2020年8月21日,国务院国资委印发《关于加快推进国有企业数字化转型工作的通知》,就推动国有企业数字化转型做出全面部署。随着新一代信息基础设施更广泛和深入服务于社会经济,网络安全是涉及业务、管理、流程、团队等各方面的系统工程,带来的安全问题更为严峻。
《中华人民共和国数据安全法》第四十五条中明确提出对违反本法的企业直接负责的主管人员和其他直接责任人员予以处罚,而《中华人民共和国刑法》中的数据犯罪也几乎都包含单位犯罪。结合目前的国家政策和法律规定,对于正在进行数字化转型的企业来说,数据安全变得更为重要,本文将从数据可能涉及的刑事风险进行分析阐述,并就律师进行数据刑事合规体系的构建提出意见、建议。
该部《中华人民共和国数据安全法》于2021年9月1日正式施行。这部法律是我国数据安全领域的基础性法律,旨在通过立法保障数据安全,提高应对数据领域安全风险的能力。本法首次对“数据”进行了界定。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
该《条例》由上海市第十五届人民代表大会常务委员会第三十七次会议于2021年11月25日通过,自2022年1月1日起施行。旨在保护自然人、法人和非法人组织与数据有关的权益,规范数据处理活动,促进数据依法有序自由流动,保障数据安全。该条例单独列出个人信息特别保护一节,明确个人信息同属数据保护范围。
除法律、行政法规另有规定外,处理个人信息的,应当取得个人同意。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
处理个人自行公开或者其他已经合法公开的个人信息,应当依法在合理的范围内进行;个人明确拒绝的除外。处理已公开的个人信息,对个人权益有重大影响的,应当依法取得个人同意。
该《指引》由上海市杨浦区人民检察院、上海市杨浦区工商业联合会、上海市信息服务业行业协会、上海数据合规与安全产业发展专家工作组于2022年2月7日共同发布。旨在引导企业加强数据合规管理,保护个人信息,保障数据安全,规范数据处理活动。
数据合规,是指企业及其员工的经营管理行为符合个人信息保护、网络安全、数据安全等数据法规的要求;
数据合规管理,是指以预防和降低涉数据违法犯罪为目的,以企业及其员工经营管理行为为对象,开展包括合规管理体系、风险识别、风险评估与处置、合规运行与保障等有组织、有计划的管理活动。
《数据安全法》第五十二条规定:“违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”
由此可见,刑事风险是数据领域风险的终极形态,企业在处理数据中的各种不合规行为,都有可能成为刑事风险的隐患。企业不合规行为违反相关法律、行政法规的,都很有可能最终构成刑事犯罪。
对刑法中关于数据领域犯罪进行汇总,包括以下罪名:如侵犯公民个人信息罪、破坏计算机信息系统罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪、拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪、侵犯商业秘密罪等。
这些刑事罪名均属于单位犯罪的范围,可由单位构成,由单位及其主管人员承担刑事责任。数据不合规带来的刑事责任是最为严重的法律责任,数据刑事合规是数据合规的核心。
2019年至2020年,为运营需要,在未经授权许可的情况下,Z网络科技有限公司首席技术官陈某和多名技术人员通过爬虫(数据爬取程序)技术手段,非法获取某外卖平台数据,造成某外卖平台直接经济损失4万余元。该行为涉嫌非法获取计算机信息系统数据。案发后,公司积极赔偿损失,取得外卖平台谅解,同时主动向检察院申请适用合规监督考察程序。
2021年10月,检察机关商请第三方监督评估机制管委会从专类名录库中抽取了由网信办、某知名互联网安全企业和产业促进社会组织人员组成的第三方组织,第三方监督评估开始。
2022年4月,普陀区检察院以远程方式对Z公司、陈某某等人非法获取计算机信息系统数据案召开公开听证会,最终对涉案人员作出不起诉决定。
第一,构建数据合规管理体系。设置专门的数据合规管理部门,特别针对数据来源合法性,制定并不断完善数据合规计划,消除内部管理盲区。
第二,提高数据合规风险识别、应对能力。规范技术汇报审批流程,建立技术应用合规评估制度,避免技术滥用。
第三,稳健数据合规运行。建立数据合规咨询机制与数据不合规发现机制,建立数据分级分类管理制度及员工数据安全管理制度,填补制度空白。
1、在开展合规整改期间,Z公司根据检察院制发的检察建议,聘请专门的律师团队作为法律顾问,制定数据合规计划,按照合规计划有效执行。
2、Z公司销毁相关“爬虫”程序及源代码,与外卖平台签订数据处理协议,公司平台之间API数据接口完全直连,实现数据来源合法化,建立数据合规长效机制。
3、Z公司将所有正常运行的系统纳入区级态势感知平台,由平台提供实时安全扫描和漏洞检测,进一步提高数据合规能级。
2021年7月2日,中华人民共和国国家互联网信息办公室发布消息,为防范国家数据安全风险,对“滴滴出行”实施网络安全审查。
2021年7月4日,国家网信办发布消息,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,对滴滴出行进行下架整改。
2021年7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等七部门联合进驻滴滴出行科技有限公司,开展网络安全审查。
2022年7月21日,国家网信办发布对滴滴全球股份有限公司依法作出网络安全审查相关处罚的决定及处罚依据。
根据国家网信办所发布的消息,滴滴公司自2015年6月起,持续实施违反《网络安全法》、《数据安全法》、《个人信息保护法》的行为,具体包括违法收集用户信息、违法收集用户人脸识别信息、违法收集司机学历信息及身份信息、未准确清晰说明用户信息处理目的等行为。
目前,滴滴公司被处以人民币80.26亿元罚款,对滴滴公司董事长兼CEO程维、总裁柳青各处以人民币100万元罚款。
笔者认为不然,根据网信办的相关发布,可以看出滴滴公司已经严重侵害公民个人信息保护的有关规定,其违法行为所涉及的公民信息高达上亿条,其行为与《刑法》关于“侵犯公民个人信息罪“所规定的犯罪构成要件相吻合。且由于滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患,因涉及国家安全而依法不公开,可见此次案件滴滴违法违规行为严重程度,行政处罚应该不是终点。
滴滴公司自2021年7月即被开展网络安全审查,在这长达1年的时间里,滴滴公司并未及时进行数据合规整改,相反,滴滴公司拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题,最终于2022年7月被处以巨额罚款。
相比之下,上海Z网络科技有限公司积极听取检察院的检察建议,制定有效的数据合规计划并积极履行,最终企业及其主管人员都免于刑事处罚,甚至经过数据合规整改后在疫情期间仍能够维持企业的良性运转,提升了企业的竞争力。
作为刑事律师一定要牢牢把握法律底线,在应对监管部门审查时,做好协助与监督工作。不仅要帮助企业量身定制数据合规计划,同时还要随时纠正企业经营过程中的风险,监督企业合法合规运作。
涉及收集、处理用户信息,需向用户履行告知义务,需取得用户同意,及时响应用户权利请求。涉及个人信息转让,需要对用户进行告知。涉及个人信息处理范围、使用目的等发生变化,需重新获得用户同意。
(1)采取将数据先分类再分级的方式,根据应用的业务范畴将数据分为研发数据、生产数据、管理数据、业务数据、用户数据等类别,再根据敏感等级不同区分一般数据、重要数据和核心数据等,针对不同类别和级别的数据,实施相应的保护措施。
(2)对企业自身的网络安全和数据合规情况进行事先梳理,包括岗位职责管理制度、网络安全保护义务履行情况、数据使用和存储情况、以及采购的网络产品和服务的安全性等,建立健全个人信息管理制度机制、内部访问权限控制、个人信息存储保护措施等,制定可行的操作指引,加强员工的相关培训和教育,防止因员工泄露信息给企业带来不利影响。
1、公司进行业务往来:涉及到知识产权相关条款的协商,其中需对数据权益、数据权属的保护、公司如何对数据收集和处理的基本方案进行规定。
2、和第三方主体的信息合作:比如向第三方提供信息、从第三方采购信息、委托第三方处理或接受第三方委托为第三方处理信息等,可以参考数据安全法、个人信息保护法、个人信息安全技术规范、个人金融信息保护等相关国家标准,了解第三方主体数据分级分类管理的情况,确保其数据的来源和管理符合监管要求,不存在发生数据安全事件的风险。
3、企业上市合规审查:上市企业招股书中会有数据安全章节,境外上市会有另外的监管要求,针对跨国企业境外公司、如何在全球范围内做一些数据的安全转移,参考个人信息出境标准合同、认证规则、网络数据安全管理条例、科创板块数据合规问询回复等,根据相关主管部门要求制定完善的内部数据存储和流转制度,在境内设置处理数据管理事务的专门机构和代表,在内外网络之间建立防火墙监控所有进出通信等,以应对监管部门对数据安全的顾虑。
以互联网企业为例,app其盈利来源很多来自于互联网的程序化广告,客户的个人信息经常作为其进行广告营销的重要来源。电商类平台app会根据用户喜好商品、浏览记录来推荐广告,后台就会对个人数据进行汇集并和第三方进行分享。除此以外,包含资讯类的app也会依赖于广告作为重要盈利。对于此类型企业,其数据处理流程通常涉及数据收集阶段、存储阶段、传输阶段、应用阶段、共享阶段、销毁阶段。
作为律师则需要了解企业信息系统的现状和数据处理路程,明确交易行为背后的数据处理所属周期,梳理客户产品存在的数据合规领域的法律风险,例如通过非法渠道向他人购买个人信息引发的刑事风险、不当使用网络爬虫技术引发的刑事风险以及正常提供服务过程中违规存储、收集个人信息引发的刑事风险。
做好个人隐私保护工作,以必要性为原则进行收集,在收集前进行个人信息保护影响评估,在收集过程中需向用户全面说明信息收集和使用的全部流程(包括接受方的信息、关联方信息、处理目的、储存使用和销毁期限等),以及在特定的情景下需另行进行单项的特别授权。
做好数据存储加密和用户标识鉴别工作,通过数据访问控制,严把授权的用户和权限范围,确定并持续监测具有数据资源的访问权的用户范围、访问数据资源的具体方式、情形,确保授权协议的强度和一致性,防止数据泄露、盗用。同时配以数据质量监控、安全应急预警、存储容灾备份等机制,妥善保管原始数据,保证数据的完整性、真实性、有效性等,防止数据丢失,在日常监控中检测异常及时进行修复。
设置完善的授权审批流程,在数据传输过程中,要进行线路冗余的设计,保证线路不中断,防止数据丢失。同时也要注意数据传输加密、身份验证、数据接口安全,利用安全通道技术,严禁使用明文传输,保证数据传输的机密性、完整性,防止在传输过程中遭遇第三方篡改、盗取以及企业内部泄密。
数据的应用应以合理合法的方式实现,应定期开展合规审计。以目前较为热点的“大数据杀熟”为例,该数据应用有违公平合理的原则。如在很多app上会利用采集的个人信息进行个性化的商业推送、营销,需向客户提供关闭此类功能的便捷途径。此外需向客户提供要求投诉、删除、修改、解释的途径,确保及时响应用户需求。
《检察机关办理侵犯公民个人信息案件指引》中指出,《刑法》第二百五十三条关于侵犯公民个人信息罪中的“违反国家有关规定”,包括部门规章,这些规定散见于金融、电信、交通、教育、医疗、统计、邮政等领域的法律、行政法规或部门规章中。因此,部门规章也是刑事数据合规的重要审查依据。目前出台了有关个人信息保护、数据安全的部门规章的主体包括一行三会一局(人民银行、银监会、证监会、保监会、外汇局)、国家互联网信息办公室、财政部、商务部、工业和信息化部等等。
了解企业的商业交易流程,对企业的业务和产品进行梳理,明确交易行为背后的数据使用类型,例如医疗领域可以关注《国家健康医疗大数据标准、安全和服务管理办法(试行)》《信息安全技术 健康医疗数据安全指南》,金融领域可以关注《证券期货业数据分类分级指引》(JR/T 0158-2018) 《金融数据安全 数据安全分级指南》(JR/T 0197–2020)等。根据法律法规和该行业涉及的自有的规章制度,关注该行业其他部门法对数据要求的规定,为企业制定体系化的数据合规方案并帮助方案落地。
陈志华律师自2005年1月起从事律师工作,致力于:企业常年法律服务,主要服务内容为:公司制度建设、合同审核、协助员工管理、协助对外商业谈判等;企业股权架构设计;企业经济诉讼;企业劳动仲裁/诉讼;专利无效/侵权代理;商标流程代理;商业秘密、专利、商标、不正当竞争维权代理。
南京大学法学学士,复旦大学刑法学硕士。2005年首次执业,在律师事务所担任专职律师,为多家外资企业提供常年法律顾问、公司新设、分立、合并、股权变更、转让、重组项目等法律服务。2007年从事审判工作。2020年6月辞去公职,加入海华永泰律师事务所。
2019年1月毕业于华东理工大学,经济法硕士学位。主要执业领域为民商事争议解决、常年法律顾问、知识产权代理、劳动争议处理等业务。
2022年6月毕业于华东理工大学,知识产权第二学士学位。致力于知识产权及民商事方向的法律服务与研究。
