查看原文
其他

《数据安全法》立法组专家支振锋:警惕财务系统成为数据安全风险口

支振锋 司法兰亭会 2022-10-02

(感谢南开大学法学院校友安尧题字)


支振锋 | 中国社会科学院法学研究所研究员、中国社会科学院大学长聘教授,《环球法律评论》杂志副主编。国家万人计划“青年拔尖人才”,博士生导师。

发表于《环球时报》2020年7月17日第15版,来自支教授公众号“中国法治评论”。 感谢支教授授权“司法兰亭会”推送此文。


过度收集个人信息,实际上增强了本单位网络安全和数据安全风险防控的义务,将本单位相关主管人员和财务人员置于高度的法律风险之中。


个人信息是网络数据的主要来源。无论是涉及国家社会安全的数据,还是关于经济社会生活的数据,往往可以还原为个人数据。特别是以ABCDE(人工智能、区块链、云计算、数据科技和边缘计算)为代表的新型信息技术与经济社会生活深度融合,不仅产生了海量数据,还形成了以数据为驱动的新业态新模式新经济。围绕个人信息,既形成了一系列关于开发利用的技术、标准和规制体系,也导致了个人数据非法售卖、网络黑灰产、网络诈骗、侵犯个人隐私等大量网络违法犯罪情况的产生。

个人信息在数据活动的各个环节都可能被泄露,但作为“入口”的搜集环节极其关键。从既往情况看,政务、金融、教育、电信、交通、物流、房产中介等行业,易于存在较大信息系统及安全漏洞。但中国社会科学院法学研究所《网络法治蓝皮书》项目组的最新研究发现,各单位的财务系统有可能正在成为个人信息和数据安全保护新的风险点不该收集个人信息的场合进行信息收集,在收集个人信息时擅自扩大范围,收集很多不必要的个人信息,再加上网络安全观念淡薄、数据安全保护制度和措施缺位,是当前我国各类单位财务系统较为普遍的状况,隐患巨大

近年来,我国单位财务制度有显著变化,在信息化、规范化和网络化上有很大进步。一方面,“无现金”财务得到普及,绝大多数单位都改变了大量现金收支的状况,无论是工资发放、差旅和办公用品报销以及劳务费发放,都采取转账方式,促进了单位管理流程的严谨和规范,很好地控制了大量现金交易的安全风险以及虚支冒领等财务风险;另一方面,数字化和网络化取得长足进步,单位财务与银行、税务系统等在很大程度上能够实现实时的数据交换,尽享互联网发展红利。但问题在于,信息化、数字化、网络化和规范化的财务制度,在很大程度既依赖于网络设施,也依赖于个人信息的广泛收集,存在高度风险

在高度信息化、数字化和网络化的财务制度下,除了本单位员工的工资发放、财务报销之外,向外单位购买商品和服务一般也都要进行银行转账。召开论证会后支付专家费、请外部计算机技术人员编写一段代码或程序,甚至某些时候雇用临时工,在支付专家费或劳务费时,一般都需要搜集对方身份、账号等信息。这中间,只要做好信息储存和保护,有些信息的收集是必要的。但许多单位财务为了“严谨”和“规范”,还要搜集对方工作单位、职务、职级甚至身份证和银行卡的正反面扫描件与照片等信息,就不仅涉嫌违法,还导致巨大的数据安全风险

一方提供商品或劳务,另一方支付费用,法律关系原本很简单。财务系统在必要范围之外收集个人信息,主要出于自身的财务风险防控。但问题在于,过度的个人信息收集,一方面等于将自身财务风险防控的负担不适当地转嫁给他人;另一方面,实际上增强了本单位网络安全和数据安全风险防控的义务,将本单位相关主管人员和财务人员置于高度的法律风险之中。因为,无论是《网络安全法》,还是发布不久的最新《信息安全技术 个人信息安全规范》国家标准,以及其他相关法律法规,都对个人信息收集做了较为严格的规定。构成犯罪的,刑法也有的规定。

个人信息和数据泄露已经成为社会公害。2019年,网络犯罪分子在美国暴露了超过50亿条数据记录,导致1.2万亿美元的损失。谷歌近期因个人数据处理不当被法国处罚5000万欧元。就在这个背景下,今年5月份国外还有一家成人视频网站泄露高达108亿条数据,包括7TB的名称、性取向、付款记录、电子邮件和聊天记录,其中涉及50万名中国用户。更讽刺的是,3月份,一家英国安全公司竟然也泄露了55亿条记录。

但“内鬼”是个人信息泄露的重要渠道。2016年以来,我国公安机关重拳出击,已侦破侵犯公民个人信息案件1.7万余起,抓获各行业内部人员3000余名。仅在2019年,警方就破获侵犯公民个人信息类案件5000余起,抓获“内鬼”900余名。在这个背景下,财务系统不合理、甚至非法地过度收集个人信息,不仅可能会导致公民敏感信息泄露,还将本单位置于高度的网络安全和数据安全法律风险之中,应该成为一个值得各方面高度警惕的重大隐患。

随着《数据安全法(草案)》6月28日在全国人大常委会初次提请审议,社会各界对互联网信息时代数据安全的重要性又有了新的认识。人们期待,在《网络安全法》之后,《数据安全法》和《个人信息保护法》能尽快出台,从而以总体国家安全观为指导,尽快形成个人信息与重要数据保护的“高压线”和“护城河”。

以下点击可读:

王兆峰、高洁、孙坤铭、刘妍妍:《数据安全法》的多维、专业、细分解读

王兆峰:从民营企业视角看刑事合规的作业路径

小包公“企业合规大师”新增八大智慧功能 | “小包公”产品矩阵新成员

刑事合规与民事诉讼法修正研讨 | 天津诉讼法2021年年会

合规系列 | 杨含青:康美药业案—上市公司刑事合规风险知多少?

合规系列 | 毛立新:合规不起诉制度构建与律师的作为

新媒首发 | 谢登科、张赫:论刑事合规不起诉中的检察建议——以高检院81号指导性案例为视角

合规真实案例 | 云安团队对某地产公司刑事风险控防

合规系列 | 陈文海:经济纠纷还是合同诈骗?—从一起成功无罪辩护看刑事合规

合规系列 | 宋雷昌等:企业家如何避免“牢狱之灾”——企业刑事合规与危机管控

高显嵩、李敦、朱桐辉:《个人信息保护法》与《汽车数据规定》中的关键技术与规则 | 电子证据与网络法讲坛第四期

冯聪:智能汽车、后视镜的数据取证及车载互联系统的安全管控


编辑 | 南开大学法学院副教授、北京赛博威锋司法鉴定(电子数据鉴定)中心顾问  朱桐辉

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存