尚法 勤勉 精專 共贏

現(xiàn)今環(huán)境

2017年6月1日施行的《網(wǎng)絡(luò)安全法》，對于絕大部分互聯(lián)網(wǎng)公司來說可能都是最重要、最需要深入學(xué)習(xí)的一部法律。該法一方面規(guī)定了網(wǎng)絡(luò)運(yùn)營者在網(wǎng)絡(luò)運(yùn)營安全方面的法律責(zé)任；另一方面，提出了網(wǎng)絡(luò)運(yùn)營者在收集、使用個(gè)人信息方面較為具體的法律限制。

近年來，互聯(lián)網(wǎng)行業(yè)受到愈加嚴(yán)重的監(jiān)管。去年，公安部門開展“凈網(wǎng)2019專項(xiàng)行動”，人數(shù)眾多的專案、大案頻發(fā)。這些案件基本都是涉及到多個(gè)省份的全國性案件，影響非常廣泛?；谛淌抡叩挠绊?，互聯(lián)網(wǎng)行業(yè)從業(yè)人員更加迫切地需要提高刑事風(fēng)控意識，企業(yè)對于刑事合規(guī)的需要也愈加凸顯。由于其中大部分專案屬于“數(shù)據(jù)”犯罪，所以可以說2019年是國家打擊數(shù)據(jù)犯罪、維護(hù)數(shù)據(jù)安全的非常關(guān)鍵的一年。

以筆者經(jīng)辦的“凈網(wǎng)7號”侵犯公民個(gè)人信息案為例，其中有部分當(dāng)事人是從事獵頭行業(yè)或者為自己公司運(yùn)營而收受簡歷的，原意是為了招聘，并不購買簡歷或出售簡歷獲利，但依然被刑事立案。簡歷與一般的個(gè)人信息不同，提供自身簡歷的人很有可能是希望這些信息能夠廣泛傳播的。因此，收受簡歷這一行為是否確實(shí)侵犯了侵犯公民個(gè)人信息罪的相關(guān)法益或許需要深入考量。

筆者代理的當(dāng)事人于偵查階段取保，后不予移送審查起訴，但其只是其中的特例。以一般人的經(jīng)驗(yàn)及理念去理解，傳播簡歷的行為應(yīng)當(dāng)不具有很大的社會危害性，不至于動用刑法這樣嚴(yán)厲的手段進(jìn)行大規(guī)模取締，然而事實(shí)卻并非如此。

另外，筆者去年經(jīng)辦的另一“數(shù)據(jù)產(chǎn)業(yè)案”涉及多個(gè)大數(shù)據(jù)公司、二十多名當(dāng)事人、多個(gè)罪名。除了個(gè)別當(dāng)事人系公司法定代表人外，這些當(dāng)事人很多都只是普通的上班族或者公司高管，只是在大數(shù)據(jù)公司工作，沒有注意處理好“接口”爬取數(shù)據(jù)的合規(guī)問題，導(dǎo)致進(jìn)了看守所。

而結(jié)合諸多涉互聯(lián)網(wǎng)的罪名的犯罪構(gòu)成可知，互聯(lián)網(wǎng)行業(yè)的刑事立案標(biāo)準(zhǔn)實(shí)際上并不高，而且相關(guān)的刑事政策可能已經(jīng)愈趨嚴(yán)厲。

以網(wǎng)絡(luò)運(yùn)營者為例。

依據(jù)相關(guān)法律法規(guī)，對網(wǎng)絡(luò)運(yùn)營者及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者，不履行網(wǎng)絡(luò)運(yùn)行安全和網(wǎng)絡(luò)信息安全義務(wù)的，有關(guān)主管部門以責(zé)令改正，給予警告，對拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，或被處以罰款。目前，此類罰款的上限為50萬元人民幣。

另外，如網(wǎng)絡(luò)運(yùn)營者不履行網(wǎng)絡(luò)安全義務(wù)的情況嚴(yán)重，除上述處罰外，行政監(jiān)管部門還可對其采取以下5種更加嚴(yán)厲的行政處罰：（1）責(zé)令暫停相關(guān)業(yè)務(wù)；（2）停業(yè)整頓；（3）關(guān)閉網(wǎng)站；（4）吊銷相關(guān)業(yè)務(wù)許可證；（5）吊銷營業(yè)執(zhí)照。

一類是危害計(jì)算機(jī)信息系統(tǒng)安全的犯罪（可記為“網(wǎng)安類”），主要包括非法侵入計(jì)算機(jī)信息系統(tǒng)罪和破壞計(jì)算機(jī)信息系統(tǒng)罪兩種犯罪。另一類是侵犯公民信息安全的犯罪（可記為“信息類”），主要包括侵犯公民個(gè)人信息罪、拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、非法利用信息網(wǎng)絡(luò)罪以及幫助信息網(wǎng)絡(luò)犯罪活動罪四種罪名。

其中，實(shí)踐中最常見、應(yīng)用最多的罪名系非法侵入計(jì)算機(jī)信息系統(tǒng)罪、侵犯公民個(gè)人信息罪；其次系拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪；再到非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)及非法控制計(jì)算機(jī)信息系統(tǒng)罪。這些重點(diǎn)罪名是大數(shù)據(jù)企業(yè)尤其需要注意的。

大數(shù)據(jù)企業(yè)應(yīng)如何設(shè)置合規(guī)計(jì)劃？

其一，企業(yè)需依據(jù)《網(wǎng)絡(luò)安全法》及《刑法》等相關(guān)法律法規(guī)，制定企業(yè)內(nèi)部個(gè)人信息保護(hù)合規(guī)政策及員工行為準(zhǔn)則，懸掛或張貼在企業(yè)顯眼處，以示公司的合規(guī)決心，營造合規(guī)氛圍及文化。

其二，企業(yè)獲取公民個(gè)人信息時(shí)，應(yīng)符合國家規(guī)定，以授權(quán)或同意為基本原則。只有在極其特殊的情況下，國家規(guī)定可以為了公共利益等因素直接采集公民個(gè)人信息，方可不經(jīng)允許便采集。如某部分信息為使用企業(yè)相關(guān)服務(wù)所必須，企業(yè)應(yīng)提前做出警示，讓使用者做選擇。

其三，謹(jǐn)慎使用數(shù)據(jù)“爬蟲”，禁止爬取政府部門、商業(yè)機(jī)構(gòu)乃至個(gè)人的非公開信息并私自進(jìn)行節(jié)流，尤其要預(yù)防爬取發(fā)布了“反爬聲明”（robots協(xié)議）的網(wǎng)站的相關(guān)數(shù)據(jù)。

其四，在數(shù)據(jù)保存方面，企業(yè)應(yīng)對個(gè)人信息進(jìn)行“去標(biāo)識化”及加密處理，分類別及隱私層級設(shè)置訪問或接觸的權(quán)限。另外，長期維護(hù)企業(yè)內(nèi)部個(gè)人信息庫，對于無用或者過期的信息盡量剔除，以免增加額外風(fēng)險(xiǎn)。

其五，向他人提供公民個(gè)人信息，要堅(jiān)持授權(quán)原則、匿名原則及合法使用原則。如和其他企業(yè)或者其他機(jī)構(gòu)的數(shù)據(jù)之間存在互換或者合作協(xié)議，要尤其注重在設(shè)置協(xié)議時(shí)將權(quán)限規(guī)定得盡可能細(xì)化。某種程度上，企業(yè)掌握的公民個(gè)人信息等數(shù)據(jù)可能也構(gòu)成企業(yè)的商業(yè)秘密，如非必要，盡量不要用于互換。

其六，對合作伙伴或第三方的合規(guī)情況開展盡職調(diào)查。避免因?yàn)樯舷掠纹髽I(yè)或者合作伙伴乃至親近的朋友等在信息數(shù)據(jù)方面的違法違規(guī)行為而陷入刑事糾紛。在發(fā)現(xiàn)和甄別潛在的合規(guī)風(fēng)險(xiǎn)后，應(yīng)當(dāng)對合作企業(yè)的風(fēng)險(xiǎn)級別進(jìn)行評估及分類。如認(rèn)為合規(guī)風(fēng)險(xiǎn)級別較高，應(yīng)當(dāng)另外尋找合作對象；如合規(guī)風(fēng)險(xiǎn)級別一般，應(yīng)當(dāng)在合同中另外附風(fēng)險(xiǎn)聲明書或承諾書供其簽署；如合規(guī)風(fēng)險(xiǎn)級別較低，也仍可書面向第三方提出改進(jìn)合規(guī)管理體系的要求，以隔絕風(fēng)險(xiǎn)。對于第三方或者子公司等出現(xiàn)的泄露個(gè)人信息的行為，企業(yè)應(yīng)盡到注意義務(wù)、提醒義務(wù)和懲戒義務(wù)，盡量以比《刑法》和《網(wǎng)絡(luò)安全法》目前明確規(guī)定的要求更高的標(biāo)準(zhǔn)來要求自己。

其七，在銀行、教育、電信、物流、證券、娛樂、電商、獵頭等與數(shù)據(jù)有關(guān)的重點(diǎn)行業(yè)，要特別警惕內(nèi)部人員犯罪及注重內(nèi)部反腐。企業(yè)可通過制定信息保護(hù)合規(guī)政策及員工手冊，實(shí)施合規(guī)承諾制度，與員工簽署保密協(xié)議，建立定期合規(guī)培訓(xùn)制度等方式預(yù)防人員的不合規(guī)行為。需要注意的是，要留下實(shí)施合規(guī)計(jì)劃的電子及書面證據(jù)并妥善保存。

其八，通過區(qū)塊鏈技術(shù)對數(shù)據(jù)的軌跡進(jìn)行留痕，保證數(shù)據(jù)的可回溯性，定期查驗(yàn)數(shù)據(jù)獲取、保存乃至使用情況，數(shù)據(jù)獲取、保存、使用的每個(gè)環(huán)節(jié)均由專人負(fù)責(zé)，實(shí)行審批制，留下記錄。

其九，企業(yè)要處理好網(wǎng)絡(luò)安全問題，避免因被爬取非公開數(shù)據(jù)及因黑客攻擊而造成數(shù)據(jù)泄露。企業(yè)要建立一整套較為完整的個(gè)人信息保護(hù)合規(guī)政策，通過集體學(xué)習(xí)、考試等方式讓員工對數(shù)據(jù)合規(guī)相關(guān)的規(guī)定產(chǎn)生并維持足夠了解，營造全員保護(hù)數(shù)據(jù)的環(huán)境，提高每個(gè)員工的數(shù)據(jù)合規(guī)能力。

其十，隨時(shí)跟進(jìn)行業(yè)動態(tài)，尤其要關(guān)注其他同類企業(yè)的被約談情況。如不幸因?yàn)楹弦?guī)問題被監(jiān)管部門約談，應(yīng)盡快約見律師。在監(jiān)管部門提出整改要求后，應(yīng)配合監(jiān)管部門的調(diào)查，深入整改。必要時(shí)啟動內(nèi)部調(diào)查程序以發(fā)現(xiàn)管理漏洞，針對漏洞進(jìn)行調(diào)查：找出責(zé)任人，看其行為系基于故意還是過失；通過什么手段或者無意中實(shí)施何種行為觸發(fā)了風(fēng)險(xiǎn)；漏洞的具體情況如何，以此得出處理方案，包括“對人”的處理及對“事情”的措施。