2021年7月2日晚间,网络安全审查办公室发布的一则公告在“数据合规”领域激起层层浪花,而后又接连发布了相关通报,从“停止新用户注册”到“下架滴滴出行App”、直至要求“各网站、平台不得为‘滴滴出行’和‘滴滴企业版’等25款App(主办单位均为北京小桔科技有限公司)提供访问和下载服务”,“滴滴数据安全事件”不断发酵。
本文无意去揣测“滴滴数据安全事件”中的具体问题内容以及后续可能发生的处理结果;但拟结合此次事件,从刑事角度提示数据安全可能发生的各种场景以及会触发的相关风险。企业只有具备识别潜在刑事风险的能力,才能有效地守住“免被刑事追责”的最后防线。(本文来源:瀛泰律师事务所)
01不同的保护法益对应不同的刑事风险
1. 侵犯国家秘密
7月2日,网络安全审查办公室发布“关于对‘滴滴出行’启动网络安全审查的公告”。虽然“滴滴出行”有违数据合规的具体行为并未披露,但是从公告内容来看,其所保护的法益是“为防范国家数据安全风险,维护国家安全,保障公共利益”,所依据的法律为《国家安全法》和《网络安全法》。
由此可见,数据安全会影响到国家安全和公共利益。实践中有些数据可能表面上看都是一些个人信息亦或是企业的经营信息,但该等数据如若涉及国家安全和利益,亦或该等数据经过结合、关联梳理后会涉及关乎国家安全的敏感信息,那么一旦泄露就会有造成泄露国家秘密【1】的严重危害可能性;如果达到情节严重的程度,那么有可能触发刑事追责。与之相对应的罪名为境外窃取、刺探、收买、非法提供国家秘密、情报罪、非法获取国家秘密罪、故意泄露国家秘密罪和过失泄露国家秘密罪。
虽然目前实践中还未出现通过采集大数据导致侵犯国家秘密的刑事判例,但是随着数据时代的飞速发展,单个不同结构的数据或无意义的数据通过多种采集方式获取的汇聚到一起,相互补充、相互印证,可能引起“数据质变”,就有可能获得关乎国家安全的重要敏感信息;如果将此等数据不当泄露、甚至是传输至境外,那么还是存在引发刑事追责的可能性。
比如,去年媒体广泛报道,美国军方认为一款跑步类App公布的用户使用轨迹,有可能对美军在国内和海外的众多军事基地造成泄密。单纯的用户使用轨迹已经给军事秘密安全造成严重威胁,若再结合官兵手机中语音通话、即时通讯、电子邮件、通讯录、定位信息、健康信息、消费信息、摄录设备获取的信息以及大量其他App获取的信息,就可以轻易掌握官兵个体的工作内容、生活习惯、业余爱好、社交范围等情况,也就不难从中获取国家秘密或者军事秘密等关乎国家安全的敏感信息【2】。
同样,我们国内也存在类似的APP亦或是其它与关键信息基础设施有关的APP【3】,如果能够和特定的人或敏感地点关联起来,那么其所存储的数据不排除具有重要敏感性。据媒体报道,2021年7月16日,七部门共同进驻滴滴公司调查,其中包括“自然资源部”。
对于自然资源部参与调查一个网约车平台的公司,有部分人表示不解,这就是前文提到的大数据状态下信息可能达到的质变效果。单人单次甚至多次的出行通勤数据或许并不会引起国家安全层面的担忧,然而全国人民在一段时间内的公路及城市道路出行数据,配合上使用人的信息和联络方式,可以在一定范围内约等于测绘数据。而且由于出行人通常会填写精确的出发和目的地,该等测绘数据的精准度甚至比一般的导航软件的精度还要高。而在中国境内的“非法测绘”,在非常时期还可能构成我国《刑法》第一百一十条规定的间谍行为。
2. 侵犯商业秘密
随着科技的进步,商业秘密数据化的特征愈发明显,可以说企业对商业秘密的保护形式将以确保数据安全的形式呈现,侵犯此类数据达到一定严重程度必然引发刑事风险。我国刑法中侵犯商业秘密的罪名涉及两个:侵犯商业秘密罪和为境外窃取、刺探、收买、非法提供商业秘密罪。
数据只是商业秘密的载体,司法实践中有关侵犯商业秘密罪的判例常见的情形是原权利人单位员工通过窃取原单位的商业秘密数据,尤其是技术信息参数、源代码等,再用于其他单位来获利。因而,对于企业而言,保护重要的经营技术信息数据显得尤为重要;而对于同行业企业而言,吸收原同业的其它企业员工,尤其是技术员工,甄别其所提供技术信息的合法性和正当性以避免无妄的刑事风险,同样也非常重要。
3. 侵犯个人信息
个人信息是数据安全问题中最常见的保护法益。《刑法》也专门设立了“侵犯公民个人信息罪”对侵害该法益的行为予以规制,对于个人信息的获取、使用甚至是存储【4】方面都予以了全面的保护,并根据个人信息的敏感程度划分了不同的入罪标准,司法实践中的相关刑事判例也屡见不鲜。
➢《关于办理侵犯公民个人信息刑事案件使用法律若干问题的解释》对个人信息敏感程度进行了划分,与之对应设定了不同的入罪标准。
| 信息层级 | 信息内容 | 一般情况下的标准(非法获取、出售或提供) | 职责行为下的标准(非法获取、出售或提供) |
| 第一层级(特别敏感) | 行踪轨迹、通信内容、征信信息、财产信息 | 50条 | 25条 |
| 第二层级(敏感) | 住宿信息、通信记录、健康生理信息、交易信息等可能影响人身、财产安全的公民个人信息 | 500条 | 250条 |
| 第三层级(一般) | 第一、二层级以外的公民个人信息 | 5000条 | 2500条 |
02有违数据合规的不同行为模式对应不同的刑事风险
违反数据合规的行为体现模式是各式各样的,侵害对象均为承载数据的计算机系统,所对应的罪名也各不相同,主要为非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪、破坏计算机信息系统罪和拒不履行网络安全管理义务罪。
事实上,以数据为载体、利用信息犯罪的相关罪名还有非法经营罪、诽谤罪、敲诈勒索罪、寻衅滋事罪、编造、故意传播虚假恐怖信息罪、编造、故意传播虚假信息罪、非法利用信息网络罪和帮助信息网络犯罪活动罪等,在此不再一一赘述。
总而言之,大数据时代,数据不但是重要资产,同样更需关注数据的合规和安全问题,守住数据刑事风险防控底线,企业的发展才能持续稳健。
03关于企业数据合规的建议
从防范刑事风险的角度而言,企业数据合规要着重考虑两个方面:
第一,企业在搜集、储存、使用、调取和传输数据中,首先要注重避免触犯刑法和相关司法解释的规定,规避刑事风险。企业要能够识别自身的数据安全风险,尤其涉及到跨境传输数据更要慎之又慎;
第二,企业要防范他人对企业数据安全的侵害,既包括企业内部员工也包括外部人员的侵害。结合《网络安全法》、《数据安全法》、《网络安全审查办法》(及修订草案)、《个人信息保护法》(草案)。
综上,我们提出以下几个方面的建议:
1.和数据密切相关领域的企业,应搭建数据合规体系,如汽车、物流、医疗、教育、交通、互联网、金融等行业的企业要尤为关注。搭建数据合规体系不仅仅是制定数据合规的制度,更要注意结合自身行业特征梳理和发现存在数据安全问题以完善相关管理机制,同时加强对员工的数据合规定期培训。
2.对于企业所掌握的数据进行分类、分级处理,既包括数据种类(个人数据、商业数据、公共数据、重要数据和核心数据等)、也包括对其中各类信息的敏感程度进行分级。对不同种类、等级的数据进行不同的保护措施。
3.对于重大事项和创新决策,尤其是涉及数据问题时设立专项风险评估,比如涉及到数据跨境问题,要及时聘请外部专家对企业的高管、技术团队、业务人员和文宣团队进行合规培训。企业自身必须随时对拟跨境传输数据进行种类、性质、等级等安全自评,评估自身是否属于关键信息基础设施运营者,更需要与行业主管和监管部门紧密沟通,由上述部门组织安全评估,需要备案或审批的,要及时履行相应程序。
附:相关法律条文
《中华人民共和国刑法》
➢《刑法》第111条规定:“【为境外窃取、刺探、收买、非法提供国家秘密、情报罪】为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报的,处五年以上十年以下有期徒刑;情节特别严重的,处十年以上有期徒刑或者无期徒刑;情节较轻的,处五年以下有期徒刑、拘役、管制或者剥夺政治权利。”
➢《刑法》第282条规定:“【非法获取国家秘密罪】以窃取、刺探、收买方法,非法获取国家秘密的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利;情节严重的,处三年以上七年以下有期徒刑。”
➢《刑法》第398条规定:“【故意泄露国家秘密罪】【过失泄露国家秘密罪】国家机关工作人员违反保守国家秘密法的规定,故意或者过失泄露国家秘密,情节严重的,处三年以下有期徒刑或者拘役;情节特别严重的,处三年以上七年以下有期徒刑。
非国家机关工作人员犯前款罪的,依照前款的规定酌情处罚。”
➢《刑法》第219条规定“【侵犯商业秘密罪】有下列侵犯商业秘密行为之一,情节严重的,处三年以下有期徒刑,并处或者单处罚金;情节特别严重的,处三年以上十年以下有期徒刑,并处罚金:(一)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密的;(二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的;(三)违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。
明知前款所列行为,获取、披露、使用或者允许他人使用该商业秘密的,以侵犯商业秘密论。
本条所称权利人,是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人。”
➢《刑法》第219条之一规定:“【为境外窃取、刺探、收买、非法提供商业秘密罪】为境外的机构、组织、人员窃取、刺探、收买、非法提供商业秘密的,处五年以下有期徒刑,并处或者单处罚金;情节严重的,处五年以上有期徒刑,并处罚金。”
➢《刑法》第253条之一规定:“【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
➢《刑法》第285条规定:“【非法侵入计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
➢《刑法》第286条规定:“【破坏计算机信息系统罪】违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。”
➢《刑法》第286条之一规定:“【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
注释
【1】《中华人民共和国保守国家秘密法》第九条规定:“下列涉及国家安全和利益的事项,泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的,应当确定为国家秘密:
(一)国家事务重大决策中的秘密事项;
(二)国防建设和武装力量活动中的秘密事项;
(三)外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;
(四)国民经济和社会发展中的秘密事项;
(五)科学技术中的秘密事项;
(六)维护国家安全活动和追查刑事犯罪中的秘密事项;
(七)经国家保密行政管理部门确定的其他秘密事项。
政党的秘密事项中符合前款规定的,属于国家秘密。”
【2】引用于《大数据对国家秘密范围的挑战》:
http://www.gjbmj.gov.cn/n1/2020/0115/c411145-31550064.html
【3】引用于“中央纪委国家监委网站《深度关注 | 数据安全关乎国家安全》”中“接受网络安全审查的几家企业都掌握大量用户隐私数据,并且业务与关键信息基础设施有关…… 综合来看,这几家企业都掌握大量用户隐私数据,并且业务与关键信息基础设施有关联。‘上述几家被审查的企业,分别为日常出行、网络货运及大众求职领域的头部平台,至少掌握了所属行业领域80%以上的深度数据。这些数据可以直接或间接地反映我国各区域人口分布、商业热力、人口流动、货物流动、企业经营等情况。’江苏省大数据交易和流通工程实验室副主任李可顺表示。”
https://www.ccdi.gov.cn/yaowen/202107/t20210707_245653.html
【4】杭州魔蝎数据科技有限公司等侵犯公民个人信息案((2020)浙0106刑初437号),该案的主要事实在于“魔蝎公司在和个人贷款用户签订的《数据采集服务协议》中明确告知贷款用户“不会保存用户账号密码, 仅在用户每次单独授权的情况下采集信息”,但未经用户许可仍采用技术手段长期保存用户各类账号和密码在自己租用的阿里云服务器上……截至2019年9月案发时,对魔蝎公司租用的阿里云服务器进行勘验检查,发现以明文形式非法保存的个人贷款用户各类账号和密码条数多达21241504条。”,最终法院认为“杭州魔蝎数据科技有限公司以其他方法非法获取公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。”我们认为,非法保存是一种存储不当的行为,而该不当亦或不合法的存储在于其未获得信息所有人的合法授权可以在其云服务器上进行存储,换言之,其云服务器上所获取的个人信息是未经过信息所有人合法授权的,属于非法获取行为。
