動(dòng)態(tài)與觀點(diǎn)
——引 言——
前不久,短視頻巨頭TikTok首席執(zhí)行官出席美國國會(huì)眾議院能源和商務(wù)委員會(huì)聽證會(huì),凸顯出數(shù)據(jù)安全成為中美兩國博弈間的重要性。如果TikTok在中國,它會(huì)面臨什么樣的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)呢?
數(shù)據(jù)被譽(yù)為“新時(shí)代的石油”,是基礎(chǔ)性資源和戰(zhàn)略性資源,也是重要生產(chǎn)力。數(shù)據(jù)作為新型生產(chǎn)要素,是數(shù)字化、網(wǎng)絡(luò)化、智能化的基礎(chǔ),已快速融入生產(chǎn)、分配、流通、消費(fèi)和社會(huì)服務(wù)管理等各環(huán)節(jié),深刻改變著生產(chǎn)方式、生活方式和社會(huì)治理方式。是發(fā)展數(shù)字經(jīng)濟(jì)的關(guān)鍵生產(chǎn)要素,促進(jìn)實(shí)體經(jīng)濟(jì)與虛擬經(jīng)濟(jì)融合的關(guān)鍵資源,也是推進(jìn)國家治理現(xiàn)代化的關(guān)鍵要素。
目前在數(shù)據(jù)合規(guī)領(lǐng)域,國家已經(jīng)形成了以《刑法》和《民法典》等法律為基礎(chǔ),以《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》三部法律為核心,以網(wǎng)信部門以及各中央部門專門法規(guī)和規(guī)章為支持的系統(tǒng)化、體系化監(jiān)管格局。
隨著相關(guān)細(xì)則的不斷更新,企業(yè)數(shù)據(jù)合規(guī)的風(fēng)險(xiǎn)也越來越大,本文簡要分析企業(yè)在數(shù)據(jù)收集、數(shù)據(jù)使用以及數(shù)據(jù)存儲(chǔ)與刪除三階段的合規(guī)和法律風(fēng)險(xiǎn)及相關(guān)責(zé)任,并對(duì)企業(yè)在數(shù)據(jù)合規(guī)體系建設(shè)方面提出一點(diǎn)建議。
——探 討——
相關(guān)概念與定義
數(shù)據(jù)與信息
企業(yè)要做數(shù)據(jù)合規(guī),首先得了解什么是數(shù)據(jù)?數(shù)據(jù)與信息到底有什么區(qū)別?
一般理解認(rèn)為數(shù)據(jù)僅僅是數(shù)字組合,這種理解并沒有觸及數(shù)據(jù)的本質(zhì)?!皵?shù)據(jù)(英語:data)又稱資料,是通過觀測得到的數(shù)字性的特征或信息?!边@是維基百科上對(duì)數(shù)據(jù)的定義。也有人認(rèn)為數(shù)據(jù)就是對(duì)客觀事實(shí)的描述或是我們通過觀察、實(shí)驗(yàn)或計(jì)算得出的結(jié)果。
這些專業(yè)的解釋或許都有不同的視角,但也說明關(guān)于數(shù)據(jù)的概念目前還缺乏共識(shí),而企業(yè)數(shù)據(jù)合規(guī)需要依據(jù)法律定義作為標(biāo)準(zhǔn)。
《數(shù)據(jù)安全法》第三條對(duì)于數(shù)據(jù)有以下定義:數(shù)據(jù)是指任何以電子或者其他方式對(duì)信息的記錄。
《個(gè)人信息保護(hù)法》第四條對(duì)個(gè)人信息的界定:個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。
結(jié)合兩部法律關(guān)于數(shù)據(jù)與信息的定義,從文本邏輯上理解,數(shù)據(jù)就是信息的載體,數(shù)據(jù)可能是雜亂無序的,只有數(shù)據(jù)中那些有用的內(nèi)容才能稱之為信息。
所以說數(shù)據(jù)雖然是信息化時(shí)代出現(xiàn)的概念,但不是現(xiàn)代才有的事物,人類自誕生以來就已經(jīng)在用各種方式記錄數(shù)據(jù),從最早的結(jié)繩記事,到文字圖畫,再到如今的數(shù)字?jǐn)?shù)據(jù)。隨著電子傳感器的發(fā)展、數(shù)據(jù)數(shù)字化和計(jì)算機(jī)的發(fā)明,現(xiàn)在世界上每年產(chǎn)生的數(shù)據(jù)量超越了以前千年的量級(jí)。
企業(yè)要明白,數(shù)據(jù)合規(guī)關(guān)注不只是網(wǎng)絡(luò)領(lǐng)域的數(shù)字?jǐn)?shù)據(jù),像類似于用戶信息登記表、員工信息登記表,設(shè)計(jì)圖紙之類的非電子記錄信息同樣是數(shù)據(jù)合規(guī)關(guān)注的對(duì)象。
重要數(shù)據(jù)、核心數(shù)據(jù)、一般數(shù)據(jù)
數(shù)據(jù)概念的外延如此之廣,是不是企業(yè)要對(duì)每一條數(shù)據(jù)都有一樣的合規(guī)要求?
并不是這樣的?!稊?shù)據(jù)安全法》第二十一條第一款規(guī)定:國家建立數(shù)據(jù)分類分級(jí)保護(hù)制度,根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對(duì)國家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度,對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄,加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。
《數(shù)據(jù)安全法》雖然規(guī)定了數(shù)據(jù)分級(jí)保護(hù)制度,提到了“重要數(shù)據(jù)”的概念,但是對(duì)于什么是“重要數(shù)據(jù)”,如何分級(jí)保護(hù)并沒有詳細(xì)規(guī)定。
2021年11月14日,國家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》,作為行政法規(guī),該征求意見稿明確了“重要數(shù)據(jù)”的定義。
《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》第五條將數(shù)據(jù)按照對(duì)國家安全、公共利益或者個(gè)人、組織合法權(quán)益的影響和重要程度,分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)。國家對(duì)個(gè)人信息和重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù),對(duì)核心數(shù)據(jù)實(shí)行嚴(yán)格保護(hù)。
其中重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數(shù)據(jù)。核心數(shù)據(jù)是指關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生和重大公共利益等的數(shù)據(jù)。除此之外則屬于一般數(shù)據(jù)。
《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》列舉了7大類重要數(shù)據(jù),但企業(yè)掌握的數(shù)據(jù)到底是否屬于是重要數(shù)據(jù),2022年《信息安全技術(shù) 重要數(shù)據(jù)識(shí)別指南(征求意見稿)》可以作為指引。
但這兩份法律文件都還是在征求意見階段,最終版本是否會(huì)有所變動(dòng)還需要看征求意見的結(jié)果。但是對(duì)于企業(yè)而言,在數(shù)據(jù)分級(jí)保護(hù)上應(yīng)當(dāng)秉持從嚴(yán)原則,重要數(shù)據(jù)并非是靜態(tài)概念,而是動(dòng)態(tài)變化的。
個(gè)人信息與敏感個(gè)人信息
在數(shù)據(jù)安全領(lǐng)域,個(gè)人信息或者說個(gè)人數(shù)據(jù)是其中最特殊的一部分,有部分?jǐn)?shù)據(jù)分類的概念就依據(jù)數(shù)據(jù)來源的不同,將數(shù)據(jù)分為個(gè)人數(shù)據(jù)和非個(gè)人數(shù)據(jù)。
《歐盟通用數(shù)據(jù)保護(hù)條例》第4條第1款規(guī)定,如果根據(jù)該數(shù)據(jù)可以直接或者間接的識(shí)別一個(gè)人,那么該數(shù)據(jù)就屬于個(gè)人數(shù)據(jù)。中國《個(gè)人信息保護(hù)法》的定義與此類似,但這種定義都過于簡略。
關(guān)于個(gè)人信息的定義,《民法典》第一千零三十四條則有比較詳細(xì)的規(guī)定:個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等。
《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》第一條也沿用這個(gè)定義。
《個(gè)人信息保護(hù)法》第二節(jié)在個(gè)人信息一般處理規(guī)則之外,單獨(dú)規(guī)定了敏感個(gè)人信息的處理規(guī)則。
《個(gè)人信息保護(hù)法》第二十八條規(guī)定:敏感個(gè)人信息是一旦泄露或者非法使用,容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息,包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個(gè)人信息。
敏感個(gè)人信息比《民法典》當(dāng)中關(guān)于個(gè)人隱私既有重疊,但也有不同之處。隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動(dòng)、私密信息。私密信息自然屬于敏感個(gè)人信息,但私密空間與私密活動(dòng)顯然不是。
數(shù)據(jù)全生命周期
相關(guān)法律風(fēng)險(xiǎn)及責(zé)任
數(shù)據(jù)全生命周期指的是數(shù)據(jù)從生成到銷毀的整個(gè)生命周期,包括數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)據(jù)傳輸、數(shù)據(jù)交換、數(shù)據(jù)銷毀。總結(jié)下來其實(shí)就是數(shù)據(jù)的三個(gè)階段:數(shù)據(jù)收集階段、數(shù)據(jù)使用階段、以及數(shù)據(jù)存儲(chǔ)與銷毀階段。
在不同的階段,數(shù)據(jù)合規(guī)會(huì)面臨不同的風(fēng)險(xiǎn),也涉及不同的責(zé)任。
數(shù)據(jù)收集階段的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)
《數(shù)據(jù)安全法》第三十二條規(guī)定:任何組織、個(gè)人收集數(shù)據(jù),應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞?,不得竊取或者以其他非法方式獲取數(shù)據(jù)。
數(shù)據(jù)收集階段是數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)管理的起點(diǎn),合法、正當(dāng)?shù)厥占瘮?shù)據(jù)也是后續(xù)數(shù)據(jù)使用的基礎(chǔ)。數(shù)據(jù)收集的方式按取得的直接程度一般可分為三種:
第一方數(shù)據(jù):為己方單位自己和消費(fèi)者、用戶、目標(biāo)客群互動(dòng)產(chǎn)生的數(shù)據(jù),如企業(yè)搜集的顧客交易數(shù)據(jù)、追蹤用戶在APP上的瀏覽行為等;
第二方數(shù)據(jù):通常來自于第一方,通過共享或采購第一方數(shù)據(jù);如平臺(tái)企業(yè)開通API接口。
第三方數(shù)據(jù):提供數(shù)據(jù)的來源單位,并非產(chǎn)出該數(shù)據(jù)的原始者,該數(shù)據(jù)即為第三方數(shù)據(jù)。如威科先行等法律數(shù)據(jù)庫,其數(shù)據(jù)來源來自于國家單位。還有一些單位通過網(wǎng)絡(luò)爬蟲技術(shù)獲取的數(shù)據(jù),也屬于第三方數(shù)據(jù)。
數(shù)據(jù)收集階段,根據(jù)不同的情況,可能涉及民事責(zé)任、行政責(zé)任以及刑事責(zé)任。
1. 民事責(zé)任
在數(shù)據(jù)收集階段,民事責(zé)任最大的風(fēng)險(xiǎn)來源是收集個(gè)人信息。稍有不注意就可能侵犯個(gè)人隱私,需要承擔(dān)相應(yīng)的民事責(zé)任,包括賠償損失、賠禮道歉、消除影響等。
《民法典》第一千零三十五條規(guī)定,處理個(gè)人信息的,應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則,不得過度處理。
《個(gè)人信息保護(hù)法》當(dāng)中確立了個(gè)人信息處理“知情-同意”原則,對(duì)于敏感個(gè)人信息還需要單獨(dú)同意。處理個(gè)人信息侵害個(gè)人信息權(quán)益造成損害,個(gè)人信息處理者不能證明自己沒有過錯(cuò)的,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。
數(shù)據(jù)收集過程當(dāng)中,利用網(wǎng)絡(luò)爬蟲技術(shù)收集數(shù)據(jù),違反爬蟲規(guī)則,還可能涉及《反不正當(dāng)競爭法》的相關(guān)規(guī)定。
某點(diǎn)評(píng)訴某度一案
(2016)滬73民終242號(hào)
上海知識(shí)產(chǎn)權(quán)法院認(rèn)為:某點(diǎn)評(píng)網(wǎng)上用戶評(píng)論信息是漢某公司付出大量資源所獲取的,且具有很高的經(jīng)濟(jì)價(jià)值,這些信息是漢某公司的勞動(dòng)成果。某度公司未經(jīng)漢某公司的許可,在其某地圖和某知道產(chǎn)品中進(jìn)行大量使用,這種行為本質(zhì)上屬于“未經(jīng)許可使用他人勞動(dòng)成果”。
對(duì)于非公開數(shù)據(jù)的網(wǎng)絡(luò)抓取,極有可能涉及侵犯他人商業(yè)秘密,進(jìn)而違反《反不正當(dāng)競爭法》第九條的規(guī)定。
2. 行政責(zé)任
《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》以及《數(shù)據(jù)安全法》及其配套的法律法規(guī),規(guī)定了詳細(xì)的企業(yè)數(shù)據(jù)監(jiān)管措施,違反這些措施可能需要承擔(dān)相應(yīng)的行政責(zé)任。
如過度收集個(gè)人信息,收集個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,不收集與所提供服務(wù)無關(guān)的個(gè)人信息。對(duì)強(qiáng)制、過度收集個(gè)人信息,未經(jīng)消費(fèi)者同意、違反法律法規(guī)規(guī)定和雙方約定收集、使用個(gè)人信息,發(fā)生或可能發(fā)生信息泄露、丟失而未采取補(bǔ)救措施,非法出售、非法向他人提供個(gè)人信息等行為,按照《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》等依法予以處罰,包括責(zé)令A(yù)pp運(yùn)營者限期整改;逾期不改的,公開曝光;情節(jié)嚴(yán)重的,依法暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。
2022年7月21日,國家互聯(lián)網(wǎng)信息辦公室(以下簡稱網(wǎng)信辦)依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》個(gè)人信息保護(hù)法》及《行政處罰法》等法律法規(guī),對(duì)A全球股份有限公司處人民幣80.26億元罰款,對(duì)A全球股份有限公司董事長兼CEO程某、總裁柳某各處100萬元人民幣罰款。在國家網(wǎng)信辦披露的A涉及的16項(xiàng)違法事實(shí)中,包括過度收集個(gè)人信息、強(qiáng)制收集敏感個(gè)人信息、App頻繁索權(quán)、未盡個(gè)人信息處理告知義務(wù)、未盡網(wǎng)絡(luò)安全數(shù)據(jù)安全保護(hù)義務(wù)等多種情形,大部分是在數(shù)據(jù)收集階段出現(xiàn)的。
3. 刑事責(zé)任
根據(jù)數(shù)據(jù)所表達(dá)的信息不同,違反相關(guān)國家規(guī)定所涉及的刑事責(zé)任也將不同。
數(shù)據(jù)收集合規(guī)風(fēng)險(xiǎn)產(chǎn)生的刑事責(zé)任比較直接是《刑法》第二百五十三條之一侵犯公民個(gè)人信息罪。違反國家有關(guān)規(guī)定,向他人出售或者提供公民個(gè)人信息,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴(yán)重的,處三年以上七年以下有期徒刑,并處罰金。侵犯公民個(gè)人信息罪同樣也是單位犯罪,單位犯此罪,單位以及直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員都將被科以刑罰。
而除直接侵犯公民個(gè)人信息罪之外,在數(shù)據(jù)收集的過程當(dāng)中,如果采用非法采用爬蟲技術(shù)收集數(shù)據(jù),則可能涉嫌違反《刑法》第285條規(guī)定的非法侵入計(jì)算機(jī)信息系統(tǒng)罪、非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)罪。
如果收集到的數(shù)據(jù)涉及國家秘密或者商業(yè)秘密,則有可能涉嫌非法獲取國家秘密罪或者侵犯商業(yè)秘密罪。假設(shè)數(shù)據(jù)是他人擁有著作權(quán)的信息,則可能違反侵犯著作權(quán)罪。數(shù)據(jù)使用階段的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)
數(shù)據(jù)使用階段是指企業(yè)或相關(guān)單位在數(shù)據(jù)收集完成之后,進(jìn)行數(shù)據(jù)清理與分析,用于共享、交易、決策等等活動(dòng)。在這一階段的合規(guī)風(fēng)險(xiǎn)與法律責(zé)任也包括三個(gè)方面。
1. 民事責(zé)任
數(shù)據(jù)使用階段最典型的違規(guī)行為是“大數(shù)據(jù)殺熟”?!按髷?shù)據(jù)殺熟”指的是互聯(lián)網(wǎng)平臺(tái)基于用戶數(shù)據(jù),使得同樣的產(chǎn)品或服務(wù),老用戶看到的價(jià)格反而比新用戶高出許多的“價(jià)格歧視”行為。
“大數(shù)據(jù)殺熟”可能違反《消費(fèi)者權(quán)益保護(hù)法》第10條規(guī)定的“消費(fèi)者享有公平交易的權(quán)利”以及第16條第三款中“不得設(shè)定不公平、不合理的交易條件”的禁止性規(guī)定。根據(jù)《消費(fèi)者權(quán)益保護(hù)法》第40條規(guī)定,侵犯消費(fèi)者的合法權(quán)益,消費(fèi)者可以向經(jīng)營者銷售者要求賠償。
如果未經(jīng)用戶同意共享或者出售用戶個(gè)人信息,也侵犯了公民個(gè)人權(quán)益,需要承擔(dān)相應(yīng)的民事責(zé)任。
2. 行政責(zé)任
在數(shù)據(jù)使用階段違反《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》以及《數(shù)據(jù)安全法》的相關(guān)監(jiān)管措施,也需要承擔(dān)相應(yīng)的行政責(zé)任。但是在這三部核心監(jiān)管法律之外,數(shù)據(jù)使用階段也可能實(shí)際其他行政責(zé)任。
如前面提到的“大數(shù)據(jù)殺熟”,如果平臺(tái)具備壟斷地位或者市場支配地位,利用大數(shù)據(jù)優(yōu)勢,可能構(gòu)成《反壟斷法》第17條規(guī)定的濫用市場支配地位的壟斷行為。根據(jù)《反壟斷法》第47條的規(guī)定,經(jīng)營者可能面臨承擔(dān)銷售額百分之十以下罰款的風(fēng)險(xiǎn)。
3. 刑事責(zé)任
在數(shù)據(jù)使用階段,根據(jù)行為的不同也可能涉及不同的刑事責(zé)任。如利用算法精準(zhǔn)推薦違法信息廣告,明知廣告發(fā)布者從事網(wǎng)絡(luò)犯罪,就可能涉及幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪。
比如利用網(wǎng)絡(luò)開設(shè)賭場,涉嫌開設(shè)賭場罪,如果企業(yè)利用獲取的數(shù)據(jù),借助算法精準(zhǔn)推送給潛在賭客,明知是網(wǎng)絡(luò)犯罪還繼續(xù)發(fā)布廣告屬于幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪,如果從中直接獲利則可能屬于開設(shè)賭場罪的共犯。
而如果在數(shù)據(jù)使用階段,因?yàn)椴还_的信息而獲利,則可能涉及內(nèi)幕交易罪。
實(shí)際上由于數(shù)據(jù)概念的范圍極廣,有許多犯罪活動(dòng)或多或少都涉及到數(shù)據(jù)處理和適用違規(guī)。數(shù)據(jù)存儲(chǔ)與刪除
數(shù)據(jù)存儲(chǔ)與刪除階段主要涉及存儲(chǔ)地點(diǎn)、存儲(chǔ)時(shí)間以及刪除義務(wù)。
數(shù)據(jù)存儲(chǔ)合規(guī)重點(diǎn)在于本地化存儲(chǔ)的數(shù)據(jù),即哪些數(shù)據(jù)需要存儲(chǔ)在境內(nèi)。
《網(wǎng)絡(luò)安全法》第三十七條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。
2017年國家網(wǎng)信辦發(fā)布的《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法(征求意見稿)》當(dāng)中,對(duì)于本地化存儲(chǔ)的數(shù)據(jù)范圍進(jìn)行了擴(kuò)大,為“網(wǎng)絡(luò)運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)”。
2019年國家網(wǎng)信辦發(fā)布《個(gè)人信息出境安全評(píng)估辦法(征求意見稿)》,實(shí)際取代了前一份文件內(nèi)容,個(gè)人信息不再要求境內(nèi)存儲(chǔ)。但這兩份文件都沒有正式實(shí)施,但境內(nèi)存儲(chǔ)依然是數(shù)據(jù)存儲(chǔ)的原則。
《個(gè)人信息保護(hù)法》則明確了境內(nèi)存儲(chǔ)的原則,第三十六條和第四十條分別規(guī)定國家機(jī)關(guān)處理的個(gè)人信息以及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者,應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)。
《數(shù)據(jù)安全法》第三十一條關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)要求與沿用了《網(wǎng)絡(luò)安全法》的規(guī)定,但是同時(shí)規(guī)定“其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法,由國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定。”實(shí)際等于將境內(nèi)存儲(chǔ)原則擴(kuò)大到所有“在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)”。
關(guān)于存儲(chǔ)時(shí)間和刪除義務(wù)則是指按照相關(guān)規(guī)定,數(shù)據(jù)有最長存儲(chǔ)期限,以及公民個(gè)人取消同意,要求數(shù)據(jù)處理者刪除數(shù)據(jù),相關(guān)數(shù)據(jù)處理者要及時(shí)刪除數(shù)據(jù)。
《個(gè)人信息保護(hù)法》第二章詳細(xì)規(guī)定了個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利,在數(shù)據(jù)存儲(chǔ)和刪除階段,個(gè)人請(qǐng)求查閱、復(fù)制其個(gè)人信息的,個(gè)人信息處理者應(yīng)當(dāng)及時(shí)提供。個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的,有權(quán)請(qǐng)求個(gè)人信息處理者更正、補(bǔ)充。自然人死亡的,其近親屬為了自身的合法、正當(dāng)利益,可以對(duì)死者的相關(guān)個(gè)人信息行使本章規(guī)定的查閱、復(fù)制、更正、刪除等權(quán)利。數(shù)據(jù)處理者如果不履行義務(wù)則需要承擔(dān)相應(yīng)的民事責(zé)任。
而同樣的,數(shù)據(jù)處理者如果違反了國家相關(guān)規(guī)定的存儲(chǔ)原則,出境審查要求等等,也需要承擔(dān)相應(yīng)的行政責(zé)任。
《數(shù)據(jù)安全法》第二十七條規(guī)定,開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓(xùn),采取相應(yīng)的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全。數(shù)據(jù)處理者有義務(wù)按照網(wǎng)絡(luò)安全管理的要求,確保數(shù)據(jù)存儲(chǔ)環(huán)境的安全,如果拒不履行網(wǎng)絡(luò)安全管理的義務(wù),經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正,致使違法信息大量傳播的或者用戶信息泄露,造成嚴(yán)重后果的以及刑事案件證據(jù)滅失,情節(jié)嚴(yán)重的等情形,則涉嫌拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。
如果企業(yè)財(cái)務(wù)結(jié)算使用會(huì)計(jì)電算化系統(tǒng),電子信息是唯一的財(cái)務(wù)信息記錄載體,不當(dāng)刪除這些數(shù)據(jù),則可能涉及隱匿、故意銷毀會(huì)計(jì)憑證、會(huì)計(jì)賬簿、財(cái)務(wù)會(huì)計(jì)報(bào)告罪。
——結(jié) 語——
隨著國家數(shù)據(jù)局的組建,數(shù)據(jù)安全下的監(jiān)管措施必然會(huì)密集出臺(tái),企業(yè)的數(shù)據(jù)合規(guī)的實(shí)操也會(huì)越來越明晰。數(shù)據(jù)監(jiān)管要權(quán)衡安全與發(fā)展的需要。
《數(shù)據(jù)出境安全評(píng)估辦法》以及即將實(shí)施的《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》,都表明了國家在數(shù)據(jù)發(fā)展方面的開放態(tài)度。在這種趨勢之下,企業(yè)該如何做好合規(guī)體系建設(shè)呢?
第一、企業(yè)需要有數(shù)據(jù)合規(guī)的意識(shí),并且在決策層、管理層以及全體員工層面加強(qiáng)合規(guī)意識(shí)。合規(guī)屬于企業(yè)內(nèi)部治理的重要內(nèi)容,既要有內(nèi)部控制的措施,但同時(shí)更需要內(nèi)心控制的約束。
第二、企業(yè)應(yīng)該建立相應(yīng)的部門以及制度,及時(shí)收集法律以及監(jiān)管措施的變化,對(duì)照要求合規(guī)操作。如數(shù)據(jù)分級(jí)分類制度、風(fēng)險(xiǎn)監(jiān)測和評(píng)估制度以及培訓(xùn)制度等
第三、必要時(shí),企業(yè)在業(yè)務(wù)開展中及時(shí)引入數(shù)據(jù)合規(guī)法律顧問等專業(yè)第三方,利用外部專業(yè)資源,有針對(duì)性地根據(jù)不同應(yīng)用場景,為企業(yè)設(shè)計(jì)制定數(shù)據(jù)合規(guī)的方案。
免責(zé)聲明:本文僅為分享、交流、學(xué)習(xí)之目的,不代表恒都律師事務(wù)所的法律意見或?qū)Ψ傻慕庾x,任何組織或個(gè)人均不應(yīng)以本文全部或部分內(nèi)容作為決策依據(jù),因此造成的后果將由行為人自行負(fù)責(zé)。