冯锦锡律师:企业数据保护领域刑事合规风险的识别
手机淘宝搜:天降红包55 5月20日开始,每天领红包。 京示搜:天降红包369,5月28日开始
数据保护合规的基本原则,数据保护 合规指引与规则解析,数据保护合规管控流程些,数据合规性管理作者:冯锦锡,福建天衡联合(福州)律师事务所律师
2021年10月18日,习*总书记在十九届中央政治局第三十四次集体学习时高屋建瓴地指出:“数据作为新型生产要素,对传统生产方式变革具有重大影响。”随着科技的飞速发展,数据,已经渗透到当今每一个行业和业务职能领域,成为重要的生产因素。数据安全是国家安全的重要组成部分。数据是为企业赋能的工具,也是企业技术和经营模式创新的“引擎”,保护数据安全是数字化转型的关键。企业对数据的“竞争性财产权益”得到我国司法实践的认可,为《反不正当竞争法》第2条所保护。因此,数据保护已逐渐成为实务中的重要论题之一,国务院国资委将2022年确定为中央企业“合规管理强化年”。为保障数据安全,我国出台了《数据安全法》和《个人信息保护法》。在此背景之下,企业数据保护领域的刑事犯罪案件数量井喷式增长,特别是侵犯公民个人信息犯罪和帮助信息网络犯罪活动罪案件。这引起了企业对数据保护领域刑事风险识别的高度重视。
企业合规,指企业为实现依法依规经营、防控合规风险所建立的治理机制。数据保护合规是企业为防控数据合规风险所建立的一套公司治理体系,包括数据合规政策和数据合规管理流程两大要素。数据合规政策是合规保护体系的核心,相当于“实体法”的地位;数据合规管理流程提供了合规政策执行的规则和方式,维持了合规政策执行的秩序,提高了合规执行的效率,相当于“程序法”的地位。
合规风险专指企业因违法违规行为遭受行政处罚和刑事追究的风险。数据保护合规风险分为两大类,一是违反合规政策性条款,违反数据处理规则的数据滥用类风险,包括数据采集风险、数据使用风险和第三方关联风险;二是违反合规流程性条款,怠于履行数据合规管理义务的管理失职类风险,包括安全管理措施风险、安全技术措施风险和事件补救措施风险。笔者结合案例梳理出企业数据保护领域刑事合规风险点,以供探讨。
PART 1数据采集风险
采集信息的合法性基础是知情同意原则,数据采集风险的来源便是没有贯彻落实知情同意规则。知情同意原则的基本含义是:互联网信息收集者采集信息主体的个人信息要告知采集的范围、采集的目的和采集的方式,以及如何进行处理,并且要经过信息主体的同意,得到授权之后才能使用公民个人的基本信息。数据非法采集的表现形式包括但不限于:未充分告知数据使用的范围及用途、未充分征求用户的自愿同意、未获得用户明确授权等。以下分别分析论述不同样态的刑事合规风险:
(一)通过非法购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中非法收集公民个人信息的,可构成侵犯公民个人信息罪
案例1
法院案号:(2021)粤0304刑初997号
审理法院:深圳市福田区人民法院
简要案情:被告人刘某文系深圳市大川信息咨询有限公司股东,该公司办公地址位于深圳市福田区。为了挖掘潜在的贷款客户以提高公司业绩,被告人刘某文通过从网上下载、从朋友处获取、向他人购买等方式非法获取大量公民个人信息,后将公民个人信息通过通讯助手APP发送或打印的方式安排给公司业务员,由业务员联系客户是否有贷款需求,从中赚取服务费用。
判决结果:被告人刘某文犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币一万元。
案例2
法院案号:(2020)川0107刑初225号
审理法院:成都市武侯区人民法院
简要案情:成都鸿智金融科技有限公司(以下简称鸿智公司)经营范围为接受金融机构委托从事金融信息技术外包、金融业务流程外包等,股东陈某1(陈某的父亲)、程某、李某,法定代表人陈某。鸿智公司成立后,接受51信用卡等未经审批的放贷机构及网贷公司以及微众银行等金融机构的委托开展电话催收业务。在此过程中,51信用卡等未经审批的放贷机构及网贷公司除向鸿智公司提供了借款人本人、紧急联系人的姓名及联系方式外,还提供了大量借款人手机通讯中无关人员的姓名、联系方式等个人信息。经审计,51信用卡公司提供的其他无关人员个人信息条目高于17万余条。在电话催收过程中,鸿智公司催收人员对欠款人及其通讯录中的无关联系人,有通过采取辱骂、威胁、短信、电话轰炸、发送P图等方式以迫使欠款人还款的行为,造成较为恶劣的社会影响。被告人陈某、程某、李某等人对鸿智公司在开展催收业务中非法收受并使用欠款人手机通讯中无关人员的个人信息,发挥了积极的决策、部署、执行、维护、协助作用。
判决结果:成都鸿智金融科技有限公司受金融机构、网贷公司等委托从事催收业务,违反国家规定,不加甄别地非法收受委托方提供的公民个人信息并用于催收工作,在使用信息的过程中造成了较为恶劣的社会影响,其行为已构成侵犯公民个人信息罪。在鸿智公司单位犯罪中,被告人陈某、程某系起决策作用的单位直接负责的主管人员,被告人李某等人系参与组织实施犯罪行为的其他直接责任人员,均应当以侵犯公民个人信息罪追究其刑事责任。最终,被告人陈某犯侵犯公民个人信息罪,判处有期徒刑一年六个月,缓刑二年,并处罚金人民币五万元。
(二)通过爬虫等技术手段非法获取数据信息,可能构成非法获取计算机信息系统数据罪或者非法侵入计算机信息系统罪;获取数据过程中导致计算机信息系统不能正常运行的,可构成破坏计算机信息系统罪
案例3
法院案号:(2021)沪0104刑初148号
审理法院:上海市徐汇区人民法院
简要案情:2009年益采公司注册成立,被告人李某系公司法定代表人及经营负责人。2018年至2020年,益采公司在未经淘宝公司授权许可的情况下,由被告人李某决策通过非法手段抓取淘宝直播数据,并通过益采公司开发的“优大人”小程序出售牟利。在李某授意下,担任益采公司部门负责人的被告人王某、高某等人分工合作,以使用IP代理、“X-sign”签名算法等手段突破、绕过淘宝公司的防护机制,再通过数据抓取程序(俗称“爬虫”)大量抓取淘宝公司存储的各主播在淘宝直播时的开播地址、销售额、观看PV、UV等数据。其中,王某负责提供淘宝直播数据接口、技术帮助、转达具体开发要求及对获取的数据进行分析处理,高某负责带领技术团队研发数据抓取程序。至案发,益采公司整合非法获取的数据后通过微信小程序对外出售牟利,违法所得共计22万余元。
判决结果:益采公司违反国家规定非法获取计算机信息系统中存储的数据,情节特别严重,被告人李某系单位直接负责的主管人员,被告人王某、高某系直接责任人员,其行为均已构成非法获取计算机信息系统数据罪,应予处罚。最终,被告人李某犯非法获取计算机信息系统数据罪,判处有期徒刑二年六个月,并处罚金人民币三万元。
案例4
法院案号:(2022)沪0117刑初613号
审理法院:上海市松江区人民法院
简要案情:2017年至2018年,被告人张某某在担任厦门A有限公司、漳州B有限公司、南靖C有限公司的实际控制人期间,指使林某某、房某某(均已判刑)等人开发“库存系统”、修改游戏数据安装包,并使用“库存系统”进行游戏充值,造成深圳市D有限公司损失人民币5万余元、上海E有限公司损失人民币7万余元(以下币种均为人民币)。2018年7月至9月,被告人张某某组织林某某、黄某某(已判刑)等人通过架设阿里云服务器和fiddler抓包软件的方式,抓取和替换游戏玩家的支付代码,更换支付对象,并使用VPN+FD方式进行游戏充值,违法所得达70余万元。
判决结果:被告人张某某伙同他人违反国家规定,对计算机信息系统中传输的数据和应用程序进行修改,后果特别严重,其行为已构成破坏计算机信息系统罪。最终,被告人张某某犯破坏计算机信息系统罪,判处有期徒刑五年三个月。
(三)明知是非法获取计算机信息系统数据犯罪所获取的数据而予以转移、收购、代为销售的,构成掩饰、隐瞒犯罪所得罪
案例5
法院案号:(2018)粤0111刑初605号
审理法院:广州市白云区人民法院
简要案情:2016年2月至2017年5月期间,被告人甘某某在本市某医科大学中西医结合医院,利用其担任该院网络系统管理员的职务便利,使用其编写的代码(SQL语句),非法下载获取其管理维护的该院信息化系统(HIS系统)中的医疗统方数据,并出售给被告人黄某某(系某医药公司人员)等人。经审计,其交易金额共计人民币(下同)13900元。2015年至2017年5月期间,被告人黄某某(某医药公司人员)等人在本市白云区等地,买卖某医科大学中西医结合医院、广东省某医院、广州中医药大学某附属医院等多家医院的医疗统方数据。经审计,黄某某交易金额为246055元。
判决结果:被告人甘某某违反国家规定,非法获取计算机信息系统数据,情节严重,其行为已构成非法获取计算机信息系统数据罪;被告人黄某某等人均从事医药销售工作,对该医院的医疗统方数据的来源应当是明知的,即该数据是医院内部保存的数据,不对外公开,必须通过非法手段获取才能得到,根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第七条规定,明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒,违法所得五千元以上的,应当依照《刑法》第三百一十二条第一款的规定,以掩饰、隐瞒犯罪所得罪定罪处罚。最终,被告人甘某某犯非法获取计算机信息系统数据罪,判处有期徒刑一年,缓刑二年,并处罚金五千元。被告人黄某某犯掩饰、隐瞒犯罪所得罪,判处有期徒刑三年,缓刑三年,并处罚金三万元。
(四)建立网站、通讯群组非法获取公民个人信息的,还可构成非法利用信息网络罪
案例6
法院案号:(2020)皖1102刑初43号
审理法院:滁州市琅琊区人民法院
简要案情:2017年1月4日,被告人吴某成立“滁州众人信网络科技有限公司成都分公司”。为进行网络放贷业务,吴某雇佣被告人王某某在成都分公司架设了“麒麟资产金控系统”,并在该系统内架设了“应借贷”等APP客户端。被告人吴某把“应借贷”APP放在多家贷超内,当客户进入贷超后,在点击吴某的“应借贷”APP申请注册的过程中,客户需提供身份证正反照片,刷脸进行人像比对,填写QQ号码、微信号码、住址,授权提取手机通讯录、短信记录、通话记录、淘宝信息、芝麻分信用、负债信息等公民个人信息。当客户下载“应借贷”APP完成注册后,吴某在系统后台即可看到客户的所有个人详细信息。截止2019年6月13日,吴某共非法获取公民个人信息71301条,其中有38015条公民个人信息包含手机短信详情信息。
判决结果:被告人王某某利用信息网络,设立用于实施非法获取、出售公民个人信息的软件,其行为已构成非法利用信息网络罪。被告人王某某犯非法利用信息网络罪,判处罚金人民币一万元。
PART 2 数据使用风险
数据的使用阶段的风险来源,不仅包括对告知同意规则的违反,还包括将数据用于违法犯罪活动。首先,知情同意原则仍然是数据使用阶段需要遵守的基本原则,具体表现为企业不可超出事前告知的处理目的和处理方式使用个人信息,且在收集个人信息和使用个人信息时,应针对实践中不同的应用场景尽告知义务;其次,企业根据前述原则合法获得数据后,未经被收集者同意,不得在数据可识别特定自然人的情境下,超出被收集者的允许范围处理数据。这里的处理包括不仅包括非法出售、提供,也同样包括合法出售、提供。以下具体分析数据使用阶段刑事合规风险的具体构成情形:
(一)非法出售、提供公民个人信息可构成侵犯公民个人信息罪
案例7
法院案号:(2017)苏0324刑初940号
审理法院:江苏省睢宁县人民法院
简要案情:2017年2月至2017年4月间,周威(另案处理)在睢宁县经营上海康奔生物有限公司睢宁分公司期间,为销售公司经营产品需要,指使其公司员工被告人张某为其搜集包含公民姓名、住址、电话等内容的个人信息。后被告人张某为获取公司需要的信息及非法获利,使用昵称为“你是我此生不变的坚持”的QQ号将公司掌握的包含公民姓名、住址、电话等内容的信息非法出售或提供给被告人胡某等人累计5万余条,非法获利15150元。
判决结果:被告人张某等人非法出售、提供公民个人信息,情节特别严重,其行为均构成侵犯公民个人信息罪。最终,被告人张强犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑三年,并处罚金人民币二万元。
(二)即便是合法收集的个人信息,只要未经被收集者同意向他人提供,并且未采取匿名化技术措施的,也构成侵犯公民个人信息罪
案例8
法院案号:(2021)鲁0827刑初31号
审理法院:济宁市鱼台县人民法院
简要案情:2020年3月至10月,被告人于某等人共同成立某销售公司,利用村民向其指定的身份证阅读器等设备出示读取身份信息及相关面部信息,并在村民不知情的情况下,通过网络向位于广东深圳等地的公司提供该信息,并在线办理手机卡,得卡后,并未向村民提供。被告人于某等人采用上述方式将在山东省鱼台县、金乡县的村庄获取的公民个人信息提供给余木桂、刘某1(均另案处理)指定的在线办理手机卡的系统,用于办理手机卡,并获利。被告人于某共获利555837元。
判决结果:被告人于某利用身份证阅读器和采集身份信息软件采集公民个人信息,采取隐瞒真相,密秘向他人提供的方式,非法获利,违法所得5万元以上,情节特别严重,其行为已构成侵犯公民个人信息罪。被告人于某犯侵犯公民个人信息罪,判处有期徒刑五年,并处罚金人民币六十万元。
PART 3 第三方关联风险
企业作为一个处在市场中的商业组织,在生产经营的过程中与其他主体之间存在多重多元的复杂关联关系。因此,企业数据合规风险有时并不来源于自身,与企业具有关联关系的其他主体也是不可忽略的风险因素。数据领域的第三方包括上游数据提供方、中游的数据代理商、下游的数据接收方等等,企业经常受到牵连而承担第三方违法犯罪的连带责任。一旦第三方实施了违法行为,由于企业采取了接受、纵容态度,没有制止或纠正数据滥用行为,没有及时填补管理漏洞、消除制度隐患,最终被推定为构成“非系统性单位犯罪”,可能构成非法利用信息网络罪等新型犯罪。
案例9
法院案号:(2020)沪0115刑初4036号
审理法院:上海市浦东新区人民法院
简要案情:2020年1月13日,被告人顾某入职位于上海乐搜公司运营部,在负责短信审核工作期间,明知他人委托发送的以[快分期]为签名的催收短信有可能用于实施*等违法犯罪活动的情况下,仍无视可能发生的危害结果,对此类短信予以审核通过。经鉴定,2020年2月25日至3月25日期间,乐搜公司发送“[快分期]某某某你在我公司账单为2,986.54元,请尽快处理该笔账单,退订回T。”(除短信内容中姓名不同、金额略有不同)的短信共计11,197条,涉及的手机号码7,884个(已去重),发送成功的共计8,793条,涉及手机号码6,822个(已去重)。其中,2020年3月2日发送给章某某上述短信后,章某某被骗钱款。
判决结果:被告人顾某作为单位其他直接责任人员,非法利用信息网络,为他人实施违法犯罪活动发布信息,情节严重,其行为已构成(单位)非法利用信息网络罪。被告人顾某系在公司决策层及部门主管的领导、指挥下实施犯罪,属于单位犯罪。最终,被告人顾某犯(单位)非法利用信息网络罪,判处有期徒刑八个月,罚金人民币二千元。
PART 4 安全管理措施风险
信息网络时代,互联网的普及对人们来说是机遇,也是挑战。在计算机网络广泛应用的背景下,数据泄漏的风险增加,会给个人和企业带来巨大的风险,造成不可弥补的经济损失。因此,数据安全是企业管理的重要一环,是企业发展工作开展的重要保障。在此背景下,安全管理措施的重要性凸显。安全管理措施是企业为履行数据安全保护义务而采取的管理措施,未尽到相应管理义务,可能构成拒不履行信息网络安全管理义务罪。这些措施包括但不限于:设立安全管理负责人和管理机构、对内部从业人员对数据的使用进行规制,并对数据安全的重要性进行教育和培训、定期审查数据处理情况等。以下远特(北京)通信技术有限公司一案,便是企业员工拒不履行信息网络安全管理义务引起犯罪的典型案例。
案例10
法院案号:(2020)云0103刑初1206号
审理法院:昆明市盘龙区人民法院
简要案情:被告人李某2014年8月在远特(北京)通信技术有限公司工作,是公司的高级运营总监,2019年3月离职。2018年9月,李某将三、四万张行业卡交给亚飞达信息科技股份有限公司挑卡,亚飞达信息科技股份有限公司从中挑出4000张带有公民个人微信的卡号并要求远特(北京)通信技术有限公司进行制卡。于是,李某便根据任震挑选的回收卡安排人员进行制卡和发卡工作。亚飞达信息科技股份有限公司在拿到该批回收卡后,将该批回收卡违规实名在济南甲午新能源科技有限公司、济南仕通信息科技有限公司名下,并将回收卡卖给昆明黑兔子工作室的林某彬(另案处理)用于盗取回收卡上绑定的用户微信账号,导致回收卡上绑定的微信号被大量盗取。被告人李某负有查验、评估、审核行业卡使用情况的职责,在明知违反实名制管理规定的情况下,仍然将大量带有公民个人信息的回收卡交给亚飞达信息科技股份有限公司,违反用户实名制进行挑卡,造成严重后果,且在两年内经监管部门多次责令改正而拒不改正。2020年7月14日,经工业和信息化部网络安全管理局出具《关于涉及远特(北京)通信技术有限公司相关咨询的复函》证实,远特(北京)通信技术有限公司将绑定个人微信号的移动电话卡回收制作成行业卡销售给其他公司,为落实行业卡短信功能限制要求,未认真履行行业用户安全评估责任,违反了电话用户实名制、行业卡安全管理等相关规定。
判决结果:被告人李某无视国家法律,作为网络服务提供管理者,拒不履行信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,其行为触犯了《中华人民共和国刑法》第二百八十六条之一之规定,犯罪事实清楚,证据确实、充分,其行为已构成拒不履行信息网络安全管理义务罪。最终,被告人李某犯拒不履行信息网络安全管理义务罪,判处有期徒刑一年零三个月,并处罚金5000元。
PART 5 安全技术措施风险
安全技术措施是指企业为保护数据安全所采取的必要技术措施技术措施可以抵御数据风险,提高数据保护的安全性和可靠性。充分发挥技术优势,将技术措施与安全管理结合起来,可以有效减少数据泄露的安全风险。对安全技术措施的合理运用是数据所有者的义务,未采取相应安全技术措施导致该技术平台被用于犯罪的,可能构成拒不履行信息网络安全管理义务罪、帮助信息网络犯罪活动罪或者相关犯罪的共犯。
案例11
法院案号:(2018)赣0102刑初585号
审理法院:南昌市东湖区人民法院
简要案情:2016年2月起,被告人何某正式担任浙江省金华市盘古信息技术有限公司(以下简称盘古公司)总经理。被告人何某等人在经营、管理盘古公司的辰龙游戏平台(网址为××)的过程中,利用该平台的“捕鱼”、“五子棋”游戏提供给参赌人员进行赌博活动。“玩家”(参赌人员)在“捕鱼”游戏中,通过以炮打鱼的方式消耗虚拟游戏币,每炮消耗10-9900游戏币不等,捕鱼成功则获取2-100倍不等的游戏币返还,然后在“五子棋”游戏中,通过“银商”(从事游戏币的网上销售、回购的人员)将游戏币兑换为人民币。在盘古公司经营期间,2015年10月9日,金华市公安局网络警察支队、金华市文化行政综合执法支队、金华市市场监督管理局网络经营监管处(支队)下发《责令限期改正通知书》,责令盘古公司在2015年11月9日前将辰龙游戏中心网站(域名:【【网址】】)在规范管理方面存在的未禁止注册用户账号使用暗含银商交易的个性签名、提供不同用户账号间虚拟币变相转账的服务等问题改正完毕。
判决结果:被告人何某等人利用互联网游戏平台开设赌场,情节严重,其行为已构成开设赌场罪。被告人何某等人在经营、管理盘古公司的辰龙游戏平台的过程中,不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,且明知他人利用信息网络实施犯罪,为其犯罪提供技术支持,被告人的行为同时触犯拒不履行信息网络安全管理义务罪、帮助信息网络犯罪活动罪,择一重罪处罚,对被告人何某的行为以开设赌场罪定罪处罚。最终,被告人何某犯开设赌场罪,判处有期徒刑三年,缓刑三年,并处罚金人民币二百万元。
【End】
感谢实习生黄烨心为本文作出贡献
