成全在线观看免费完整的,成全影视大全免费追剧大全,成全视频高清免费播放电视剧好剧,成全在线观看免费完整,成全在线观看高清全集,成全动漫视频在线观看完整版动画

隨著國家數據法律體系的健全與數據治理體系的完善，企業作為數據處理活動主體，將承擔越來越多的數據合規義務與法律責任。建立健全數據合規管理體系，提升數據合規能力成為企業防范合規風險，避免承擔法律責任的重要舉措。

美國通信巨頭威瑞森公司發布的《2021年數據泄露調查報告》顯示，85％的違規行為涉及人為因素。如果企業員工因工作疏忽或出于惡意等“人為因素”導致數據泄露，企業是否應當對員工的行為承擔責任？企業如何實施合規計劃進行風險隔離，避免不當承擔法律責任？我們檢索到幾起員工數據泄露的典型案例，通過對案例的研究和分析，嘗試去回答以上問題。

案例一：鄭州新密市某公司工作人員李某利用工作之便從公司內部系統導出用戶信息6萬余條，出售給新密某裝修公司員工。2021年6月新密警方將李某抓獲，依法采取刑事強制措施。新密警方同步啟動“一案雙查”機制，對其所在公司開展網絡安全檢查，發現該公司未采取確保其收集的公民個人信息不被泄露、篡改、毀損的技術措施。遂根據《網絡安全法》的相關規定，對該公司給予15萬元罰款，對直接負責的主管人員給予2萬元罰款。

為治理網絡亂象，公安機關自2018以來已全面實行“一案雙查”機制?！耙话鸽p查”機制是指在對網絡違法犯罪案件開展偵查調查工作時，同步啟動對涉案網絡服務提供者法定網絡安全義務履行情況的監督檢查。對拒不履行法定網絡安全義務、為網絡違法犯罪活動提供幫助的網絡服務提供者，公安機關將依法對其進行嚴厲查處。一旦發生員工泄露數據事件，除涉案員工需要受到法律制裁外，企業也會面臨執法部門的監督檢查，承擔由此帶來的行政處罰。當數據泄露事件致使違法信息大量傳播，造成嚴重后果的，企業還可能觸犯“拒不履行信息網絡安全管理義務罪”等罪名而承擔刑事責任，被判處罰金，其直接負責人員同樣會受到處罰。

“雙罰制”是指對于企業的行政違法行為，同時給予企業及相關責任人員行政處罰的法律責任制度。我國的幾部與數據相關的法律均規定了“雙罰制”，“雙罰制”為我國的企業合規管理體系建設留下了很大空間。例如《數據安全法》第四十五條規定，對于不履行數據安全保護義務的單位，由有關主管部門責令改正，根據不同情節給予警告、罰款、責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處以罰款?！秱€人信息保護法》的罰則規定了“責令暫?；蛘呓K止提供服務”、“并處五千萬元以下或者上一年度營業額百分之五以下罰款”、“吊銷相關業務許可或者吊銷營業執照”等嚴厲的處罰措施。企業在個人信息處理方面違法行為，導致的高額罰款或吊銷營業資格等行政處罰危及企業的正常經營，建立起一套合規管理體系對企業變得更有實際意義。

如果泄露數據的涉案員工所在企業依據法律規定建立起一套“數據合規管理體系”，能夠預防、發現和報告數據泄露風險，并在組織上能夠保障制度的實施，包括指定網絡安全負責人或數據合規官、定期對員工進行培訓、采取必要的技術防范措施等，則可以作為“合規抗辯”事由。企業由此可能免于、從輕或減輕處罰。即使數據泄露事件發生時未建立合規體系或合規體系存在重大漏洞的，若企業承諾在一定期限內建立有效的合規體系，也可作為從輕或減輕處罰的裁量情節。

案例二：李某為DD公司高級產品經理，具備通過DD出行系統查詢用戶行程軌跡信息的權限，其利用職務之便，非因工作需要登陸查詢系統，長期查詢兩位女性同事的行程軌跡信息。DD公司遂依據公司規章制度解除與李某的勞動合同關系不給予任何賠償。李某不服公司決定申請勞動仲裁，駁回申請后又訴至北京海淀區法院，主張DD公司系違法辭退，應向其支付違法解除勞動合同賠償金及年度年終獎27萬余元。海淀區法院經審理做出（2019）京0108民初52354號民事判決書，駁回李某的全部訴訟請求。

根據《個人信息保護法》的相關規定，李某查詢“用戶行程軌跡信息”系涉案當事人的敏感個人信息。一旦泄露或者非法使用，容易導致被查詢人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息。而李某“非工作目的私自長期查詢特定對象涉及隱私的敏感保密信息”，雖然未造成對外泄露等后果，但造成了涉案當事人的心理擔憂，屬于嚴重違反職業道德的行為。嘀嘀公司以此為由辭退李某具備事實與法律依據。

對于DD公司收集的用戶“行程信息”，包括用戶的出發地、到達地、行蹤軌跡、時長及里程數信息，主要應當用作行車計費、保護乘客人身財產安全、處理用戶糾紛之目的。DD公司應當根據法律規定，對用戶個人信息應當有效管理并采取安全措施，避免用戶的信息被自己的員工和第三方不當處理，防止未經授權的訪問以及個人信息泄露、篡改、丟失。結合本案判決書披露的內容，大致可以看到DD公司實施的數據合規管理措施如下：

• 建立公司信息安全委員會，統一協調管理數據安全工作，并下設數據安全小組、推動各項數據安全活動。

• 公司內部頒布實施數據安全管理規范，明確對用戶數據（包括用戶個人信息）的保護標準和要求。要求員工知曉并承諾遵守、簽署《員工確認函》；員工入職后應當登錄線上簽收現行規章制度，未經簽收合學習的，將無法使用OA自動化辦公系統等；發布《DD出行員工手冊》，并在手冊中規定泄露薪酬、私自保存、獲取或泄露公司的保密信息屬于違反公司規章制度的行為。

• 新項目、新系統上線前對數據安全（包括用戶個人信息數據）進行項目風險評估。

• 與全體員工及服務外包人員簽署保密協議，并嚴格按照工作職責分配數據訪問權限。具體包括：頒布《高壓線政策》，詳細規定禁止非公目的獲取隱私信息等各種違紀情形，組織員工學習高壓線政策和信息安全相關規定；明確信息系統的使用規則，要求員工簽署《保密、知識產權歸屬、反商業賄賂及禁止招攬協議書》，規定員工不得利用系統權限，違規對任何系統信息進行查詢、修改、下載、刪除、轉發等操作，不得利用權限以非因公的目的進行非法查詢、獲取任何隱私信息或商業秘密；侵犯個人隱私的不以造成損害結果為處罰標準；要求員工簽署《誠信&廉潔自律協議書》，并確認員工怠于查詢和學習的，不影響民主程序的法律效力。

• 定期開展面向公司全體員工及外包服務人員的信息安全教育及培訓。

• 安全保護措施包括：對用戶個人敏感信息進行加密并通過數據隔離技術進行存儲、使用加密傳輸協議、設立完善的敏感數據訪問權限申請、審批制度、建立數據安全監控和審計制等。

從以上內容可以看出，DD公司的數據合規管理體系較為健全。即便如此，對此事件，海淀區法院在本案的判決書中對DD公司也給出了司法建議，要求“嘀嘀公司應當充分認識到自身的管理漏洞，亟需提升對用戶隱私權保護的重視程度，通過采取必要的管理措施和技術手段，防止未經授權實施查閱、使用或泄露用戶信息的行為發生，保障用戶的隱私權不受侵犯。”而對于本案中個人信息受到侵犯的員工，亦可以行使個人信息知情決定權，要求DD公司限制或者拒絕他人對其個人信息進行查詢。

此外，《個人信息保護法》還規定了處理個人信息的過錯責任，公司造成個人信息權益損害又不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任。為此，公司應注意對數據處理行為的留痕，保留或備份經營活動中的數據采集、傳輸、共享等記錄。而對于侵害眾多個人的權益的數據泄露事件，企業將面臨“公益訴訟”的被訴風險，人民檢察院、法律規定的消費者組織和由國家網信部門確定的組織可以依法提起訴訟。2021年7月1日，《人民檢察院公益訴訟辦案規則》實施；2021年8月26日，最高檢下發《關于貫徹執行個人信息保護法推進個人信息保護公益訴訟檢察工作的通知》。根據通知，教育、醫療、就業、養老、消費等重點領域處理的個人信息，以及處理100萬人以上的大規模個人信息將會成為公益訴訟的重點。

案例三：華為員工易某因工作需要擁有登錄華為公司企業資源計劃(ERP）系統的權限，可以查看工作范圍內相關數據信息。但其在調離崗位7年后，仍未清理查詢權限。在此期間，他多次利用權限查看系統數據，甚至利用發現的漏洞繞過權限控制，多次向華為的某供應商提供系統數據，從中獲利兩萬多元。案發后，雖然華為公司對易某予以諒解，但易某非法獲取計算機信息系統數據，違法所得超過人民幣5000元，屬于情節嚴重，已經構成非法獲取計算機信息系統數據罪。廣東省深圳市中級人民法院經審理后做出(2021)粵03刑終1657號刑事裁定書，判處易某有期徒刑一年，并處罰金人民幣二萬元，追繳違法所得上繳國庫。

我國《刑法》第二百八十五條規定了非法獲取計算機信息系統數據罪，是指違反國家規定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的，處三年以下有期徒刑或者拘役?！蹲罡呷嗣穹ㄔ骸⒆罡呷嗣駲z察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》規定，非法獲取計算機信息系統數據的違法所得在五千元以上或者造成經濟損失一萬元以上的就屬于“情節嚴重”。其他相關法律規定包括《計算機信息系統安全保護條例》.

《計算機信息網絡國際聯網安全保護管理辦法》也要求任何單位和個人不得從事危害計算機信息網絡安全的活動。然而，該罪在司法實踐中成了一個超級口袋罪：在罪名上，與人身安全、財產安全等多個章節的罪名產生交叉重合；在保護的利益上，不僅涵攝刑法上其他章節所保護的法益，而且開始溢出整個刑法典，進而保護信息時代重要性日益凸顯、其他利益日益頻繁地受到侵害。[i]本案易某的行為是否構成非法獲取計算機信息系統罪存有爭議，被告人及其辯護律師都提出了質疑。

深圳市中級人民法院在判決書說理部分，援引了最高人民檢察院公布的第九批指導性案例（檢例第36號-衛夢龍、龔旭、薛東東非法獲取計算機信息系統數據案）作為“類案”，并在裁判中參照了這一指導性案例對何為侵入計算機信息系統做出認定：

“被告人將自己因工作需要掌握的本公司賬號、密碼、Token令牌等交由他人登錄該公司管理開發系統獲取數據，雖不屬于通過技術手段侵入計算機信息系統，但內外勾結擅自登錄公司內部管理開發系統下載數據，明顯超出正常授權范圍。超出授權范圍使用賬號、密碼、Token令牌登錄系統，也屬于侵入計算機信息系統的行為?！?/p>

深圳市中級人民法院同樣認為：非法獲取計算機信息系統數據罪中的“侵入”，是指違背被害人意愿、非法進入計算機信息系統的行為，其表現形式既包括采用技術手段破壞系統防護進入計算機信息系統，也包括未取得被害人授權擅自進入計算機系統，還包括超出被害人授權范圍進入計算機信息系統。

本文所涉的三個案例均與企業的信息系統管理有關。企業大量的結構化的數據和信息都存儲在系統中，員工越權訪問數據或利用系統漏洞泄露數據都會給企業帶來不必要的麻煩，甚至要承擔相應的法律責任，這也是本文三個案例給企業帶來的警示。

為此，企業在數據合規管理體系建設中，需要重視對信息系統的管理。從公司層面明確數據保護的政策和態度并建立起一套制度和管理流程是法律的基本要求，而從技術層面建立管理要求并把管理要求融入相關業務流程、信息系統和工具中也至關重要。包括采取加密、去標識化等安全技術措施、遵從最小化的原則管理操作系統、根據“最小授權”原則設定賬戶訪問權限、密碼管理、防病毒防滲透、數據備份和恢復等方面。借助于技術的支持、流程的管控，企業對數據的合規要求才能起到對員工行為的指引和規范作用，法律、管理與技術相融合的合規管理理念才能得到有效的貫徹和執行。