2021年《“十四五”大数据企业发展规划》(下称《规划》)指出,“十三五”时期,我国大数据企业规模年均复合增长率超过30%,逾1万亿元。到2025年,大数据企业测算规模突破3万亿元,年均复合增长率保持在25%左右。
图表1 我国数据战略发展历程
2014年大数据首次写入政府工作报告,开启了我国大数据企业元年。多年来,大数据企业不断发展,逐渐深入经济社会发展各个领域,成为社会发展的要素、动力和资源。
2020年国务院首次公布关于要素市场化配置的文件《关于构建更加完善的要素市场化配置体制机制的意见》(简称《意见》),数据被列为继土地、劳动力、资本、技术之后的“第五大生产要素”。
近年来大数据与互联网融合,彼此互借东风,快速发展,在我国已经形成了较为完整的大数据企业链条,并服务于政务、民生、商业等众多领域。
万亿级别的数据要素市场,其可持续发展必然需要法律的规制,面对如此庞大的大数据市场,众多大数据行业企业如雨后春笋般拔地而起,疯狂进行“数据开荒”和“数据夺取”。“数据保护”的概念也逐渐进入大家的视野,成为大数据行业最热门的话题之一。
任何领域的发展,都离不开法律制度的规范和制约。大数据法律法规体系同样在不断地完善和发展。此前笔者在《侵犯公民个人信息犯罪司法大数据报告》一文中,对我国个人信息数据领域的刑事立法的修订以及宏观法律的相继出台进行了分析和解读。
图表2 我国数据保护立法历程
大数据的生命周期
数据在其自创建至销毁的生命周期中,可能经由提取、导入、导出、迁移、验证、编辑、更新、清洗、转型、转换、整合、隔离、汇总、引用、评审、报告、分析、挖掘、备份、恢复、归档和检索,最终被删除。基于大数据环境下数据在组织机构业务中的流转情况,数据生命周期被划分为6个阶段,具体各阶段的定义如下:
· 数据采集:指新的数据产生或现有数据内容发生显著改变或更新的阶段。对于组织机构而言,数据的采集既包含在组织机构内部系统中生成的数据,也包含组织机构从外部采集的数据。
· 数据存储:指非动态数据以任何数字格式进行物理存储的阶段。
· 数据处理:指组织机构在内部针对动态数据进行的一系列活动的组合。
· 数据传输:指数据在组织机构内部从一个实体通过网络流动到另一个实体的过程。
· 数据交换:指数据经由组织机构内部与外部组织机构及个人交互过程中提供数据的阶段。
· 数据销毁:指通过对数据及数据的存储介质通过相应的操作手段,使数据彻底丢失且无法通过任何手段恢复的过程。
特定的数据所经历的生命周期由实际的业务场景所决定,并非所有的数据都会完整地经历六个阶段。我们按照数据的生命周期,将大数据企业分为上、中、下游三个层次,将六个生命周期的阶段归纳为数据资源获取、数据处理、数据分析、数据应用四个环节。
图表3 大数据产业链条图示
司法实践中,“数据资源获取”和“数据应用”是刑事案件高发的重要环节,因此我们重点围绕大数据企业在生产经营中数据获取、数据应用方面需要面对的刑事风险和合规应对策略进行梳理,为大数据企业中的先行者们提供法律支持。
一、大数据资源获取
“为有源头活水来”——大数据资源是整个大数据企业的源泉,没有大数据资源就谈不上行业的发展,目前的大数据资源获取方式主要有三种,一是自行收集大数据,二是委托第三方收集大数据,三是通过大数据交易市场取得大数据。
(一)自行收集大数据
无论是专门从事大数据获取业务的企业,亦或是企业内部数据支撑部门来说,获取数据的手段以及所得数据的性质,对收集数据行为的合法性认定至关重要。
1.来源于用户的数据——“公民个人信息”
“侵犯公民个人信息罪”是该环节刑事风险最高的罪名之一。企业在业务发展过程中,通过客户行为和交互,会产生、收集海量用户数据和后台数据。企业从用户方向获得的数据大部分都是与用户个人密切相关的内容,并且对经营者有商业价值的信息往往都是涉及到个人的独特信息。
尽管《网络安全法》明确规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、遵循使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”但是在巨大利益驱使之下,行政法规的制约往往无法达到保护社会利益的效果。为此刑事法律及司法解释持续不断地关注着个人信息的保护,时刻进行着法律的修订以适应数据时代的发展变化。
· “公民个人信息”的司法定义
在如此多的法律规范中,如何界定侵犯公民个人信息的刑法边界,首先要准确的对“公民个人信息”的概念进行界定。而对于“公民个人信息”的定义,刑法与其他部门法的规定并不完全一致,如果只根据行政法规的合规指引开展业务,极有可能触犯刑事法律风险。我们以《网络安全法》《个人信息保护法》中个人信息的定义作为对照:
在最高人民检察院、最高人民法院制定的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中,将个人信息的范围,增加了“反映特定自然人活动情况”的描述,比如“行踪轨迹”等,虽然没有超出个人信息的内涵,但是避免了在司法适用中对该类情况认定的随意性,更有利于保护公民个人信息,但同时也增加了入罪的风险。
· 通过提供服务获取公民个人信息的刑法边界
企业通过提供服务过程中收集的个人信息数据并不想当然地可以由企业自由支配使用。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第四条规定,“违反国家有关规定,在履行职责、提供服务过程中收集公民个人信息的”构成侵犯公民个人信息罪。因此不仅企业有可能因违反《个人信息保护法》等规定由于收集公民个人信息而触犯刑法,甚至发生企业员工在履职过程中的违法行为牵涉到企业的利益,导致企业无法正常经营。
参考案例
广州诺涵信息科技有限公司、上官某某等侵犯公民个人信息罪一案(2018)苏0803刑初645号【认定事实(节选)】
被告单位广州诺涵信息科技有限公司法定代表人上官某某为牟利,让公司所属的“运营部”出售通过购买、交换及公司APP软件导出等方式获取的公民个人信息,并给员工提成激励。被告人上官某某于2018年3月份从利某某(另案处理)处购买公民个人信息75660条,从被告人李某某处购买公民个人信息1万条;于2017年11月至12月期间从余某(另案处理)处购买公民个人信息75053条。后上官某某将购买的信息交与运营部用于出售。广州诺涵信息科技有限公司运营部主管被告人莫某某将本人和曾某(另案处理)等人交换来的公民个人信息25566条和上官某某购买的公民个人信息存储至百度云盘,由本人并让运营部其他人员进行出售,其还让运营部人员从公司APP软件导出公民个人信息出售,莫某某和运营部其他人员共出售公民个人信息285007条,违法所得50万余元。
【裁判结果(节选)】
本院认为,被告单位广州诺涵信息科技有限公司及直接负责的主管人员上官某某、直接责任人员莫某某违反国家有关规定,将非法获取的以及在提供服务过程中获得的公民个人信息出售、提供给他人,情节特别严重,其行为均构成侵犯公民个人信息罪,并依法从重处罚。
2.来源于业务积累的数据——以“自动驾驶”行业为例
“故意/过失泄露国家秘密罪”是应当高度重视的非常见罪名。近年来,诸如小马智行、华为自动驾驶、百度自动驾驶等自动驾驶界翘楚,屡屡曝光出在开放道路进行自动驾驶测试的视频。L4级别“自动驾驶”代表着当前最高级别的自动驾驶功能。通过华为自动驾驶车辆在上海的开放道路测试我们可以看出,L4级别自动驾驶车辆在行使过程中实时进行3D建模,通过高精度道路识别和周围地理环境的识别,实现精准避让行人、车辆等一系列自动驾驶操作。在这个过程中,行驶车辆不仅仅需要记录大量的道路交通数据,甚至包括道路周围的建筑信息、地理坐标位置等都一概纳入了激光雷达和双目摄像头范围之内,通过车载芯片的超级计算能力,只需路过几次便可以轻松绘制出完整的地理画像。即便达不到L4级别的自动驾驶功能,诸如特斯拉、小鹏汽车的车载软硬件设配都已经拥有实时3D建模和地理信息计算能力。
图片4 华为全栈自动驾驶解决方案公开道路实测实时运算数据
我国的“地理信息数据”保护面临着重大的时代挑战和技术挑战。《中华人民共和国测绘法》第四十七条:“从事测绘活动涉及获取、持有、提供、利用属于国家秘密的地理信息,应当遵守保密法律、行政法规和国家有关规定。” 目前《数据安全法》虽然已经对数据跨境提出了诸如本地存储等严格的规制,说明我国现在对于“地理信息数据”等涉及国家利益信息的保护十分重视。此前赴美上市的“滴滴出行”所拥有的“地理信息数据”更加多样,甚至囊括了个人出行习惯与出行记录,如何保障其所拥有数据的安全性也成为了他上市之路的焦点问题。
刑法第三百九十八条,“违反保守国家秘密法的规定,故意或者过失泄露国家秘密”的,构成“故意/过失泄露国家秘密罪”。该罪名犯罪主体既包括国家机关工作人员,又包括非国家机关工作人员,主观方面既包括故意犯罪,又包括过失犯罪。因此对于该罪名的适用条件十分宽泛。
企业在经营过程中,应当对涉及到或有可能涉及到国家秘密的数据严格依法报备、保管和处理。企业应高度重视涉国家秘密犯罪的刑法边界,避免在经营过程中触及国家安全的底线,引发刑事风险。
(二)委托第三方收集大数据
作为中、下游的大数据企业,为了减少获取数据的成本往往会采取外包的形式,委托第三方为其提供大数据内容。这种商业模式的法律风险主要来源于上游专门从事大数据获取的企业,与上游第三方公司自行收集数据的刑事风险是密切相关的。
1.第三方公司常见的违法收集大数据方式
第三方公司常见的违法收集大数据方式主要通过爬虫等技术手段抓取数据,或者是通过利益诱导、挂羊头卖狗肉等手段骗取数据。
通过爬虫等技术抓取数据。关于大数据企业通过爬虫等技术手段爬取大数据的刑事法律分析,笔者已经在前文《大数据时代网络爬虫技术的法律风险及刑法规制》中进行过详尽的阐述,在此不作赘述。需要注意的是,爬虫技术是当下大数据企业获取大数据的主要手段之一,也是最容易触犯刑事法律风险的技术手段,应当高度重视该技术背后的刑事法律风险。
图表5 网络爬虫技术刑事法律风险
利益诱导、挂羊头卖狗肉等手段骗取数据。这是典型的非法获取大数据的手段,例如通过照片美化小程序收集用户面部数据、通过语音红包收集用户声纹数据等。尽管近些年来源源不断的企业及负责人因此背负刑责,但是由于这种手段的高效、低成本、收益巨大,所以仍有冒险者前赴后继。
2019年,具有6家上市公司股东的“考拉征信”被江苏淮安公安立案调查,相关负责人依法拘留配合调查。该案中“考拉征信公司”非法缓存征信系统公民个人身份信息并予以出售,已经涉嫌出售公民个人信息罪,同时下游公司购买、再出售的行为同样涉嫌相关犯罪。而广州诺涵科技公司除了购买公民个人信息之外,通过自建“套路贷”平台非法获取公民个人信息,同时实施“套路贷”“暴力催收”等一系列违法犯罪行为,最终都难逃刑责的追究。
图表6 考拉征信涉刑案数据贩卖图示
2.收购行为的刑法边界——“明知”
通过委托第三方公司获取大数据的方式,除了能够精简企业部门结构,同时也是分割责任的方式之一。如何正确地分割责任,要正确理解刑法中的“明知”。刑法中的“明知”包括知道或应当知道。在现实委托过程中,委托方知道受委托企业获取数据的来源不合法或者是来源不明,但是利用签署多份委托合同,将数据信息按照要素不同拆分成多个部分,以至于每个要素都无法达到“个人信息“的认定标准。但是在刑事案件处理过程中,这种操作是徒劳的,经不起侦查机关调查核实。
侦查机关认定“明知”,除了当事人的主观表达,更多的是以客观行为反映主观目的。虽然委托合同表面上委托人对数据要素的合规性不知情,但是根据双方的交易习惯、交易记录以及一系列的调查,可以完整的复原“个人信息“,完全可以证明委托人主观的“明知”,无法摆脱刑法的惩处。
如果企业想要摆脱“明知”的故意甚至是与受委托第三方公司“共谋”,就需要企业在合作开展前明确掌握相关法律法规的规定特别是刑法的规定,提前进行配套的合规审查,在主观、客观均达到不“明知”的标准。
(三)通过大数据交易市场购买
2015年4月全国第一家大数据交易所在贵阳正式挂牌运营。此后,大数据发展的顶层政策也在不断推进。这期间,各地大数据交易所和交易中心迎来了密集布局期。截至2020年,全国建成、在建或筹建的省级大数据交易所(市场)近20个,市级或行业级的大数据交易所(市场)超百个;大部分为省大数据企业集团、城投集团、本地智慧城市公司联合数据公司承建;总投资额度在2-4亿之间,建设内容包括底层基础设计(机房)、大数据交易平台等。
2021年3月、11月,北京国际大数据交易所和上海数据交易所相继成立。北京国际大数据交易所,被业界称为开启全国数据交易所2.0时代的标志性机构。通过数据交易市场进行数据交易的一大好处就是数据的内容合法性、合规性受到保护。
《数据安全法》第三十三条规定:“从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。”因此通过数据交易市场进行交易,一定程度将数据合法性审查义务转嫁给了平台方,即便是日后数据的使用出现问题,购买方不会陷入“共谋”的刑事风险。
二、大数据应用阶段
大数据经过处理、分析后投入到终端用户,服务于生产和经营。我们把数据的应用分为两个层次,一个层次是数据成果的直接应用,第二个层次是数据成果的再应用。
1.大数据分析的展示型应用
对于展示型应用,即以数据分析的结果直接指导实践。比如典型的可视化数据报告,将处理分析后的结果直接以图表形式展现出来,使用者可以根据图表所展示的量化分析,得出下一步开展方向。
2.大数据分析的进阶应用
之所以是进阶应用,是因为需要将数据结果导入下游应用的系统内,通过系统与数据的结合实现系统功能,向应用终端用户提供个性化的服务。
利用合法取得的数据实施非法行为。通过出售、交换、供给等方式向他人提供数据,该阶段的法律风险集中体现在终端用户如何使用大数据。
对于大数据终端用户来说,无论是使用非法取得的数据用于合法经营,还是使用合法取得的数据用于非法目的,都无法逃避刑法的制裁。前者属于两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第六条明确规定,为合法经营活动而非法购买、收受公民个人信息的,构成侵害公民个人信息罪。至于后者,其行为具有多样性,用于何种非法目的将会构成何种犯罪,典型的如诈骗罪、电信网络诈骗、组织领导传销等等,无论其数据的获得是否合法,其具体实施的违法行为决定了其违法犯罪性质。
对于大数据提供者来说,其与上文提到的大数据委托收集者一样,需要避免成为“共犯“,要围绕”明知“的客观证据,围绕”犯罪故意”开展合规准备。
三、贯穿全程的网络安全管理义务
无论是大数据企业的哪个阶段,持有大量的大数据信息,就会存在数据泄露的风险。一种是外部因素,遭受网络攻击、网络爬虫;一种是内部人为故意泄露大数据信息,再者还有企业员工过失导致数据泄露。这些数据泄露的方式十分常见,大数据企业应当建立有效的应对措施防止发生刑事法律风险。
拒不履行信息网络安全管理义务罪。刑法第二百八十六条之一,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,构成拒不履行信息网络安全管理义务罪。(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。
《网络安全法》等部门法给数据持有者设定了相应的管理义务,如果想要构成本罪,既要求违反法律法规规定,还要拒不改正,可以看得出在主观层面一定是出于故意。虽然有行政机关的前置程序作为门槛,即便不构成本罪,在明知他人非法使用本企业的数据实施犯罪行为而不予制止,也有可能构成与其他下游犯罪的共同犯罪,面临其他的刑事法律风险。
四、刑事风险应对方案
刑事手段是最为严格的处罚方式,一个企业如果触犯刑法,无论是商业价值还是行业口碑,都将大打折扣,更严重的是,刑事诉讼程序跨越时间久,调查过程通常牵扯范围广,甚至相关企业和人员被采取限制人身自由的强制措施、账户资金被冻结等,直接或间接导致企业经营面临“致命性”风险。
大数据企业应当从以下方面着手,应对数据全生命周期中不同环节的刑事法律风险:
1.完善的制度建设,排除单位犯罪故意
完善的制度建设,是企业合法合规运营的重要前提。制度的规范性也是企业合法经营目的的重要体现,能够排除实施违法犯罪行为的单位故意。
紧紧围绕《数据安全法》《个人信息保护法》以及行业特色的《汽车数据安全管理若干规定(试行)》等一系列的法律、行政法规的要求,结合行政管理部门的指导,形成一套综合企业运营管理体系,保证企业依法开展各项业务。
2.加强数据安全机制建设,防范数据泄露
“数据安全”是大数据企业的生命线,任何的数据泄露事件对企业来说都是灾难性的,无论是从客户信任还是从社会口碑角度来说。因此,必须要加强安全机制建设,这是履行网络安全管理义务的必要条件。
数据安全机制的建设一方面要设置数据安全专业团队保障数据不受外界环境干扰;另一方面要加强对内部人员接触数据的全流程追踪,防止人为的数据泄露事件发生;第三就是要设立应急数据救援部门,在数据泄露事件发生后及时发现问题,消除影响。
3.完善的数据合作尽职调查,防止受到刑事风险牵连
前文中我们可以看出,无论是委托第三方收集的大数据信息,还是大数据信息加工处理后转让给下游企业,都有可能因为其他环节的问题给我们自身企业经营带来刑事风险。加强对合作方的尽职调查就尤为重要,特别是对合作方数据来源、数据处理以及数据用途进行充分的调查核实,并且在合作协议中,附加数据合法性要求和违约条款,保证合作的合法性和可持续性,以防企业因合作方的违法行为造成给本企业带来刑事法律风险。
4.强化数据立法和刑事法律培训,掌握刑法的处罚边界
数据领域刑事立法具有明显的行业特征,是典型的以“行业+法律”的形式进行规制。因此企业在日常经营过程中,要加强员工对数据行业法律、法规以及行政监管部门指导意见的学习和培训,同时对刑事法律风险要有清楚、明确的认识。让员工在自行处理数据的过程中,既掌握刑法的边界,也了解刑罚的严厉。
5.及时合规整改,亡羊补牢为时不晚
首先,在行政机关的督察、责令整改的过程中,要积极沟通、配合,及时发现并解决存在的问题,进行严格的合规整改。行政违法事由相较于刑事犯罪行为属于情节较轻的,若不认真整改致使存在的问题扩大,涉嫌刑事犯罪的风险可能性会飙升。
其次,目前我国以检察机关牵头的刑事合规业务探索,集中在犯罪行为发生后的刑事合规整改与认罪认罚相结合,从而寻求一个社会效果与法律效果双赢的局面。对于大数据企业触犯刑事法律风险后,如果能够第一时间结合当地政策,采取恰当的诉讼策略和整改方案,尝试推进企业合规整改和不起诉,可以有效提高刑事合规整改的通过率,为企业涉刑后的案件处理争取宝贵的机会。
作者介绍——庞理鹏律师
北京策略律师事务所党支部书记、执行主任,数据合规项目组负责人;
中国信息通信研究院个人信息保护合规审计推进小组成员;
国际信息科学考试学会(EXIN)数据保护官(DPO)&信息安全官、(ISO)双认证律师,并担任该考试协会数据保护官(DPO)授权培训讲师;
北京市律师协会商事犯罪预防与辩护委员会委员、刑事合规研究组成员;
北海国际仲裁院仲裁员;
北京多元调解发展促进会策略区块链与数字经济争议调解中心负责人
田浩男律师
北京策略律师事务所执业律师
拥有丰富的检察机关、纪检监察机关工作经验
执业领域:互联网与金融犯罪、职务犯罪、高管犯罪辩护;刑事合规与企业反腐败/反舞弊调查;财税与商事争议解决等。
特别声明:以上仅代表笔者个人观点,不代表策略律师及策略律师事务所出具的任何形式之法律意见。如有意向就相关议题进一步交流探讨,欢迎与本所联系!