2021年11月14日出台的《网络数据安全管理条例(征求意见稿)》(以下简称“《数安条例》” ),是对三部上位法《网络安全法》 、《数据安全法》 、《个人信息保护法》的补充、落实和细化。

《数安条例》第七十条规定:“数据处理者违反本条例规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”

该条直接阐述民事、行政、刑事责任三大责任的衔接问题,即该条例已经预先为执法机构的执法行为做好铺垫,涵盖了企业可能牵连的全部法律责任。

《数安条例》无疑是企业未来网络安全与数据合规重要的法律依据,特别是对于互联网公司而言,而合规首要原则是排除刑事风险,保障业务可持续性,据此,本文将着重对企业落实《数安条例》义务可能涉嫌的网络刑事犯罪进行解读,旨在提示企业在合规落地时,对业务线涉及的刑事风险优先排除。

罪名一:拒不履行信息网络安全管理义务罪

1.罪名解读:本罪名旨在要求网络服务提供者应依法履行信息网络安全管理义务,义务包括对网络平台内的违法信息进行管制,对于用户信息进行保护,防止泄露,要对数据进行备份、保留日志等技术措施,确保网络平台遭到侵入等犯罪行为时,能依法调取案件证据,否则可能涉嫌犯罪。

本罪的入罪前提是“经监管部门责令采取改正措施而拒不改正”,即首先要监管部门作出书面的整改意见,其次,是要网络服务提供者拒不整改。

法律规定:

《中华人民共和国刑法》第二百八十六条之一网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:

(一)致使违法信息大量传播的;

(二)致使用户信息泄露,造成严重后果的;

(三)致使刑事案件证据灭失,情节严重的;

(四)有其他严重情节的。

2.《数安条例》对应义务:拒不履行信息网络安全管理义务罪,保护的法益是数据安全,《数安条例》恰好就是数据安全管理义务的细化。根据《数安条例》,负责处理数据的企业,负有不可推卸的数据安全保护义务,这里面义务类型主要包括两大方面,一个是技术保护义务,比如第九条规定:数据处理者有义务采取备份、加密、访问控制等必要措施,避免数据发生泄露等侵害后果。另一个是管理制度的完善,《数安条例》主要在重要数据一章,在管理制度上并没有过多的规定,仅仅是对数据安全应急处置机制进行细化,因此关于管理制度方面仍然要参考三大法的规定,比如实名认证制度的落实是很多网络平台受到处罚的主要原因,甚至有这方面的刑事案例。

重点牵连法条:

法条

义务类型

具体规定

第六条

明确数据处理者的数据安全保护义务,不仅要依据法律、行政法规,还需要履行国家标准的强制性要求

数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任。数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。

第九条

数据的技术保护义务

主要为等保义务

数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。

数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。

数据处理者应当使用密码对重要数据和核心数据进行保护。

第十条

数据的技术保护义务

主要为风险补救措施

数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞,或者威胁国家安全、危害公共利益等风险时,应当立即采取补救措施。

第十一条

数据安全管理制度的制定与执行

数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。

发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务: (一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;

(二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。

第二十八条

数据安全管理制度的制定与执行

重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下,履行以下职责:

(一)研究提出数据安全相关重大决策建议;

(二)制定实施数据安全保护计划和数据安全事件应急预案;

(三)开展数据安全风险监测,及时处置数据安全风险和事件;

(四)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;

(五)受理、处置数据安全投诉、举报;

(六)按照要求及时向网信部门和主管、监管部门报告数据安全情况。数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况。

第四十一条

禁止非法提供VPN服务

国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。

任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。

境内用户访问境内网络的,其流量不得被路由至境外。

需要指出的,无论是技术保护义务还是管理制度的完善,义务的不履行并不会直接导致刑事犯罪,在大多数情况下是给予行政处罚,只有拒不整改,且造成严重后果的,才会构成犯罪。

需要注意的是,根据两高《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第四条规定,入罪的标准包括二年内经多次行政处罚而没有改正,即使没有造成严重的数据泄露、违法信息传播,但仍然构成犯罪。

比如2021年7月,阿里云未经用户同意擅自将用户留存在的注册信息泄露给第三方合作伙伴。该行为违反《中华人民共和国网络安全法》第六十四条规定,浙江省通信管理局已责令阿里云改正,理论上,如果阿里云没有履行整改义务,未来因该行为再次受到处罚的,就可能涉嫌构成拒不履行信息网络安全管理义务罪。

本罪的入罪标准如下图所列:

3.典型案例

目前对于不履行信息网络安全管理义务,主要是实施行政处罚,尚未有知名的网络平台被认定构成此罪名,现有为数不多的案例主要包括私自提供VPN服务拒不整改,还有涉及电信行业从业人员未履行电话卡实名制审查义务引发刑事犯罪。

案例一(2018)沪0115刑初2974号:2015年7月至2016年12月30日间,胡某为非法牟利,租用国内、国外服务器,自行制作并出租“土行孙”、“四十二”翻墙软件,为境内2000余名网络用户非法提供境外互联网接入服务。先后两次约谈被告人胡某,并要求其停止联网服务,但其拒不整改,故构成拒不履行信息网络安全管理义务罪。

案例二:被告人李小全负有查验、评估、审核行业卡使用情况的职责,在明知违反实名制管理规定的情况下,仍然将大量带有公民个人信息的回收卡交给亚飞达信息科技股份有限公司,违反用户实名制进行挑卡,造成严重后果,且在两年内经监管部门多次责令改正而拒不改正。2020年7月14日,经工业和信息化部网络安全管理局出具《关于涉及远特(北京)通信技术有限公司相关咨询的复函》证实,远特(北京)通信技术有限公司将绑定个人微信号的移动电话卡回收制作成行业卡销售给其他公司,为落实行业卡短信功能限制要求,未认真履行行业用户安全评估责任,违反了电话用户实名制、行业卡安全管理等相关规定,后法院认定被告人构成拒不履行信息网络安全管理义务罪。

本案涉及主体较为复杂,还涉嫌另外处理的其他网络犯罪,具体如下图所列:

罪名二:非法获取计算信息系统数据罪

1.罪名解读:该罪名旨在要求网络平台在获取数据时,应合法、正当获取,如果采取侵入或者其他技术手段非法获取数据的,将构成非法获取计算信息系统数据罪。

该犯罪行为方式,主要分为三种形态,第一种为“侵入”,本质是未经授权擅自进入;第二种为其他技术手段,比如利用钓鱼网站;第三种比较特殊,所谓超越权限,即合法进入,但非法获取,这种情况非常常见,比如公司很多员工,在离职前进入公司数据系统,将数据私自复制下载,并在离职后带出到其他公司或者自己非法使用,这种情况下,在登录系统时,并不够成侵入,是合法有权登录,但并无权将属于公司的数据非法获取用于非工作目的,该种情况,若情节严重仍然构成犯罪。

法律规定:

《刑法》第二百八十五条【非法获取计算机信息系统数据】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据。

入罪标准

关于该罪名的入罪标准,如果是获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的,只要10组以上即构成犯罪,其他身份认证信息需要500组以上入罪。

需要注意的是,在两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中,对于此罪的数据类型规定的非常单一,仅规定了“身份认证信息”,即我们平常登录支付宝、微信的网络账号,但《刑法》第二百八十五条对该罪名并无限定仅仅为“身份认证信息”,而是指向计算机信息系统中存储、处理或者传输的数据,从司法案例上,也可以看出,受此罪保护的数据类型是非常广泛,包括网络平台在经营产生的用户数据中产生的各种数据,以数据形式存储的游戏道具,也有大量的案件是按照本罪名认定。

2.《数安条例》对应义务:从企业合规角度,此罪名要求网络平台履行的“不作为”义务,禁止以侵入或者技术技术手段非法获取数据,因此收集、留存用户数据必需明确告知并取得授权同意,否则将构成非法获取,在《数安条例》的第八条第(三)、(四)款即有明确规定该禁止行为。

重点条款:

法条

义务类型

具体规定

第八条

禁止非法获取或非法提供数据

禁止为上述非法行为提供帮助,否则可能涉嫌共同犯罪或构成帮助网络犯罪活动罪

任何个人和组织开展数据处理活动应当遵守法律、行政法规,尊重社会公德和伦理,不得从事以下活动:

(三)通过窃取或者以其他非法方式获取数据;

(四)非法出售或者非法向他人提供数据;

任何个人和组织知道或者应当知道他人从事前款活动的,不得为其提供技术支持、工具、程序和广告推广、支付结算等服务。

第十二条

上下游供应链中,互相共享、交易、委托数据,应对履行明确告知、授权同意的义务

数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当遵守以下规定:

(一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外;

(二)与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督;

(三)留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。

数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据。

第十七条

自动化访问、收集数据中,若涉及侵犯他人合法权益的,应及时停止访问、收集数据行为

自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能,或者侵犯他人知识产权等合法权益的,数据处理者应当停止访问、收集数据行为并采取相应补救措施。

第三十九条

在数据跨境合规中,若未履行规定义务,提供者与接受者涉嫌共同犯罪

数据处理者向境外提供数据应当履行以下义务:

(一)不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息;

(二)不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据;

(三)采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全;

(四)接受和处理数据出境所涉及的用户投诉;

(五)数据出境对个人、组织合法权益或者公共利益造成损害的,数据处理者应当依法承担责任;

(六)存留相关日志记录和数据出境审批记录三年以上;

(七)国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时,数据处理者应当以明文、可读方式予以展示;

(八)国家网信部门认定不得出境的,数据处理者应当停止数据出境,并采取有效措施对已出境数据的安全予以补救;

(九)个人信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。

非经中华人民共和国主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

3.典型案例

这类案件非常多,在网络爬虫涉嫌的刑事犯罪中,主要是以该罪名定案,最典型是实时公交查询软件“酷米客”状告同类产品“车来了”盗取后台数据一案经过一年的一审终于在南山区人民法院宣判:车来了创始人兼CEO邵凌霜犯非法窃取计算机信息系统数据罪,罚金10万元,判处有期徒刑三年、缓期四年执行,该非法获取数据的技术方式有“破解加密算法”、“变换IP地址”等。

案例一:北京成立北京瑞智华胜公司案。

瑞智华胜通过成立的其他关联公司与运营商签订精准广告营销协议,获取运营商服务器登录许可,并通过部署SD程序,从运营商服务器抓取采集网络用户的登录cookie数据,并将上述数据保存在运营商redis数据库中,利用研发的爬虫软件、加粉软件,远程访问redis数据库中的数据,非法登录网络用户的淘宝、微博等账号,进行强制加粉、订单爬取等行为,从中牟利,构成非法获取计算机信息系统数据罪。

案例二:“优大人”爬取淘宝直播数据案【(2021)沪****刑初148号】

上海益采信息技术有限公司是一家业务内小有知名度的公司,成立于2009年,但就在2021年5月,上海市徐汇区法院,判决公司的创始人李某构成非法获取计算机信息系统数据罪,主要理由为,该公司未经淘宝(中国)软件有限公司授权许可的情况下,由被告人李某决策通过非法手段抓取淘宝直播数据,并通过益采公司开发的“优大人”小程序出售牟利。在李某的授意下,益采公司部门负责人被告人王某、高某等人分工合作,以使用IP代理、“X-sign”签名算法等手段突破、绕过淘宝公司的防护机制,再通过数据抓取程序(俗称“爬虫”)大量抓取淘宝公司存储的各主播在淘宝直播时的开播地址、销售额、观看PV、UV等数据。

罪名三:侵犯公民个人信息罪

1.罪名解读:本罪名旨在要求网络平台严格保护公民个人信息,应合法、正当获取,禁止非法获取、非法出售、非法提供。

非法获取的内涵∶违反国家有关规定,通过窃取、购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中获取公民个人信息。具体表现形式"没有权限获取、超越权限获取。比如,内部人员窃取、通过业务合作进行交换、通过QQ群购买、跟踪偷拍、黑客攻击、爬虫爬取、使用木马病毒获取、通过伪基站、撞库、骗取查询账户密码非法获取个人信息等都是常见的形式。

非法提供的内涵∶违反国家有关规定,非法出售或提供个人信息的行为。提供的表现形式∶向特定人提供,公开、提供查询等服务、合同卖售等等。

法律规定:

《中华人民共和国刑法》 第二百五十三条:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。

入罪标准:

两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对侵犯公民信息罪的入罪标准进行细化,其中行踪轨迹、通信内容、征信信息、财产信息只要50条就构成犯罪。

值得注意的是为合法经营活动而非法购买、收受公民个人信息,如果存在获利五万元以上的二年内受过行政处罚,又非法购买、收受公民个人信息的,同样构成犯罪。

2.《数安条例》对应义务:侵犯公民个人信息行为,是这几年公检法监管的重点,每年刑事案件高发,因此,对于个人信息合规无需多言。《数安条例》第三章专门阐述个人信息合规问题。

重点条款:

法条

义务类型

具体规定

第二十一条

细化不同类型个人信息授权同意的具体方式,并对侵犯个人信息行为实施举证责任倒置

尤其注意不得误导、欺诈、胁迫等方式获得个人的同意,已经有相关刑事判例

处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:

(一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;

(二)处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;

(三)处理不满十四周岁未成年人的个人信息,应当取得其监护人同意

(四)不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;

(五)不得通过误导、欺诈、胁迫等方式获得个人的同意;(六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;

(七)不得超出个人授权同意的范围处理个人信息;

(八)不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新取得个人同意,并同步修改个人信息处理规则。

对个人同意行为有效性存在争议的,数据处理者负有举证责任。

第二十二条

及时删除数据是一个重要的义务,已经出现判例确认,非法留存个人信息数据,将构成侵犯公民个人信息罪

有下列情况之一的,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理:

(一)已实现个人信息处理目的或者实现处理目的不再必要;

(二)达到与用户约定或者个人信息处理规则明确的存储期限;

(三)终止服务或者个人注销账号;

(四)因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。

删除个人信息从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。法律、行政法规另有规定的从其规定。

2.典型案例

案例一:(2020)苏11刑终98号王某等侵犯公民个人信息案

被告人经营启动宝“点开花”借款软件,在未告知借款人使用范围和目的的情况下,自动收集借款人的手机通讯录。收集借款人手机通讯录的真实目的,是在借款人不能还款的情况下,通过使用短信威胁、电话轰炸、合成裸照等非法手段向借款人及其亲友催收。

且在本案中,被告人强行设置,只有同意收集信息才能使用APP,涉案的权利人基于财务状况紧张而向涉案公司提交材料申请借款,如果不同意格式条款,即无法使用app,这种情况是属于乘人之危取得信息获取授权,强行获取授权的行为不具有正当性,恶意规避法律适用以达到侵犯他人合法权益之目的的行为不具有法律效力。

法院判决认为,收集公民个人信息,需要以明示的方式告知,未以明示的方式告知被收集人信息使用范围和目的的情况下,使用格式条款自动授权涉案app享有收集信息的权利,属于对被收集人权利的排除,该格式条款授权无效,这种情况构成侵犯公民个人信息罪。

案例二:(2019)浙0602刑初850号李某等侵犯公民个人信息案

被告人经营“无线贷”APP借贷平台,涉案公司收集的公民个人信息数据范围,平台收集、输出的公民个人信息不仅局限于借款人本人的姓名、身份号码、联系方式等基础信息,还包括借款人的通讯录信息、通话记录信息等。

超越正常经营范围、限度收集、使用公民个人信息数据的行为不具有正当性。该行为被定性为“非法获取”。

案例三:(2017)甘01刑终89号企业刑事合规抗辩--雀巢公司员工侵犯公民个人信息案

被告人郑某、杨某分别担任雀巢(中国)有限公司西北区婴儿营养部市务经理,为了抢占市场份额,推销雀巢奶粉,授意该公司兰州分公司婴儿营养部员工被告人杨某某、李某某、杜某某、孙某通过拉关系、支付好处费等手段,多次从兰州大学第一附属医院等多家医院医务人员手中非法获取公民个人信息。通过上述手段,非法获取公民个人信息45659条。

本案被告构成侵犯公民个人信息罪并无争议,本案焦点在于是否构成单位犯罪,即雀巢公司是否构成犯罪,在一审、二审期间,被告人作为雀巢公司员工认为本案属于单位犯罪,理由是犯罪行为是获得公司管理层的同意,且雀巢公司是获益的。

后雀巢公司提交大量的证据抗辩,主张本案是员工个人行为,是员工为了完成KPI考核铤而走险,实施公司明令禁止的犯罪行为,其提供的主要证据分为三大组:

1.员工培训教材,有大量的条款规定禁止员工违法收集公民个人信息,特别是市场营销人员。

2.在公司下发的部门工作内容和职能范围中,进一步细化每个岗位应尽的责任,详细规定禁止员工不得实施的违法行为,如案涉备案属于营销岗位,在岗位责任里甚至明令禁止不得直接触客户,不得实施侵害公民个人信息的行为。

3.最后,雀巢公司还对每一位上岗的员工进行培训,线上测试并签署承诺函,里面详细设置员工禁止的违法犯罪行为,考核合格才能上岗执业。

经过上述证据的列举,最终法院认定本案不属于单位犯罪。

合规提示

拒不履行信息网络安全管理义务罪、非法获取计算信息系统数据罪、侵犯公民个人信息罪,这三个罪名是《数案条例》容易牵连的刑事犯罪,但《数安条例》可能牵连的刑事犯罪,远不止于此,还包括涉嫌帮助网络犯罪活动罪、非法利用信息网络罪,这些都是网络刑事犯罪中高发的案件,篇幅所限,在此不再展开。

最后,关于企业刑事合规,不仅仅是企业自身的产品、服务牵连刑事犯罪,其实包含四个维度的合规问题:即企业经营活动涉刑、企业员工涉刑牵连公司、企业遭受刑事犯罪侵害,还包括大量企业上下游供应链、合作伙伴涉刑互相牵连导致的刑事合规问题,这些问题,我们期待下一期和各位分享!也欢迎您加微信交流互动!

作者:欧阳昆泼,浙江垦丁律师事务所联合创始人,中国网络安全与信息化产业联盟理事,浙江省检察院未成年犯罪研究中心成员、西湖区网专委副主任、西湖区网联会秘书长。

声明:本文来自网络法实务圈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。