北京瀛和律師事務(wù)所 知識(shí)產(chǎn)權(quán)中心主任 趙禮杰

數(shù)據(jù)強(qiáng)監(jiān)管下的嚴(yán)峻形勢(shì)

數(shù)據(jù)治理是全球性的新問題，中國(guó)作為數(shù)字經(jīng)濟(jì)大國(guó)，近兩年數(shù)據(jù)治理與數(shù)據(jù)合規(guī)問題備受關(guān)注，如今數(shù)據(jù)安全不但關(guān)系到社會(huì)民生，更是關(guān)乎國(guó)家安全的大事。

趙禮杰首先列舉了近幾年發(fā)生的五大數(shù)據(jù)泄露案例：

• 案例1、2021年8月23日，阿里云泄露用戶信息被責(zé)令整改;
• 案例2、2021年7月2日，滴滴被網(wǎng)信辦啟動(dòng)網(wǎng)絡(luò)安全審查，IPO僅兩天，暫停新用戶注冊(cè);
• 案例3、2021年7月5日，運(yùn)滿滿、貨車幫、BOSS直聘被網(wǎng)絡(luò)安全審查;
• 案例4、2019年2月，深網(wǎng)視界的數(shù)據(jù)泄露事件，共有超過250萬人的數(shù)據(jù)信息被泄露;
• 案例5、2018年，某數(shù)據(jù)企業(yè)員工轉(zhuǎn)賣個(gè)人信息刑事案件。

“通過以上案例可以看出，數(shù)據(jù)合規(guī)治理對(duì)于所有涉及到數(shù)據(jù)處理的企業(yè)，都是非常重要的一件事兒。”趙禮杰強(qiáng)調(diào)：“數(shù)據(jù)合規(guī)治理與企業(yè)的合法、可持續(xù)運(yùn)營(yíng)直接相關(guān)。”

數(shù)據(jù)合規(guī)涉及的主要法律問題

• 1. 數(shù)據(jù)安全，與每個(gè)企業(yè)相關(guān);
• 2. 隱私和個(gè)人信息保護(hù)，與企業(yè)的運(yùn)營(yíng)直接相關(guān);
• 3. 數(shù)據(jù)權(quán)屬和數(shù)據(jù)資產(chǎn)，涉及到作為數(shù)據(jù)采集的自然人有哪些權(quán)利，以及如何開發(fā)和利用數(shù)據(jù)的問題;
• 4. 數(shù)據(jù)壟斷和不正當(dāng)競(jìng)爭(zhēng)，某些頭部企業(yè)擁有大量數(shù)據(jù)，是否涉及反壟斷問題?通過爬蟲技術(shù)爬數(shù)據(jù)，是否屬于不正當(dāng)競(jìng)爭(zhēng)行為?
• 5. 個(gè)人信息和重要數(shù)據(jù)出境;
• 6. 征信。

中國(guó)數(shù)據(jù)領(lǐng)域的三部基礎(chǔ)法律

中國(guó)數(shù)據(jù)領(lǐng)域的三部基礎(chǔ)法律分別是2017年6月1日實(shí)施的《網(wǎng)絡(luò)安全法》，2021年9月1日實(shí)施的《數(shù)據(jù)安全法》，以及2021年11月1日實(shí)施的《個(gè)人信息保護(hù)法》。

《數(shù)據(jù)安全法》的監(jiān)管對(duì)象是數(shù)據(jù)處理活動(dòng)，它不像《網(wǎng)絡(luò)安全法》只關(guān)注網(wǎng)絡(luò)空間，對(duì)于非網(wǎng)絡(luò)空間的數(shù)據(jù)也要進(jìn)行監(jiān)管，對(duì)所有數(shù)據(jù)都進(jìn)行保護(hù)。《數(shù)據(jù)安全法》涉及到很多關(guān)鍵事項(xiàng)，例如數(shù)據(jù)安全標(biāo)準(zhǔn)體系的建設(shè)、數(shù)據(jù)的分類分級(jí)保護(hù)、數(shù)據(jù)跨境流動(dòng)監(jiān)管、數(shù)據(jù)安全風(fēng)險(xiǎn)預(yù)警機(jī)制及應(yīng)急處理機(jī)制等。

《個(gè)人信息保護(hù)法》更關(guān)注自然人的個(gè)人信息，對(duì)個(gè)人信息的范圍進(jìn)行新的界定，確立了個(gè)人信息的基本處理原則，對(duì)個(gè)人信息的主體權(quán)利做出了明確規(guī)定，并且明確規(guī)定了個(gè)人信息處理者的義務(wù)。

《數(shù)據(jù)安全法》要點(diǎn)解讀

《數(shù)據(jù)安全法》第21條中需要重點(diǎn)關(guān)注的三個(gè)要點(diǎn)：

一是明確規(guī)定國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度。對(duì)應(yīng)的企業(yè)應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度，依據(jù)所處行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)。

據(jù)趙禮杰介紹，目前很多頭部企業(yè)已經(jīng)在進(jìn)行數(shù)據(jù)的分類分級(jí)，部分頭部企業(yè)的分類分級(jí)比法律現(xiàn)有的分類更加精細(xì)，而一些成長(zhǎng)型的企業(yè)尤其是創(chuàng)業(yè)型公司并沒有做到數(shù)據(jù)的分類分級(jí)。《數(shù)據(jù)安全法》9月1日起實(shí)施，企業(yè)數(shù)據(jù)分類分級(jí)已經(jīng)是刻不容緩的事。

二是國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。國(guó)家對(duì)重要數(shù)據(jù)的監(jiān)管會(huì)非常嚴(yán)格，尤其是對(duì)數(shù)據(jù)出鏡的監(jiān)管，重要數(shù)據(jù)出鏡必須經(jīng)過審查。以前，很多大型企業(yè)的研發(fā)中心設(shè)在境外，可以直接將數(shù)據(jù)傳到境外用于新產(chǎn)品的研發(fā)。如今，大家習(xí)以為常的數(shù)據(jù)處理方式可能就是違法犯罪。是否違法，還需要根據(jù)業(yè)務(wù)內(nèi)容以及數(shù)據(jù)的重要程度與法務(wù)團(tuán)隊(duì)深入研究。

三是關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國(guó)家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度。針對(duì)這一點(diǎn)，企業(yè)在開展業(yè)務(wù)的過程中是否會(huì)涉及到這些數(shù)據(jù)?安全解決方案供應(yīng)商在為相關(guān)政府部門提供服務(wù)時(shí)，是否會(huì)接觸到這些數(shù)據(jù)?《數(shù)據(jù)安全法》落地過程中，所有法律條文明確后，企業(yè)需要提前準(zhǔn)備，及時(shí)調(diào)整業(yè)務(wù)模式，防范可能長(zhǎng)期存在的法律風(fēng)險(xiǎn)。

《數(shù)據(jù)安全法》第27條中規(guī)定了數(shù)據(jù)安全保護(hù)義務(wù)：

這是《數(shù)據(jù)安全法》中的核心內(nèi)容。第27條規(guī)定：開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。

趙禮杰表示：企業(yè)在數(shù)據(jù)處理的整個(gè)生命周期中，從數(shù)據(jù)的采集、存儲(chǔ)、處理到刪除，要經(jīng)過很多處理流程，企業(yè)需要考慮是否建立了完善的全流程數(shù)據(jù)安全管理制度，沒有建立的企業(yè)需要盡快落實(shí)。數(shù)據(jù)安全教育培訓(xùn)和相關(guān)的技術(shù)措施等也要跟上。

另外，第27條規(guī)定：重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。

這里強(qiáng)調(diào)如果處理重要數(shù)據(jù)，需要明確一個(gè)安全負(fù)責(zé)人和管理機(jī)構(gòu)，盡到數(shù)據(jù)安全保護(hù)義務(wù)。刑法中如果企業(yè)單位犯罪，直接責(zé)任人可能會(huì)遭受刑事處罰，數(shù)據(jù)安全負(fù)責(zé)人是否是直接責(zé)任人?趙禮杰表示這是一個(gè)新的概念，目前還沒有實(shí)際案例，但是從法理的角度分析，應(yīng)該是對(duì)應(yīng)關(guān)系，而且直接責(zé)任人不只限于數(shù)據(jù)安全負(fù)責(zé)人，還包括管理機(jī)構(gòu)中的其他人。

《數(shù)據(jù)安全法》第45條規(guī)定需要承擔(dān)的法律責(zé)任：

開展數(shù)據(jù)處理活動(dòng)的組織、個(gè)人不履行本法第二十七條、第二十九條、第三十條規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數(shù)據(jù)泄露等嚴(yán)重后果的，處五十萬元以上二百萬元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處五萬元以上二十萬元以下罰款。

違反國(guó)家核心數(shù)據(jù)管理制度，危害國(guó)家主權(quán)、安全和發(fā)展利益的，由有關(guān)主管部門處二百萬元以上一千萬元以下罰款，并根據(jù)情況責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照;構(gòu)成犯罪的，依法追究刑事責(zé)任。

從以上法律條文來看，不僅有對(duì)企業(yè)的處罰，還包括直接負(fù)責(zé)的主管人員以及其他責(zé)任人員的處罰。對(duì)于公司而言，違反《數(shù)據(jù)安全法》不僅會(huì)被行政處罰，還可能涉及暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)的許可證或者吊銷營(yíng)業(yè)執(zhí)照，處1000萬元以下罰款，構(gòu)成犯罪的要依法追究刑事責(zé)任。

第45條中尚未列出數(shù)據(jù)出鏡的相關(guān)處罰，趙禮杰表示，對(duì)數(shù)據(jù)出鏡的處罰會(huì)更加嚴(yán)格。

《個(gè)人信息保護(hù)法》要點(diǎn)解讀

《個(gè)人信息保護(hù)法》第24條關(guān)于大數(shù)據(jù)殺熟的相關(guān)規(guī)定： 個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。

通過自動(dòng)化決策方式向個(gè)人進(jìn)行信息推送、商業(yè)營(yíng)銷，應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式。

《個(gè)人信息保護(hù)法》第28條關(guān)于個(gè)人敏感信息的相關(guān)規(guī)定：敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。

第28條第二款規(guī)定：只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息。也就是說，按照《個(gè)人信息保護(hù)法》的規(guī)定，企業(yè)以前處理的某些信息，現(xiàn)在可能不能再繼續(xù)處理了，或者需要評(píng)價(jià)是否符合處理的必要性，而且需要區(qū)分普通個(gè)人信息和敏感個(gè)人信息，包括獲取個(gè)人信息的彈窗提示都需要調(diào)整。

《個(gè)人信息保護(hù)法》第29條規(guī)定：處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。例如，人臉識(shí)別中的人臉信息采集，屬于生物識(shí)別信息，以前的常規(guī)做法是將人臉采集的相關(guān)協(xié)議放在整個(gè)用戶協(xié)議中加粗顯示，如今需要單獨(dú)在彈框中顯示采集的用途，并且征求個(gè)人同意。涉及到APP的企業(yè)尤其是相關(guān)技術(shù)專家、CIO，需要針對(duì)彈窗設(shè)置及用戶體驗(yàn)等因素綜合考慮如何調(diào)整。

《個(gè)人信息保護(hù)法》第52條規(guī)定：處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督。這里的個(gè)人信息保護(hù)負(fù)責(zé)人與《數(shù)據(jù)安全法》中的負(fù)責(zé)人是同一概念，在很多場(chǎng)景下，這個(gè)負(fù)責(zé)人就是CIO，因此CIO要盡到相關(guān)的法律責(zé)任，盡量做好防控措施。

《個(gè)人信息保護(hù)法》第66條規(guī)定了需要承擔(dān)的法律責(zé)任，在此不再詳細(xì)展開。

數(shù)據(jù)與個(gè)人信息相關(guān)刑事責(zé)任

隨后，趙禮杰律師分析了與其相關(guān)的兩個(gè)《刑法》中的法律條文。

《刑法》第253條之一的侵犯公民個(gè)人信息罪，與《個(gè)人信息保護(hù)法》中提到的刑事責(zé)任相對(duì)應(yīng)。

第253條規(guī)定：向他人出售或者提供公民個(gè)人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。

《刑法》第286條規(guī)定：網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，致使違法信息大量傳播的;致使用戶信息泄露，造成嚴(yán)重后果的;致使刑事案件證據(jù)滅失，情節(jié)嚴(yán)重的;或有其他嚴(yán)重情節(jié)的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金。

企業(yè)的數(shù)據(jù)合規(guī)開展建議

趙禮杰律師陳述了企業(yè)開展數(shù)據(jù)合規(guī)工作的基本流程。

首先是盡職調(diào)查，調(diào)查范圍包括：

其次是問題分析與合規(guī)方案制定。針對(duì)盡職調(diào)查結(jié)果，進(jìn)行合規(guī)性分析和法律風(fēng)險(xiǎn)分析，并相應(yīng)制定合規(guī)方案。

最后是合規(guī)方案實(shí)施與持續(xù)優(yōu)化：

• 1. 數(shù)據(jù)授權(quán)文件優(yōu)化;
• 2. 數(shù)據(jù)流控制和優(yōu)化;
• 3. 數(shù)據(jù)跨境評(píng)估;
• 4. 數(shù)據(jù)分類處理;
• 5. 數(shù)據(jù)管理制度完善。

針對(duì)企業(yè)數(shù)據(jù)合規(guī)工作的實(shí)操建議

• 1、建立健全的數(shù)據(jù)合規(guī)機(jī)構(gòu)和負(fù)責(zé)人;
• 2、在企業(yè)全員范圍內(nèi)培育數(shù)據(jù)合規(guī)文化;
• 3、建立基于業(yè)務(wù)的數(shù)據(jù)合規(guī)機(jī)制和制度;
• 4、基于數(shù)據(jù)處理全生命周期進(jìn)行數(shù)據(jù)合規(guī);
• 5、主動(dòng)推進(jìn)數(shù)據(jù)合規(guī)工作并持續(xù)優(yōu)化;
• 6、重點(diǎn)關(guān)注與防控高危數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)。

總結(jié)

數(shù)據(jù)強(qiáng)監(jiān)管時(shí)代已經(jīng)到來，做好數(shù)據(jù)合規(guī)是企業(yè)良性發(fā)展的必由之路。趙禮杰律師建議那些有遠(yuǎn)見的CIO，應(yīng)當(dāng)格外重視數(shù)據(jù)合規(guī)，并將可能涉刑的合規(guī)事項(xiàng)作為數(shù)據(jù)合規(guī)的重中之重。