引言
2020年8月21日,国务院国资委印发《关于加快推进国有企业数字化转型工作的通知》,就推动国有企业数字化转型做出全面部署。随着新一代信息基础设施更广泛和深入服务于社会经济,网络安全是涉及业务、管理、流程、团队等各方面的系统工程,带来的安全问题更为严峻。
《中华人民共和国数据安全法》第四十五条中明确提出对违反本法的企业直接负责的主管人员和其他直接责任人员予以处罚,而《中华人民共和国刑法》中的数据犯罪也几乎都包含单位犯罪。结合目前的国家政策和法律规定,对于正在进行数字化转型的企业来说,数据安全变得更为重要,本文将从数据可能涉及的刑事风险进行分析阐述,并就律师进行数据刑事合规体系的构建提出意见、建议。
目录
一、数据领域司法文件与刑事风险链接
二、数据合规不起诉第一案
三、滴滴公司违法违规处罚80.26亿元
四、律师实务指引
可扫描上方二维码阅读刑事业务委员会2022年8月刊
一、数据领域司法文件与刑事风险链接
相关法律文件
《中华人民共和国数据安全法》
该部《中华人民共和国数据安全法》于2021年9月1日正式施行。这部法律是我国数据安全领域的基础性法律,旨在通过立法保障数据安全,提高应对数据领域安全风险的能力。本法首次对“数据”进行了界定。
《数据安全法》第三条规定:
本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
相关法律文件
《上海市数据条例》
该《条例》由上海市第十五届人民代表大会常务委员会第三十七次会议于2021年11月25日通过,自2022年1月1日起施行。旨在保护自然人、法人和非法人组织与数据有关的权益,规范数据处理活动,促进数据依法有序自由流动,保障数据安全。该条例单独列出个人信息特别保护一节,明确个人信息同属数据保护范围。
第十八条规定:
除法律、行政法规另有规定外,处理个人信息的,应当取得个人同意。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
处理个人自行公开或者其他已经合法公开的个人信息,应当依法在合理的范围内进行;个人明确拒绝的除外。处理已公开的个人信息,对个人权益有重大影响的,应当依法取得个人同意。
相关法律文件
上海市杨浦区人民检察院《企业数据合规指引》
该《指引》由上海市杨浦区人民检察院、上海市杨浦区工商业联合会、上海市信息服务业行业协会、上海数据合规与安全产业发展专家工作组于2022年2月7日共同发布。旨在引导企业加强数据合规管理,保护个人信息,保障数据安全,规范数据处理活动。
第三十五条规定:
数据合规,是指企业及其员工的经营管理行为符合个人信息保护、网络安全、数据安全等数据法规的要求;
数据合规管理,是指以预防和降低涉数据违法犯罪为目的,以企业及其员工经营管理行为为对象,开展包括合规管理体系、风险识别、风险评估与处置、合规运行与保障等有组织、有计划的管理活动。
《数据安全法》第五十二条规定:“违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”
由此可见,刑事风险是数据领域风险的终极形态,企业在处理数据中的各种不合规行为,都有可能成为刑事风险的隐患。企业不合规行为违反相关法律、行政法规的,都很有可能最终构成刑事犯罪。
对刑法中关于数据领域犯罪进行汇总,包括以下罪名:如侵犯公民个人信息罪、破坏计算机信息系统罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪、拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪、侵犯商业秘密罪等。
这些刑事罪名均属于单位犯罪的范围,可由单位构成,由单位及其主管人员承担刑事责任。数据不合规带来的刑事责任是最为严重的法律责任,数据刑事合规是数据合规的核心。
二、数据合规不起诉第一案
案件事实
2019年至2020年,为运营需要,在未经授权许可的情况下,Z网络科技有限公司首席技术官陈某和多名技术人员通过爬虫(数据爬取程序)技术手段,非法获取某外卖平台数据,造成某外卖平台直接经济损失4万余元。该行为涉嫌非法获取计算机信息系统数据。案发后,公司积极赔偿损失,取得外卖平台谅解,同时主动向检察院申请适用合规监督考察程序。
2021年8月,普陀区检察院向其制发合规检察建议,并启动范式合规审查。
2021年10月,检察机关商请第三方监督评估机制管委会从专类名录库中抽取了由网信办、某知名互联网安全企业和产业促进社会组织人员组成的第三方组织,第三方监督评估开始。
2022年初,Z公司经第三方监督评估合格。
2022年4月,普陀区检察院以远程方式对Z公司、陈某某等人非法获取计算机信息系统数据案召开公开听证会,最终对涉案人员作出不起诉决定。
检查建议
第一,构建数据合规管理体系。设置专门的数据合规管理部门,特别针对数据来源合法性,制定并不断完善数据合规计划,消除内部管理盲区。
第二,提高数据合规风险识别、应对能力。规范技术汇报审批流程,建立技术应用合规评估制度,避免技术滥用。
第三,稳健数据合规运行。建立数据合规咨询机制与数据不合规发现机制,建立数据分级分类管理制度及员工数据安全管理制度,填补制度空白。
采取的合规措施
1、在开展合规整改期间,Z公司根据检察院制发的检察建议,聘请专门的律师团队作为法律顾问,制定数据合规计划,按照合规计划有效执行。
2、Z公司销毁相关“爬虫”程序及源代码,与外卖平台签订数据处理协议,公司平台之间API数据接口完全直连,实现数据来源合法化,建立数据合规长效机制。
3、Z公司将所有正常运行的系统纳入区级态势感知平台,由平台提供实时安全扫描和漏洞检测,进一步提高数据合规能级。
三、滴滴公司违法违规处罚80.26亿元
案件事实
2021年7月2日,中华人民共和国国家互联网信息办公室发布消息,为防范国家数据安全风险,对“滴滴出行”实施网络安全审查。
2021年7月4日,国家网信办发布消息,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,对滴滴出行进行下架整改。
2021年7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等七部门联合进驻滴滴出行科技有限公司,开展网络安全审查。
2022年7月21日,国家网信办发布对滴滴全球股份有限公司依法作出网络安全审查相关处罚的决定及处罚依据。
案件分析
根据国家网信办所发布的消息,滴滴公司自2015年6月起,持续实施违反《网络安全法》、《数据安全法》、《个人信息保护法》的行为,具体包括违法收集用户信息、违法收集用户人脸识别信息、违法收集司机学历信息及身份信息、未准确清晰说明用户信息处理目的等行为。
目前,滴滴公司被处以人民币80.26亿元罚款,对滴滴公司董事长兼CEO程维、总裁柳青各处以人民币100万元罚款。
滴滴公司的处罚就到此为止了吗?
笔者认为不然,根据网信办的相关发布,可以看出滴滴公司已经严重侵害公民个人信息保护的有关规定,其违法行为所涉及的公民信息高达上亿条,其行为与《刑法》关于“侵犯公民个人信息罪“所规定的犯罪构成要件相吻合。且由于滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患,因涉及国家安全而依法不公开,可见此次案件滴滴违法违规行为严重程度,行政处罚应该不是终点。
反思
滴滴公司自2021年7月即被开展网络安全审查,在这长达1年的时间里,滴滴公司并未及时进行数据合规整改,相反,滴滴公司拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题,最终于2022年7月被处以巨额罚款。
相比之下,上海Z网络科技有限公司积极听取检察院的检察建议,制定有效的数据合规计划并积极履行,最终企业及其主管人员都免于刑事处罚,甚至经过数据合规整改后在疫情期间仍能够维持企业的良性运转,提升了企业的竞争力。
作为刑事律师一定要牢牢把握法律底线,在应对监管部门审查时,做好协助与监督工作。不仅要帮助企业量身定制数据合规计划,同时还要随时纠正企业经营过程中的风险,监督企业合法合规运作。
四、律师实务指引
预防企业的数字犯罪
预防企业的数字犯罪:企业内部进行日常合规体系建设、合规审查等。
1、和用户的交互方面:
涉及收集、处理用户信息,需向用户履行告知义务,需取得用户同意,及时响应用户权利请求。涉及个人信息转让,需要对用户进行告知。涉及个人信息处理范围、使用目的等发生变化,需重新获得用户同意。
2、公司内控方面:
(1)采取将数据先分类再分级的方式,根据应用的业务范畴将数据分为研发数据、生产数据、管理数据、业务数据、用户数据等类别,再根据敏感等级不同区分一般数据、重要数据和核心数据等,针对不同类别和级别的数据,实施相应的保护措施。
(2)对企业自身的网络安全和数据合规情况进行事先梳理,包括岗位职责管理制度、网络安全保护义务履行情况、数据使用和存储情况、以及采购的网络产品和服务的安全性等,建立健全个人信息管理制度机制、内部访问权限控制、个人信息存储保护措施等,制定可行的操作指引,加强员工的相关培训和教育,防止因员工泄露信息给企业带来不利影响。
为企业发展建立防火墙
1、公司进行业务往来:涉及到知识产权相关条款的协商,其中需对数据权益、数据权属的保护、公司如何对数据收集和处理的基本方案进行规定。
2、和第三方主体的信息合作:比如向第三方提供信息、从第三方采购信息、委托第三方处理或接受第三方委托为第三方处理信息等,可以参考数据安全法、个人信息保护法、个人信息安全技术规范、个人金融信息保护等相关国家标准,了解第三方主体数据分级分类管理的情况,确保其数据的来源和管理符合监管要求,不存在发生数据安全事件的风险。
3、企业上市合规审查:上市企业招股书中会有数据安全章节,境外上市会有另外的监管要求,针对跨国企业境外公司、如何在全球范围内做一些数据的安全转移,参考个人信息出境标准合同、认证规则、网络数据安全管理条例、科创板块数据合规问询回复等,根据相关主管部门要求制定完善的内部数据存储和流转制度,在境内设置处理数据管理事务的专门机构和代表,在内外网络之间建立防火墙监控所有进出通信等,以应对监管部门对数据安全的顾虑。
了解企业数据处理流程
以互联网企业为例,app其盈利来源很多来自于互联网的程序化广告,客户的个人信息经常作为其进行广告营销的重要来源。电商类平台app会根据用户喜好商品、浏览记录来推荐广告,后台就会对个人数据进行汇集并和第三方进行分享。除此以外,包含资讯类的app也会依赖于广告作为重要盈利。对于此类型企业,其数据处理流程通常涉及数据收集阶段、存储阶段、传输阶段、应用阶段、共享阶段、销毁阶段。
作为律师则需要了解企业信息系统的现状和数据处理路程,明确交易行为背后的数据处理所属周期,梳理客户产品存在的数据合规领域的法律风险,例如通过非法渠道向他人购买个人信息引发的刑事风险、不当使用网络爬虫技术引发的刑事风险以及正常提供服务过程中违规存储、收集个人信息引发的刑事风险。
数据全生命周期安全保护
收集阶段
做好个人隐私保护工作,以必要性为原则进行收集,在收集前进行个人信息保护影响评估,在收集过程中需向用户全面说明信息收集和使用的全部流程(包括接受方的信息、关联方信息、处理目的、储存使用和销毁期限等),以及在特定的情景下需另行进行单项的特别授权。
存储阶段
做好数据存储加密和用户标识鉴别工作,通过数据访问控制,严把授权的用户和权限范围,确定并持续监测具有数据资源的访问权的用户范围、访问数据资源的具体方式、情形,确保授权协议的强度和一致性,防止数据泄露、盗用。同时配以数据质量监控、安全应急预警、存储容灾备份等机制,妥善保管原始数据,保证数据的完整性、真实性、有效性等,防止数据丢失,在日常监控中检测异常及时进行修复。
传输阶段
设置完善的授权审批流程,在数据传输过程中,要进行线路冗余的设计,保证线路不中断,防止数据丢失。同时也要注意数据传输加密、身份验证、数据接口安全,利用安全通道技术,严禁使用明文传输,保证数据传输的机密性、完整性,防止在传输过程中遭遇第三方篡改、盗取以及企业内部泄密。
应用阶段
数据的应用应以合理合法的方式实现,应定期开展合规审计。以目前较为热点的“大数据杀熟”为例,该数据应用有违公平合理的原则。如在很多app上会利用采集的个人信息进行个性化的商业推送、营销,需向客户提供关闭此类功能的便捷途径。此外需向客户提供要求投诉、删除、修改、解释的途径,确保及时响应用户需求。
关注其他部门法
《检察机关办理侵犯公民个人信息案件指引》中指出,《刑法》第二百五十三条关于侵犯公民个人信息罪中的“违反国家有关规定”,包括部门规章,这些规定散见于金融、电信、交通、教育、医疗、统计、邮政等领域的法律、行政法规或部门规章中。因此,部门规章也是刑事数据合规的重要审查依据。目前出台了有关个人信息保护、数据安全的部门规章的主体包括一行三会一局(人民银行、银监会、证监会、保监会、外汇局)、国家互联网信息办公室、财政部、商务部、工业和信息化部等等。
了解企业的商业交易流程,对企业的业务和产品进行梳理,明确交易行为背后的数据使用类型,例如医疗领域可以关注《国家健康医疗大数据标准、安全和服务管理办法(试行)》《信息安全技术 健康医疗数据安全指南》,金融领域可以关注《证券期货业数据分类分级指引》(JR/T 0158-2018) 《金融数据安全 数据安全分级指南》(JR/T 0197–2020)等。根据法律法规和该行业涉及的自有的规章制度,关注该行业其他部门法对数据要求的规定,为企业制定体系化的数据合规方案并帮助方案落地。