黄茜律师:《数据安全法》实施与数据保护合规风险应对

2021年7月4日,国家互联网信息办公室发布《关于下架“滴滴出行”App的通报》(见下图):

上述《通报》提及“滴滴出行”App下架的原因系经检测核实存在“严重违法违规收集使用个人信息”的问题,要求企业严格按照法律要求、参照国家标准认真整改,以“切实保障广大用户个人信息安全”。这一涉及个人信息安全的政府监管事件,与2021年9月1日即将施行的《中华人民共和国数据安全法》极大契合。《数据安全法》作为数据领域的基础性法律和国家安全领域的重要法律,全文仅55条,精炼而全面地体现了我国政府在全球蓬勃发展数字经济的大环境下,通过加强对数据领域的有效监管,维护数据主权和国家安全的决心。笔者拟结合《数据安全法》的规定,从行政监管和刑事处理合规角度对企业如何借助《数据安全法》的实施,强化在数据保护领域的合规风险应对要点予以评析。

一、企业违反《数据安全法》可能面临的行政监管责任。

继《网络安全法》之后,《数据安全法》给网络运营者、数据业务处理者赋予了更多的安全管理法定义务,同时,法定政府监管部门的广泛程度,足见国家对数据安全监管力度的增强:中央国家安全领导机构负责数据安全工作的决策和协调、国家网信部门统筹网络数据安全监管工作;由工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域的数据安全监管职责;由公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。

(一)开展数据处理活动企业的数据合规义务。

1.建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。(《数据安全法》第27条)

2.加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。(《数据安全法》第29条)

3.重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任;应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。(《数据安全法》第30条)

开展数据处理活动的企业和责任人不履行上述义务的,可能面临的行政监管责任有:责令改正、警告、罚款;拒不改正或者造成大量数据泄露等严重后果的,或违反国家核心数据管理制度,危害国家主权、安全和发展利益的,可能面临的行政监管责任有:责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。

(二)从事数据交易中介服务的企业应履行的数据安全保护义务。

《数据安全法》第33条:从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。

从事数据交易中介服务的机构未履行上述义务的,可能面临的行政监管风险有:责令改正、没收违法所得、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

(三)数据安全的出境监管。

  1. 关键信息基础设施运营企业的数据出境合规义务。

关键信息基础设施的范围规定在《网络安全法》第31条:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。

根据《数据安全法》第31条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》第37条“一般情形+例外”规定,即:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

未履行上述义务的,在境外存储网络数据,或者向境外提供网络数据的,可能面临行政监管责任有:责令改正、警告、没收违法所得、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等。

2.严格规制向境外司法或执法机构的数据出境活动。

《数据安全法》第36条明确了我国对境内数据的管辖权:非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

违反上述规定,未经主管机关批准向外国司法或执法机构提供数据的,可能面临的行政监管责任有:警告、罚款;造成严重后果的:罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

综上,企业违反《数据安全法》,可能面临的行政监管责任中,罚款最高可达一千万元或违法所得的十倍,而最为严厉的行政监管责任,对于企业来说,就是吊销业务许可证或营业执照的“资格剥夺”;对于企业直接责任人来说,则是人身自由的限制,即《数据安全法》第52条规定,“违反本法又违反治安管理处罚法的,依法给予治安管理处罚。”《治安管理处罚法》第29条规定:“有下列行为之一的,处5日以下拘留;情节较重的,处5日以上10日以下拘留:(三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的。”《数据安全法》的实施,意味着政府对数据保护领域监管力度的增强,对于从事数据业务的企业,必须在可能面临被剥夺资格与建立合规风险防范体系之间做出决择。

二、对于企业来说,违反《数据安全法》可能面临的刑事责任是最为严重的法律风险。

(一)违反数据出口管制的,可能涉嫌危害国家安全相关罪名。

《数据安全法》所承载的意义不仅仅在公民信息的保护,更已上升至国家主权和国家安全及发展,体现在第1条的立法宗旨:“为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。”

《数据安全法》第45条第二款规定:“违反国家核心数据管理制度,危害国家主权、安全和发展利益的,构成犯罪的,依法追究刑事责任。”如果相关数据涉及国家秘密或情报的,根据《刑法》第111条规定:为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报的,涉嫌【为境外窃取、刺探、收买、非法提供国家秘密、情报罪】,最高刑期可为无期徒刑。

(二)以非法手段获取数据的行为可能涉嫌的罪名。

《数据安全法》第3条规定:“本法所称数据,是指任何以电子或者其他方式对信息的记录。”第32条规定“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。”通常存放电子数据的载体主要为计算机,《刑法》直接以数据为保护对象的罪名关注的就是对计算机信息系统中存储、处理或者传输等三阶段中非法获取、删除、修改或者增加行为的处罚,主要涉及以下罪名;

1.《刑法》第285条规定:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,涉嫌【非法侵入计算机信息系统罪】;违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,涉嫌【非法获取计算机信息系统数据、非法控制计算机信息系统罪】。

2.《刑法》第286条规定:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行;违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,涉嫌【破坏计算机信息系统罪】。

  1. 如果数据属于他人的商业秘密,根据《刑法》第219条规定:“以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密”,情节严重的,涉嫌【侵犯商业秘密罪】。

4.《刑法》第253条之一:违反国家有关规定,向他人出售或者提供公民个人信息,窃取或者以其他方法非法获取公民个人信息的,情节严重的,涉嫌【侵犯公民个人信息罪】。将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

对侵犯公民个人信息罪的“入罪门槛”,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》确立了较低的标准,即只要在数量上或情节在达到一般标准,就足以构成作为入罪标准的“情节严重”,如出售或者提供行踪轨迹信息,被他人用于犯罪的;知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;非法获取、出售或者提供“重大敏感信息”50条以上的,包括行踪轨迹信息、通信内容、征信信息、财产信息;非法获取、出售或者提供“一般敏感信息”500条以上的,包括住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息;为合法经营活动而非法购买、收受公民个人信息获得5万元以上等等。

(三)数据处理企业未尽数据安全保护义务的,可能涉嫌的罪名。

1.《数据安全法》规定了数据处理企业的数据安全保护义务,作为网络服务提供者的数据处理者,在进行数据处理时拒不履行信息网络安全管理和数据安全保护义务,致使违法信息大量传播、致使用户信息泄露、致使刑事案件证据灭失或其他严重情节时,根据《刑法》第286条之一,经监管部门责令采取改正措施而拒不改正,涉嫌【拒不履行信息网络安全管理义务罪】。

该罪规定犯罪主体为“网络服务提供者”,根据最高法、最高检《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(以下简称《网络犯罪》司法解释)第1条规定:“提供下列服务的单位和个人,应当认定为刑法第二百八十六条之一第一款规定的网络服务提供者:(1)网络接入、域名注册解析等信息网络接入、计算、存储、传输服务;(2)信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;(3)利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。”此规定对本罪的犯罪主体做了扩大化的解释,将大多数的信息网络公司涵盖进来,可以认为,只要业务内容包括对网络信息系统的管理,就应承担网络安全管理的义务。

2.《刑法》第287条之二规定:明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,涉嫌【帮助信息网络犯罪活动罪】。

该罪对于企业存在普遍的刑事合规风险,企业往往可能认为自己提供的是正常的网络服务,对客户的行为不知情或假装不知情就不会触犯刑法。但在刑法意义上对“明知”的判定,除了行为人作出“明知”的供述并与相关证据具有逻辑自洽性外,通常会以行为人实施违背常识、常情、常理的反常行为进行推定明知,例如接到举报却不作为,经监管部门告知后仍不整改等等。

因此,面对如此严竣的监管环境,从事数据业务尤其从事互联网金融、大数据报备、电子商务等业务的企业,应在配合监管调查和积极进行自我披露的基础上,将数据保护方面的合规计划作为企业合规管理的重点领域,唯有如此,才能堵塞制度漏洞,识别合规风险,防患于未然!

三、数据保护合规计划的要点。

合规的生命在于行之有效。很多企业在未意识到合规危机存在时,通常制定的合规计划多属于“大而全”的合规计划,涵盖经营、反垄断、反不正当竞争、员工权益保护、反商业贿赂等各领域。这类合规计划其实务虚成份更多,既不能防范合规风险,而当风险真正来临,又因无法认定为有效的合规计划而不能及时止损、无法实现避免行政监管和刑事处理的责任。笔者认为,有效的合规计划至少应具备以下要点:

1.从《网络安全法》、《数据安全法》、《反垄断法》、《反不正当竞争法》及《刑法》等多维度对数据合规工作进行部署,制定专门的数据保护合规政策,将数据保护的要求嵌入公司的各项业务流程中;

  1. 制定员工行为准则,对员工定期进行数据保护合规培训,实施合规承诺,确保每一名员工和合作伙伴准确理解数据保护合规的要求,严格执行数据保护的制度和流程;

3.在获取、保存、提供个人信息和其他数据过程中,确保有实质性信息安全管理保障措施的落地;

  1. 重视与合作伙伴或第三方的尽职调查,防范因上游数据提供方和下游数据使用方的不合规风险。

建立合规计划虽然在短期内可能为企业增加一部分数据合规成本,但在崭新的数据监管时代,长远来看,有效的合规计划不仅可以从主观上表明企业具有高度重视数据安全保护的态度并采取了实质性措施,还能在违规行为发生之后,或者由违规行为引发的危机出现后,企业能及时展开内部合规调查,清晰界定企业责任与员工责任、企业责任与第三方责任。这对于企业探索合规治理与业务发展相平衡的最佳实践,在市场竞争中增强自身竞争力、实现可持续发展具有积极影响。

搜索