企业数据合规刑事风险的识别与合规体系的构建

2022-04-15

引言：

随着现代信息技术的发展，信息的收集与处理愈加便捷，“信息控制者”（处理信息的组织与个人）与信息主体（信息所关联的自然人）之间的信息能力差距也在不断扩大。与此同时，大数据时代的特有问题也随之暴露出来。大量个人信息被非法收集、交易，公民的隐私与生活安宁因个人信息被泄露与滥用而遭到侵犯。

国家为保护公民个人信息权益，保障数据安全，近年来接连制定了《网络安全法》《数据安全法》《个人信息保护法》三部相关法律，并将保护个人信息与数据安全的规定写入《民法典》《刑法》等法律当中。各级司法机关和政府部门也出台了大量配套司法解释、法规和规章。

在这种背景下，现代企业参与市场竞争，获取经济效益，必然与个人信息和其他数据打交道。最高法工作报告指出，2021年审结侵犯公民个人信息犯罪同比上涨60.2%。

因此，为防范风险、化解风险、赢得商业机会，任何一个面向大众消费者或业务包含数据处理的企业，防范数据合规风险，建立数据合规体系就显得尤为重要。本文从数据的概念及界定出发，讨论数据处理各环节可能触及的刑事风险，并结合本团队办理过的破坏计算机信息系统案等相关案件，以及在威科先行、中国裁判文书网等数据库相关案例检索结果，梳理出十一个刑事风险点，总结出十五个风险提示，并就企业数据合规体系的构建提出意见、建议。

一、数据的概念界定及分类

“数据”的概念

《数据安全法》第三条：本法所称数据，是指任何以电子或者其他方式对信息的记录。

数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

《个人信息保护法》第四条：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

数据的分类

个人信息，其中包括敏感个人信息。

个人信息例如个人基本资料、个人身份信息、网络身份标识信息、个人教育工作信息、个人财产信息等，可参见（GB/T 35273-2020附录A）：

个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

例如：个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息等。可参见（GB/T 35273-2020附录B）。

2.个人信息以外的数据，如行业生产经营数据、商业资料、音乐、视频等。

数据种类不同意味着企业经营的业务场景不同，面临的合规风险也随之不同。

此外应当注意的是，任何企业都有防范非法或有害数据（信息）——如恐怖主义、极端主义信息、淫秽视频等——传播的义务，若不履行此义务，可能涉嫌拒不履行信息网络安全管理义务罪。

个人信息的分级保护制度

根据《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第三至五项，我国法律依敏感程度不同，对公民个人信息实行分级保护制度：

第五条 非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：

……

（三）非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；

（四）非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；

（五）非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；

……

（七）违法所得五千元以上的；

二、数据处理各环节可能涉及的刑事风险

（一）数据获取方面容易引发的刑事风险

风险点一：通过非法渠道向第三方购买个人信息的刑事风险

风险提示1：基于商业目的，通过非法渠道向第三方购买公民个人信息，无论该第三方是否通过公开渠道获得，都可能涉嫌侵犯公民个人信息罪。

相关案例：被告人杜某甲通过QQ网络聊天工具，向他人购买或交换获取大量公民个人信息再卖出。涉案公民个人信息数据量为371.9G……法院认为，企业工商登记信息可以通过正当途径予以查询，但其中涉及的公民个人信息仍属于法律保护的范畴，本案中，被告人杜某甲获得的此类信息数量达20余万条，且系通过非法途径获得，故属于刑法保护范围。

判决结果：被告人杜某甲犯侵犯公民个人信息罪，判处有期徒刑一年四个月，罚金人民币一万元。

风险点二：不当使用网络爬虫技术引发的刑事风险

网络爬虫，又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。通俗地讲，就是能够自动访问互联网并将网站内容下载下来的程序或者脚本。

风险提示2：不遵守目标网站Robots协议 ，采取对抗“反爬虫”措施的技术行为，突破访问限制抓取数据信息，可能涉嫌非法获取计算机信息系统数据罪。该行为不限于获取个人信息，还可能获取其他有价值的信息，如商业信息资料等。

相关案例：在未经淘宝公司授权许可的情况下，被告人李某使用IP代理、“X-sign”签名算法等手段突破、绕过淘宝公司的防护机制，再通过数据抓取程序大量抓取淘宝公司存储的各主播在淘宝直播时的开播地址、销售额、观看PV、UV等数据。整合非法获取的数据后通过微信小程序对外出售牟利，违法所得共计22万余元。

法院认为，被告人明知其行为有法律风险，淘宝公司对除个人用户正常网络浏览外的“爬取”数据行为予以禁止或限制并使用“反爬虫”机制，仍商议利用技术手段对抗“反爬虫”安全措施，其行为应认定为“侵入”计算机信息系统。

风险提示3：即便查询、抓取的数据系网上公开信息，且仅用于公司业务参考，但因频繁访问导致目标网站网络拥堵或造成其他故障的，可能涉嫌破坏计算机信息系统罪。

相关案例：被告人杨某明授权公司开发一款软件，其“网络爬虫”功能能与深圳市居住证网站链接，访问量能达到每小时数十万次，以达到为其公司主营业务便捷的目的。该软件对居住证服务平台进行大量访问，对服务器进行自动化程序攻击，造成服务器阻塞，导致系统不能正常运行，后果特别严重。

判决结果：被告人杨某明被判处破坏计算机信息系统罪。

风险提示4：利用网络爬虫技术抓取公民个人信息，用于出售牟利，可能涉嫌侵犯公民个人信息罪。

相关案例：被告人郭某宇通过“爬虫”软件从互联网上非法获取淘宝、京东、天猫等多个网络购物平台及其他公民个人信息，用于出售牟利，共计非法获取541424条。

判决结果：被告人郭某宇、冷某、张某被判处侵犯公民个人信息罪。

风险提示5：利用爬虫技术对抓取的个人信息以外的其他数据比如视频等进行传播，可能涉嫌侵犯著作权罪，如果是淫秽视频，还可能同时触犯传播淫秽物品罪。

案例简介4：被告人开办了一个视频网站，利用爬虫技术爬取未经著作权人授权许可的各类视频资源以及淫秽主播视频表演等视频，通过解析网站的网页源代码，编写对应的程序，链接到被告人的网站内吸引网上观众浏览观看，并通过付费会员机制和嵌入广告获得收入。

判决结果：被告人王某杰犯侵犯著作权罪和传播淫秽物品罪，二罪并罚。

风险提示6：网络工程师爬取数据即便只是为了检验软件的抗风险性以及试验自身的技术水平，但从案件办理过程中可以看出，类似的爬取行为对企业的数据信息造成了一定的风险。被爬取的数据不限于公民个人信息，有可能是内部经营信息、技术信息，一旦泄露企业将承担不利的后果。因此，企业应当从反爬策略、技术防护、完善内部规章等方面加强对相关数据信息的保护，行为人也不得随意收集、使用他人信息。

典型案例：行为人通过爬虫技术批量获取内部公开数据是否构罪？

案情简介：犯罪嫌疑人于某系某互联网公司网络工程师，该公司内部的聊天App作为员工沟通交流的办公软件，员工登陆后可与公司内任一员工即时聊天，并可点击查看公司员工备注的个人信息以及公司组织架构等信息，App后台会将访问记录予以记录，公司内部制度规定非因工作需要不得随意查看其他员工的数据信息。于某对该聊天软件的源代码进行反向编译，查找到该聊天工具传送员工信息数据的服务器接口，后编写了专门的爬虫程序，在其使用其账号密码登陆App后，该程序自动运行，向该接口循环发送访问请求，成功从该隐藏接口爬取到6万余名员工的个人信息以及公司组织架构等信息。截止案发时，上述数据储存于该人的办公电脑内，并未带离公司。

处理结果：检察机关认为，于某为公司正式员工，根据公司的授权登陆聊天工具后能够即时浏览到本案中的全部员工数据，该信息属于其职权范围内可以知晓的内容，而其使用数据爬取策略，仅仅系提高了查阅的效率，而非本质上的越权获取或者窃取等非法手段，同理亦不构成侵犯公民个人信息罪。

网络爬虫类风险总结：企业使用网络爬虫技术时，应注意：

1）避免违背数据权利人的意愿、避免超出数据访问授权范围；

2）避免使用的技术手段对被访问的计算机网络系统造成损害；

3）注意抓取的信息是否含有个人隐私信息、商业秘密等，内部公开数据可以依职权抓取，但应遵循公司正常的访问途径。

风险点三：正常提供服务过程中违规向用户收集个人信息

风险提示7：正常提供服务过程中合法收集用户数据，但违规（超出同意范围）存储数据，如告知用户手机信息仅用于一次性验证，但实际上予以存储；或告知用户仅存储特定时间，而实际上超期存储，构成侵犯公民个人信息罪。

相关案例：魔X公司将其开发的前端插件嵌入上述网贷平台中，在网贷平台用户使用网贷平台的APP借款时，贷款用户需要在前端插件上，输入其多个网站的账号、密码，经过贷款用户授权后，魔X公司的爬虫程序代替贷款用户登录上述网站，爬取用户本人各类数据，并提供给网贷平台用于判断用户的资信情况，进而从网贷平台获取费用。魔X公司明确告知贷款用户“不会保存用户账号密码，仅在用户每次单独授权的情况下采集信息”，但未经用户许可仍长期保存用户各类账号和密码在自己的服务器上，非法保存的个人贷款用户各类账号和密码条数多达21241504条。

判决结果：被告单位和两被告人被判处侵犯公民个人信息罪。

风险点四：提供服务中加入自动收集、发送用户信息的软件开发工具窃取数据

风险提示8：某些软件开发工具虽然预装在手机中，但如果该软件及运行均未经用户允许，其获取用户信息、自动更新、静默安装等在其他经用户允许的应用程序中同样具备的功能，均属于未经用户授权。软件开发工具商可能涉嫌非法获取计算机信息系统数据、非法控制计算机信息系统罪、侵犯公民个人信息罪。

相关案例：手机商将被告人开发的广告SDK预装到手机中，并使广告SDK获取系统权限。用户首次开机联网时，广告SDK即通过互联网与后台服务器连接，在用户不知情的情况下向后台服务器上传用户信息、自动更新广告SDK版本等，并向用户推送商业性电子信息，从而产生广告费收入。

判决结果：各被告人均被判处非法控制计算机信息系统罪。

（二）数据使用与交易中涉及的刑事风险

风险点五：获取的数据违规使用

风险提示9：数据处理服务本是高速发展的新兴产业，但一些科技信息公司、数据服务公司、第三方支付公司却沦为网络“套路贷”犯罪工具和帮凶，涉嫌帮助信息网络犯罪活动罪。明知他人电信网络犯罪行为，仍为研发提供互联网介入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，帮助者可能涉嫌帮助信息网络犯罪活动罪。

相关案例：被告人杨某博、张某哲为牟取利益，购买“络漫宝”发射装置，并从卡商处购买手机卡，利用发射装置协助上家拨打电话实施电信网络诈骗活动。

被告人李某恒为牟取利益，先后收购不少于15张的手机卡出售给杨某博、张某哲使用。上述手机卡均关联着公民包括姓名、身份证号码、家庭住址等个人信息。

判决结果：被告人杨某博、张某哲犯帮助信息网络犯罪活动罪，判处有期徒刑十一个月；被告人李某恒犯侵犯公民个人信息罪，判处有期徒刑七个月。

风险点六：未经同意的数据交易

风险提示10：《个人信息保护法》第二十三条规定：个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。即个人信息交易需要获得信息主体二次同意。不经过同意的交易涉嫌侵犯公民个人罪。

相关案例：数据X公司成立于2011年，被称为“国内首家大数据交易平台”。该公司营销产品线在运营时，购入数据并进行接收、整理、存储，，并根据用户兴趣、爱好等分别打上不同标签，之后依据客户需求向其精准营销。

判决结果：多名被告人被判处侵犯公民个人信息罪，其中最高刑期为有期徒刑三年。

（三）违反数据安全管理义务可能涉及的刑事风险

风险点七：网络服务者不履行信息网络安全管理义务

风险提示11：网络服务提供者开展数据处理活动时应当履行数据安全保护义务。若未尽此义务，导致用户数据泄露或违法信息传播或致使刑事案件证据灭失等等危害结果，经监管部门责令采取改正措施拒不改正，则涉嫌拒不履行信息网络安全管理义务罪。

相关案例：被告人李某全从用户停机三个月后被回收的卡中，挑出4000张带有公民个人微信的卡号并要求通信技术公司进行制卡。李某全负有查验、评估、审核行业卡使用情况的职责，在明知违反实名制管理规定的情况下，仍然将大量带有公民个人信息的回收卡交给其他公司，违反用户实名制进行挑卡，造成严重后果，且在两年内经监管部门多次责令改正而拒不改正。

判决结果：被告人李某全被判处拒不履行信息网络安全管理义务罪。

风险点八：非法经营互联网跨境接入服务

风险提示12：未经允许经营互联网跨境接入服务（翻墙）等基础网络服务业务，可能涉嫌拒不履行信息网络安全管理义务罪。

相关案例：被告人胡某为非法牟利，租用国内、国外服务器，自行制作并出租翻墙软件。公安机关先后两次约谈胡某，并作出行政处罚。被告人胡某拒不改正，继续经营，违法所得共计人民币236,167元。

判决结果：被告人胡某被判处拒不履行信息网络安全管理义务罪。

风险点九：为网络黑产提供支付结算等

风险提示13：为网络黑产从业者（如网络赌博、色情网站等）提供支付结算、网络接入与存储、VPS（虚拟服务器）代管等业务，可能涉嫌帮助信息网络犯罪活动罪。

相关案例：被告单位隆某公司先后为多款涉嫌网络赌博的手游提供结算服务，被告公司在明知以上手游涉嫌违法犯罪的情况下，其对公账户仍大量接受资金转账予以支付结算并进行广告推广。

判决结果：被告单位犯帮助信息网络犯罪活动。

风险点十：违反非法数据禁止义务

风险提示14：企业对运营的信息网络负有管理义务，未尽此义务导致违法有害信息大量传播的，可能构成拒不履行信息网络安全管理义务罪，同时构成其他犯罪的，择重处罚。

案情简介：【快播案】公司主管人员王某等人在明知快播公司提供的视听节目含有色情等内容的情况下，未履行监管职责，放任淫秽视频在快播公司控制和管理的缓存服务器内存储并被下载，导致大量淫秽视频在网上传播。由于大量淫秽视频得以通过快播网络服务系统传播，快播播放器的用户数量和市场占有率得以提高，快播资讯和捆绑软件的盈利能力得以提升，快播公司拒不履行网络安全管理义务，具有非法牟利目的。

判决结果：快播公司及各被告人均被判处传播淫秽物品牟利罪。（注：该罪重于拒不履行网络安全管理义务）

风险点十一：违反数据出境审查义务

风险提示15：2021年9月1日生效的《数据安全法》增加了关于重要数据出境安全管理的规定。个人信息与重要数据应在境内存储、处理，确需出境的，应经过网信部门的审批。企业应注意存储本企业各类信息的服务器所在地、使用的软件或互联网服务是否由境外主体提供，是否有数据违规出境的风险。

相关案例：2021年6月10日（北京时间），《数据安全法》公布，并将于2021年9月1日正式施行。

6月10日（美国时间），滴滴正式向美国证券委员会（SEC）递交招股书，申请纳斯达克或纽约证券交易所上市。在美国上市以后，它必须按照《外国公司问责法案》呈交以审计底稿亦或是用户数据和城市地图为代表的部分数据，这些都是关乎国家数据主权的核心数据。

7月2日，国家网信办依据《国家安全法》《网络安全法》对“滴滴出行”实施网络安全审查。同时国家网信办的公告还说，为配合网络安全审查，防范风险扩大，审查期间停止了滴滴出行的新用户注册功能。

7月4日审查结果公布，滴滴出行APP存在严重违法违规收集使用个人信息的问题，并通知应用商店下架滴滴出行APP。

三、企业数据合规管理体系的构建

企业的数据合规制度是企业合规制度（大合规）的组成部分，属于专项合规。根据企业资源、能力、经营领域和合规重点的不同，数据合规制度既可以内嵌于企业整体合规机制当中，也可以建立专门的数据合规制度。

笔者认为，健全的数据合规体系应当包括高层重视、合规组织、制度建设、合规资源、风险评估、流程管控、培训沟通这七个要素。上海市发布的《企业数据合规指引》可供参考。

（一）高层重视

企业的最高管理者是数据合规的第一责任人。最高管理者应当承担以下职责：

为保证数据合规分配足够资源；建立违规举报和问责机制；确保运营目标符合合规义务；将数据合规情况纳入绩效考核。

（二）合规组织

*合规部门应具有独立性，不建议由法务部门履行合规管理职能。

《数据安全法》27条：重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

《信息安全技术和个人信息安全规范》（GB/T 35273-2020）11.1 d)项规定，个人信息保护负责人和个人信息保护工作机构的应履行的职责包括但不限于：

全面统筹实施组织内部的个人信息安全工作，对个人信息安全负直接责任;制定个人信息保护计划、政策和相关规程;管理现有个人信息及其来源；进行安全评估；组织相关培训；为本公司产品或服务进行个人信息安全评估；受理投诉举报；与其他部门保持沟通。

（三）制度建设

【数据合规计划】数据合规部门负责人应结合企业自身特点制定并不断调整数据合规计划。

【部门协作】数据合规管理部门应加强与业务部门的分工协作。业务部门应主动进行日常数据合规管理工作，配合合规管理部门的监督与管理。

数据合规管理部门应与其他具有合规管理职能的监督部门（如法务部门、审计部门、监察部门等）建立明确的合作和信息交流机制，加强协调配合。

【主动接受监管】企业应积极与数据监管部门建立沟通渠道，了解相关制度；对于复杂或重大数据风险事项，向监管部门咨询；面对调查予以配合。

【激励和纪律】企业应当建立数据合规考核机制，并作为整体绩效考核一部分。

（四）合规资源

企业应当向数据合规管理部门负责人提供足够的授权、人力、财力来支持数据合规管理体系的运行。一般由董事会直接设立企业合规部门，下设数据合规管理部门等各类专业合规部门。

（五）风险评估

企业开展数据合规管理应当准确识别风险。常见的数据风险包括数据全生命周期各阶段中可能存在的未授权访问、数据滥用、数据泄漏等风险，以及侵犯个人信息、非法获取计算机信息系统数据、传播违法信息、侵犯知识产权、非法跨境提供数据等刑事犯罪风险，企业应根据识别出的风险评估相关经营管理和业务行为是否合规。

【重点风险场景】企业应在数据安全、自动化工具（网络爬虫等）、软件开发工具包、个人信息处理规则、个人生物特征信息、向第三方提供数据的规则、接收方处理数据的规则、跨境提供数据安全审查等方面进行风险评估。

（六）流程管控

【发现机制】设置日常的流程监控等多种方式发现违规行为，建立内部举报机制，并保护匿名举报者的个人信息安全；建立便捷的外部投诉机制。

【风险识别处理】企业在识别数据风险内容的基础上，可根据自身经营特点，对数据风险进行分级。

数据合规管理部门应定期向合规负责人汇报数据合规管理情况，发生重大风险行为时，更要及时汇报并提出解决方案。同时应当根据风险评估结果对不同职级、不同工作范围的员工进行风险提示，降低违法犯罪风险。

（七）培训沟通

【培训】数据合规管理部门应当建立培训机制，定期为管理层、员工培训数据合规相关知识。鼓励员工作出并履行明确、公开的数据合规承诺。

【内部咨询】企业可建立数据合规咨询机制，各部门员工可以向数据合规管理部门咨询数据合规问题。

【数据合规文化】将数据合规文化作为企业文化建设的重要内容，践行合规经营的价值观，不断增强员工的数据合规意识。

鼓励行业协会在本行业内积极倡导数据合规文化，强化行业的数据合规意识。

结语：

企业数据合规要求数据处理者以个人信息为主要保护对象，兼顾其他数据种类，同时避免违法有害数据的传播。在数据获取、数据使用与交易、数据安全三大方面，进行全流程的合规风险防范。

既往判例表明，建立合规制度对于企业避免刑事风险具有至关重要的价值。例如在雀巢公司被控侵犯公民个人信息案中，法院最终认定雀巢公司禁止员工从事侵犯公民个人信息的违法犯罪行为，员工违反公司管理规定，为提升个人业绩而实施犯罪为个人行为。即建立了完善的企业合规制度，实现了企业责任与员工责任的切割，最终将本案认定个人犯罪。

如今企业合规制度试点工作正在如火如荼地推进，它既为企业提供了一个提升治理水平并在关键时刻化解风险的机会，同时也是新时代对企业提出的更高的要求。任何一个面向大众消费者或者业务包含数据处理场景的企业，均须实现数据合规。

本文作者：

声明：            

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。