刘华锋:涉数据公司业务的刑事风险及防范
大数据时代,很多公司的运营都离不开各种各样的数据,数据在为公司创造财富价值的时候,同样也潜藏着风险,尤其是随着我国《网络安全法》《个人信息保护法》《数据安全法》的全面实施,这些风险将越来越高,其中的刑事风险甚至会直接摧毁整个公司或给经营人带来灭顶之灾。涉数据公司业务的刑事风险主要集中在数据的获取和使用两个环节,本文将梳理这两个环节中涉嫌犯罪的常见行为,并针对性地提出一些防范建议。
关于数据收集环节的刑事风险
在数据收集过程中,如果未经数据权利人许可,采用非法方法收集数据信息,可能会触犯侵犯计算机信息系统类罪、侵犯知识产权类罪及侵犯公民个人信息罪等罪名。
(一)非法侵入计算机信息系统罪
非法侵入计算机信息系统罪是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。
在该环节触犯该罪的常见行为是公司为了获取数据,采用黑客技术等侵入国家机关网站或服务系统。
如在(2018)川3424刑初169号案例中,被告人李某某为了获取车牌信息,使用爬虫软件,大量爬取全国各地及凉山州公安局交警支队车管所公告的车牌放号信息,之后使用软件采用多线程提交、批量刷单、验证码自动识别等方式,突破系统安全保护措施,将爬取的车牌号提交至“交通安全服务管理平台”车辆报废查询系统,进行对比,并根据反馈情况自动记录未注册车牌号,建立全国未注册车牌号数据库。法院认为,被告人李某某为牟取私利,违反国家规定,侵入国家事务领域的计算机信息系统,其行为已构成非法侵入计算机信息系统罪,判处有期徒刑一年七个月。
(二)非法获取计算机信息系统数据罪
非法获取计算机信息系统数据罪是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的行为。
侵入是指违背被害人意愿、非法进入计算机信息系统的行为,其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统,也包括未取得授权擅自进入计算机信息系统,还包括超出授权范围进入计算机信息系统。
在该环节触犯该罪的常见行为有以下两种:
1、使用爬虫软件突破反爬措施强行爬取公司网站或系统数据
如在(2020)京0105刑初2594号案例中,被告单位厦门某某网络科技有限公司成立后研发“推房神器”等APP,自2018年被告单位使用网络爬虫技术爬取北京某信息技术有限公司经营的“某某”网站房产数据。在相关公司增加反爬取策略后,2019年10月至2020年7月间,被告单位使用破解验证码、绕开挑战登录等方式破解某公司的反爬取措施,非法获取“某某”网站的房源数据,并将非法获取的房产数据存放在自己的服务器中供“推房神器”APP调用,并向该APP用户收取会员费盈利。法院认为,被告单位厦门某某网络科技有限公司犯非法获取计算机信息系统数据罪,判处罚金人民币二十万元。
当然,并不是所有使用爬虫软件爬取数据的行为都会被认定为非法获取计算机信息系统数据罪,关键要看爬取数据的行为是否得到了对方的同意,司法实务中通常以是否破解对方反爬措施为标准,如果通过破解反爬措施来强行爬取数据,说明违背了对方的意愿,获取数据的行为具有不法性,构成非法获取计算机信息系统数据罪。
2、使用木马程序等非法获取公司网站或系统数据
如在(2018)苏0507刑初239号案例中,被告单位某某(深圳)网络科技有限公司在2016年至2017年经营过程中,由被告人林某决定,在未经大众、丰田、保时捷等多家汽车商家允许的情况下,采取通过被告人刘某等中间人联系,私下买通汽车商家工作人员,由被告人邱某某在上述汽车商家工作电脑上暗中装设设备及程序,通过远程控制、自动抓取等方式,非法获取上述汽车商家专用的计算机信息系统中的客户汽车维修和保养记录数据,并将数据销售给他人牟利。法院认为,被告单位某某(深圳)网络科技有限公司犯非法获取计算机信息系统数据罪,判处罚金人民币十二万元。
(三)破坏计算机信息系统数据罪
破坏计算机信息系统罪是指违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行;对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作;或者故意制作、传播计算机病毒等破坏性程序,影响计算机系统的正常运行,后果严重的行为。
在该环节触犯该罪的常见行为是使用爬虫软件爬取数据时造成对方服务器不能正常运行。
如在(2019)粤0305刑初193号案例中,被告人杨某某授权公司员工张某某开发一款名为“快鸽信贷系统”的软件,该软件内的“网络爬虫”功能能与深圳市居住证网站链接,可以在深圳市居住证网站上查询到房产地址、房屋编码等对应的资料,该软件对深圳市居住证网站访问量能达到每小时数十万次,以达到为其公司主营业务便捷的目的。2018年5月2日10时至5月2日12时许两小时内,该软件对深圳市居住证系统查询访问量为每秒183次,共计查询信息1510140条次,并将查询的信息以网络云盘的形式保存,在该时段内造成深圳市居住证系统无法正常运作,极大地影响了该居住证系统使用方深圳市公安局人口管理处的日常运作。法院认为,被告人杨某某及张某某均犯破坏计算机信息系统罪,分别判处有期徒刑三年及一年六个月。
(四)侵犯商业秘密罪
侵犯商业秘密罪是指以盗窃、利诱、胁迫、披露、擅自使用等不正当手段,侵犯商业秘密,给商业秘密的权利人造成重大损失的行为。
商业秘密,是指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。包括设计、程序、产品配方、制作工艺、制作方法、管理诀窍、客户名单、货源情报、产销策略、招投标中的标底及标书内容等信息。
在该环节触犯该罪的常见行为是公司员工利用职务便利从公司窃取关键数据,而这些数据属于商业秘密。
如在上海某信息技术有限公司侵犯商业秘密案中,北京某计算机系统工程有限公司主营技术开发、计算机系统服务、销售软件等业务,研发多款金融监管软件;李某、李某明、李某波分别是该公司副总经理、业务分析师、高级软件开发工程师。2012年底,李某、李某明在该公司工作期间,商议共同成立同业竞争公司上海某信息技术有限公司,由他人代持股份,二人隐名实际运营。2014年2月李某明先行离职后负责上海某信息技术有限公司运营,李某仍留在上述北京公司并多次将公司涉密资料提供给上海某信息技术有限公司。2014年4月李某波加入上海某信息技术有限公司,根据安排对该公司非法获得的北京某计算机系统工程有限公司软件进行“去标识化”等处理。2013至2016年,上海某信息技术有限公司将经过修改的软件向多家公司销售,违法所得共计人民币150余万元。经鉴定,上海某信息技术有限公司销售的软件与北京某计算机系统工程有限公司相关软件的非公知源代码具有同一性,属于商业秘密。法院认为,被告单位上海某信息技术有限公司犯侵犯商业秘密罪,判处罚金人民币五十万元。
(五)侵犯公民个人信息罪
在该环节所犯的侵犯公民个人信息罪是指窃取或者以其他方法非法获取公民个人信息的行为。
根据司法解释的规定,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于以其他方法非法获取公民个人信息。
公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。既包括中国公民的个人信息,也包括外国公民和其他无国籍人的个人信息。
在该环节触犯该罪的常见行为有以下七种:
1、使用软件或利用工作便利窃取公民个人信息
有的公司为了获取公民个人信息,会使用软件非法侵入他人计算机信息系统,如某科技公司窃取某平台上求职者简历案。该案中某科技公司主要经营招聘工具软件和大数据分析等业务。2015年至2019年间,该公司组建专门爬虫技术团队,在未取得求职者和平台直接授权的情况下,秘密爬取国内主流招聘平台上的求职者简历数据。案发后从涉案数据中发现2.1亿余条公民个人信息,后该公司被检察机关以侵犯公民个人信息罪起诉。
还有的公司内部员工为了谋取非法利益,利用可以接触公司存储的公民个人信息的便利,超越权限,私自下载这些包括公民个人信息的数据,如李某侵犯公民个人信息案。2017年4月至2018年6月29日间,被告人李某在公司任职期间,利用技术手段违规从公司内网系统秘密下载大量客户信息并通过网上购买和交换等方式非法获取公民个人信息,还向他人提供所获得的公民个人信息。2018年6月29日,民警抓获李某,并从其家中电脑中查获公民个人信息814369条,后被检察院以侵犯公民个人信息罪提起公诉。
2、购买公民个人信息
在公司经营过程中,有的公司为了扩大业务,推销产品,会向他人直接购买公民个人信息,也有的公司为了研究市场需求,虽不直接购买公民个人信息,但如果所购买的数据中包括公民个人信息,也会触犯此罪。如在(2020)苏0891刑初259号案例中,被告单位淮安某某装饰工程有限公司,由被告人刘某武担任法定代表人,负责公司日常经营管理,被告人齐某、贾某担任市场部总监,负责市场部日常运营。2016年至2018年期间,经商议,被告人齐某、贾某为发展公司装修业务拉拢客户,指使梁某等人对外购买建华观园、中南锦城等小区购房人的公民个人信息,信息内容包括业主姓名、电话、小区名称等,获取的信息交由市场部话务人员打电话邀约客户,推销装修业务。经审计,该公司通过购买的公民个人信息打电话邀约客户,履行装修合同获利共计人民币4134958.71元。法院认为,被告单位淮安某某装饰工程有限公司犯侵犯公民个人信息罪,判处罚金五十万元。
需要指出的是购买单纯的手机号码(不含机主信息)也有可能构成侵犯公民个人信息罪。该行为是否可以定罪在司法实务中虽然存在争议,但是对于经筛选分类(比如特定职业、特定领域人群的号码)后的手机号码,不少法院都认为属于公民个人信息,购买此类信息,构成侵犯公民个人信息罪。如在(2018)鲁1321刑初89号案件中,法院认为涉案电话号码虽然无法单独识别公民个人身份,但本身能够与特定自然人直接关联,且结合其他信息能够识别公民个人身份,属于公民个人信息的范畴,被告人购买此类信息的行为构成侵犯公民个人信息罪。
3、收受公民个人信息
收受指的是收取接受,通常是主动索要,也可以表现为对方主动提出后予以同意接受,如果是在不知情的情况下对方发来或送来,不能称之为收受。如在(2020)苏0118刑初358号案例中,被告人潘某在南京市江宁区注册成立南京某某生物科技有限公司,从事生物技术研发、保健食品和保健用品销售业务。2017年3月17日至2020年4月22日期间,为经营公司,被告人潘某从被告人徐某等人处收受含有姓名、地址、子电话等内容的公民个人信息共计26万余条,其中徐某提供24万余条。潘某利用上述信息进行电话销售保健品业务,共获利人民币22万余元。法院认为,被告单位南京某某生物科技有限公司犯侵犯公民个人信息罪,判决罚金十万元。
4、交换公民个人信息
交换是将自己持有的公民个人信息给予他人,以此换取对方持有的公民个人信息。如在(2017)川01刑终280号案件中,被告人王某某系被告单位成都某某管理有限公司的法定代表人、董事长,被告人陈某任公司网络主管。从2016年起,陈某受王某某指使,利用其掌握的公民个人信息与他人交换,侵犯公民个人信息。王某某、陈某于2017年6月22日被抓获,公安机关从王某某、陈某使用的两台电脑中查获大量公民个人信息,从陈某QQ聊天记录上发现大量与他人进行公民个人信息交换的记录,经检查,发送公民个人信息168822条,接收公民个人信息35435条。法院认为,被告单位成都某某管理有限公司犯侵犯公民个人信息罪,判处罚金三万元。
5、下载公民个人信息
行为人未经信息权利人同意,在互联网上下载公民个人信息,因其没有获取的法律依据或资格,故应该认定为非法获取公民个人信息。如在(2019)粤5321刑初58号案例中,被告人童某某在“褥羊毛”时加入了一些“活动”的QQ群,在QQ群上看到他人上传了“100万身份信息,活动必备保存好”、“5万身份证”、“14万身份信息”等文档,童某某使用自己的QQ下载,保存在自己的手提电脑,以备日后需要时使用。上述文档中的个人信息为他人的姓名和身份证号码信息,数量多达一百多万条。童某某辩称其没有使用、贩卖和传播这些公民身份信息。法院认为,被告人童某某违反国家法律规定,非法获取公民个人信息达五万条以上,情节特别严重,其行为已构成侵犯公民个人信息罪,应处三年以上七年以下有期徒刑,并处罚金。
6、在履行职责、提供服务过程中收集公民个人信息
未经同意收集公民个人信息,或者收集与提供的服务无关的公民个人信息的,应当认定为非法获取公民个人信息。如在被告人丁某侵犯公民个人信息案中,被告人丁某通过多个微信号进入“接码”的微信群后,利用自己经营手机店的便利,在顾客不知情的情况下,将顾客前来购买、维修或办理业务的手机在京东、淘宝、抖音、掌上生活等网络软件上注册账号,再将手机号码、验证码发到微信群,共获利12945元。法院认为,被告人丁某构成侵犯公民个人信息罪,判处有其徒刑一年五个月,缓刑二年,并处罚金六千元。
7、超范围收集公民个人信息
超范围收集是指超出约定收集范围收集公民个人信息,如在被告人葛某侵犯公民个人信息案中,葛某等人开发一款手机贷款APP软件,该软件以用户注册时采取不明确告知的方式,非法采集用户个人信息。公安机关抓获被告人后,当场在该公司服务器内查获被非法采集用户的短信息246万余条。法院认为,被告人葛某犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金十万元。
关于数据使用环节的刑事风险
公司获取数据的目的一般都是在于使用,一般来说,对于合法取得的数据,公司可以自由使用,但是对于一些特殊数据,如果使用不当仍然有可能触犯刑法,还有一些数据在不明确对方使用目的的情况下贸然提供给他人,也有可能会涉嫌犯罪。
(一)侵犯公民个人信息罪
在数据使用过程中所犯的侵犯公民个人信息罪是指违反国家有关规定,向他人出售或者提供公民个人信息,或者将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的行为。
提供的常见形式有赠与、交换、发布。将非法获取的公民个人信息出售或提供给他人的情况前文已经介绍,下面着重介绍下公司在使用合法获取的公民个人信息时可能触犯该罪的两种情况:
1、收集网络上已公开的公民个人信息后出售或提供给他人
该行为是否构成侵犯公民个人信息罪存在争议。
有罪论认为,根据司法解释规定,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”行为。如在(2019)苏13刑终32号案例中,王某通过“企查查”网站下载包括企业法定代表人姓名、地址、手机号码等信息,并对上述信息进行删减,清洗出包括姓名、电话等公民个人信息,后王某通过微信将包含姓名、电话等公民个人信息60余万条出售给他人。法院认为,王某违反国家有关规定,向他人出售公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。
无罪论认为,个人信息的公开可以推定信息权利人概括同意他人收集其个人信息。如在吴某涉嫌侵犯公民个人信息罪一案中,行为人吴某在天眼查、企查查等网站下载公开的各地企业工商登记信息,梳理分类后共出售1.8万余条信息,获利1万余元。公安机关认为吴某的行为符合两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息”。2020年11月,该案被移送检察机关审查起诉,后检察院经审查认为,根据《民法典》第1036条规定:“合理处理该自然人自行公开的或者其他已经合法公开的信息,行为人不承担民事责任,该自然人明确拒绝或者处理该信息侵害其重大利益的除外。”因此,被告人吴某不构成侵犯公民个人信息罪,并监督公安机关对本案作了撤案处理。
对于该问题,笔者认为,随着《个人信息保护法》的实施,倾向于不能构成犯罪,因为该法第十三条明确规定,依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,个人信息处理者可处理个人信息,且不需取得个人同意。但公司对此仍需谨慎。
2、将在履行职责或者提供服务过程中获得的公民个人信息出售或提供给他人
能够实施该行为的通常是一些在履行职责或者提供服务过程中能够接触公民个人信息的人,比如国家机关或者金融、电信、交通、教育、医疗等单位工作人员,房产中介等提供服务的人等。如在(2019)苏1282刑初646号案例中,被告人陆某某利用其在靖江市公安局新港派出所担任辅警辅助民警管理流动人口的工作便利,将在履行工作职责过程中获得的常州大学怀德学院学生信息3016条提供给李某某,后由李某某提供给江苏宏鑫公司。法院认为,被告人陆某某犯侵犯公民个人信息罪。
需要说明的是集团性公司内部(总分公司之间及各分公司之间)分享客户个人信息,也需要客户授权或同意才行,否则仍有可能触犯该罪。如在2020年蚂蚁科技集团股份有限公司拟在科创板上市过程中,上交所于8月30日发出审核问询函,专门就发行人与阿里巴巴集团之间的数据共享是否存在侵害客户合法利益情况、发行人与阿里巴巴等相关主体的数据共享协议是否违反有关互联网用户信息保护的有关法律率法规及规范性文件等提出了疑问。2020年9月11日中国人民银行颁布的《金融控股公司监督管理试行办法》第二十三条规定,金融控股公司及其所控股机构在集团内部共享客户信息时,应当确保依法合规、风险可控并经客户书面授权或同意,防止客户信息被不当使用。
(二)帮助信息网络犯罪活动罪
帮助信息网络犯罪活动罪是指明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助的行为。
该环节触犯该罪的常见行为主要是为网络犯罪分子提供服务器托管,平台搭建,数据接入、服务器租用、软件运行维护、账号定位修改等服务。
如在(2020)豫0311刑初114号案例中,易某某等人在湖南省长沙市岳麓区梅溪湖街道某出租房实施“套路贷”犯罪活动。被告人马某接受被告人易某某的委托为其定制放款的APP并提供互联网接入、服务器托管、网络存储、通讯传输等支持。马某先后为易某某定制了爱米租机(后改名西柚米)、乐青柠、葡萄籽等多款借贷APP,非法获利68000元,并持续为易某某团伙实施“套路贷”诈骗提供日常维护等技术支持。法院认为,被告人易某某构成帮助信息网络犯罪活动罪。
需要说明的是,该罪的明知在司法实务中常采用推定的方式加以认定,并不要求行为人对他人实施网络犯罪确切的知道,只要根据相关细节推定其有所怀疑,概括知道即可。
(三)拒不履行信息网络安全管理义务罪
拒不履行信息网络安全管理义务罪是指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播;致使用户信息泄露,造成严重后果;致使刑事案件证据灭失,情节严重;或者具有其他严重情节的行为。
该环节触犯该罪的常见行为是为了牟取利益而轻视有关部门责令采取改正措施的要求而继续我行我素。
如在(2018)沪0115刑初2974号案例中,被告人胡某为非法牟利,租用国内、国外服务器,自行制作并出租“土行孙”、“四十二”翻墙软件,为境内2000余名网络用户非法提供境外互联网接入服务。2016年3月、2016年6月上海市公安局浦东分局先后两次约谈被告人胡某,并要求其停止联网服务。2016年10月20日,上海市公安局浦东分局对被告人胡某利用上海某某网络科技有限公司擅自建立其他信道进行国际联网的行为,作出责令停止联网、警告、并处罚款人民币15,000元,没收违法所得人民币40,445.06元的行政处罚。被告人胡某拒不改正,于2016年10月至2016年12月30日,继续出租“土行孙”翻墙软件,违法所得共计人民币236,167元。经鉴定,“土行孙”翻墙软件采用了gotunnel程序,可以实现代理功能,适用本地计算机通过境外代理服务器访问境外网站。法院认为,被告人胡某犯拒不履行信息网络安全管理义务罪,判处拘役六个月,缓刑六个月,并处罚金三万元。
(四)为境外窃取、刺探、收买、非法提供国家秘密、情报罪
为境外窃取、刺探、收买、非法提供国家秘密、情报罪是指为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报的行为。
国家秘密是根据《保守国家秘密法》的规定认定的秘密,包括绝密、机密、秘密三种密级。而情报则是国家秘密以外的涉及国家政治、经济、科技、军事等方面尚未公开或者不宜公开的内部情况。
如上海某信息科技公司为境外提供我国铁路信号数据案,该案中上海某信息科技公司一名员工被拉进一个微信群,群里一家西方境外公司表示自己有项目要委托中国公司开展。境外公司自称其客户从事铁路运输的技术支撑服务,为进入中国市场需要对中国的铁路网络进行调研,但是受新冠疫情的影响,公司人员来华比较困难,所以委托境内公司采集中国铁路信号数据,包括物联网、蜂窝和GSM-R,也就是轨道使用的频谱等数据。在利益的驱使下,国内这家信息技术公司接下业务,并默许对方在境外通过远程控制公司电脑的方式源源不断获取我国铁路信号数据,最终公司负责人等人被以涉嫌犯为境外刺探、非法提供情报罪抓获。
风险防范措施
通过上述介绍,我们可以看到涉数据公司业务的刑事风险既有主观认识上的偏差,也有客观技术带来的问题,至少可以采取以下措施加以防范。
(一)数据安全培训
1、认识误区消除
不仅针对员工,而是要对于公司全体人员都要进行数据安全意识培训,通过培训消除大家主观上认识上存在的一些误区,比如不少公司的负责人错误的认为使用爬虫软件爬取数据是很多公司都在做的,是正常的等。再比如不少员工也会错误的认为把客户信息发给同学朋友,自己又没有出售获利,没什么大不了的等。要通过真实案例的宣讲,让公司所有人员清楚地知道数据的红线在哪里,什么可以做,什么不可以做。
2、案例警示教育
收集与公司业务相关的涉数据违法犯罪典型案例,通过案例讲解,剖析原因,让大家进一步认识到做了不能做的事将会给自己及家庭带来的巨大损失。甚至可以组织高危岗位员工观摩类似案件的在线庭审,通过真实案例警示教育大家。比如我们常见一些公司员工为了谋取一点蝇头小利,将公司的数据违规下载后出售给他人,等到被抓接受审判时,往往在法庭上痛哭流涕,后悔不已。
3、风险意识考核
除了平时的数据安全培训,对于重点高危岗位还要进行风险意识考核,定期或不定期的组织测试,以此强化数据安全意识。
(二)数据获取合法性审查
1、数据来源识别
对于公司的各种数据,要建立识别和标注机制,尽量避免出现公司在用的数据来源不清的情况,因为一旦该数据被确认系违法取得,将可能给公司带来巨大灾难。
2、获取方式审查
对于直接收集数据的,要审查获取方式是否合法,比如应尽量避免使用爬虫软件爬取数据,有必要使要用的话也一定要注意避免不当爬取,尤其是对于设置了反爬措施的网站,不能破解防护强行爬取。
对于收集公民个人信息的,着重审查有没有按照《个人信息保护法》等法律法规,通过完善的隐私协议获得用户明示的同意等。
对于从他人处购买或受让数据的,在接受数据之前,应当对数据供应商获取数据的合法性进行协议声明,尤其是如果可能涉及公民个人信息的,一定要让对方保证提供无法识别特定个人且不能复原的数据。
(三)数据存储安全性审查
1、数据存储设备安全性审查
关于数据的安全性,其存储设备是否符合安全标准至关重要,前面介绍的不少案例中,信息被窃取泄漏都与存储数据的网络安全性不足有很大关系,有些公司存储数据的数据库甚至没有安全防护措施,有些虽然有防护措施,但这些措施简单易破。因此,首先要审查这些防护措施的安全性,比如是否使用强密码,是否有数据加密措施等。
2、数据分级管理
按照《中华人民共和国数据安全法》要求,根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从低到高分成一般数据、重要数据、核心数据共三个级别。同时也可以根据公司的自身情况,进一步细化信息级别,根据不同的级别采取不同的保护措施和访问权限。
3、员工处理信息权限分级管理
根据不同岗位的职责,赋予不同的数据访问权限,并对录入权限、访问权限及维护权限进行区别,与数据分级相匹配,对数据访问采用身份验证。采用技术手段防止批量下载数据,并建立登陆访问日志记录制度等。
4、数据风险识别
建立数据风险识别发现机制,对于企业运行中出现的数据访问异常、数据流量异常等情况,要合理确定阀值,及时进行风险预警并处置。
(四)数据使用合法性审查
1、积极履行整改措施
对于有关部门责令整改等要求,要高度重视,积极整改,如果确有困难难以整改到位的,可以考虑暂时关闭相关业务,切不可盲目大意,我行我素。
2、出售和提供数据的审查
首先,要确认数据使用者的真实目的,对于使用目的不明或明显存在异常的,应当高度警惕,慎重提供数据。
其次,对于涉及公民个人信息的数据,要确保做了相应处理,无法识别特定个人且不能复原。
最后,对于数据需要出境的,必须按照相关规定完成数据出境安全评估等,切不可贸然提供,以免触犯危害国家安全类犯罪。
作者简介
刘华锋
靖霖刑辩学院副院长
上海市犯罪学学会理事
上海政法学院兼职教授
专注刑事法律服务,曾在某直辖市辖区从事刑事实务工作近12年,先后办理了2000余件各类刑事案件。办理的张某某生产、销售不符合安全标准的食品案被评为最高人民法院食品药品典型案例。
撰写的王某某盗窃案被评为最高人民法院网络司法典型案例。撰写的《刑事庭审100问,你想要的答案都在这里》、《刑事案件量刑的5个考量要点》等文章,被最高人民法院司法案例研究院转载。
添加作者微信交流联系
版式设计:马倩
(文中部分图片来源网络,若有侵权请联系删除)
上海靖予霖律师事务所,只从事刑事业务(刑事辩护、刑事代理、刑事合规),在上海、天津、福州、苏州、沈阳、太原、鄂尔多斯、广州设有办公室。共有专业律师近200人。出版专业书籍十本,有大量刑案及项目积累,办案经验丰富,技术精湛,奉行“专业、兢业、优质”服务理念,相靖予霖。
联系我们
专业 |优质 | 兢业
上海:黄浦区中山东二路88号外滩SOHO,C座19层
021-32206717
天津:红桥区北马路170号陆家嘴金融广场A座39层
022-60716868
福州:台江区宁化街道振武路70号福晟钱隆广场34层
0591-83802112
苏州:工业园区苏州大道东398号太平金融大厦1904
0512-62560175
沈阳:铁西区卫工北街44号红梅文创园11号楼四层
024-82618188
太原:万柏林区晋祠路128号华彩国际十层
13007094034
鄂尔多斯:东胜区满世商务广场A座13层
15149440666
广州:天河区天河北路233号中信广场办公楼3509-3510
020-38911990
法律服务专线:400-183-1099
上海靖予霖律师事务所官网
https://www.shkindall.com
常年招聘刑辩英才
联系人:覃女士
联系电话:15692107006
邮箱:cissieqin@163.com
共享品牌律所
浙江靖霖律师事务所,只从事刑事业务(刑事辩护、刑事代理、刑事合规),在杭州、北京、义乌、贵阳、济南、昆明、武汉以及绍兴设有办公室。共有专业律师200余人。有大量刑案及项目积累,办案经验丰富,技术精湛,奉行“专业、兢业、优质”服务理念,相靖予霖。
杭州:滨江区江南大道4760号亚科中心B座15、16层
0571-87392937/87392255
北京:朝阳区东三环北路甲19号嘉盛中心23层
010-82488010
义乌:西江路300号西江园B座1001
0579-85335539
贵阳:观山湖区长岭北路贵阳国际金融中心14号楼15层
0851-84837890
济南:历下区草山岭南路975号万科中心A座16层
0531-55569506
昆明:滇池路569号南亚风情第壹城国际B座1903
0871-67126852
武汉: 武昌区徐东大街汇通新长江中心B座701-702室
027-87363402、81360262
绍兴:越城区延安东路654号新地大厦9层
0575-88623887