【原创3】何渊:敬告阿里、腾讯和百度——数据合规,合则生,不合则亡!
【2018数据权元年原创栏目】是由上海交通大学法学院副教授、上海市行政法学研究会秘书长何渊副教授主理的一个原创系列,研究目的是试图为大数据的国家治理提供一个整体法律框架。如果说2017年是人工智能元年的话,那么历史会证明2018年则是数据权元年。
企业生而自由,却无网不在合规之中!——何渊
【摘要】人类必须要做的一件事情是:必须像当年驯化牛马狗一样,学会如何驯化人工智能!我一直的观点就是:其实牛马狗对人类来说,就是最早的人工智能!非常有趣的是,现有人工智能,跟牛马狗基本处于同一水平,大概等于5岁孩子的智商!而驯服人工智能的关键是征服大数据。这对一个国家而言,则是安全基础上的大数据流动及利用,而对企业来说,则是数据合规问题。
引 言
从2016年开始,各大公司、软件、APP都开始发了疯似得收集用户的各种数据,传统的BAT和新晋级的TMD自然也是奋勇争先,有过之而无不及。除了传说中的变现功能,以及可以用来喂养人工智能这头人类有史以来的最大猛兽之外,其实他们自己也不知道还能用来干嘛。但毫无疑问的是,他们是真疯了,他们变得那么地无底线!于是,BAT 相继出事:
1月1日,李书福说:马化腾天天在看我们微信?(点击查看)腾讯回应:微信不会留存任何用户的聊天记录,不会将用户的聊天内容用作大数据分析。
1月3日,支付宝年度账单默认勾选《芝麻服务协议》被质疑侵犯隐私权!(点击查看)本公众号进行了强烈地谴责!支付宝以“情况说明”进行危机公关!
1月5日,百度涉嫌侵害消费者个人信息安全被江苏省消保委提起公益民事诉讼,法院已立案!(点击查看)百度回应:没有能力监听电话!
BAT的逻辑:“你信吗?反正我信了!”潜台词:“用户信不信,我们就不管了!”在这里,我们看到的只是BAT对广大用户的极度傲慢无礼和藐视!
数据合规的法律意义
数据合规的法律意义再怎么强调都不为过!正如“老虎很漂亮,但我们必须要把它关起来里”!大数据也是如此,它对国家对社会对创新都有很大的价值,但大数据必然会加速人类风险社会的形成,会给社会结构带来强烈冲击和深刻变迁!因此,国家安全、社会稳定和公民隐私是大数据流动和利用的底线,一旦突破上述红线,以数据为生的互联网公司必然遭受非常严厉的处罚,甚至灭顶之灾!毕竟,不以人的自由和尊严为目的的大数据和人工智能都是耍流氓,全中国人民的共同福祉才是国家和法律的终极关怀。即“法律生气了,后果很严重!”具体如下:
1.数据违规可能会面临监管部门的巨额罚款!
欧盟早就制定了数据保护方面的完善法律并对数据违规采取了严厉的惩罚措施,这些经验非常值得我国学习和借鉴。
《一般数据保护条例》(General Data Protection Regulation)为欧盟数据监管和数据合规提供了充分的法律依据。比如:数据泄露的处罚,根据新规,发现未报告个人数据泄露事件的公司将面临相当于其全年收入2%或约8300万人民币的罚款;如果未经同意而处理个人数据则面临相当于其全年收入4%或约一亿七千万元人民币的处罚,均以较高处罚为准。
实践中,欧盟一以贯之地对数据违规采取严厉的监管措施。2013年,以法国为首、英国、荷兰、德国、西班牙和意大利六个国家针对谷歌采取联合行动,旨在对谷歌处以罚款或是限制其新隐私政策的实施;2014年,法国信息和自由国家委员会(CNIL)因谷歌违反当地政策的隐私条款而对其开出15万欧元罚单,并责令发布声明公开致歉;2015年,欧盟针对西班牙数据造假开出近1.3亿元人民币巨额罚单,这是欧盟在虚假统计数字方面对欧元国家首次进行处罚;2016年,法国信息和自由国家委员会(CNIL)责令Facebook必须在3个月内改变收集和使用互联网用户数据的方法,否则将面临最多15万欧元的罚款;2017年5月,欧盟委员会因Facebook收购WhatsApp时向欧盟提供误导性信息,对其处以1.1亿欧元罚款;2017年7月,欧盟因谷歌的数据垄断行为对其罚款28亿美元和勒令90天整改;2017年9月,西班牙数据保护监管部门因Facebook收集用户个人信息并用于广告,对其罚款120万欧元。
在我国,据不完全统计:过度采集、过度收集以及非法交易个人信息65亿条次,每人最少5次,严重损害网民的利益。面对严峻形势,中国的监管部门对数据违规也已开始采取行动。去年7月,中央网信办、工信部、公安部、国家标准委等四部门,进行了隐私条款专项工作,针对的十款网络产品为:微信、新浪微博、淘宝、京东商城、支付宝、高德地图、百度地图、滴滴、航旅纵横、携程网。审查重点是收集、保存、使用、转让用户个人信息的行为,督促整改不合法的条款。
可以预见的是,我国监管部门必将对合法数据加强保护,而对企业的数据违规行为必将采取越来越严厉的监管措施,天文数字的罚单将不再少见!
2.数据违规可能使企业高管面临刑事风险,甚至锒铛入狱!
以前,由于法官对信息犯罪的危害性难以明确,一般只能作出三年以下的法定刑判决!但新的司法解释对重刑情节已经明确,违法所得在5万以上的,即可构成重刑。我们预测,侵害个人信息犯罪适用重刑的情形将出现激增现象。尤其对那些以收集和输出数据为主业的互联网公司来说,高管层的刑事法律风险已经逐渐显现。
新的司法解提到以下类型的数据,无论是“非法提供”和“非法获取”都可以入刑:
第一类:高度敏感信息,包括四种信息:行踪轨迹信息、通信内容、征信信息、财产信息。涉及高度敏感信息的违法活动,由于定罪门槛最低,因此严格限制在此四类;
第二类:敏感信息,即住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息。《解释》对第二类信息的界定仍留有扩展空间;
第三类:其他个人信息。
个人信息的类型是法院定罪量刑的重要依据。越敏感信息,达到定罪门槛的信息数量越少。只要违反国家规定获取个人信息,信息获取者无法主张其获取信息的正当理由的,无论是以“窃取”等本身非法的手段,还是以“购买、收受、交换”等其他手段,都可能被认定为“非法获取”。
3.数据违规可能带来创业失败的风险。
数据合规对于以大数据为主业的互联网公司来说,就是生与死的关系!!
大数据行业风声鹤唳,据一本财经报道,“数据堂”多人被警方调查,导致部分数据业务线停摆。至于被调查原因,知情人称,数据堂曾给一家理财营销公司提供了大量涉及用户隐私的数据。数据堂的主要商业模式是通过网络爬虫、公共领域共享等方式获取数据,而后对数据进行处理,而后向客户提供服务获取收益。 在没有得到任何授权的情况下,数据堂为理财营销公司提供用户数据有数据倒卖的嫌疑。
除此之外,另有15家公司进入了调查名单,其中几家大数据公司,估值已几十亿。稍有不慎,数据违规可能带来致命的罚单,甚至直接导致创业失败!
4.在不远的未来,我国的法律也许会强制性规定:企业必须建立包括数据合规在内的完整合规体系,这绝不是天方夜谭!
2016年,法国宪法委员会批准通过了《关于提高透明度、反腐败以及促进经济生活现代化的2016-1691号法案》,该法案也被称为《萨宾第二法案》,该法案明确规定建立合规制度是企业及其高管人员必须履行的积极义务,否则即使没有实施贿赂行为,企业或其高管也可能因此受到处罚。根据金杜合规团队的已有研究,主要内容如下:
哪些主体有义务建立合规制度?
《萨宾第二法案》第17条第1款规定,满足以下用工人数标准和营业收入标准的企业应当建立合规制度:(1)用工人数达到500人,或隶属于总部设在法国且总用工人数达到500人的公司集团;(2)单独报表或合并报表中的营业收入达到1亿欧元。建立合规制度不仅仅是企业的义务,也是企业高管的个人义务。
应当建立哪些合规制度?
《萨宾第二法案》第17条第2款规定,企业应建立以下合规制度:
(1)制定行为准则,以定义可能构成贿赂或利用影响力交易的各种被禁止的行为。
(2)建立内部预警系统,以便收集员工提供的关于违反行为准则的线索或信息。
(3)进行风险评估,区分企业所属的行业和实际运营地区,对企业的贿赂风险进行识别、分析和分级,并定期更新风险评估。
(4)制定内部和外部的会计控制程序,以确保会计账簿、会计记录和会计账目不被用来掩盖贿赂行为。
(5)针对最接近贿赂风险的企业高管和员工,建立培训体系。
(6)针对违反行为准则的员工,建立惩处机制。
(7)对已经采取的合规措施,建立内控及评价制度。
未按要求建立合规制度有什么后果?
根据《萨宾第二法案》第17条,如果企业没有主动建立合规管理制度,AFA下设的处罚委员会有权对企业处以不超过100万欧元的罚款,并对高管个人处以不超过20万欧元的罚款。同时,处罚委员会还有权继续要求企业或高管在不超过三年的期限内,完成合规制度的建立。
对于构成贿赂犯罪的企业,法国法院有权判令企业在规定期限内,按照《萨宾第二法案》第17条第2款的要求建立合规制度。AFA负责监督、协助企业建立合规制度,并定期(至少每年)向检察机关报告企业建立并执行合规制度的情况。如果企业未能建立符合要求的合规制度,法国法院有权对企业和相关自然人分别判处罚金,并对自然人判处2年以下监禁。
虽然我国现行法律并没有类似的强行性规定,但毫无疑问的是,建立包括数据合规在内的完整合规体系是现代企业必须承担的法律责任,予己是减少法律风险,予国家是承担社会责任的一种绝佳方式!
结 语
在这里,我敬告BAT和TMD的高管们:“数据合规,合则生,不合则亡!”“法律生气了,后果很严重!”与其用闪烁其词的“情况说明”进行公关,不如直面现实法律问题,在企业内部建立完善的数据合规体系,切实保护用户的数据和隐私权益。否则必然会偷鸡不成蚀把米,因小失大,得不偿失!
【2018数据权元年原创栏目】第四期预告:
开放与分享:数据权保护和分配的唯一法律出路——兼评最近国家标准《个人信息安全规范》
敬请持续关注!也欢迎大家踊跃投稿!您的支持对我们很重要!
【原创连载2】何渊:论数据权的区分保护和利用制度——政府数据篇
何渊:欧盟议会全球首个“关于制定机器人民事法律规则的决议”(介绍部分)
何渊:人工智能时代“大数据”加上“差异化算法”带来的身份歧视,就是商业领域隐匿的穷人与狗不得入内!
【前沿5】美国布鲁斯的经典隐私理论和德国的人格权理论:四种类型的隐私侵权体系比整体保护体系更好吗?
【前沿2】《自动驾驶的监管挑战:面对悲剧性选择人工智能如何决策》
诚意推荐 欢迎关注