时间:2022-12-04 18:29:02来源:法律常识
现在社会是大数据时代,数据蕴含商机,很多企业通过利用数据进行弯道超车,在同业竞争中脱颖而出,更有甚者颠覆了原有行业传统模式。在现代商业竞争中,利用个人信息促进交易为背景而设立的平台公司日渐活跃。成立以个人信息数据处理与交易处理为主导业务的互联网服务平台公司,涉及到互联网业务的开展,客户信息的收集,运营过程中数据的保护等方方面面,企业应需非常注重企业数据合规建设,企业数据合规涉及内容庞杂,许多企业借助专业的律师团队辅助建设和不断完善,取得很好的效果。我们仅就设立互联网服务平台公司可能涉及的刑事风险作如下介绍,并希望引起有关企业或投资者的重视。
一、设立阶段可能涉及的刑事风险
不同行业的企业在互联网开展业务需要办理的资质不同。设立互联网服务平台除了企业登记需要办理营业执照等事项外,根据《中华人民共和国电信条例》第七条:“经营电信业务,必须依照本条例的规定取得国务院信息产业主管部门或者省、自治区、直辖市电信管理机构颁发的电信业务经营许可。”根据当下市场网络平台,主要集中在第二类增值电信业务,最为常见有以下两类:
1.ICP许可证。网络内容服务商英文为 Internet Content Provider 简写为ICP,ICP许可证全称是《中华人民共和国增值电信业务经营许可证》,主要是指利用网上广告、代制作网页、出租服务器内存空间、主机托管、有偿提供特定信息内容、电子商务及其它网上应用服务等方式获得收入的ICP。根据中华人民共和国国务院令第291号《中华人民共和国电信条例》、第292号《互联网信息服务管理办法》(简称ICP管理办法),国家对提供互联网信息服务的ICP实行许可证制度。
ICP证是网站经营的许可证,根据国家《互联网信息服务管理办法》规定,经营性网站必须办理ICP证,否则就属于非法经营。
ICP根据《互联网信息服务管理办法》,违反本办法的规定,未取得经营许可证,擅自从事经营性互联网信息服务,或者超出许可的项目提供服务的,由所在地电信管理机构责令限期改正,有违法所得的,没收违法所得,处违法所得3倍以上5倍以下的罚款;没有违法所得或者违法所得不足5万元的,处10万元以上100万元以下的罚款;情节严重的,责令关闭网站。
2.EDI许可证。根据《互联网信息服务管理办法》第三条规定:“互联网信息服务分为经营性和非经营性两类”;第四条规定:“国家对经营性互联网信息服务实行许可制度;对非经营性互联网信息服务实行备案制度。未取得许可和或者未履行备案手续的,不得从事互联网信息服务。”而互联网涉及利用各种与通信网络相连的数据与交易、事务处理应用平台,通过通信网络为用户提供在线数据处理和交易、事务处理业务的,根据《电信业务分类目录》,属于第B21类增值电信业务的范畴,应办理增值电信业务经营许可证(简称EDI经营许可证)。
我国《刑法》第二百二十五条规定,违反国家规定,有下列非法经营行为之一,扰乱市场秩序,情节严重的,处五年以下有期徒刑或者拘役,并处或者单处违法所得一倍以上五倍以下罚金;情节特别严重的,处五年以上有期徒刑,并处违法所得一倍以上五倍以下罚金或者没收财产:
(一)未经许可经营法律、行政法规规定的专营、专卖物品或者其他限制买卖的物品的;
(二)买卖进出口许可证、进出口原产地证明以及其他法律、行政法规规定的经营许可证或者批准文件的;
(三)未经国家有关主管部门批准非法经营证券、期货、保险业务的,或者非法从事资金支付结算业务的;
(四)其他严重扰乱市场秩序的非法经营行为。
通过个人信息交换促成交易的互联网平台公司在设立时如未办理上述两证,特别是EDI许可证,有可能涉嫌非法经营罪。
二、客户信息的收集阶段可能涉及的刑事风险
(一)收集客户信息的基本原则
互联网服务平台涉及到客户信息的收集。根据《网络安全法》第41条“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
从上述规定来看,国家提出了对个人信息收集的底线要求,即合法收集原则,最小必要原则和明示同意原则。具体而言,合法性原则要求收集方充分告知信息主体相关数据收集使用的情况、不涉及非法获取、购买个人信息的情形,从第三方获取的个人信息,同样需满足上述要求。
最小必要原则,要求收集的个人信息类型应与实现产品或服务的功能直接关联,即没有该信息的参与,则产品或服务的功能无法实现;自动采集个人信息的频率应是实现产品或服务的功能所必须的最低频率;间接获取个人信息的数量应是实现产品或服务的功能所必须的最少数量。
明示同意原则,要求收集方的收集使用,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经信息主体的同意。同时上述法律规定也规定了收集方不得收集与服务无关的个人信息。因此,互联网服务的平台公司在客户注册时收集客户的信息,但在收集客户信息时应当做到明确告知以及提示,严格遵守“知情-同意”的原则。在直接收集个人信息前,平台应通过隐私政策文件明确收集使用的目的、用途、规则、收集的信息类型、收集方式和频率、存放地域和期限、安全保护等有关情况,让客户享有知情权,且隐私政策文件应当单独成文、易于访问、方便客户阅读。否者,容易产生法律纠纷,并有可能存在侵犯个人信息犯罪的刑事风险。
(二)收集个人信息可能涉嫌侵犯个人信息犯罪
我国《刑法》第二百五十三条之一为“侵犯公民个人信息罪”,根据此条规定,违反国家有关规定,向他人出售或者提供公民个人信息情节严重的,窃取或者以其他方法非法获取公民个人信息的,处有期徒刑或者拘役,并处或者单处罚金。
1.关于公民个人信息的范围。《刑法》第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
2.关于收集个人信息行为方式的分析。侵犯公民个人信息的行为模式主要有两种,一是非法获取;二是非法出售或者提供。所谓非法是指违反法律、行政法规、部门规章有关公民个人信息保护的规定,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。平台收集公民个人信息是按照“明示同意授权”的方式进行。依据《网络安全法》的相关规定,关键点在于是否明示了信息的使用,即是按照“明示同意授权”的方式进行收集,如果没有明示,未遵守“知情-同意”原则,却在收集后用于明示的用途之外,则有可能被司法部门认定为非法获取。
3.关于信息使用用途和范围。信息的使用应当限制于促成交易。若平台方将运营过程中收集的公民信息交由他人(不论是否获利),属于《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条第二款规定的:未经被收集人同意,将合法收集的公民个人信息向他人提供。该行为涉嫌侵犯公民个人信息罪。
三、数据保护阶段及有可能的刑事风险
(一)数据保护的要求与合规建设
互联网服务平台因信息交互性质,需收集大量数据,在客户信息数据保护方面,国家也出台了相关的法律法规对数据予以保护。2017年6月1日实施的《网络安全法》,2020年6月1日实施的《网络安全审查办法》,2021年9月1日实施的《数据安全法》以及《关键信息基础设施安全保护条例》(“《关键设施条例》”)相继落地实施,我国法律法规对保障数据安全、网络安全的管理措施和技术措施均作出了严格的规定。出于国家法律法规对数据保护的要求,我们建议平台数据可与国内保密性能高的IDC运营商合作,由IDC运营商对客户数据对储存、处理提供专业的服务,以避免因技术、管理的疏漏导致客户数据泄露的风险而担责。
如平台公司确需自己储存客户信息,则需要依照《网络安全法》《数据安全法的要求》进行以下内部管理制度的完善。
1.在公司内部设置专门负责人。这一措施面临有可能形成诉讼或涉嫌刑事风险时证明公司“已尽到充分合理注意义务”。
2.建立完善、健全全流程数据安全管理制度和操作规程。公司内部建立一套完善的个人信息合规管理制度和操作规程,一方面有助于降低公司数据泄露或不当处理个人信息的风险,另一方面也可以在未来个人信息侵权事件中或执法检查或涉及刑事追责时证明企业已采取必要的措施保护个人信息。
3.建立个人信息数据分级管理与保护制度。不同类型的数据,风险等级不同。公司严格按照“明示同意授权”的方式进行采集,主动明确告知收集数据的范围、目的及用途。基于场景的“知情-同意”原则,与产品或服务无关的用户个人信息不得采集,当处理个人信息的事项发生变更时,企业应当重新取得用户同意并且明确告知风险以及信息处理的目的。
4.组织开展数据安全培训教育。在必要之时能证明“已尽到充分合理注意义务”。
5.采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;制定数据活动风险监测机制,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。
6.制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
上述合规建设在一定程度上需要专业的律师团队结合平台公司的业务特点予以帮助,参与完善相关制度并负责培训公司员工对数据保护工作落到实处。
(二)数据保护阶段有可能涉嫌的犯罪
1.拒不履行信息网络安全管理义务罪
《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。我国《刑法》第二百八十六条之一规定:网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。
如网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户信息泄露造成严重后果的,或有其他严重情节的,处有期徒刑、拘役或者管制,并处或者单处罚金。单位具有上述情节之一的,构成单位犯罪,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照上述规定处罚。
对于如何认定“经监管部门责令采取改正措施而拒不改正”以及“致使用户信息泄露造成严重后果”,在《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》的第二条中已对认定构成“监管部门责令采取改正措施”予以明确,是指网信、电信、公安等依照法律、行政法规的规定承担信息网络安全监管职责的部门,以责令整改通知书或者其他文书形式,责令网络服务提供者采取改正措施。并规定认定“经监管部门责令采取改正措施而拒不改正”,应当综合考虑监管部门责令改正是否具有法律、行政法规依据,改正措施及期限要求是否明确、合理,网络服务提供者是否具有按照要求采取改正措施的能力等因素进行判断。在上述司法解释第四条中对于“致使用户信息泄露造成严重后果”的认定上,也作了明确的认定。
2.帮助信息网络犯罪活动罪
根据《刑法》第二百八十七条之二的规定,明知他人利用平台信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。如有证据证明平台公司或其员工明知他人利用平台信息网络实施犯罪,仍实施前述行为的,有可能涉嫌犯帮助信息网络犯罪活动罪被追究刑事责任。
综上,企业数据合规建设对于互联网平台公司而言尤为重要,合规建设是一系统工程,刑事风险仅是其中一个方面,只有严格遵守我国的法律法规,注意保护个人信息安全,当下很多涉及个人信息、数据安全企业才能得到更安全和健康的发展。
(作者简介:熊潇敏,1973年10月出生, 北京大成(南宁)律师事务所执行主任、诉讼与仲裁部部长、刑辩委主任、高级合伙人律师,大成刑辩专业委员会理事,第十届广西律师协会理事、教育专门委员会主任、刑事专业委员会委员,广西区人民政府法律顾问人才库成员,经广西律师协会区直专业律师评审委员会评定为刑事专业、公司法专业律师,获2011-2014年度“广西优秀律师”、2015-2019年度“广西优秀律师”称号。)