动态与观点
——引 言——
前不久,短视频巨头TikTok首席执行官出席美国国会众议院能源和商务委员会听证会,凸显出数据安全成为中美两国博弈间的重要性。如果TikTok在中国,它会面临什么样的数据合规风险呢?
数据被誉为“新时代的石油”,是基础性资源和战略性资源,也是重要生产力。数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式。是发展数字经济的关键生产要素,促进实体经济与虚拟经济融合的关键资源,也是推进国家治理现代化的关键要素。
目前在数据合规领域,国家已经形成了以《刑法》和《民法典》等法律为基础,以《网络安全法》《个人信息保护法》《数据安全法》三部法律为核心,以网信部门以及各中央部门专门法规和规章为支持的系统化、体系化监管格局。
随着相关细则的不断更新,企业数据合规的风险也越来越大,本文简要分析企业在数据收集、数据使用以及数据存储与删除三阶段的合规和法律风险及相关责任,并对企业在数据合规体系建设方面提出一点建议。
——探 讨——
相关概念与定义
数据与信息
企业要做数据合规,首先得了解什么是数据?数据与信息到底有什么区别?
一般理解认为数据仅仅是数字组合,这种理解并没有触及数据的本质。“数据(英语:data)又称资料,是通过观测得到的数字性的特征或信息。”这是维基百科上对数据的定义。也有人认为数据就是对客观事实的描述或是我们通过观察、实验或计算得出的结果。
这些专业的解释或许都有不同的视角,但也说明关于数据的概念目前还缺乏共识,而企业数据合规需要依据法律定义作为标准。
《数据安全法》第三条对于数据有以下定义:数据是指任何以电子或者其他方式对信息的记录。
《个人信息保护法》第四条对个人信息的界定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
结合两部法律关于数据与信息的定义,从文本逻辑上理解,数据就是信息的载体,数据可能是杂乱无序的,只有数据中那些有用的内容才能称之为信息。
所以说数据虽然是信息化时代出现的概念,但不是现代才有的事物,人类自诞生以来就已经在用各种方式记录数据,从最早的结绳记事,到文字图画,再到如今的数字数据。随着电子传感器的发展、数据数字化和计算机的发明,现在世界上每年产生的数据量超越了以前千年的量级。
企业要明白,数据合规关注不只是网络领域的数字数据,像类似于用户信息登记表、员工信息登记表,设计图纸之类的非电子记录信息同样是数据合规关注的对象。
重要数据、核心数据、一般数据
数据概念的外延如此之广,是不是企业要对每一条数据都有一样的合规要求?
并不是这样的。《数据安全法》第二十一条第一款规定:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
《数据安全法》虽然规定了数据分级保护制度,提到了“重要数据”的概念,但是对于什么是“重要数据”,如何分级保护并没有详细规定。
2021年11月14日,国家网信办发布《网络数据安全管理条例(征求意见稿)》,作为行政法规,该征求意见稿明确了“重要数据”的定义。
《网络数据安全管理条例(征求意见稿)》第五条将数据按照对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,分为一般数据、重要数据、核心数据。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
其中重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。除此之外则属于一般数据。
《网络数据安全管理条例(征求意见稿)》列举了7大类重要数据,但企业掌握的数据到底是否属于是重要数据,2022年《信息安全技术 重要数据识别指南(征求意见稿)》可以作为指引。
但这两份法律文件都还是在征求意见阶段,最终版本是否会有所变动还需要看征求意见的结果。但是对于企业而言,在数据分级保护上应当秉持从严原则,重要数据并非是静态概念,而是动态变化的。
个人信息与敏感个人信息
在数据安全领域,个人信息或者说个人数据是其中最特殊的一部分,有部分数据分类的概念就依据数据来源的不同,将数据分为个人数据和非个人数据。
《欧盟通用数据保护条例》第4条第1款规定,如果根据该数据可以直接或者间接的识别一个人,那么该数据就属于个人数据。中国《个人信息保护法》的定义与此类似,但这种定义都过于简略。
关于个人信息的定义,《民法典》第一千零三十四条则有比较详细的规定:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条也沿用这个定义。
《个人信息保护法》第二节在个人信息一般处理规则之外,单独规定了敏感个人信息的处理规则。
《个人信息保护法》第二十八条规定:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
敏感个人信息比《民法典》当中关于个人隐私既有重叠,但也有不同之处。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。私密信息自然属于敏感个人信息,但私密空间与私密活动显然不是。
数据全生命周期
相关法律风险及责任
数据全生命周期指的是数据从生成到销毁的整个生命周期,包括数据采集、数据存储、数据处理、数据传输、数据交换、数据销毁。总结下来其实就是数据的三个阶段:数据收集阶段、数据使用阶段、以及数据存储与销毁阶段。
在不同的阶段,数据合规会面临不同的风险,也涉及不同的责任。
数据收集阶段的数据合规风险
《数据安全法》第三十二条规定:任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
数据收集阶段是数据合规风险管理的起点,合法、正当地收集数据也是后续数据使用的基础。数据收集的方式按取得的直接程度一般可分为三种:
第一方数据:为己方单位自己和消费者、用户、目标客群互动产生的数据,如企业搜集的顾客交易数据、追踪用户在APP上的浏览行为等;
第二方数据:通常来自于第一方,通过共享或采购第一方数据;如平台企业开通API接口。
第三方数据:提供数据的来源单位,并非产出该数据的原始者,该数据即为第三方数据。如威科先行等法律数据库,其数据来源来自于国家单位。还有一些单位通过网络爬虫技术获取的数据,也属于第三方数据。
数据收集阶段,根据不同的情况,可能涉及民事责任、行政责任以及刑事责任。
1. 民事责任
在数据收集阶段,民事责任最大的风险来源是收集个人信息。稍有不注意就可能侵犯个人隐私,需要承担相应的民事责任,包括赔偿损失、赔礼道歉、消除影响等。
《民法典》第一千零三十五条规定,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理。
《个人信息保护法》当中确立了个人信息处理“知情-同意”原则,对于敏感个人信息还需要单独同意。处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
数据收集过程当中,利用网络爬虫技术收集数据,违反爬虫规则,还可能涉及《反不正当竞争法》的相关规定。
某点评诉某度一案
(2016)沪73民终242号
上海知识产权法院认为:某点评网上用户评论信息是汉某公司付出大量资源所获取的,且具有很高的经济价值,这些信息是汉某公司的劳动成果。某度公司未经汉某公司的许可,在其某地图和某知道产品中进行大量使用,这种行为本质上属于“未经许可使用他人劳动成果”。
对于非公开数据的网络抓取,极有可能涉及侵犯他人商业秘密,进而违反《反不正当竞争法》第九条的规定。
2. 行政责任
《网络安全法》《个人信息保护法》以及《数据安全法》及其配套的法律法规,规定了详细的企业数据监管措施,违反这些措施可能需要承担相应的行政责任。
如过度收集个人信息,收集个人信息应当遵循合法、正当、必要的原则,不收集与所提供服务无关的个人信息。对强制、过度收集个人信息,未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息,发生或可能发生信息泄露、丢失而未采取补救措施,非法出售、非法向他人提供个人信息等行为,按照《网络安全法》《消费者权益保护法》等依法予以处罚,包括责令App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。
2022年7月21日,国家互联网信息办公室(以下简称网信办)依据《网络安全法》《数据安全法》个人信息保护法》及《行政处罚法》等法律法规,对A全球股份有限公司处人民币80.26亿元罚款,对A全球股份有限公司董事长兼CEO程某、总裁柳某各处100万元人民币罚款。在国家网信办披露的A涉及的16项违法事实中,包括过度收集个人信息、强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等多种情形,大部分是在数据收集阶段出现的。
3. 刑事责任
根据数据所表达的信息不同,违反相关国家规定所涉及的刑事责任也将不同。
数据收集合规风险产生的刑事责任比较直接是《刑法》第二百五十三条之一侵犯公民个人信息罪。违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。侵犯公民个人信息罪同样也是单位犯罪,单位犯此罪,单位以及直接负责的主管人员和其他直接责任人员都将被科以刑罚。
而除直接侵犯公民个人信息罪之外,在数据收集的过程当中,如果采用非法采用爬虫技术收集数据,则可能涉嫌违反《刑法》第285条规定的非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪。
如果收集到的数据涉及国家秘密或者商业秘密,则有可能涉嫌非法获取国家秘密罪或者侵犯商业秘密罪。假设数据是他人拥有著作权的信息,则可能违反侵犯著作权罪。数据使用阶段的数据合规风险
数据使用阶段是指企业或相关单位在数据收集完成之后,进行数据清理与分析,用于共享、交易、决策等等活动。在这一阶段的合规风险与法律责任也包括三个方面。
1. 民事责任
数据使用阶段最典型的违规行为是“大数据杀熟”。“大数据杀熟”指的是互联网平台基于用户数据,使得同样的产品或服务,老用户看到的价格反而比新用户高出许多的“价格歧视”行为。
“大数据杀熟”可能违反《消费者权益保护法》第10条规定的“消费者享有公平交易的权利”以及第16条第三款中“不得设定不公平、不合理的交易条件”的禁止性规定。根据《消费者权益保护法》第40条规定,侵犯消费者的合法权益,消费者可以向经营者销售者要求赔偿。
如果未经用户同意共享或者出售用户个人信息,也侵犯了公民个人权益,需要承担相应的民事责任。
2. 行政责任
在数据使用阶段违反《网络安全法》《个人信息保护法》以及《数据安全法》的相关监管措施,也需要承担相应的行政责任。但是在这三部核心监管法律之外,数据使用阶段也可能实际其他行政责任。
如前面提到的“大数据杀熟”,如果平台具备垄断地位或者市场支配地位,利用大数据优势,可能构成《反垄断法》第17条规定的滥用市场支配地位的垄断行为。根据《反垄断法》第47条的规定,经营者可能面临承担销售额百分之十以下罚款的风险。
3. 刑事责任
在数据使用阶段,根据行为的不同也可能涉及不同的刑事责任。如利用算法精准推荐违法信息广告,明知广告发布者从事网络犯罪,就可能涉及帮助信息网络犯罪活动罪。
比如利用网络开设赌场,涉嫌开设赌场罪,如果企业利用获取的数据,借助算法精准推送给潜在赌客,明知是网络犯罪还继续发布广告属于帮助信息网络犯罪活动罪,如果从中直接获利则可能属于开设赌场罪的共犯。
而如果在数据使用阶段,因为不公开的信息而获利,则可能涉及内幕交易罪。
实际上由于数据概念的范围极广,有许多犯罪活动或多或少都涉及到数据处理和适用违规。数据存储与删除
数据存储与删除阶段主要涉及存储地点、存储时间以及删除义务。
数据存储合规重点在于本地化存储的数据,即哪些数据需要存储在境内。
《网络安全法》第三十七条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。
2017年国家网信办发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》当中,对于本地化存储的数据范围进行了扩大,为“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据”。
2019年国家网信办发布《个人信息出境安全评估办法(征求意见稿)》,实际取代了前一份文件内容,个人信息不再要求境内存储。但这两份文件都没有正式实施,但境内存储依然是数据存储的原则。
《个人信息保护法》则明确了境内存储的原则,第三十六条和第四十条分别规定国家机关处理的个人信息以及关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。
《数据安全法》第三十一条关于关键信息基础设施运营者收集和产生的数据存储要求与沿用了《网络安全法》的规定,但是同时规定“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”实际等于将境内存储原则扩大到所有“在中华人民共和国境内运营中收集和产生的重要数据”。
关于存储时间和删除义务则是指按照相关规定,数据有最长存储期限,以及公民个人取消同意,要求数据处理者删除数据,相关数据处理者要及时删除数据。
《个人信息保护法》第二章详细规定了个人在个人信息处理活动中的权利,在数据存储和删除阶段,个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利。数据处理者如果不履行义务则需要承担相应的民事责任。
而同样的,数据处理者如果违反了国家相关规定的存储原则,出境审查要求等等,也需要承担相应的行政责任。
《数据安全法》第二十七条规定,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。数据处理者有义务按照网络安全管理的要求,确保数据存储环境的安全,如果拒不履行网络安全管理的义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播的或者用户信息泄露,造成严重后果的以及刑事案件证据灭失,情节严重的等情形,则涉嫌拒不履行信息网络安全管理义务罪。
如果企业财务结算使用会计电算化系统,电子信息是唯一的财务信息记录载体,不当删除这些数据,则可能涉及隐匿、故意销毁会计凭证、会计账簿、财务会计报告罪。
——结 语——
随着国家数据局的组建,数据安全下的监管措施必然会密集出台,企业的数据合规的实操也会越来越明晰。数据监管要权衡安全与发展的需要。
《数据出境安全评估办法》以及即将实施的《个人信息出境标准合同办法》,都表明了国家在数据发展方面的开放态度。在这种趋势之下,企业该如何做好合规体系建设呢?
第一、企业需要有数据合规的意识,并且在决策层、管理层以及全体员工层面加强合规意识。合规属于企业内部治理的重要内容,既要有内部控制的措施,但同时更需要内心控制的约束。
第二、企业应该建立相应的部门以及制度,及时收集法律以及监管措施的变化,对照要求合规操作。如数据分级分类制度、风险监测和评估制度以及培训制度等
第三、必要时,企业在业务开展中及时引入数据合规法律顾问等专业第三方,利用外部专业资源,有针对性地根据不同应用场景,为企业设计制定数据合规的方案。
免责声明:本文仅为分享、交流、学习之目的,不代表恒都律师事务所的法律意见或对法律的解读,任何组织或个人均不应以本文全部或部分内容作为决策依据,因此造成的后果将由行为人自行负责。