目前,大数据公司的合规管理问题已经成为跨国企业建立合规管理体系的重点领域。根据媒体报道,美国联邦贸易委员会与两个涉嫌侵犯个人信息的美国公司达成了行政和解协议,通过责令其缴纳高额罚款和重建大数据合规体系的方式,使得这些公司避免受到严厉的行政处罚。这种以合规换取宽大行政处理的监管方式,对我国当下正在治理的大数据公司违法违规乃至犯罪的问题,具有极大的启发意义。
2019年7月24日,美国司法部、联邦贸易委员会与Facebook就保护用户隐私达成一项为期20年的和解协议,主要内容包括Facebook交付50亿美元罚款,并接受联邦贸易委员会的进一步监管。此外,美国证交会也与Facebook就该公司未能充分披露滥用用户数据风险等指控达成行政和解,该公司需向SEC缴纳1亿美元的罚款。
Facebook公司被指控的主要违规事实是,2018年3月,该公司与咨询公司剑桥分析公司违规分享8700万用户数据。随后,FTC对这一案件展开监管调查。
根据和解协议,FTC要求Facebook设立独立委员会来加强对隐私数据使用的监管。该公司首席执行官扎克伯格和独立委员会需定期向FTC汇报公司遵守隐私保护的情况。与此同时,和解协议要求该公司加大对第三方应用的监督,要求公司明确告知用户使用第三方应用可能存在的风险,并在使用之前获得用户的明确许可。如果出现超过500名用户隐私受到侵犯的情况,FTC将要求该公司在30天之内向其报告数据泄露情况,并终止相关应用程序在Facebook平台上的使用。
美国FTC主席乔西蒙斯认为,50亿美元的罚款不仅在数额上前所未有,而且要求整改的相关条款将改变Facebook的隐私文化,降低其继续违规的可能性。
4个月之后,FTC又与一家位于犹他州的科技公司InfoTrax Systems达成行政和解协议。该公司被指控没有实施合理的安全保护措施,造成近100万消费者的个人信息被黑客窃取。根据FTC的指控,该公司以及前任CEO没有采取合理、低成本、轻松可得的保护措施来保护储存客户的个人信息,包括该公司没有清点并删除不再需要的个人信息;没有对其软件进行代码审查并对网络进行测试;没有检测恶意文件上传;没有充分细分其网络;没有实施网络安全防护措施以检测器网络上的异常活动。此外,FTC还指控,该公司将消费者个人信息以清晰可读的文本存储在网络中,个人信息包括了社保号码、支付卡信息、银行账户信息、用户名和密码等。
由于InfoTrax公司保护数据措施不力,一名黑客在2014年5月至2016年3月期间,超过20次潜入该公司的服务器及其代为运营的网站,入侵者获取了大约100万缴费者的敏感个人信息。直到2016年3月,该公司被警告其服务器已达到最大容量时,才发现上述入侵事件。这一警告是由于黑客创建的数据文档文件所引起的,入侵者获取的个人信息可被用来实施身份盗窃和欺诈。FTC声称该公司没有对其应保护的个人数据提供合理的安全保护,违反了FTC所禁止的不当行为。
根据TFC与InfoTrax达成的行政和解协议,该公司只有在实施一个信息保护项目,解决信息安保不力问题之后,才能从事收集、出售、共享或存储个人信息的业务活动。这个信息保护项目包括评估存档内部和外部的安全风险;实施安保措施来保护个人信息免受网络安全风险;检测和测试上述安保措施的有效性。
此外,和解协议还要求该公司每两年接受由第三方对其个人信息项目的评估。评估者必读明确是指其结论的依据,必须独立实施取样、员工采访以及文件审阅等行为。不仅如此,协议还授予FTC任命独立评估者的权力。
那么,中国相关监管部门对于大数据公司所存在的违法违规行为究竟采取怎样的治理方式呢?
2017年6月1日施行的《网络安全法》,同时确立了维护国家网络安全和保护个人网络信息的制度。首先,该法要求网络运营者在网络运行安全方面承担一系列法律义务,包括遵循网络安全等级保护制度、符合国家标准的强制性要求、要求用户使用真实身份信息、制定应急预案等方面的义务。其次,在网络信息安全方面,该法要求网络运营者收集、使用个人信息,应对遵循合法、正当和必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并征得被收集者同意。
无论是对网络运营者,还是对关键信息基础设施运营者,只要不履行网络运行安全和网络信息安全义务的,有关主管部门都可以责令改正,给予警告,对拒不改正或者导致危害网络安全等后果的,处以50万元以下的罚款。但是,网络运营者假如存在严重不履行网络安全义务情形的,有关主管部门在处以上述行政处罚之后,还可以采取以下5种具有“资格剥夺”性质的严厉行政处罚:(1)责令暂停相关业务;(2)停业整顿;(3)关闭网站;(4)吊销相关业务许可证;(5)吊销营业执照。
何谓“严重不履行网络安全义务的情形”?根据该法的规定,主要是指以下几种情况:一是网络运营者没有要求用户提供真实身份信息,或者对不提供报告真实身份信息的用户提供相关服务的;二是违法开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的;三是网络运营者、网络产品或服务提供者违反法律规定,侵害个人信息权利的,四是信息基础设施的运营者违法在境外存储网络数据,或者向境外提供网络数据的;五是对法律、行政法规禁止发布或者传输的信息没有通知传输、采取消除等处置措施,或者保存有关记录的。
在加强对大数据公司网络安全监管的同时,我国刑法还设立了多项与大数据公司违法违规行为密切相关的罪名。这些罪名大体可分为两大类:一是危害计算机信息系统安全的犯罪,二是维护公民信息安全的犯罪。前者包括非法侵入计算机信息系统罪和破坏计算机信息系统罪两大类犯罪;后者则包括侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、非法利用信息网络罪以及帮助信息网络犯罪活动罪四类罪名。对于大数据公司来说,司法实践中应用最多的罪名当属非法侵入计算机信息系统罪、侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪。
例如,我国《刑法》第二百五十三条确立了侵犯公民个人信息罪。根据最高法和最高检的司法解释,该罪的基本构成要件有三:一是违反国家有关规定;二是存在“向他人出售或者提供公民个人信息”,或者“窃取或者以其他方法非法获取公民个人信息”的行为;三是行为达到“情节严重”的程度。
何谓“情节严重”?根据“两高”的司法解释,个人或者单位侵犯公民个人信息,只要在数量或者情节上达到一般标准的,就足以构成作为入罪标准的“情节严重”。例如,出售或者提供行踪轨迹信息,被他人用于犯罪的;知道或者应当知道他人利用公民个人信息实施犯罪的,向其出售或者提供的;非法获取、出售或者提供“重大敏感信息”50条以上的,这些信息包括行踪轨迹信息、通信信息、征信信息、财产信息;非法获取、出售、提供“一般敏感信息”500条以上的,这些信息包括住宿信息、通信记录、健康生理信息、交易信息等可能影响人身、财产安全的公民个人信息;非法获取、出售、提供“其他公民个人信息”5000条以上的,等等。
刑法除了对侵犯公民个人信息罪确立了较低的“入罪门槛”以外,还确立了单位可能构成的拒不履行信息网络安全管理义务罪。该罪是指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,并具有法定严重情节的行为。
同样,该罪也以“情节严重”作为构成要件。但作为入罪门槛的“情节严重”,同样门槛极低。例如,致使违法视频传播200个以上,或者其他违法信息传播2000个以上的;造成重大敏感信息泄露500条以上,一般敏感信息泄露5000条以上,其他个人信息泄露50000条以上的,等等。
面对如此严厉的监管环境,面对如此低的刑法入罪标准,尤其是面对公安部门以“净网2019专项行动”为标志的运动式治理方式,我国大数据公司将面临着越来越严重的行政监管风险和刑事风险。为避免重蹈一些互联网金融行业被近乎全行业取缔的命运,我国大数据公司应当在配合监管调查和积极进行自我披露的基础上,在大数据运营方式和个人信息保护方面开展合规体系的建设。惟有如此,大数据企业才有可能转变商业运营模式,堵塞制度漏洞,发现并严惩违法违规责任人,从而在承担社会责任的基础上,实现企业的可持续发展。
那么,大数据企业究竟应如何建立合规计划?根据一些资深律师的经验,建立大数据合规体系应注意以下几个方面:
其一,企业需要根据《网络安全法》《刑法》的规定,制定个人信息保护合规政策,制定员工行为准则,清晰地界定企业经营行为的法律边界,表明公司对违法违规行为的禁止态度。
其二,企业获取公民个人信息,应取得被收集者同意或者授权,或者遵守国家有关规定的其他方式。企业应注意合理限定收集信息的范围,做到采集内容与产品或服务具有直接关联性,并将采集的频率和获取的数量控制在合理限度内,尽量避免不必要的过度采集。
其三,在数据保存环节,企业应根据实际需要对个人信息做“去标识化处理”,并将去标识化后的数据与可用于恢复识别个人的信息分开存储,确保在后续的个人信息处理中不再重新识别个人。在传输和存储个人信息时,采取严格的加密措施,设置一定的访问权限。此外,做好个人信息库的维护工作,对于有无信息及时更正,对于用户收回授权的信息及时删除。
其四,向他人提供公民个人信息,需要遵循三项基本原则:一是经过被收集者同意、授权;二是未经被收集者同意,则所提供的信息眼进行匿名化处理,或者经过处理无法识别特定个人,并且不可复原;三是确保信息接收方具有合法的使用目的,避免个人信息被用于违法犯罪活动。
其五,对合作伙伴或第三方开展尽职调查,防范违法犯罪风险。对于大数据公司来说,大量刑事法律风险都来源于上下游合作伙伴的违法违规行为,如上游的数据提供方,下游的数据使用方,都存在涉嫌实施侵犯公民个人信息罪的可能性。在开展合作之前,惟有开展针对第三方的尽职调查,发现和甄别潜在的合规风险,向第三方提出改进合规管理体系的要求,才能清晰地界定企业责任与第三方责任。
其六,在银行、教育、工商、电信、快递、证券、电商等行业,内部人员犯罪已经成为监管执法和刑事侦查的重点领域。企业有必要通过制定个人信息保护合规政策、员工手册,实施合规承诺制度,建立定期合规培训,并留下培训书面或电子证据,与员工签署保密协议,通过制度来规范、约束员工的行为。在技术上对于数据的方位保证可回溯性,以便在发生数据泄露时,能够通过审查访问日志等技术手段来找到对应的泄露人员。
其七,企业要通过建立合规体系来避免承担因管理失职所带来的责任承担问题,企业要建立一套较为完整的个人信息保护合规政策,履行信息网络安全管理义务。在监管部门提出整改要求后,企业应全面配合调查和整改,必要时自行启动内部调查程序以发现管理漏洞,找出责任人。针对监管部门的改正意见,企业进行全面整改,改变商业运营模式,堵塞制度漏洞,避免公民个人信息再次被非法收集、出售或者提供。不仅如此,对于员工、第三方或者子公司等出现的泄露个人信息的行为,要建立专门的预防机制,尽到注意义务、提醒义务和惩戒义务,以证明自身不存在“疏忽大意”或者“过于自信”的主观过错问题
作者:陈瑞华,北京大学法学院教授、博士生导师。
来源:《中国律师》2020年第1期
,法律硕士,执业于北京市炜衡(深圳)律师事务所,执业证号为
。
现兼任深圳市人民政府听证员、深圳市政府采购评审专家(法律类),曾担任深圳市某区政府系统公职律师、计算机信息网络安全员、网页设计师、计算机程序员、服务器维护工程师和网站站长多年,十分熟悉“互联网+”平台领域涉及到的专业技术和行业规则,颇为擅长区块链(虚拟数字货币)、电子商务、网络游戏、软件保护、网络作品(文学、图片、音视频等)、大数据、增值电信,以及其他与网络相关的各类纠纷处置,多年以来积累了丰富的互联网+平台领域法律实务经验,能有效维护委托人各类合法权益。