数据合规官——身上风险知多少?在国家政策不断明晰,行业监管持续加强背景下,当前,数据合规的时代已全面到来。对于很多企业来说,数据就是本公司的核心资产,那些不起眼的数据,往往在很多时候关系到企业的生死存亡。企业数据合规与安全,成了企业无法回避的话题。如何排除企业数据合规风险,切实做到数据合规,是许多企业亟需解决的问题。在本篇文章里,我们会详细剖析企业数据合规中的风险类型与风险来源。
一、风险类型
本文里,数据合规风险主要有以下几种:
(一)侵犯个人信息
许多APP在使用之前,会向用户请求各种授权,例如位置信息、通讯录、摄像头、录音权限等。在这种索要授权的过程中,即可能产生侵犯个人信息类的数据合规风险,尤其是通讯录这种私密的数据,当过度收集用户信息时,哪怕用户同意,仍然可能不合规。例如,前不久抖音侵害用户个人信息一案,北京互联网法院作出一审判决,认定抖音App存在侵害用户个人信息行为,需承担相应侵权责任。
除了非法获取与泄露个人信息之外,非法提供与拒不提供也是企业数据风险的类型。例如前两年较受关注的“乐清滴滴顺风车事件”,受害者家属报案后,公安机关向滴滴公司申请调取顺风车主的车辆信息,未得到滴滴公司的及时配合。随后,滴滴公司顺风车业务在浙江全省范围内下线,长期整改。
(二)侵犯商业秘密
商业秘密是企业的重要数据,侵犯企业的数据,可能会侵犯企业的商业秘密。
何为商业秘密?简而言之,能为公司带来价值的业务数据,可构成公司的商业秘密。从判例来看,形成商业秘密,一方面要具有价值性,另一方面企业要采取保密措施。比如,客户名单,有时也受商业秘密保护。一方面,客户名单是具有价值的信息,另一方面如果采取了保密措施,也可以被评价为商业秘密。当通过非法手段获取他人的客户名单时,可能会侵犯他人商业秘密。
(三)不正当竞争
侵犯他人数据的行为还可能构成不正当竞争,给企业带来涉诉风险。例如“大数据引发不正当竞争第一案”,新浪微博诉脉脉非法获取其用户信息案。脉脉未经用户允许和微博平台授权,非法抓取、使用新浪微博用户信息,非法获取并使用脉脉注册用户手机通讯录联系人与微博用户的对应关系,对新浪微博构成不正当竞争。
(四)虚假宣传、虚假广告
此类风险最常见的表现形式,即通过刷单为店铺增加交易量、提高信誉,即人们常说的“刷单炒信”行为。“刷单炒信”意味着“虚构交易”,并利用虚构的交易进行“虚假宣传”,此等行为违反《反不正当竞争法》、《电子商务法》,可能为企业带来行政处罚。
在侵犯知识产权类案件中,无论是侵犯商标的民事案件,或是销售假冒注册商标的商品罪的刑事案件,存在“刷单”数据都是当事人用来抗辩的理由之一。在商标侵权的民事案件中,侵权人以被侵权商品存在“刷单”数据为由抗辩减少侵权数额;在销售假冒注册商标的商品罪案件中,被告人也往往以存在“刷单”数据为由抗辩减少犯罪数额。但司法实践中,往往并不采信这样的抗辩,也就意味着造假造成了对自己不利的后果。
(五)侵犯计算机/信息网络违法犯罪
企业数据风险不仅仅会带来民事上的涉诉风险,很多场景下还有可能为企业及管理层带来刑事风险。
首先,在数据获取环节,如采用违法方式获取数据,会给企业带来以下刑事风险:
利用爬虫非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,可能构成“非法侵入计算机信息系统罪”;
利用爬虫规避网站经营者设置的反爬虫措施非法获取信息的,可能涉嫌“非法获取计算机信息系统数据罪”;
如干扰被爬网站正常运营的,可能构成“破坏计算机信息系统罪”;
如果是提供专门用于侵入、非法控制计算机信息系统的爬虫,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供爬虫,可构成“提供侵入、非法控制计算机信息系统程序、工具罪”。
其次,在数据存储、管理环节,如企业作为网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正导致违法信息大量传播、用户信息泄露等,可能构成拒不履行信息网络安全管理义务罪。以平台管理者为例,如用户在平台上传淫秽视频,经监管部门责令删除而不删除,导致淫秽视频被大量传播的,平台可被判定为未履行信息网络安全管理义务,情节严重的,可构成本罪。
二、企业数据合规风险来源
企业数据合规风险的来源主要有以下几类:
(一)投诉、举报、控告
此类风险来源主要来自于相关用户或受害者向监管部门投诉举报,或是向公安机关刑事控告,抑或是向法院民事控告。
(二)监管部门调查
监管部门对某企业展开数据风险调查,一般都是基于投诉或举报而来的线索。当然,不排除相关监管部门主动执法调查数据违规的可能性。在监管部门接到群众举报、投诉后,就会投入工作人员对该举报、投诉案件进行调查,若调查发现涉案企业确实存在相关数据合规风险,等待企业的,往往就是行政处罚。企业涉嫌犯罪的,刑事诉讼程序也会接踵而至。
(三)专项执法
2019年1月23日,中央网信办联合工信部、公安部、市场监管总局下发《关于开展App违法违规收集使用个人信息专项治理的公告》,对市面上主流APP进行排查、治理专项活动,这就是专项执法的典型例证。截止目前,已有大量不符合规范的App被强制下架。
(四)合作伙伴调查
实践中,不少企业的合规风险来源于此。不少商业伙伴在进行合作之前,对企业进行尽职调查;尤其是互联网行业融资之前,资方一般也会对企业进行尽调,以审查企业的经营能力以及合法合规运营情况。在调查的过程中,企业的一些数据合规风险便浮出水面。以资方调查为例,企业在经营过程中,可能会存在用股权融资的需求。在正式投资前,资方往往会对被投资企业进行全面而细致的尽职调查。被投资企业也通常会聘请专业的律师、会计师团队对企业相关风险进行梳理,并将相关风险点合规化。在这种你来我往的博弈中,企业内部风险得到了充分的曝光与处理,企业的数据合规风险也会因此而被揭示。
(五)诉讼过程移送
司法实践中,存在民事、行政案件审理过程中发现可能存在数据犯罪行为,从而将案件移送公安司法机关处理。涉案人员在被采取刑事强制措施前,往往未能意识到自己已经涉嫌数据犯罪。而随着“爬虫爬的好、牢饭吃到饱”等社会话题受到民众关注之后,人们的数据合规意识也在增加,这无形中也会增加人们通过刑事途径出具数据违法行为的风险。
以上即是本文的全部内容。接下来,我们会结合实务中的数据合规经验,针对不同行业企业的特点,推出相应数据合规方案,并以文章形式将该方案详细披露,敬请期待。
微信