——引 言——
前不久���,短視頻巨頭TikTok首席執(zhí)行官出席美國國會(huì)眾議院能源和商務(wù)委員會(huì)聽證會(huì),凸顯出數(shù)據(jù)安全成為中美兩國博弈間的重要性���。如果TikTok在中國,它會(huì)面臨什么樣的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)呢�?
數(shù)據(jù)被譽(yù)為“新時(shí)代的石油”,是基礎(chǔ)性資源和戰(zhàn)略性資源����,也是重要生產(chǎn)力。數(shù)據(jù)作為新型生產(chǎn)要素�����,是數(shù)字化、網(wǎng)絡(luò)化��、智能化的基礎(chǔ)��,已快速融入生產(chǎn)����、分配、流通���、消費(fèi)和社會(huì)服務(wù)管理等各環(huán)節(jié)����,深刻改變著生產(chǎn)方式��、生活方式和社會(huì)治理方式�����。是發(fā)展數(shù)字經(jīng)濟(jì)的關(guān)鍵生產(chǎn)要素���,促進(jìn)實(shí)體經(jīng)濟(jì)與虛擬經(jīng)濟(jì)融合的關(guān)鍵資源���,也是推進(jìn)國家治理現(xiàn)代化的關(guān)鍵要素���。
目前在數(shù)據(jù)合規(guī)領(lǐng)域,國家已經(jīng)形成了以《刑法》和《民法典》等法律為基礎(chǔ)�,以《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》三部法律為核心,以網(wǎng)信部門以及各中央部門專門法規(guī)和規(guī)章為支持的系統(tǒng)化�����、體系化監(jiān)管格局�����。
隨著相關(guān)細(xì)則的不斷更新��,企業(yè)數(shù)據(jù)合規(guī)的風(fēng)險(xiǎn)也越來越大�,本文簡要分析企業(yè)在數(shù)據(jù)收集、數(shù)據(jù)使用以及數(shù)據(jù)存儲(chǔ)與刪除三階段的合規(guī)和法律風(fēng)險(xiǎn)及相關(guān)責(zé)任��,并對企業(yè)在數(shù)據(jù)合規(guī)體系建設(shè)方面提出一點(diǎn)建議����。
——探 討——
相關(guān)概念與定義
數(shù)據(jù)與信息
企業(yè)要做數(shù)據(jù)合規(guī)�����,首先得了解什么是數(shù)據(jù)?數(shù)據(jù)與信息到底有什么區(qū)別��?
一般理解認(rèn)為數(shù)據(jù)僅僅是數(shù)字組合���,這種理解并沒有觸及數(shù)據(jù)的本質(zhì)����?���!皵?shù)據(jù)(英語:data)又稱資料,是通過觀測得到的數(shù)字性的特征或信息�。”這是維基百科上對數(shù)據(jù)的定義��。也有人認(rèn)為數(shù)據(jù)就是對客觀事實(shí)的描述或是我們通過觀察�����、實(shí)驗(yàn)或計(jì)算得出的結(jié)果��。
這些專業(yè)的解釋或許都有不同的視角���,但也說明關(guān)于數(shù)據(jù)的概念目前還缺乏共識(shí)��,而企業(yè)數(shù)據(jù)合規(guī)需要依據(jù)法律定義作為標(biāo)準(zhǔn)����。
《數(shù)據(jù)安全法》第三條對于數(shù)據(jù)有以下定義:數(shù)據(jù)是指任何以電子或者其他方式對信息的記錄。
《個(gè)人信息保護(hù)法》第四條對個(gè)人信息的界定:個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息�,不包括匿名化處理后的信息。
結(jié)合兩部法律關(guān)于數(shù)據(jù)與信息的定義���,從文本邏輯上理解�,數(shù)據(jù)就是信息的載體�����,數(shù)據(jù)可能是雜亂無序的���,只有數(shù)據(jù)中那些有用的內(nèi)容才能稱之為信息��。
所以說數(shù)據(jù)雖然是信息化時(shí)代出現(xiàn)的概念���,但不是現(xiàn)代才有的事物,人類自誕生以來就已經(jīng)在用各種方式記錄數(shù)據(jù)����,從最早的結(jié)繩記事,到文字圖畫��,再到如今的數(shù)字?jǐn)?shù)據(jù)�����。隨著電子傳感器的發(fā)展�、數(shù)據(jù)數(shù)字化和計(jì)算機(jī)的發(fā)明,現(xiàn)在世界上每年產(chǎn)生的數(shù)據(jù)量超越了以前千年的量級�。
企業(yè)要明白,數(shù)據(jù)合規(guī)關(guān)注不只是網(wǎng)絡(luò)領(lǐng)域的數(shù)字?jǐn)?shù)據(jù)�����,像類似于用戶信息登記表����、員工信息登記表,設(shè)計(jì)圖紙之類的非電子記錄信息同樣是數(shù)據(jù)合規(guī)關(guān)注的對象����。
重要數(shù)據(jù)、核心數(shù)據(jù)��、一般數(shù)據(jù)
數(shù)據(jù)概念的外延如此之廣,是不是企業(yè)要對每一條數(shù)據(jù)都有一樣的合規(guī)要求��?
并不是這樣的�����?!稊?shù)據(jù)安全法》第二十一條第一款規(guī)定:國家建立數(shù)據(jù)分類分級保護(hù)制度,根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度���,以及一旦遭到篡改����、破壞����、泄露或者非法獲取、非法利用�����,對國家安全����、公共利益或者個(gè)人���、組織合法權(quán)益造成的危害程度,對數(shù)據(jù)實(shí)行分類分級保護(hù)����。國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄�,加強(qiáng)對重要數(shù)據(jù)的保護(hù)。
《數(shù)據(jù)安全法》雖然規(guī)定了數(shù)據(jù)分級保護(hù)制度�����,提到了“重要數(shù)據(jù)”的概念����,但是對于什么是“重要數(shù)據(jù)”,如何分級保護(hù)并沒有詳細(xì)規(guī)定����。
2021年11月14日,國家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》�����,作為行政法規(guī)����,該征求意見稿明確了“重要數(shù)據(jù)”的定義�。
《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》第五條將數(shù)據(jù)按照對國家安全���、公共利益或者個(gè)人����、組織合法權(quán)益的影響和重要程度���,分為一般數(shù)據(jù)��、重要數(shù)據(jù)����、核心數(shù)據(jù)�����。國家對個(gè)人信息和重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)����,對核心數(shù)據(jù)實(shí)行嚴(yán)格保護(hù)。
其中重要數(shù)據(jù)是指一旦遭到篡改�����、破壞、泄露或者非法獲取���、非法利用�����,可能危害國家安全、公共利益的數(shù)據(jù)����。核心數(shù)據(jù)是指關(guān)系國家安全、國民經(jīng)濟(jì)命脈��、重要民生和重大公共利益等的數(shù)據(jù)��。除此之外則屬于一般數(shù)據(jù)�����。
《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》列舉了7大類重要數(shù)據(jù)���,但企業(yè)掌握的數(shù)據(jù)到底是否屬于是重要數(shù)據(jù)���,2022年《信息安全技術(shù) 重要數(shù)據(jù)識(shí)別指南(征求意見稿)》可以作為指引�����。
但這兩份法律文件都還是在征求意見階段����,最終版本是否會(huì)有所變動(dòng)還需要看征求意見的結(jié)果����。但是對于企業(yè)而言,在數(shù)據(jù)分級保護(hù)上應(yīng)當(dāng)秉持從嚴(yán)原則���,重要數(shù)據(jù)并非是靜態(tài)概念���,而是動(dòng)態(tài)變化的。
個(gè)人信息與敏感個(gè)人信息
在數(shù)據(jù)安全領(lǐng)域�����,個(gè)人信息或者說個(gè)人數(shù)據(jù)是其中最特殊的一部分����,有部分?jǐn)?shù)據(jù)分類的概念就依據(jù)數(shù)據(jù)來源的不同�����,將數(shù)據(jù)分為個(gè)人數(shù)據(jù)和非個(gè)人數(shù)據(jù)�����。
《歐盟通用數(shù)據(jù)保護(hù)條例》第4條第1款規(guī)定���,如果根據(jù)該數(shù)據(jù)可以直接或者間接的識(shí)別一個(gè)人,那么該數(shù)據(jù)就屬于個(gè)人數(shù)據(jù)��。中國《個(gè)人信息保護(hù)法》的定義與此類似����,但這種定義都過于簡略�����。
關(guān)于個(gè)人信息的定義��,《民法典》第一千零三十四條則有比較詳細(xì)的規(guī)定:個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息���,包括自然人的姓名���、出生日期��、身份證件號碼��、生物識(shí)別信息�����、住址�����、電話號碼���、電子郵箱、健康信息���、行蹤信息等��。
《最高人民法院�、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》第一條也沿用這個(gè)定義���。
《個(gè)人信息保護(hù)法》第二節(jié)在個(gè)人信息一般處理規(guī)則之外���,單獨(dú)規(guī)定了敏感個(gè)人信息的處理規(guī)則����。
《個(gè)人信息保護(hù)法》第二十八條規(guī)定:敏感個(gè)人信息是一旦泄露或者非法使用���,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身�����、財(cái)產(chǎn)安全受到危害的個(gè)人信息�����,包括生物識(shí)別���、宗教信仰�、特定身份、醫(yī)療健康����、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個(gè)人信息��。
敏感個(gè)人信息比《民法典》當(dāng)中關(guān)于個(gè)人隱私既有重疊��,但也有不同之處����。隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動(dòng)��、私密信息�。私密信息自然屬于敏感個(gè)人信息,但私密空間與私密活動(dòng)顯然不是�。
數(shù)據(jù)全生命周期
相關(guān)法律風(fēng)險(xiǎn)及責(zé)任
數(shù)據(jù)全生命周期指的是數(shù)據(jù)從生成到銷毀的整個(gè)生命周期,包括數(shù)據(jù)采集����、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理��、數(shù)據(jù)傳輸��、數(shù)據(jù)交換�、數(shù)據(jù)銷毀?��?偨Y(jié)下來其實(shí)就是數(shù)據(jù)的三個(gè)階段:數(shù)據(jù)收集階段�、數(shù)據(jù)使用階段、以及數(shù)據(jù)存儲(chǔ)與銷毀階段���。
在不同的階段�����,數(shù)據(jù)合規(guī)會(huì)面臨不同的風(fēng)險(xiǎn)����,也涉及不同的責(zé)任��。
數(shù)據(jù)收集階段的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)
《數(shù)據(jù)安全法》第三十二條規(guī)定:任何組織�、個(gè)人收集數(shù)據(jù),應(yīng)當(dāng)采取合法�����、正當(dāng)?shù)姆绞?�,不得竊取或者以其他非法方式獲取數(shù)據(jù)����。
數(shù)據(jù)收集階段是數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)管理的起點(diǎn),合法��、正當(dāng)?shù)厥占瘮?shù)據(jù)也是后續(xù)數(shù)據(jù)使用的基礎(chǔ)����。數(shù)據(jù)收集的方式按取得的直接程度一般可分為三種:
第一方數(shù)據(jù):為己方單位自己和消費(fèi)者、用戶�����、目標(biāo)客群互動(dòng)產(chǎn)生的數(shù)據(jù)���,如企業(yè)搜集的顧客交易數(shù)據(jù)��、追蹤用戶在APP上的瀏覽行為等��;
第二方數(shù)據(jù):通常來自于第一方��,通過共享或采購第一方數(shù)據(jù)�;如平臺(tái)企業(yè)開通API接口����。
第三方數(shù)據(jù):提供數(shù)據(jù)的來源單位,并非產(chǎn)出該數(shù)據(jù)的原始者���,該數(shù)據(jù)即為第三方數(shù)據(jù)���。如威科先行等法律數(shù)據(jù)庫�,其數(shù)據(jù)來源來自于國家單位����。還有一些單位通過網(wǎng)絡(luò)爬蟲技術(shù)獲取的數(shù)據(jù),也屬于第三方數(shù)據(jù)��。
數(shù)據(jù)收集階段��,根據(jù)不同的情況����,可能涉及民事責(zé)任、行政責(zé)任以及刑事責(zé)任���。
1. 民事責(zé)任
在數(shù)據(jù)收集階段�,民事責(zé)任最大的風(fēng)險(xiǎn)來源是收集個(gè)人信息��。稍有不注意就可能侵犯個(gè)人隱私�����,需要承擔(dān)相應(yīng)的民事責(zé)任�����,包括賠償損失�����、賠禮道歉�����、消除影響等��。
《民法典》第一千零三十五條規(guī)定���,處理個(gè)人信息的����,應(yīng)當(dāng)遵循合法���、正當(dāng)�、必要原則�����,不得過度處理。
《個(gè)人信息保護(hù)法》當(dāng)中確立了個(gè)人信息處理“知情-同意”原則�����,對于敏感個(gè)人信息還需要單獨(dú)同意���。處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害�����,個(gè)人信息處理者不能證明自己沒有過錯(cuò)的��,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任����。
數(shù)據(jù)收集過程當(dāng)中����,利用網(wǎng)絡(luò)爬蟲技術(shù)收集數(shù)據(jù),違反爬蟲規(guī)則����,還可能涉及《反不正當(dāng)競爭法》的相關(guān)規(guī)定��。
某點(diǎn)評訴某度一案
(2016)滬73民終242號
上海知識(shí)產(chǎn)權(quán)法院認(rèn)為:某點(diǎn)評網(wǎng)上用戶評論信息是漢某公司付出大量資源所獲取的���,且具有很高的經(jīng)濟(jì)價(jià)值����,這些信息是漢某公司的勞動(dòng)成果。某度公司未經(jīng)漢某公司的許可��,在其某地圖和某知道產(chǎn)品中進(jìn)行大量使用��,這種行為本質(zhì)上屬于“未經(jīng)許可使用他人勞動(dòng)成果”�。
對于非公開數(shù)據(jù)的網(wǎng)絡(luò)抓取,極有可能涉及侵犯他人商業(yè)秘密���,進(jìn)而違反《反不正當(dāng)競爭法》第九條的規(guī)定���。
2. 行政責(zé)任
《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》以及《數(shù)據(jù)安全法》及其配套的法律法規(guī),規(guī)定了詳細(xì)的企業(yè)數(shù)據(jù)監(jiān)管措施��,違反這些措施可能需要承擔(dān)相應(yīng)的行政責(zé)任����。
如過度收集個(gè)人信息�����,收集個(gè)人信息應(yīng)當(dāng)遵循合法����、正當(dāng)�����、必要的原則����,不收集與所提供服務(wù)無關(guān)的個(gè)人信息。對強(qiáng)制����、過度收集個(gè)人信息,未經(jīng)消費(fèi)者同意���、違反法律法規(guī)規(guī)定和雙方約定收集����、使用個(gè)人信息,發(fā)生或可能發(fā)生信息泄露���、丟失而未采取補(bǔ)救措施�����,非法出售��、非法向他人提供個(gè)人信息等行為�����,按照《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》等依法予以處罰,包括責(zé)令A(yù)pp運(yùn)營者限期整改���;逾期不改的���,公開曝光;情節(jié)嚴(yán)重的����,依法暫停相關(guān)業(yè)務(wù)、停業(yè)整頓�����、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。
2022年7月21日��,國家互聯(lián)網(wǎng)信息辦公室(以下簡稱網(wǎng)信辦)依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》個(gè)人信息保護(hù)法》及《行政處罰法》等法律法規(guī)�,對A全球股份有限公司處人民幣80.26億元罰款,對A全球股份有限公司董事長兼CEO程某���、總裁柳某各處100萬元人民幣罰款�。在國家網(wǎng)信辦披露的A涉及的16項(xiàng)違法事實(shí)中����,包括過度收集個(gè)人信息、強(qiáng)制收集敏感個(gè)人信息����、App頻繁索權(quán)、未盡個(gè)人信息處理告知義務(wù)���、未盡網(wǎng)絡(luò)安全數(shù)據(jù)安全保護(hù)義務(wù)等多種情形����,大部分是在數(shù)據(jù)收集階段出現(xiàn)的�。
3. 刑事責(zé)任
根據(jù)數(shù)據(jù)所表達(dá)的信息不同��,違反相關(guān)國家規(guī)定所涉及的刑事責(zé)任也將不同����。
數(shù)據(jù)收集合規(guī)風(fēng)險(xiǎn)產(chǎn)生的刑事責(zé)任比較直接是《刑法》第二百五十三條之一侵犯公民個(gè)人信息罪���。違反國家有關(guān)規(guī)定�,向他人出售或者提供公民個(gè)人信息�,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役���,并處或者單處罰金�����;情節(jié)特別嚴(yán)重的,處三年以上七年以下有期徒刑���,并處罰金��。侵犯公民個(gè)人信息罪同樣也是單位犯罪��,單位犯此罪���,單位以及直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員都將被科以刑罰����。
而除直接侵犯公民個(gè)人信息罪之外���,在數(shù)據(jù)收集的過程當(dāng)中��,如果采用非法采用爬蟲技術(shù)收集數(shù)據(jù)�,則可能涉嫌違反《刑法》第285條規(guī)定的非法侵入計(jì)算機(jī)信息系統(tǒng)罪����、非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)罪�����。
如果收集到的數(shù)據(jù)涉及國家秘密或者商業(yè)秘密����,則有可能涉嫌非法獲取國家秘密罪或者侵犯商業(yè)秘密罪。假設(shè)數(shù)據(jù)是他人擁有著作權(quán)的信息���,則可能違反侵犯著作權(quán)罪�。數(shù)據(jù)使用階段的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)
數(shù)據(jù)使用階段是指企業(yè)或相關(guān)單位在數(shù)據(jù)收集完成之后,進(jìn)行數(shù)據(jù)清理與分析�,用于共享、交易����、決策等等活動(dòng)。在這一階段的合規(guī)風(fēng)險(xiǎn)與法律責(zé)任也包括三個(gè)方面����。
1. 民事責(zé)任
數(shù)據(jù)使用階段最典型的違規(guī)行為是“大數(shù)據(jù)殺熟”?!按髷?shù)據(jù)殺熟”指的是互聯(lián)網(wǎng)平臺(tái)基于用戶數(shù)據(jù),使得同樣的產(chǎn)品或服務(wù)�����,老用戶看到的價(jià)格反而比新用戶高出許多的“價(jià)格歧視”行為�����。
“大數(shù)據(jù)殺熟”可能違反《消費(fèi)者權(quán)益保護(hù)法》第10條規(guī)定的“消費(fèi)者享有公平交易的權(quán)利”以及第16條第三款中“不得設(shè)定不公平���、不合理的交易條件”的禁止性規(guī)定。根據(jù)《消費(fèi)者權(quán)益保護(hù)法》第40條規(guī)定��,侵犯消費(fèi)者的合法權(quán)益,消費(fèi)者可以向經(jīng)營者銷售者要求賠償����。
如果未經(jīng)用戶同意共享或者出售用戶個(gè)人信息,也侵犯了公民個(gè)人權(quán)益����,需要承擔(dān)相應(yīng)的民事責(zé)任。
2. 行政責(zé)任
在數(shù)據(jù)使用階段違反《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》以及《數(shù)據(jù)安全法》的相關(guān)監(jiān)管措施����,也需要承擔(dān)相應(yīng)的行政責(zé)任。但是在這三部核心監(jiān)管法律之外�,數(shù)據(jù)使用階段也可能實(shí)際其他行政責(zé)任。
如前面提到的“大數(shù)據(jù)殺熟”����,如果平臺(tái)具備壟斷地位或者市場支配地位,利用大數(shù)據(jù)優(yōu)勢��,可能構(gòu)成《反壟斷法》第17條規(guī)定的濫用市場支配地位的壟斷行為����。根據(jù)《反壟斷法》第47條的規(guī)定,經(jīng)營者可能面臨承擔(dān)銷售額百分之十以下罰款的風(fēng)險(xiǎn)���。
3. 刑事責(zé)任
在數(shù)據(jù)使用階段�����,根據(jù)行為的不同也可能涉及不同的刑事責(zé)任���。如利用算法精準(zhǔn)推薦違法信息廣告���,明知廣告發(fā)布者從事網(wǎng)絡(luò)犯罪,就可能涉及幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪����。
比如利用網(wǎng)絡(luò)開設(shè)賭場,涉嫌開設(shè)賭場罪�,如果企業(yè)利用獲取的數(shù)據(jù),借助算法精準(zhǔn)推送給潛在賭客����,明知是網(wǎng)絡(luò)犯罪還繼續(xù)發(fā)布廣告屬于幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪,如果從中直接獲利則可能屬于開設(shè)賭場罪的共犯���。
而如果在數(shù)據(jù)使用階段,因?yàn)椴还_的信息而獲利�,則可能涉及內(nèi)幕交易罪���。
實(shí)際上由于數(shù)據(jù)概念的范圍極廣,有許多犯罪活動(dòng)或多或少都涉及到數(shù)據(jù)處理和適用違規(guī)�。數(shù)據(jù)存儲(chǔ)與刪除
數(shù)據(jù)存儲(chǔ)與刪除階段主要涉及存儲(chǔ)地點(diǎn)、存儲(chǔ)時(shí)間以及刪除義務(wù)�����。
數(shù)據(jù)存儲(chǔ)合規(guī)重點(diǎn)在于本地化存儲(chǔ)的數(shù)據(jù)����,即哪些數(shù)據(jù)需要存儲(chǔ)在境內(nèi)。
《網(wǎng)絡(luò)安全法》第三十七條規(guī)定����,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。
2017年國家網(wǎng)信辦發(fā)布的《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》當(dāng)中��,對于本地化存儲(chǔ)的數(shù)據(jù)范圍進(jìn)行了擴(kuò)大���,為“網(wǎng)絡(luò)運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)”�。
2019年國家網(wǎng)信辦發(fā)布《個(gè)人信息出境安全評估辦法(征求意見稿)》����,實(shí)際取代了前一份文件內(nèi)容�����,個(gè)人信息不再要求境內(nèi)存儲(chǔ)�。但這兩份文件都沒有正式實(shí)施����,但境內(nèi)存儲(chǔ)依然是數(shù)據(jù)存儲(chǔ)的原則。
《個(gè)人信息保護(hù)法》則明確了境內(nèi)存儲(chǔ)的原則�,第三十六條和第四十條分別規(guī)定國家機(jī)關(guān)處理的個(gè)人信息以及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者,應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)�����。
《數(shù)據(jù)安全法》第三十一條關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)要求與沿用了《網(wǎng)絡(luò)安全法》的規(guī)定���,但是同時(shí)規(guī)定“其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法�,由國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定�。”實(shí)際等于將境內(nèi)存儲(chǔ)原則擴(kuò)大到所有“在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)”����。
關(guān)于存儲(chǔ)時(shí)間和刪除義務(wù)則是指按照相關(guān)規(guī)定,數(shù)據(jù)有最長存儲(chǔ)期限,以及公民個(gè)人取消同意���,要求數(shù)據(jù)處理者刪除數(shù)據(jù),相關(guān)數(shù)據(jù)處理者要及時(shí)刪除數(shù)據(jù)���。
《個(gè)人信息保護(hù)法》第二章詳細(xì)規(guī)定了個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利��,在數(shù)據(jù)存儲(chǔ)和刪除階段�,個(gè)人請求查閱�、復(fù)制其個(gè)人信息的,個(gè)人信息處理者應(yīng)當(dāng)及時(shí)提供�����。個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的���,有權(quán)請求個(gè)人信息處理者更正����、補(bǔ)充�����。自然人死亡的,其近親屬為了自身的合法��、正當(dāng)利益��,可以對死者的相關(guān)個(gè)人信息行使本章規(guī)定的查閱�、復(fù)制、更正�����、刪除等權(quán)利��。數(shù)據(jù)處理者如果不履行義務(wù)則需要承擔(dān)相應(yīng)的民事責(zé)任��。
而同樣的�,數(shù)據(jù)處理者如果違反了國家相關(guān)規(guī)定的存儲(chǔ)原則,出境審查要求等等����,也需要承擔(dān)相應(yīng)的行政責(zé)任。
《數(shù)據(jù)安全法》第二十七條規(guī)定����,開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定�,建立健全全流程數(shù)據(jù)安全管理制度����,組織開展數(shù)據(jù)安全教育培訓(xùn)��,采取相應(yīng)的技術(shù)措施和其他必要措施�,保障數(shù)據(jù)安全。數(shù)據(jù)處理者有義務(wù)按照網(wǎng)絡(luò)安全管理的要求�,確保數(shù)據(jù)存儲(chǔ)環(huán)境的安全�����,如果拒不履行網(wǎng)絡(luò)安全管理的義務(wù)����,經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正,致使違法信息大量傳播的或者用戶信息泄露��,造成嚴(yán)重后果的以及刑事案件證據(jù)滅失�,情節(jié)嚴(yán)重的等情形,則涉嫌拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪�����。
如果企業(yè)財(cái)務(wù)結(jié)算使用會(huì)計(jì)電算化系統(tǒng)�,電子信息是唯一的財(cái)務(wù)信息記錄載體��,不當(dāng)刪除這些數(shù)據(jù)�����,則可能涉及隱匿���、故意銷毀會(huì)計(jì)憑證、會(huì)計(jì)賬簿��、財(cái)務(wù)會(huì)計(jì)報(bào)告罪�����。
——結(jié) 語——
隨著國家數(shù)據(jù)局的組建����,數(shù)據(jù)安全下的監(jiān)管措施必然會(huì)密集出臺(tái),企業(yè)的數(shù)據(jù)合規(guī)的實(shí)操也會(huì)越來越明晰��。數(shù)據(jù)監(jiān)管要權(quán)衡安全與發(fā)展的需要�����。
《數(shù)據(jù)出境安全評估辦法》以及即將實(shí)施的《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》����,都表明了國家在數(shù)據(jù)發(fā)展方面的開放態(tài)度���。在這種趨勢之下,企業(yè)該如何做好合規(guī)體系建設(shè)呢�����?
第一���、企業(yè)需要有數(shù)據(jù)合規(guī)的意識(shí),并且在決策層��、管理層以及全體員工層面加強(qiáng)合規(guī)意識(shí)���。合規(guī)屬于企業(yè)內(nèi)部治理的重要內(nèi)容����,既要有內(nèi)部控制的措施����,但同時(shí)更需要內(nèi)心控制的約束。
第二�、企業(yè)應(yīng)該建立相應(yīng)的部門以及制度���,及時(shí)收集法律以及監(jiān)管措施的變化,對照要求合規(guī)操作�����。如數(shù)據(jù)分級分類制度��、風(fēng)險(xiǎn)監(jiān)測和評估制度以及培訓(xùn)制度等
第三���、必要時(shí)�,企業(yè)在業(yè)務(wù)開展中及時(shí)引入數(shù)據(jù)合規(guī)法律顧問等專業(yè)第三方����,利用外部專業(yè)資源,有針對性地根據(jù)不同應(yīng)用場景�����,為企業(yè)設(shè)計(jì)制定數(shù)據(jù)合規(guī)的方案�。
免責(zé)聲明:本文僅為分享、交流�、學(xué)習(xí)之目的,不代表恒都律師事務(wù)所的法律意見或?qū)Ψ傻慕庾x���,任何組織或個(gè)人均不應(yīng)以本文全部或部分內(nèi)容作為決策依據(jù)�����,因此造成的后果將由行為人自行負(fù)責(zé)�����。
