查看原文
其他

韩轶:《网络数据安全领域的企业刑事合规体系建构》

转自“今日头条‘韩轶法学教授’2022年5月22日发布文章”


W

网络数据安全领域的企业刑事合规体系建构

//

作者 //



韩轶,中央民族大学法学院院长、教授、博士生导师,中国法学会理事






内容摘要


      网络社会背景下,数据成为社会的基本生产要素,亦成为大量企业业务开展的重要依托。在数据价值凸显的同时,企业在网络数据安全领域的刑事合规越来越受到重视。网络数据安全刑事合规具备双重功能,在基础功能层面可以有效地降低企业在网络数据安全领域的刑事风险;在扩展功能层面可以有效地提升企业的外部社会评价和整体价值。网络数据安全刑事合规的基本风险点,体现在滥用数据垄断地位引发的风险、侵犯个体数据自决权引发的法律风险、侵犯国家数据安全引发的法律风险三个层面。针对上述基本风险点,建立企业整体网络数据安全防护合规制度、企业收集个人数据合规制度、企业个人数据控制权保障合规制度、企业数据泄露防控合规制度、企业第三方数据处理合规制度,应当作为网络数据安全领域刑事合规的基础方案。



[关键词]:企业刑事合规;网络数据安全;危害网络数据安全犯罪;合规方案





      企业刑事合规以刑事法律风险防控为基本内涵,以降低刑事犯罪风险为基础功能,同时还兼具推动企业合理承担社会责任的扩张功能。由于社会实践的复杂性,企业所面临的刑事法律风险也具有多样性,需要企业根据自身的业务特点准确定位具体风险点,展开有针对性的合规体系建设。同时,企业的刑事法律风险也具有动态性,随着外部社会环境的变化,特别是法律法规的更新,刑事法律风险也会不断演变,企业刑事合规体系也必须能够动态更新,并具有前瞻性。当前,在网络社会不断深化和大数据技术广泛运用的背景下,数据开始呈现出全新的价值属性。数据不仅是国家的基础性战略资源,更被我国明确为新时代的生产要素,无论是新型数字经济产业还是传统产业,都在积极地利用网络技术和数据技术,实现企业自身业务的时代性更新,网络数据安全已然同企业发展深入地嵌合在一起。随着数据在人类社会重要性的口益提升,网络数据安全的法律保护需求也同步彰显,网络数据领域成为目前法律更新的主要内容之一,刑法亦在构建全新的危害网络数据安全犯罪罪名体系,并且将单位犯罪主体作为了规制的重点。因此,网络数据安全领域亦成为当前企业刑事合规需要重点关注的全新问题。


一、网络数据安全刑事合规的基本功能指向


      企业合规是法治社会背景下企业可持续发展的基础,而刑事领域的合规则是整个企业合规的基石。新的时代背景下,企业发展离不开数据的依托,只要建立起完善的网络数据安全刑事合规体系,就能起到预防数据风险、强化公司治理、构建和完善现代企业制度的重要作用。


(一)网络数据安全刑事合规的基础功能:降低企业的犯罪风险


      网络数据安全刑事合规一方面关注企业自身的数据安全内部控制和治理流程,避免企业自身成为网络数据犯罪的犯罪对象,从而使企业的核心数据财富受到侵害;另一方面关注如何保障企业的内部运行同法律、法规、政策、行业规范等外部网络数据安全法律规范保持一致,从而在减少企业触犯网络数据刑事犯罪风险的同时推动整个社会的法治水平,获得企业利益保护和社会利益保障的“双赢”。从减少企业成为网络数据安全犯罪“被害人”风险的角度来看。近年来,我国大规模数据泄露事件不断涌现,快递公司40万用户数据信息被泄露,银行300万用户数据信息泄露2306网站470万用户数据信息泄露,数据泄露几乎在各个行业领域都已然出现。数据背后所蕴藏着的巨大社会财富、公共福祉和国家利益受到严重侵害。层出不穷的海量数据泄露的背后动因,不仅源于非法获取数据行为人的犯罪行为,而且同相关企业、机构未能建立完善的网络数据安全合规体系同样也有着密切关系。从避免企业成为网络数据安全犯罪“犯罪人”风险的角度来看。我国刑法近期修正的侵犯公民个人信息罪、非法利用信息网络罪、帮助信息网络犯罪活动罪,都在强化对单位犯罪主体的刑事制裁,实际上是对作为网络数据服务商的企业提出了更高的刑法义务要求。特别是,刑法第206条之一拒不履行网络安全管理义务罪,直接将企业的数据安全管理义务,上升到刑事义务的层面,给企业的网络数据安全刑事合规,提出了更为紧迫的要求。数据安全刑事合规风险成为众多企业,特别是新兴互联网企业悬在头上的“达摩克利斯之剑”。


(二)网络数据安全刑事合规的扩展功能:提升企业的整体价值


      从社会价值的角度考量,企业作为社会活动参与主体的价值主要体现在两个层面:一方面是履行生产经营服务职责,创造社会财富和经济效益,另一方面是履行企业经营范围内的社会管理职责,确保社会整体秩序稳定。而网络数据安全刑事合规对企业合理承担上述两类社会责任都有明显的推动作用,可以积极提升企业的整体价值。其一,数据安全刑事合规旨在阻止产生数据犯罪风险造成的损害。当前,大数据技术受到整个产业链关注的背后,是数据在推动科学研究成果,加快经济增长,为企业决策制定提供指引,更新企业运营模式等众多领域显现出的巨大能量。而随着大数据技术的推动,数据的潜力还将被进一步释放,数据被赋予了全新的价值和功能。“阿里巴巴公司本质上是一家数据公司,我们做淘宝的目的不是为了卖货,而是获得所有零售的数据和制造业的数据;我们做阿里小微金服的目的,是建立信用体系;我们做物流不是为了送包裹,而是将这些数据合在一起,我们对一个人的了解远远超过你,你是不了解你的。”因此,对数据安全保护的程度,在大数据时代,往往决定了一个企业“成败存亡”。其二,网络数据安全刑事合规,能够强化企业数据安全保护的责任感,增强企业经营过程中可能出现的数据安全风险预防能力,积极分担社会责任。当前,无论是国内还是国际的法律规范层面,数据安全都日益受到重视。强调对于数据安全的保护,首当其冲的就是强化对个人信息数据的保护,强调数据主体对于数据收集、处理、利用的知情权和同意权。然而,这也同许多新型数据产业的经营模式产生了矛盾。因为这些企业本质上就是靠着对大量用户数据的收集、处理、利用来产生各种收益和价值,随着对用户数据安全法律保护力度的提升,人们对于企业的数据安全内控机制也提出了更高的要求。甚至特定企业对数据安全保护的优劣,将成为评价该企业经营能力和风险控制的重要指标。大量的综合投资指数,开始将企业的数据安全保护程度,作为企业投资价值的重要指标,例如ESG评价中,就包含了企业的数据安全保护指标评级,作为投资者是否投资企业的参考。


二、企业合规视角下的网络数据安全犯罪


      随着网络数据安全价值的凸显,世界各国的刑法亦及时地将其纳入保护范畴。考察我国刑法的近几次修正案我们也可以发现,网络数据安全领域一直是刑法更新的重要内容之一。而刑事司法对网络犯罪的制裁关注点,也逐步从计算机信息系统犯罪向网络信息数据犯罪转移。从企业合规的视角下审视,企业在收集、管理、利用数据时,可能触发的网络数据安全犯罪新型罪名,主要包括侵犯公民个人信息罪和拒不履行信息网络安全管理义务罪,二者分别从企业的公民个人信息数据保护义务和网络数据管理义务的角度,对企业提出了新的刑事合规要求。


(一)基于公民个人信息数据保护义务的侵犯公民个人信息罪


      我国刑法第253条之一规定的侵犯公民个人信息罪,已然成为我国网络信息数据保护的基础罪名。侵犯公民个人信息罪将对公民个人信息数据进行非法出售、非法提供和非法获取的行为,都纳入了刑法的制裁范围。而该罪名也明确规定了单位可以构成犯罪主体,实际上将所有企业对公民个人信息数据的出售、提供、获取行为,都在行政法义务的基础上,又设定了刑事法义务。从企业合规的角度来看,对于侵犯公民个人信息罪,需要特别注意“公民个人信息”的范畴问题。侵犯公民个人信息罪的犯罪对象为“公民个人信息”。因此,侵犯公民个人信息罪在网络数据安全领域为企业设定的刑事义务,仅围绕着包含“公民个人信息”的数据。然而,对于“公民个人信息”的范畴,不同部门法之间却存在一定的差异性规定。2017年3月《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若十问题的解释》中率先对公民个人信息进行了规定:“是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”可以发现,司法解释将公民个人信息的内涵界定为“身份识别性+特定情况信息”双重特征。然而,在2017年6月颁布的《网络安全法》第76条则规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生口期、身份证件号码、个人生物识别信息、住址、电话号码等。”实际上是改变了上述司法解释对公民个人信息内涵的界定,将其内涵修正为“身份识别性”单一特征。2020年《民法典》第1034条也基本上采纳了《网络安全法》对公民个人信息的界定。《网络安全法》《民法典》的规定,实际上是限缩了对公民个人信息的保护范围。这在一定程度上也引发了,刑法侵犯公民个人信息罪,是否也要对公民个人信息的内涵适用“可识别性”单一特征,对罪名适用范围进行限缩的理论争议。而2021年的《个人信息保护法》第4条又规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”实际上再次将公民个人信息的内涵界定为“身份识别性+特定情况信息”双重特征,说明立法机关依然还是倾向于强化对公民个人信息的保护。因此,尽管部门法之间的规定存在差异,但是从企业刑事风险防控的视角,应当采纳最广义的概念界定,将所有能够识别特定自然人以及同自然人活动情况有关的信息数据,都视为刑法保护的范畴,建立刑事合规机制。


(二)基于企业网络安全管理义务的拒不履行信息网络安全管理义务罪


      我国刑法第286条之一的拒不履行信息网络安全管理义务罪,实际上是立法对于理论界长期呼吁的“在网络犯罪治理领域应加强网络服务商责任”的回应。因此,拒不履行信息网络安全管理义务罪从立法之初,就有着明显的强化企业网络安全管理刑事义务的目的。相关司法解释也因此对拒不履行信息网络安全管理义务罪的犯罪主体,进行了较为宽泛的解释。最高人民法院、最高人民检察院《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若十问题的解释》规定:“提供下列服务的单位和个人,应当认定为刑法第二百八十六条之一第一款规定的‘网络服务提供者’:(一)网络接入、域名注册解析等信息网络接入、计算、存储、传输服务;(二)信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;(三)利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。”根据上述司法解释的规定,在当前网络社会的背景下,大部分企业显然都在承担着“网络服务提供者”的角色,都将受到拒不履行信息网络安全管理义务罪的规制。从企业合规的角度来看,拒不履行信息网络安全管理义务罪,需要特别注意其行政违法前置条件的扩张问题。根据我国刑法的规定,构成拒不履行信息网络安全管理义务罪,首先要存在前置行政违法行为。刑事立法如此设定,是为了适当限缩网络服务提供者不履行信息网络安全管理义务承担刑事责任的范围,在一定程度上降低了相应企业的刑事义务,但是也带来了一定的动态风险。这是因为,信息网络安全领域是我国目前立法更新的重点领域,相关的法律、行政法规正在不断被推出来以强化信息网络安全的保护,其中大量法律、法规的具体规范是关于网络服务提供者的义务性规定。因此,尽管在刑法层面上,拒不履行信息网络安全管理义务罪并未改变,但是由于其他部门法的更新,也会同步导致拒不履行信息网络安全管理义务罪的适用范围不断扩张,进而导致相应刑事犯罪风险的动态扩大。例如,关于网络服务提供者收集个人信息的范围,我国相关法律法规一直未予以明确,直至221年生效的《个人信息保护法》第6条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”因此,在《个人信息保护法》生效后,网络服务提供者超出最小范围收集的个人信息,将被视为违反国家法律的非法收集。如果网络服务提供者因此受到责令改正而依然拒不改正,则符合拒不履行信息网络安全管理义务罪的行政违法前置条件,相应的刑事犯罪风险也随之而来。


三、网络数据安全刑事合规的基本风险点


      刑事风险点的定位是企业刑事合规制度建构的前提,刑事犯罪风险点的定位是一个共性和特性兼顾的刑事合规前提,而刑事法律规定则是风险定位的“尺子”。企业面临的刑事犯罪风险可以被分为一般风险和特殊风险两类,前者是企业作为市场经营主体必然会存在的刑事犯罪风险,例如,商业贿赂犯罪风险,是所有企业都必须关注的领域;后者则是企业基于自身业务特殊性而产生的刑事风险,数据安全刑事风险就是一类特殊的刑事风险,其基本风险点主要表现在以下几个方面。


(一)企业滥用数据垄断地位引发的风险


      我国的数据产业基本上是由大型网络服务商所推动的,强化“个体数据自决权”在一定程度上会提升网络服务商各类数据活动的成本,但不能将上述大型网络服务商的利益直接等同于数据产业的利益。大型网络服务商借助网络平台优势,最先具有了收集、分析、利用大规模个体数据的能力,然而大型网络服务商仅是数据产业众多环节中的一环,数据产业是未来国家的支柱性产业之一,不能任由几个“巨头”所垄断。2020年我国市场监管总局颁布的《关于平台经济领域的反垄断指南(征求意见稿)》,已经开始体现了这种政策导向。实际上,在我国数据产业前期的高速发展过程中,由于配套性法律规范未能及时跟进,存在着一定程度的野蛮生长现象。大量互联网服务商借助不对称优势滥用用户数据,作为网络平台用户的数据主体提供了个体数据给网络服务商,承受着数据泄露的风险,不仅未能充分感受到大数据技术带来的便利,反而受到歧视性待遇。例如,“大数据杀熟”就是一种典型的网络服务商通过收集个体数据对抗数据主体的现象。因此,当前数据产业的迅速发展和数据保护能力屏弱并存的状态难以持续,不加强“个体数据自决权”的保护,必将不断侵蚀网络用户的数据共享信心,最终阻碍数据产业的长期、持续发展。为了引导数据主体主动共享数据,打破“个体数据孤岛”,数据产业的发展方向,必然是使数据主体充分实现自身数据的价值,通过共享数据产业发展的技术福利。如果企业依然执着于滥用数据垄断地位,显然将会陷入越来越严重的法律风险,甚至刑事犯罪风险之中。例如,2021年4月10口,我国市场监管总局就因为阿里巴巴集团借助数据、算法等手段,强迫商家“二选一”的行为,罚款182.28亿元,并对阿里巴巴集团出具了《行政指导书》,要求其加强内控合规管理。尽管,目前对于企业滥用数据垄断地位的评价,还是以行政处罚为主。但是两个倾向值得关注:第一,此类行政处罚评价越发严格,存在后续由行政违法上升到刑事犯罪评价的可能性。例如,对于“大数据杀熟”行为我国2019年1月施行的《电子商务法》规定:“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。已经将其明确规定为行政违法行为,并且可以处以最高50万元的罚款。但《深圳经济特区数据条例》明确规定一旦发现“大数据杀熟”的行为,将视为违法行为,最高处罚5000万。而2021年7月,我国国家市场监督管理总局公布了《价格违法行为行政处罚规定(修订征求意见稿)》。专门增设了“新业态中的价格违法行为”,实际上就是针对“大数据杀熟”设定了更为严格的行政违法评价。“可以并处上一年度销售总额1 %。以上5%。以下的罚款,有违法所得的,没收违法所得;情节严重的,责令停业整顿,或者吊销营业执照。”第二,我国目前的数据安全犯罪罪名,也普遍是以行政违法或受过行政处罚为前置条件的,例如侵犯公民个人信息罪中“违反国家有关规定”、拒不履行信息网络安全管理义务罪中的“经监管部门责令采取改正措施而拒不改正”等,当企业在数据安全领域受到了行政处罚时,就必须正视可能存在的刑事犯罪风险。不能认为接受过行政处罚,就不存在刑事犯罪的风险了,之前的“快播公司案”,就是典型的先予以行政处罚后,后续又触发了刑事责任评价,这也直接导致了快播公司的灭亡。


(二)企业侵犯个体数据自决权引发的法律风险


      “个人数据自决权”的学理概念起源于德国。德国学界认为从德国《基本法》关于人性尊严和一般人格权的原则规定,个体对于自身数据的支配,是人格尊严的重要内容,应当纳入基本人格权。当前世界各国,包括我国,普遍认同个人数据自决权应当成为个人权益的必要组成部分。自然人是其个人数据的主体。数据主体可以依法参与其个人数据处理活动,对个人数据的处理活动享有知情权、同意权、查询权、更正权、拒绝权、删除权。“个体数据自决权”主导价值地位的体现,根据数据流转主体的差异性可以分为两种场景:其一,境内私权主体之间的数据流转。该场景下,“个体数据自决权”应当是一种绝对性权利,排斥任何私权主体在非授权情况下,针对个体数据开展数据活动。其二,境内私权主体和公权主体之间的数据流转。该场景下,公权主体可以基于公共利益的合理需求,在未获得数据主体授权的情况下,针对个体数据开展数据活动,但是这种数据活动必须由法律明确授权,遵循严格的程序规则,并且应当赋予数据主体对公权力主体不当数据活动的救济权利和明确的法救济途径。企业应当树立尊重“个体数据自决权”的理念,不能将企业收集、获取的客户数据视为企业自身的数据,随意利用和支配,避免陷入侵犯个人数据自决权的法律风险之中。域外企业因为未严格尊重个体数据自决权,而被刑事指控的案例屡见不鲜。例如,Facebook公司因为在2008年3月向其合作伙伴剑桥咨询公司违规分享了8700万用户数据,而遭到了美国司法部的刑事调查,最后Face book公司于2019年同美国司法部、联邦贸易委员会,达成了和解协议,交付50亿美元的罚款,并且接受更为严格的监管。[值得注意的是,类似的行为在我国现有的刑法罪名体系中也有规制,侵犯公民个人信息罪第二款规定的“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。”实际就是将企业在提供服务过程中获得的公民个人信息数据,非法提供给第三方情节严重的行为,评价为了犯罪行为。


(三)企业侵犯国家数据安全引发的法律风险


      保护国家数据安全,是世界各国处理跨境数据时首要考虑的问题。“数据对国家而言,是新的‘战略资源’;对产业是新的‘生产要素’;对个人更是新的‘生活必需品’。从某种意义上讲,数据正在不断催生新的社会形态”我国对于数据安全的考量,亦是坚决以国家安全为第一序位,我国最早规定数据安全的法律是1998年颁布的《证券法》第152条guiding:“证券登记结算机构应当采取下列措施保证业务的正常进行:(一)具有必备的服务设备和完善的数据安全保护措施;”2015年的《网络安全法》中将对数据安全亦进行了规定,《网络安全法》第18条规定:“国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。”而在2017年修订的《测绘法》中同样规定了数据安全的相关内容,《测绘法》第14条第2款:“卫星导航定位基准站的建设和运行维护单位应当建立数据安全保障制度,并遵守保密法律、行政法规的规定。”第18条第2款:“互联网地图服务提供者应当使用经依法审核批准的地图,建立地图数据安全管理制度,采取安全保障措施,加强对互联网地图新增内容的核校,提高服务质量。”但是整体来看,我国现行法律依然缺乏对数据安全的系统化表述,仅有的一些规定也都是从技术和管理保障的层面来讨论数据安全,未将其作为一个独立的重要权益予以保护。2021《数据安全法》的颁布,标志着我国开始将数据安全作为独立法益进行保护。企业对数据的利用行为,特别是在大规模数据跨境时,要高度重视国家层面的数据安全,避免陷入危害国家数据安全刑事犯罪风险之中。2021年7月16口,滴滴出行公司因“涉及国家数据安全风险”,国家网信办会同公安部、国家安全部等多个部门联合进驻,开展网络安全审查,一时间舆论哗然。实际上,因为“涉及国家数据安全风险”被进驻审查的公司不止滴滴出行公司,后续BOSS直聘公司、运满满公司、货车帮公司也相继被查。实际上,滴滴公司之前亦因为运营中的风险管控受到公众的批评,但同之前的传统的用户权益损害不同,上升到国家安全层面,触发刑事犯罪的风险,显然会急剧提升。《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若十问题的解释》中已然明确规定了,拒不履行信息网络安全管理义务,致使信息网络服务被用于实施危害国家安全犯罪,应当认定为拒不履行信息网络安全管理义务罪的“有其他严重情节”。应当注意的是,根据司法解释的规定,不需要网络服务提供者主观上有危害国家安全的故意,只要未履行相应管理义务,客观上导致危害国家安全犯罪的出现,便符合司法解释规定的情形。


四、网络数据安全刑事合规的一般方案


      企业刑事合规要进行制度性建构,才能真正实现企业刑事合规的犯罪防控功能,美国《联邦组织体量刑指南》提出了“有效企业合规”的七个具体标准:"A.企业应建立合规政策和标准;B.企业应指定高层人员监督企业的合规政策与标准;C.企业不得聘用在尽职调查期间了解到具有犯罪前科记录的高管;D.向所有员工有效普及企业的合规政策和标准,如进行培训;E.采取合理措施,以实现企业标准下的合规,例如利用监测、审计系统来监测员工的犯罪行为,建立违规举报制度,让员工举报可能的违规行为;F.通过适当的惩戒机制,严格贯彻执行合规标准;G.发现犯罪后,采取必要的合理措施来应对犯罪行为,并预防类似行为发生,如修改完善合规计划。而具体到网络数据安全企业刑事合规领域,其一般方案则必须同我国现有的《网络安全法》《数据安全法》《个人信息保护法》《民法典》《侵权责任法》《信息网络传播权保护条例》、国家标准《个人信息安全规范》、工信部《信息安全技术公共及商用服务信息系统个人信息保护指南》、《计算机信息网络国际联网安全保护管理办法》、《互联网电子公告服务管理办法》等法律法规作为基本指引。同时,也有考虑到我国即将出台的《常见类型移动互联网应用程序(App)必要个人信息范围》等法律法规,从而实现企业网络数据安全刑事合规制度的任务。笔者认为,网络数据安全刑事合规的一般方案,可以从以下几个基本领域展开。


(一)企业整体数据安全防护合规制度


      企业整体数据安全防护合规制度,即建立系统准备、吸收、恢复和适应数据安全不利影响(恶意攻击)的制度。整体数据安全防护是大量企业保障业务连续性的重要部分,它不仅仅是数据备份和恢复,而是需要真正动态和无缝的举措来为业务提供高度安全的保障。可以抵御外部网络攻击,限制安全事件的影响并保证攻击期间和攻击后的操作连续性。企业整体数据安全防护合规制度的主要目标是保护信息技术和系统,以及确保遭受外部网络犯罪行为、网络黑客行为、网络间谍活动等数据攻击后,企业的业务可以持续地运行。


(二)企业收集个人数据合规制度


      企业收集个人数据合规制度,是指设立完善的规范体系,确保企业收集其客户或其他个人的数据时,用户享有充分的知情权,可以清晰地获悉企业收集个人数据的目的,明确谁可以访问数据、为什么要收集数据、数据将如何使用。同时,企业收集个人数据合规制度,要求企业确保用户有权利选择是否提供个人数据。只有在用户授权后,企业才会进行数据收集,绝不会进行强制收集。当个人数据处理目的发生变更时,企业在处理前通过合理方式提示用户再次进行授权。此外,用户对个人数据拥有修改、删除的权利。个人收集数据之后,数据主体继续对自己的数据保持一定程度的授权,其可以通过要求企业提供关于他们的任何个人数据来依法行使这一权利。此类请求必须及时得到满足。


(三)企业个人数据控制权保障合规制度


      企业个人数据控制权保障合规制度,是指建立完善的规范体系,确保企业仅在有合法的法律依据的情况下才使用用户的数据,同时企业保留个人数据的时间仅限于满足收集目的所需的时间,并遵循相关规定或适用法律的相关要求。具体来看,企业个人数据控制权保障合规制度要确保企业保障用户的以下权利:删除其信息的权利(包括被遗忘的权利);有权访问他们的数据;取得其数据的权利(即数据可移植性)纠正不正确的权利;限制处理的权利(例如,用于直接营销或自动决策);反对向第三方披露其个人数据的权利。


(四)企业数据泄露防控合规制度


      企业数据泄露防控合规制度是指,企业针对数据泄露建立完备的积极预防规范和事故处理规范体系。在积极预防规范体系中:企业应构建并持续优化网络安全综合防护方案,提高对各种数据漏洞防护的适应能力;在事故处理规范体系中:对影响数据安全、已经或可能对个人信息产生影响的安全事件,建立了启动、响应、上报、缓解、解决、追溯取证和通知等一整套规范的安全事件管理流程及预案体系。


(五)企业第三方数据处理合规制度


      企业第三方数据处理合规制度是指,企业收集个人数据后,出租、出售或提供个人数据给第三方的规范体系。确保企业对用户个人数据的共享必须在用户授权或法律规定的共享范围和场景内,无用户授权或法律规定的情形下,不得共享用户个人数据。同时,即便是在用户授权和法律准许的情况下,企业与共享数据的第三方,也应当签署数据安全及保护相关协议,明确要求第三方妥善保护所共享的数据,并且第三方无权将所共享的数据用于任何其他用途。


(六)企业数据安全应急管理制度


      企业数据安全事件应急管理制度是指,企业在发现数据安全的紧急事件后,对于事件的应急处理行为的规范体系。一方面,企业的数据安全紧急事件不能不予以处理,必须积极地控制数据安全紧急事件,及时通知利害关系方,减少数据安全的损害。例如,2018年,谷歌公司旗下社交软件有50万用户的个人信息数据被泄露,谷歌公司尽管发现,但由于担心监管机构的审查和自身声誉受损,选择了未予以通知用户,由此引发了美国、欧洲多地监管机构对谷歌公司的处罚,并且还面临着大量的民事诉讼起诉和刑事诉讼调查。另一方面,企业的数据安全紧急事件不能随意处理,必须符合法律程序、途径和方式。例如,2021年9月我国《网络产品安全漏洞管理规定》开始生效,其中第7条明确规定,网络产品提供者发现网络安全漏洞后,应当在2口内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。然而,我国阿里云公司在发现了某网络基础软件重大安全漏洞后,却并未遵循规定及时上报给我国的官方平台,而是先向该基础软件运营方进行了通知,受到了我国行政机关的处罚。因此,企业必须要明确的认识到,数据安全领域的紧急事件,无论其以何种技术形式出现,其背后都是法律保护的重要数据安全利益已经被侵害,或者存在高度被侵害的风险。因此,企业在发现数据安全的紧急事件后,首先需要遵循的不是技术规则,而应当是法律规范指引。


五、结束语


      互联网和信息技术引发了人类社会的深刻变革,各类企业都在积极探索网络技术和数据技术的应用,进行技术创新,希望通过技术引领获得企业在新时代的竞争优势。然而,技术快速变革的同时也可能引发新的安全隐患、伦理冲突及社会矛盾。因此,技术创新和行为合规必须同步进行。在人类社会进入信息化、数字化、智能化的新一轮技术革命与后工业化浪潮的背景下,我国网络数据安全领域法律体系正在加速构建.而企业必须从顶层设计上将网络数据安全刑事合规贯穿业务策划、运行、评估的全流程保护策略合规风险规范化的数据处理流程在严密化管理体系和规范化制度的指引下,构建制度化的数据.这不仅是企业积极承担社会责任的表现.更是企业化解刑事确保企业可持续发展的必要准备。





1

END

1



稿约 //



      本号诚挚欢迎各类投稿,包括主题相关的书籍介绍、学位论文介绍、书评、时评、图片、音视频等。来稿请发送至邮箱dp123321@qq.com




往期回顾 //



【日】星周一郎:《大数据警务与信息技术侦查》

郑曦:《司法人工智能运用背景下的被告人质证权保障》

迈克尔·博兰德著、安柯颖译:《“全球圆形监狱”:大规模监控与作为反人类罪的数据隐私侵犯?》

贾斯瑶、郭旨龙:《比较法视野下警用人脸识别技术与公民隐私保护之平衡》

陈强、尹强:《智慧法院时代庭审记录改革的探索与优化——来自一线法官的实践观察》

王平、徐永伟:《涉众型网络谣言刑事治理的规范逻辑与责任边界》

罗伟玲、梁灯:《试论政府数据共享的暗礁及清障路径 ——一个被遗忘权的例子》

谭子文:《个人信息处理主体何以分类》

姚万勤、陈道晨:《网络爬虫行为规制的刑民界限》

袁康、鄢浩宇:《数据要素市场化配置的法律保障》




法大网络与智能法研究会|欢迎关注!


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存