业务研究
正策关注|从滴滴被罚80.26亿解读企业数据合规风险
7月21日,国家互联网信息办公室依据《网络安全法》、《数据安全法》、《个人信息保护法》、《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。从网信办公布的信息看,滴滴公司的主要违法事实集中在违法收集用户信息,以及存在严重影响国家安全的数据处理活动。
滴滴被罚这一事件,也为众多企业再度敲响了数据合规的警钟,那么什么是数据合规?企业在运营中,将面临哪些数据合规风险呢?在传统的律师业务范畴中,大部分律师业务都是基于个人信息保护与隐私保护层面,在企业的相关业务领域和个人权益保护上展开。而围绕滴滴此次被处罚的相关情况,笔者认为,从全局出发,帮助建立企业的数据合规体系,对律师合规业务来说,是一个非常关键的领域。本文将结合国内目前的数据合规法律体系以及监管体系,对企业数据合规风险进行分析,为相关企业在数据合规层面提供建议和指导。
数据合规的定义
广义上的数据合规工作涵盖网络安全、数据安全、个人信息及隐私保护三个方面的内容。围绕这三个方面,数据合规工作又包括网络运行安全、核心数据及重要数据管理、个人信息安全与隐私保护、商业数据合规应用等具体内容。从数据处理的环节上看,数据合规涉及数据收集、使用、共享、传输、披露、存储、删除等通用场景下的合规工作,以及第三方数据处理、数据出境及境外数据处理等特定场景下的合规工作。
企业数据合规风险
企业数据合规风险主要是指企业在数据处理活动中未能尽到数据合规义务,未能采取必要措施保障数据安全造成的风险。就整体而言,企业处理数据应保障数据安全,通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。其次,法律、行政法规规定提供数据处理相关服务应当取得行政许可的,企业应依法取得许可。例如,中国人民银行发布的《征信业务管理办法》(2022年1月1日生效)第4条要求处理企业和个人信用信息,从事个人征信业务应当依法取得个人征信机构许可,从事企业征信、信用评级业务的应当依法办理企业征信机构备案或信用评级备案。
(1)企业数据合规的义务
根据国内《网络安全法》、《数据安全法》、《个人信息保护法》等相关规定,企业的主要数据合规义务在数据处理的不同环节需要承担不同的合规义务。
1、数据收集。法律法规对于数据的收集方式、目的和范围有特别规定时,企业应当遵守该特别规定。在收集个人信息时,应当限于实现处理目的的最小范围,不得过度收集个人信息。
如果企业收集的数据为个人信息,则还应当注意履行以下几个方面的义务:首先,企业应当注意在收集时获得处理个人信息的合法基础;其次,收集个人信息时,除非有特别情况,企业应当履行告知义务;如果企业基于个人的同意处理个人信息,则应按照《个人信息保护法》规定获取个人的有效同意,并在特定场景下取得单独同意或书面同意。在处理敏感个人信息,自动化决策,委托处理个人信息,向其他个人信息处理者提供、公开个人信息,向境外提供个人信息或实施其他对个人权益有重大影响的个人信息处理活动,应当事前进行个人信息保护影响评估,并对处理情况进行记录。
在国家互联网信息办公室有关负责人答记者问中我们发现,滴滴公司违法行为涉及多个App,涵盖过度收集个人信息、强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等多种情形,而且数据种类和数据量都极为庞大,值得警醒。
2、数据存储和跨境传输。除遵循数据处理的一般义务外,对于政务数据、个人信息的存储和跨境传输.以及关键信息基础设施运营者(CIIO)在存储和跨境传输时应当遵守的义务,法律作了如下规定:
如果企业受托建设、维护电子政务系统,存储、加工政务数据,应当经过严格忙批准程序,并应当接受监督,依照法律、法规的规定和合同约定履行数据安全保护义务;
如果企业是关键信息基础设施运营者,其在境内运营中收集和产生的个人信息和重要数据应当在境内存储。确需向境外提供的,除另传有规定外,应当根据国家规定进行安全评估。关键信息基础设施是指一且遭到破坏、丧失功能或者数扩泄露,可能严重危害国家安全、国计民生、公众利益的网络设施和信息系统。
如果企业确需向境外提供个人信息,应履行通过国家网信部门组织的安全评估,经专业机构进行个人信息保护认证,按照相关规定与境外接收方订立标准合同或满足其他规定条件。还应向个人告知境外接收方相关事项并取得单独同意.保障境外信息处理活动达到《个人信息保护法》的标准。但如果企业处理个人信息达到国家网信部门规定数量,应当将在境内收集和产生的个人信息存储在境内,如确需向境外提供个人信息,则必须进行网络安全评估。向境外执法或司法提供数据时,必须经过中国主管机关批准。
此外,企业还需密切关注相关部门发布的针对特定数据的出口管制信息,针对境外的组织、个人的限制或者禁止个人信息提供清单,针对特定国家或地区的制裁信息等。
根据国家互联网信息办公室披露的相关信息,滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。虽然因涉及国家安全,依法不公开。但是我们可以推测的是,滴滴公司为在境外上市,必然存在着未经主管部门批准向境外个人信息等涉及到国家国家关键信息基础设施安全和数据安全的行为。
3、数据使用和加工。企业应依法履行数据处理的一般义务,一旦违规,则应履行删除义务。如果企业在收集个人信息的环节中,以个人同意为合法基础处理个人信息,在使用时目的、方式和个人信息的种类发生变化的,应当重新取得个人同意。
企业利用个人信息进行自动化决策的,也就是我们常说的“大数据”推送等场景应用时,应当事前进行个人信息保护影响评估并留存记录,应当保证决策的透明度和结果公平、公正。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并享有拒绝权。
目前不少互联网公司存在的“大数据杀熟”就是一个非常明显的违法违规行为。
4、数据提供与公开。企业因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当履行告知义务。
对外提供、公开或委托处理个人信息时,企业还应履行法定告知义务并取得单独同意。委托人还需与受托人明确约定相关事项并监督其个人信息处理过程。此外,委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。
5、数据删除。企业应当按照法律、行政法规要求,行业监管或其他规范规定,业务所必需的顺序,来确定个人信息保存的最短或最长期限,并进行告知。
不同行业对个人信息保存期限不一,例如《电子商务法》第31条规定,“商品和服务信息、交易信息保存时间自交易完成之日起不少于三年。”因此对于电子商务平台经营者来说,交易信息中的个人信息保存期限应不少于三年。出现法律、行政法规规定的法定删除情形时,企业应主动履行删除义务;企业未履行该义务的,个人有权请求企业删除。法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。此外,对于死者的个人信息,除非死者生前另有安排,其近亲属为了自身的合法、正当利益,可以行使删除权。
(2)企业违反数据合规将面临的法律责任风险
在数据处理过程中违反前述合规义务,企业及相关责任人员将面临着承担民事、行政乃至刑事责任的风险。目前,我国《网络安全法》《数据安全法》《个人信息保护法》及相关数据合规规范中就相应责任的规定如下:
1、民事责任。《网络安全法》、《数据安全法》及《个人信息保护法》均规定数据处理主体违反法律规定,给他人造成损害的,须依法承担民事责任。其中,《个人信息保护法》进一步明确了在侵害个人信息权益类案件中,应遵循过错推定原则,并明确了损害赔偿数额的认定规则及关于涉个人信息的公益诉讼制度。
2、行政责任。数据处理主体违法违规进行数据处理,或者不履行法定数据处理合规义务的,根据所实施的行为类型,需依照《网络安全法》《数据安全法》及《个人信息保护法》及其他相关法律,承担不同类型、程度的行政责任。
《网络安全法》、《数据安全法》及《个人信息保护法》均规定了责令改正、警告、罚款、没收违法所得、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照或类似的责任类型。此外,针对企业开展数据处理活动存在较大安全风险的情况,《数据安全法》规定了约谈制。
对于直接负责的主管人员,除罚款外,《网络安全法》针对此类人员规定了将违法行为被记录到信用档案,乃至职业禁入的处罚措施。《个人信息保护法》也同样设置了禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人的职业禁入制度。
3. 刑事责任。非法处理数据还有可能触犯《刑法》规定,构成例如侵犯公民个人信息罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪提、破坏计算机信息系统罪、拒不履行网络安全管理义务等罪名。
对于个人而言,构成上述犯罪的,将有可能被判处有期徒刑、拘役、管制,并处或单处罚金刑。单位实施前述行为,将面临被判处罚金刑的风险,而单位直接负责的主管人员和其他直接责任人员,也将面临有期徒刑、拘役、管制以及并处或单处罚金刑的刑事法律风险。
律师观点:在当前中国复杂的强监管环境下,企业要建立可落地且行之有效的数据合规管理体系,最高效的方法是以法律法规的规定为指引,通过专业律师来建立数据合规体系。数据合规有其特殊性,其具有显著的专业性、技术性及多学科融合的特点,对律师合规业务的专业度也提出了非常高的要求,相较于大部分律师在企业层面针对全局合规风险管控的所建立的合规业务体系,数据合规管理业务体系应与产品、企业业务进行强关联。一方面,数据合规律师在为企业设计数据合规管理体系的时候,应当考虑公司的产品线、业务线,将“privacy by design”及“security by design"的理念贯彻始终。另一方面,在合规业务实践落地的时候,应当将企业网络安全防御体系、数据安全管控体系与个人信息保护体系交叉融合,充分联动,切实实现对数据合规风险的管控。