互联网企业法律风险要点
法律服务根据不同企业类型,应当更加具有针对性,作为一个成熟的顾问服务团队,在接触顾问单位时,应针对顾问单位的不同特性予以深入研究,量体裁衣,真正将顾问单位服务好,体现律师服务价值。
民科律师事务所企业顾问团队通过所服务互联网企业法律风险的梳理,现根据我国已经出台的相应互联网规范、法律、法规、条例及行业规范、指引,对互联网企业服务内容简要做如下梳理:
一、针对“人”的服务
(一)商业秘密管理。《中华人民共和国反不正当竞争法》将其定义为:不为公众所知悉、能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。互联网企业的商业秘密作为其生存的重中之重,不仅需要确定相应的商业秘密范围、商业秘密保密规定、商业秘密损失界定、商业秘密查阅权限、商业秘密密级保护手段等一系列相应的规章制度,并采取相应的技术手段对内部秘密交流进行约束,在具体实施过程中还需要对企业内公开交流邮件或上传、下载中心进行权限限制处理,并对流通区域做严格区分,形成从下而上的商业秘密保护层。
(二)商业模式管理。商业模式作为互联网企业获取经济利益的主要方式,在服务企业过冲中,要对企业的商业模式进行评估,一旦被剽窃或者被第三方企业采取技术手段破解,要迅速采取手段予以制止,在损失界定上,需要及时比对数据,了解对方因对我方商业模式破坏所造成的流量减少或用户注册消费减少,作为理赔的有力支撑。
(三)知识产权归属。分为对内的知识产权及于第三方合作开发知识产权归属,对相应权属的划分、获利、申请专利、或作为商业秘密、公开信息选择,视企业不同的需求及技术壁垒予以针对性的处理。
(四)竞业限制及背景调查。企业聘用的程序员及相应的高管,应视岗位的重要程度在离职后约定竞业限制期,敬业限制期需根据企业实情予以酌情考虑,不可一概而论。在新聘用人员入职前,涉及重要领导职位或开发职位人员应当进行背景调查,防范商业风险。律师需帮助企业建立相应的背景调查体系及评估方法,做好事前风险防范。
二、针对行为的服务
(一)注册域名。个人从事互联网信息服务的,域名注册者应为互联网信息服务者本人。位从事互联网信息服务的,域名注册者应为单位(含公司股东)、单位主要负责人或高级管理人员。注册域名具有价值,可以作为出资方式经发起股东同意进行评估出价。
(二)账号名称。互联网信息服务提供者应当按照“后台实名、前台自愿”的原则,要求互联网信息服务使用者通过真实身份信息认证后注册账号。互联网信息服务使用者注册账号时,应当与互联网信息服务提供者签订协议,承诺遵守法律法规、社会主义制度、国家利益、公民合法权益、公共秩序、社会道德风尚和信息真实性等七条底线。遵守社会主义核心价值观,对不符合核心价值观的账号名称不予注册。
(三)用户隐私保护。首先需要明确初始方、关联方及第三方的概念(初始方是指在提供技术服务或内容服务过程中直接向用户收集个人信息的互联网企业。关联方是指与特定初始方有控制关系,且其个人信息保护政策与初始方不存在实质性差异的互联网企业。“控制”是指有权以股权或协议决定一个互联网企业的财务和经营政策,并能据以从该互联网企业的经营活动中获取利益。第三方是指未直接向用户收集个人信息,但从初始方或关联方处获取个人信息的组织实体或自然人。)并遵循以下几个原则:
一是知情同意原则(除法律规定的情形外,互联网企业应充分告知用户有关个人信息处理的重要事项,并在告知的基础上获得用户的明示同意或默示同意。)
二是合法必要原则(互联网企业处理个人信息的方式应符合法律规定,并仅处理为实现正当商业目的和提供网络服务所必需的个人信息。)
三是目的明确原则(互联网企业处理个人信息应具有合法、正当、明确的目的,不得超出目的范围处理个人信息。)
四是个人控制原则(用户有权查询个人信息,有权对其个人信息进行修改、完善、补充。)
五是信息质量原则(互联网企业应为用户查询、更正其个人信息提供必要渠道,以保障个人信息的准确、完整、及时。)
六是安全责任原则(互联网企业应采取必要的管理措施和技术手段,保护个人信息安全,防止未经授权检索、公开、丢失、泄露、损毁和篡改个人信息。)
在实际操作过程中,需要互联网企业建立完善的内部合规管理部门,设立并任命首席隐私官或相关管理人员;采用法律强制或业界通行的技术手段对用户个人信息进行加密;采取法律强制或业界通行的技术手段对用户个人信息进行匿名化或去身份化处理,并使处理后的信息不可逆及不能用于识别个人身份;在提供服务过程中,以技术手段保证用户对他人未经授权实施的个人信息侵害行为采取防御行为。
(四)公众账号管理。互联网用户公众账号信息服务提供者应当落实信息内容安全管理主体责任,配备与服务规模相适应的专业人员和技术能力,设立总编辑等信息内容安全负责人岗位,建立健全用户注册、信息审核、应急处置、安全防护等管理制度。互联网用户公众账号信息服务提供者应当建立互联网用户公众账号信息服务使用者信用等级管理体系,根据信用等级提供相应服务。
(五)跟帖管理。一是对新闻信息提供跟帖评论服务的,应当建立先审后发制度。二是建立健全跟帖评论审核管理、实时巡查、应急处置等信息安全管理制度,及时发现和处置违法信息,并向有关主管部门报告。三是配备与服务规模相适应的审核编辑队伍,提高审核编辑人员专业素养。跟帖评论服务提供者及其从业人员不得为谋取不正当利益或基于错误价值取向,采取有选择地删除、推荐跟帖评论等方式干预舆论。跟帖评论服务提供者和用户不得利用软件、雇佣商业机构及人员等方式散布信息,干扰跟帖评论正常秩序,误导公众舆论。
(六)投放广告。互联网广告分为定向投放和一般广告,广告的受众不一样,接受的相应约束也不同。一是在定向广告投放中,是基于对用户手机、IP地址某段时间的浏览记录,基于大数据分析进行投放,如服务企业作为广告投放方,需对相应的投放周期进行相应确定,避免不必要的支出。如作为定向广告经营者,需要将收集用户信息的类型、数量控制在能达到收集信息目的的最低程度,收集、保存和使用的用户信息应仅限于单位的合法商业目的和实现单位对用户的服务所必需。单位应定期检查其收集和保存的用户信息,以确定该等信息是否仍为单位的合法商业目的和服务功能所必需,并及时停止对于非必需的用户信息的收集和使用。并在相应的隐私政策中作出特别说明。其中需特别注意在收集该等敏感信息、精确位置信息或目录信息前,需以即时通知的方式,取得用户对于收集和使用该等信息的明示同意。二是在互联网广告投放时,受到《广告法》的约束,但针对互联网广告的特殊性,需要在以下几点予以注意:互联网广告应当具有可识别性,显著标明“广告”,使消费者能够辨明其为广告。付费搜索广告应当与自然搜索结果明显区分。以弹出等形式发布的广告,应当显著标明关闭标志,确保一键关闭。对互联网广告经营者及广告发布者、广告经营者提出了应当配备熟悉广告法规的广告审查人员;有条件的还应当设立专门机构,负责互联网广告的审查。并建立、健全互联网广告业务的承接登记、审核、档案管理制度,互联网广告应采取书面形式。
以上是对互联网企业基础服务进行的简要总结。
未完待续。
四川民科律师事务所 罗攀
参考法规法规及行业性规范:
1. 《工业和信息化部关于规范互联网信息服务使用域名的通知》
2.《移动互联网应用程序信息服务管理规定》
3. 中国互联网协会短信息服务规范(试行)
4,《互联网用户账号名称管理规定》
5. 《互联网用户公众账号信息服务管理规定》
6.《互联网跟帖评论服务管理规定》
7.《互联网企业个人信息保护测评标准》
8.《中国互联网定向广告用户信息保护行业框架标准》
9.《互联网广告管理暂行办法》
10.《中国互联网定向广告用户信息保护标识使用规范》
11.《中华人民共和国网络安全法》
12.《中华人民共和国电子签名法》
13.《中华人民共和国劳动法》
14.《中华人民共和国劳动合同法》
15.《中华人民共和国侵权责任法》
16.《中华人民共和国民法通则》
17.《中华人民共和国合同法》
18.《中华人民共和国知识产权法》