陈瑞华:大数据公司的合规管理问题
陈瑞华:大数据公司的合规管理问题
本文来源:《中国律师》杂志2020年第1期
目前,大数据公司的合规管理问题已经成为跨国企业建立合规管理体系的重点领域。根据媒体报道,美国联邦贸易委员会与两个涉嫌侵犯个人信息的美国公司达成了行政和解协议,通过责令其缴纳高额罚款和重建大数据合规体系的方式,使得这些公司避免受到严厉的行政处罚。这种以合规换取宽大行政处理的监管方式,对我国当下正在治理的大数据公司违法违规乃至犯罪的问题,具有极大的启发意义。
2019年7月24日,美国司法部、联邦贸易委员会与Facebook就保护用户隐私达成一项为期20年的和解协议,主要内容包括Facebook交付50亿美元罚款,并接受联邦贸易委员会的进一步监管。此外,美国证交会也与Facebook就该公司未能充分披露滥用用户数据风险等指控达成行政和解,该公司需向SEC缴纳1亿美元的罚款。
Facebook公司被指控的主要违规事实是,2018年3月,该公司与咨询公司剑桥分析公司违规分享8700万用户数据。随后,FTC对这一案件展开监管调查。
根据和解协议,FTC要求Facebook设立独立委员会来加强对隐私数据使用的监管。该公司首席执行官扎克伯格和独立委员会需定期向FTC汇报公司遵守隐私保护的情况。与此同时,和解协议要求该公司加大对第三方应用的监督,要求公司明确告知用户使用第三方应用可能存在的风险,并在使用之前获得用户的明确许可。如果出现超过500名用户隐私受到侵犯的情况,FTC将要求该公司在30天之内向其报告数据泄露情况,并终止相关应用程序在Facebook平台上的使用。
美国FTC主席乔西蒙斯认为,50亿美元的罚款不仅在数额上前所未有,而且要求整改的相关条款将改变Facebook的隐私文化,降低其继续违规的可能性。
4个月之后,FTC又与一家位于犹他州的科技公司InfoTrax Systems达成行政和解协议。该公司被指控没有实施合理的安全保护措施,造成近100万消费者的个人信息被黑客窃取。根据FTC的指控,该公司以及前任CEO没有采取合理、低成本、轻松可得的保护措施来保护储存客户的个人信息,包括该公司没有清点并删除不再需要的个人信息;没有对其软件进行代码审查并对网络进行测试;没有检测恶意文件上传;没有充分细分其网络;没有实施网络安全防护措施以检测器网络上的异常活动。此外,FTC还指控,该公司将消费者个人信息以清晰可读的文本存储在网络中,个人信息包括了社保号码、支付卡信息、银行账户信息、用户名和密码等。
由于InfoTrax公司保护数据措施不力,一名黑客在2014年5月至2016年3月期间,超过20次潜入该公司的服务器及其代为运营的网站,入侵者获取了大约100万缴费者的敏感个人信息。直到2016年3月,该公司被警告其服务器已达到最大容量时,才发现上述入侵事件。这一警告是由于黑客创建的数据文档文件所引起的,入侵者获取的个人信息可被用来实施身份盗窃和欺诈。FTC声称该公司没有对其应保护的个人数据提供合理的安全保护,违反了FTC所禁止的不当行为。
根据TFC与InfoTrax达成的行政和解协议,该公司只有在实施一个信息保护项目,解决信息安保不力问题之后,才能从事收集、出售、共享或存储个人信息的业务活动。这个信息保护项目包括评估存档内部和外部的安全风险;实施安保措施来保护个人信息免受网络安全风险;检测和测试上述安保措施的有效性。
此外,和解协议还要求该公司每两年接受由第三方对其个人信息项目的评估。评估者必读明确是指其结论的依据,必须独立实施取样、员工采访以及文件审阅等行为。不仅如此,协议还授予FTC任命独立评估者的权力。
那么,中国相关监管部门对于大数据公司所存在的违法违规行为究竟采取怎样的治理方式呢?
2017年6月1日施行的《网络安全法》,同时确立了维护国家网络安全和保护个人网络信息的制度。首先,该法要求网络运营者在网络运行安全方面承担一系列法律义务,包括遵循网络安全等级保护制度、符合国家标准的强制性要求、要求用户使用真实身份信息、制定应急预案等方面的义务。其次,在网络信息安全方面,该法要求网络运营者收集、使用个人信息,应对遵循合法、正当和必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并征得被收集者同意。
无论是对网络运营者,还是对关键信息基础设施运营者,只要不履行网络运行安全和网络信息安全义务的,有关主管部门都可以责令改正,给予警告,对拒不改正或者导致危害网络安全等后果的,处以50万元以下的罚款。但是,网络运营者假如存在严重不履行网络安全义务情形的,有关主管部门在处以上述行政处罚之后,还可以采取以下5种具有“资格剥夺”性质的严厉行政处罚:(1)责令暂停相关业务;(2)停业整顿;(3)关闭网站;(4)吊销相关业务许可证;(5)吊销营业执照。
何谓“严重不履行网络安全义务的情形”?根据该法的规定,主要是指以下几种情况:一是网络运营者没有要求用户提供真实身份信息,或者对不提供报告真实身份信息的用户提供相关服务的;二是违法开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的;三是网络运营者、网络产品或服务提供者违反法律规定,侵害个人信息权利的,四是信息基础设施的运营者违法在境外存储网络数据,或者向境外提供网络数据的;五是对法律、行政法规禁止发布或者传输的信息没有通知传输、采取消除等处置措施,或者保存有关记录的。
在加强对大数据公司网络安全监管的同时,我国刑法还设立了多项与大数据公司违法违规行为密切相关的罪名。这些罪名大体可分为两大类:一是危害计算机信息系统安全的犯罪,二是维护公民信息安全的犯罪。前者包括非法侵入计算机信息系统罪和破坏计算机信息系统罪两大类犯罪;后者则包括侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、非法利用信息网络罪以及帮助信息网络犯罪活动罪四类罪名。对于大数据公司来说,司法实践中应用最多的罪名当属非法侵入计算机信息系统罪、侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪。
例如,我国《刑法》第二百五十三条确立了侵犯公民个人信息罪。根据最高法和最高检的司法解释,该罪的基本构成要件有三:一是违反国家有关规定;二是存在“向他人出售或者提供公民个人信息”,或者“窃取或者以其他方法非法获取公民个人信息”的行为;三是行为达到“情节严重”的程度。
何谓“情节严重”?根据“两高”的司法解释,个人或者单位侵犯公民个人信息,只要在数量或者情节上达到一般标准的,就足以构成作为入罪标准的“情节严重”。例如,出售或者提供行踪轨迹信息,被他人用于犯罪的;知道或者应当知道他人利用公民个人信息实施犯罪的,向其出售或者提供的;非法获取、出售或者提供“重大敏感信息”50条以上的,这些信息包括行踪轨迹信息、通信信息、征信信息、财产信息;非法获取、出售、提供“一般敏感信息”500条以上的,这些信息包括住宿信息、通信记录、健康生理信息、交易信息等可能影响人身、财产安全的公民个人信息;非法获取、出售、提供“其他公民个人信息”5000条以上的,等等。
刑法除了对侵犯公民个人信息罪确立了较低的“入罪门槛”以外,还确立了单位可能构成的拒不履行信息网络安全管理义务罪。该罪是指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,并具有法定严重情节的行为。
同样,该罪也以“情节严重”作为构成要件。但作为入罪门槛的“情节严重”,同样门槛极低。例如,致使违法视频传播200个以上,或者其他违法信息传播2000个以上的;造成重大敏感信息泄露500条以上,一般敏感信息泄露5000条以上,其他个人信息泄露50000条以上的,等等。
面对如此严厉的监管环境,面对如此低的刑法入罪标准,尤其是面对公安部门以“净网2019专项行动”为标志的运动式治理方式,我国大数据公司将面临着越来越严重的行政监管风险和刑事风险。为避免重蹈一些互联网金融行业被近乎全行业取缔的命运,我国大数据公司应当在配合监管调查和积极进行自我披露的基础上,在大数据运营方式和个人信息保护方面开展合规体系的建设。惟有如此,大数据企业才有可能转变商业运营模式,堵塞制度漏洞,发现并严惩违法违规责任人,从而在承担社会责任的基础上,实现企业的可持续发展。
那么,大数据企业究竟应如何建立合规计划?根据一些资深律师的经验,建立大数据合规体系应注意以下几个方面:
其一,企业需要根据《网络安全法》《刑法》的规定,制定个人信息保护合规政策,制定员工行为准则,清晰地界定企业经营行为的法律边界,表明公司对违法违规行为的禁止态度。
其二,企业获取公民个人信息,应取得被收集者同意或者授权,或者遵守国家有关规定的其他方式。企业应注意合理限定收集信息的范围,做到采集内容与产品或服务具有直接关联性,并将采集的频率和获取的数量控制在合理限度内,尽量避免不必要的过度采集。
其三,在数据保存环节,企业应根据实际需要对个人信息做“去标识化处理”,并将去标识化后的数据与可用于恢复识别个人的信息分开存储,确保在后续的个人信息处理中不再重新识别个人。在传输和存储个人信息时,采取严格的加密措施,设置一定的访问权限。此外,做好个人信息库的维护工作,对于有无信息及时更正,对于用户收回授权的信息及时删除。
其四,向他人提供公民个人信息,需要遵循三项基本原则:一是经过被收集者同意、授权;二是未经被收集者同意,则所提供的信息眼进行匿名化处理,或者经过处理无法识别特定个人,并且不可复原;三是确保信息接收方具有合法的使用目的,避免个人信息被用于违法犯罪活动。
其五,对合作伙伴或第三方开展尽职调查,防范违法犯罪风险。对于大数据公司来说,大量刑事法律风险都来源于上下游合作伙伴的违法违规行为,如上游的数据提供方,下游的数据使用方,都存在涉嫌实施侵犯公民个人信息罪的可能性。在开展合作之前,惟有开展针对第三方的尽职调查,发现和甄别潜在的合规风险,向第三方提出改进合规管理体系的要求,才能清晰地界定企业责任与第三方责任。
其六,在银行、教育、工商、电信、快递、证券、电商等行业,内部人员犯罪已经成为监管执法和刑事侦查的重点领域。企业有必要通过制定个人信息保护合规政策、员工手册,实施合规承诺制度,建立定期合规培训,并留下培训书面或电子证据,与员工签署保密协议,通过制度来规范、约束员工的行为。在技术上对于数据的方位保证可回溯性,以便在发生数据泄露时,能够通过审查访问日志等技术手段来找到对应的泄露人员。
其七,企业要通过建立合规体系来避免承担因管理失职所带来的责任承担问题,企业要建立一套较为完整的个人信息保护合规政策,履行信息网络安全管理义务。在监管部门提出整改要求后,企业应全面配合调查和整改,必要时自行启动内部调查程序以发现管理漏洞,找出责任人。针对监管部门的改正意见,企业进行全面整改,改变商业运营模式,堵塞制度漏洞,避免公民个人信息再次被非法收集、出售或者提供。不仅如此,对于员工、第三方或者子公司等出现的泄露个人信息的行为,要建立专门的预防机制,尽到注意义务、提醒义务和惩戒义务,以证明自身不存在“疏忽大意”或者“过于自信”的主观过错问题。
大数据环境下企业数据合规发展瓶颈
近年来,数据服务的场景不断拓宽,大数据和人工智能等新型技术给人们生活带来极大便利。数据是资产、数据有价值已经是一种社会共识,与此同时,企业之间的数据流通、数据交易、数据控制者与数据主体之间的合规问题逐渐显现,学界认为现有规则制度已难以适应不断发展的大数据产业,并就企业数据权保护与规制展开讨论。
大数据行业面临的主要问题
周婷婷在《中央财经大学学报》2016年第10期《大数据公司的结构调整:组织与治理维度》一文中认为,数据日益成为组织核心竞争力构建过程中必争的重要战略资源,也不再专属于互联网企业。通过电子设备、互联网、物联网、信息系统等手段,金融业、零售业、物流业、医疗卫生业、传媒业等都能够坐拥海量大数据。但大数据集成系统存在着分离识别侵害自由权、关联分析侵害平等权、技术垄断侵害知情权以及资源独占侵害发展权等诸多问题。大数据产业的发展在未来可能会遇到更多的挑战,如隐私保护、数据治理等问题。
王慧斌、赵雪冰在《法制与社会》2019年第8期《大数据交易中法律问题的规制》一文中认为,首先,随着我国的大数据交易量逐年快速增长,伴随而来的问题是数据权属归属还没有得到解决。具体涉及:个人数据产权的归属、原数据所有权与一系列数据组成的大数据所有权归属未能在法律上予以明确,易引发对个人隐私权侵犯的不良社会现象频繁出现。另外,目前我国针对数据交易主体如何具体分配彼此之间的责任,还没有明确规定。其次,我国目前还没有针对数据交易主体之间责任划分的专门性规定,依靠其他法律规定进行责任划分也很困难。最后,隐私权范围不明确,造成难以认定侵犯隐私权,这也造成难以确定交易主体侵犯隐私权的侵权责任,并且也是制约个人隐私数据清洗的因素之一。
大数据公司违规行为的刑法规制
唐稷尧在《山东警察学院学报》2019年第3期《大数据时代中国刑法对企业数据权的保护与规制论纲》一文中认为,从我国当前的法律体系来看,对企业数据权的关注远远小于对个人数据权的关注,这在刑法上尤为明显。作者认为刑法对企业数据保护在犯罪对象方面存在缺位。就刑法条文而言,刑法直接规定数据保护的罪名只有两个,即第285条第2款规定的非法获取计算机信息系统数据罪与第286条规定的破坏计算机信息系统罪。从犯罪对象或保护对象来看,作者认为我国刑法对数据的保护体系主要围绕个人数据、涉及国家秘密的数据展开,刑法用多个专条、规定多种行为类型对这两类对象予以较为周密的保护,但企业数据则是保护的弱项。
从犯罪手段上看,目前刑法有关数据保护的罪名大致涉及三大类:一是非法获取、持有类,包括窃取与截取、购买与收受、交换或者其他非法方法;二是破坏类,主要包括篡改、删除、增加、干扰等方法;三是(广义的)不法使用类,主要包括出售、向他人提供、通过网络或其他途径发布、泄露等方式。但从分布状况来看,刑法就企业数据的保护而言,仅涉及窃取(即非法获取计算机信息系统数据罪中的“侵入并获取”)、部分的破坏(即破坏计算机信息系统罪中的“删除、修改或增加”)和对商业秘密类数据的泄露。面对海量的数据、极速的传播速度、低廉的传播成本、日益丰富的数据类型和日益凸显、不断被挖掘的数据商业价值以及企业日益增加的数据收集、储存、整理成本,对企业数据的保护需要进行适当调整。
建立大数据企业合规体系
史晨阳在《金融电子化》2019年第7期《大数据体系下数据安全治理》一文中认为,首先,在大数据背景下,要实现数据安全治理,需要厘清两个关系。一是大数据治理和数据安全治理的关系;二是大数据体系下的数据安全治理和传统数据安全治理的关系。对于前者,作者认为随着对数据资产的高度重视和对个人隐私数据的强监管要求,数据共享越来越频繁,数据安全领域变得更加重要,成为数据治理领域里非常突出和核心的子领域。其次,数据治理和数据安全治理都是覆盖行内外所有类型的数据,实现数据全生命周期的管理,提升数据资产的质量,让数据资产在安全可控的范围内使用,并发挥数据的价值。最后,数据安全管理要求的落地,与数据模型设计相结合,做到事前控制,并在数据的采集、存储、加工和使用流程中实现数据安全管理要求。对于后者,相比较与传统数据安全管理工作,作者从数据安全治理对象、环境、人员、流程全覆盖着手,大数据体系下的数据安全治理是和数据日常工作深度结合,在数据的采集、加工、存储、应用、销毁等数据流程中提出具体明确的要求,通过管理和日常工作流程的结合,从事前、事中、事后多个维度全面开展数据安全工作。
陈瑞华在《中国律师》2020年第1期《大数据公司的合规管理问题》一文中,谈及大数据企业建立合规体系应注意七个具体方面:一是,企业需要根据网络安全法、刑法规定,制定个人信息保护合规政策,制定员工行为准则,清晰地界定企业经营行为的法律边界。二是,企业应注意合理限定收集信息的范围,做到采集内容与产品或服务具有直接关联性,并将采集的频率和获取的数量控制在合理限度内。三是,在数据保存环节,企业应根据实际需要对个人信息做“去标识化处理”,并将去标识化后的数据与可用于恢复识别个人的信息分开存储,确保在后续的个人信息处理中不再重新识别个人。在传输和存储个人信息时,采取严格的加密措施,设置一定的访问权限。四是,向他人提供公民个人信息,需要遵循:经过被收集者同意、授权;未经被收集者同意,则所提供的信息进行匿名化处理,或者经过处理无法识别特定个人,并且不可复原;确保信息接收方具有合法的使用目的,避免个人信息被用于违法犯罪活动三项原则。五是,对合作伙伴或第三方开展尽职调查,防范违法犯罪风险。六是,在银行、教育、工商、电信、快递、证券、电商等行业,内部人员犯罪已经成为监管执法和刑事侦查的重点领域。企业要在技术上对于数据的方位保证可回溯性,以便在发生数据泄露时,能够通过审查访问日志等技术手段来找到对应的泄露人员。七是,企业要建立一套较为完整的个人信息保护合规政策,履行信息网络安全管理义务。
