摘要:大資料背景下,資料合規成為與反商業賄賂合規、出口管制合規等並列重要的合規專案。不論是網際網路型別企業,還是其它型別企業,甚至包括政府機構,資料合規都成為企業合規中最重要的部分之一。在刑事責任上,資料不合規主要會導致破壞計算機資訊系統罪,拒不履行資訊網路安全管理義務罪,幫助資訊網路犯罪活動罪、非法利用資訊網路罪,提供侵入、非法控制計算機系統程式、工具罪和侵犯公民個人資訊罪等。這些罪名涉及到資料來源、儲存和使用、流轉中的合規問題。本文主要透過識別資料風險、分析實際案例、設定資料合規基本正規化來探討資料合規內容。對於網際網路企業日常經營來說,恰當的資料合規可以阻卻刑事責任,對於最高檢合規不起訴試點地區已經出現資訊網路犯罪、資料犯罪類犯罪情況的企業,在提起公訴階段,可以申請引入第三方監管機制對企業進行專項資料合規以達到合規不起訴的效果。
關鍵詞:企業合規;資料合規;風險識別;合規不起訴
隨著大資料、網路技術的不斷髮展和應用,包括從事傳統經營活動在內的企業,都將不可避免的融入大資料的滾滾浪潮,而資料合規也已不再僅是網際網路、電子商務等企業需要關注的問題。特別是隨著《資料安全法》、《個人資訊保護法》等法律的頒佈施行,只要涉及到資料、資訊的蒐集、儲存、使用等活動的企業,都需要高度重視資料合規,特別需要重視資料不合規所引發的刑事法律風險。
我國近兩年釋出了大量有關電子資訊管理、資料合規的規範性檔案。2021年11月1日生效的《個人資訊保護法》、2021年9月1日生效的《資料安全法》、2017年6月1日生效的《網路安全法》,以及散落的各項規範性檔案都顯示出目前我國並不缺乏資料合規的法律法規基礎,但由於規定繁雜且並不統一,效力有差別,導致實踐中企業難以識別資料風險並形成規範的資料合規模式。
一、資料收集的風險
根據《資料安全法》第三條:本法所稱資料,是指任何以電子或者其他方式對資訊的記錄。資料的範圍較為廣泛,對於企業日常經營來說,資料收集的風險,主要在於使用者個人資訊資料的收集和流量資料的收集。
使用者個人資訊對於網際網路企業來說如夏娃之果,獲取大量使用者資訊是網際網路企業經營的第一步。個人資訊的收集和處理是網際網路平臺提供互動服務的基礎。然而,由於大型網際網路平臺在電商、物流、營銷等領域互相交叉,涵蓋了購物、出行、住宿、支付轉賬、投資理財、公益等數以百計的場景,消費者在大型網際網路平臺面前越來越成為“透明人”。相當一部分網際網路平臺的競爭優勢正是建立在資料優勢基礎上,而資料與消費者個人資訊密切相關。
不當獲取使用者個人資訊極易觸犯法律,例如超範圍收集個人資訊,強制、頻繁、過度獲取使用者個人許可權等等。2020年7月22日中央網信辦、工業和資訊化部、公安部、國家市場監管總局四部門啟動App違法違規收集使用個人資訊治理工作,制定印發了《App違法違規收集使用個人資訊行為認定方法》、《App違法違規收集使用個人資訊自評估指南》等政策規範,以促進網際網路企業自查收集使用者個人資訊資料合規。常見的資料收集風險主要有利用非法軟體收集資料和使用不規範SDK兩種。
(1)利用非法軟體收集資料
在眾多違規收集使用者個人資訊的行為中,利用非法軟體盜竊使用者個人資訊資料和劫持流量資料這兩種行為極易引發刑事法律風險。瑞智華勝及其相關人員曾因利用非法軟體收集資料被判非法獲取計算機資訊系統資料罪,法定代表人周某被判處三年半的有期徒刑,瑞智華勝被判處罰金1000萬。[1]
瑞智華勝是網際網路新媒體營銷解決方案提供商,透過運營自媒體賬號與網際網路使用者互動,利用大資料分析和優質內容製作不斷積累活躍使用者的數量,以此來提高營銷推廣範圍和營銷質量。但2018年瑞智華勝公司涉嫌非法竊取使用者個人資訊30億條,涉及百度、騰訊、阿里、京東、新浪和今日頭條等全國96家網際網路公司產品,幾乎涵蓋了國核心心的網際網路企業。
瑞智華勝進行個人資訊盜竊的方式,主要是瑞智華勝及其關聯公司在與正規運營商合作中,先和運營商簽訂正規合同、拿到登入憑證,然後將非法程式置入用於自動採集使用者cookie、手機號等資訊。cookie是使用者在運營商上留存的上網記錄,透過技術手段技術人員可以從中提取公民個人資訊、相關賬號密碼、搜尋的關鍵詞等內容。瑞智華勝非法資料來源包括電信、移動、聯通、鐵通、廣電等11個省市的運營商,這些運營商均與瑞智華勝簽署過合作協議。
瑞智華勝曾利用SD程式執行後,可以實現對指定網絡卡網路傳輸流量資料包進行獲取並解析的功能,對淘寶使用者個人資料盜竊。淘寶爬蟲程式執行後可以繞過系統保護措施,提取出淘寶訂單資訊;淘寶加粉程式執行後可以實現繞過系統保護措施獲取使用者資訊,並對指定淘寶賬號新增好友等等。在劫持資料後瑞智華勝還會進行爬取、還原等,為了不被發現該公司專門購買了3萬多個IP地址用於頻繁爬取。
警方梳理瑞智華勝簽訂過的合同發現,其利用上述非法手段不但給自己運營賬號加粉,還承接外來加粉、加關注和提升百度搜詞排名等業務。
在網際網路型別公司成立初期,使用非法程式和非法軟體獲取使用者個人資訊資料能夠有效、快速降低經營成本,但這種降低經營成本方式的代價就是觸犯法律,徹底摧毀企業的安全生存環境,使企業難以可持續發展。
(2)使用不規範SDK
除利用非法程式或軟體收集使用者cookie、手機號等隱私資訊,SDK作為侵犯使用者隱私、流量劫持的重災區,被網信辦等四部門重點執法檢查。
SDK指Software Development Kit,即軟體開發工具包,是一種標準化程式模組,其主要功能涉及到系統登入,資料收集、統計、推薦,支付,地圖應用等等。在App中使用SDK成本低廉,為了鼓勵使用其系統或者語言,許多SDK是免費提供給App開發者的,故大多數App開發者會大量使用SDK。
根據南都個人資訊保護研究中心2019年釋出的《常用第三方SDK收集使用個人資訊測評報告》,所選取的60款APP共使用了至少966個SDK,去掉重複項後,60款App共使用了至少113個不同的SDK,使用最廣泛的SDK來自頭部網際網路公司。[2]
但SDK的簡便性導致很多企業在APP中直接引用預設好的SDK,而有部分SDK存在隨意收集使用者個人資訊、侵犯使用者個人隱私、劫持流量、惡意推送的情況,導致企業經營過程中因SDK私自增加的功能違法犯罪。如去年315晚會上曝光了北京招彩旺旺資訊科技有限公司和上海氪信技術科技有限公司開發的SDK存在在使用者不知情的情況下,私自竊取使用者隱私,包括裝置的IMEI、IMSI、應用安裝列表、電話、通訊記錄等等。
另外部分惡意SDK會劫持流量,使用者一旦使用,其網路訪問路徑可能會被劫持到特定渠道,更有甚者,惡意SDK會在後臺默默執行,訪問使用者未曾看過的網站、瀏覽特定資訊。
一旦網際網路企業使用了不規範的SDK,在日常經營中也未盡足夠的注意義務,可能涉嫌拒不履行資訊網路安全管理義務罪,幫助資訊網路犯罪活動罪、非法利用資訊網路罪等。
二、資料儲存和使用的風險
(1)為犯罪團伙提供資料服務
據公安部通報,“淨網2019”專項行動的成果之一是搗毀了一批為“套路貸”提供技術、資料服務的科技公司。[3]公安機關將對網路“套路貸”犯罪涉及的技術服務商、資料支撐服務商、支付服務商、推廣服務商等進行了生態式、全鏈條打擊。其中大資料服務商涉及許多科技公司。
其中某某科技公司爬蟲類產品利用非法獲取的公民個人資訊為網際網路放貸機構提供風險測評,案發後,該公司關閉此項業務。
資料處理服務本是高速發展的新興產業,但一些科技資訊公司、資料服務公司、第三方支付公司卻淪為網路“套路貸”犯罪工具和幫兇。這其中就有資料服務公司對合作公司審查不嚴,未做商業夥伴合規的原因。
除了資料處理服務外,還有提供撥號VPS服務的網際網路公司,VPS簡單來說就是虛擬伺服器,基於主伺服器利用技術將主機分化成多個具有獨立IP地址的伺服器系統。對於取得行政許可的提供該服務的網際網路公司來說,面臨兩個風險,一是日常經營不規範存在跨區域“轉包”可能涉嫌非法經營罪,二是撥號VPS的銷售物件為犯罪團伙或者是黑色產業從業者,可能涉嫌幫助資訊網路犯罪活動罪。
(2)忽略資料安全風險
《資料安全法》第四章明確了資料安全保護義務。根據該法,利用資訊網路開展資料處理活動的企業應當履行資料安全保護義務。
同時《個人資訊保護法》專門將個人資訊中的敏感個人資訊劃分出來,將敏感個人資訊的處理規則單獨作為一章。兩高司法解釋對“致使使用者資訊洩露,造成嚴重後果”的規定,也強調了對個人敏感資訊的保護。
2020年3月新浪微博因使用者查詢介面被惡意呼叫導致App資料洩露問題,工業和資訊化部網路安全管理局對新浪微博相關負責人進行了問詢約談。[4]工信部要求新浪微博儘快完善隱私政策,規範使用者個人資訊收集使用行為,並加強使用者資訊分類分級保護,加強企業內部資料安全管理,定期及新業務上線前要開展資料安全合規性評估,在發生重大資料安全事件時,及時告知使用者並向主管部門報告。
跟資料安全相關的罪名有拒不履行資訊網路安全管理義務罪,在該罪的四類嚴重後果中,致使違法資訊大量傳播、致使使用者資訊洩露可以說是網際網路公司最常面臨的緊急事態。
三、資料流轉的風險
《資料安全法》第十九條:國家建立健全資料交易管理制度,規範資料交易行為,培育資料交易市場。
《網路安全法》第四十二條:網路運營者不得洩露、篡改、毀損其收集的個人資訊;未經被收集者同意,不得向他人提供個人資訊。但是,經過處理無法識別特定個人且不能復原的除外。
從上述規定看到,我國並不禁止資料交易,在資料流轉過程中,容易出現風險的往往是涉密資訊流轉,其中個人資訊流轉最容易出現風險。《個人資訊保護法》在第五章詳細描述了個人資訊處理者的義務。對於個人資訊來說,銷售個人資訊要麼須經過被收集者同意要麼達到足夠的保密要求。
雖然我國並不禁止個人資訊的資料買賣,但因為個人資訊資料買賣門檻較高,在未取得被收集者同意或處理個人資訊未達到足夠保密要求的情況下買賣個人資訊顯然涉嫌侵犯公民個人資訊罪。
另外在《個人資訊保護法》中第二十一條規定了個人資訊委託處理的方式,雖然對於企業來說委託處理個人資訊資料相比上述兩種個人資料處理要求限制更少,但仍需滿足一定條件,需要企業在開展資料交易時進行嚴格的合規審查,否則同樣涉嫌侵犯公民個人資訊罪。
國內網際網路公司特大侵犯個人資訊案件為資料堂事件。資料堂成立於2011年,被稱為“國內首家大資料交易平臺”,該案被山東警方全面起底,從源頭公司到中轉商再到下游使用者,共11家公司牽涉其中。其中,資料堂多名員工處於鏈條中資訊流轉的重要環節。該公司營銷產品線在運營時,由資源合作部購入資料,該案某被告之一所在的資源平臺部負責接收資料,並將資料放入公司叢集。另一被告所在的技術組根據產品組要求,將叢集上的資料根據使用者興趣、愛好等分別打上不同標籤,之後依據客戶需求向其傳輸資料。多名被告人被判處侵犯公民個人資訊罪,其中最高刑期為有期徒刑三年。[5]
在該案判決書中,公訴機關向費縣法院提起公訴後,費縣法院依法作出了(2018)魯1325刑初63號補充起訴建議函,建議公訴機關補充起訴資料堂公司為單位犯罪,但公訴機關未予接受。資料堂公司該條產品線高管被認定為主犯,案發後資料堂關閉兩條相關產品線。自此資料流轉相關產品線成為各網際網路型別公司“高壓”業務。
實踐中還有大資料公司為規避風險,在資料銷售過程中,將涉及公民隱私的資料拆分成不同部分,每段均無法識別到個人,到了需求端再自行整合起來,形成對個人的完整資料。這類技術規避行為,事實上亦涉嫌侵犯公民個人資訊罪。
四、資料合規的基本正規化
《資料安全法》、《個人資訊保護法》均分別對在我國境內開展資料處理活動和處理自然人個人資訊活動的行為人的應盡義力、責任,作了詳細規定,且均在法律責任章節中從民事、行政的角度,對違反相關資料安全、個人資訊保護義務的行為,規定了嚴格的法律責任。對於某些特別嚴重的違法行為,甚至分別規定了最高可達一千萬和五千萬的罰款,以及吊銷相關業務許可或吊銷營業執照等剝奪從業資格的嚴厲處罰。
我國刑法更是針對非法侵入計算機系統、非法獲取計算機資訊系統資料、拒不履行資訊網路安全管理義務、非法利用資訊網路、幫助資訊網路犯罪活動等行為,設定了專門的罪名,許多罪名均規定了單位犯罪,某些嚴重的刑事犯罪,責任人可能會承擔最高至七年的有期徒刑。
從以上立法趨勢可以看出,國家對於資料安全、公民個人資訊保護將採取更加嚴格的強監管。
而時至今日,資料、資訊、計算機系統,早已不為網際網路企業所特有。因此,不僅是以資料處理為主要業務的網際網路公司,甚至包括大量從事傳統經營業務的企業,只要是涉及到資料處理、公民個人資訊處理的活動,均需高度重視和建立專項的資料合規制度,或是將資料合規作為企業合規制度中的重要一環,以期最大可能降低自身的民事、行政和刑事法律風險。
從這一角度說,資料合規不僅是保護使用者更是保護企業本身。
對於已構成犯罪的網際網路型別企業,特別是合規不起訴改革試點地區滿足條件的企業,可以向當地檢察機關申請企業合規不起訴。對於檢察機關來說,資料合規作為企業專項合規之一,對網際網路型別企業極具有針對性,且《App違法違規收集使用個人資訊行為認定方法》、《App違法違規收集使用個人資訊自評估指南》等政策規範可以幫助檢察機關對企業合規的有效性進行監督評估。可以說資料合規是最佳化網際網路型別企業營商環境的必由之路,以下為企業提供資料合規的基本正規化。
(1)企業決策層的重視
健全的資料合規體系應當包括高層重視、制度建設、合規組織、合規資源、風險評估、流程管控、培訓溝通這七個要素。在這七要素中,首當其衝的應當是高層重視。這代表著企業的決策層,認同並堅守合規經營的決心與態度,反映了企業的經營理念,也決定了企業是“真合規”還是“假合規”的問題。
對於高層重視來說,中興明確了“在商業自由度和商業可持續之間,中興通訊選擇商業可持續”[6]的商業理念,中興設定了《合規管理委員會章程》,高層管理者只能根據該章程的議事規則和流程參與合規規劃、重要規範檔案和重大合規事項的決策和建議。並且高層管理者直接對其所管轄業務的合規性負責。
企業決策層應當就資料合規作出統一宣告,並在企業內部進行公示,表明態度並使全員知曉。除此之外,企業還應建立具有足夠資源和許可權的專門合規部門。合規部門的負責人應當是企業中具有較高決策與話語權的高層領導。
對此《個人資訊保護法》也作了類似規定。第五十二條規定:“處理個人資訊達到國家網信部門規定數量的個人資訊處理者應當指定個人資訊保護負責人,負責對個人資訊處理活動以及採取的保護措施等進行監督。”第五十三條規定:“本法第三條第二款規定的中華人民共和國境外的個人資訊處理者,應當在中華人民共和國境內設立專門機構或者指定代表,負責處理個人資訊保護相關事務,並將有關機構的名稱或者代表的姓名、聯絡方式等報送履行個人資訊保護職責的部門。”該法第五十八條甚至規定,對於提供重要網際網路平臺服務、使用者數量巨大、業務型別複雜的個人資訊處理者,應當成立主要由外部成員組成的獨立機構對個人資訊保護情況進行監督。
從企業合規評估的層面看,上述宣告與機構設定也是反映企業是否切實合規的重要判斷依據。
(2)建設資料合規制度
實踐中建立資料合規體系應基本包括以下內容。
資料合規制度的內容應既包括企業內部與資料相關的業務描述,也應實時更新有關資料合規的規範性檔案。並且應當詳細描述合規管理架構和層級,建立合理的合規系統,以及具體的合規條款。企業根據識別出的相應資料風險,在資料合規制度中建立起從資料來源頭到資料儲存、使用再到資料流轉的完整合規流程,主要有以下流程。
健全合規組織,設定資料合規人員。對於資料處理部門,企業應設定足夠的合規專員,以滿足企業資料合規的需要,並需合理確定部門內部個人資訊等資料處理許可權,實行資料使用權和管理權分離制度。
建立企業資料分級分類制度。在不同的規範性檔案中,不同型別資料資訊有不同的處理規則,資料處理者有不同的處理義務。例如《個人資訊保護法》對個人資訊進行了定義,並規定個人資訊中又包含敏感個人資訊和普通訊息。
該法第二十八條規定:“敏感個人資訊是一旦洩露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人資訊,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等資訊,以及不滿十四周歲未成年人的個人資訊。只有在具有特定的目的和充分的必要性,並採取嚴格保護措施的情形下,個人資訊處理者方可處理敏感個人資訊。”
而2020年3月6日,由國家市場監督管理總局、國家標準化管理委員會分佈的《資訊保安技術個人資訊保安規範》也對個人資訊、敏感個人資訊作了大致相同的規定。
企業在進行資料合規時,則需首先對資料資訊依照上述法律規定和行業標準,按照更加嚴格、全面的標準進行分級分類,以便採取相對應的合規處理流程。對於前述規定中的敏感個人資訊,“包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等資訊”,應當被歸為更高一層級資料庫。
《個人資訊保護法》第二章第二節單獨規定了敏感個人資訊的處理規則,其中第二十九條規定,處理敏感個人資訊應當取得個人的單獨同意;法律、行政法規規定處理敏感個人資訊應當取得書面同意的,從其規定。對於敏感個人資訊來說,“單獨同意”條款可能意味著網際網路企業無法透過一攬子格式條款獲取授權處理。那麼對於該型別資料屬於法律規定的強制合規內容,就應當在日常經營中按照法律規定合規,並儲存合規痕跡。
制定統一的資料管理規則。從資料來源頭開始關注資料質量、資料清潔度,對於達到合規標準的資料錄入淨資料庫,對於有風險資料則不宜與淨資料庫資料混同。可參考華為資料湖模式,華為在數字化轉型過程中提到要提升資料質量,建立清潔可靠的資料來源,形成清潔、完整、一致的資料湖,並設定了兩種入湖方式,六項入湖標準,用以保證資料質量。[7]
準備詳細的補救預案。對於可能發生的資訊保安事故,如資訊洩露、外部攻擊等,設定完整有效的補救措施,並能夠設立通道迅速通知資料安全職責部門以及相關行政機關。
(3)建立企業資料安全的動態評估
《個人資訊保護法》第五十四條規定:“個人資訊處理者應當定期對其處理個人資訊遵守法律、行政法規的情況進行合規審計。”
該法第五十五條還規定:“有下列情形之一的,個人資訊處理者應當事前進行個人資訊保護影響評估,並對處理情況進行記錄:
(一)處理敏感個人資訊;
(二)利用個人資訊進行自動化決策;
(三)委託處理個人資訊、向其他個人資訊處理者提供個人資訊、公開個人資訊;
(四)向境外提供個人資訊;
(五)其他對個人權益有重大影響的個人資訊處理活動。”
實際上上述法律規定,對於企業資料合規來說,正是企業資料安全動態評估的重要內容之一。企業只有建立動態的資料合規制度,定期或有針對性地不斷對企業資料資訊進行合規審計與評估,才能真正做到將國家的監管要求內化為企業內部的管理行為,才能真正的防範風險。
具體包括:
事前風險評估。比如對於上述個人資訊的處理,企業應當依照法律規定,建立事前的資料影響評估制度並切實履行。企業資料是不斷變化的,企業則應當建立相應的資料動態評估制度。只要是屬於重點評估範圍的資料,都需要進行相應的事前風險評估。
除資料風險評估之外,企業還需在進行相關的資料提供、資料合作方面進行合作方的安全審查。資料收集和資料流轉都涉及到第三方商業夥伴,一旦經營中使用不規範SDK或與不合規的商業夥伴甚至是犯罪團伙合作,那麼企業將面臨極大風險,涉嫌幫助資訊網路犯罪活動罪、非法利用資訊網路罪等。對第三方商業夥伴進行盡職調查並進行風險提示既可以減少未知風險又可以在第三方企業犯罪時,儘可能切割企業責任。企業對第三方商業夥伴的調查與評估,還應注意書面留痕,儲存好相關證據。
事中風險提示。企業資料合規部門,應當定期對企業產品功能、收集使用個人資訊情況、第三方外掛明細、隱私政策完整性等進行審查並出具資料風險評估自查報告,自查報告應彙總到合規人員或部門審查留檔。
事後風險整改。合規人員或部門進行相應的風控推演,對部門作出風險提示,觸發法律風險的部門應積極整改,整改過程應當留檔備查。
若企業已經被行政處罰,那麼企業的風險等級最高,忽略執法檢查結果或行政處罰決定書,可能會導致企業犯罪。例如構成拒不履行資訊網路安全管理義務罪中規定前提條件,即為“經監管部門責令採取改正措施而拒不改正”。而在合規不起訴過程中,企業執法檢查不透過或收到處罰決定書可能會直接導致合規不起訴失敗。這就意味著企業若忽略行政機關的執法檢查時,犯罪風險大大增加。因此,對於企業而臨執法檢查或已被行政處罰時,企業合規部門(包括企業決策層)需高度重視,應按要求進行堅決的整改,並對企業整改情況進行評估,以防止由行政法律風險演變為刑事法律風險。
(4)加強全部門資料合規培訓宣講
《資料安全法》、《個人資訊保護法》均明確規定了支援和要求開展資料安全、資訊保護方面的宣傳教育。
對於企業資料合規業說,這一工作不僅是法定義務,更是構建資料合規工作體系的重要步驟,以及劃分企業責任與員工個人行為的重要判斷依據。
近年出現部分企業內部工作人員缺乏合規意識,做出違法犯罪行為,導致公司遭受巨大損失的案件,均一再說明,合規培訓宣講是企業合規理念深入企業內部,企業高層的合規意願轉變為企業員工合規行為的重要工作。
企業在進行資料合規工作過程中,應當定期向全體工作人員開展資料合規培訓,向特殊員工如新員工、營銷部門、技術人員、高管等展開定期專項合規培訓。當合規政策、法律法規發生變化時,展開相應宣傳和講解。並透過簽署合規告知書、合規承諾書、組織員工進行資料合規考核、發放合規手冊等方式,以增強員工合規意識,規範員工經營行為,建立企業合規文化。
企業在進行資料合規宣傳培訓時,還需重視相關工作的留痕、留檔,員工簽署的合規告知書、合規承諾書、合規考試試卷,都是企業進行合規建設和管理,建立企業資料合規風險防火牆的重要依據,可以在員工犯罪時,有效切割企業和員工的責任。
(5)持續資料合規監督和舉報
除了在企業建立自上而下的各項資料合規制度以外,企業還需建立內部職工、甚至是客戶的投訴舉報制度。
對於企業重要部門配備合規專員,定期由合規部組織合規專員單獨開會和學習,並要求其注意觀察企業資料處理中的相關問題,以便及時發現合規隱患。
同時,企業也應鼓勵內部員工及時反映資料處理過程中存在的問題,並暢通內部員工的反映渠道。對舉報違規的員工予保密措施並進行嘉獎。同時合規團隊按企業實際情況,每半年或每年對企業進行合規審計,根據舉報線索和審計結果作出整改建議,對相關人員作出是否紀律處分建議。
對於企業使用者方面,企業也應建立使用者投訴、舉報平臺。例如,對於已開發APP的網際網路企業,可以面向使用者設定投訴舉報功能,以便於企業使用者就涉及個人資訊保護、資料安全等方面的問題,及時向企業進行投訴。實踐中,企業的及時主動處理,有利於企業及時化解資料合規風險,掌握主動。
- 參見(2019)浙0602刑初636號刑事判決書。
- 參見蔣琳:《常用第三方SDK收集使用個人資訊測評報告》,載微信公眾號“隱私護衛隊”2019年7月23日,https://mp.weixin.qq.com/s/oJs4MWJrUjvD7RpoZus65w。
- 參見石楊:《公安部召開“淨網2019”十大叢集戰役總結會71個單位和200名個人受表彰》,載中國人民公安部網站2019年12月31日,https://www.mps.gov.cn/n2254098/n4904352/c6845987/content.html。
- 參見網路安全管理局:《網路安全管理局就新浪微博App資料洩露問題開展問詢約談》,載中華人民共和國工業和資訊化部網站2020年3月24日,https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2020/art_3e63cea18ebb4a9796db087d09a84c80.html。
- 參見(2018)魯13刑終549號刑事判決書。
- 申楠:《中興通訊首席法務官申楠談合規治理》,載中興官網2019年4月24日,https://www.zte.com.cn/china/about/magazine/zte-technologies/2019/4-cn/2/2。
- 參見華為公司資料管理部:《華為資料之道》,機械工業出版社2020年版,101-116頁。
