为什么这么说?
01
数据合规是全球达成共识的需求。
信息化时代,网络数据海量增长,数据和信息从最初作为简单的交流工具,已成为今天的无形资源;
数据的开发、运用和管理对信息化的网络社会发展起到重大作用,但日渐高发的网络数字化犯罪也随之出现;
且网络犯罪主体已不再局限于特殊主体,犯罪对象也几乎遍及所有行业,侵犯个人信息的犯罪行为已成为全球最严重的犯罪之一。
“数据”主要包括以下类型:
原始数据和再生数据:计算机操作者通过输入设备或工具输入计算机系统的原始数据,计算机系统按一定方式运行后产生再生数据;
电子邮件;
个人数据:有关个人的已被识别的和可被识别的任何信息;
(本文提到的数据等同于信息;数据与信息的关系请见-天平研读|个人信息的所有权归谁?)
02
主要国家对数据合规的统一规则出台时间不长,有的还未正式实施。
1.欧盟《通用数据保护条例》
2018年5月,欧盟的《通用数据保护条例》(GDPR)正式生效,从之前欧洲各国分散的监管标准,过渡到欧盟范围内个人信息保护的统一标准、基本原则和法律制度,在欧盟范围内实现个人信息保护标准的统一化、标准化和个人信息一站式监管。
2.中国《网络安全法》、《数据安全法》、《个人信息保护法》
3.美国《统一个人数据保护法》
2021年7月,美国统一法律委员会(ULC,美国专门的立法机构,许多立法都非常有影响力并成为美国法律)投票通过了《统一个人数据保护法》(UPDPA),目的在于为各州隐私立法提供统一示范法案;此法案最终修订后,预计在2022年1月进入州一级立法机构。
法案的核心内容是把数据实践行为分为“兼容”、“不兼容”和“禁止”三个级别,有别于数据主体只能纯粹同意的模式。
03
数据合规的实践过程不是孤立的。
在全球交易的大环境下,大部分国家达成共识的准则就是国际通行准则;
我国的数据合规几乎与其他国家同时起步,甚至已有律师和其他专业人士参与到国际合规标准的起草工作中(比如国际标准化组织发布的《ISO 37301合规管理体系标准及指引》2021版);
从数据合规立法的完善进度看,我们现在有更大机会在国际上对此领域拥有更多话语权;
而不是和以前某些国际规则一样,别人定了规矩,你只能跟着走;或者人家以你没定规矩为由,排挤企业参与正当交易的竞争;
与数据合规最密切的切入点
与其他领域的合规一样,刑事案件发生的时点是进行数据合规最密切的切入点。
我国刑法涉及数据和信息安全的罪名主要有:
1.侵犯公民个人信息罪(283条之一):
主要指出售、非法提供、非法获取公民个人信息的行为。
2.非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪(285条):
主要指非法侵入计算机信息系统,或其他手段获取计算机信息系统的数据,或对计算机信息系统进行非法控制;或提供前述行为的程序和工具。
3.破坏计算机信息系统罪(286条):
违法对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的;
或违法对计算机信息系统中的数据和应用程序进行删除、修改、增加的操作,后果严重的;
或故意制作、传播、计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的。
4.拒不履行信息网络安全管理义务罪(286条之一):
网络服务提供者(提供信息网络接入、计算、存储、传输,信息网络应用服务,以及网络公关服务)违反信息网络安全管理义务,有下列行为之一且拒不改正的:
致使违法信息大量传播(传播200个以上视频文件;或2000个以上视频之外的信息;或传播2000个以上用户账号;或传播3000以上账号群组或3万以上关注账号;或实际点击数5万以上);
致使用户信息泄露,后果严重(行踪、征信等信息500条以上;或住宿、交易等信息5000条以上;或其他信息5万条以上;或造成他人死亡、重伤、精神失常、被绑架等;或重大经济损失;或扰乱社会秩序等);
致使刑事案件证据灭失,情节严重(危害国家安全、恐怖、黑社会性质、贪污贿赂犯罪案件;5年以上有期徒刑的案件;多次造成证据灭失等);
其他严重情节。
单位构成上述犯罪,单位直接负责的主管人员和其他直接责任人员将受刑事处罚。
合规不起诉制度倒逼企业走向主动合规
2020年3月,最高人民检察院在上海、江苏、山东、广东的6家检察院开始第一批合规不起诉试点;
2021年4月,第二批试点启动,增加了北京、辽宁、浙江、福建、湖北、湖南的检察院。
2021年6月,最高检与司法部、财政部等机构联合发布《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》,推进企业合规改革试点,建立健全涉案企业合规第三方监督评估机制。
依据现阶段我国试点检察院发布的典型案例,涉案企业合规整改和出具承诺书,有机会换取检察院的不起诉或其他从宽决定。
检察院在办理涉企犯罪案件时,对符合企业合规改革试点适用条件的,交第三方监督评估组织对涉案企业的合规承诺进行调查、评估、监督和考察。
考察结果作为人民检察院依法处理案件的重要参考。
第三方机制适用于公司、企业等市场主体在生产经营活动中涉及的经济犯罪、职务犯罪等案件,既包括公司、企业等实施的单位犯罪案件,也包括公司、企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪案件。
这项制度明确适用于“经济和职务犯罪”;数据安全犯罪方面还未看到典型案例。
结语
在国际大合规的形势下,在国内刑事合规处罚的倒逼下,数据合规可能面临合规领域较大市场,个人信息和企业信息安全都是数据合规的监管目标。
如何在专业人士的指导下,把数据合规体系嵌入到日常运营管理体系中,是涉及数据处理的企业需要尽快完成的工作。
声 明
本号文章仅供分享、学习与交流,不作为对阅读者出具的正式法律意见或建议。如需转载或引用任何内容,请提前经本所书面同意,并注明出处。如您对有关议题感兴趣,欢迎与本所联系、交流与探讨。
北京市天平律师事务所
天平律师事务所是司法部早期批准设立的律师事务所,总部在北京; 探讨法律实务,分享法律观察,为您提供专业法律服务。
个
京公网安备 11010502053037号