隨著大數據時代來臨�����,數據日益成為互聯網企業的核心競爭力。現實中���,企業數據泄露����、個人隱私頻遭侵犯的事例時有發生,數據安全已經成為一個熱門話題。近日,微盟公司程序員憑一己之力“刪庫”�,導致公司市值蒸發超10億(港元)的消息�����,就引發互聯網行業熱議�。本文將從企業數據合規必要性及路徑角度進行分析�����。
第一部分 數據合規的必要性—企業數據應用可能引發的法律風險
一�、數據合規立法背景
近年來�����,隨著數據應用日益廣泛����,國家針對數據安全及個人信息保護的法律規定層出不窮��。
2019年1月1日�����,《電子商務法》正式施行�,對電子商務經營者從事電子商務經營活動進行了規范�,對經營者搜集、使用和保護用戶個人信息作出規定��。
2019年3月3日����,《App違法違規收集使用個人信息自評估指南》生效����,主要由App運營者用于對收集、使用個人信息的行為進行自我評估��。
2019年10月1日���,《兒童個人信息網絡保護規定》施行��,旨在保護兒童個人信息安全�����,促進兒童健康成長���,并對網絡運營者如何收集、使用兒童個人信息作出了具體規定�����。
2019年11月28日���,《App違法違規收集使用個人信息行為認定方法》施行,旨在為監督管理部門認定App違法違規收集使用個人信息行為提供參考����,為App運營者自查自糾和網民社會監督提供指引����。
2020年1月1日�����,《網絡音視頻信息服務管理規定》施行����,旨在促進網絡音視頻信息服務健康有序發展,保護公民���、法人和其他組織的合法權益���,維護國家安全和公共利益���。
2020年2月13日����,《個人金融信息保護技術規范》實施,旨在最大程度保障個人金融信息主體合法權益�����,維護金融市場穩定�。
2020年3月1日�����,《網絡信息內容生態治理規定》施行���,旨在營造良好網絡生態,保障公民���、法人和其他組織的合法權益����。
二�����、行政監管風險
《網絡安全法》第六十四條規定��,網絡運營者��、網絡產品或者服務的提供者違反本法第二十二條第三款���、第四十一條至第四十三條規定,侵害個人信息依法得到保護的權利的�,由有關主管部門責令改正�����,可以根據情節單處或者并處警告�、沒收違法所得�、處違法所得一倍以上十倍以下罰款����,沒有違法所得的��,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款��;情節嚴重的���,并可以責令暫停相關業務�、停業整頓、關閉網站�、吊銷相關業務許可證或者吊銷營業執照。
2019年9月3日�����,針對媒體公開報道和用戶曝光的“ZAO”App用戶隱私協議不規范���,存在數據泄露風險等網絡數據安全問題�,工業和信息化部網絡安全管理局對相關負責人進行了問詢約談��,要求其嚴格按照國家法律法規以及相關主管部門要求,組織開展自查整改����,依法依規收集使用用戶個人信息���,規范協議條款����,強化網絡數據和用戶個人信息安全保護���。同時��,要進一步加強新技術新業務安全評估����,切實采取有效措施���,積極防范自有業務平臺被利用實施電信網絡詐騙等風險隱患。
2019年12月19日,工業和信息化部信息通信管理局發布《關于侵害用戶權益行為的APP(第一批)通報》。通報稱,截至目前,尚有41款APP存在違規收集�����、使用用戶個人信息���、不合理索取用戶權限、為用戶賬號注銷設置障礙等問題,未完成整改��。其中��,騰訊QQ�����、QQ閱讀、新浪體育、小米金融等在列。
2020年1月8日,工業和信息化部信息通信管理局發布《關于侵害用戶權益行為的APP(第二批)通報》。通報稱�����,第一批未按要求完成整改的3家企業,已于1月3日依法組織下架。第二批發現存在問題且未完成整改的15款APP向社會通報�����。拉勾招聘�、天涯社區、風行視頻、一點咨詢在列�。
三、民事責任風險
2010年7月1日施行的《中華人民共和國侵權責任法》第三十六條第一款規定,網絡用戶、網絡服務提供者利用網絡侵害他人民事權益的�����,應當承擔侵權責任��。
2014年10月10日起施行的《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第十二條第一款規定����,網絡用戶或者網絡服務提供者利用網絡公開自然人基因信息�����、病歷資料��、健康檢查資料�、犯罪記錄��、家庭住址��、私人活動等個人隱私和其他個人信息�,造成他人損害�����,被侵權人請求其承擔侵權責任的�����,人民法院應予支持�。
2017年10月1日施行的《民法總則》對個人信息保護做了規定����,第一百一十一條規定:“自然人的個人信息受法律保護��。任何組織和個人需要獲取他人個人信息的�,應當依法取得并確保信息安全��,不得非法收集、使用����、加工、傳輸他人個人信息����,不得非法買賣�、提供或者公開他人個人信息。”
在申某與某票務服務公司案[1]中����,原告稱����,被告作為專業的機票代理機構���,未盡到安全保障義務����,導致其身份信息及訂票信息泄露��,被詐騙分子騙取了錢財,被告在安全措施上存在重大疏漏�,要求被告承擔相應賠償責任����。為證明針對個人信息盡到安全保障義務��,被告提交隱私政策、《敏感信息處理規范》等證據用以證明己方在數據合規方面不存在漏洞�。法院經審理后認為,被告提交的2018年《敏感信息安全管理規定》顯示,訂單信息屬于一級信息���,內部傳輸可不加密。但針對內部員工授權進行訪問涉案訂單的人員范圍���、訪問敏感信息的授權記錄、監控情況����、操作記錄、內外部傳輸審批等情況���,被告未提交證據舉證�����。且在大量機票退改簽短信詐騙案被媒體報道后�,被告對于訂單信息的保護反而從2014年的二級加密保護降低為2018年的一級不加密傳輸。因此,被告在信息安全管理落實方面存在漏洞���,未盡到對個人信息的保管及防泄露義務���,具有過錯���,應當承擔侵權責任���。
四�、刑事責任風險
2009年頒布的《刑法修正案(七)》首次將侵犯公民個人信息罪納入刑法��。自然人和單位都可能構成犯罪主體,表現形式包括向他人出售或者提供個人信息,竊取或者以其它方法非法獲取個人信息�����。但是《刑法修正案(七)》將出售或者提供個人信息的責任主體限于“國家機關或者金融���、電信��、交通���、教育�����、醫療等單位的工作人員”,2015年頒布的《刑法修正案(九)》進行了相應的修訂,將出售或者提供個人信息及竊取或者以其他方法非法獲取公民個人信息的責任主體范圍擴大至任何自然人,同時將“履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人”的情形修訂為從重處罰的情節�����,最高刑提高到7年���,加大追責力度���,并將數據泄露引入刑責,前提是造成嚴重后果。
2017年5月9日,最高人民法院發布《侵犯公民個人信息犯罪典型案例》,共計七起,犯罪主體均為個人,侵犯個人信息的范圍包括個人戶籍�、車輛檔案��、手機定位�、個人征信、旅館住宿記錄,也包括個人銀行征信信息�����、學生信息����、網購訂單信息等類型。
從相關案例可見,單位構成侵犯個人信息犯罪的要件之一,就是單位具有實施犯罪行為的主觀意志���。法院在判斷單位員工的犯罪行為是否體現單位意志時,主要考量企業在數據合規層面對員工是否進行了嚴格的管理�����,如果企業已經明確禁止相關行為��,個人違法犯罪的應當由個人擔責����。
由此可見,企業應加強關于個人信息保護的合規建設,通過發布各項公司政策或規章制度,明文禁止員工向他人銷售或提供、竊取或通過其它方法非法獲取個人信息,并通過舉辦員工培訓���、講座等活動增強員工的意識�。并且,在培訓完成后,應要求員工簽署相關書面承諾函,從而盡量減少單位因員工侵犯個人信息犯罪而被“拉下水”的風險�。
五、重大數據泄露/滅失事件
1���、Facebook數據泄露事件—合作方違反數據協議
2018年3月����,媒體曝光Facebook上超5000萬用戶信息在用戶不知情的情況下��,被政治數據公司“劍橋分析”獲取并利用���。Facebook宣布���,早在2015年就要求合作方CambridgeAnalytica刪除上述數據��,但該公司對Facebook隱瞞了實情�����。Facebook接到的其他報告表明�,這些被濫用的用戶數據并未被銷毀。泄露事件發生后Facebook宣布今后6個月終止與多家大數據企業合作,以更好地保護用戶隱私��。
2、圓通數據泄露事件—內部人員出售數據
2018年6月,某用戶公然在暗網兜售圓通10億條快遞數據。按照當時售價來說,用戶只要花430元人民幣即可購買到100萬條圓通快遞的個人用戶信息(10億條數據1比特幣)�,而10億條數據則需要約43000元人民幣���。能夠泄漏如此多用戶信息,且準確率這么高����,外界普遍認為來源是圓通內部級別較高的工作人員。
3�����、國內多家企業簡歷泄露事件—服務器安全措施不到位
2019年4月����,國內多家企業的MongoDB和ElasticSearch服務器因暴露泄露5.9億份簡歷�����。據ZDNet報道����,研究人員發現���,中國企業今年前3個月出現數起簡歷信息泄露事故����,涉及5.9億份簡歷。大多數簡歷之所以泄露��,主要原因是MongoDB和ElasticSearch服務器安全措施不到位�����,無需密碼就能訪問獲得數據��,或者由于防火墻的配置錯誤導致[2]。
4�、日本優衣庫數據泄露事件—網站存在漏洞導致黑客攻擊
2019年5月,優衣庫超過46萬名客戶的數據被泄露�。據日媒報道�����,優衣庫的母公司迅銷集團在一份聲明中表示 “2019年5月10日��,除客戶以外的第三方未經授權登錄我們公司運營的在線商店網站”。由于存在漏洞使得黑客可以訪問在線購物網站客戶的數據����,泄露數據涉及影響超過46萬名客戶����,包括他們的姓名�、地址和聯系方式。優衣庫表示此次事件不包括中國地區的用戶數據[3]���。
5����、微信頭部服務商系統崩潰—員工刪庫
2020年2月23日,微信頭部服務提供商微盟公司的Saas業務突然崩潰,基于微盟的商家小程序都處于宕機狀態�,300萬家商戶生意基本停擺�。24-25日��,僅在一天時間,微盟集團蒸發的市值超過10億港元�。根據官方發布的公告顯示��,是該公司研發中心運維部核心運維人員賀某人為惡意破壞導致。
第二部分 企業數據合規路徑分析—面對數據風險,企業可以做些什么
一、用戶權利保障角度的數據合規
在互聯網信息時代��,數據對于企業而言具有極高的市場價值���,而企業所掌握的數據中���,有大量是來源于用戶的個人信息���。為避免侵犯個人信息權利�,企業在數據合規方面���,應當注意保障個人信息主體的以下權利:
1�����、知情同意權:
《網絡安全法》第四十一條規定,網絡運營者收集�����、使用個人信息���,應當遵循合法����、正當�、必要的原則,公開收集�、使用規則����,明示收集�����、使用信息的目的�����、方式和范圍并經被收集者同意���。
針對一般個人信息����,可適用“默示同意”的模式;針對敏感個人信息����,建議適用明示同意的模式�����。即應當經專門特定的申請���,應當明確告知收集��、使用個人信息的目的并獲得用戶的明確同意��。
2���、選擇權(反對權):
選擇權是指為用戶提供拒絕/退訂渠道�����,如設置停用按鈕�、以短信方式進行退訂等���。一般需要在隱私政策中明確告知用戶有選擇權����,并說明拒絕/退訂的途徑�����。
3����、查詢權(訪問權):
即用戶有權查詢或訪問其向個人信息控制者提供的個人信息的權利���,企業應當為用戶提供查詢方法,告知用戶可以查詢到個人信息的范圍���。
4�����、更新權:
是指用戶發現個人信息控制者所持有的其個人信息有錯誤或不完整的,有權要求進行更新或更正。企業應為用戶提供更新個人信息的渠道,并在某些信息不允許更正或更新時向用戶進行說明�����。
5�、刪除權:
是指在滿足一定條件時,用戶有權提出刪除個人信息的請求�����。企業應為用戶提供提出刪除個人信息的渠道,并告知用戶可以請求刪除的情形�。
6���、撤回權:
是指用戶有權撤回其授權同意��。企業應為用戶提供撤銷授權同意的途徑�,并使用戶可以選擇撤回其中一項或幾項的授權��,但用戶撤回同意不應影響瀏覽等基本功能。且用戶撤回授權同意不影響撤回前基于授權同意而進行的個人信息處理�。
7�、注銷權:
是指用戶有權要求注銷其賬戶�����。企業應為用戶提供簡便易操作的注銷途徑,如提供注銷途徑的選擇(例如自行注銷或聯系客服注銷)�����、列明注銷步驟����。用戶注銷賬戶后����,個人信息控制者應及時刪除其個人信息或做匿名化處理。
二����、數據生命周期角度的數據合規
數據生命周期規范要求是指在數據收集�、存儲�、使用����、共享、轉讓等生命周期內的具體性規范性要求���。在《信息安全技術 個人信息安全規范》中�,明確規定了數據生命周期的相關規范要求��。
在數據收集環節���,企業收集個人數據應向用戶明示收集目的��、方式�����、范圍��;按照隱私政策及用戶協議進行數據收集;收集個人信息時應獲得授權同意等等�����。
在數據存儲環節�����,企業應采取相應的安全加密存儲等安全措施對個人信息進行存儲��;并特別注意采取高級別的加密等安全措施對個人敏感信息存儲或傳輸����;超出個人數據保存期限后����,應對個人數據進行刪除或匿名化處理。在存儲設備要求方面,規范要求應具有本地數據備份與恢復功能���,應具有異地備份功能���,利用通信網絡將重要數據實時備份至備份場地等等��;
在數據使用環節,對個人信息的使用�,應符合隱私政策或與用戶簽署的相關協議�,不應超范圍使用個人信息(經過處理無法識別特定個人且不能復原的個人數據除外);除為達到個人信息主體授權同意的使用目的所必需外�����,使用個人信息時應消除明確身份指向性,避免精確定位到特定個人��;對個人信息的處理應遵循收集個人信息時獲得的授權同意范圍等等。
在數據共享與轉讓環節�,應事先開展個人數據安全影響評估�,并依評估結果采取有效的保護個人信息主體的措施;應向個人信息主體告知共享����、轉讓個人信息的目的、數據接收方的類型,并事先征得個人信息主體的授權同意����;準確記錄和保存個人信息的共享��、轉讓的情況���,包括共享�����、轉讓的日期�、規模��、目的,以及數據接收方基本情況等�����;并承擔因共享�、轉讓個人信息對個人信息主體合法權益造成損害的相應責任等���。
三����、企業管理層面的數據合規
1、制度管理角度
《網絡安全法》第21條規定,網絡運營者應當按照網絡安全等級保護制度的要求�,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問�����,防止網絡數據泄露或者被竊取����、篡改:(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任……可見���,制定內部安全管理制度是數據企業的法定義務����。在司法裁判中,出現數據泄露事件的企業如果能夠舉證證明己方在數據合規方面已經建立了嚴密的制度來防范相關風險����,則可以在一定程度免除相關法律責任�����。因此��,企業數據合規從制度管理層面�����,需要建立全面的數據安全管理制度�。
2���、員工管理角度
具體到數據操作層面�����,對于企業而言�,有些風險是出現在具體的員工身上����。如企業員工私自對外出售數據、竊取企業數據或者因為工作疏忽導致企業數據泄露等等情形�����。因此����,加強員工管理也是進行數據合規的一個重要方面�。例如程序員“刪庫跑路”事件,就是因為某一個員工的極端行為給企業帶來了滅頂風險�����,可見員工管理的重要性��。在員工的管理方面��,需要對可能接觸到企業數據的員工采取嚴格管理措施��,與上述員工簽署保密協議��,定期對員工進行信息安全培訓,針對數據訪問���、內外部傳輸使用、脫敏��、解密等重要操作建立審批機制,尤其是要建立分權管理機制���,也就是關鍵的數據權限不能集中在一個員工身上�����,對于企業重要數據,還應建立多重安全備份等等��。
3����、業務場景角度
企業數據合規也需要結合具體的業務場景�,不同業務場景的法律風險不同,所需要采取的合規措施也有所區別。在常規業務場景中,例如個人注冊為企業用戶的場景中���,企業要收集個人信息�����,就需要在用戶協議、隱私政策中明確說明收集使用個人信息的目的和用途��,并為用戶提供拒絕和退訂的渠道,如果用戶拒絕提供信息的�,應為用戶提供僅瀏覽模式�����;在進行數據共享和轉讓的業務場景中��,數據提供方企業應當注意審核數據接收方在個人信息保護方面的能力�����,并應盡可能保障個人信息權利,對于個人信息采取匿名化等措施加以保護,如果數據提供方在數據共享、轉讓過程中存在過錯的���,則將有可能需要對個人信息主體的損失承擔相應責任���。因此���,針對不同業務場景下的項目合規風險,相關的合規方案也將有所區別。
最后,讓我們再來分析一下近期發生的“員工刪庫”事件����?���;谏鲜銎髽I數據合規路徑的分析,我們認為�,企業可以采取以下措施防范數據風險:首先,加強數據生命周期的規范性���。例如在數據存儲方面�����,針對重要數據��,應當留有足夠安全的備份��,以備風險發生后的應對�����;其次,企業應當加強制度管理��。在數據處理層面應當建立多層審批的管理制度�,防范因個人行為導致巨大損失風險���;再次,應當加強人員管理。加強員工培訓,讓員工了解數據安全的重要性,以及造成數據泄露的法律責任及后果�����;最后��,應當具有個人信息權利保護意識�����。企業數據并非企業的獨占資產����,而是關系到廣大用戶利益的權利載體���,企業應當站在個人信息權利保障的角度,開展企業數據安全的各項管理工作�����,真正將相關制度規范落實到位���,防范數據安全事件的發生。
注釋:
[1] 參見(2018)京0105民初36658民事判決書。
[2] Chinesecompanies have leaked over 590 million resumes via open databases. https://www.zdnet.com/article/chinese-companies-have-leaked-over-590-million-resumes-via-open-databases/[3] 優衣庫母公司逾46萬顧客信息遭泄露.https://finance.sina.com.cn/wm/2019-05-15/doc-ihvhiews2168824.shtml
