【观点】从上海首例数据合规不起诉案件谈互联网数据合规安全问题
一、
案情介绍
近日,上海检察公开了上海市首例数据合规案件的办案手记。涉案企业Z公司是一家为本地生活商户提供数字化转型服务的互联网大数据公司,在未经授权许可的情况下“爬取”外卖平台数据,因涉嫌非法获取计算机信息系统数据罪而被公安机关调查。办理过程中,普陀区人民检察院经过深入调查,发现Z公司虽然存在利用“爬虫”技术手段获取数据的行为,但这些数据并未涉及身份认证信息,且没有二次兜售谋利行为,犯罪情节较轻,加之涉案人员均认罪认罚且被害公司经济损失已得到赔偿,遂依法启动了涉案企业合规考察。
4月28日,普陀区人民检察院召开了线上公开听证会,听证员、公安机关、第三方组织、被害单位等参与听证各方一致同意了检察机关对涉案人员作出不起诉处理。
二、
整改过程
自最高检启动涉案企业合规改革试点工作以来,截至到2022年5月,各地检察机关共办理涉企业合规案件已有上千件。Z公司合规案件作为上海市甚至全国范围内首例数据合规案件,为互联网涉案企业适用合规不起诉制度奠定了一个良好的基础。当然,Z公司能够成功适用合规不起诉制度除了检察机关一路的有效引导之外与其自身也有着密不可分的联系。
从企业资质来看,Z公司是一家坐落在创新园区的成长型科创企业,公司业务涵盖在线开店、市场营销等多项业务,拥有10余项计算机软件著作权,还曾被评为高新技术企业,拥有良好的资质。最高人民检察院曾发布过两批合规改革试点的典型案例,两批案例的涉案大多有着良好的资质,有的是高新技术企业,有的是拟上市公司,有的则是行业内龙头企业,部分企业还对当地经济、就业有着重大贡献。由此可见,企业的类型、综合实力以及社会贡献度等都是检察机关决定是否对其适用涉案企业合规制度的重要考量因素,Z公司的良好资质也是其能够成功适用合规制度的原因之一。
从整改意愿来看,Z公司自案发后一直与被害公司商谈赔偿事宜,在赔偿了被害公司的全部经济损失后获得了谅解,并向普陀区人民检察院提出合规不起诉的申请,具有较高的合规积极性。2021年6月3日, 最高人民检察院等九部门联合印发《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》(以下简称“指导意见”),其中第四条明确规定,对于同时符合下列条件的涉企犯罪案件,试点地区人民检察院可以根据案件情况适用本指导意见:(一)涉案企业、个人认罪认罚;(二)涉案企业能够正常生产经营,承诺建立或者完善企业合规制度,具备启动第三方机制的基本条件;(三)涉案企业自愿适用第三方机制。因此,企业的自愿性是适用涉案企业合规制度的前提条件。合规意愿越强的企业对于检察机关及第三方组织的配合度越高,也更容易实现“有效合规”。
从整改过程来看,普陀区人民检察院在收到Z公司的合规整改申请后,实地走访了Z公司,根据企业运营情况针对数据合规管理、数据合规风险识别与应对能力、数据合规运行等方面制发了合规检察建议,而后Z公司主要从以下几个层面开展了合规整改工作。
其一,Z公司根据检察建议进行自查,聘请外部专业律师团队量体裁衣制定科学的数据合规整改计划,并严格按照合规承诺推进;具体而言,Z公司在第一时间停止了违法行为,彻底销毁相关“爬虫”程序及源代码,对非法获取的涉案数据进行无害化处理,与相关平台签订数据交互协议,实现了从“爬取数据”到“以合法方式购买数据”的转变。
其二,Z公司听取检察机关的建议,着重加强了数据安全和合规文化建设。
其三,在网信部门的指导下,Z公司将所有正常运行的系统纳入区级态势感知平台,由平台提供实时安全扫描和漏洞检测,进一步提高数据合规能级;此外,还建立了数据合规长效机制,复制、移植和外卖平台的合作模式,与多家大型互联网企业达成数据合作。
从整改效果来看,由网信办、某知名互联网安全企业和产业促进社会组织人员等数据合规领域的专家组成的第三方组织全程监督了Z公司的整改工作,并于考察期满后出具了评估合格的考察报告。据悉,Z公司在整改过程中与被害公司之间签订了相关协议,在平台之间API数据接口完全直连,在数据来源合法化的基础上还探索出了全新的商业合作模式,受到了数据合规专家的一致好评。在整改期间,Z公司的分支机构在全国范围内稳步扩大,员工人数也实现了大幅增长,在企业整改的同时还促进了就业、繁荣了经济。而后在公开听证会上,参会人员一致支持对Z公司的不起诉处理。
为确保合规工作的常态化,时隔两个月,普陀区人民检察院对Z公司进行了回访工作。整改后的Z公司建立起了数据合规长效机制,将合法合规的数据交互合作模式应用到了与其他互联网公司的数据合作中。此外,公司也重视合规文化建设,除了在企业内宣传合规理念外,还向互联网同行分享合规经验,协助行业协会抵制黑灰产、制定行业规则,达到了“处理一件,教育一片”的目的,在实现自身守法经营的同时也为行业的长久健康发展添薪助力。
三、
数据安全刑事风险识别
近年来,国家对于数据安全愈发重视,2021年颁布的《中华人民共和国数据安全法》(以下简称《数据安全法》)也彰显了这一点。
《数据安全法》明确了数据相关的内容,其中第二条明晰了“数据”的含义:本法所称数据是指任何以电子或者其他方式对信息的记录。第三条规定:数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等;数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。至此,数据处理活动及安全监管的法律规制正式落地。
我国《刑法》中也规定了多个与数据有关的罪名,如非法侵入计算机信息系统罪、非法获取计算机信息系统数据、侵犯商业秘密罪、侵犯公民个人信息罪、帮助信息网络犯罪活动罪等。这些罪名大致可以分为三类:一是侵犯计算机系统类的犯罪,二是侵犯信息安全类的犯罪,三是与信息网络安全相关的犯罪。
1、侵犯计算机系统类
第一类犯罪行为主要发生在数据的收集阶段,体现在《刑法》的第285条及第286条,若采用侵入性手段通过计算机信息系统收集数据的,可构成非法侵入计算机信息系统罪(第285条之一)、非法获取计算机信息系统数据罪(285条之二)及提供侵入、非法控制计算机信息系统程序、工具罪(285条之三);若采用破坏性手段通过计算机信息系统收集数据的,则可能构成破坏计算机信息系统罪(第286条)。值得注意的是,《刑法》285条第1款规定的计算机系统是指国家事务、国防建设以及尖端科学技术领域的计算机信息系统,而第2款规定的则是除上述以外的其他计算机系统。
本案中,Z公司的首席技术官陈某和多名技术人员通过“外爬”“内爬”等技术手段非法获取某外卖平台数据造成被害单位经济损失,因涉嫌非法获取计算机信息系统数据罪而被调查。与此案相似的还有厦门F公司非法获取计算机信息系统数据案,F公司是一个以房屋租赁为主营业务的网络科技公司,自2018年开始持续“爬取”58同城网站的房屋数据,后在58同城增加反爬策略后,F公司使用破解验证码、绕开挑战登录等方式破解反爬取措施,非法获取房源数据造成58同城直接损失10万元,后被法院判定构成非法获取计算机信息系统数据罪。在互联网实践中,使用“爬虫”收集数据似乎变得越来越普遍,但违法获取计算机信息系统中存储、处理或者传输的数据,情节严重的则可能构成非法获取计算机系统数据罪。
2、侵犯信息安全类
第二种侵犯信息安全类的犯罪,主要发生在数据的收集及使用阶段,《刑法》根据数据的内容不同也做出了相应的规制。具体而言,若数据所载的内容为商业秘密,则可能涉嫌《刑法》第219条规定的侵犯商业秘密罪及为境外窃取、刺探、收买、非法提供商业秘密罪(第219条之一);若数据所载的内容为国家秘密、军事秘密的,则可能涉嫌《刑法》第282条规定的非法获取国家秘密罪、非法持有国家绝密、机密文件、资料、物品罪以及第431条规定的非法获取军事秘密罪等;若数据所载的内容为公民个人信息的话,则可能涉嫌《刑法》规定的侵犯公民个人信息罪(刑法第253条之一)。
本案中,检察机关最终认定Z公司“爬取”的数据并不涉及公民个人信息,若该数据内容符合个人信息的特征,则有可能构成侵犯公民个人信息罪。在公安部发布的2021年侵犯公民个人信息十大典型案例的第二个案例中,涉案公司利用多款外挂程序,通过系统接口漏洞,窃取酒店、燃气、医疗健康等33个网站后台公民个人数据信息3000余万条用于债务催收,最终就被认定构成侵犯公民个人信息罪。
3、其他与信息网络安全相关的
第三类为与信息网络相关的犯罪,主要发生在数据的存储及流转阶段。《数据安全法》第27条规定:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全;利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务;同时第52条明确了数据处理主体的刑事责任。企业对于其依法收集到的数据应当建立起完备的保护制度,以避免数据泄露、数据滥用等可能带来刑事风险的事件的发生。根据《刑法》的规定,网络服务提供者应履行相应义务开展数据处理活动而未履行的,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播的、用户信息泄露,造成严重后果的、致使刑事案件证据灭失,情节严重的或者有其他严重情节的,构成拒不履行信息网络安全管理义务罪(《刑法》第286条之一)。若行为人明知他人利用信息网络实施数据安全相关犯罪,而为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,则构成帮助信息网络犯罪活动罪(第287条之二)。
在全国首例电信运营商拒不履行信息网络安全管理义务案中,被告公司作为电信运营商,其在明知代理商违规大量贩卖电话卡、使用电话卡从事违法犯罪活动的情况下,仍源源不断为其提供大量电话卡,客观上为下游各类违法犯罪活动提供了便利,最终法院认定被告公司因明知下游代理商在从事违法行为而拒不履行其网络管理责任者的义务,涉嫌拒不履行信息网络安全管理义务罪被法依法判决。
四、
行业借鉴意义
对于Z公司此类的互联网涉案企业而言,卷入刑事案件对于企业可能产生致命性的影响,因此,合规不起诉也可被看作企业的救命稻草,利用好方可实现企业的“二次重生”。根据《指导意见》的规定,无论是民营企业还是国有企业,无论是小微企业还是上市公司,只要涉案企业符合上述三个条件,都可以适用该项制度。企业的发展潜力亦是检察机关的一大考量因素,在互联网经济如此发达的今天,发展前景良好的互联网企业适用合规不起诉制度有着天然的优势。根据《指导意见》的第三条,适用企业合规制度的包括经济犯罪、职务犯罪等案件,从最高检发布的典型案例以及司法实践来看,除了上述两类案件外,污染环境罪、重大责任事故罪以及此次Z公司涉嫌的非法获取计算机信息系统数据罪等罪名也逐渐纳入到了合规改革的范畴之中。此外,在互联网蓬勃发展的情况下,部分经济犯罪也会通过借助互联网实施,某些也可能涉及到数据安全问题。总而言之,对于有可能适用合规整改制度的企业而言,应牢牢抓住机会,积极配合检察机关的工作,争取在最大程度上实现合规不起诉。
如上所述,数据在收集、储存、使用、传输等过程中都存在着刑事法律风险,因此,对于未涉案的互联网企业而言,应居安思危,未雨绸缪,在日常经营过程中主动筛查法律风险,开展企业数据合规建设,确保企业守法经营。具体而言,可针对不同环节开展具体的数据合规工作。
1、数据的收集环节
在数据收集环节,除了确保数据来源合法外还要规范数据收集的技术手段,若收集的信息涉及到公民个人信息的,还应确保公民的知情权。此外,企业也可针对数据重要性程度建立起不同等级的审查制度,以免造成数据违规甚至触发刑事犯罪风险。
2、数据的储存环节
在数据的储存及流转方面,企业一方面应针对数据储存建立起积极的预防措施,并根据实际情况持续优化调整以提高对各数据储存漏洞防护的适应能力,另一方面建立起数据安全风险评估、报告、信息共享、监测预警机制,当发生数据安全事件时,能在第一时间启动应急预案并采取相应的应急处置措施。
3、数据的使用及处理环节
在数据的使用及处理方面,数据处理者应当采取严格的的保护错时确保其收集的数据安全性,防止泄露。同时严格限制在法定或用户协议约定的范围内使用,避免信息的后续不当使用所带来的刑事风险。
此外,企业也应在组织架构、风险识别及合规文化等方面进行相应的数据合规建设。在组织架构层面,企业可委派高管牵头建立起有效的数据合规管理组织架构,由上而下加大对于数据合规的重视程度,为合规工作提供人力及财力支持,必要时聘请外部专业的数据合规律师协助,根据企业自身情况建立起数据合规制度,以避免某些高危数据处理活动所引发的刑事风险。
在风险识别层面,企业应准确识别数据全生命周期各阶段中可能存在的风险,包括但不限于侵犯个人信息、数据泄露、数据滥用等,在企业内部开展数据合规体检与尽调、建立违规举报问责机制并定期开展数据合规的审计工作。
在合规文化建设层面,应将数据合规文化作为企业文化建设的重要内容,践行合规经营的价值观,给企业内部员工树立数据合规的意识,可采取全员合规承诺、数据合规培训常态化等手段在企业形成良好的合规氛围。
五、
结语
随着互联网的蓬勃发展与大数据的普遍应用,个人信息泄露及大数据的不规范使用问题逐渐暴露。正是基于此,数据合规逐渐被企业及个人所重视。Z公司案件作为全国范围内首例数据合规的案件,为涉案企业数据合规迎来了一个明亮的开端。对于企业而言,合规固然是政策红利,但“打铁还需自身硬”,企业重点是建立自身的数据合规体系,在产生刑事风险的情境下,能够给检察机关以及第三方组织以企业合规的印象,并最大可能的争取不起诉的处理结果,从而在最大程度上减少企业的损失。
本文作者
谢向英 律师
博和汉商律师事务所高级合伙人
华东政法大学法律硕士兼职导师
华东政法大学刑事律师实务研究院副院长
上海律协刑事合规委员会委员
专业领域:
刑事辩护、企业合规
xiexiangying@bhslaw.cn
白歌 实习律师
博和汉商律师事务所实习律师
华东政法大学刑事法律实务法律硕士
专业领域:
刑事辩护、企业合规
baige@bhslaw.cn
往期文章
声 明
本公号刊登文章仅代表作者本人观点,如需转载或引用该等文章的任何内容,请注明出处。如您有意向就相关议题进一步探讨交流,欢迎与本所联系。