涉數據公司業務合規及數據類公司上市合規監管與分析(三)——從數據出境及刑事合規視角
作者:詹磊 董凱華 沈慧力 李東陽 2022-05-23結合我們對上市問詢案例及目前典型涉數據犯罪的刑事判例,在此前《涉數據公司業務合規及數據類公司上市合規監管與分析》系列(一)(二)的基礎上,結合《刑法》及其司法解釋的相關內容,從目前數據出境合規、刑事合規的角度,繼續對企業數據合規中的相關問題展開分析,供讀者參考。
六、關于數據出境的合規性
(一)關于數據出境合規性的分析總結
1、關于數據出境的法律規定
關于數據出境現行有效的法律法規主要散見在《網絡安全法》第三十七條、《數據安全法》第三十一條、《個人信息保護法》第三章、《網絡安全審查辦法》第十條,以及《數據安全法》《個人信息保護法》相關細則及國家標準等;并且,目前暫未生效的和數據出境相關的征求意見稿主要包括《網絡數據安全管理條例(征求意見稿)》《數據出境安全評估辦法(征求意見稿)》《信息安全技術重要數據識別指南(征求意見稿)》等。從審慎角度,企業數據出境的規制主體應按上述現行有效的法律法規進行綜合的合規規范。
2、關于哪些主體實施的何種數據出境需要進行安全評估
根據《數據安全法》第三十一條和《網絡安全法》第三十七條規定,關鍵信息基礎設施的運營者在中國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。因此,應當進行數據出境安全評估的主體為“關鍵信息基礎設施的運營者”,數據內容為“個人信息”和“重要數據”。
但是,《網絡數據安全管理條例(征求意見稿)》第三十五條中將出境數據規制的主體進行了擴大,規制主體為“數據處理者”而非“關鍵信息基礎設施的運營者”;并且根據《數據出境安全評估辦法(征求意見稿)》第四條規定,數據處理者向境外提供數據符合以下情形之一的,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估:
(1)關鍵信息基礎設施的運營者收集和產生的個人信息和重要數據;
(2)出境數據中包含重要數據;
(3)處理個人信息達到100萬人的個人信息處理者向境外提供個人信息;
(4)累計向境外提供超過10萬人以上個人信息或者1萬人以上敏感個人信息;
(5)國家網信部門規定的其他需要申報數據出境安全評估的情形。
上述兩部征求意見稿在《網絡安全法》的基礎上擴大了規制主體范圍,并且細化了安全評估申報要求,即:
(1)在我國境內運營中收集和產生的重要數據的數據處理者都屬于受到規制的主體范圍;
(2)進一步細化了依法應當進行出境安全評估的數據信息范圍。
雖然上述兩部文件仍處于征求意見階段,但結合近年來各國圍繞數據跨境流動展開的激烈較量看,我們有理由認為,我國對數據出境的監管正朝著更加嚴格的方向發展,未來仍將可能繼續出臺更為具體、細化的規定。
3、對重要數據的定義及規定
既然“關鍵信息基礎設施運營者”(按現行有效的法律法規規定)的“重要數據”出境需要履行安全評估程序,那么判斷哪些數據屬于重要數據則非常重要。
根據《數據安全法》第二十一條,由國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,筆者查閱相關法律法規并未發現目前已出臺現行有效的“重要數據目錄”,筆者認為在重要數據目錄落地出臺前,關于“重要數據”的認定仍要根據不同業務領域或不同地區的法律法規要求進行審慎判斷。
以醫療數據安全領域(詳見后續系列文章)為例,《生物安全法》《人類遺傳資源管理條例》就針對人類遺傳資源及生物資源的安全管理方面進行整體監管,明確中國在人類遺傳資源上享有主權,并進一步認可了《人類遺傳資源管理條例》及其項下規定的針對外國實體在中國使用人類遺傳資源的基本原則及制度。因此,人類遺傳資源及生物資源即屬于醫療數據安全領域的“重要數據”。并且,根據《信息安全技術健康醫療數據安全指南》(GB/T 39725-2020,2021年7月1日實施)等指南來看,各行業細化的信息數據安全的國家標準也在逐步完善和推行中。另經公開資料檢索,在2015至2016年間,存在多家知名生物醫藥公司或醫療機構因違反人類遺傳資源管理規定受到科技部處罰的案例,其中部分原因為:“未經許可將人類遺傳資源數據違規出境”。
結合以上,雖然目前尚沒有“重要數據目錄”出臺,但數據出境相關的征求意見稿具備一定的參考價值。如《網絡數據安全管理條例(征求意見稿)》第七十三條、《重要數據識別指南(征求意見稿)》等均涉及到了對重要數據的認定標準。企業應當結合所處的行業及對數據安全細分要求的指南等,特別要對數據出境給予充分的重視,企業對自身所處行業的數據出境的最新要求應有所了解,指導企業自身數據業務的合規開展。
4、受限數據出境的條件
因重要數據和個人信息數據的出境會受到限制,因此企業在處理此類數據出境時,應按相關法律法規規定做到合規。
根據《網絡安全法》第三十七條、《個人信息保護法》第四條、第三十八條、第三十九條、第四十條及第五十六條等規定總結如下:
事項 | 要求 |
(1)關鍵信息基礎設施的運營者掌握的個人信息和重要數據確需向境外提供的 | 應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估 |
(2)關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者 | ? 應當將在境內收集和產生的個人信息存儲在境內 ? 確需向境外提供的,應當通過國家網信部門組織的安全評估 |
(3)個人信息處理者因業務等需要,確需向境外提供個人信息的 | 應當具備下列條件之一: ? 依照《個人信息保護法》第四十條的規定通過國家網信部門組織的安全評估 ? 按照國家網信部門的規定經專業機構進行個人信息保護認證 ? 按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務 ? 法律、行法規或者國家網信部門規定的其他條件 |
(4)個人信息處理者向境外提供個人信息的 | 應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項,并取得個人的單獨同意(《個人信息保護法》第十三條的情形除外) |
(5)個人信息處理者應當 | 采取必要措施,保障境外接收方處理個人信息的活動達到本法規定的個人信息保護標準 |
(6)個人信息處理者應當 | 在向境外提供個人信息前進行個人信息保護影響評估,并對處理情況進行記錄(記錄應當至少保存三年)。 個人信息保護影響評估應當包括下列內容: ? 個人信息的處理目的、處理方式等是否合法、正當、必要 ? 對個人權益的影響及安全風險 ? 所采取的保護措施是否合法、有效并與風險程度相適應 |
注:上述表內列示的《個人信息保護法》第十三條為:符合下列情形之一的,個人信息處理者方可處理個人信息:(一)取得個人的同意;(二)為訂立、履行個人作為一方當事人的合同所必需,或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需;(三)為履行法定職責或者法定義務所必需;(四)為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;(五)為公共利益實施新聞報道、輿論監督等行為,在合理的范圍內處理個人信息;(六)依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息;(七)法律、行政法規規定的其他情形。
其所述的除外情況為:依照本法其他有關規定,處理個人信息應當取得個人同意,但是有前款第二項至第七項規定情形的,不需取得個人同意。
(二)關于數據出境合規性的問詢及規范思路(列舉)
常見問詢關注點 | 規范思路整理 |
企業向境外銷售提供數據產品或定制服務是否符合我國數據安全法規要求
個人信息保護及境外出口限制等相關法規
實際出境期間的數據內容、敏感信息等
是否履行了法規要求的必要告知義務
企業實際業務與出境信息安全
企業數據出境制度建立、執行、有效性評估及檢查記錄等 | (1)關于企業向境外銷售提供數據產品或定制服務涉及的個人數據信息跨境提供,目前關于數據安全及個人信息保護的相關法規或規范中對此的專門規定及原則性要求。 (2)關于向境外銷售提供數據產品或定制服務,企業會告知被采集人并取得其充分必要的授權同意。 (3)企業與境外客戶訂立合同前,會對境外客戶的數據安全和個人信息保護能力進行評估、是否符合國內法規對信息安全的保護保準,且有合規記錄。 (4)企業與境外客戶訂立合同,會約定雙方就數據安全和個人信息保護的權利和義務,包括約定雙方的個人信息處理活動遵守數據安全保護相關法規等內容。 (5)結合業務實際,如明確企業僅將經技術處理后的訓練數據提供給客戶,并不涉及提供被采集對象個人身份信息,客戶后續使用上述業務數據也無需個人身份信息,以及符合業務實際的分析等。 (6)結合業務實際,如企業研發使用一體化數據處理平臺,通過采用技術措施減少數據接觸范圍,對于境內運營中收集和產生的數據和個人信息均在境內存儲,并制定和公開了《個人信息保護政策》,定期開展個人信息安全影響評估、境外客戶履約情況評估等,能夠在產品或定制服務的境外銷售中保障個人信息安全。 (7)目前對向境外銷售數據信息進行限制約束的法律法規具體包括: 如:①《中華人民共和國技術進出口管理條例》; ②《中國禁止出口限制出口技術目錄》; ③《中華人民共和國網絡安全法》; ④特定行業(例如醫療健康行業)的法律規章等。 且企業應逐項對照上述法律法規中關于數據信息保密及出境的相關要求,對照企業實際情況進行論證。 |
在此,筆者提示,在數據出境的過程中也可能涉及刑事責任風險,如上文提到的在醫療數據安全領域因“未經許可將人類遺傳資源數據違規出境”而導致被科技部處罰的,除行政處罰外,根據《刑法修正案(十一)》之規定,將非法采集國家人類遺傳資源、非法運送、郵寄、攜帶國家人類遺傳資源材料出境的、未經安全審查,將國家人類遺傳資源信息向境外組織、個人及其設立或實際控制的機構提供或者開放使用的行為定為犯罪,個人進行上述任何行為的可能會被處以相應刑罰。
七、企業涉數據業務合規及刑事風險的整體評判
結合以上數據立法的演變,我們分析了企業從數據采集、使用、交易、出境等諸多合規流程并提出了思路、建議。企業從自身業務模式合規出發,建立一套完整有效的合規制度,不僅出于減少民事糾紛、降低行政處罰風險的目的,對刑事風險的防范更是重中之重。企業一旦涉刑,輕則聲譽受損、業務停滯,重則清算破產、主管人員和直接責任人員面臨身陷囹圄的困境,融資、上市計劃則在短期內更將難有起色。
從刑事立法層面同樣不難看出,刑法對數據安全的刑事責任規定不斷演變、不斷深入。從2015年《刑法修正案(九)》調整設立侵犯公民個人信息罪,到2017年兩高出臺《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,再到2021年《刑法修正案(十一)》施行后新增的非法采集人類遺傳資源、走私人類遺傳資源材料罪,國家對各項數據安全的保護愈加重視,各種法律法規、司法解釋、規范性文件頻頻出臺,不斷明確對數據收集、存儲、使用、加工、傳輸各環節的要求,對侵犯數據安全犯罪行為的打擊力度也不斷加強。對于涉數據業務的企業來說,如果不能把數據合規工作提高到應有的重視程度,那么涉數據業務的刑事風險必將大為增加。
(一)數據安全涉及罪名貫穿企業業務始終
從目前的司法實踐及刑法規定來看,企業數據處理業務可能涉及的相關罪名貫穿企業全業務流程,主要包括:侵犯公民個人信息罪;非法侵入計算機信息系統罪;非法獲取計算機信息系統數據罪;非法控制計算機信息系統罪;提供侵入、非法控制計算機信息系統程序、工具罪;破壞計算機信息系統罪;拒不履行信息網絡安全管理義務罪;非法利用信息網絡罪;幫助信息網絡犯罪活動罪;非法采集人類遺傳資源、走私人類遺傳資源材料罪;掩飾、隱瞞犯罪所得、犯罪所得收益罪等。篇幅所限,對于以上各個罪名基本的法條規定此處不作贅述。
(二)涉數據犯罪的入罪門檻較低
從涉數據類犯罪的立案追訴標準看,入罪的門檻并不高,隨著企業業務規模的擴大,一旦合規環節或流程出現問題,在計算機網絡普及及用戶數量龐大的今天,企業在極短時間內就能夠達到刑事犯罪的入罪門檻。
具體而言:
第一,違法所得等入罪數額的追訴標準較低。如非法獲取計算機信息系統數據罪、侵犯公民個人信息罪等罪名,違法所得達到5,000元以上就會被認定為“情節嚴重”,從而達到刑事立案標準。
第二,非法處理數據的數量入罪標準較低。如侵犯公民個人信息罪中,非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息50條以上即達到入罪標準;拒不履行信息網絡安全管理義務罪中,泄露行蹤軌跡信息、通信內容、征信信息、財產信息500條以上即達到入罪標準。
第三,間接損失計入經濟損失,降低了入罪門檻。如關于危害計算機信息系統安全類犯罪造成的經濟損失認定標準中,不僅包括給用戶直接造成的經濟損失,也包括用戶為恢復數據、功能而支出的必要費用等間接損失,但用戶預期利益的損失不含其中。
第四,犯罪情節認定成為刑事追訴標準的重要補充。在多個罪名的入罪標準中,均包括“其他嚴重情節”的兜底條款,為司法實踐結合個案進行解釋預留了空間。
第五,共同犯罪入罪情形具有多樣性。如為正犯提供互聯網接入、服務器托管、網絡存儲空間、通訊傳輸通道、費用結算、交易服務、廣告服務、技術培訓、技術支持等幫助的,均可能構成共同犯罪。
對于罪名、犯罪行為方式、入罪標準的了解,是企業對現有業務模式評估刑事風險的直觀標準,企業及管理者對此應充分重視。
(三)刑事責任對企業及個人都有重大不利影響
從目前已公開的涉數據犯罪的案例來看,企業一旦涉及數據類犯罪而被追究刑事責任,對企業及或直接責任人都有著重大不利的影響,甚至是毀滅性的。
具體而言:
第一,數據類犯罪絕大部分可構成單位犯罪。筆者上述提到的罪名中,除非法采集人類遺傳資源、走私人類遺傳資源材料罪外,其他罪名均可構成單位犯罪,即需“對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員判處刑罰。”一旦構成單位犯罪,會對企業的形象和聲譽造成極大破壞,業務遭受重創或停滯,甚至可能面臨清算或破產。
第二,職業禁止和禁止令的宣告會對企業后續數據業務的開展產生重大影響。如對于非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件,可以根據犯罪情況和預防再犯罪的需要,依法宣告職業禁止;被判處管制、宣告緩刑的,可以根據犯罪情況,依法宣告禁止令。
第三,將直接影響企業的融資、兼并購及上市進程。如果不能及時發現數據處理中存在的合規法律風險并有效整改,一旦涉刑,企業融資、兼并購及上市之路都將停滯,直接責任人員涉刑的,將面臨無法擔任公司的董事或管理層人員。《公司法》《證券法》及公司上市規定、上市公司再融資等規定對企業涉及刑事犯罪的,甚至在刑事偵查階段尚未有明確處理結論的企業,都給予了極為慎重的處理態度。甚至上市已過會企業,也會因突發的涉刑問題,而無法完成上市發行,這對企業的打擊可以說是毀滅性的,而個人涉刑的,則可能是個人身陷囹圄的困境或職業生涯的終結。
八、企業涉數據業務在不同階段的表現形式及刑事風險分析
既然涉數據企業的刑事責任貫穿了企業業務的全流程,按照業務所處階段不同,刑事風險的表現形式也各不相同,企業需要根據自身業務類型的實際情況,通過合規制度及時發現、甄別刑事風險,進而作出及時有效的防范應對。
(一)數據收集階段
根據《網絡安全法》《互聯網個人信息安全保護指南》《App違法違規收集使用個人信息行為認定方法》等要求,數據的收集“應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意”。因此,如果通過不當使用爬蟲、撞庫、App采集等方式進行收集或者從他人處違法獲取數據的,則可能引發刑事責任風險。
1、竊取型(未經用戶知曉或同意)收集
如果未經被收集者同意或網絡運營者授權,或者超出同意、授權的范圍,通過非法技術手段在對方不知情的情況下秘密竊取相關數據的,屬于“非法獲取公民個人信息”和“非法獲取計算機信息系統數據”。竊取型收集屬于典型的無權收集,直接違反合法、正當的數據收集基本原則,視數據收集的類型及危害程度,可能涉嫌非法獲取計算機信息系統數據罪、侵犯公民個人信息罪。
實踐中一般表現為行為人通過非法技術手段繞過網絡系統身份認證機制等反爬技術措施爬取數據、使用黑客技術侵入非公開網站獲取數據、在正規合作中私自在服務器部署惡意采集程序非法收集數據等。
如某公眾公司涉嫌大量竊取用戶個人信息并非法牟利,最終被司法機關以非法獲取計算機信息系統數據罪定罪處罰,且構成單位犯罪,屬情節特別嚴重。該類犯罪行為的表現形式較為多樣,以該案例為例,行為人利用互聯網非法(在用戶不知情的情況下)竊取用戶個人信息且數量巨大,其在用戶不知情的情況下,在自營平臺的粉絲關注群體中非法操控個人賬號并強行添加關注,并在與電信運營商合作中,加入非法軟件用以清洗流量、獲取用戶的cookie,最終行為人被認定非法獲取計算機信息系統數據罪,判處罰金千萬元,責任人多人被判處有期徒刑及罰金等。
2、侵入型收集
從司法實踐來看,行為人通過木馬程序、后門程序等黑客技術非法侵入計算機信息系統從而獲取數據也是非法收集的典型表現之一。此種行為的主要目的仍是非法竊取系統中存儲、處理或者傳輸的數據,同樣未獲得用戶的同意或者授權,本質上也屬于無權收集的一種。因此,侵入型收集仍然可能涉嫌上述竊取型的兩種犯罪。區別在于,侵入特定計算機信息系統后雖然未獲得數據但仍可能涉嫌犯罪。
根據《刑法》第二百八十五條第一款的規定,“違反國家規定,侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的,處三年以下有期徒刑或者拘役”。
如根據2019年四川某刑事判決書,被告單位及被告人非法侵入涉及國家事務的“省級智慧工商一體化綜合應用系統”,最終被認定為構成非法侵入計算機信息系統罪,且構成單位犯罪。需要說明的是,對于違反國家規定非法侵入上述“三大領域”企圖獲取數據的,無論最終是否獲得數據,僅侵入的行為即已構成犯罪,該罪的成立并不以竊取到數據的結果作為定罪的前提。
3、破壞型收集
一般來說,企業在數據收集過程中的主要動機還是為了獲取數據,通常不存在惡意癱瘓、中止、損壞對方計算機系統運行的目的。但是,如果行為手段控制不當,則存在構成破壞計算機信息系統罪的風險。主要行為表現有二:其一,以爬取數據為目的,但持續高頻的爬取訪問造成服務器過載,進而導致頁面加載緩慢或網站不能正常運行,造成嚴重后果的;其二,雖然計算機系統能夠正常運行,但如果對系統中儲存、處理或者傳輸的數據和應用程序進行刪除、修改、增加,造成嚴重后果的。
如2020年上海某刑事判決書顯示,被告單位深圳某公司及數名被告人雖未造成某多個品牌的共享出行平臺公司的服務器不能正常運行,但其破解后臺服務器的安全保護機制,非法增加服務器儲存、處理的數據,仍然構成破壞計算機信息系統罪,且屬單位犯罪。
4、間接型收集
上述三種方式主要表現為行為人積極主動地直接進行收集,以獲取第一手數據資料,但如果違反國家有關規定,通過購買、收受、交換等間接方式獲取數據的,同樣存在刑事風險,可能構成侵犯公民個人信息罪。《刑法修正案(九)》出臺后,將該條文中的“違反國家規定”修改為“違反國家有關規定”,增加的“有關”二字大大拓展了侵犯公民個人信息罪的適用范圍,將違法性前提由“違反全國人民代表大會及其常務委員會制定的法律和決定,國務院制定的行政法規、規定的行政措施、發布的決定和命令”,拓展到“違反法律、行政法規、部門規章等國家層面的規定”,從而大大增加了該罪的打擊范圍。
需要注意的是,即使是為了廣告推銷、業務拓展等合法經營活動而非法購買、收受相關數據的,同樣可能構成此罪。以2020年四川某刑事判決書為例,被告單位廣元市某裝飾公司雖然是為了公司裝修業務的拓寬和發展,但違反國家有關規定,從他人處非法購買公民個人信息,仍然構成侵犯公民個人信息罪,被告單位及其主管人員和其他直接責任人均被處以相應刑罰。
5、禁止型收集
一般而言,企業數據收集的“禁區”主要有兩類——商業秘密和人類遺傳資源。如果未獲得權利人許可,以盜竊、利誘、脅迫或者其他不正當手段獲取權利人商業秘密的,可能構成侵犯商業秘密罪;如果未經國務院科學技術主管部門批準,非法采集我國重要遺傳家系、特定地區人類遺傳資源或者非法采集國務院科學技術主管部門規定的種類、數量的人類遺傳資源的,則可能構成非法采集人類遺傳資源罪。
如2022年4月,最高人民檢察院發布的《保護知識產權服務保障創新驅動發展典型案例》顯示,被告人蔡某于明知他人違規從某公司內部網盤下載了有關商品的價格信息和庫存信息等數據,仍然付費購買,并在其經營的微信小程序上使用,同時收取相應會員費進而獲利。最終,人民法院以侵犯商業秘密罪判處被告人蔡某有期徒刑8個月,并處罰金人民幣96萬元。
(二)數據儲存階段
對于企業合法采集或取得的數據,應當建立嚴格的數據保護制度,避免數據外泄造成嚴重后果。《刑法》第二百八十六條之一規定,網絡服務提供者如果拒不履行信息網絡安全管理義務,致使出現違法信息大量傳播、用戶信息泄露、刑事案件證據滅失等嚴重情節或造成嚴重后果的,可能構成拒不履行信息網絡安全管理義務罪。此外,多次拒不履行信息網絡安全管理義務依法應當追訴的,或者二年內多次實施前述行為未經處理的,數量或者數額要累計計算。
如2021年4月,北京某通信技術公司在明知山東某代理公司違規大量販賣電話卡、使用電話卡從事違法犯罪活動的情況下,仍拒不履行網絡管理義務,繼續大量提供電話卡并開通高級權限,客觀上為下游犯罪提供了便利。最終,法院對責任人以拒不履行信息網絡安全管理義務罪判處相應刑罰,這也是我國電信運營商因拒不履行此類義務而被追究刑事責任的首例。
(三)數據使用階段
一般來說,如果企業僅是對合法收集的數據進行挖掘,分析總結數據背后行業或市場規律,幫助企業實現商業價值,或以此為客戶提供商業咨詢和投資建議的,并不涉及違法犯罪。但是如果直接利用數據實施電信詐騙等犯罪活動的,或者明知他人實施此類犯罪活動但仍提供數據支持的,則極有可能被認定為相應的刑事犯罪。
如2019年11月,公安部通報的全國公安機關“凈網2019”專項行動典型案例顯示,杭州某數據公司利用其獲取的公民個人信息為互聯網放貸機構提供風險測評,因相關機構涉嫌“套路貸”違法犯罪行為導致該公司涉案。案發后,該公司全部關停了有關業務。
(四)數據流轉階段
1、公民個人信息
公民個人信息的交易和流轉并不絕對禁止,但前提是要得到被收集者的同意。根據《刑法》二百五十三條之一的規定,“違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的”,可能涉嫌侵犯公民個人信息罪。這里要說明兩點:第一,通過信息網絡或者其他途徑發布公民個人信息,會被認定為屬于向不特定多數人的“提供”,這種“發布”行為仍然涉嫌違法犯罪;第二,雖然經匿名化處理后剔除個人關聯的信息不再屬于“非法提供”,但是否可以通過技術手段重新整合識別、是否該匿名化處理完全不能復原仍需根據個案具體的證據情況進一步判斷,不能完全排除刑事風險。因此目前的數據安全技術指南中普遍強調數據的“泛化”“模糊”處理,如按照GB/T 37964-2019等標準去標識化操作等,泛化敏感信息后,將部分信息組合后覆蓋人群達到2萬人以上作為具體的模糊處理標準等,避免數據信息流轉中“形式上的匿名化”造成個人信息泄露的風險。
以2018年山東某刑事判決書為例,某公眾公司因大量出售公民個人信息而被人民法院認定構成侵犯公民個人信息罪,雖然公訴機關未以單位犯罪起訴,但人民法院依然按照“單位犯罪中直接負責的主管人員和其他直接責任人員”追究了公司責任人的刑事責任。
2、非法獲取的計算機信息系統數據
根據兩高聯合發布的《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第七條規定,“明知是非法獲取計算機信息系統數據犯罪所獲取的數據……,而予以轉移、收購、代為銷售或者以其他方法掩飾、隱瞞,違法所得5千元以上的,……以掩飾、隱瞞犯罪所得罪定罪處罰”。此外,如果違法所得達到5萬元以上,即達到跨檔量刑“情節嚴重”的標準,可處三年以上七年以下有期徒刑,并處罰金。
3、人類遺傳資源
為維護國家安全和生物安全,防范遺傳資源數據出境引發的生物威脅,2021年施行的《刑法修正案(十一)》增設了走私人類遺傳資源材料罪。根據《刑法》三百三十四條之一的規定,“……非法運送、郵寄、攜帶我國人類遺傳資源材料出境,危害公眾健康或者社會公共利益,情節嚴重的,處三年以下有期徒刑、拘役或者管制,并處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。”
2018年10月,科技部曾公開有關人類遺傳資源案件行政處罰的信息,其中便包括三家上市公司及三家知名機構涉及的人類遺傳資源數據違規出境問題。自2021年3月《刑法修正案(十一)》施行后,此類行為已納入刑事處罰的范圍,應引起關注。
4、知識產權數據
對于商業秘密和他人享有著作權的作品,如果企業在未經權利人或著作權人許可的情況下,通過非法爬取或者DNS 劫持、DHCP 釣魚等黑客手段獲取相關數據后,實施向他人披露轉讓、公開銷售、通過信息網絡傳播等行為的,則可能涉嫌侵犯商業秘密罪、侵犯著作權罪等知識產權類犯罪。
以2019年上海某刑事判決書為例,被告人受境外人員委托,在未經著作權人許可的情況下,通過下載轉化數據格式或通過云盤分享等方式獲取國內放映的熱映影視作品片源,在云轉碼服務器上生成鏈接,后將鏈接轉發至盜版影視資源網站并從中獲利。最終,人民法院認定數名被告人均構成侵犯著作權罪,分別判處有期徒刑10個月到4年6個月不等,并處罰金。
綜上,筆者從刑法中部分罪名演變及刑事犯罪行為認定標準出發,結合近年來的多個刑事判例,介紹了目前認定涉數據犯罪刑事責任的主要犯罪類型及違法行為的表現形式,整體來說刑事犯罪貫穿企業的經營業務始終,且入刑的門檻對一家發展中的數據型企業來說是較低的。涉數據經營的企業和經營者在數據合規方面都需要引起足夠重視,投入足夠的精力,建立企業的數據安全保護及合規制度,及時發現和防范刑事風險,保持企業的健康、穩健發展。
結語
本系列文章通過對涉及數據企業在數據采集、數據交易及使用、安全管理及防范數據泄露、數據出境以及刑事責任及犯罪行為表現形式等角度,試圖全面展現在目前數據安全法律法規要求不斷變化和趨嚴狀態下企業的合規思路和合規要點。結合目前上市問詢案例、刑事判決案例等,總結分析了目前外部審核、監管機構、司法機關對企業在數據安全運營方面的關注態度,為企業在以數據為核心運營資源的各個關鍵節點的合規思路做以參考,以期對企業的數據業務合規工作有所助益。
