北京瀛和律师事务所 知识产权中心主任 赵礼杰
数据强监管下的严峻形势
数据治理是全球性的新问题,中国作为数字经济大国,近两年数据治理与数据合规问题备受关注,如今数据安全不但关系到社会民生,更是关乎国家安全的大事。
赵礼杰首先列举了近几年发生的五大数据泄露案例:
- 案例1、2021年8月23日,阿里云泄露用户信息被责令整改;
- 案例2、2021年7月2日,滴滴被网信办启动网络安全审查,ipo仅两天,暂停新用户注册;
- 案例3、2021年7月5日,运满满、货车帮、boss直聘被网络安全审查;
- 案例4、2019年2月,深网视界的数据泄露事件,共有超过250万人的数据信息被泄露;
- 案例5、2018年,某数据企业员工转卖个人信息刑事案件。
“通过以上案例可以看出,数据合规治理对于所有涉及到数据处理的企业,都是非常重要的一件事儿。”赵礼杰强调:“数据合规治理与企业的合法、可持续运营直接相关。”
数据合规涉及的主要法律问题
- 1. 数据安全,与每个企业相关;
- 2. 隐私和个人信息保护,与企业的运营直接相关;
- 3. 数据权属和数据资产,涉及到作为数据采集的自然人有哪些权利,以及如何开发和利用数据的问题;
- 4. 数据垄断和不正当竞争,某些头部企业拥有大量数据,是否涉及反垄断问题?通过爬虫技术爬数据,是否属于不正当竞争行为?
- 5. 个人信息和重要数据出境;
- 6. 征信。
中国数据领域的三部基础法律
中国数据领域的三部基础法律分别是2017年6月1日实施的《网络安全法》,2021年9月1日实施的《数据安全法》,以及2021年11月1日实施的《个人信息保护法》。
《数据安全法》的监管对象是数据处理活动,它不像《网络安全法》只关注网络空间,对于非网络空间的数据也要进行监管,对所有数据都进行保护。《数据安全法》涉及到很多关键事项,例如数据安全标准体系的建设、数据的分类分级保护、数据跨境流动监管、数据安全风险预警机制及应急处理机制等。
《个人信息保护法》更关注自然人的个人信息,对个人信息的范围进行新的界定,确立了个人信息的基本处理原则,对个人信息的主体权利做出了明确规定,并且明确规定了个人信息处理者的义务。
《数据安全法》要点解读
《数据安全法》第21条中需要重点关注的三个要点:
一是明确规定国家建立数据分类分级保护制度。对应的企业应当按照数据分类分级保护制度,依据所处行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
据赵礼杰介绍,目前很多头部企业已经在进行数据的分类分级,部分头部企业的分类分级比法律现有的分类更加精细,而一些成长型的企业尤其是创业型公司并没有做到数据的分类分级。《数据安全法》9月1日起实施,企业数据分类分级已经是刻不容缓的事。
二是国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。国家对重要数据的监管会非常严格,尤其是对数据出镜的监管,重要数据出镜必须经过审查。以前,很多大型企业的研发中心设在境外,可以直接将数据传到境外用于新产品的研发。如今,大家习以为常的数据处理方式可能就是违法犯罪。是否违法,还需要根据业务内容以及数据的重要程度与法务团队深入研究。
三是关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。针对这一点,企业在开展业务的过程中是否会涉及到这些数据?安全凯发k8国际首页登录的解决方案供应商在为相关政府部门提供服务时,是否会接触到这些数据?《数据安全法》落地过程中,所有法律条文明确后,企业需要提前准备,及时调整业务模式,防范可能长期存在的法律风险。
《数据安全法》第27条中规定了数据安全保护义务:
这是《数据安全法》中的核心内容。第27条规定:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
赵礼杰表示:企业在数据处理的整个生命周期中,从数据的采集、存储、处理到删除,要经过很多处理流程,企业需要考虑是否建立了完善的全流程数据安全管理制度,没有建立的企业需要尽快落实。数据安全教育培训和相关的技术措施等也要跟上。
另外,第27条规定:重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
这里强调如果处理重要数据,需要明确一个安全负责人和管理机构,尽到数据安全保护义务。刑法中如果企业单位犯罪,直接责任人可能会遭受刑事处罚,数据安全负责人是否是直接责任人?赵礼杰表示这是一个新的概念,目前还没有实际案例,但是从法理的角度分析,应该是对应关系,而且直接责任人不只限于数据安全负责人,还包括管理机构中的其他人。
《数据安全法》第45条规定需要承担的法律责任:
开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
从以上法律条文来看,不仅有对企业的处罚,还包括直接负责的主管人员以及其他责任人员的处罚。对于公司而言,违反《数据安全法》不仅会被行政处罚,还可能涉及暂停相关业务、停业整顿、吊销相关的许可证或者吊销营业执照,处1000万元以下罚款,构成犯罪的要依法追究刑事责任。
第45条中尚未列出数据出镜的相关处罚,赵礼杰表示,对数据出镜的处罚会更加严格。
《个人信息保护法》要点解读
《个人信息保护法》第24条关于大数据杀熟的相关规定: 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
《个人信息保护法》第28条关于个人敏感信息的相关规定:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
第28条第二款规定:只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。也就是说,按照《个人信息保护法》的规定,企业以前处理的某些信息,现在可能不能再继续处理了,或者需要评价是否符合处理的必要性,而且需要区分普通个人信息和敏感个人信息,包括获取个人信息的弹窗提示都需要调整。
《个人信息保护法》第29条规定:处理敏感个人信息应当取得个人的单独同意。例如,人脸识别中的人脸信息采集,属于生物识别信息,以前的常规做法是将人脸采集的相关协议放在整个用户协议中加粗显示,如今需要单独在弹框中显示采集的用途,并且征求个人同意。涉及到app的企业尤其是相关技术专家、cio,需要针对弹窗设置及用户体验等因素综合考虑如何调整。
《个人信息保护法》第52条规定:处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。这里的个人信息保护负责人与《数据安全法》中的负责人是同一概念,在很多场景下,这个负责人就是cio,因此cio要尽到相关的法律责任,尽量做好防控措施。
《个人信息保护法》第66条规定了需要承担的法律责任,在此不再详细展开。
数据与个人信息相关刑事责任
随后,赵礼杰律师分析了与其相关的两个《刑法》中的法律条文。
《刑法》第253条之一的侵犯公民个人信息罪,与《个人信息保护法》中提到的刑事责任相对应。
第253条规定:向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
《刑法》第286条规定:网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播的;致使用户信息泄露,造成严重后果的;致使刑事案件证据灭失,情节严重的;或有其他严重情节的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。
企业的数据合规开展建议
赵礼杰律师陈述了企业开展数据合规工作的基本流程。
首先是尽职调查,调查范围包括:
- 1. 数据相关商业模式/业务内容的调查分析;
- 2. 获得数据的授权情况;
- 3. 与第三方签订的全部数据合作协议;
- 4. 现行数据内部管理制度调查。
其次是问题分析与合规方案制定。针对尽职调查结果,进行合规性分析和法律风险分析,并相应制定合规方案。
最后是合规方案实施与持续优化:
- 1. 数据授权文件优化;
- 2. 数据流控制和优化;
- 3. 数据跨境评估;
- 4. 数据分类处理;
- 5. 数据管理制度完善。
针对企业数据合规工作的实操建议
- 1、建立健全的数据合规机构和负责人;
- 2、在企业全员范围内培育数据合规文化;
- 3、建立基于业务的数据合规机制和制度;
- 4、基于数据处理全生命周期进行数据合规;
- 5、主动推进数据合规工作并持续优化;
- 6、重点关注与防控高危数据合规风险。
总结
数据强监管时代已经到来,做好数据合规是企业良性发展的必由之路。赵礼杰律师建议那些有远见的cio,应当格外重视数据合规,并将可能涉刑的合规事项作为数据合规的重中之重。