隨著大數(shù)據(jù)時代來臨�����,數(shù)據(jù)日益成為互聯(lián)網(wǎng)企業(yè)的核心競爭力?��,F(xiàn)實中����,企業(yè)數(shù)據(jù)泄露、個人隱私頻遭侵犯的事例時有發(fā)生��,數(shù)據(jù)安全已經成為一個熱門話題�����。近日���,微盟公司程序員憑一己之力“刪庫”���,導致公司市值蒸發(fā)超10億(港元)的消息��,就引發(fā)互聯(lián)網(wǎng)行業(yè)熱議�。本文將從企業(yè)數(shù)據(jù)合規(guī)必要性及路徑角度進行分析���。
第一部分 數(shù)據(jù)合規(guī)的必要性—企業(yè)數(shù)據(jù)應用可能引發(fā)的法律風險
一����、數(shù)據(jù)合規(guī)立法背景
近年來���,隨著數(shù)據(jù)應用日益廣泛���,國家針對數(shù)據(jù)安全及個人信息保護的法律規(guī)定層出不窮。
2019年1月1日�����,《電子商務法》正式施行���,對電子商務經營者從事電子商務經營活動進行了規(guī)范��,對經營者搜集�、使用和保護用戶個人信息作出規(guī)定。
2019年3月3日����,《App違法違規(guī)收集使用個人信息自評估指南》生效,主要由App運營者用于對收集��、使用個人信息的行為進行自我評估�。
2019年10月1日,《兒童個人信息網(wǎng)絡保護規(guī)定》施行��,旨在保護兒童個人信息安全�,促進兒童健康成長,并對網(wǎng)絡運營者如何收集����、使用兒童個人信息作出了具體規(guī)定���。
2019年11月28日�,《App違法違規(guī)收集使用個人信息行為認定方法》施行�,旨在為監(jiān)督管理部門認定App違法違規(guī)收集使用個人信息行為提供參考,為App運營者自查自糾和網(wǎng)民社會監(jiān)督提供指引����。
2020年1月1日�����,《網(wǎng)絡音視頻信息服務管理規(guī)定》施行���,旨在促進網(wǎng)絡音視頻信息服務健康有序發(fā)展,保護公民�、法人和其他組織的合法權益,維護國家安全和公共利益�。
2020年2月13日,《個人金融信息保護技術規(guī)范》實施���,旨在最大程度保障個人金融信息主體合法權益���,維護金融市場穩(wěn)定。
2020年3月1日����,《網(wǎng)絡信息內容生態(tài)治理規(guī)定》施行,旨在營造良好網(wǎng)絡生態(tài)�����,保障公民、法人和其他組織的合法權益�����。
二����、行政監(jiān)管風險
《網(wǎng)絡安全法》第六十四條規(guī)定,網(wǎng)絡運營者�、網(wǎng)絡產品或者服務的提供者違反本法第二十二條第三款、第四十一條至第四十三條規(guī)定����,侵害個人信息依法得到保護的權利的,由有關主管部門責令改正��,可以根據(jù)情節(jié)單處或者并處警告�、沒收違法所得、處違法所得一倍以上十倍以下罰款��,沒有違法所得的��,處一百萬元以下罰款�,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款�����;情節(jié)嚴重的,并可以責令暫停相關業(yè)務����、停業(yè)整頓、關閉網(wǎng)站����、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照。
2019年9月3日���,針對媒體公開報道和用戶曝光的“ZAO”App用戶隱私協(xié)議不規(guī)范�����,存在數(shù)據(jù)泄露風險等網(wǎng)絡數(shù)據(jù)安全問題�,工業(yè)和信息化部網(wǎng)絡安全管理局對相關負責人進行了問詢約談��,要求其嚴格按照國家法律法規(guī)以及相關主管部門要求�����,組織開展自查整改�����,依法依規(guī)收集使用用戶個人信息,規(guī)范協(xié)議條款�,強化網(wǎng)絡數(shù)據(jù)和用戶個人信息安全保護。同時�,要進一步加強新技術新業(yè)務安全評估,切實采取有效措施���,積極防范自有業(yè)務平臺被利用實施電信網(wǎng)絡詐騙等風險隱患�����。
2019年12月19日���,工業(yè)和信息化部信息通信管理局發(fā)布《關于侵害用戶權益行為的APP(第一批)通報》。通報稱���,截至目前�,尚有41款APP存在違規(guī)收集����、使用用戶個人信息����、不合理索取用戶權限����、為用戶賬號注銷設置障礙等問題�,未完成整改。其中���,騰訊QQ��、QQ閱讀�����、新浪體育�、小米金融等在列�。
2020年1月8日,工業(yè)和信息化部信息通信管理局發(fā)布《關于侵害用戶權益行為的APP(第二批)通報》��。通報稱�����,第一批未按要求完成整改的3家企業(yè)��,已于1月3日依法組織下架。第二批發(fā)現(xiàn)存在問題且未完成整改的15款APP向社會通報����。拉勾招聘、天涯社區(qū)��、風行視頻�、一點咨詢在列。
三�、民事責任風險
2010年7月1日施行的《中華人民共和國侵權責任法》第三十六條第一款規(guī)定,網(wǎng)絡用戶�����、網(wǎng)絡服務提供者利用網(wǎng)絡侵害他人民事權益的��,應當承擔侵權責任���。
2014年10月10日起施行的《最高人民法院關于審理利用信息網(wǎng)絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》第十二條第一款規(guī)定����,網(wǎng)絡用戶或者網(wǎng)絡服務提供者利用網(wǎng)絡公開自然人基因信息��、病歷資料�、健康檢查資料���、犯罪記錄�����、家庭住址�、私人活動等個人隱私和其他個人信息,造成他人損害��,被侵權人請求其承擔侵權責任的�����,人民法院應予支持���。
2017年10月1日施行的《民法總則》對個人信息保護做了規(guī)定���,第一百一十一條規(guī)定:“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的�����,應當依法取得并確保信息安全����,不得非法收集����、使用�、加工、傳輸他人個人信息���,不得非法買賣���、提供或者公開他人個人信息。”
在申某與某票務服務公司案[1]中�����,原告稱��,被告作為專業(yè)的機票代理機構�,未盡到安全保障義務,導致其身份信息及訂票信息泄露���,被詐騙分子騙取了錢財�,被告在安全措施上存在重大疏漏,要求被告承擔相應賠償責任�����。為證明針對個人信息盡到安全保障義務���,被告提交隱私政策、《敏感信息處理規(guī)范》等證據(jù)用以證明己方在數(shù)據(jù)合規(guī)方面不存在漏洞�����。法院經審理后認為����,被告提交的2018年《敏感信息安全管理規(guī)定》顯示,訂單信息屬于一級信息�����,內部傳輸可不加密����。但針對內部員工授權進行訪問涉案訂單的人員范圍、訪問敏感信息的授權記錄�、監(jiān)控情況、操作記錄�、內外部傳輸審批等情況�����,被告未提交證據(jù)舉證��。且在大量機票退改簽短信詐騙案被媒體報道后�,被告對于訂單信息的保護反而從2014年的二級加密保護降低為2018年的一級不加密傳輸�。因此,被告在信息安全管理落實方面存在漏洞���,未盡到對個人信息的保管及防泄露義務���,具有過錯,應當承擔侵權責任���。
四����、刑事責任風險
2009年頒布的《刑法修正案(七)》首次將侵犯公民個人信息罪納入刑法����。自然人和單位都可能構成犯罪主體,表現(xiàn)形式包括向他人出售或者提供個人信息,竊取或者以其它方法非法獲取個人信息。但是《刑法修正案(七)》將出售或者提供個人信息的責任主體限于“國家機關或者金融、電信���、交通�����、教育�����、醫(yī)療等單位的工作人員”,2015年頒布的《刑法修正案(九)》進行了相應的修訂,將出售或者提供個人信息及竊取或者以其他方法非法獲取公民個人信息的責任主體范圍擴大至任何自然人,同時將“履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人”的情形修訂為從重處罰的情節(jié),最高刑提高到7年���,加大追責力度���,并將數(shù)據(jù)泄露引入刑責,前提是造成嚴重后果��。
2017年5月9日,最高人民法院發(fā)布《侵犯公民個人信息犯罪典型案例》,共計七起,犯罪主體均為個人,侵犯個人信息的范圍包括個人戶籍�����、車輛檔案���、手機定位��、個人征信����、旅館住宿記錄,也包括個人銀行征信信息、學生信息���、網(wǎng)購訂單信息等類型����。
從相關案例可見,單位構成侵犯個人信息犯罪的要件之一,就是單位具有實施犯罪行為的主觀意志�����。法院在判斷單位員工的犯罪行為是否體現(xiàn)單位意志時,主要考量企業(yè)在數(shù)據(jù)合規(guī)層面對員工是否進行了嚴格的管理���,如果企業(yè)已經明確禁止相關行為����,個人違法犯罪的應當由個人擔責�����。
由此可見,企業(yè)應加強關于個人信息保護的合規(guī)建設,通過發(fā)布各項公司政策或規(guī)章制度,明文禁止員工向他人銷售或提供、竊取或通過其它方法非法獲取個人信息,并通過舉辦員工培訓���、講座等活動增強員工的意識�����。并且,在培訓完成后,應要求員工簽署相關書面承諾函,從而盡量減少單位因員工侵犯個人信息犯罪而被“拉下水”的風險����。
五��、重大數(shù)據(jù)泄露/滅失事件
1����、Facebook數(shù)據(jù)泄露事件—合作方違反數(shù)據(jù)協(xié)議
2018年3月���,媒體曝光Facebook上超5000萬用戶信息在用戶不知情的情況下���,被政治數(shù)據(jù)公司“劍橋分析”獲取并利用。Facebook宣布����,早在2015年就要求合作方CambridgeAnalytica刪除上述數(shù)據(jù)���,但該公司對Facebook隱瞞了實情。Facebook接到的其他報告表明���,這些被濫用的用戶數(shù)據(jù)并未被銷毀����。泄露事件發(fā)生后Facebook宣布今后6個月終止與多家大數(shù)據(jù)企業(yè)合作����,以更好地保護用戶隱私。
2�����、圓通數(shù)據(jù)泄露事件—內部人員出售數(shù)據(jù)
2018年6月��,某用戶公然在暗網(wǎng)兜售圓通10億條快遞數(shù)據(jù)���。按照當時售價來說�����,用戶只要花430元人民幣即可購買到100萬條圓通快遞的個人用戶信息(10億條數(shù)據(jù)1比特幣)��,而10億條數(shù)據(jù)則需要約43000元人民幣��。能夠泄漏如此多用戶信息��,且準確率這么高���,外界普遍認為來源是圓通內部級別較高的工作人員��。
3���、國內多家企業(yè)簡歷泄露事件—服務器安全措施不到位
2019年4月,國內多家企業(yè)的MongoDB和ElasticSearch服務器因暴露泄露5.9億份簡歷����。據(jù)ZDNet報道,研究人員發(fā)現(xiàn)��,中國企業(yè)今年前3個月出現(xiàn)數(shù)起簡歷信息泄露事故����,涉及5.9億份簡歷���。大多數(shù)簡歷之所以泄露��,主要原因是MongoDB和ElasticSearch服務器安全措施不到位�����,無需密碼就能訪問獲得數(shù)據(jù)���,或者由于防火墻的配置錯誤導致[2]���。
4、日本優(yōu)衣庫數(shù)據(jù)泄露事件—網(wǎng)站存在漏洞導致黑客攻擊
2019年5月�,優(yōu)衣庫超過46萬名客戶的數(shù)據(jù)被泄露。據(jù)日媒報道���,優(yōu)衣庫的母公司迅銷集團在一份聲明中表示 “2019年5月10日�����,除客戶以外的第三方未經授權登錄我們公司運營的在線商店網(wǎng)站”���。由于存在漏洞使得黑客可以訪問在線購物網(wǎng)站客戶的數(shù)據(jù),泄露數(shù)據(jù)涉及影響超過46萬名客戶�,包括他們的姓名、地址和聯(lián)系方式����。優(yōu)衣庫表示此次事件不包括中國地區(qū)的用戶數(shù)據(jù)[3]����。
5����、微信頭部服務商系統(tǒng)崩潰—員工刪庫
2020年2月23日,微信頭部服務提供商微盟公司的Saas業(yè)務突然崩潰��,基于微盟的商家小程序都處于宕機狀態(tài)���,300萬家商戶生意基本停擺��。24-25日�,僅在一天時間�,微盟集團蒸發(fā)的市值超過10億港元。根據(jù)官方發(fā)布的公告顯示���,是該公司研發(fā)中心運維部核心運維人員賀某人為惡意破壞導致��。
第二部分 企業(yè)數(shù)據(jù)合規(guī)路徑分析—面對數(shù)據(jù)風險��,企業(yè)可以做些什么
一�����、用戶權利保障角度的數(shù)據(jù)合規(guī)
在互聯(lián)網(wǎng)信息時代��,數(shù)據(jù)對于企業(yè)而言具有極高的市場價值�,而企業(yè)所掌握的數(shù)據(jù)中�,有大量是來源于用戶的個人信息。為避免侵犯個人信息權利�,企業(yè)在數(shù)據(jù)合規(guī)方面,應當注意保障個人信息主體的以下權利:
1���、知情同意權:
《網(wǎng)絡安全法》第四十一條規(guī)定,網(wǎng)絡運營者收集����、使用個人信息�����,應當遵循合法�����、正當、必要的原則���,公開收集��、使用規(guī)則���,明示收集、使用信息的目的�、方式和范圍并經被收集者同意。
針對一般個人信息�����,可適用“默示同意”的模式�;針對敏感個人信息,建議適用明示同意的模式�����。即應當經專門特定的申請���,應當明確告知收集�、使用個人信息的目的并獲得用戶的明確同意���。
2�����、選擇權(反對權):
選擇權是指為用戶提供拒絕/退訂渠道����,如設置停用按鈕��、以短信方式進行退訂等����。一般需要在隱私政策中明確告知用戶有選擇權,并說明拒絕/退訂的途徑����。
3、查詢權(訪問權):
即用戶有權查詢或訪問其向個人信息控制者提供的個人信息的權利�,企業(yè)應當為用戶提供查詢方法,告知用戶可以查詢到個人信息的范圍�����。
4����、更新權:
是指用戶發(fā)現(xiàn)個人信息控制者所持有的其個人信息有錯誤或不完整的�����,有權要求進行更新或更正��。企業(yè)應為用戶提供更新個人信息的渠道�����,并在某些信息不允許更正或更新時向用戶進行說明��。
5����、刪除權:
是指在滿足一定條件時���,用戶有權提出刪除個人信息的請求�。企業(yè)應為用戶提供提出刪除個人信息的渠道�����,并告知用戶可以請求刪除的情形����。
6����、撤回權:
是指用戶有權撤回其授權同意����。企業(yè)應為用戶提供撤銷授權同意的途徑�����,并使用戶可以選擇撤回其中一項或幾項的授權�,但用戶撤回同意不應影響瀏覽等基本功能。且用戶撤回授權同意不影響撤回前基于授權同意而進行的個人信息處理�����。
7���、注銷權:
是指用戶有權要求注銷其賬戶����。企業(yè)應為用戶提供簡便易操作的注銷途徑���,如提供注銷途徑的選擇(例如自行注銷或聯(lián)系客服注銷)����、列明注銷步驟。用戶注銷賬戶后����,個人信息控制者應及時刪除其個人信息或做匿名化處理。
二�����、數(shù)據(jù)生命周期角度的數(shù)據(jù)合規(guī)
數(shù)據(jù)生命周期規(guī)范要求是指在數(shù)據(jù)收集����、存儲、使用��、共享���、轉讓等生命周期內的具體性規(guī)范性要求�����。在《信息安全技術 個人信息安全規(guī)范》中���,明確規(guī)定了數(shù)據(jù)生命周期的相關規(guī)范要求���。
在數(shù)據(jù)收集環(huán)節(jié),企業(yè)收集個人數(shù)據(jù)應向用戶明示收集目的����、方式、范圍�;按照隱私政策及用戶協(xié)議進行數(shù)據(jù)收集;收集個人信息時應獲得授權同意等等����。
在數(shù)據(jù)存儲環(huán)節(jié)����,企業(yè)應采取相應的安全加密存儲等安全措施對個人信息進行存儲;并特別注意采取高級別的加密等安全措施對個人敏感信息存儲或傳輸�����;超出個人數(shù)據(jù)保存期限后��,應對個人數(shù)據(jù)進行刪除或匿名化處理�。在存儲設備要求方面����,規(guī)范要求應具有本地數(shù)據(jù)備份與恢復功能���,應具有異地備份功能����,利用通信網(wǎng)絡將重要數(shù)據(jù)實時備份至備份場地等等���;
在數(shù)據(jù)使用環(huán)節(jié)�����,對個人信息的使用�����,應符合隱私政策或與用戶簽署的相關協(xié)議�����,不應超范圍使用個人信息(經過處理無法識別特定個人且不能復原的個人數(shù)據(jù)除外)�����;除為達到個人信息主體授權同意的使用目的所必需外�,使用個人信息時應消除明確身份指向性,避免精確定位到特定個人�;對個人信息的處理應遵循收集個人信息時獲得的授權同意范圍等等。
在數(shù)據(jù)共享與轉讓環(huán)節(jié)�����,應事先開展個人數(shù)據(jù)安全影響評估�����,并依評估結果采取有效的保護個人信息主體的措施���;應向個人信息主體告知共享���、轉讓個人信息的目的�、數(shù)據(jù)接收方的類型,并事先征得個人信息主體的授權同意�;準確記錄和保存?zhèn)€人信息的共享、轉讓的情況���,包括共享���、轉讓的日期���、規(guī)模、目的���,以及數(shù)據(jù)接收方基本情況等��;并承擔因共享��、轉讓個人信息對個人信息主體合法權益造成損害的相應責任等����。
三�����、企業(yè)管理層面的數(shù)據(jù)合規(guī)
1�、制度管理角度
《網(wǎng)絡安全法》第21條規(guī)定,網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求�,履行下列安全保護義務,保障網(wǎng)絡免受干擾�����、破壞或者未經授權的訪問,防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取����、篡改:(一)制定內部安全管理制度和操作規(guī)程,確定網(wǎng)絡安全負責人�,落實網(wǎng)絡安全保護責任……可見,制定內部安全管理制度是數(shù)據(jù)企業(yè)的法定義務�。在司法裁判中,出現(xiàn)數(shù)據(jù)泄露事件的企業(yè)如果能夠舉證證明己方在數(shù)據(jù)合規(guī)方面已經建立了嚴密的制度來防范相關風險���,則可以在一定程度免除相關法律責任�����。因此���,企業(yè)數(shù)據(jù)合規(guī)從制度管理層面,需要建立全面的數(shù)據(jù)安全管理制度�����。
2�����、員工管理角度
具體到數(shù)據(jù)操作層面�,對于企業(yè)而言,有些風險是出現(xiàn)在具體的員工身上��。如企業(yè)員工私自對外出售數(shù)據(jù)�����、竊取企業(yè)數(shù)據(jù)或者因為工作疏忽導致企業(yè)數(shù)據(jù)泄露等等情形���。因此���,加強員工管理也是進行數(shù)據(jù)合規(guī)的一個重要方面。例如程序員“刪庫跑路”事件����,就是因為某一個員工的極端行為給企業(yè)帶來了滅頂風險,可見員工管理的重要性�����。在員工的管理方面��,需要對可能接觸到企業(yè)數(shù)據(jù)的員工采取嚴格管理措施,與上述員工簽署保密協(xié)議����,定期對員工進行信息安全培訓,針對數(shù)據(jù)訪問�����、內外部傳輸使用���、脫敏����、解密等重要操作建立審批機制��,尤其是要建立分權管理機制���,也就是關鍵的數(shù)據(jù)權限不能集中在一個員工身上��,對于企業(yè)重要數(shù)據(jù)�,還應建立多重安全備份等等��。
3��、業(yè)務場景角度
企業(yè)數(shù)據(jù)合規(guī)也需要結合具體的業(yè)務場景�����,不同業(yè)務場景的法律風險不同�,所需要采取的合規(guī)措施也有所區(qū)別。在常規(guī)業(yè)務場景中�,例如個人注冊為企業(yè)用戶的場景中,企業(yè)要收集個人信息����,就需要在用戶協(xié)議、隱私政策中明確說明收集使用個人信息的目的和用途�,并為用戶提供拒絕和退訂的渠道,如果用戶拒絕提供信息的�,應為用戶提供僅瀏覽模式;在進行數(shù)據(jù)共享和轉讓的業(yè)務場景中�����,數(shù)據(jù)提供方企業(yè)應當注意審核數(shù)據(jù)接收方在個人信息保護方面的能力�,并應盡可能保障個人信息權利,對于個人信息采取匿名化等措施加以保護�,如果數(shù)據(jù)提供方在數(shù)據(jù)共享、轉讓過程中存在過錯的�����,則將有可能需要對個人信息主體的損失承擔相應責任。因此�,針對不同業(yè)務場景下的項目合規(guī)風險,相關的合規(guī)方案也將有所區(qū)別�����。
最后�����,讓我們再來分析一下近期發(fā)生的“員工刪庫”事件���?����;谏鲜銎髽I(yè)數(shù)據(jù)合規(guī)路徑的分析�����,我們認為���,企業(yè)可以采取以下措施防范數(shù)據(jù)風險:首先�����,加強數(shù)據(jù)生命周期的規(guī)范性����。例如在數(shù)據(jù)存儲方面�����,針對重要數(shù)據(jù)��,應當留有足夠安全的備份�����,以備風險發(fā)生后的應對�;其次����,企業(yè)應當加強制度管理。在數(shù)據(jù)處理層面應當建立多層審批的管理制度�����,防范因個人行為導致巨大損失風險;再次�����,應當加強人員管理�。加強員工培訓,讓員工了解數(shù)據(jù)安全的重要性����,以及造成數(shù)據(jù)泄露的法律責任及后果;最后�����,應當具有個人信息權利保護意識���。企業(yè)數(shù)據(jù)并非企業(yè)的獨占資產�����,而是關系到廣大用戶利益的權利載體��,企業(yè)應當站在個人信息權利保障的角度��,開展企業(yè)數(shù)據(jù)安全的各項管理工作����,真正將相關制度規(guī)范落實到位,防范數(shù)據(jù)安全事件的發(fā)生����。
注釋:
[1] 參見(2018)京0105民初36658民事判決書。
[2] Chinesecompanies have leaked over 590 million resumes via open databases. https://www.zdnet.com/article/chinese-companies-have-leaked-over-590-million-resumes-via-open-databases/[3] 優(yōu)衣庫母公司逾46萬顧客信息遭泄露.https://finance.sina.com.cn/wm/2019-05-15/doc-ihvhiews2168824.shtml
