——引 言——
前不久�����,短視頻巨頭TikTok首席執(zhí)行官出席美國國會眾議院能源和商務委員會聽證會�,凸顯出數據安全成為中美兩國博弈間的重要性。如果TikTok在中國�,它會面臨什么樣的數據合規(guī)風險呢?
數據被譽為“新時代的石油”�����,是基礎性資源和戰(zhàn)略性資源���,也是重要生產力��。數據作為新型生產要素���,是數字化�����、網絡化����、智能化的基礎��,已快速融入生產��、分配�����、流通��、消費和社會服務管理等各環(huán)節(jié)����,深刻改變著生產方式����、生活方式和社會治理方式���。是發(fā)展數字經濟的關鍵生產要素����,促進實體經濟與虛擬經濟融合的關鍵資源���,也是推進國家治理現代化的關鍵要素。
目前在數據合規(guī)領域����,國家已經形成了以《刑法》和《民法典》等法律為基礎,以《網絡安全法》《個人信息保護法》《數據安全法》三部法律為核心��,以網信部門以及各中央部門專門法規(guī)和規(guī)章為支持的系統化�����、體系化監(jiān)管格局�����。
隨著相關細則的不斷更新,企業(yè)數據合規(guī)的風險也越來越大��,本文簡要分析企業(yè)在數據收集���、數據使用以及數據存儲與刪除三階段的合規(guī)和法律風險及相關責任�����,并對企業(yè)在數據合規(guī)體系建設方面提出一點建議�����。
——探 討——
相關概念與定義
數據與信息
企業(yè)要做數據合規(guī)����,首先得了解什么是數據���?數據與信息到底有什么區(qū)別�?
一般理解認為數據僅僅是數字組合����,這種理解并沒有觸及數據的本質?�!皵祿ㄓ⒄Z:data)又稱資料,是通過觀測得到的數字性的特征或信息�����?�!边@是維基百科上對數據的定義�。也有人認為數據就是對客觀事實的描述或是我們通過觀察、實驗或計算得出的結果����。
這些專業(yè)的解釋或許都有不同的視角,但也說明關于數據的概念目前還缺乏共識��,而企業(yè)數據合規(guī)需要依據法律定義作為標準��。
《數據安全法》第三條對于數據有以下定義:數據是指任何以電子或者其他方式對信息的記錄�。
《個人信息保護法》第四條對個人信息的界定:個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息�����,不包括匿名化處理后的信息���。
結合兩部法律關于數據與信息的定義�����,從文本邏輯上理解��,數據就是信息的載體�����,數據可能是雜亂無序的�����,只有數據中那些有用的內容才能稱之為信息�����。
所以說數據雖然是信息化時代出現的概念���,但不是現代才有的事物����,人類自誕生以來就已經在用各種方式記錄數據�����,從最早的結繩記事,到文字圖畫�����,再到如今的數字數據�����。隨著電子傳感器的發(fā)展����、數據數字化和計算機的發(fā)明,現在世界上每年產生的數據量超越了以前千年的量級��。
企業(yè)要明白���,數據合規(guī)關注不只是網絡領域的數字數據����,像類似于用戶信息登記表�、員工信息登記表�,設計圖紙之類的非電子記錄信息同樣是數據合規(guī)關注的對象。
重要數據�����、核心數據、一般數據
數據概念的外延如此之廣�,是不是企業(yè)要對每一條數據都有一樣的合規(guī)要求?
并不是這樣的�����?�!稊祿踩ā返诙粭l第一款規(guī)定:國家建立數據分類分級保護制度���,根據數據在經濟社會發(fā)展中的重要程度��,以及一旦遭到篡改����、破壞�����、泄露或者非法獲取���、非法利用���,對國家安全��、公共利益或者個人���、組織合法權益造成的危害程度,對數據實行分類分級保護��。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄��,加強對重要數據的保護���。
《數據安全法》雖然規(guī)定了數據分級保護制度�,提到了“重要數據”的概念���,但是對于什么是“重要數據”����,如何分級保護并沒有詳細規(guī)定�����。
2021年11月14日���,國家網信辦發(fā)布《網絡數據安全管理條例(征求意見稿)》��,作為行政法規(guī)���,該征求意見稿明確了“重要數據”的定義。
《網絡數據安全管理條例(征求意見稿)》第五條將數據按照對國家安全�����、公共利益或者個人�����、組織合法權益的影響和重要程度����,分為一般數據、重要數據���、核心數據����。國家對個人信息和重要數據進行重點保護,對核心數據實行嚴格保護�。
其中重要數據是指一旦遭到篡改、破壞����、泄露或者非法獲取、非法利用�����,可能危害國家安全��、公共利益的數據�。核心數據是指關系國家安全、國民經濟命脈�����、重要民生和重大公共利益等的數據�。除此之外則屬于一般數據。
《網絡數據安全管理條例(征求意見稿)》列舉了7大類重要數據�,但企業(yè)掌握的數據到底是否屬于是重要數據,2022年《信息安全技術 重要數據識別指南(征求意見稿)》可以作為指引����。
但這兩份法律文件都還是在征求意見階段���,最終版本是否會有所變動還需要看征求意見的結果�。但是對于企業(yè)而言,在數據分級保護上應當秉持從嚴原則����,重要數據并非是靜態(tài)概念,而是動態(tài)變化的����。
個人信息與敏感個人信息
在數據安全領域,個人信息或者說個人數據是其中最特殊的一部分�����,有部分數據分類的概念就依據數據來源的不同�,將數據分為個人數據和非個人數據。
《歐盟通用數據保護條例》第4條第1款規(guī)定���,如果根據該數據可以直接或者間接的識別一個人��,那么該數據就屬于個人數據�。中國《個人信息保護法》的定義與此類似�����,但這種定義都過于簡略。
關于個人信息的定義����,《民法典》第一千零三十四條則有比較詳細的規(guī)定:個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名��、出生日期�、身份證件號碼、生物識別信息�����、住址��、電話號碼�、電子郵箱、健康信息���、行蹤信息等���。
《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第一條也沿用這個定義��。
《個人信息保護法》第二節(jié)在個人信息一般處理規(guī)則之外,單獨規(guī)定了敏感個人信息的處理規(guī)則��。
《個人信息保護法》第二十八條規(guī)定:敏感個人信息是一旦泄露或者非法使用��,容易導致自然人的人格尊嚴受到侵害或者人身����、財產安全受到危害的個人信息�,包括生物識別、宗教信仰���、特定身份���、醫(yī)療健康、金融賬戶�、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息���。
敏感個人信息比《民法典》當中關于個人隱私既有重疊�,但也有不同之處����。隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間����、私密活動���、私密信息�。私密信息自然屬于敏感個人信息�����,但私密空間與私密活動顯然不是�����。
數據全生命周期
相關法律風險及責任
數據全生命周期指的是數據從生成到銷毀的整個生命周期�,包括數據采集、數據存儲���、數據處理���、數據傳輸、數據交換�����、數據銷毀?��?偨Y下來其實就是數據的三個階段:數據收集階段����、數據使用階段����、以及數據存儲與銷毀階段����。
在不同的階段,數據合規(guī)會面臨不同的風險���,也涉及不同的責任�����。
數據收集階段的數據合規(guī)風險
《數據安全法》第三十二條規(guī)定:任何組織�����、個人收集數據��,應當采取合法���、正當的方式�,不得竊取或者以其他非法方式獲取數據�。
數據收集階段是數據合規(guī)風險管理的起點,合法��、正當地收集數據也是后續(xù)數據使用的基礎�����。數據收集的方式按取得的直接程度一般可分為三種:
第一方數據:為己方單位自己和消費者�、用戶、目標客群互動產生的數據�,如企業(yè)搜集的顧客交易數據、追蹤用戶在APP上的瀏覽行為等�����;
第二方數據:通常來自于第一方�,通過共享或采購第一方數據;如平臺企業(yè)開通API接口�。
第三方數據:提供數據的來源單位,并非產出該數據的原始者,該數據即為第三方數據����。如威科先行等法律數據庫,其數據來源來自于國家單位�。還有一些單位通過網絡爬蟲技術獲取的數據,也屬于第三方數據����。
數據收集階段,根據不同的情況�,可能涉及民事責任、行政責任以及刑事責任��。
1. 民事責任
在數據收集階段���,民事責任最大的風險來源是收集個人信息。稍有不注意就可能侵犯個人隱私����,需要承擔相應的民事責任,包括賠償損失��、賠禮道歉�����、消除影響等。
《民法典》第一千零三十五條規(guī)定����,處理個人信息的,應當遵循合法�、正當、必要原則��,不得過度處理��。
《個人信息保護法》當中確立了個人信息處理“知情-同意”原則���,對于敏感個人信息還需要單獨同意����。處理個人信息侵害個人信息權益造成損害��,個人信息處理者不能證明自己沒有過錯的���,應當承擔損害賠償等侵權責任��。
數據收集過程當中�����,利用網絡爬蟲技術收集數據�����,違反爬蟲規(guī)則���,還可能涉及《反不正當競爭法》的相關規(guī)定�。
某點評訴某度一案
(2016)滬73民終242號
上海知識產權法院認為:某點評網上用戶評論信息是漢某公司付出大量資源所獲取的�,且具有很高的經濟價值,這些信息是漢某公司的勞動成果�����。某度公司未經漢某公司的許可����,在其某地圖和某知道產品中進行大量使用,這種行為本質上屬于“未經許可使用他人勞動成果”���。
對于非公開數據的網絡抓取,極有可能涉及侵犯他人商業(yè)秘密�����,進而違反《反不正當競爭法》第九條的規(guī)定。
2. 行政責任
《網絡安全法》《個人信息保護法》以及《數據安全法》及其配套的法律法規(guī)��,規(guī)定了詳細的企業(yè)數據監(jiān)管措施���,違反這些措施可能需要承擔相應的行政責任�。
如過度收集個人信息�����,收集個人信息應當遵循合法��、正當�、必要的原則,不收集與所提供服務無關的個人信息��。對強制�、過度收集個人信息,未經消費者同意����、違反法律法規(guī)規(guī)定和雙方約定收集、使用個人信息��,發(fā)生或可能發(fā)生信息泄露、丟失而未采取補救措施���,非法出售�����、非法向他人提供個人信息等行為��,按照《網絡安全法》《消費者權益保護法》等依法予以處罰�,包括責令App運營者限期整改����;逾期不改的,公開曝光��;情節(jié)嚴重的��,依法暫停相關業(yè)務�����、停業(yè)整頓����、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照。
2022年7月21日�,國家互聯網信息辦公室(以下簡稱網信辦)依據《網絡安全法》《數據安全法》個人信息保護法》及《行政處罰法》等法律法規(guī),對A全球股份有限公司處人民幣80.26億元罰款��,對A全球股份有限公司董事長兼CEO程某���、總裁柳某各處100萬元人民幣罰款��。在國家網信辦披露的A涉及的16項違法事實中�����,包括過度收集個人信息���、強制收集敏感個人信息、App頻繁索權���、未盡個人信息處理告知義務����、未盡網絡安全數據安全保護義務等多種情形��,大部分是在數據收集階段出現的��。
3. 刑事責任
根據數據所表達的信息不同,違反相關國家規(guī)定所涉及的刑事責任也將不同�����。
數據收集合規(guī)風險產生的刑事責任比較直接是《刑法》第二百五十三條之一侵犯公民個人信息罪�����。違反國家有關規(guī)定����,向他人出售或者提供公民個人信息,情節(jié)嚴重的���,處三年以下有期徒刑或者拘役���,并處或者單處罰金;情節(jié)特別嚴重的�����,處三年以上七年以下有期徒刑��,并處罰金。侵犯公民個人信息罪同樣也是單位犯罪�����,單位犯此罪�����,單位以及直接負責的主管人員和其他直接責任人員都將被科以刑罰�。
而除直接侵犯公民個人信息罪之外���,在數據收集的過程當中���,如果采用非法采用爬蟲技術收集數據,則可能涉嫌違反《刑法》第285條規(guī)定的非法侵入計算機信息系統罪�����、非法獲取計算機信息系統數據���、非法控制計算機信息系統罪��。
如果收集到的數據涉及國家秘密或者商業(yè)秘密���,則有可能涉嫌非法獲取國家秘密罪或者侵犯商業(yè)秘密罪�。假設數據是他人擁有著作權的信息����,則可能違反侵犯著作權罪。數據使用階段的數據合規(guī)風險
數據使用階段是指企業(yè)或相關單位在數據收集完成之后�����,進行數據清理與分析�����,用于共享�、交易、決策等等活動���。在這一階段的合規(guī)風險與法律責任也包括三個方面��。
1. 民事責任
數據使用階段最典型的違規(guī)行為是“大數據殺熟”�����?��!按髷祿⑹臁敝傅氖腔ヂ摼W平臺基于用戶數據����,使得同樣的產品或服務��,老用戶看到的價格反而比新用戶高出許多的“價格歧視”行為���。
“大數據殺熟”可能違反《消費者權益保護法》第10條規(guī)定的“消費者享有公平交易的權利”以及第16條第三款中“不得設定不公平、不合理的交易條件”的禁止性規(guī)定����。根據《消費者權益保護法》第40條規(guī)定,侵犯消費者的合法權益���,消費者可以向經營者銷售者要求賠償����。
如果未經用戶同意共享或者出售用戶個人信息����,也侵犯了公民個人權益,需要承擔相應的民事責任����。
2. 行政責任
在數據使用階段違反《網絡安全法》《個人信息保護法》以及《數據安全法》的相關監(jiān)管措施����,也需要承擔相應的行政責任�����。但是在這三部核心監(jiān)管法律之外���,數據使用階段也可能實際其他行政責任�。
如前面提到的“大數據殺熟”�,如果平臺具備壟斷地位或者市場支配地位,利用大數據優(yōu)勢����,可能構成《反壟斷法》第17條規(guī)定的濫用市場支配地位的壟斷行為。根據《反壟斷法》第47條的規(guī)定���,經營者可能面臨承擔銷售額百分之十以下罰款的風險����。
3. 刑事責任
在數據使用階段�����,根據行為的不同也可能涉及不同的刑事責任。如利用算法精準推薦違法信息廣告����,明知廣告發(fā)布者從事網絡犯罪,就可能涉及幫助信息網絡犯罪活動罪�。
比如利用網絡開設賭場,涉嫌開設賭場罪��,如果企業(yè)利用獲取的數據��,借助算法精準推送給潛在賭客�,明知是網絡犯罪還繼續(xù)發(fā)布廣告屬于幫助信息網絡犯罪活動罪����,如果從中直接獲利則可能屬于開設賭場罪的共犯。
而如果在數據使用階段���,因為不公開的信息而獲利����,則可能涉及內幕交易罪�。
實際上由于數據概念的范圍極廣����,有許多犯罪活動或多或少都涉及到數據處理和適用違規(guī)����。數據存儲與刪除
數據存儲與刪除階段主要涉及存儲地點、存儲時間以及刪除義務�����。
數據存儲合規(guī)重點在于本地化存儲的數據�����,即哪些數據需要存儲在境內�。
《網絡安全法》第三十七條規(guī)定,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲�����。
2017年國家網信辦發(fā)布的《個人信息和重要數據出境安全評估辦法(征求意見稿)》當中���,對于本地化存儲的數據范圍進行了擴大��,為“網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據”�����。
2019年國家網信辦發(fā)布《個人信息出境安全評估辦法(征求意見稿)》����,實際取代了前一份文件內容,個人信息不再要求境內存儲�。但這兩份文件都沒有正式實施,但境內存儲依然是數據存儲的原則���。
《個人信息保護法》則明確了境內存儲的原則����,第三十六條和第四十條分別規(guī)定國家機關處理的個人信息以及關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規(guī)定數量的個人信息處理者�����,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內�。
《數據安全法》第三十一條關于關鍵信息基礎設施運營者收集和產生的數據存儲要求與沿用了《網絡安全法》的規(guī)定�,但是同時規(guī)定“其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定�。”實際等于將境內存儲原則擴大到所有“在中華人民共和國境內運營中收集和產生的重要數據”���。
關于存儲時間和刪除義務則是指按照相關規(guī)定�����,數據有最長存儲期限�����,以及公民個人取消同意�,要求數據處理者刪除數據,相關數據處理者要及時刪除數據��。
《個人信息保護法》第二章詳細規(guī)定了個人在個人信息處理活動中的權利�����,在數據存儲和刪除階段�����,個人請求查閱�、復制其個人信息的,個人信息處理者應當及時提供���。個人發(fā)現其個人信息不準確或者不完整的�,有權請求個人信息處理者更正、補充���。自然人死亡的���,其近親屬為了自身的合法、正當利益����,可以對死者的相關個人信息行使本章規(guī)定的查閱、復制�、更正、刪除等權利����。數據處理者如果不履行義務則需要承擔相應的民事責任。
而同樣的�����,數據處理者如果違反了國家相關規(guī)定的存儲原則���,出境審查要求等等,也需要承擔相應的行政責任��。
《數據安全法》第二十七條規(guī)定,開展數據處理活動應當依照法律����、法規(guī)的規(guī)定,建立健全全流程數據安全管理制度��,組織開展數據安全教育培訓����,采取相應的技術措施和其他必要措施,保障數據安全��。數據處理者有義務按照網絡安全管理的要求���,確保數據存儲環(huán)境的安全��,如果拒不履行網絡安全管理的義務���,經監(jiān)管部門責令采取改正措施而拒不改正,致使違法信息大量傳播的或者用戶信息泄露��,造成嚴重后果的以及刑事案件證據滅失�,情節(jié)嚴重的等情形,則涉嫌拒不履行信息網絡安全管理義務罪。
如果企業(yè)財務結算使用會計電算化系統���,電子信息是唯一的財務信息記錄載體��,不當刪除這些數據�����,則可能涉及隱匿�����、故意銷毀會計憑證�����、會計賬簿��、財務會計報告罪�����。
——結 語——
隨著國家數據局的組建���,數據安全下的監(jiān)管措施必然會密集出臺���,企業(yè)的數據合規(guī)的實操也會越來越明晰��。數據監(jiān)管要權衡安全與發(fā)展的需要����。
《數據出境安全評估辦法》以及即將實施的《個人信息出境標準合同辦法》,都表明了國家在數據發(fā)展方面的開放態(tài)度���。在這種趨勢之下����,企業(yè)該如何做好合規(guī)體系建設呢�?
第一、企業(yè)需要有數據合規(guī)的意識�,并且在決策層、管理層以及全體員工層面加強合規(guī)意識����。合規(guī)屬于企業(yè)內部治理的重要內容,既要有內部控制的措施�����,但同時更需要內心控制的約束。
第二��、企業(yè)應該建立相應的部門以及制度�����,及時收集法律以及監(jiān)管措施的變化����,對照要求合規(guī)操作。如數據分級分類制度�����、風險監(jiān)測和評估制度以及培訓制度等
第三����、必要時,企業(yè)在業(yè)務開展中及時引入數據合規(guī)法律顧問等專業(yè)第三方����,利用外部專業(yè)資源,有針對性地根據不同應用場景��,為企業(yè)設計制定數據合規(guī)的方案��。
免責聲明:本文僅為分享、交流�、學習之目的,不代表恒都律師事務所的法律意見或對法律的解讀�����,任何組織或個人均不應以本文全部或部分內容作為決策依據�����,因此造成的后果將由行為人自行負責���。
