在数字经济快速发展的当下,电子商务已成为社会经济发展的引擎,信息的收集、存储、处理和传输成为公司的常态化工作,数据随之逐步成为公司竞争的核心资源。部分公司为谋取利益,不惜非法获取、出售或提供个人信息,甚至利用爬虫技术盗取数据,面临重大刑事风险。
本文将结合司法实践,梳理核心风险类型,并给出针对性应对策略,为公司筑牢数据安全防线。
刑事风险
律师
星来律师事务所
非法获取、出售、提供个人信息。中国刑法规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的构成犯罪。根据《最高人民法院、最高人民检察院对于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第叁项至第八项,“情节严重”的具体认定如下:“(叁)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第叁项、第四项规定以外的公民个人信息五千条以上的;(六)数量未达到第叁项至第五项规定标准,但是按相应比例合计达到有关数量标准的;(七)违法所得五千元以上的;(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第叁项至第七项规定标准一半以上的。”
实践中,公司因批量处理个人信息而极易突破法定数量门槛。例如,违规收集用户信息时单次存储数百条敏感数据,或向第叁方批量出售客户资料,仅一次操作就可触及刑事红线。
更值得警惕的是,若公司明知他人将个人信息用于诈骗等犯罪行为仍向其提供个人信息,则无需达到数量或获利标准,即符合立案条件。很多公司存在信息管理漏洞,或刻意规避监管违规处理信息,殊不知此类行为早已超出行政违法范畴,具有极大刑事风险。不仅公司会被处以罚金,相关主管及直接责任人员还可能被判处有期徒刑、拘役及罚金,代价沉重。
非法侵入获取数据。部分公司为提供超范围数据服务吸引客户,可能利用网络爬虫非法抓取竞争对手平台的订单、客户信息等,极易构成非法获取计算机信息系统数据罪。
合规业务中心主任
星来律师事务所
在最高人民检察院发布的一则非法获取计算机信息系统数据的典型案例中,上海窜公司在未经上海贰公司授权许可的情况下,通过“外爬”,以非法技术手段,或利用贰平台网页漏洞,突破、绕开贰公司设置的滨笔限制、验证码验证等网络安全措施,大量获取贰公司存储的店铺信息;通过“内爬”,利用掌握的登录贰平台商户端的账号、密码及自行设计的浏览器插件,违反贰平台商户端协议,大量获取贰公司存储的店铺信息,造成贰公司存储的具有巨大商业价值的海量商户信息被非法获取,同时造成贰公司流量成本增加,直接经济损失人民币四万余元。窜公司因此被公安机关以涉嫌非法获取计算机信息系统数据罪移送检察院审查起诉。
除以上常见的刑事风险以外,公司数据领域还可能构成破坏计算机信息系统罪、拒不履行信息网络安全管理义务罪、帮助信息网络犯罪活动罪、侵犯商业秘密罪、诈骗罪等。因此,做好数据的收集、获取、存储、处理、传输等管理工作成为公司的必修课。
应对策略
如前所述,非法获取、出售、提供个人信息以及非法侵入系统获取数据,已成为大数据时代下公司面临的高频刑事风险。公司务必在刑事风险引爆前,筑牢“法律合规+技术管控”的双层防火墙。
建立健全数据安全管理制度。公司应当严格遵守《数据安全法》《个人信息保护法》《网络安全法》等法律法规及相关行业规定,建立并完善与其运营模式相匹配的数据安全管理制度,确保数据处理工作合法合规。行之有效的数据安全管理制度或数据合规制度,可在司法认定中作为排除单位故意犯罪的重要依据。
合规收集信息,定期自查。公司应明确各部门数据安全责任,制定数据分类分级管理规范,定期开展数据合规自查,重点排查爬虫工具使用、础辫辫权限调用等高频风险点,对发现的漏洞建立台账并限期整改。
强化技术防控。公司需部署数据加密、权限管控等系统,对核心数据访问实行多因素身份认证,实时监测异常下载、批量导出等行为,对异常行为及时采取应对措施。
加强人员管理。员工入职时应要求其签订数据保密协议,员工离职时及时回收其系统权限并核查数据持有情况;定期开展法律培训,解读相关罪责,提升员工风险意识。
优化风险应对流程。公司一旦涉刑,应及时聘请专业刑事律师介入,厘清单位与个人责任边界。若系员工个人违规行为,可提交公司合规制度及员工违规操作证据,以真实、客观的证据材料争取减轻甚至免除公司刑事责任。
星来律师事务所律师丁闻、合规业务中心主任苏仲明
星来律师事务所
北京市东城区建国门北大街8号
华润大厦17层1701
电话: +86 10 6401 1566
电子信箱: dingwen@xinglailaw.com | suzhongming@xinglailaw.com
