刑事合规logo

林子淇律师:138-2220-6068

首席律师

广州刑事律师

联系律师

    广州林子淇律师

    咨询电话:138-2220-6068
    微信咨询:手机号即微信号
    执业证号:14401202011167183
    办公地址:广州市天河区珠江新城珠江东路高德置地冬广场G座24-25楼 广东金桥百信律师事务所。

大数据企业的合规计划如何开展

时间:2020-05-20 20:57:33,林子淇

一、现今环境

  (一)法律基础

  2017年6月1日施行的《网络安全法》,对于绝大部分互联网公司来说可能都是最重要、最需要深入学习的一部法律。该法一方面规定了网络运营者在网络运营安全方面的法律责任;另一方面,提出了网络运营者在收集、使用个人信息方面较为具体的法律限制。

  (二)政策背景

  近年来,互联网行业受到愈加严重的监管。去年,公安部门开展“净网2019专项行动”,人数众多的专案、大案频发。这些案件基本都是涉及到多个省份的全国性案件,影响非常广泛。基于刑事政策的影响,互联网行业从业人员更加迫切地需要提高刑事风控意识,企业对于刑事合规的需要也愈加凸显。由于其中大部分专案属于“数据”犯罪,所以可以说2019年是国家打击数据犯罪、维护数据安全的非常关键的一年。

  以笔者经办的“净网7号”侵犯公民个人信息案为例,其中有部分当事人是从事猎头行业或者为自己公司运营而收受简历的,原意是为了招聘,并不购买简历或出售简历获利,但依然被刑事立案。简历与一般的个人信息不同,提供自身简历的人很有可能是希望这些信息能够广泛传播的。因此,收受简历这一行为是否确实侵犯了侵犯公民个人信息罪的相关法益或许需要深入考量。

  笔者代理的当事人于侦查阶段取保,后不予移送审查起诉,但其只是其中的特例。以一般人的经验及理念去理解,传播简历的行为应当不具有很大的社会危害性,不至于动用刑法这样严厉的手段进行大规模取缔,然而事实却并非如此。

  另外,笔者去年经办的另一“数据产业案”涉及多个大数据公司、二十多名当事人、多个罪名。除了个别当事人系公司法定代表人外,这些当事人很多都只是普通的上班族或者公司高管,只是在大数据公司工作,没有注意处理好“接口”爬取数据的合规问题,导致进了看守所。

  而结合诸多涉互联网的罪名的犯罪构成可知,互联网行业的刑事立案标准实际上并不高,而且相关的刑事政策可能已经愈趋严厉。

  (三)行政处罚

  以网络运营者为例。

  依据相关法律法规,对网络运营者及关键信息基础设施运营者,不履行网络运行安全和网络信息安全义务的,有关主管部门以责令改正,给予警告,对拒不改正或者导致危害网络安全等后果的,或被处以罚款。目前,此类罚款的上限为50万元人民币。

  另外,如网络运营者不履行网络安全义务的情况严重,除上述处罚外,行政监管部门还可对其采取以下5种更加严厉的行政处罚:(1)责令暂停相关业务;(2)停业整顿;(3)关闭网站;(4)吊销相关业务许可证;(5)吊销营业执照。

  (四)易涉罪名

  一类是危害计算机信息系统安全的犯罪(可记为“网安类”),主要包括非法侵入计算机信息系统罪和破坏计算机信息系统罪两种犯罪。另一类是侵犯公民信息安全的犯罪(可记为“信息类”),主要包括侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、非法利用信息网络罪以及帮助信息网络犯罪活动罪四种罪名。

  其中,实践中最常见、应用最多的罪名系非法侵入计算机信息系统罪、侵犯公民个人信息罪;其次系拒不履行信息网络安全管理义务罪;再到非法获取计算机信息系统数据及非法控制计算机信息系统罪。这些重点罪名是大数据企业尤其需要注意的。

  二、大数据企业应如何设置合规计划?

  其一,企业需依据《网络安全法》及《刑法》等相关法律法规,制定企业内部个人信息保护合规政策及员工行为准则,悬挂或张贴在企业显眼处,以示公司的合规决心,营造合规氛围及文化。

  其二,企业获取公民个人信息时,应符合国家规定,以授权或同意为基本原则。只有在极其特殊的情况下,国家规定可以为了公共利益等因素直接采集公民个人信息,方可不经允许便采集。如某部分信息为使用企业相关服务所必须,企业应提前做出警示,让使用者做选择。

  其三,谨慎使用数据“爬虫”,禁止爬取政府部门、商业机构乃至个人的非公开信息并私自进行节流,尤其要预防爬取发布了“反爬声明”(robots协议)的网站的相关数据。

  其四,在数据保存方面,企业应对个人信息进行“去标识化”及加密处理,分类别及隐私层级设置访问或接触的权限。另外,长期维护企业内部个人信息库,对于无用或者过期的信息尽量剔除,以免增加额外风险。

  其五,向他人提供公民个人信息,要坚持授权原则、匿名原则及合法使用原则。如和其他企业或者其他机构的数据之间存在互换或者合作协议,要尤其注重在设置协议时将权限规定得尽可能细化。某种程度上,企业掌握的公民个人信息等数据可能也构成企业的商业秘密,如非必要,尽量不要用于互换。

  其六,对合作伙伴或第三方的合规情况开展尽职调查。避免因为上下游企业或者合作伙伴乃至亲近的朋友等在信息数据方面的违法违规行为而陷入刑事纠纷。在发现和甄别潜在的合规风险后,应当对合作企业的风险级别进行评估及分类。如认为合规风险级别较高,应当另外寻找合作对象;如合规风险级别一般,应当在合同中另外附风险声明书或承诺书供其签署;如合规风险级别较低,也仍可书面向第三方提出改进合规管理体系的要求,以隔绝风险。对于第三方或者子公司等出现的泄露个人信息的行为,企业应尽到注意义务、提醒义务和惩戒义务,尽量以比《刑法》和《网络安全法》目前明确规定的要求更高的标准来要求自己。

  其七,在银行、教育、电信、物流、证券、娱乐、电商、猎头等与数据有关的重点行业,要特别警惕内部人员犯罪及注重内部反腐。企业可通过制定信息保护合规政策及员工手册,实施合规承诺制度,与员工签署保密协议,建立定期合规培训制度等方式预防人员的不合规行为。需要注意的是,要留下实施合规计划的电子及书面证据并妥善保存。

  其八,通过区块链技术对数据的轨迹进行留痕,保证数据的可回溯性,定期查验数据获取、保存乃至使用情况,数据获取、保存、使用的每个环节均由专人负责,实行审批制,留下记录。

  其九,企业要处理好网络安全问题,避免因被爬取非公开数据及因黑客攻击而造成数据泄露。企业要建立一整套较为完整的个人信息保护合规政策,通过集体学习、考试等方式让员工对数据合规相关的规定产生并维持足够了解,营造全员保护数据的环境,提高每个员工的数据合规能力。

  其十,随时跟进行业动态,尤其要关注其他同类企业的被约谈情况。如不幸因为合规问题被监管部门约谈,应尽快约见律师。在监管部门提出整改要求后,应配合监管部门的调查,深入整改。必要时启动内部调查程序以发现管理漏洞,针对漏洞进行调查:找出责任人,看其行为系基于故意还是过失;通过什么手段或者无意中实施何种行为触发了风险;漏洞的具体情况如何,以此得出处理方案,包括“对人”的处理及对“事情”的措施。