企業(yè)經(jīng)營中的數(shù)據(jù)安全合規(guī)與刑事風(fēng)險提示

□ 梁雅麗 唐宛茁

近期，許多互聯(lián)網(wǎng)企業(yè)平臺受到網(wǎng)絡(luò)安全審查，例如滴滴、貨滿滿、貨車幫、BOSS 直聘等知名網(wǎng)絡(luò)平臺，相關(guān)部門對其作出了“下架”“暫停新用戶注冊”等決定。由此，企業(yè)對收集公民個人信息的行為應(yīng)當(dāng)嚴(yán)格自查，嚴(yán)格規(guī)范公民個人信息收集方案，遵循最小必要原則。企業(yè)如果無法保證數(shù)據(jù)安全，就無法保證經(jīng)營安全。

數(shù)據(jù)安全解讀

在開展合規(guī)工作前，對于合規(guī)主體和數(shù)據(jù)性質(zhì)應(yīng)當(dāng)明確以下基礎(chǔ)問題。

關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施運營者的認(rèn)定。2016 年，《網(wǎng)絡(luò)安全法》首次在我國法律體系內(nèi)正式提出“關(guān)鍵信息基礎(chǔ)設(shè)施”這一概念，并對CII 運營者的安全保護(hù)義務(wù)與措施、風(fēng)控措施與應(yīng)急機制以及相應(yīng)的法律責(zé)任都作了規(guī)定，但對CII 的認(rèn)定和保護(hù)范圍尚不明確，導(dǎo)致相關(guān)條文長期“沉寂”。

直至今年，國務(wù)院于8 月17 日發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡稱“《條例》”），對CII安全保護(hù)的適用范圍、監(jiān)管主體、評估對象等作出界定，并為安全保護(hù)工作開展提供系統(tǒng)指引和工作遵循，實則是對《網(wǎng)絡(luò)安全法》中關(guān)于CII 的16 個條文的進(jìn)一步細(xì)化，從規(guī)范體系上為《網(wǎng)絡(luò)安全法》作了有力補充。

《條例》也讓企業(yè)在CII 安全保護(hù)方面的權(quán)利和責(zé)任得以合法化，企業(yè)如何在數(shù)據(jù)安全領(lǐng)域自我定位、自我審查，如何開展數(shù)據(jù)合規(guī)得到進(jìn)一步明示。

根據(jù)《條例》第二條，CII 是指“公共通信和信息服務(wù)、能源、交通、水利、金融、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等”。同時，《條例》第二章提供了認(rèn)定CII 的規(guī)則指引，考慮因素在于：對于本行業(yè)、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度；一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來的危害程度；對其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。

以滴滴為例。盡管滴滴事件發(fā)生時尚未有明確的CII 運營者界定標(biāo)準(zhǔn)，但作為國內(nèi)最大的出行平臺軟件，其收集的信息包括地圖、公民個人信息、道路信息等等，這些數(shù)據(jù)經(jīng)過排列組合，可以分析得出重要信息，例如國家不予公開的地理位置信息、涉密部門員工的工作信息等等。從實質(zhì)審查角度看，其掌握的數(shù)據(jù)若向境外泄露，則足以達(dá)到“嚴(yán)重危害國家安全、國計民生、公共利益”的程度。

需要注意的是，從《網(wǎng)絡(luò)安全法》到《數(shù)據(jù)安全法》以及今年11 月生效的《個人信息保護(hù)法》，再到國務(wù)院出臺的關(guān)于“互聯(lián)網(wǎng)+”的相關(guān)行政法規(guī)，都強調(diào)了關(guān)鍵信息基礎(chǔ)設(shè)施運營者在我國境內(nèi)收集和產(chǎn)生的個人信息應(yīng)當(dāng)存儲于境內(nèi)，跨境則需經(jīng)安全評估等法律程序。

從滴滴事件同樣可以看出，數(shù)據(jù)跨境交流與網(wǎng)絡(luò)安全、數(shù)據(jù)安全乃至國家安全都存在關(guān)聯(lián)。滴滴這樣的行業(yè)龍頭企業(yè)尚會“馬前失蹄”，足見我國不少企業(yè)對網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)意識匱乏，亟須轉(zhuǎn)變經(jīng)營理念，重視數(shù)據(jù)合規(guī)。

“重要數(shù)據(jù)”的界定。2017 年，國家網(wǎng)信辦關(guān)于《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》第十三條第四款規(guī)定：“重要數(shù)據(jù)，是指與國家安全、經(jīng)濟發(fā)展，以及社會公共利益密切相關(guān)的數(shù)據(jù)，具體范圍參照國家有關(guān)標(biāo)準(zhǔn)和重要數(shù)據(jù)識別指南?！?/p>

《數(shù)據(jù)安全法》第二十一條規(guī)定：“國家建立分類分級保護(hù)制度”，“國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，加強對重要數(shù)據(jù)的保護(hù)”?！案鞯貐^(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護(hù)制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進(jìn)行重點保護(hù)?！?/p>

具體而言，開展數(shù)據(jù)合規(guī)工作，應(yīng)當(dāng)注意以下幾個方面。

一是互聯(lián)網(wǎng)企業(yè)、上市公司應(yīng)當(dāng)注重雙重合規(guī)。雙重合規(guī)是順應(yīng)時代的舉措，僅根據(jù)國內(nèi)或國外法律進(jìn)行合規(guī)，對企業(yè)的發(fā)展會產(chǎn)生阻礙。中國的企業(yè)處于數(shù)字化和全球化的時代，面臨國際化的雙重合規(guī)要求。

7 月6 日，國務(wù)院辦公廳發(fā)布《依法從嚴(yán)打擊證券違法活動的意見》，專門提出了加強跨境監(jiān)管的合作，包括完善數(shù)據(jù)安全、數(shù)據(jù)的跨境流動、設(shè)備信息的管理、完善這些法律法規(guī)。所以對于經(jīng)營企業(yè)而言，保障數(shù)據(jù)安全的合規(guī)更加緊迫。在美上市的中國企業(yè)除了要符合在美上市的相關(guān)規(guī)定外，也應(yīng)根據(jù)我國的法律規(guī)定進(jìn)行合規(guī)審查，并且在兩者沖突時，優(yōu)先考慮國內(nèi)的合規(guī)性。

二是集團(tuán)企業(yè)、關(guān)聯(lián)企業(yè)的數(shù)據(jù)合規(guī)工作應(yīng)當(dāng)標(biāo)準(zhǔn)化、系統(tǒng)化、制度化。由于現(xiàn)在很多企業(yè)有多家子公司、分公司，企業(yè)內(nèi)部結(jié)構(gòu)復(fù)雜，同一集團(tuán)內(nèi)部持有的數(shù)據(jù)可能分類結(jié)果上不一致，從而很難實現(xiàn)集團(tuán)內(nèi)合規(guī)層面的一致性。

首先，建立數(shù)據(jù)安全治理體系。應(yīng)當(dāng)委派高管牽頭負(fù)責(zé)數(shù)據(jù)安全治理工作，根據(jù)《數(shù)據(jù)安全法》等法律法規(guī)的監(jiān)管要求開展自身數(shù)據(jù)分類分級工作，對企業(yè)數(shù)據(jù)實施分類分級管理，分類分級結(jié)果與數(shù)據(jù)存儲、權(quán)限、脫敏、開發(fā)等措施掛鉤，實現(xiàn)體系管理。其次，企業(yè)應(yīng)該定期開展風(fēng)險評估和數(shù)據(jù)安全成熟度評估，并通過實網(wǎng)攻防以及安全應(yīng)急響應(yīng)演練，及時改進(jìn)存在的風(fēng)險。最后，企業(yè)還應(yīng)建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，增強員工數(shù)據(jù)安全意識，提高企業(yè)自身數(shù)據(jù)安全能力。

三是中小企業(yè)應(yīng)當(dāng)注意合規(guī)成本的必要性。對于境內(nèi)的中小企業(yè)而言，合規(guī)成本是不得不考慮的問題。如果成立合規(guī)管理部門成本太高，中小企業(yè)至少也應(yīng)該設(shè)立“合規(guī)官”這一崗位，由專職且相對獨立的人員對企業(yè)的主要業(yè)務(wù)行為和重點風(fēng)險領(lǐng)域進(jìn)行合規(guī)整改，保證企業(yè)的主營商業(yè)模式和重點業(yè)務(wù)領(lǐng)域合法合規(guī)，把錢花在刀刃上。

數(shù)據(jù)安全風(fēng)險的防控，不僅是法律問題，也是技術(shù)問題，需要結(jié)合企業(yè)自身的盈利模式具體分析。企業(yè)并非為了合規(guī)而合規(guī)，其根本目的仍在于保障企業(yè)有持續(xù)穩(wěn)定的盈利空間，這需要多方的共同參與，包括企業(yè)經(jīng)營者、企業(yè)法務(wù)、合規(guī)官、律師團(tuán)隊等多重視角。對于大部分境內(nèi)的中小企業(yè)而言，數(shù)據(jù)安全風(fēng)險主要體現(xiàn)在對個人信息的收集和處理上，風(fēng)險點在于過度收集、多次分享、超權(quán)限利用等行為。在當(dāng)前階段，樹立數(shù)據(jù)安全風(fēng)險意識和合規(guī)意識，了解相關(guān)法律規(guī)定，聽取專業(yè)人員的意見，就足以防控境內(nèi)中小企業(yè)面臨的大多數(shù)數(shù)據(jù)安全風(fēng)險。

刑事風(fēng)險解讀

企業(yè)在獲取個人、政府機構(gòu)或其他企業(yè)的相關(guān)信息數(shù)據(jù)時，需要特別注意其中的刑事風(fēng)險點，避免企業(yè)或企業(yè)經(jīng)營者陷入刑事風(fēng)險并承擔(dān)相應(yīng)的刑事責(zé)任。

其一，與信息獲取行為相關(guān)的刑事風(fēng)險。企業(yè)如果存在非法獲取公民個人信息的行為，則涉嫌構(gòu)成侵犯公民個人信息罪。如果企業(yè)通過非法手段接入政府或醫(yī)療機構(gòu)信息系統(tǒng)獲取公民的個人信息，則涉嫌構(gòu)成非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪，如果獲取的是相關(guān)行業(yè)的秘密信息等，則涉嫌構(gòu)成侵犯商業(yè)秘密罪。

其二，與信息處理行為相關(guān)的刑事風(fēng)險。企業(yè)如果違反數(shù)據(jù)安全保護(hù)義務(wù)，且拒不改正或者造成大量數(shù)據(jù)泄露等嚴(yán)重后果的，涉嫌構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。

《數(shù)據(jù)安全法》第三十四條規(guī)定，法律、行政法規(guī)規(guī)定提供數(shù)據(jù)處理相關(guān)服務(wù)應(yīng)當(dāng)取得行政許可的，服務(wù)提供者應(yīng)當(dāng)依法取得許可。因此，如未獲得在線數(shù)據(jù)處理行業(yè)許可證，違反準(zhǔn)入許可制度從事相關(guān)經(jīng)營活動的，則涉嫌構(gòu)成《刑法》第二百二十五條的非法經(jīng)營罪。