北京瀛和律師事務所 知識產(chǎn)權中心主任 趙禮杰
數(shù)據(jù)強監(jiān)管下的嚴峻形勢
數(shù)據(jù)治理是全球性的新問題,中國作為數(shù)字經(jīng)濟大國,近兩年數(shù)據(jù)治理與數(shù)據(jù)合規(guī)問題備受關注,如今數(shù)據(jù)安全不但關系到社會民生,更是關乎國家安全的大事。
趙禮杰首先列舉了近幾年發(fā)生的五大數(shù)據(jù)泄露案例:
- 案例1、2021年8月23日,阿里云泄露用戶信息被責令整改;
- 案例2、2021年7月2日,滴滴被網(wǎng)信辦啟動網(wǎng)絡安全審查,IPO僅兩天,暫停新用戶注冊;
- 案例3、2021年7月5日,運滿滿、貨車幫、BOSS直聘被網(wǎng)絡安全審查;
- 案例4、2019年2月,深網(wǎng)視界的數(shù)據(jù)泄露事件,共有超過250萬人的數(shù)據(jù)信息被泄露;
- 案例5、2018年,某數(shù)據(jù)企業(yè)員工轉賣個人信息刑事案件。
“通過以上案例可以看出,數(shù)據(jù)合規(guī)治理對于所有涉及到數(shù)據(jù)處理的企業(yè),都是非常重要的一件事兒。”趙禮杰強調:“數(shù)據(jù)合規(guī)治理與企業(yè)的合法、可持續(xù)運營直接相關。”
數(shù)據(jù)合規(guī)涉及的主要法律問題
- 1. 數(shù)據(jù)安全,與每個企業(yè)相關;
- 2. 隱私和個人信息保護,與企業(yè)的運營直接相關;
- 3. 數(shù)據(jù)權屬和數(shù)據(jù)資產(chǎn),涉及到作為數(shù)據(jù)采集的自然人有哪些權利,以及如何開發(fā)和利用數(shù)據(jù)的問題;
- 4. 數(shù)據(jù)壟斷和不正當競爭,某些頭部企業(yè)擁有大量數(shù)據(jù),是否涉及反壟斷問題?通過爬蟲技術爬數(shù)據(jù),是否屬于不正當競爭行為?
- 5. 個人信息和重要數(shù)據(jù)出境;
- 6. 征信。
中國數(shù)據(jù)領域的三部基礎法律
中國數(shù)據(jù)領域的三部基礎法律分別是2017年6月1日實施的《網(wǎng)絡安全法》,2021年9月1日實施的《數(shù)據(jù)安全法》,以及2021年11月1日實施的《個人信息保護法》。
《數(shù)據(jù)安全法》的監(jiān)管對象是數(shù)據(jù)處理活動,它不像《網(wǎng)絡安全法》只關注網(wǎng)絡空間,對于非網(wǎng)絡空間的數(shù)據(jù)也要進行監(jiān)管,對所有數(shù)據(jù)都進行保護?!稊?shù)據(jù)安全法》涉及到很多關鍵事項,例如數(shù)據(jù)安全標準體系的建設、數(shù)據(jù)的分類分級保護、數(shù)據(jù)跨境流動監(jiān)管、數(shù)據(jù)安全風險預警機制及應急處理機制等。
《個人信息保護法》更關注自然人的個人信息,對個人信息的范圍進行新的界定,確立了個人信息的基本處理原則,對個人信息的主體權利做出了明確規(guī)定,并且明確規(guī)定了個人信息處理者的義務。
《數(shù)據(jù)安全法》要點解讀
《數(shù)據(jù)安全法》第21條中需要重點關注的三個要點:
一是明確規(guī)定國家建立數(shù)據(jù)分類分級保護制度。對應的企業(yè)應當按照數(shù)據(jù)分類分級保護制度,依據(jù)所處行業(yè)、領域的重要數(shù)據(jù)具體目錄,對列入目錄的數(shù)據(jù)進行重點保護。
據(jù)趙禮杰介紹,目前很多頭部企業(yè)已經(jīng)在進行數(shù)據(jù)的分類分級,部分頭部企業(yè)的分類分級比法律現(xiàn)有的分類更加精細,而一些成長型的企業(yè)尤其是創(chuàng)業(yè)型公司并沒有做到數(shù)據(jù)的分類分級?!稊?shù)據(jù)安全法》9月1日起實施,企業(yè)數(shù)據(jù)分類分級已經(jīng)是刻不容緩的事。
二是國家數(shù)據(jù)安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門制定重要數(shù)據(jù)目錄,加強對重要數(shù)據(jù)的保護。國家對重要數(shù)據(jù)的監(jiān)管會非常嚴格,尤其是對數(shù)據(jù)出鏡的監(jiān)管,重要數(shù)據(jù)出鏡必須經(jīng)過審查。以前,很多大型企業(yè)的研發(fā)中心設在境外,可以直接將數(shù)據(jù)傳到境外用于新產(chǎn)品的研發(fā)。如今,大家習以為常的數(shù)據(jù)處理方式可能就是違法犯罪。是否違法,還需要根據(jù)業(yè)務內(nèi)容以及數(shù)據(jù)的重要程度與法務團隊深入研究。
三是關系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù),實行更加嚴格的管理制度。針對這一點,企業(yè)在開展業(yè)務的過程中是否會涉及到這些數(shù)據(jù)?安全解決方案供應商在為相關政府部門提供服務時,是否會接觸到這些數(shù)據(jù)?《數(shù)據(jù)安全法》落地過程中,所有法律條文明確后,企業(yè)需要提前準備,及時調整業(yè)務模式,防范可能長期存在的法律風險。
《數(shù)據(jù)安全法》第27條中規(guī)定了數(shù)據(jù)安全保護義務:
這是《數(shù)據(jù)安全法》中的核心內(nèi)容。第27條規(guī)定:開展數(shù)據(jù)處理活動應當依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓,采取相應的技術措施和其他必要措施,保障數(shù)據(jù)安全。
趙禮杰表示:企業(yè)在數(shù)據(jù)處理的整個生命周期中,從數(shù)據(jù)的采集、存儲、處理到刪除,要經(jīng)過很多處理流程,企業(yè)需要考慮是否建立了完善的全流程數(shù)據(jù)安全管理制度,沒有建立的企業(yè)需要盡快落實。數(shù)據(jù)安全教育培訓和相關的技術措施等也要跟上。
另外,第27條規(guī)定:重要數(shù)據(jù)的處理者應當明確數(shù)據(jù)安全負責人和管理機構,落實數(shù)據(jù)安全保護責任。
這里強調如果處理重要數(shù)據(jù),需要明確一個安全負責人和管理機構,盡到數(shù)據(jù)安全保護義務。刑法中如果企業(yè)單位犯罪,直接責任人可能會遭受刑事處罰,數(shù)據(jù)安全負責人是否是直接責任人?趙禮杰表示這是一個新的概念,目前還沒有實際案例,但是從法理的角度分析,應該是對應關系,而且直接責任人不只限于數(shù)據(jù)安全負責人,還包括管理機構中的其他人。
《數(shù)據(jù)安全法》第45條規(guī)定需要承擔的法律責任:
開展數(shù)據(jù)處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規(guī)定的數(shù)據(jù)安全保護義務的,由有關主管部門責令改正,給予警告,可以并處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數(shù)據(jù)泄露等嚴重后果的,處五十萬元以上二百萬元以下罰款,并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。
違反國家核心數(shù)據(jù)管理制度,危害國家主權、安全和發(fā)展利益的,由有關主管部門處二百萬元以上一千萬元以下罰款,并根據(jù)情況責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照;構成犯罪的,依法追究刑事責任。
從以上法律條文來看,不僅有對企業(yè)的處罰,還包括直接負責的主管人員以及其他責任人員的處罰。對于公司而言,違反《數(shù)據(jù)安全法》不僅會被行政處罰,還可能涉及暫停相關業(yè)務、停業(yè)整頓、吊銷相關的許可證或者吊銷營業(yè)執(zhí)照,處1000萬元以下罰款,構成犯罪的要依法追究刑事責任。
第45條中尚未列出數(shù)據(jù)出鏡的相關處罰,趙禮杰表示,對數(shù)據(jù)出鏡的處罰會更加嚴格。
《個人信息保護法》要點解讀
《個人信息保護法》第24條關于大數(shù)據(jù)殺熟的相關規(guī)定: 個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
通過自動化決策方式向個人進行信息推送、商業(yè)營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
《個人信息保護法》第28條關于個人敏感信息的相關規(guī)定:敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
第28條第二款規(guī)定:只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。也就是說,按照《個人信息保護法》的規(guī)定,企業(yè)以前處理的某些信息,現(xiàn)在可能不能再繼續(xù)處理了,或者需要評價是否符合處理的必要性,而且需要區(qū)分普通個人信息和敏感個人信息,包括獲取個人信息的彈窗提示都需要調整。
《個人信息保護法》第29條規(guī)定:處理敏感個人信息應當取得個人的單獨同意。例如,人臉識別中的人臉信息采集,屬于生物識別信息,以前的常規(guī)做法是將人臉采集的相關協(xié)議放在整個用戶協(xié)議中加粗顯示,如今需要單獨在彈框中顯示采集的用途,并且征求個人同意。涉及到APP的企業(yè)尤其是相關技術專家、CIO,需要針對彈窗設置及用戶體驗等因素綜合考慮如何調整。
《個人信息保護法》第52條規(guī)定:處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監(jiān)督。這里的個人信息保護負責人與《數(shù)據(jù)安全法》中的負責人是同一概念,在很多場景下,這個負責人就是CIO,因此CIO要盡到相關的法律責任,盡量做好防控措施。
《個人信息保護法》第66條規(guī)定了需要承擔的法律責任,在此不再詳細展開。
數(shù)據(jù)與個人信息相關刑事責任
隨后,趙禮杰律師分析了與其相關的兩個《刑法》中的法律條文。
《刑法》第253條之一的侵犯公民個人信息罪,與《個人信息保護法》中提到的刑事責任相對應。
第253條規(guī)定:向他人出售或者提供公民個人信息,情節(jié)嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。
《刑法》第286條規(guī)定:網(wǎng)絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡安全管理義務,經(jīng)監(jiān)管部門責令采取改正措施而拒不改正,致使違法信息大量傳播的;致使用戶信息泄露,造成嚴重后果的;致使刑事案件證據(jù)滅失,情節(jié)嚴重的;或有其他嚴重情節(jié)的,處三年以下有期徒刑、拘役或者管制,并處或者單處罰金。
企業(yè)的數(shù)據(jù)合規(guī)開展建議
趙禮杰律師陳述了企業(yè)開展數(shù)據(jù)合規(guī)工作的基本流程。
首先是盡職調查,調查范圍包括:
- 1. 數(shù)據(jù)相關商業(yè)模式/業(yè)務內(nèi)容的調查分析;
- 2. 獲得數(shù)據(jù)的授權情況;
- 3. 與第三方簽訂的全部數(shù)據(jù)合作協(xié)議;
- 4. 現(xiàn)行數(shù)據(jù)內(nèi)部管理制度調查。
其次是問題分析與合規(guī)方案制定。針對盡職調查結果,進行合規(guī)性分析和法律風險分析,并相應制定合規(guī)方案。
最后是合規(guī)方案實施與持續(xù)優(yōu)化:
- 1. 數(shù)據(jù)授權文件優(yōu)化;
- 2. 數(shù)據(jù)流控制和優(yōu)化;
- 3. 數(shù)據(jù)跨境評估;
- 4. 數(shù)據(jù)分類處理;
- 5. 數(shù)據(jù)管理制度完善。
針對企業(yè)數(shù)據(jù)合規(guī)工作的實操建議
- 1、建立健全的數(shù)據(jù)合規(guī)機構和負責人;
- 2、在企業(yè)全員范圍內(nèi)培育數(shù)據(jù)合規(guī)文化;
- 3、建立基于業(yè)務的數(shù)據(jù)合規(guī)機制和制度;
- 4、基于數(shù)據(jù)處理全生命周期進行數(shù)據(jù)合規(guī);
- 5、主動推進數(shù)據(jù)合規(guī)工作并持續(xù)優(yōu)化;
- 6、重點關注與防控高危數(shù)據(jù)合規(guī)風險。
總結
數(shù)據(jù)強監(jiān)管時代已經(jīng)到來,做好數(shù)據(jù)合規(guī)是企業(yè)良性發(fā)展的必由之路。趙禮杰律師建議那些有遠見的CIO,應當格外重視數(shù)據(jù)合規(guī),并將可能涉刑的合規(guī)事項作為數(shù)據(jù)合規(guī)的重中之重。