尚法 勤勉 精專 共贏

現今環境

2017年6月1日施行的《網絡安全法》，對于絕大部分互聯網公司來說可能都是最重要、最需要深入學習的一部法律。該法一方面規定了網絡運營者在網絡運營安全方面的法律責任；另一方面，提出了網絡運營者在收集、使用個人信息方面較為具體的法律限制。

近年來，互聯網行業受到愈加嚴重的監管。去年，公安部門開展“凈網2019專項行動”，人數眾多的專案、大案頻發。這些案件基本都是涉及到多個省份的全國性案件，影響非常廣泛。基于刑事政策的影響，互聯網行業從業人員更加迫切地需要提高刑事風控意識，企業對于刑事合規的需要也愈加凸顯。由于其中大部分專案屬于“數據”犯罪，所以可以說2019年是國家打擊數據犯罪、維護數據安全的非常關鍵的一年。

以筆者經辦的“凈網7號”侵犯公民個人信息案為例，其中有部分當事人是從事獵頭行業或者為自己公司運營而收受簡歷的，原意是為了招聘，并不購買簡歷或出售簡歷獲利，但依然被刑事立案。簡歷與一般的個人信息不同，提供自身簡歷的人很有可能是希望這些信息能夠廣泛傳播的。因此，收受簡歷這一行為是否確實侵犯了侵犯公民個人信息罪的相關法益或許需要深入考量。

筆者代理的當事人于偵查階段取保，后不予移送審查起訴，但其只是其中的特例。以一般人的經驗及理念去理解，傳播簡歷的行為應當不具有很大的社會危害性，不至于動用刑法這樣嚴厲的手段進行大規模取締，然而事實卻并非如此。

另外，筆者去年經辦的另一“數據產業案”涉及多個大數據公司、二十多名當事人、多個罪名。除了個別當事人系公司法定代表人外，這些當事人很多都只是普通的上班族或者公司高管，只是在大數據公司工作，沒有注意處理好“接口”爬取數據的合規問題，導致進了看守所。

而結合諸多涉互聯網的罪名的犯罪構成可知，互聯網行業的刑事立案標準實際上并不高，而且相關的刑事政策可能已經愈趨嚴厲。

以網絡運營者為例。

依據相關法律法規，對網絡運營者及關鍵信息基礎設施運營者，不履行網絡運行安全和網絡信息安全義務的，有關主管部門以責令改正，給予警告，對拒不改正或者導致危害網絡安全等后果的，或被處以罰款。目前，此類罰款的上限為50萬元人民幣。

另外，如網絡運營者不履行網絡安全義務的情況嚴重，除上述處罰外，行政監管部門還可對其采取以下5種更加嚴厲的行政處罰：（1）責令暫停相關業務；（2）停業整頓；（3）關閉網站；（4）吊銷相關業務許可證；（5）吊銷營業執照。

一類是危害計算機信息系統安全的犯罪（可記為“網安類”），主要包括非法侵入計算機信息系統罪和破壞計算機信息系統罪兩種犯罪。另一類是侵犯公民信息安全的犯罪（可記為“信息類”），主要包括侵犯公民個人信息罪、拒不履行信息網絡安全管理義務罪、非法利用信息網絡罪以及幫助信息網絡犯罪活動罪四種罪名。

其中，實踐中最常見、應用最多的罪名系非法侵入計算機信息系統罪、侵犯公民個人信息罪；其次系拒不履行信息網絡安全管理義務罪；再到非法獲取計算機信息系統數據及非法控制計算機信息系統罪。這些重點罪名是大數據企業尤其需要注意的。

大數據企業應如何設置合規計劃？

其一，企業需依據《網絡安全法》及《刑法》等相關法律法規，制定企業內部個人信息保護合規政策及員工行為準則，懸掛或張貼在企業顯眼處，以示公司的合規決心，營造合規氛圍及文化。

其二，企業獲取公民個人信息時，應符合國家規定，以授權或同意為基本原則。只有在極其特殊的情況下，國家規定可以為了公共利益等因素直接采集公民個人信息，方可不經允許便采集。如某部分信息為使用企業相關服務所必須，企業應提前做出警示，讓使用者做選擇。

其三，謹慎使用數據“爬蟲”，禁止爬取政府部門、商業機構乃至個人的非公開信息并私自進行節流，尤其要預防爬取發布了“反爬聲明”（robots協議）的網站的相關數據。

其四，在數據保存方面，企業應對個人信息進行“去標識化”及加密處理，分類別及隱私層級設置訪問或接觸的權限。另外，長期維護企業內部個人信息庫，對于無用或者過期的信息盡量剔除，以免增加額外風險。

其五，向他人提供公民個人信息，要堅持授權原則、匿名原則及合法使用原則。如和其他企業或者其他機構的數據之間存在互換或者合作協議，要尤其注重在設置協議時將權限規定得盡可能細化。某種程度上，企業掌握的公民個人信息等數據可能也構成企業的商業秘密，如非必要，盡量不要用于互換。

其六，對合作伙伴或第三方的合規情況開展盡職調查。避免因為上下游企業或者合作伙伴乃至親近的朋友等在信息數據方面的違法違規行為而陷入刑事糾紛。在發現和甄別潛在的合規風險后，應當對合作企業的風險級別進行評估及分類。如認為合規風險級別較高，應當另外尋找合作對象；如合規風險級別一般，應當在合同中另外附風險聲明書或承諾書供其簽署；如合規風險級別較低，也仍可書面向第三方提出改進合規管理體系的要求，以隔絕風險。對于第三方或者子公司等出現的泄露個人信息的行為，企業應盡到注意義務、提醒義務和懲戒義務，盡量以比《刑法》和《網絡安全法》目前明確規定的要求更高的標準來要求自己。

其七，在銀行、教育、電信、物流、證券、娛樂、電商、獵頭等與數據有關的重點行業，要特別警惕內部人員犯罪及注重內部反腐。企業可通過制定信息保護合規政策及員工手冊，實施合規承諾制度，與員工簽署保密協議，建立定期合規培訓制度等方式預防人員的不合規行為。需要注意的是，要留下實施合規計劃的電子及書面證據并妥善保存。

其八，通過區塊鏈技術對數據的軌跡進行留痕，保證數據的可回溯性，定期查驗數據獲取、保存乃至使用情況，數據獲取、保存、使用的每個環節均由專人負責，實行審批制，留下記錄。

其九，企業要處理好網絡安全問題，避免因被爬取非公開數據及因黑客攻擊而造成數據泄露。企業要建立一整套較為完整的個人信息保護合規政策，通過集體學習、考試等方式讓員工對數據合規相關的規定產生并維持足夠了解，營造全員保護數據的環境，提高每個員工的數據合規能力。

其十，隨時跟進行業動態，尤其要關注其他同類企業的被約談情況。如不幸因為合規問題被監管部門約談，應盡快約見律師。在監管部門提出整改要求后，應配合監管部門的調查，深入整改。必要時啟動內部調查程序以發現管理漏洞，針對漏洞進行調查：找出責任人，看其行為系基于故意還是過失；通過什么手段或者無意中實施何種行為觸發了風險；漏洞的具體情況如何，以此得出處理方案，包括“對人”的處理及對“事情”的措施。