久久人人爽爽爽人久久久-免费高清a级毛片在线播放-国产高清自产拍av在线-中文字幕亚洲综合小综合-无码中文字幕色专区

學術咨詢

讓論文發表更省時、省事、省心

網絡數據安全領域的企業刑事合規體系建構

時間:2022年05月11日 分類:科學技術論文 次數:

網絡社會背景下, 數據成為社會的基本生產要素, 亦成為大量企業業務開展的重要依托。在數據價值凸顯的同時,企業在網絡數據安全領域的刑事合規越來越受到重視。網絡數據安全刑事合規具備雙重功能, 在基礎功能層面可以有效地降低企業在網絡數據安全領域的刑事風險;在

  網絡社會背景下, 數據成為社會的基本生產要素, 亦成為大量企業業務開展的重要依托。在數據價值凸顯的同時,企業在網絡數據安全領域的刑事合規越來越受到重視。網絡數據安全刑事合規具備雙重功能, 在基礎功能層面可以有效地降低企業在網絡數據安全領域的刑事風險;在擴展功能層面可以有效地提升企業的外部社會評價和整體價值。網絡數據安全刑事合規的基本風險點,體現在濫用數據壟斷地位引發的風險、侵犯個體數據自決權引發的法律風險、侵犯國家數據安全引發的法律風險三個層面。針對上述基本風險點,建立企業整體網絡數據安全防護合規制度、企業收集個人數據合規制度、企業個人數據控制權保障合規制度、企業數據泄露防控合規制度、企業第三方數據處理合規制度,應當作為網絡數據安全領域刑事合規的基礎方案。

  [關鍵詞]企業刑事合規;網絡數據安全;危害網絡數據安全犯罪;合規方案

網絡數據安全

  企業刑事合規以刑事法律風險防控為基本內涵,以降低刑事犯罪風險為基礎功能,同時還兼具推動企業合理承擔社會責任的擴張功能。由于社會實踐的復雜性,企業所面臨的刑事法律風險也具有多樣性,需要企業根據自身的業務特點準確定位具體風險點,展開有針對性的合規體系建設。同時,企業的刑事法律風險也具有動態性,隨著外部社會環境的變化,特別是法律法規的更新,刑事法律風險也會不斷演變,企業刑事合規體系也必須能夠動態更新,并具有前瞻性。當前,在網絡社會不斷深化和大數據技術廣泛運用的背景下,數據開始呈現出全新的價值屬性。

  數據不僅是國家的基礎性戰略資源,更被我國明確為新時代的生產要素,無論是新型數字經濟產業還是傳統產業,都在積極地利用網絡技術和數據技術,實現企業自身業務的時代性更新,網絡數據安全已然同企業發展深入地嵌合在一起。隨著數據在人類社會重要性的日益提升,網絡數據安全的法律保護需求也同步彰顯,網絡數據領域成為目前法律更新的主要內容之一,刑法亦在構建全新的危害網絡數據安全犯罪罪名體系,并且將單位犯罪主體作為了規制的重點。因此,網絡數據安全領域亦成為當前企業刑事合規需要重點關注的全新問題。

  一、網絡數據安全刑事合規的基本功能

  指向企業合規是法治社會背景下企業可持續發展的基礎, 而刑事領域的合規則是整個企業合規的基石。新的時代背景下,企業發展離不開數據的依托,只要建立起完善的網絡數據安全刑事合規體系,就能起到預防數據風險、強化公司治理、構建和完善現代企業制度的重要作用。

  (一)網絡數據安全刑事合規的基礎功能:降低企業的犯罪風險網絡數據安全刑事合規一方面關注企業自身的數據安全內部控制和治理流程, 避免企業自身成為網絡數據犯罪的犯罪對象,從而使企業的核心數據財富受到侵害;另一方面關注如何保障企業的內部運行同法律、法規、政策、行業規范等外部網絡數據安全法律規范保持一致,從而在減少企業觸犯網絡數據刑事犯罪風險的同時推動整個社會的法治水平,獲得企業利益保護和社會利益保障的“雙贏”。從減少企業成為網絡數據安全犯罪“被害人”風險的角度來看。

  近年來,我國大規模數據泄露事件不斷涌現,快遞公司40萬用戶數據信息被泄露[1],銀行300萬用戶數據信息泄露[2],2306網站470萬用戶數據信息泄露[3],數據泄露幾乎在各個行業領域都已然出現。[4]數據背后所蘊藏著的巨大社會財富、公共福祉和國家利益受到嚴重侵害。層出不窮的海量數據泄露的背后動因,不僅源于非法獲取數據行為人的犯罪行為,而且同相關企業、機構未能建立完善的網絡數據安全合規體系同樣也有著密切關系。[5]從避免企業成為網絡數據安全犯罪“犯罪人”風險的角度來看。我國刑法近期修正的侵犯公民個人信息罪、非法利用信息網絡罪、幫助信息網絡犯罪活動罪,都在強化對單位犯罪主體的刑事制裁,實際上是對作為網絡數據服務商的企業提出了更高的刑法義務要求。特別是,刑法第286條之一拒不履行網絡安全管理義務罪,直接將企業的數據安全管理義務,上升到刑事義務的層面,給企業的網絡數據安全刑事合規,提出了更為緊迫的要求。數據安全刑事合規風險成為眾多企業,特別是新興互聯網企業懸在頭上的“達摩克利斯之劍”。

  (二)網絡數據安全刑事合規的擴展功能:提升企業的整體價值從社會價值的角度考量,企業作為社會活動參與主體的價值主要體現在兩個層面:一方面是履行生產經營服務職責,創造社會財富和經濟效益,另一方面是履行企業經營范圍內的社會管理職責,確保社會整體秩序穩定。而網絡數據安全刑事合規對企業合理承擔上述兩類社會責任都有明顯的推動作用,可以積極提升企業的整體價值。[6]

  其一,數據安全刑事合規旨在阻止產生數據犯罪風險造成的損害。當前,大數據技術受到整個產業鏈關注的背后,是數據在推動科學研究成果,加快經濟增長,為企業決策制定提供指引,更新企業運營模式等眾多領域顯現出的巨大能量。而隨著大數據技術的推動,數據的潛力還將被進一步釋放,數據被賦予了全新的價值和功能。“阿里巴巴公司本質上是一家數據公司,我們做淘寶的目的不是為了賣貨,而是獲得所有零售的數據和制造業的數據;我們做阿里小微金服的目的,是建立信用體系;我們做物流不是為了送包裹,而是將這些數據合在一起,我們對一個人的了解遠遠超過你,你是不了解你的。”[7]因此,對數據安全保護的程度,在大數據時代,往往決定了一個企業“成敗存亡”。

  其二,網絡數據安全刑事合規,能夠強化企業數據安全保護的責任感,增強企業經營過程中可能出現的數據安全風險預防能力,積極分擔社會責任。當前,無論是國內還是國際的法律規范層面,數據安全都日益受到重視。強調對于數據安全的保護, 首當其沖的就是強化對個人信息數據的保護, 強調數據主體對于數據收集、處理、利用的知情權和同意權。然而,這也同許多新型數據產業的經營模式產生了矛盾。[8]因為這些企業本質上就是靠著對大量用戶數據的收集、處理、利用來產生各種收益和價值,隨著對用戶數據安全法律保護力度的提升,人們對于企業的數據安全內控機制也提出了更高的要求。甚至特定企業對數據安全保護的優劣,將成為評價該企業經營能力和風險控制的重要指標。大量的綜合投資指數,開始將企業的數據安全保護程度,作為企業投資價值的重要指標,例如ESG評價中,就包含了企業的數據安全保護指標評級,作為投資者是否投資企業的參考。[9]

  二、企業合規視角下的網絡數據安全犯罪

  隨著網絡數據安全價值的凸顯,世界各國的刑法亦及時地將其納入保護范疇[10]。考察我國刑法的近幾次修正案我們也可以發現,網絡數據安全領域一直是刑法更新的重要內容之一。而刑事司法對網絡犯罪的制裁關注點,也逐步從計算機信息系統犯罪向網絡信息數據犯罪轉移。從企業合規的視角下審視,企業在收集、管理、利用數據時,可能觸發的網絡數據安全犯罪新型罪名,主要包括侵犯公民個人信息罪和拒不履行信息網絡安全管理義務罪, 二者分別從企業的公民個人信息數據保護義務和網絡數據管理義務的角度,對企業提出了新的刑事合規要求。

  (一)基于公民個人信息數據保護義務的侵犯公民個人信息罪我國刑法第253條之一規定的侵犯公民個人信息罪,已然成為我國網絡信息數據保護的基礎罪名。侵犯公民個人信息罪將對公民個人信息數據進行非法出售、非法提供和非法獲取的行為,都納入了刑法的制裁范圍。而該罪名也明確規定了單位可以構成犯罪主體,實際上將所有企業對公民個人信息數據的出售、提供、獲取行為,都在行政法義務的基礎上,又設定了刑事法義務。從企業合規的角度來看,對于侵犯公民個人信息罪,需要特別注意“公民個人信息”的范疇問題。侵犯公民個人信息罪的犯罪對象為“公民個人信息”。因此,侵犯公民個人信息罪在網絡數據安全領域為企業設定的刑事義務,僅圍繞著包含“公民個人信息”的數據。

  然而,對于“公民個人信息”的范疇,不同部門法之間卻存在一定的差異性規定。2017年3月《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》 中率先對公民個人信息進行了規定:“是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。”可以發現,司法解釋將公民個人信息的內涵界定為“身份識別性+特定情況信息”雙重特征。然而,在2017年6月頒布的《網絡安全法》第76條則規定:“個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”實際上是改變了上述司法解釋對公民個人信息內涵的界定,將其內涵修正為“身份識別性”單一特征。

  2020年《民法典》第1034條也基本上采納了《網絡安全法》對公民個人信息的界定。《網絡安全法》《民法典》的規定,實際上是限縮了對公民個人信息的保護范圍。這在一定程度上也引發了,刑法侵犯公民個人信息罪,是否也要對公民個人信息的內涵適用“可識別性”單一特征,對罪名適用范圍進行限縮的理論爭議。[11](P15)而2021年的《個人信息保護法》第4條又規定:“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息, 不包括匿名化處理后的信息。”實際上再次將公民個人信息的內涵界定為“身份識別性+特定情況信息”雙重特征,說明立法機關依然還是傾向于強化對公民個人信息的保護。因此,盡管部門法之間的規定存在差異,但是從企業刑事風險防控的視角,應當采納最廣義的概念界定,將所有能夠識別特定自然人以及同自然人活動情況有關的信息數據,都視為刑法保護的范疇,建立刑事合規機制。

  (二)基于企業網絡安全管理義務的拒不履行信息

  網絡安全管理義務罪我國刑法第286條之一的拒不履行信息網絡安全管理義務罪,實際上是立法對于理論界長期呼吁的“在網絡犯罪治理領域應加強網絡服務商責任”的回應。[12](P25)

  因此,拒不履行信息網絡安全管理義務罪從立法之初,就有著明顯的強化企業網絡安全管理刑事義務的目的。相關司法解釋也因此對拒不履行信息網絡安全管理義務罪的犯罪主體, 進行了較為寬泛的解釋。最高人民法院、最高人民檢察院《關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》規定:“提供下列服務的單位和個人,應當認定為刑法第二百八十六條之一第一款規定的‘網絡服務提供者’:

  (一)網絡接入、域名注冊解析等信息網絡接入、計算、存儲、傳輸服務;(二)信息發布、搜索引擎、即時通訊、網絡支付、網絡預約、網絡購物、網絡游戲、網絡直播、網站建設、安全防護、廣告推廣、應用商店等信息網絡應用服務;(三)利用信息網絡提供的電子政務、通信、能源、交通、水利、金融、教育、醫療等公共服務。”根據上述司法解釋的規定,在當前網絡社會的背景下,大部分企業顯然都在承擔著“網絡服務提供者”的角色,都將受到拒不履行信息網絡安全管理義務罪的規制。從企業合規的角度來看,拒不履行信息網絡安全管理義務罪,需要特別注意其行政違法前置條件的擴張問題。根據我國刑法的規定,構成拒不履行信息網絡安全管理義務罪,首先要存在前置行政違法行為。刑事立法如此設定,是為了適當限縮網絡服務提供者不履行信息網絡安全管理義務承擔刑事責任的范圍,在一定程度上降低了相應企業的刑事義務,但是也帶來了一定的動態風險。

  這是因為,信息網絡安全領域是我國目前立法更新的重點領域,相關的法律、行政法規正在不斷被推出來以強化信息網絡安全的保護,其中大量法律、法規的具體規范是關于網絡服務提供者的義務性規定。因此,盡管在刑法層面上,拒不履行信息網絡安全管理義務罪并未改變,但是由于其他部門法的更新,也會同步導致拒不履行信息網絡安全管理義務罪的適用范圍不斷擴張,進而導致相應刑事犯罪風險的動態擴大。

  例如,關于網絡服務提供者收集個人信息的范圍,我國相關法律法規一直未予以明確,直至2021年生效的《個人信息保護法》第6條規定:“處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。”因此,在《個人信息保護法》生效后,網絡服務提供者超出最小范圍收集的個人信息,將被視為違反國家法律的非法收集。如果網絡服務提供者因此受到責令改正而依然拒不改正, 則符合拒不履行信息網絡安全管理義務罪的行政違法前置條件,相應的刑事犯罪風險也隨之而來。

  三、網絡數據安全刑事合規的基本風險點

  刑事風險點的定位是企業刑事合規制度建構的前提, 刑事犯罪風險點的定位是一個共性和特性兼顧的刑事合規前提,而刑事法律規定則是風險定位的“尺子”。企業面臨的刑事犯罪風險可以被分為一般風險和特殊風險兩類,前者是企業作為市場經營主體必然會存在的刑事犯罪風險,例如,商業賄賂犯罪風險,是所有企業都必須關注的領域;后者則是企業基于自身業務特殊性而產生的刑事風險,數據安全刑事風險就是一類特殊的刑事風險,其基本風險點主要表現在以下幾個方面。

  (一)企業濫用數據壟斷地位引發的風險我國的數據產業基本上是由大型網絡服務商所推動的,強化“個體數據自決權”在一定程度上會提升網絡服務商各類數據活動的成本, 但不能將上述大型網絡服務商的利益直接等同于數據產業的利益。大型網絡服務商借助網絡平臺優勢,最先具有了收集、分析、利用大規模個體數據的能力,然而大型網絡服務商僅是數據產業眾多環節中的一環,數據產業是未來國家的支柱性產業之一,不能任由幾個“巨頭”所壟斷。2020年我國市場監管總局頒布的《關于平臺經濟領域的反壟斷指南(征求意見稿)》,已經開始體現了這種政策導向。實際上,在我國數據產業前期的高速發展過程中,由于配套性法律規范未能及時跟進,存在著一定程度的野蠻生長現象。

  大量互聯網服務商借助不對稱優勢濫用用戶數據, 作為網絡平臺用戶的數據主體提供了個體數據給網絡服務商,承受著數據泄露的風險,不僅未能充分感受到大數據技術帶來的便利,反而受到歧視性待遇。例如,“大數據殺熟”就是一種典型的網絡服務商通過收集個體數據對抗數據主體的現象。因此,當前數據產業的迅速發展和數據保護能力孱弱并存的狀態難以持續,不加強“個體數據自決權”的保護,必將不斷侵蝕網絡用戶的數據共享信心,最終阻礙數據產業的長期、持續發展。為了引導數據主體主動共享數據,打破“個體數據孤島”,數據產業的發展方向,必然是使數據主體充分實現自身數據的價值, 通過共享數據產業發展的技術福利。 如果企業依然執著于濫用數據壟斷地位,顯然將會陷入越來越嚴重的法律風險,甚至刑事犯罪風險之中。例如,2021年4月10日,我國市場監管總局就因為阿里巴巴集團借助數據、算法等手段,強迫商家“二選一”的行為,罰款182.28億元,并對阿里巴巴集團出具了《行政指導書》,要求其加強內控合規管理。[12]盡管,目前對于企業濫用數據壟斷地位的評價,還是以行政處罰為主。但是兩個傾向值得關注:

  第一,此類行政處罰評價越發嚴格,存在后續由行政違法上升到刑事犯罪評價的可能性。例如,對于“大數據殺熟”行為我國2019年1月施行的《電子商務法》規定:“電子商務經營者根據消費者的興趣愛好、消費習慣等特征向其提供商品或者服務的搜索結果的,應當同時向該消費者提供不針對其個人特征的選項,尊重和平等保護消費者合法權益。”已經將其明確規定為行政違法行為,并且可以處以最高50萬元的罰款。但《深圳經濟特區數據條例》明確規定一旦發現“大數據殺熟”的行為,將視為違法行為,最高處罰5000萬。而2021年7月,我國國家市場監督管理總局公布了《價格違法行為行政處罰規定(修訂征求意見稿)》。專門增設了“新業態中的價格違法行為”,實際上就是針對“大數據殺熟”設定了更為嚴格的行政違法評價。“可以并處上一年度銷售總額1‰以上5‰以下的罰款, 有違法所得的,沒收違法所得;情節嚴重的,責令停業整頓,或者吊銷營業執照。”[13]

  第二,我國目前的數據安全犯罪罪名, 也普遍是以行政違法或受過行政處罰為前置條件的, 例如侵犯公民個人信息罪中“違反國家有關規定”、拒不履行信息網絡安全管理義務罪中的“經監管部門責令采取改正措施而拒不改正”等,當企業在數據安全領域受到了行政處罰時,就必須正視可能存在的刑事犯罪風險。不能認為接受過行政處罰,就不存在刑事犯罪的風險了,之前的“快播公司案”,就是典型的先予以行政處罰后,后續又觸發了刑事責任評價,這也直接導致了快播公司的滅亡。[14](P7)

  (二)企業侵犯個體數據自決權引發的法律風險“個人數據自決權”的學理概念起源于德國。德國學界認為從德國《基本法》關于人性尊嚴和一般人格權的原則規定,個體對于自身數據的支配,是人格尊嚴的重要內容,應當納入基本人格權。當前世界各國,包括我國,普遍認同個人數據自決權應當成為個人權益的必要組成部分。自然人是其個人數據的主體。數據主體可以依法參與其個人數據處理活動,對個人數據的處理活動享有知情權、同意權、查詢權、更正權、拒絕權、刪除權。“個體數據自決權”主導價值地位的體現,根據數據流轉主體的差異性可以分為兩種場景:

  其一,境內私權主體之間的數據流轉。該場景下,“個體數據自決權”應當是一種絕對性權利,排斥任何私權主體在非授權情況下,針對個體數據開展數據活動。其二,境內私權主體和公權主體之間的數據流轉。該場景下,公權主體可以基于公共利益的合理需求,在未獲得數據主體授權的情況下,針對個體數據開展數據活動,但是這種數據活動必須由法律明確授權,遵循嚴格的程序規則,并且應當賦予數據主體對公權力主體不當數據活動的救濟權利和明確的法救濟途徑。企業應當樹立尊重“個體數據自決權”的理念,不能將企業收集、獲取的客戶數據視為企業自身的數據,隨意利用和支配,避免陷入侵犯個人數據自決權的法律風險之中。域外企業因為未嚴格尊重個體數據自決權,而被刑事指控的案例屢見不鮮。

  例如,Facebook公司因為在2008年3月向其合作伙伴劍橋咨詢公司違規分享了8700萬用戶數據,而遭到了美國司法部的刑事調查,最后Face book公司于2019年同美國司法部、聯邦貿易委員會,達成了和解協議,交付50億美元的罰款,并且接受更為嚴格的監管。[15](P87)值得注意的是,類似的行為在我國現有的刑法罪名體系中也有規制,侵犯公民個人信息罪第二款規定的“違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。”實際就是將企業在提供服務過程中獲得的公民個人信息數據,非法提供給第三方情節嚴重的行為,評價為了犯罪行為。

  四、網絡數據安全刑事合規的一般方案

  企業刑事合規要進行制度性建構,才能真正實現企業刑事合規的犯罪防控功能,美國《聯邦組織體量刑指南》提出了“有效企業合規”的七個具體標準:“A.企業應建立合規政策和標準;B.企業應指定高層人員監督企業的合規政策與標準;C. 企業不得聘用在盡職調查期間了解到具有犯罪前科記錄的高管;D.向所有員工有效普及企業的合規政策和標準,如進行培訓;E.采取合理措施,以實現企業標準下的合規,例如利用監測、審計系統來監測員工的犯罪行為,建立違規舉報制度,讓員工舉報可能的違規行為;F.通過適當的懲戒機制,嚴格貫徹執行合規標準;G.發現犯罪后,采取必要的合理措施來應對犯罪行為,并預防類似行為發生,如修改完善合規計劃。”[19]

  (P48-49)而具體到網絡數據安全企業刑事合規領域,其一般方案則必須同我國現有的《網絡安全法》《數據安全法》《個人信息保護法》《民法典》《侵權責任法》《信息網絡傳播權保護條例》、 國家標準《個人信息安全規范》、工信部《信息安全技術公共及商用服務信息系統個人信息保護指南》、《計算機信息網絡國際聯網安全保護管理辦法》、《互聯網電子公告服務管理辦法》等法律法規作為基本指引。同時,也有考慮到我國即將出臺的《常見類型移動互聯網應用程序(App)必要個人信息范圍》等法律法規,從而實現企業網絡數據安全刑事合規制度的任務。筆者認為,網絡數據安全刑事合規的一般方案,可以從以下幾個基本領域展開。

  (一)企業整體數據安全防護合規制度企業整體數據安全防護合規制度,即建立系統準備、吸收、恢復和適應數據安全不利影響(惡意攻擊)的制度。整體數據安全防護是大量企業保障業務連續性的重要部分,它不僅僅是數據備份和恢復,而是需要真正動態和無縫的舉措來為業務提供高度安全的保障。 可以抵御外部網絡攻擊,限制安全事件的影響并保證攻擊期間和攻擊后的操作連續性。企業整體數據安全防護合規制度的主要目標是保護信息技術和系統,以及確保遭受外部網絡犯罪行為、網絡黑客行為、網絡間諜活動等數據攻擊后,企業的業務可以持續地運行。

  (二)企業收集個人數據合規制度企業收集個人數據合規制度,是指設立完善的規范體系,確保企業收集其客戶或其他個人的數據時,用戶享有充分的知情權,可以清晰地獲悉企業收集個人數據的目的,明確誰可以訪問數據、為什么要收集數據、數據將如何使用。同時,企業收集個人數據合規制度,要求企業確保用戶有權利選擇是否提供個人數據。只有在用戶授權后,企業才會進行數據收集,絕不會進行強制收集。當個人數據處理目的發生變更時,企業在處理前通過合理方式提示用戶再次進行授權。此外,用戶對個人數據擁有修改、刪除的權利。個人收集數據之后,數據主體繼續對自己的數據保持一定程度的授權,其可以通過要求企業提供關于他們的任何個人數據來依法行使這一權利。此類請求必須及時得到滿足。

  (三)企業個人數據控制權保障合規制度企業個人數據控制權保障合規制度,是指建立完善的規范體系,確保企業僅在有合法的法律依據的情況下才使用用戶的數據, 同時企業保留個人數據的時間僅限于滿足收集目的所需的時間,并遵循相關規定或適用法律的相關要求。具體來看,企業個人數據控制權保障合規制度要確保企業保障用戶的以下權利:刪除其信息的權利(包括被遺忘的權利);有權訪問他們的數據;取得其數據的權利(即數據可移植性)糾正不正確的權利;限制處理的權利(例如,用于直接營銷或自動決策);反對向第三方披露其個人數據的權利。

  (四)企業數據泄露防控合規制度企業數據泄露防控合規制度是指, 企業針對數據泄露建立完備的積極預防規范和事故處理規范體系。在積極預防規范體系中:企業應構建并持續優化網絡安全綜合防護方案,提高對各種數據漏洞防護的適應能力;在事故處理規范體系中:對影響數據安全、已經或可能對個人信息產生影響的安全事件,建立了啟動、響應、上報、緩解、解決、追溯取證和通知等一整套規范的安全事件管理流程及預案體系。

  (五)企業第三方數據處理合規制度企業第三方數據處理合規制度是指,企業收集個人數據后,出租、出售或提供個人數據給第三方的規范體系。 確保企業對用戶個人數據的共享必須在用戶授權或法律規定的共享范圍和場景內,無用戶授權或法律規定的情形下,不得共享用戶個人數據。同時,即便是在用戶授權和法律準許的情況下,企業與共享數據的第三方,也應當簽署數據安全及保護相關協議,明確要求第三方妥善保護所共享的數據,并且第三方無權將所共享的數據用于任何其他用途。

  五、結束語

  互聯網和信息技術引發了人類社會的深刻變革, 各類企業都在積極探索網絡技術和數據技術的應用,進行技術創新,希望通過技術引領獲得企業在新時代的競爭優勢。然而,技術快速變革的同時也可能引發新的安全隱患、倫理沖突及社會矛盾。因此,技術創新和行為合規必須同步進行。在人類社會進入信息化、數字化、智能化的新一輪技術革命與后工業化浪潮的背景下,我國網絡數據安全領域法律體系正在加速構建, 而企業必須從頂層設計上將網絡數據安全刑事合規貫穿業務策劃、運行、評估的全流程,在嚴密化管理體系和規范化制度的指引下,構建制度化的數據保護策略、規范化的數據處理流程,這不僅是企業積極承擔社會責任的表現,更是企業化解刑事合規風險,確保企業可持續發展的必要準備。

  [參考文獻]

  [1]杜恒峰.圓通內鬼泄露客戶信息如何避免“下一次”?[N].每日經濟新聞,2020-11-20(1).

  [2]許予朋.數據泄露:21世紀金融安全的“攔路虎”[N].中國銀行保險報,2019-11-11(8).

  [3]李欣陽.470萬條12306用戶數據疑遭泄露,警方證實有人被刑拘[EB/OL].

  [4]周露.2015年55億條個人信息遭泄露 網絡安全之殤何解?[N].通信信息報.2015-12-30(B16).

  [5]孫穎.網絡平臺聽之任之應負法律責任[N].北京日報,2022-01-08(9).

  [6]Laurence Brooks.Review of Information Systems: an introduction to informatics in organisa鄄tions. European Journal of Information Systems.2003:12(3)

  [7]馬云.做淘寶不為賣貨而為獲得數據[EB/OL].

  [8]Mireille Hildebrandt, Smart Technologies and the End(s) of Law:Novel Entanglements of Lawand Technology ,Northampton, Mass.: Edward Elgar,2015(91).

  作者:韓 軼

NOW!

Take the first step of our cooperation邁出我們合作第一步

符合規范的學術服務 助力您的學術成果走向世界


點擊咨詢學術顧問