。
(三) 数据资产化
数据资产化就是围绕数据要素的价值创造活动,即赋予数据要素市场价值的过程,数据要素价值创造活动包括数据采集、加工、治理、开发以及交易等诸多环节和流程,最终目的是将推动数据要素向数据资产转化,激发和释放数据要素价值潜能。
(四) 数据资产化(数据入表)的重要意义
从宏观角度来看,当下我国经济社会中,能够实现将数据资源转换为资产并计入资产负债表的数据要素总量在30万亿到50万亿之间。同时一些研究表明,技术数据资产的体量可能超过100万亿。不论量级具体如何,这对于数字经济的体量规模来说都是重大提升。数据资产入表可以更加真实反应我国经济的运行情况,进一步刺激和激发数据要素市场,提高数据供需主体的积极性,促进数据交易流通,完善和壮大数据经济产业链。
对于企业而言,数据资产化将提升数据密集型企业的估值,有利于将数据密集型企业和相关产业链上中下游的整体发展,会强化提高企业自身的数据采集、存储能力,提高企业对数据的挖掘、利用和分析能力,增强企业对数据进行深度的开发利用。通过数据资产化,拥有高质量数据资源的科技型企业就能将数据资源反映在财务报告上,能够为投资人传递更多的价值信息,在资本市场当中形成以数据为核心的一种商业模式,释放数据资产的金融价值。数据资产化程度较高的企业可以通过确认数据作为无形资产或存货,真实地反应企业的资产状况,其业绩也会得到相应的改善,有助于企业获取更多的金融资源和产业政策等方面的支持。
数据资产化能够激发市场活力,让市场主体获得更多变现的渠道,获得更多的融资可能性。
45
(一) 适用范围
根据《暂行规定》有两大类数据资源是可以资产化计入会计报表的,第一类是按照企业会计准则相关规定可以确认为无形资产的和可以交易的存货类的数据资源。第二类指的是企业合法拥有或控制的、预期会给企业带来经济利益的、但由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源,也可以以数据资产进行确认。
第一类数据资源相对于传统的专利权、商标权等无形资产,具有虚拟性、动态性和依赖性的特点,往往数据是在依赖于某项特定的业务或者与数据有关的技术框架才具有价值。再或者在存货的视角下,往往数据是依附于出售软件或服务的附加物,由于数据具有动态性,随着数据的更新,那么数据处于存货状态的时间非常短暂,这也是数据入表评估的难点问题之一。
第二类数据资源是根据《企业会计准则—基本准则》对资产做出的定义,结合《暂行规定》和其他规范性文件而总结可以入表的数据要素应当具备可确权和可溯源、合法拥有或控制、能够计量和流通以及能够带来经济效益几个要素。
(二) 数据资源的确认、计量和披露
在数据资源的确认方面,规定要求企业根据数据资源的持有目的、形成方式、业务模式以及与数据资源相关的经济利益的预期消耗方式等因素进行会计确认。在计量方面,企业应按照数据资源的实际成本进行初始计量,并采用历史成本法、重置成本法等方法进行后续计量。在披露方面,企业应定期披露数据资源的价值、使用情况、变动原因等信息,增强会计信息透明度。
(三) 内部控制和风险管理
为了确保数据资源的安全、完整和可靠,企业应建立健全数据资源管理制度,加强内部控制和风险管理。企业应制定数据资源的管理流程和规范,明确各部门职责,确保数据资源的合理使用和保护。具体措施包括但不限于:
03
数据资产化(数据入表)的重要事项
46
企业合规/ORPORATE COMPLIANCE
企业合规/ORPORATE COMPLIANCE
1. 数据资源分类与授权管理
企业应对数据资源进行分类,明确各类数据的属性、特点和用途,并根据业务需求和岗位职责对数据资源的访问和使用进行授权管理。确保只有经过授权的人员才能访问和使用数据资源。
2. 数据安全保护
企业应采取一系列安全措施,如加密技术、防火墙、入侵检测系统等,来保护数据资源的安全。同时,对于重要数据资源,应定期备份并存储在安全可靠的环境中,防止数据丢失或被非法篡改。
3. 数据质量管理与校验
企业应建立数据质量管理体系,对数据资源的准确性、完整性、一致性等进行校验和审核。通过数据清洗、去重、格式转换等技术手段,确保数据资源的可靠性和可用性。
4. 数据流程与操作规范
企业应制定数据资源的处理流程和操作规范,明确数据的采集、存储、处理、应用和披露等环节的职责和操作要求。确保数据的处理和使用符合法律法规和企业内部政策的要求。
5. 风险评估与监控
企业应定期对数据资源进行风险评估,识别潜在的安全风险和合规风险。同时,应建立风险监控机制,对数据资源的异常情况进行实时监测和预警,及时发现并处理潜在的安全问题。
6. 内部审计与监督
企业应加强内部审计和监督工作,对数据资源的管理和使用情况进行定期检查和评估。通过内部审计,发现管理漏洞和不足之处,提出改进措施和建议,不断完善数据资源管理制度。
企业可以加强内部控制和风险管理,确保数据资源的安全、完整和可靠。同时,也有助于提高企业的管理水平和风险防范能力,为企业长期稳定发展提供有力保障。
47
企业合规/ORPORATE COMPLIANCE
(四) 会计信息披露要求
企业应按照重要性原则,结合实际情况增设报表子项目,通过表格方式细化披露数据资源的价值、使用情况、变动原因等信息。同时,企业可根据实际情况自愿披露数据资源的应用场景或业务模式、原始数据类型来源、加工维护和安全保护情况等相关信息。
1. 资产负债表
资产负债表反映了企业在某一特定日期所拥有的资产和负债的总体状况。数据资源作为企业的一项重要资产,应在资产负债表中列示。具体而言,数据资源可能被归类为无形资产、存货等报表项目,并按照相关会计准则的要求进行列示。
2. 利润表
利润表反映了企业在一定会计期间内的经营成果。数据资源的使用和销售可能为企业带来收入和利润,因此应在利润表中列示。具体而言,数据资源的收入可能被归类为营业收入、其他业务收入等报表项目,而与数据资源相关的成本和费用可能被归类为营业成本、销售费用等报表项目。
3. 现金流量表
现金流量表反映了企业在一定会计期间内的现金流入和流出情况。数据资源的交易和处置可能涉及现金流量,因此应在现金流量表中列示。具体而言,与数据资源相关的现金流量可能被归类为经营活动现金流量、投资活动现金流量等报表项目。
除了以上报表项目外,企业还可以根据实际情况增设报表子项目,以更详细地披露数据资源的价值、使用情况、变动原因等信息。这些子项目可以根据数据资源的类型、用途、使用方式等因素进行分类列示,以便报表使用者更好地了解企业数据资源的价值和贡献。
通过以上报表项目的列示和披露,企业可以向投资者、监管机构和其他利益相关方提供有关数据资源的有用信息,增强会计信息透明度,有助于提升决策效率和评估企业的价值。
(五) 列示和披露的细化要求
为了更好地满足报表使用者的信息需求,企业应根据实际情况对数据资源的列示和披露进行细化。例如,企业可按照数据资源的类型、用途、使用方式等对数据进行
48
企业合规/ORPORATE COMPLIANCE
分类列示,并按照资产、负债、所有者权益等报表项目对数据进行分类披露。另外,数据二十条对数据权做出了数据资源持有权、加工使用权和产品经营权的分权机制,能够更清晰的帮助企业理解数据入表后所对应的具体内容。
(六) 数据资源会计处理适用的准则
根据当前阶段的会计准则,数据资源会计处理应遵循企业会计准则的相关规定。具体来说,对于企业内部使用的数据资源,如果符合无形资产准则规定的定义和确认条件,应当确认为无形资产;对于企业日常活动中持有、最终目的用于出售的数据资源,如果符合存货准则规定的定义和确认条件,应当确认为存货。此外,对于实务中反映的一些重点问题,如数据资源的初始计量、后续计量以及收入确认等环节,该规定也结合数据资源的业务模式等实际情况进行了细化指导。
04
数据资产化(数据入表)的合规要求
数据合规是数据资产化启动的基本条件,因为能够被确认为企业资产的数据资源至少应满足“合法拥有或控制”的要求,数据的收集、存储、处理和使用过程中涉及到许多合规问题,如隐私保护、知识产权、商业秘密等,这些问题可能对数据资产的价值产生负面影响。
数据合规可以确保企业在数据收集、存储、处理和使用过程中遵循相关法律法规和监管要求,从而避免因违规行为导致的罚款、法律诉讼和声誉损失等风险。同时,数据合规还有助于提高企业的数据治理水平,确保数据的准确性、完整性和可靠性,为数据资产的价值评估和入表提供更加可靠的基础。
(一) 来源合规
数据的来源主要有三种渠道,分别是收集公开数据、自行产生和第三方获取。在收集和使用数据之前,应当了解数据的来源,确保数据来源的合法性和合规性。以个人信息为例,在收集和使用个人数据时,应当遵守相关的隐私法规,如欧盟的GDPR、我国的《个人信息保护法》等。
49
企业合规/ORPORATE COMPLIANCE
这些法律法规对个人数据的收集、存储和使用等方面都有明确的规定,企业应当严格遵守。企业通过APP收集的个人信息应当保障相对人的知情同意权、撤回权、公开权、删除权等权利。如果数据来源于第三方,应当与第三方签订明确的合同或协议,明确数据的所有权、使用范围和保密义务等事项,同时应对第三方的数据来源予以合规审查,尽到审慎义务,以免对他人造成侵权。应当尊重知识产权,如专利、商标、著作权等。对于涉及知识产权的数据,应当获得权利人的授权或遵守相关的法律法规。数据来源合规是确保数据合法性和可信度的关键因素之一。企业应当加强数据来源合规的管理和控制,建立完善的数据合规体系和流程,确保数据的合法性和合规性。
(二) 流通与存储合规
1. 数据流通合规
数据流通合规主要关注的是数据的共享、交换和流转等过程。企业需要确保在数据流通中遵守法律法规,如隐私保护、知识产权保护等,并对数据进行适当的加密和保护,以防止数据泄露和滥用。
(1) 数据提供方和需求方资质审查
对数据提供方和需求方的资质进行审查,确保他们具有合法、合规的资质和业务范围。
(2) 数据流通协议
制定详细的数据流通协议,明确数据提供方和需求方的权利和义务,包括数据的范围、使用方式、保密要求等。
(3) 数据质量监控
对数据流通中的数据进行质量监控,确保数据的准确性、完整性和时效性。
2. 数据存储合规
数据存储合规关注的是数据的存储方式和位置。企业需要遵守相关法律法规,如个人信息保护法、网络安全法等,将数据存储在符合规定的设施和介质上,并采取必要的安全措施,如加密、备份等,确保数据的安全性和完整性。
(1) 选择合适的存储介质和设施
根据数据的性质和需求,选择合适的存储介质和设施,如云存储、分布式存储等。
50
企业合规/ORPORATE COMPLIANCE
(2) 数据备份和恢复
建立完善的数据备份和恢复机制,确保数据的安全性和完整性。
(3) 存储加密和访问控制
对存储的数据进行加密和访问控制,确保数据的机密性和完整性。
3. 数据传输合规
数据传输合规关注的是数据的传输方式和安全。企业需要确保在数据传输中采取合适的安全措施,如加密、身份验证等,以防止数据被窃取或篡改。同时,还需要遵守相关法律法规,如个人信息保护法、网络安全法等,确保数据的合法性和合规性。
(1) 加密传输
采用加密技术对数据进行传输,确保数据在传输过程中的安全性和机密性。
(2) 身份验证和访问控制
建立身份验证和访问控制机制,确保只有经过授权的人员能够访问和操作数据。
(3) 传输协议合规
确保使用的数据传输协议符合相关法律法规和标准要求。
4. 数据交易合规
数据交易合规关注的是数据的交易过程和安全。企业需要遵守相关法律法规,如反不正当竞争法、消费者权益保护法等,确保数据的交易过程合法、公正、透明。同时,还需要采取必要的安全措施,如加密、备份等,确保数据的完整性和安全性。
(1) 交易平台审查
对进行数据交易的平台进行审查,确保平台具有合法、合规的资质和业务范围。
(2) 交易合同审查
对数据交易合同进行审查,确保合同内容合法、明确、可执行。
(3) 交易过程监控
对数据交易过程进行实时监控,确保交易的公正、透明和合法。
51
企业合规/ORPORATE COMPLIANCE
5. 数据出境合规
数据出境合规关注的是数据传输到境外的过程。企业需要遵守相关法律法规,如个人信息保护法、网络安全法等,确保数据出境的合法性和合规性。同时,还需要评估数据出境的风险和影响,采取必要的安全措施,如加密、监控等,确保数据的安全性和完整性。
(1) 出境目的审查
对数据出境的目的进行审查,确保出境目的合法、合规。
(2) 出境协议审查
对数据出境协议进行审查,确保协议内容合法、明确、可执行。
(3) 出境安全措施审查
对数据出境的安全措施进行审查,确保数据在出境过程中的安全性和完整性
为了确保数据流通、存储、传输、交易和出境的合规性,企业需要建立完善的数据管理制度和流程,加强数据安全和隐私保护措施,提高员工的数据安全意识和能力。同时,还需要与监管机构和行业协会保持密切联系,及时了解和掌握最新的法律法规和政策动态,确保企业的数据合规性符合相关要求和标准。
(三) 处理环节合规
1. 数据处理合规
(1) 数据匿名化和伪匿名化
对数据进行处理时,应采取适当的匿名化和伪匿名化措施,以保护个人隐私和数据安全。
(2) 遵守数据使用目的限制
确保数据仅用于合法、合规的目的,不用于侵犯个人隐私、侵犯知识产权等不正当用途。
2. 数据去标识化、删除与销毁的合规
(1) 去标识化
对数据进行去标识化处理,确保数据无法识别个人身份,以保护个人隐私和数据安全。
52
企业合规/ORPORATE COMPLIANCE
(2) 删除与销毁
在满足法律法规和业务需求的前提下,及时删除或销毁不再需要的数据。确保数据的彻底删除或销毁,避免数据泄露或不当使用。
(3) 记录与审计
对数据的去标识化、删除与销毁过程进行记录和审计,确保合规性并满足相关法律法规的要求。
(四) 管理合规
管理合规是指企业在数据管理过程中需要遵循的一系列规则和要求,在企业内部建设和实施整体化的管理体系,以确保数据行为生命周期的合法、合规、安全和可靠。
1. 数据收集合规
企业需要遵循相关法律法规和隐私政策,确保在收集数据时获得数据主体的同意或授权,并明确告知数据主体的数据用途、共享范围等。同时,企业需要遵循正当、合法、必要和透明的原则,只收集必要且合法的数据,不收集敏感或个人隐私数据。
2. 数据存储和传输合规
企业需要选择合适的存储和传输方式,确保数据的机密性、完整性和可用性。对于敏感数据,需要进行加密存储和传输,以保护数据的安全。同时,企业需要遵循相关法律法规和隐私政策,确保数据的合法、合规使用。
3. 数据处理合规
企业需要遵循相关法律法规和隐私政策,确保数据的合法、合规使用。在数据处理过程中,企业需要采取相应的技术和管理措施,防止数据泄露、滥用和损坏。同时,企业需要遵循正当、合法、必要和透明的原则,不进行违反法律法规和伦理道德的数据处理活动。
4. 数据共享和披露合规
企业需要遵循相关法律法规和隐私政策,确保数据的合法、合规共享和披露。在数据共享和披露过程中,企业需要获得数据主体的同意或授权,并明确告知数据主体的数据用途、共享范围等。同时,企业需要遵循正当、合法、必要和透明的原则,不进行违反法律法规和伦理道德的数据共享和披露活动。
53
企业合规/ORPORATE COMPLIANCE
5. 数据安全合规
企业需要建立完善的数据安全管理体系,采取相应的技术和管理措施,保障数据的机密性、完整性和可用性。同时,企业需要遵循相关法律法规和隐私政策,确保数据的合法、合规使用。
6. 数据质量管理合规
企业需要建立完善的数据质量管理体系,确保数据的准确性、完整性、一致性和及时性。同时,企业需要遵循相关法律法规和隐私政策,确保数据的合法、合规使用。
7. 员工培训和教育
加强员工对数据合规的认识和教育,提高员工的合规意识。定期对员工进行数据安全和合规培训,确保员工了解和遵守企业的数据合规政策和流程。
8. 内部审计和检查
定期进行内部审计和检查,对数据管理合规情况进行评估和监督。及时发现和纠正不合规的行为,确保数据的合法性和合规性。
05
结 语
数据资产化与合规是相辅相成的。在数据资产化的过程中,企业除了享受数据资产化带来的经济利益、融资渠道拓宽、企业增值之外,需要综合考虑法律法规、隐私保护、安全性和业务需求等多个方面,建立完善的数据管理制度和流程,确保数据的合法、合规使用。同时,企业需要加强员工培训和教育,提高员工的合规意识,确保数据的合规性和安全性。
(完)
54
企业合规/ORPORATE COMPLIANCE
APP合规:用户协议及隐私政策审查要点
摘录自微信公众号“ 天达共和法律观察”
根据中国互联网络信息中心(CNNIC)发布的第52次《中国互联网络发展状况统计报告》显示,截至2023年6月,我国网民规模为10.79亿,较2022年12月增长1109万人,互联网普及率达76.4%。一方面,互联网和智能手机的普及使得大量APP(“application”的简写,一般指手机软件)涌现,互联网平台经济活动越来越普遍。实体经济中交易各方签订各类合同文件的方式已经无法与互联网平台经济方便快捷、开放共享的特征相适应,互联网平台方广泛在平台中采取用户协议、隐私政策、平台规则等文件。另一方面,APP各种违规违法现象层出不穷,其中,违法违规收集使用个人信息的问题尤为突出,国家网信办专项整治力度不断加大,数据合规问题越来越受到互联网企业的重视,相应地,制定一份合规、实用的用户协议及隐私政策也应当成为互联网企业的重要任务。因此,在用户协议及隐私政策的起草、审查乃至为互联网企业服务的整个过程中,律师越来越充当着重要角色,必须把握好合法合规的边界,用专业的法律技能结合互联网思维,为企业的发展保驾护航,从而促进互联网企业的规范运营与发展。
笔者结合近年来为新兴互联网企业服务过程中的实务经验,针对APP用户协议及隐私政策的法律审查总结了如下要点,以供广大年轻的互联网创业者作为参考或进行探讨。
用户协议及隐私政策审查思路
一
55
企业合规/ORPORATE COMPLIANCE
2. 归集用户协议和隐私政策中常见违规风险点
以违规风险点,尤其是常见违规风险点为导向审查合同,才能更好达到风险控制的合同审核目的。了解用户协议和隐私政策中常见违规风险点既可以从法律规定中抽丝剥茧,也可以从相关部门的违规查处通告中直观获得,尤其是后者,对实务案例的研究能够帮助我们更加精准地把握用户协议和隐私政策的违规禁区,了解和掌握国家对于用户协议和隐私政策予以规范的政策导向。
笔者结合《个人信息保护法》等法规和工信部及各工信局关于侵害用户权益行为的APP通报或关于下架侵害用户权益的APP的通报,将用户协议和隐私政策审查过程中需要注意的常见违规风险点归集如下:
- 在APP中没有用户协议或者隐私政策,或者隐私政策没有收集使用个人信息的规则
- 在APP首次运行时未通过明显方式提醒用户阅读用户协议和隐私政策
- APP收集的信息与其业务无关或者因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能,超范围收集个人信息
- 未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围
56
企业合规/ORPORATE COMPLIANCE
- 未提供有效更正、删除个人信息及注销用户账号功能或者提供的功能不符合响应时间要求
- 未提供有效更正、删除个人信息及注销用户账号功能或者提供的功能不符合响应时间要求
- 未提供有效更正、删除个人信息及注销用户账号功能或者提供的功能不符合响应时间要求
(注:上述案例来自于关于侵害用户权益行为的APP通报或关于下架侵害用户权益的APP的通报内容)
- 信息共享中未告知用户共享的目的、共享单位、信息类型,未经同意向第三方提供个人信息,例如未经用户同意而向其不知情的第三方推送、共享用户的个人信息。
- 未将收集个人信息的业务功能逐项列举以及每个业务功能在说明其所收集的个人信息类型时,未逐项列举,使用“等、例如”等方式概括说明等。
3. 熟悉市场上类似功能APP及常见APP的用户协议、隐私政策
用户协议和隐私政策普遍存在于各个APP中,在审查用户协议和隐私政策前,可以了解类似功能的APP中用户协议、隐私政策的约定内容,同时对于初创型互联网企业,可以结合自身特点,事先对市面上一些常见的成熟APP(如京东、抖音等专业领域的头部企业)的用户协议和隐私政策进行学习、参考。此项工作的目的包括:
57
企业合规/ORPORATE COMPLIANCE
- 结合违规风险点分析该风险点下不同平台的规定方式;
- 观察不同平台的条款提示和协议同意方式;
- 观察不同平台用户协议和隐私政策的结构和共性规定;
- 识别自身企业的特点,总结出共性规定与个性特点的联系与差异。
基于此,再结合APP业务功能和行业特点完善和修改用户协议、隐私政策。
4. 把握形式审核和内容审核的双重要求
用户协议和隐私政策具有电子合同和格式合同特征,与实体经济中双方签字或者盖章的书面合同不同,其合同的效力必然受到电子签名的方式、格式条款的提示方式等形式要素的影响;同时用户协议和隐私政策必然涉及个人信息的收集使用等规则,以何种形式获得用户的授权同意也是必然要关注的。因此,相较于传统的合同审核,用户协议和隐私政策的审查中一定要高度关注其展现形式,注重形式审核和内容审核的并重,可以说,形式审核是APP用户协议和隐私政策审核的第一步。笔者也将在下文就形式审核和内容审核的要点作具体展开。
用户协议及隐私政策审核之要点
二
1. 用户协议及隐私政策之形式审核要点
用户协议及隐私政策形式审核的底层逻辑有二:一是用户同意的意思表示,二是格式条款的提示说明义务。
(1)用户是否同意签约?-用户同意意思表示的认定
用户协议及隐私政策的签订需要用户作出真实的意思表示,其通过互联网平台作出合同签订的行为仍受到法律的约束,这一点与实体经济中并无不同。以纸质为载体的书面合同的场合,签名或者盖章能够表明合同各方的身份以及接受合同法约束的意愿,与此不同,用户协议及隐私政策在互联网平台中,通过各种电子形式、数据电文形式作出要约、承诺或者签署。常见的方式有点击/勾选同意、在智能设备上手写签名、身份识别技术(如指纹信息、面部信息)等。
58
企业合规/ORPORATE COMPLIANCE
同时,用户协议及隐私政策(主要是隐私政策)中收集、使用用户个人信息必须取得用户的授权同意,授权同意的方式包括明示同意和默示同意,《APP违法违规收集使用个人信息行为认定办法》将默示同意认定为违规收集行为,因此,平台运营者收集、使用用户个人信息也应当取得用户的明确同意。法院认定收集、使用个人信息是否取得用户的明确同意时会将APP隐私政策的弹窗设计方式作为重要认定依据,如杭州互联网法院发布个人信息保护十大典型案例之八郭某某诉某网络有限公司个人信息保护纠纷案,案涉APP被打开时,会弹窗显示《隐私权政策》《用户协议》等,要求其选择“同意”或“拒绝”,若其选择“拒绝”,则不能继续使用该购物APP,法院认为案涉购物APP在《隐私权政策》中采取了首次运行时、用户注册时均提示用户是否同意隐私政策的事前概括同意机制,对用户基本知情同意权进行了保障。
因此,用户协议及隐私政策的审查应当从用户体验角度出发判断是否告知用户及获得同意等,对弹窗设计方式等形式要件进行风险提示。
(2)用户是否已经全面了解条款内容?-格式条款提示说明的方式
用户协议和隐私政策是平台方预先拟定的格式条款,《民法典》等法律法规对格式条款作了规定:不合理地免除或者减轻对方的责任、加重对方责任、限制对方的主要权利以及排除对方主要权利的格式条款无效;免除或者减轻其责任等与对方有重大利害关系的条款应履行提示和说明义务。因此,除了要避免平台方在条款中不合理地免除或者减轻自己的责任、加重用户责任、限制用户的主要权利以及排除用户主要权利,还要审查与用户有重大利害关系的条款是否尽到提示说明义务。以两则法院裁判为例:
59
企业合规/ORPORATE COMPLIANCE
可见,同样是对约定管辖条款采取加粗加黑的提醒方式,法院对是否能够引起消费者合理注意却有着不同的认定。因此,对于用户协议和隐私政策中免除或者减轻其责任等与对方有重大利害关系的条款,应当采取诸如加黑加粗、下划线、文字加大和独立弹窗、首页提醒等多重方式予以突出提示;审查此类条款时还要从用户体验角度出发,观察其呈现形式是否足以与一般条款作出区分,足以引起用户注意。从法律审查的角度而言,律师在审查此类提示时,甚至可以抱着“矫枉必须过正”的思维,力求明显、突出的效果和程度。
2. 用户协议及隐私政策之内容审核要点
(1)整体把握文件结构及基本内容
审核或者拟定一份用户协议及隐私政策,首先要了解用户协议及隐私政策的基本内容,把握一份完整的用户协议及隐私政策应当包含哪些内容,基于此,对于合同的完整性和全面性进行审核。经检索各大平台的用户协议和隐私政策,其主体结构并无太大差别,笔者将其包含的基本内容作如下归纳:
60
企业合规/ORPORATE COMPLIANCE
(2)重点关注互联网平台之个性条款
在整体把握合同的结构和基本内容的基础上,知识产权条款、第三方责任条款、虚拟财产的归属条款、个人信息处理的免责条款等条款均是互联网平台经济交易模式下不同于实体经济中的约定,在用户协议及隐私政策的审查中,应当结合平台自身的运营和服务模式对上述条款给予重点关注。例如:
- 由于用户使用APP必然需要在平台中操作甚至生产内容,用户协议及隐私政策中的知识产权条款会涉及用户发布内容涉及的知识产权的归属、知识产权许可使用等约定;
- 用户在平台方注册账号以及可能在平台中获取虚拟资产,账号获取的关注量及获得的平台虚拟资产能够以某种方式转化为现实的经济利益,因此用户协议通常会对账户及平台其他虚拟资产的归属加以约定;
- APP运营中通常会允许第三方入驻以丰富服务类型,提高用户的使用体验,因此用户协议中通常会对第三方服务的相关情形及责任加以约定,但是因第三方服务与用户发生侵权或其他纠纷时,平台是否承担责任或承担多少责任仍需要结合平台自身的运营和服务模式,结合服务的实际提供者以及平台是否获利等因素判断。
个人信息处理的合法合规性审查是用户协议及隐私政策审查重中之重,在重点关注互联网平台的特性条款的同时,要尤其进一步审查个人信息处理条款,以避免出现违法违规收集使用个人信息的问题。审查原则为个人信息处理应当遵循合法、正当、必要的原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围。
审查个人信息处理条款是否违背上述原则时并不是一概而论的,必须结合APP业务功能及商业模式进行更为深入判断,从App具体业务功能种类、产品服务方式等分析收集个人信息的APP业务功能是否逐项列举且明示各项业务功能所收集的个人信息类型,业务功能中涉及的共享第三方是否逐项列举且明示共享的信息类型和共享目的,具体信息类型未取得同意的后果是否符合该项个人信息类型的使用目的(如仅为业务功能开展所需的个人信息未获得用户同意的,其后果应当是无法使用该业务功能而非无法使用APP)等。换言之,即便是仅做法律审核,也必须对客户的产品和服务、商业模式、业务功能有深刻的理解,否则就可能埋下隐患、滋生风险。
(完)
61
上市公司治理/ORPORATE GOVERNANCE
上交所、深交所、北交所就可持续报告披露指引向公众征求意见,上市企业需了解些什么?
摘录自微信公众号“ 君合法律评论”
引言
2024年2月8日,上海证券交易所(“上交所”)、深圳证券交易所(“深交所”)、北京证券交易所(“北交所”)三家交易所同日发布了《上市公司自律监管指引——可持续发展报告(试行)(征求意见稿)》(“《指引》”),并向社会公开征求意见。本文选取并梳理了其中企业较为关注的内容,供有披露需求的上市公司参考:
现阶段被列为《指引》披露主体的上市公司(“披露主体”)为:(1)上交所:上证180指数、科创50指数样本公司以及境内外同时上市的公司;(2)深交所;深证100指数、创业板指数样本公司以及境内外同时上市的公司。北交所暂未对任何特定主体提出披露要求,在北交所上市的公司可自愿披露企业可持续发展信息。
披露主体需要在2026年4月30日前,与年度报告同时发布经董事会审议通过后2025年度的《可持续发展报告》。同时,对于部分2025年度、2026年度报告期内披露难度较大的信息,披露主体可以仅进行有限披露。例如,对于难以定量披露的可持续发展信息,企业可以仅进行定性披露。
一
二
过渡期安排
一
一
《指引》的披露主体
62
上市公司治理/ORPORATE GOVERNANCE
披露主体应建立或完善公司治理结构和内部制度,以确保其内部机构有能力开展对可持续发展相关影响、风险和机遇的识别、评估、管理、监督等活动。与欧盟《企业可持续发展报告指令》类似,披露主体也需要披露与此管理体系相关信息。
(1)披露原则
在议题分析上,《指引》采用了与CSRD双重实质性原则相类似的模式,即披露主体应就每个可持续议题是否对其财务价值产生较大影响,以及对经济、社会和环境产生重大影响进行分析,两者均满足时,披露主体才需就相应议题进行披露。
(2)可持续发展议题
《指引》目前设置的主要议题如下附表格所示。在传统的披露议题外,《指引》亦包含了具有我国特色的议题和新兴议题(以加粗标识):
一
四
可持续信息披露重点简介
一
三
信息披露管理体系
63
值得注意的是,尽管披露主体应优先识别、分析并披露《指引》设置的可持续发展议题,任何因行业特点、行业发展阶段、自身商业模式、所处价值链等情况而产生的其他可持续发展议题亦应成为披露主体需要识别并披露的议题。
(3)豁免情形
与《国际财务报告可持续披露准则》(“ISSB准则”)类似,当需要披露的可持续信息涉及国家秘密、商业秘密,或者由于其他特殊原因,披露主体无法按要求履行信息披露义务或者披露相关信息可能损害披露主体利益,可以在充分说明原因的情况下,根据实际情况调整披露内容或者采取替代措施。
上市公司治理/ORPORATE GOVERNANCE
现阶段,三家交易所各自出台的《指引》吸收了国际领先的披露准则之规定,亦能够与部分国家或地区的法律(如欧盟的CSRD)相衔接,不会给企业(尤其是在境内外同时上市的企业)依据《指引》披露可持续发展信息造成额外的实质负担。
鉴于目前《指引》仍在向社会公众征求意见阶段,具体披露要求尚难以确定(例如,是否会引入第三方审计机制等保障机制确保披露信息的一致性与可比性、假设和前提的合理性等)。考虑到目前上市公司披露可持续发展信息的整体趋势,我们建议,披露主体可以及时参照《指引》完善披露框架和治理体系,其他在三家交易所上市的公司(不限于上交所和深交所的适用披露主体)也可以于条件允许的情况下尽早开始实践,并采取如下措施:
- 进一步跟踪和研究《指引》及其不时之修订,并随时关注与其相关的立法动态;也可以参考GRI、SASB、ESRS、ISSB准则等在内的国内、外主流ESG标准/指南等,精准、全面的识别重大的可持续议题并基于此进行ESG现状摸底和ESG管理体系搭建/完善。
- 在发布ESG/可持续发展报告或进行ESG信息披露前,请ESG律师或顾问进行审查,以期避免选择性披露或误导信息。
- 如企业已经或有计划在境外设立子、分公司,开展境外业务或存在开拓境外市场需求的(尤其是欧盟国家),及时跟踪并研究当地ESG相关立法和监管要求、报告标准及其不时之修订(例如欧盟CSRD)以及所在国当地的相关立法及其业务的影响。
一
五
我们的观察与建议
(完)
64
扫码查看往期
增值电信业务经营许可证:陕B2-20210327 | 
陕公网安备 61102302611033号