CN English中文ItalianoFrançais

广悦专业研究丨一文详解数据资产入表的数据安全和隐私保护

发布日期:2024-10-22 09:40:40浏览:

前言


在“数据资产入表”专题系列的前两篇文章中,我们探讨了数据资产入表的确权与价值评估问题。本文将聚焦数据资产入表过程中的数据安全和隐私保护,以场景识别为基础,分析常见风险点,并结合实务中的监管情况,总结企业做好数据安全与隐私保护的措施。


专题系列:

一文详解数据资产入表的数据确权与合规

从隐形到显形:解锁数据资产入表的价值评估



一、场景识别——数据收集与使用阶段的风险点分析


梳理数据处理的风险点,要一如既往地回到场景识别中。任何脱离场景谈合规都是耍流氓。数据安全和个人隐私风险并非独立存在,而是贯穿于数据处理的全生命周期。

在数据资产入表过程中,重点要关注数据收集和使用阶段,这两个阶段最容易产生数据安全风险和个人隐私泄露问题。

(一)数据收集阶段的风险点

企业收集数据的方式主要为以下三种:第一,面向数据主体自行收集,如企业通过自己研发和运营的数据产品收集用户的个人信息;第二,通过数据交易间接获取数据,较为常见的方式为采购或者互换等形式获取数据;第三,技术手段获取,如自行爬取数据。

图片


(二)数据使用阶段的风险点分析

数据的使用是数据收集的核心目的之一。我国目前的数据分类分级制度,根据数据来源或利益属性的不同,将数据分为公共数据、企业数据和个人数据(个人信息)三个类别,为不同类型的数据配置相应的权利义务规范。不同的数据类型,在使用中所呈现的风险并不相同。

图片



二、处罚情况——法律责任与实务案例


违规的成本与代价,与合规的利好一样,是企业进行合规工作的动力。在一定程度上,违规带来的严重后果,更能督促企业尽快落地合规措施。在企业日常的数据处理过程中,涉及到的数据安全和隐私保护相关处罚都有哪些?以下将从民事责任、行政责任、刑事责任三个层面,总结实务中的处罚情况。

(一)民事责任

我国《民法典》将第六章命名为“隐私权和个人信息保护”,不仅奠定了个人信息保护的正当性,也为个人信息保护立法提供了基本法律依据。

《个保法》在此基础上加强了对个人信息权益的保护,第六十九条第一款规定了侵害个人信息权益民事责任,即个人信息处理者侵权责任的过错推定规则。第二款规定了损害赔偿责任的确定规则,即损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。

典型案例:侵害个人信息获利承担民事赔偿责任


黎某、王某秀、谭某芝利用移动营业厅给客户办理业务的便利,未经通讯用户同意将通讯用户的手机号码、验证码传输给他人注册相关APP账户。王某秀共获利人民币5300元,谭某芝共获利人民币4200元。案发后,王某秀、谭某芝分别将获利进行了退缴。


法院认为,将通讯用户的手机号码、验证码传输给他人注册APP账户,可能出现他人使用虚假注册账户从事违法经营、刷单、电信网络诈骗、敲诈、勒索、绑架等违法犯罪活动,影响不特定多数人的人身、财产安全,社会危害性较大。


其行为虽已经刑事处理,相关获利也已退缴,但刑事处理不能替代民事责任,其三人仍应对其侵害众多自然人的个人信息的行为承担民事责任。最终判令王某秀的赔偿金额5300元,谭某芝的赔偿金额4200元,黎某对王某秀承担连带责任。王某秀对谭某芝的4200元承担的连带责任。谭某芝对王某秀的赔偿中的4200元承担连带责任。


(二)行政责任

《数据安全法》第四十五条规定了数据处理者违反数据安全保护义务的行政责任。其中,违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。

《个保法》在此基础上对罚款作出了上不封顶的处罚。滴滴数据安全事件最终被开出80.26亿的罚单,便体现出了《个保法》在行政处罚方面的严苛程度。

《个保法》第六十六条规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,情节严重的,处五千万元以下或者上一年度营业额百分之五以下罚款,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

典型案例:某科技公司泄露敏感数据被行政处罚


2023年3月,浙江某科技公司为浙江某县级市政府部门开发运维信息管理系统过程中,在未经建设单位同意的情况下,将建设单位采集的敏感数据擅自上传至租用的公有服务器上,且未采取安全保护措施,造成了严重的数据泄露。浙江温州公安机关根据《数据安全法》第45条,对公司及项目主管人、直接责任人员分别作出100万元、8万元、6万元的行政处罚。


(三)刑事责任

《刑法》第二百五十三条之一规定了侵犯公民个人信息罪。违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

《刑法》第二百八十五条第一款规定了非法侵入计算机系统罪。违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

第二款规定了非法获取计算机信息系统数据、非法控制计算机信息系统罪。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

第三款规定了提供侵入、非法控制计算机信息系统程序、工具罪。提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。

单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

《刑法》第二百八十五条所规定的三种罪名,均为爬虫行为涉及到的常见罪名。

典型案例:某科技公司秘密爬取数据被判处刑罚


2015年至2019年间,某科技公司组建专门爬虫技术团队,在未取得个人与平台直接授权的情况下,秘密爬取国内主流招聘软件上的求职者简历数据。经查,该科技公司获取海量数据后,对数据进行重整,并用于开发产品意图牟利。


最终,因涉嫌侵犯公民个人信息罪,该科技公司被判处罚金人民币四千余万,被告人王某某被判处有期徒刑七年,罚金人民币一千万元,其他被告人均被判处相应刑罚。



三、实务指引——数据资产入表的数据安全与隐私保护要点


综合前文分析以及实务中的处罚情况,不难看出,一旦疏于数据安全和隐私保护,在开展数据资产入表时,将面临确权或估值的障碍,甚至发生争议或处罚。实操层面,建议企业从以下几个方面,做好数据安全与隐私保护。

(一)做好数据处理情况记录

重视书面留痕,是合规工作的基本素养。《个保法》第六十九条第一款规定了举证责任倒置的举证规则,这就要求企业在进行数据处理活动中,要做好合规工作的留痕。

2024年9月30日,《网络数据安全管理条例》(下称《网数条例》)正式发布,并将于2025年1月1日起施行。《网数条例》第十二条第一款规定,网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的处理情况记录,应当至少保存3年。

实务中,我们经常遇到在数据合规项目上,企业疏于重要文本的保存,比如用户同意记录缺失、隐私政策迭代版本不连续等。

为了确保在个人信息保护方面的合规性和可追溯性,企业应当细致记录个人信息处理的情况,并妥善保存个人信息保护影响评估报告、用户同意记录、告知文本记录、隐私政策、与相关方签订的数据协议、采购协议以及其他涉及个人信息保护的关键文件。唯有做好留痕工作,确保数据处理活动有据可查,才能为数据确权和后续入表工作扫清障碍。

(二)关注数据来源的合规性

数据资产入表,是盘活数据资源的一种方式。在入表工作中,需要重点关注数据来源的合规性,尽可能降低后续工作中的数据安全和隐私保护风险。

1.自行收集

《网数条例》第二十一条第二款规定,网络数据处理者通过制定个人信息处理规则的方式依法向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息的,应当以清单等形式予以列明。网络数据处理者处理不满十四周岁未成年人个人信息的,还应当制定专门的个人信息处理规则。


对于企业来说,除了要以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关内容,还应当根据新提出的“双清单”要求,以清单形式列出个人信息收集和对外提供情况,提高数据来源的合规性。

2.数据交易

在通过数据交易获取数据时,企业应当注意以下合规要点:

(1)供应商资质审查

在选择第三方供应商时,应当验证其主体情况,适当进行行业背景调查。对于特殊数据类型,需要核实其主营业务的真实性和合规性,以及是否具备相关资质。

(2)供应商数据来源审查

要求供应商提供用户协议、隐私政策、获取数据主体同意的记录等相关文件,重点关注供应商获取数据时是否履行告知义务并取得同意、是否对对外提供个人信息的相关内容进行告知并获得单独同意。

(3)签署协议并定期评价

前述工作完成后,双方签署书面协议。协议中应要求供应商保证其提供的数据已经取得授权,并应在合同中约定违约责任,若后续发生争议,追究责任有据可依。


还要注意的是,协议签署完毕并不代表安全无虞。企业应当定期评估供应商的资质状态,并审核其是否履行了合同约定的数据安全保障义务。

3.数据爬取

最高法曾在判决中指出,即使爬虫技术曾被用于违法活动,但并不等于该项技术本身具有违法性(参见(2021)最高法知民终1687号)。因此,爬虫技术本身具有中立性,通过爬虫技术收集数据的关键在于厘清行为合规边界(参见:数据爬虫的是与非:一文读懂运用爬虫技术的合规边界)。


在通过爬虫技术获取数据时,企业应当注意以下合规要点:

(1)从内容上看,爬取数据限于对开放数据的获取

数据爬取行为所针对的数据性质,是衡量爬虫行为合规性的首要判断标准。基于当前对爬虫的违法性构成要件缺乏明确规定,结合裁判案例和监管理念,合法爬虫的行为对象应当限于对开放数据的获取,避免抓取涉及公民个人信息、隐私或企业商业秘密、著作权法所保护的作品等数据。


如果爬虫获取的是非开放数据,不仅在数据获取对象上有非法性,技术手段也会有明显的侵入性。若发现抓取的数据属性为非公开数据,应及时停止爬取,并删除已经爬取的信息。

(2)从过程中看,爬取行为不得破坏或绕过系统防护

企业进行数据爬取时,不得破坏或绕过网站设置的反爬取措施,否则不仅可能构成不正当竞争,还会根据具体的行为性质,可能认定为前文所提及的《刑法》第二百八十五条中的三种罪名。同时,数据爬取行为应遵守Robots协议。

(3)从结果上看,爬取行为不得破坏网站正常运营、不得产生实质性替代

即使企业满足了前述两点要求,也不代表可以对网站数据进行任意爬取。企业要注意,爬取数据不得超过合理数量和范围,不得对网站的正常运行造成负担、妨碍。并且,在爬取数据后的使用过程中,不得对目标网站造成实质性的市场替代,否则面临被诉不正当竞争的法律风险。



结语


安全是发展的基石,重视数据安全与隐私保护是数据资产入表的坚实保障。对数据的保护与利用,是发挥数据要素价值的一体两面。唯有二者兼顾,方能实现数据要素价值的最大化。



往期推荐

2021年度广悦数据合规代表性业绩大盘点|行而不辍,未来可期

2022年度广悦数据合规代表性业绩大盘点 | 奋楫扬帆 赓续前行

2023年度广悦数据合规代表性业绩大盘点 | 合规筑基,数绘未来



声明

本文仅为交流探讨之目的,不代表广悦律师事务所或其律师出具的任何形式之法律意见或建议。如需转载或引用本文的任何内容,请与本所沟通授权事宜,并于转载或引用时注明出处。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

本文作者

互联网与数字经济领域

互联网与数字经济领域为广悦律师事务所组建的,专注在数字经济领域提供法律服务的律师团队。团队由广悦主任杨杰律师带领多名资深律师和专业人员共计20余人组成。


团队自成立以来,为国内外超过100家上市公司、互联网企业、科技企业以及传统行业向数字化转型的企业提供包括数据合规、数据治理、个人信息保护、股权设计、股权投融资、数字产品合规评估以及争议解决在内的创新型法律服务。


团队多次荣获钱伯斯、ALB、《商法》、The Legal 500、Asialaw 、Legalband等国内外法律评级机构的青睐与推荐。现服务客户包括腾讯微信、阿里巴巴、广汽埃安、维他奶、视源股份、华泰期货、蓝月亮等。客户行业覆盖人工智能、智能制造、金融、医疗、汽车、消费、媒体、科技等领域。



作者丨冯清清、霍雨佳

编辑丨何雪雯

审核丨苏冰

审定丨品牌宣传与市场拓展委

分享到:

  • 免责声明
  • 隐私保护
  • 网站地图

Copyright 2020 广东广悦律师事务所. All Rights Reserved. 粤ICP备13002423号-2 Designed by Wanhu