随着大数据时代来临,数据日益成为互联网企业的核心竞争力。现实中,企业数据泄露、个人隐私频遭侵犯的事例时有发生,数据安全已经成为一个热门话题。近日,微盟公司程序员凭一己之力“删库”,导致公司市值蒸发超10亿(港元)的消息,就引发互联网行业热议。本文将从企业数据合规必要性及路径角度进行分析。
第一部分 数据合规的必要性—企业数据应用可能引发的法律风险
一、数据合规立法背景
近年来,随着数据应用日益广泛,国家针对数据安全及个人信息保护的法律规定层出不穷。
2019年1月1日,《电子商务法》正式施行,对电子商务经营者从事电子商务经营活动进行了规范,对经营者搜集、使用和保护用户个人信息作出规定。
2019年3月3日,《App违法违规收集使用个人信息自评估指南》生效,主要由App运营者用于对收集、使用个人信息的行为进行自我评估。
2019年10月1日,《儿童个人信息网络保护规定》施行,旨在保护儿童个人信息安全,促进儿童健康成长,并对网络运营者如何收集、使用儿童个人信息作出了具体规定。
2019年11月28日,《App违法违规收集使用个人信息行为认定方法》施行,旨在为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引。
2020年1月1日,《网络音视频信息服务管理规定》施行,旨在促进网络音视频信息服务健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益。
2020年2月13日,《个人金融信息保护技术规范》实施,旨在最大程度保障个人金融信息主体合法权益,维护金融市场稳定。
2020年3月1日,《网络信息内容生态治理规定》施行,旨在营造良好网络生态,保障公民、法人和其他组织的合法权益。
二、行政监管风险
《网络安全法》第六十四条规定,网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
2019年9月3日,针对媒体公开报道和用户曝光的“ZAO”App用户隐私协议不规范,存在数据泄露风险等网络数据安全问题,工业和信息化部网络安全管理局对相关负责人进行了问询约谈,要求其严格按照国家法律法规以及相关主管部门要求,组织开展自查整改,依法依规收集使用用户个人信息,规范协议条款,强化网络数据和用户个人信息安全保护。同时,要进一步加强新技术新业务安全评估,切实采取有效措施,积极防范自有业务平台被利用实施电信网络诈骗等风险隐患。
2019年12月19日,工业和信息化部信息通信管理局发布《关于侵害用户权益行为的APP(第一批)通报》。通报称,截至目前,尚有41款APP存在违规收集、使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等问题,未完成整改。其中,腾讯QQ、QQ阅读、新浪体育、小米金融等在列。
2020年1月8日,工业和信息化部信息通信管理局发布《关于侵害用户权益行为的APP(第二批)通报》。通报称,第一批未按要求完成整改的3家企业,已于1月3日依法组织下架。第二批发现存在问题且未完成整改的15款APP向社会通报。拉勾招聘、天涯社区、风行视频、一点咨询在列。
三、民事责任风险
2010年7月1日施行的《中华人民共和国侵权责任法》第三十六条第一款规定,网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。
2014年10月10日起施行的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条第一款规定,网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。
2017年10月1日施行的《民法总则》对个人信息保护做了规定,第一百一十一条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”
在申某与某票务服务公司案[1]中,原告称,被告作为专业的机票代理机构,未尽到安全保障义务,导致其身份信息及订票信息泄露,被诈骗分子骗取了钱财,被告在安全措施上存在重大疏漏,要求被告承担相应赔偿责任。为证明针对个人信息尽到安全保障义务,被告提交隐私政策、《敏感信息处理规范》等证据用以证明己方在数据合规方面不存在漏洞。法院经审理后认为,被告提交的2018年《敏感信息安全管理规定》显示,订单信息属于一级信息,内部传输可不加密。但针对内部员工授权进行访问涉案订单的人员范围、访问敏感信息的授权记录、监控情况、操作记录、内外部传输审批等情况,被告未提交证据举证。且在大量机票退改签短信诈骗案被媒体报道后,被告对于订单信息的保护反而从2014年的二级加密保护降低为2018年的一级不加密传输。因此,被告在信息安全管理落实方面存在漏洞,未尽到对个人信息的保管及防泄露义务,具有过错,应当承担侵权责任。
四、刑事责任风险
2009年颁布的《刑法修正案(七)》首次将侵犯公民个人信息罪纳入刑法。自然人和单位都可能构成犯罪主体,表现形式包括向他人出售或者提供个人信息,窃取或者以其它方法非法获取个人信息。但是《刑法修正案(七)》将出售或者提供个人信息的责任主体限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,2015年颁布的《刑法修正案(九)》进行了相应的修订,将出售或者提供个人信息及窃取或者以其他方法非法获取公民个人信息的责任主体范围扩大至任何自然人,同时将“履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人”的情形修订为从重处罚的情节,最高刑提高到7年,加大追责力度,并将数据泄露引入刑责,前提是造成严重后果。
2017年5月9日,最高人民法院发布《侵犯公民个人信息犯罪典型案例》,共计七起,犯罪主体均为个人,侵犯个人信息的范围包括个人户籍、车辆档案、手机定位、个人征信、旅馆住宿记录,也包括个人银行征信信息、学生信息、网购订单信息等类型。
从相关案例可见,单位构成侵犯个人信息犯罪的要件之一,就是单位具有实施犯罪行为的主观意志。法院在判断单位员工的犯罪行为是否体现单位意志时,主要考量企业在数据合规层面对员工是否进行了严格的管理,如果企业已经明确禁止相关行为,个人违法犯罪的应当由个人担责。
由此可见,企业应加强关于个人信息保护的合规建设,通过发布各项公司政策或规章制度,明文禁止员工向他人销售或提供、窃取或通过其它方法非法获取个人信息,并通过举办员工培训、讲座等活动增强员工的意识。并且,在培训完成后,应要求员工签署相关书面承诺函,从而尽量减少单位因员工侵犯个人信息犯罪而被“拉下水”的风险。
五、重大数据泄露/灭失事件
1、Facebook数据泄露事件—合作方违反数据协议
2018年3月,媒体曝光Facebook上超5000万用户信息在用户不知情的情况下,被政治数据公司“剑桥分析”获取并利用。Facebook宣布,早在2015年就要求合作方CambridgeAnalytica删除上述数据,但该公司对Facebook隐瞒了实情。Facebook接到的其他报告表明,这些被滥用的用户数据并未被销毁。泄露事件发生后Facebook宣布今后6个月终止与多家大数据企业合作,以更好地保护用户隐私。
2、圆通数据泄露事件—内部人员出售数据
2018年6月,某用户公然在暗网兜售圆通10亿条快递数据。按照当时售价来说,用户只要花430元人民币即可购买到100万条圆通快递的个人用户信息(10亿条数据1比特币),而10亿条数据则需要约43000元人民币。能够泄漏如此多用户信息,且准确率这么高,外界普遍认为来源是圆通内部级别较高的工作人员。
3、国内多家企业简历泄露事件—服务器安全措施不到位
2019年4月,国内多家企业的MongoDB和ElasticSearch服务器因暴露泄露5.9亿份简历。据ZDNet报道,研究人员发现,中国企业今年前3个月出现数起简历信息泄露事故,涉及5.9亿份简历。大多数简历之所以泄露,主要原因是MongoDB和ElasticSearch服务器安全措施不到位,无需密码就能访问获得数据,或者由于防火墙的配置错误导致[2]。
4、日本优衣库数据泄露事件—网站存在漏洞导致黑客攻击
2019年5月,优衣库超过46万名客户的数据被泄露。据日媒报道,优衣库的母公司迅销集团在一份声明中表示 “2019年5月10日,除客户以外的第三方未经授权登录我们公司运营的在线商店网站”。由于存在漏洞使得黑客可以访问在线购物网站客户的数据,泄露数据涉及影响超过46万名客户,包括他们的姓名、地址和联系方式。优衣库表示此次事件不包括中国地区的用户数据[3]。
5、微信头部服务商系统崩溃—员工删库
2020年2月23日,微信头部服务提供商微盟公司的Saas业务突然崩溃,基于微盟的商家小程序都处于宕机状态,300万家商户生意基本停摆。24-25日,仅在一天时间,微盟集团蒸发的市值超过10亿港元。根据官方发布的公告显示,是该公司研发中心运维部核心运维人员贺某人为恶意破坏导致。
第二部分 企业数据合规路径分析—面对数据风险,企业可以做些什么
一、用户权利保障角度的数据合规
在互联网信息时代,数据对于企业而言具有极高的市场价值,而企业所掌握的数据中,有大量是来源于用户的个人信息。为避免侵犯个人信息权利,企业在数据合规方面,应当注意保障个人信息主体的以下权利:
1、知情同意权:
《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围并经被收集者同意。
针对一般个人信息,可适用“默示同意”的模式;针对敏感个人信息,建议适用明示同意的模式。即应当经专门特定的申请,应当明确告知收集、使用个人信息的目的并获得用户的明确同意。
2、选择权(反对权):
选择权是指为用户提供拒绝/退订渠道,如设置停用按钮、以短信方式进行退订等。一般需要在隐私政策中明确告知用户有选择权,并说明拒绝/退订的途径。
3、查询权(访问权):
即用户有权查询或访问其向个人信息控制者提供的个人信息的权利,企业应当为用户提供查询方法,告知用户可以查询到个人信息的范围。
4、更新权:
是指用户发现个人信息控制者所持有的其个人信息有错误或不完整的,有权要求进行更新或更正。企业应为用户提供更新个人信息的渠道,并在某些信息不允许更正或更新时向用户进行说明。
5、删除权:
是指在满足一定条件时,用户有权提出删除个人信息的请求。企业应为用户提供提出删除个人信息的渠道,并告知用户可以请求删除的情形。
6、撤回权:
是指用户有权撤回其授权同意。企业应为用户提供撤销授权同意的途径,并使用户可以选择撤回其中一项或几项的授权,但用户撤回同意不应影响浏览等基本功能。且用户撤回授权同意不影响撤回前基于授权同意而进行的个人信息处理。
7、注销权:
是指用户有权要求注销其账户。企业应为用户提供简便易操作的注销途径,如提供注销途径的选择(例如自行注销或联系客服注销)、列明注销步骤。用户注销账户后,个人信息控制者应及时删除其个人信息或做匿名化处理。
二、数据生命周期角度的数据合规
数据生命周期规范要求是指在数据收集、存储、使用、共享、转让等生命周期内的具体性规范性要求。在《信息安全技术 个人信息安全规范》中,明确规定了数据生命周期的相关规范要求。
在数据收集环节,企业收集个人数据应向用户明示收集目的、方式、范围;按照隐私政策及用户协议进行数据收集;收集个人信息时应获得授权同意等等。
在数据存储环节,企业应采取相应的安全加密存储等安全措施对个人信息进行存储;并特别注意采取高级别的加密等安全措施对个人敏感信息存储或传输;超出个人数据保存期限后,应对个人数据进行删除或匿名化处理。在存储设备要求方面,规范要求应具有本地数据备份与恢复功能,应具有异地备份功能,利用通信网络将重要数据实时备份至备份场地等等;
在数据使用环节,对个人信息的使用,应符合隐私政策或与用户签署的相关协议,不应超范围使用个人信息(经过处理无法识别特定个人且不能复原的个人数据除外);除为达到个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人;对个人信息的处理应遵循收集个人信息时获得的授权同意范围等等。
在数据共享与转让环节,应事先开展个人数据安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;应向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意;准确记录和保存个人信息的共享、转让的情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;并承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任等。
三、企业管理层面的数据合规
1、制度管理角度
《网络安全法》第21条规定,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任……可见,制定内部安全管理制度是数据企业的法定义务。在司法裁判中,出现数据泄露事件的企业如果能够举证证明己方在数据合规方面已经建立了严密的制度来防范相关风险,则可以在一定程度免除相关法律责任。因此,企业数据合规从制度管理层面,需要建立全面的数据安全管理制度。
2、员工管理角度
具体到数据操作层面,对于企业而言,有些风险是出现在具体的员工身上。如企业员工私自对外出售数据、窃取企业数据或者因为工作疏忽导致企业数据泄露等等情形。因此,加强员工管理也是进行数据合规的一个重要方面。例如程序员“删库跑路”事件,就是因为某一个员工的极端行为给企业带来了灭顶风险,可见员工管理的重要性。在员工的管理方面,需要对可能接触到企业数据的员工采取严格管理措施,与上述员工签署保密协议,定期对员工进行信息安全培训,针对数据访问、内外部传输使用、脱敏、解密等重要操作建立审批机制,尤其是要建立分权管理机制,也就是关键的数据权限不能集中在一个员工身上,对于企业重要数据,还应建立多重安全备份等等。
3、业务场景角度
企业数据合规也需要结合具体的业务场景,不同业务场景的法律风险不同,所需要采取的合规措施也有所区别。在常规业务场景中,例如个人注册为企业用户的场景中,企业要收集个人信息,就需要在用户协议、隐私政策中明确说明收集使用个人信息的目的和用途,并为用户提供拒绝和退订的渠道,如果用户拒绝提供信息的,应为用户提供仅浏览模式;在进行数据共享和转让的业务场景中,数据提供方企业应当注意审核数据接收方在个人信息保护方面的能力,并应尽可能保障个人信息权利,对于个人信息采取匿名化等措施加以保护,如果数据提供方在数据共享、转让过程中存在过错的,则将有可能需要对个人信息主体的损失承担相应责任。因此,针对不同业务场景下的项目合规风险,相关的合规方案也将有所区别。
最后,让我们再来分析一下近期发生的“员工删库”事件。基于上述企业数据合规路径的分析,我们认为,企业可以采取以下措施防范数据风险:首先,加强数据生命周期的规范性。例如在数据存储方面,针对重要数据,应当留有足够安全的备份,以备风险发生后的应对;其次,企业应当加强制度管理。在数据处理层面应当建立多层审批的管理制度,防范因个人行为导致巨大损失风险;再次,应当加强人员管理。加强员工培训,让员工了解数据安全的重要性,以及造成数据泄露的法律责任及后果;最后,应当具有个人信息权利保护意识。企业数据并非企业的独占资产,而是关系到广大用户利益的权利载体,企业应当站在个人信息权利保障的角度,开展企业数据安全的各项管理工作,真正将相关制度规范落实到位,防范数据安全事件的发生。
注释:
[1] 参见(2018)京0105民初36658民事判决书。
[2] Chinesecompanies have leaked over 590 million resumes via open databases. https://www.zdnet.com/article/chinese-companies-have-leaked-over-590-million-resumes-via-open-databases/[3] 优衣库母公司逾46万顾客信息遭泄露.https://finance.sina.com.cn/wm/2019-05-15/doc-ihvhiews2168824.shtml
北京
北京市朝阳区东三环中路5号财富金融中心35-36层
电话:+86 10 8587 9199
上海
上海市长宁区遵义路150号虹桥南丰城C栋2006室
电话:+86 21 6289 8808
深圳
广东省深圳市福田区金田路荣超经贸中心4801
电话:+86 0755-82730104
天津
天津市河西区郁江道14号观塘大厦1号楼17层
电话:022-87560066
南京
江苏省南京市江宁区庄排路159号2号楼601室
电话:+025-83708988
郑州
河南省郑州市金水区金融岛华仕中心B座2楼
电话:+86 371 8895 8789
呼和浩特
内蒙古呼和浩特市赛罕区绿地腾飞大厦B座15层
电话:0471-3910106
昆明
云南省昆明市盘龙区恒隆广场11楼1106室
电话:+0871-63306330
西安
陕西省西安市高新区锦业路11号绿地中心B座39层
电话:+029-68273708
杭州
浙江省杭州市西湖区学院路77号黄龙国际中心B座11层
电话:+86 571 8673 8786
重庆
地址:重庆市江北区庆云路江2号国金中心T6写字楼8层8-8
电话:+86 23 67528936
海口
海南省海口市龙华区玉沙路5号国贸中心11楼
电话:0898-68508795
东京
日本国东京都港区虎之门一丁目1番18号HULIC TORANOMON BLDG.
电话:+81 3 3591 3796
加拿大
加拿大爱德华王子岛省夏洛特顿市皇后街160号
电话:001-902-918-0888
Copyright 2001- 2020 Anli Partners. All Rights Reserved 京ICP备05023788号-2 京公网安备11010502032603号
法律咨询电话:400-800-5639