引言
当前,在大数据技术广泛运用的时代背景下,数据开始呈现出全新的价值属性。数据不仅是国家的基础性战略资源,更被我国明确为新时代的生产要素,无论是新型数字经济产业还是传统产业,都在积极地利用网络技术和数据技术,实现企业自身业务的时代性更新,网络数据安全已然同企业发展深入地嵌合在一起。
然而,实践中数据不合规行为却屡禁不止,信息泄露、数据滥用等行为严重危害公民权益和社会秩序。根据工业和信息化部的调查整治行动结果,截至2021年4月7日,共发现有819款应用软件存在违规收集、使用个人信息等侵犯用户权益行为。2020年8月,我国某快递公司的员工通过出租员工系统账号导出客户个人数据并卖到全国及东南亚等电信诈骗高发区,超过40万条个人信息被泄露,涉案金额120余万元。
数据合规是专项合规管理体系的重要议题,也是数字经济时代社会治理的重要组成部分。面对日趋严峻的立法和执法态势,数据合规成为企业合规治理的刚性需求,为企业应对数据合规风险提供了最佳实践。数据合规管理是降低企业及其员工涉数据类违法犯罪风险的重要举措,对于建立现代化的企业合规管理制度和文化具有重要意义,有利于促进企业合规守法经营,推动企业在市场竞争的道路上行稳致远。随着“数字中国”国家大数据战略的稳步推进,国内数据保护立法取得飞跃式发展。 2017 年《网络安全法》与 2021 年通过的《数据安全法》《个人信息保护法》共同构成我国数据保护领域的行政监管法律体系。在此背景下,有必要重视企业数据合规建设。
一、数据合规概述
(一)数据合规的两个维度
数据合规涉及多层面内容,其中,公民个人信息保护合规与数据安全合规是目前最迫切需要应对的问题。
1.公民个人信息保护
《民法典》与《网络安全法》将个人信息的内涵界定为“身份识别性”;《个人信息保护法》与两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》则采“身份识别性+特定情况信息”双重特征。本文认为,基于数据合规的体系性出发,以“身份识别性+特定情况信息”这一特征要素界定个人信息可在更大范围内实现数据的有效合规管理。
《民法典》第1034条:“自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”
2.数据安全
保护国家数据安全,是世界各国处理跨境数据时首要考虑的问题。数据对国家而言,是新的“战略资源”;对产业是新的“生产要素”;对个人更是新的“生活必需品”。2021《数据安全法》的颁布,标志着我国开始将数据安全作为独立法益进行保护。企业对数据的利用行为,特别是在大规模数据跨境时,要高度重视国家层面的数据安全,避免陷入危害国家数据安全刑事犯罪风险之中。
《数据安全法》第3条:“本法所称数据,是指任何以电子或者其他方式对信息的记录。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”
(二)数据合规的价值——基于典型案例的分析
1.防范风险
根据企业合规的基本理念,企业合规可有效防范企业经营过程中面临的诸多法律风险。在特定场合,已经构建完备企业合规的企业可以发挥切割企业责任与员工责任的功效,雀巢公司合规无罪抗辩案即为典型案例。
【典型案例】雀巢公司合规无罪抗辩案
【基本案情】
2011年至2013年9月,被告人郑某、杨某分别担任雀巢(中国)有限公司西区婴儿营养部市务经理、兰州分公司婴儿营养部甘肃区域经理期间,为了抢占市场份额,推销雀巢奶粉,授意该公司兰州分公司婴儿营养部员工杨某甲、李某某、杜某某、孙某通过拉关系、支付好处费等手段,多次从兰州多家医院医务人员手中非法获取公民个人信息。
【裁判结果】
一审法院认为多名辩护人提出本案系单位犯罪,应追究雀巢(中国)有限公司的刑事责任的辩护意见,经查,陈某某等证言、雀巢公司DR任务材料,雀巢公司证明、雀巢公司政策、员工行为规范等,证明雀巢公司不允许向医务人员支付任何资金或者其他利益。不允许员工以非法方式收集消费者个人信息。对于这些规定要求,雀巢公司要求所有营养专员接受培训并签署承诺函。被告人郑某、杨某甲、杨某、李某某、杜某某等明知法律法规以及公司禁止性规定的情况下,为完成工作业绩而置法律规范、公司规范于不顾,违规操作进而贿买医务人员,获取公民个人信息的行为,并非雀巢公司的单位意志体现,故本案不属于单位犯罪,对该辩护意见不予支持。判决雀巢公司郑某、杨某、孙某等人构成侵犯公民个人信息罪。
一审法院宣判后,各被告提起上诉。其中,上诉人郑某的上诉理由是自己的行为系属公司行为;杨某某的辩护人提出本案属于单位犯罪的辩护意见;李某某上诉的主要理由是自己的行为都是公司下达的任务;杜某某上诉的主要理由是自己的行为是按照公司要求所作的,所获取的信息都是提供给公司的。2017年5月31日,兰州市中级人民法院经过不开庭审理后认为各上诉人系个人行为,故裁定驳回上诉,维持原判。
2.化解风险
当企业或企业实控人、高管等重要经营管理人员涉罪时,若承诺开展合规整改,经检察机关评估验收验收合格,可实现合规不起诉等从宽处理激励。在这个层面,有效数据合规可发挥化解法律风险之功效。
【典型案例】上海首例数据合规案
2019年至2020年,为运营需要,在未经授权许可的情况下,Z公司首席技术官陈某和多名技术人员通过‘外爬’‘内爬’等技术手段,非法获取某外卖平台数据,造成某外卖平台直接经济损失4万余元。
经调查,检察机关认为Z公司爬取的数据未涉及身份认证信息,没有二次兜售牟利等行为,犯罪情节较轻,主观恶性较小。同时,鉴于其属于成长型科创企业,陈某等人均认罪认罚,积极赔偿被害公司经济损失并取得谅解,检察机关可依法启动涉案企业合规考察。2021年8月,Z公司收到了普陀区检察院制发的合规检察建议。Z公司按照要求自查整改,并专门聘请法律顾问团队制定数据合规整改计划,严格按照合规承诺推进执行。公司彻底销毁相关“爬虫”程序及源代码,对非法获取的涉案数据进行无害化处理,与相关平台签订数据交互协议,实现了从“爬取数据”到“以合法方式购买数据”的转变。在解决数据来源合法化问题的同时,Z公司在检察官的指导下,着重加强数据安全和合规文化建设。在网信部门的建议下,Z公司将所有正常运行的系统纳入区级态势感知平台,由平台提供实时安全扫描和漏洞检测,进一步提高数据合规能级;建立数据合规长效机制,复制、移植和外卖平台的合作模式,与多家大型互联网企业达成数据合作。
2021年10月,第三方监督评估开始。由于本案涉及“网络爬虫”等数据合规专业领域,检察机关商请第三方监督评估机制管委会从专类名录库中抽取了由网信办、某知名互联网安全企业和产业促进社会组织人员组成的第三方组织,全程监督Z公司数据合规工作,督促构建有效整改体系,做到“真合身”“真管用”。2022年初,Z公司经第三方监督评估合格。“涉案企业和被害方外卖平台签订了交互协议,公司平台之间API数据接口完全直连。Z公司不仅数据来源合法化了,还能向外卖平台提供优化服务。”第三方监督评估组成员、上海移动互联网产业促进中心主任范昌琪说,“这是商业合作模式的创新,给整个行业带来重要启发。”
2022年4月28日,普陀区检察院以远程方式对本案召开公开听证会,最高检亦邀请了全国人大代表参加旁听。经讨论,听证员、公安机关、第三方组织、被害单位等参与听证各方一致支持检察机关对涉案人员作不起诉处理。
二、数据合规风险类别
(一)民事赔偿风险
作为一种无形资产,数据受《民法典》保护。根据《民法典》相关规定,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理;信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息。否则,应承担相应的民事赔偿责任。
《民法典》第1038条:“信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。”
(二)行政处罚风险
《个人信息保护法》与《数据安全法》均对数据违规行为的行政责任问题予以了明确。
《个人信息保护法》第66条:“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”
(三)刑事犯罪风险
数据处理者违反《刑法》规定,可能被追究以下刑事责任:侵犯公民个人信息罪、破坏计算机信息系统罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪、拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪、侵犯商业秘密罪等。
1.侵犯公民个人信息罪
《刑法》第253条之一:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
2. 拒不履行信息网络安全管理义务罪
《刑法》第286条之一:“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”
3.非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪
《刑法》第285条:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
三、数据合规建设的基本思路
2022年4月,全国工商联、最高人民检察院等多部门联合出台《涉案企业合规建设、评估和审查办法(试行)》(以下简称“《办法》”),《办法》对涉案企业合规建设的基本内容予以了框架性规范,《办法》可谓企业合规建设的系统指导性文件,对企业数据合规建设当然具有指导意义。值得一提的是,2022年1月27日,上海市杨浦区人民检察院联合上海市杨浦区工商业联合会等多部门联合发布了《企业数据合规指引》(以下简称“《指引》”),《指引》共38条,按照合规架构与风险识别处理的逻辑划分为六章,从数据合规管理体系、数据风险识别、数据风险评估与处置、数据合规运行与保障等方面引导企业加强数据合规管理,对企业数据合规建设提供有益参考。结合《办法》及《指引》的相关规定,总结企业数据合规建设的基本思路如下:
(一)明确数据合规政策
企业合规政策除了合规章程外,还包括针对企业内部的员工手册制度以及面向第三方客户的对外合规政策。制定数据保护合规政策和员工手册要穷尽数据保护法律的禁止性和义务性条款,并与数据合规风险和特定业务场景相结合,实现“风险导向”和“场景细化”。
(二)构建数据合规组织体系
数据保护合规组织体系一般包括数据合规管理委员会、首席数据合规官、数据保护合规部、每个业务单元中的数据保护合规专员等四级架构。在数据合规管理实践中,中兴通讯公司成立了由总裁直接领导的合规管理委员会,作为负责合规管理体系运作的最高指导机构,听取数据保护合规重大事项汇报并进行指导。在其领导下,各业务单位、合规专业部门与合规稽查部各司其职,协调配合,构成中兴公司合规风险管理的三道防线。
(三)完善数据合规业务流程
1.数据合规风险识别
企业开展数据合规管理应当准确识别风险。常见的数据风险包括数据全生命周期各阶段中可能存在的未授权访问、数据滥用、数据泄漏等风险,以及侵犯个人信息、非法获取计算机信息系统数据、传播违法信息、侵犯知识产权、非法跨境提供数据等刑事犯罪风险,企业应根据识别出的风险评估相关经营管理和业务行为是否合规。
2.数据合规防范体系
数据保护合规防范体系由合规风险评估、合规尽职调查、合规培训三大板块构成。其一,企业应对数据处理活动存在的风险点进行定期评估,并保存评估报告和处理情况的记录,以便发现处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向第三方提供个人信息、向境外提供个人信息等过程中的合规风险点。其二,合规尽职调查针对客户、第三方商业伙伴、被并购方,其具有三大目的:发现合规风险、诊断商业模式和经营模式、让被调查企业接受合规管理并建立退出机制。其三,数据安全和个人信息保护教育培训的内容主要是数据保护合规政策和员工手册,企业要进行全程电子或书面留痕,采取录像、照片、签到本等方式,以证明公司开展合规培训的事实。
3.数据监控体系
数据保护合规监控体系是对违法违规行为进行实时监测和识别的管理体系,包含全流程合规监控、合规审计、违规行为举报、合规报告四项具体流程。全流程合规监控要求企业在产品制造、销售、服务等生产经营全流程,针对数据全生命周期,采取必要的技术安全和管理安全措施,保障数据的有效保护和合法利用,对存在违规行为的环节实行合规一票否决制;数据安全投诉、举报制度要求企业实行24小时举报机制,搭建专门的举报平台,开放并公布电话举报、网络举报等途径,并对举报人进行严格保护和高额奖励;合规审计要求对数据信息处理活动进行专项审计和定期审计,发挥合规监控作用;合规报告要求企业进行定期和专项报告,通过合规组织体系自下而上地将合规计划运行情况、合规风险、发生的违规行为报告给最高管理层。
4.数据合规应对体系
数据保护合规应对体系是指违规行为发生后的反应机制。当违规行为发生或者被发现后,企业就要受到外部监管和执法机构的调查,此时需要建立内部的专业反应机制,如果盲目应对,或者采取毁灭、伪造证据等错误方式,就会面临更加严厉的调查和处罚。针对违规行为的应对体系包含四项要求:首先是及时进行合规内部调查;其次是尽快处理违规员工和第三方;再次是尽快发现合规体系漏洞并进行整改;最后是要积极配合调查,主动进行报告披露。
打造数据保护合规应对体系,要特别重视企业数据安全事件应急管理制度的构建,即企业在发现数据安全的紧急事件后,对于事件的应急处理行为的规范体系。一方面,企业的数据安全紧急事件不能不予以处理,必须积极地控制数据安全紧急事件,及时通知利害关系方,减少数据安全的损害。另一方面,企业的数据安全紧急事件不能随意处理,必须符合法律程序、途径和方式。
【参考文献】
韩轶:《网络数据安全领域的企业刑事合规体系构建》,载《江西社会科学》2022年第0期。
毛逸潇;《数据保护合规体系研究》,载《国家检察官学院学报》2021年第1期。
作者简介