原标题:2020年网络犯罪人数增47.9%数据合规成企业命门
3月14日,在北京大学企业与公司法研究中心、清华大学商业犯罪研究中心等机构主办的首届“星来企业刑事合规的理论与实践”论坛上,最高法研究室处长喻海松提及数据犯罪,称很多涉罪企业在工作中只求对数据的收集,而未考虑这些数据的获取是否存在刑事风险。
就在一周前,最高法院工作报告、最高检察院工作报告提请十三届全国人大四次会议审议,“两高”报告中指出,在刑事案件总量下降的背景下,2020年全国检察机关起诉网络犯罪人数14.2万人,同比上升47.9%;全国法院审结网络诈骗、网络传销、网络赌博、网络黑客、网络谣言等犯罪案件3.3万件。这组数据也引发了广泛关注。
中国人民大学法学院教授刘品新告诉记者,当前任何企业发展都离不开数据,在使用数据时,如果法律界限不清晰,企业又缺乏合规体系,可能面临刑事风险。
“轻视”数据催生犯罪
数据是流转的“黄金”,也是数字经济和信息社会的核心资源。
《2020年中国大数据产业发展白皮书》显示,2019年中国大数据产业规模达5397亿元,同比增长23.1%。伴随着5G和物联网的发展,业界对更为高效、绿色的数据中心和云计算基础设施的需求越发旺盛,大数据基础层持续保持高速增长,预计2020年整体规模可达到6670.2亿元,到2022年可突破万亿元。
在庞大的产业背后,数据的规制与运用存在着风险。
“这几年我接触了比较多的网络犯罪,特别是数据犯罪,发现很多涉罪的数据企业员工只想着企业能不能更快、更多地拿到数据,根本没考虑到这些数据的获取是否有风险,特别是刑事风险。”喻海松表示。
对数据的“轻视”一定程度上也催生了犯罪。除却上述两高报告的数据,今年1月,最高检检察委员会委员、第四检察厅厅长郑新俭在发布会上表示,2019年以来,共起诉帮助信息网络犯罪活动、非法利用信息网络、侵犯公民个人信息犯罪等案件1.1万余件2.7万余人。
这些犯罪数字背后,隐含着庞大的数据漏洞,比如今年1月江苏丹阳警方侦破一起公安部督办的侵犯公民个人信息案,涉及10多个省市,抓获犯罪嫌疑人30名。该团伙采用境外聊天工具和区块链虚拟货币收付款,共贩卖个人信息6亿余条,违法所得800余万元。
星来律师事务所合规法律服务中心主任王唯宁告诉21世纪经济报道记者,目前企业及个人对数据的重要性及泄露后的风险性缺乏认识。“一方面,人们倾向于为了眼前的便利而容忍未来不利的可能性;另一方面,即使数据泄露,对人们正常生活的影响似乎还处于可以容忍的状态。”
数据问题是一个时代命题
如何对数据进行合理的规制与使用?目前数据产权的归属仍是难点。“数据具有天然的复杂性。”刘品新说,也是一个时代命题。
王唯宁表示,数据权包含人身权、隐私权范畴,权利主体对产生于其自身或与其本人有关的数据享有人格权利益;也包含财产权,权利主体能够直接支配特定的数据财产并排除他人干涉的权利,其权能包括数据财产权人对自己的数据财产享有的占有、使用、收益、处分的权利。
从数据持有角度来看,刘品新表示,数据主要掌握在国家机关、平台,个人持有的数据量级很少。数据产权究竟是谁的?不是简单地划给国家、平台。“比如说阿里、腾讯等平台搜集了个人的数据,如果法律规定数据属于平台的,个人肯定不同意,但如果不属于平台,个人也无法控制,个体本身甚至可能都不知道自己被获取了多少数据。”他解释道。
“我认为,应将个人信息共享主导权把握在消费者手里,避免平台独占消费者个人信息;同时综合衡量平台企业的市场地位、商业利益、数据处理场景及消费者的个人信息权利,合理精准确定数据可携带权的行使范围。”全国政协委员、重庆静昇律师事务所主任律师彭静告诉21世纪经济报道记者。
她表示,个人信息在不同平台上进行共享,在技术上不存在障碍,可以通过企业技术合作和行业规范等多种方式实现。
企业的数据合规成为“命门”
对数据收集、存储、移送、加工、使用等全链条设立规则非常关键。
彭静表示,现有的数据行为急需相应的法律制度来规范其基本秩序。比如,在数据收集问题上,如果适用现有法律制度的“知情权”规则,那么必须在用户详细知晓数据具体用途情况下,才可以在用户授权下收集数据。但数据具体用途在很多时候难以预测,适用“知情权”规则必然阻碍数据收集。此外,在数据抓取、使用行为的规范上,既没有专门规则,又找不到合适的参照原则。
值得注意的是,此次“十四五”规划纲要中明确,统筹数据开发利用、隐私保护和公共安全,加快建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范。
除了立法规制的完善,刘品新还表示,要加强行政执法的力度。“我们现在是九龙治水,所有部门都跟数据有关系,实际上谁的监管力度都不够。”
企业的数据合规已然成为“命门”,刘品新表示,当数据成为所有企业不可回避的命题,并且法律对数据的运用并不清楚的时候,合规就特别重要了。
王唯宁认为,相关企业首先要判断自身日常经营中所经手的数据是否属于法律保护的数据种类,这就需要r提高企业人员,特别是企业法务及外部聘用律师对企业业务及法律的敏感度。其次,企业应该根据数据种类,梳理清楚自己需要根据怎样的法律承担怎样的合规责任。
“根据前述梳理的责任体系,企业应构建自身合规经营的方式,如确立用户隐私协议的内容及语言表述,确保方便用户理解,划清责任界限。最后,企业还需要保持对新规的敏感度,让企业走在立法之前,降低经营成本。”他说。
(作者:王俊编辑:周上祺)