网站首页 天平介绍 业务领域 天平团队 天平动态 联系我们
天平动态
天平观点 天平推荐 天平解析 天平业绩
当前位置:首页 > 天平动态 > 天平观点
天平视点|数据合规——全球几乎同时起步的新业务
发布时间:2021-11-07


为什么这么说?


01

数据合规是全球达成共识的需求。


信息化时代,网络数据海量增长,数据和信息从最初作为简单的交流工具,已成为今天的无形资源

数据的开发、运用和管理对信息化的网络社会发展起到重大作用,但日渐高发的网络数字化犯罪也随之出现;

且网络犯罪主体已不再局限于特殊主体,犯罪对象也几乎遍及所有行业,侵犯个人信息的犯罪行为已成为全球最严重的犯罪之一。

“数据”主要包括以下类型

  • 原始数据和再生数据:计算机操作者通过输入设备或工具输入计算机系统的原始数据,计算机系统按一定方式运行后产生再生数据;

  • 电子邮件

  • 个人数据:有关个人的已被识别的和可被识别的任何信息;

(本文提到的数据等同于信息;数据与信息的关系请见-天平研读|个人信息的所有权归谁?)   


02


主要国家对数据合规的统一规则出台时间不长,有的还未正式实施。


1.欧盟《通用数据保护条例》

2018年5月,欧盟的《通用数据保护条例》(GDPR)正式生效,从之前欧洲各国分散的监管标准,过渡到欧盟范围内个人信息保护的统一标准、基本原则和法律制度,欧盟范围内实现个人信息保护标准的统一化、标准化和个人信息一站式监管

2.中国《网络安全法》、《数据安全法》、《个人信息保护法》


2021年,我国的数据与信息安全监管也形成法律(《网络安全法》、《数据安全法》、《个人信息保护法》)、行政法规(《关键信息基础设施安全保护条例》)、部门规章(《网络安全审查办法》)、国家标准(《信息安全技术个人信息安全规范》)的清晰规范体系。


3.美国《统一个人数据保护法》

2021年7月美国统一法律委员会(ULC,美国专门的立法机构,许多立法都非常有影响力并成为美国法律)投票通过了《统一个人数据保护法》(UPDPA),目的在于为各州隐私立法提供统一示范法案;此法案最终修订后,预计在2022年1月进入州一级立法机构。

法案的核心内容是把数据实践行为分为“兼容”、“不兼容”和“禁止”三个级别,有别于数据主体只能纯粹同意的模式。


03


数据合规的实践过程不是孤立的。


在全球交易的大环境下,大部分国家达成共识的准则就是国际通行准则;

我国的数据合规几乎与其他国家同时起步甚至已有律师和其他专业人士参与到国际合规标准的起草工作中(比如国际标准化组织发布的《ISO 37301合规管理体系标准及指引》2021版);

从数据合规立法的完善进度看,我们现在有更大机会在国际上对此领域拥有更多话语权;

而不是和以前某些国际规则一样,别人定了规矩,你只能跟着走;或者人家以你没定规矩为由,排挤企业参与正当交易的竞争;



数据合规的特殊性在于,互联网没有物理国界,所以各国的数据合规规则在基本原则方面有相关性,且绝大部分规则涉及对域外数据的监管;
所以,数据合规不仅适用本国法律,也与国际规则有关;而且在具备统一适用的规则方面,大家都刚刚起步。



与数据合规最密切的切入点


与其他领域的合规一样,刑事案件发生的时点是进行数据合规最密切的切入点。

我国刑法涉及数据和信息安全的罪名主要有:

1.侵犯公民个人信息罪(283条之一):

主要指出售、非法提供、非法获取公民个人信息的行为。

2.非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪;提供侵入、非法控制计算机信息系统程序、工具罪(285条):

主要指非法侵入计算机信息系统,或其他手段获取计算机信息系统的数据,或对计算机信息系统进行非法控制;或提供前述行为的程序和工具。

3.破坏计算机信息系统罪(286条):

违法对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的;

或违法对计算机信息系统中的数据和应用程序进行删除、修改、增加的操作,后果严重的;

或故意制作、传播、计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的。

4.拒不履行信息网络安全管理义务罪(286条之一):

网络服务提供者(提供信息网络接入、计算、存储、传输,信息网络应用服务,以及网络公关服务)违反信息网络安全管理义务,有下列行为之一且拒不改正的:

  • 致使违法信息大量传播(传播200个以上视频文件;或2000个以上视频之外的信息;或传播2000个以上用户账号;或传播3000以上账号群组或3万以上关注账号;或实际点击数5万以上);

  • 致使用户信息泄露,后果严重(行踪、征信等信息500条以上;或住宿、交易等信息5000条以上;或其他信息5万条以上;或造成他人死亡、重伤、精神失常、被绑架等;或重大经济损失;或扰乱社会秩序等);

  • 致使刑事案件证据灭失,情节严重(危害国家安全、恐怖、黑社会性质、贪污贿赂犯罪案件;5年以上有期徒刑的案件;多次造成证据灭失等);

  • 其他严重情节。

单位构成上述犯罪,单位直接负责的主管人员和其他直接责任人员将受刑事处罚。


合规不起诉制度倒逼企业走向主动合规


2020年3月,最高人民检察院在上海、江苏、山东、广东的6家检察院开始第一批合规不起诉试点;

2021年4月,第二批试点启动,增加了北京、辽宁、浙江、福建、湖北、湖南的检察院。

2021年6月,最高检与司法部、财政部等机构联合发布《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》,推进企业合规改革试点,建立健全涉案企业合规第三方监督评估机制。

依据现阶段我国试点检察院发布的典型案例,涉案企业合规整改和出具承诺书,有机会换取检察院的不起诉或其他从宽决定

检察院在办理涉企犯罪案件时,对符合企业合规改革试点适用条件的,交第三方监督评估组织对涉案企业的合规承诺进行调查、评估、监督和考察

考察结果作为人民检察院依法处理案件的重要参考。

第三方机制适用于公司、企业等市场主体在生产经营活动中涉及的经济犯罪、职务犯罪等案件,既包括公司、企业等实施的单位犯罪案件,也包括公司、企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪案件。

这项制度明确适用于“经济和职务犯罪”;数据安全犯罪方面还未看到典型案例。




结语

在国际大合规的形势下,在国内刑事合规处罚的倒逼下,数据合规可能面临合规领域较大市场,人信息和企业信息安全都是数据合规的监管目标

如何在专业人士的指导下,把数据合规体系嵌入到日常运营管理体系中,是涉及数据处理的企业需要尽快完成的工作。



参考来源:
1.《动态数据与动态安全:大数据时代个人信息的刑法保护进路》- 于冲-中国法制出版社-2021年4月
2.个人信息保护国际比较研究(第二版)-个人信息保护课题组-中国金融出版社·浙版数媒-2021年2月







声  明


本号文章仅供分享、学习与交流,不作为对阅读者出具的正式法律意见或建议。如需转载或引用任何内容,请提前经本所书面同意,并注明出处。如您对有关议题感兴趣,欢迎与本所联系、交流与探讨。




北京市天平律师事务所

天平律师事务所是司法部早期批准设立的律师事务所,总部在北京; 探讨法律实务,分享法律观察,为您提供专业法律服务。





北京市天平律师事务所版权所有      京ICP备19057976号-1
地址:北京市朝阳区东三环中路7号北京财富中心写字楼A座517 联系电话:010-65884188