企业如果违反数据安全保护义务,且拒不改正或者造成大量数据泄露等严重后果的,涉嫌构成拒不履行信息网络安全管理义务罪。故该案中的被告人依法被判处侵犯公民个人信息罪。最终被认定为非法获取计算机信息系统数据罪。其在调离岗位7年后,尚未解除查询权限。最终被深圳市中级人民法院判处有期徒刑一年,并处罚金人民币二万元。
原创作者:陈世银
自工作以来主要从事公司法律事务处理,担任企业常年法律顾问、代理各类民商事诉讼案件,办理了大量的涉及房地产、合同、建筑工程、婚姻家庭、劳动争议等方面的诉讼业务,参与了多起房地产公司的并购项目,擅长起草各种法律文书,合同审查、参加商务谈判,尽职调查并出具法律意见书。
一数据合规概述
在全球数字经济发展的大背景下,数据已经成为企业的重要资产。数字经济时代,数据也成为新型生产要素,已正式与土地、劳动力、资本、技术等生产要素并列为国家基础性资源,也对数字化经济高质量发展带来了千载难逢的机遇。我国各行业数据资源丰富,利益相关方对数据资源的争夺激烈,数据安全问题日益凸显。数据安全是数字经济的生命线,是数字经济蓬勃发展的安全阀,根据2021年9月1日实施的《数据安全法》第一条就规定了立法目的,即“规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益”。数字经济涉及用户、商家、平台、第三方服务机构等各主体在数据产业链条上的角色与权责,健康的数字经济秩序需要正确对待数据财产保护、数据安全与个人信息之间的平衡,形成合理的数据安全治理体系。本文将从数据涉及的刑事角度进行分析阐述数据处理各环节可能触及的刑事风险,并就企业数据合规体系的构建提出意见、建议。
二“数据”的概念
1、法律定义
根据《数据安全法》第三条:本法所称数据,是指任何以电子或者其他方式对信息的记录。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。《个人信息保护法》第四条:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
2、数据的分类
A.个人信息,其中包括敏感个人信息。个人信息例如个人基本资料、个人身份信息、网络身份标识信息、个人教育工作信息、个人财产信息等。个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。例如:个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息等。B.个人信息以外的数据,如行业生产经营数据、商业资料、音乐、视频等也属于数据范畴。
三数据涉及的刑事罪名
针对企业在获取个人、政府机构或其他企业的相关信息数据规范,我国《刑法》设立了多项与数据违规违法密切的相关罪名,作为数据类企业或企业经营者陷入刑事风险并承担相应的刑事责任的法律依据。
这些罪名大致分为两类,第一类是与信息获取行为相关的刑事风险。企业如果存在非法获取公民个人信息的行为,则涉嫌构成侵犯公民个人信息罪。如果企业通过非法手段接入政府或医疗机构信息系统获取公民的个人信息,则涉嫌构成非法获取计算机信息系统数据罪,如果获取的是相关行业的秘密信息等,则涉嫌构成侵犯商业秘密罪。第二类是与信息处理行为相关的刑事风险。企业如果违反数据安全保护义务,且拒不改正或者造成大量数据泄露等严重后果的,涉嫌构成拒不履行信息网络安全管理义务罪。
在司法实践中,涉及最多的罪名,应当是以下两大典型罪名:
1、侵犯公民个人信息罪: 我国《刑法》第二百五十三条之一为“侵犯公民个人信息罪”,根据此条规定,违反国家有关规定,向他人出售或者提供公民个人信息情节严重的,窃取或者以其他方法非法获取公民个人信息的,处有期徒刑或者拘役,并处或者单处罚金。根据最高人民法院和最高人民检察院的司法解释,该罪名涉及两个行为,一方面是存在向他人出售或者非法提供公民个人信息,或者窃取或者以其他方法非法获取公民个人信息。第二是行为达到“情节严重”的程度。其中,情节严重一般认定的标准为,个人信息被他人用于违法犯罪、出售获取敏感信息达到50条以上、一般敏感信息500条以上、公民个人信息5000条以上,那么就可能以侵犯公民个人信息罪论处。
例如2021年武汉市某法院“李某、张某涉嫌侵犯公民个人信息罪”案,李某、张某作为某公司股东,在前公司离职前,将相关客户信息复制至U盘后,用于其公司的进行客户推销,因未经信息保护主体的许可,构成侵犯公民个人信息罪,其被依法判处侵犯公民个人信息罪。再如另外一案件中,被告人陈某购买的商业登记信息是公开的,但涉及到个人信息部分却是私密的、非公开的。对此,法院认为,企业工商登记信息可以通过合法渠道查询,但涉及公民的个人信息仍属于法律保护范围。故该案中的被告人依法被判处侵犯公民个人信息罪。
2、非法获取计算机信息系统数据罪:网络爬虫是当前极为典型的数据抓取方式,然而其带来的风险也不容小觑。网络爬虫是一种根据一定规则自动获取信息和数据的程序或脚本,它弥补了搜索引擎的技术缺陷。根据我国《刑法》第二百八十五条规定了“非法获取计算机信息系统数据罪”,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统。而其中“情节严重”的表述,根据最高人民法院和最高人民检察院的司法解释规定,包括非法获取计算机信息系统数据的违法所得在五千元以上或者造成经济损失一万元以上。例如:上海市普陀山区法院办理的“Z网络科技有限公司、陈某某等人非法获取计算机信息系统数据案”,在2019年至2020年,Z网络科技有限公司在未经授权许可的情况下,为运营需要,由公司首席技术官陈某某指使多名技术人员,通过数据爬虫技术,非法获取某外卖平台数据,造成某外卖平台直接经济损失4万余元。最终被认定为非法获取计算机信息系统数据罪。
此外,如果企业大量的结构化的数据和信息都存储在系统中,员工越权访问数据或利用系统漏洞泄露数据也会构成该罪。
例如:华为员工易某,作为权限使用者,拥有登录华为公司企业资源计划(ERP)系统的权限,可以查看工作范围内相关数据信息。其在调离岗位7年后,尚未解除查询权限。故,在此七年间,易某频繁的利用权限查看系统数据,并通过相关系统漏洞,绕过权限控制,向华为的相关供应商提供了系统相关数据,从中获利。案发后,因为易某非法获取计算机信息系统数据,违法所得超过人民币5000元,属于情节严重,已经构成非法获取计算机信息系统数据罪。最终被深圳市中级人民法院判处有期徒刑一年,并处罚金人民币二万元。
以上数据合规所涉及的两大刑事风险类型,皆提示了当前建立数据合规以防范数据犯罪的重要性。下文中,也将对构建合规机制、防范刑事风险做进一步阐释。
四如何防范数据刑事风险
1、企业应当根据《刑法》、《个人信息保护法》、《网络安全法》的规定,制定企业的数据保护制度,制度相关的员工规范,从企业内部管理上,让企业全体员工以及高管,形成数据保护的意识,同时也能够让员工、企业都能认识到数据保护的责任。作为企业,应该定期评估数据保护的成效,定期对员工进行培训、更新数据保护制度。
2、在个人信息采集与处理上,企业在采集公民个人信息应该告知采集用途,并取得被收集人的同意或者授权。在取得相关信息后,应当对信息进行等级区分、对高度敏感信息、一般敏感信息进行分类管理,对于比如行踪轨迹信息、通信内容、征信信息、财产信息等高度敏感信息要及时规避使用,必要时,需要将个人信息通过技术手段进行脱敏、匿名化或者遵守国家规定的方式处理。
3、在信息使用或向他人提供时,企业应该采取严格的加密措施,设定不同的访问权限,避免信息的后续不当滥用,流向可能涉及利用数据进行互联网电信诈骗等犯罪的领域。同时,根据个人信息数据的采集、使用可能存在不同的主体,就需要,对数据进行确权,可以利用区块链防篡改特性或者采用数字水印技术,均可以达到对数据所有权和使用权鉴别并追溯数据使用的目的。
五结语
我国数字经济不断发展,数据在各行各业发展迅速,在科技领域应用广泛,使得刑事法领域数据的保护工作建设已经刻不容缓。在企业合规的大背景下,在数据犯罪的一般预防的目的之下,各行各业应当有序地建立防范机制,从而确保企业能够长远发展。
