趙禮杰:CIO需對企業數據合規問題引起足夠重視
在企業網D1Net、信眾智CIO智力共享平臺和中國企業數字化聯盟共同主辦的2021北京部委央企及大型企業CIO大會暨中國企業數字化聯盟年會(夏季)上,北京瀛和律師事務所知識產權中心主任趙禮杰圍繞“強監管時代下的企業數據合規”這一主題,針對《數據安全法》和《個人信息保護法》中的部分條款展開詳細解讀。
北京瀛和律師事務所 知識產權中心主任 趙禮杰
數據強監管下的嚴峻形勢
數據治理是全球性的新問題,中國作為數字經濟大國,近兩年數據治理與數據合規問題備受關注,如今數據安全不但關系到社會民生,更是關乎國家安全的大事。
趙禮杰首先列舉了近幾年發生的五大數據泄露案例:
案例1、2021年8月23日,阿里云泄露用戶信息被責令整改;
案例2、2021年7月2日,滴滴被網信辦啟動網絡安全審查,IPO僅兩天,暫停新用戶注冊;
案例3、2021年7月5日,運滿滿、貨車幫、BOSS直聘被網絡安全審查;
案例4、2019年2月,深網視界的數據泄露事件,共有超過250萬人的數據信息被泄露;
案例5、2018年,某數據企業員工轉賣個人信息刑事案件。
“通過以上案例可以看出,數據合規治理對于所有涉及到數據處理的企業,都是非常重要的一件事兒。”趙禮杰強調:“數據合規治理與企業的合法、可持續運營直接相關。”
數據合規涉及的主要法律問題
1. 數據安全,與每個企業相關;
2. 隱私和個人信息保護,與企業的運營直接相關;
3. 數據權屬和數據資產,涉及到作為數據采集的自然人有哪些權利,以及如何開發和利用數據的問題;
4. 數據壟斷和不正當競爭,某些頭部企業擁有大量數據,是否涉及反壟斷問題?通過爬蟲技術爬數據,是否屬于不正當競爭行為?
5. 個人信息和重要數據出境;
6. 征信。
中國數據領域的三部基礎法律
中國數據領域的三部基礎法律分別是2017年6月1日實施的《網絡安全法》,2021年9月1日實施的《數據安全法》,以及2021年11月1日實施的《個人信息保護法》。
《數據安全法》的監管對象是數據處理活動,它不像《網絡安全法》只關注網絡空間,對于非網絡空間的數據也要進行監管,對所有數據都進行保護。《數據安全法》涉及到很多關鍵事項,例如數據安全標準體系的建設、數據的分類分級保護、數據跨境流動監管、數據安全風險預警機制及應急處理機制等。
《個人信息保護法》更關注自然人的個人信息,對個人信息的范圍進行新的界定,確立了個人信息的基本處理原則,對個人信息的主體權利做出了明確規定,并且明確規定了個人信息處理者的義務。
《數據安全法》要點解讀
《數據安全法》第21條中需要重點關注的三個要點:
一是明確規定國家建立數據分類分級保護制度。對應的企業應當按照數據分類分級保護制度,依據所處行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。
據趙禮杰介紹,目前很多頭部企業已經在進行數據的分類分級,部分頭部企業的分類分級比法律現有的分類更加精細,而一些成長型的企業尤其是創業型公司并沒有做到數據的分類分級。《數據安全法》9月1日起實施,企業數據分類分級已經是刻不容緩的事。
二是國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。國家對重要數據的監管會非常嚴格,尤其是對數據出鏡的監管,重要數據出鏡必須經過審查。以前,很多大型企業的研發中心設在境外,可以直接將數據傳到境外用于新產品的研發。如今,大家習以為常的數據處理方式可能就是違法犯罪。是否違法,還需要根據業務內容以及數據的重要程度與法務團隊深入研究。
三是關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度。針對這一點,企業在開展業務的過程中是否會涉及到這些數據?安全解決方案供應商在為相關政府部門提供服務時,是否會接觸到這些數據?《數據安全法》落地過程中,所有法律條文明確后,企業需要提前準備,及時調整業務模式,防范可能長期存在的法律風險。
《數據安全法》第27條中規定了數據安全保護義務:
這是《數據安全法》中的核心內容。第27條規定:開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。
趙禮杰表示:企業在數據處理的整個生命周期中,從數據的采集、存儲、處理到刪除,要經過很多處理流程,企業需要考慮是否建立了完善的全流程數據安全管理制度,沒有建立的企業需要盡快落實。數據安全教育培訓和相關的技術措施等也要跟上。
另外,第27條規定:重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。
這里強調如果處理重要數據,需要明確一個安全負責人和管理機構,盡到數據安全保護義務。刑法中如果企業單位犯罪,直接責任人可能會遭受刑事處罰,數據安全負責人是否是直接責任人?趙禮杰表示這是一個新的概念,目前還沒有實際案例,但是從法理的角度分析,應該是對應關系,而且直接責任人不只限于數據安全負責人,還包括管理機構中的其他人。
《數據安全法》第45條規定需要承擔的法律責任:
開展數據處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規定的數據安全保護義務的,由有關主管部門責令改正,給予警告,可以并處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數據泄露等嚴重后果的,處五十萬元以上二百萬元以下罰款,并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。
違反國家核心數據管理制度,危害國家主權、安全和發展利益的,由有關主管部門處二百萬元以上一千萬元以下罰款,并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任。
從以上法律條文來看,不僅有對企業的處罰,還包括直接負責的主管人員以及其他責任人員的處罰。對于公司而言,違反《數據安全法》不僅會被行政處罰,還可能涉及暫停相關業務、停業整頓、吊銷相關的許可證或者吊銷營業執照,處1000萬元以下罰款,構成犯罪的要依法追究刑事責任。
第45條中尚未列出數據出鏡的相關處罰,趙禮杰表示,對數據出鏡的處罰會更加嚴格。
《個人信息保護法》要點解讀
《個人信息保護法》第24條關于大數據殺熟的相關規定: 個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式。
《個人信息保護法》第28條關于個人敏感信息的相關規定:敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
第28條第二款規定:只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。也就是說,按照《個人信息保護法》的規定,企業以前處理的某些信息,現在可能不能再繼續處理了,或者需要評價是否符合處理的必要性,而且需要區分普通個人信息和敏感個人信息,包括獲取個人信息的彈窗提示都需要調整。
《個人信息保護法》第29條規定:處理敏感個人信息應當取得個人的單獨同意。例如,人臉識別中的人臉信息采集,屬于生物識別信息,以前的常規做法是將人臉采集的相關協議放在整個用戶協議中加粗顯示,如今需要單獨在彈框中顯示采集的用途,并且征求個人同意。涉及到APP的企業尤其是相關技術專家、CIO,需要針對彈窗設置及用戶體驗等因素綜合考慮如何調整。
《個人信息保護法》第52條規定:處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。這里的個人信息保護負責人與《數據安全法》中的負責人是同一概念,在很多場景下,這個負責人就是CIO,因此CIO要盡到相關的法律責任,盡量做好防控措施。
《個人信息保護法》第66條規定了需要承擔的法律責任,在此不再詳細展開。
數據與個人信息相關刑事責任
隨后,趙禮杰律師分析了與其相關的兩個《刑法》中的法律條文。
《刑法》第253條之一的侵犯公民個人信息罪,與《個人信息保護法》中提到的刑事責任相對應。
第253條規定:向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。
《刑法》第286條規定:網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,致使違法信息大量傳播的;致使用戶信息泄露,造成嚴重后果的;致使刑事案件證據滅失,情節嚴重的;或有其他嚴重情節的,處三年以下有期徒刑、拘役或者管制,并處或者單處罰金。
企業的數據合規開展建議
趙禮杰律師陳述了企業開展數據合規工作的基本流程。
首先是盡職調查,調查范圍包括:
1. 數據相關商業模式/業務內容的調查分析;
2. 獲得數據的授權情況;
3. 與第三方簽訂的全部數據合作協議;
4. 現行數據內部管理制度調查。
其次是問題分析與合規方案制定。針對盡職調查結果,進行合規性分析和法律風險分析,并相應制定合規方案。
最后是合規方案實施與持續優化:
1. 數據授權文件優化;
2. 數據流控制和優化;
3. 數據跨境評估;
4. 數據分類處理;
5. 數據管理制度完善。
針對企業數據合規工作的實操建議
1、建立健全的數據合規機構和負責人;
2、在企業全員范圍內培育數據合規文化;
3、建立基于業務的數據合規機制和制度;
4、基于數據處理全生命周期進行數據合規;
5、主動推進數據合規工作并持續優化;
6、重點關注與防控高危數據合規風險。
總結
數據強監管時代已經到來,做好數據合規是企業良性發展的必由之路。趙禮杰律師建議那些有遠見的CIO,應當格外重視數據合規,并將可能涉刑的合規事項作為數據合規的重中之重。
