植德律所-中国企业数字化转型合规白皮书-2019.5-118页.pdf

北京市东城区东直门南大街 1 号来福士中心办公楼 5 层，100007 5th Floor,Raffles City Beijing Offices Tower,No.1 Dongzhimen South Street,Dongcheng District,Beijing 100007 P.R.C.T.010-56500900 F.010-56500999 北京市东城区东直门南大街 1 号来福士中心办公楼 5 层，100007 5th Floor,Raffles City Beijing Offices Tower,No.1 Dongzhimen South Street,Dongcheng District,Beijing 100007 P.R.C.T.010-56500900 F.010-56500999 中国企业数字化转型合规白皮书中国企业数字化转型合规白皮书 植德律师事务所植德律师事务所 王伟、朱宣烨、曾雯雯 Orrick,Herrington&Sutcliffe LLP Antony Kim,Kolvin Stone,Aravind Swaminathan,Xiang Wang,Jeff Zhang and Betty Louie Kelvin Gao Cybersecurity is never just a technology problem,its a people,processes and knowledge problem.-National Institute of Standards and Technology(NIST)目录目录 1.前言前言.1 1.1.中国企业数字化转型的必然.1 1.2.网络与数据是中国企业数字化转型中的核心.1 1.3.网络安全与数据合规的重要性.1 1.3.1.维护企业资产价值和核心竞争力.2 1.3.2.避免法律责任.2 1.3.3.主动维权.3 2.网络安全与数据合规风险网络安全与数据合规风险.3 2.1.民事争议风险.3 2.1.1.合同纠纷.3 2.1.2.不正当竞争纠纷.5 2.1.3.人身权类的侵权纠纷.7 2.1.4.涉及个人信息案件统计分析.11 2.2.行政处罚风险.11 2.2.1.网络安全法项下的行政法律责任.11 2.2.2.行政处罚典型案件.13 2.3.刑事处罚的风险.20 2.3.1.计算机系统安全类罪名.21 2.3.2.侵犯公民个人信息罪.25 2.3.3.侵犯著作权罪.27 2.3.4.诈骗罪、非法经营罪.28 2.3.5.拒不履行网络安全管理义务罪.30 3.谁需要考虑数字化转型中的合规风险谁需要考虑数字化转型中的合规风险.30 3.1.绝大多数企业均须考虑网络安全和数据合规.30 3.2.是否可以通过注册一个境外公司来规避中国法下的合规风险？.31 3.3.关键信息基础设施运营者的特殊义务.32 3.3.1.关键信息基础设施范围的一般界定.32 3.3.2.关键信息基础设施范围的特别界定.32 3.3.3.关键信息基础设施运营者的保护义务.33 3.4.不同行业对应不同的合规风险.34 3.5.即便是网络事件的受害者也可能因忽略合规而遭受处罚.34 3.6.股东、高管的个人责任.35 3.6.1.股东、高管的行政责任.35 3.6.2.股东、高管的刑事责任.35 4.如何做好合规准备如何做好合规准备.36 4.1.了解我国网络安全和数据合规的法律体系.36 4.2.主要监管机构.37 4.2.1.国家互联网信息办公室.37 4.2.2.公安部.38 4.2.3.工业和信息化部.38 4.2.4.行业监管机构.39 4.3.区分不同的数据类型.39 4.3.1.个人信息.39 4.3.2.个人敏感信息.40 4.3.3.重要数据.40 5.数据相关的商业模式合规数据相关的商业模式合规.41 5.1.用户画像.41 5.2.基于数据的区别定价.42 5.3.数字营销中的刷量是效果优化还是数据流量造假?.44 5.4.互联网新媒体公司的加粉.44 5.5.增长黑客的法律风险.45 5.6.捆绑下载.46 5.7.关于商业模式的最佳实践.47 6.网络安全以及数据合规的最佳实践范例网络安全以及数据合规的最佳实践范例.48 6.1.数据收集的 12 个合规要点.48 6.1.1.什么是数据的收集.49 6.1.2.数据收集的法律以及规范要求.49 6.1.3.对收集个人信息的合法性要求.50 6.1.4.收集个人信息的最小化要求.50 6.1.5.收集个人信息时的授权同意.50 6.1.6.间接获取个人信息的要求.50 6.1.7.使用个人信息无需征得个人信息主体的授权同意的情形.51 6.1.8.收集个人敏感信息时的明示同意.51 6.1.9.收集未成年人信息.52 6.1.10.个人信息安全规范是否必须要遵守.52 6.1.11.朱烨诉百度案件是否意味着 Cookie 不属于个人信息，可自由收集？.53 6.1.12.关于信息收集合规的最佳实践.54 6.2.等级保护.56 6.2.1.等保适用法规.56 6.2.2.五个安全保护等级.56 6.2.3.特定对象的安保等级.57 6.2.4.安保三级的意义.57 6.3.供应商管理.57 6.3.1.为什么需要管理供应商.58 6.3.2.网络运营者与供应商相关的保护数据安全义务.59 6.3.3.管理供应商的最佳实践引进供应商前的准备工作.60 6.3.4.管理供应商的最佳实践对供应商做网络安全与数字合规的尽职调查.61 6.3.5.管理供应商的最佳实践如何与供应商合作.61 6.4.数据出境.62 6.4.1.何谓数据出境.62 6.4.2.何谓境内运营.62 6.4.3.数据出境评估的要点内容.63 6.4.4.数据出境的评估.63 6.4.5.数据出境自评估的具体流程如下图：.64 6.4.6.禁止出境的情形.64 6.5.并购中如何控制网络安全以及数据风险.64 6.5.1.对于收购双方的重要性.65 6.5.2.在并购各阶段应关注的要点.65 6.5.3.并购交易过程中的数据合规.66 6.5.4.并购交割后的数据整合以及商业目的实现.66 6.5.5.并购涉及到的数据跨境问题.67 7.隐私和网络安全问题和风险：以欧洲和美国为视角隐私和网络安全问题和风险：以欧洲和美国为视角.69 7.1.介绍.69 7.2.数据隐私.70 7.2.1.GDPR 的主要特征.71 7.2.2.核心合规义务和典型的弥补措施.72 7.3.网络安全.76 7.3.1.有效的供应商管理.77 7.3.2.网络安全尽调与公司交易.80 7.3.3.适当使用律师-客户特权保护.82 7.3.4.关注沟通.83 7.3.5.别忽略隐私.85 7.3.6.注意您的董事和高级职员.88 7.3.7.评估您的风险评估.89 8.企业应当采取哪些措施保障数据安全企业应当采取哪些措施保障数据安全.93 8.1.企业数据安全保护理念.93 8.2.数据安全保护原则与模型.97 8.3.数据安全保护方法及思路.99 8.4.数据安全保护主流技术简介.100 8.4.1.DCAP 技术（标签：抵御、应对）.100 8.4.2.脱敏技术（标签：抵御）.101 8.4.3.数据防泄漏技术（标签：抵御）.101 8.4.4.CASB 技术（标签：抵御）.101 8.4.5.身份访问控制技术 IAM（标签：抵御）.101 8.4.6.UEBA（标签：感知、抵御）.102 8.4.7.数据透明加密保护技术（标签：抵御）.102 8.4.8.数据库防勒索技术（标签：抵御）.102 附件一.103 1 中国企业数字化转型合规白皮书中国企业数字化转型合规白皮书 1.前言前言 1.1.中国企业数字化转型的必然 根据全球著名信息技术、电信行业和消费科技咨询公司 IDC 预计，到2020 年，亚太地区（不含日本）55%的企业都将以新型业务模式及数字化产品和服务重塑市场格局。麦肯锡也在其报告中国数字经济如何引领全球新趋势中指出，随着中国的数字化进程逐步推进，各个行业的价值链都将经历营收和利润池的彻底变革。这种创造性变革将发生在世界每一个角落，但由于中国的传统行业效率低下、拥有巨大的商业化潜能，因此这一变化在中国将尤为迅猛和激烈。经历这次转变脱颖而出的企业很有可能拥有庞大体量，足以影响全球数字化格局。因此，对于任何一个中国企业的领导者而言，必须考虑本企业的数字化转型问题。1.2.网络与数据是中国企业数字化转型中的核心 无论是传统行业的互联网化、智能化、数据化改造还是新兴行业、新型商业模式，任何一个中国企业的数字化转型都首先必然涉及网络和数据。正如曾鸣先生在智能商业中一再强调的，智能商业的双螺旋是网络协同和数据智能。在中国企业数字化转型中网络和数据无疑占据核心位臵。因此，在中国企业数字化转型的过程中，每个企业都应该关注本企业的网络安全与数据合规问题。1.3.网络安全与数据合规的重要性 中国政府历来十分关注互联网可能引发的风险。中国企业须时刻考虑如何在中国监管部门允许范围之内合规经营。2016 年 11 月 7 日中华人民共和国网络安全法（下称“网络安全法”）通过具有里程碑式的意义。网络安全法是我国第一部有关网络安全与数据合规的综合性立法。此后，网络安全、数据泄露与丢失的监测与防范，将成为企业在转型过程中建立安全管理体系的焦点之一。2 网络安全与数据合规是相对较新的领域，而且与网络技术、新兴商业模式相关，很多企业家和投资人只预见到数字化转型广阔的商业前景，但尚未能洞察网络安全与数据合规的风险。以数据合规中较常见的个人信息保护为例，根据中华人民共和国首席大检察官、最高人民检察院检察长张军 2018 年 11 月 8 日在第五届世界互联网大会“大数据时代的个人信息保护”分论坛的发言，2016 年 1 月至 2018 年 9 月，中国检察机关以侵犯个人信息罪共起诉 8,700 多人。因此，任何一个公司在进行数字化转型时必须对网络安全与数据合规的重要性有清晰的认识。1.3.1.维护企业资产价值和核心竞争力 企业的原数据、衍生数据、数据的算法等，是数字化企业的宝贵资产以及核心竞争力。网络安全与数据合规建设，对企业持有数据作data mapping，确保企业合规使用数据，是维护企业资产价值和核心竞争力的重要前提和保障。网络安全不合规，或者数据处理不合规都会直接导致企业持有的数据资产价值甚至企业本身价值的降低甚至归零，在投融资并购、上市、融资、争取政府采购项目等情形下丧失交易机会。1.3.2.避免法律责任 各国监管者高度关注网络安全和数据合规。为应对数字化转型背景下网络安全和信息保护的机遇与挑战，包括中国在内的诸多国家，均纷纷围绕数字经济和网络安全的主题，制定了多层次、各领域的数据安全保护法规，对网络安全和个人信息保护的内容加以强化保护，并对于违反相应制度的行为设定了多种法律责任，包括司法机关裁定的损害赔偿、赔礼道歉、恢复原状等民事责任；行政监管部门给出的责令整改、取消市场准入资格、罚款、警告等行政责任；司法机关针对严重的违法行为判处的剥夺人身自由、罚金等刑事责任。更为重要的是，由于网络的无国界性，如果一个公司的业务涉及多个司法区域，那么有可能同时涉及多个司法区域的法律监管，这对于公司的合规是个重大的挑战。在科技飞速发展的时代，并没有防范信息泄露等安全事故发生的万无一失的方法。企业依法建立网络安全和数据合规内控制度并且切实执行将是企业证明自己尽到合规义务的重要证据。退一步说，即 3 便出现了安全事故，企业也可以基于已经尽到的合规义务而降低甚至避免承担法律责任。1.3.3.主动维权 企业通过对自身合规的梳理，可以发现自身数据被侵害的情况，以及侵害行为可能触犯的法律规范，从而能够选择适当的方式维护自身的合法权利。我们大胆预测，正如专利侵权诉讼一样，一定有越来越多的公司会主动发起数据侵权之诉。2.网络安全与数据合规风险网络安全与数据合规风险 网络安全和数据合规最直接的目的在于防范承担法律责任。企业数据战略的实现以及数据价值的保护和商誉的维护核心是避免触及法律责任的红线。如前所述，网络安全与数据合规过程中涉及的法律规范繁杂，责任制度多元。就此，我们简单分析民事、行政以及刑事风险如下。2.1.民事争议风险 我们注意到，随着企业数字化转型进程不断加快，与网络安全和数据泄露有关的民事案件越来越多。根据我们对案例的分析和归纳，民事案件主要涉及合同、不正当竞争、侵权等三种民事案由。2.1.1.合同纠纷 很多企业在缺乏对网络安全及数据合规充分理解的前提下即开展业务、签订协议，这种情况极易产生合同纠纷，典型案例如下：序序号号 典型案例典型案例 案情简要案情简要 植德合规建议植德合规建议 1 北京亿维视讯网络技术有限公司与北京企商在线数据通信科技有限公司网络服务合同纠纷 双方签署合同约定亿维公司租用企商在线公司的服务器经营网站。后企商在线公司的服务器损坏导致永久丢失了3.5个月内网站运营相关的数据，修复及租赁到期后，企商在（1）公司应建立统一的第三方供应商管理制度，对供应商的选择和监督作出科学安排；（2）无论是供应商还是公司本身，都应该制定数据安全应急预案，对数据的存储、4 序序号号 典型案例典型案例 案情简要案情简要 植德合规建议植德合规建议 线又告知亿维公司网站数据被删除且无法恢复。备份做预先安排；（3）在服务合同中，双方应明确权利义务，并阐明特殊事件（如数据泄漏）发生后的责任承担问题。2 智慧云游（北京）科技有限公司与北京塔塔信息咨询有限公司合同纠纷 塔塔信息以接口的方式向智慧云游提供数据及服务，并按照查询次数收取费用，后双方因费用退换问题发生经济纠纷，智慧云游将塔塔信息诉至法院。法院认为，塔塔信息提供的数据项目包括：个人学历数据库、手机号在网时长数据库、个人金融征信画像库等，本案所涉相关事实已涉嫌刑事犯罪，故驳回原告起诉并移送公安机关处理。（1）如果合作双方中，有一方的商业模式有无法弥补的缺陷（如涉及侵权或违反法律法规的规定），那么与该方有关的其他合同权利也可能受到影响，不一定能得到保障；（2）公司应重点关注数据业务中是否包含个人信息的问题，如果涉及个人信息，无论是服务提供方还是服务接受方都会面临巨大的法律风险。3 冯某与交通银行股份有限公司连云港分行信用卡纠纷 交通银行股份有限公司连云港分行在未严格履行信用卡开户所必经程序的情况下，将他人所持账号为 5230 的信用卡，登记在冯某名下，并对冯某的信用记录产生了不良影响。由于金融机构往往掌握着个人征信信息、身份信息等敏感信息，因此应该格外关注业务的数据合规风险。5 序序号号 典型案例典型案例 案情简要案情简要 植德合规建议植德合规建议 4 黄某诉中国移动通信集团湖南有限公司、中国移动通信集团湖南有限公司长沙分公司合同纠纷 黄某起诉称移动长沙分公司通过飞信后台非法窃取黄某个人信息且在黄某不知情的情况下擅自增加其飞信好友人数。App 违法违规收集使用个人信息是监管机构的关注要点之一，未经同意收集使用个人信息以及未经同意向他人提供个人信息极易被用户投诉或者起诉。5 黄某诉中国东方航空股份有限公司航空旅客运输合同纠纷 黄某通过东航公司的销售热线购买了 4 张机票，之后收到包含其个人信息的诈骗短信。案外人中国 XX 股份有限公司与东航签订了航空公司服务协议，约定东航在中国境内的所有机票销售全部使用 XX 股份公司的系统处理完成。原审审理过程中，法院依职权向当地公安分局就黄某的报案情况进行调查，公安分局经审查认为符合刑事立案条件。公司应当慎重选择第三方供应商，并在合同中约束第三方供应商使用数据的权利。2.1.2.不正当竞争纠纷 由于目前对企业的数据权利、数据产品的权利尚没有法律层面的明确界定，所以中华人民共和国反不正当竞争法（下称“反不正当竞争法”）成为了数据权属、数据产品利益纠纷案件的主要适用法律。企业使用爬虫等技术、或者通过 API、SDK 等获取其他企业数据极易引发不正当竞争的质疑，涉及反不正当竞争的案件甚至有可能导致刑事责任。典型案例如下：6 序序号号 典型案例典型案例 案情简要案情简要 植德合规建议植德合规建议 1 新浪诉脉脉不正当竞争纠纷 根据新浪微博开放平台的开发者协议，脉脉和新浪通过微博平台 Open API进行合作，基于该合作，用户可以使用手机号和新浪微博账号注册脉脉。后新浪发现，脉脉利用爬虫技术抓取非脉脉用户的微博账户信息。（1）公司通过 OpenAPI 模式获取用户信息时应遵守“用户授权”+“平台授权”+“用户授权”的三重授权原则，即用户同意平台向第三方提供信息，平台授权第三方获取信息，用户再次授权第三方使用信息。而且用户的同意应是在充分知晓的前提下作出的明确同意。（2）如果公司的行为实为一种“不劳而获”、“食人而肥”的行为，或对同类产品产生了“此消彼长”的不良影响，则可能被视为扰乱了竞争秩序，构成不正当竞争行为。2 大众点评诉百度地图不正当竞争纠纷 百度地图在用户搜索某商户时，将来源自大众点评的对该商户的评价信息显示在搜索结果上，注明了信息来自大众点评并且设臵了跳转链接。法院认为，百度地图采用技术手段从大众点评获得点评信息用于充实自己的产品，具有明显的搭便车、不劳而获的特点，构成不正当竞争。3 淘宝诉美景公司不正当竞争纠纷 淘宝公司开发了的某衍生数据产品，该数据产品主要为淘宝、天猫商家的网店运营提供数据化参考服务、帮助商家提高经营水平。美景公司经营的“咕咕互助平台”以远程登录方式抓取该衍生数据产品中的数据内容并从中获利。7 此外，也有极少的案件原告选择通过寻求著作权的保护以解决纠纷，例如上海汉涛信息咨询有限公司与北京搜狐互联网信息服务有限公司侵犯著作权纠纷一案。根据反不正当竞争法第十二条的规定，经营者利用网络从事生产经营活动，应当遵守本法的各项规定。经营者不得利用技术手段，通过影响用户选择或者其他方式，实施下列妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为：（一）未经其他经营者同意，在其合法提供的网络产品或者服务中，插入链接、强制进行目标跳转；（二）误导、欺骗、强迫用户修改、关闭、卸载其他经营者合法提供的网络产品或者服务；（三）恶意对其他经营者合法提供的网络产品或者服务实施不兼容；（四）其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为。因此，企业在设计新的商业模式时须考虑诸多因素，譬如该等商业模式是否可能导致违反前述规定而被认定为“经营者在生产经营活动中，违反本法规定，扰乱市场竞争秩序，损害其他经营者或者消费者的合法权益的行为”。此外，在与其他企业的合作中，公司也要注意多重授权的获得，以免被认定为采用不当手段进行不正当竞争。2.1.3.人身权类的侵权纠纷 中国是世界上最有活力的市场，因此中国的新商业模式很多都是与庞大的消费人群有关的 To C 业务。众所周知，To C 业务估值的一个重要指数是用户人数，因此个人信息也成为 To C 企业最有价值的数据类型之一。与个人信息相关的人身权类侵权纠纷主要涉及侵犯隐私权、名誉权，其中多数为企业未经授权使用用户个人信息、信息记录错误以及不当精准营销等情形，典型案例如下：序号序号 典型案例典型案例 案情简要案情简要 植德合规建议植德合规建议 1 朱某诉北京百度网讯科技有限公司隐私权纠纷 百度网讯公司使用了Cookie 技术记录和跟踪了原告所搜索的关键词，利用记录的关键词，对原告浏览的网页进行广告投放。原告起诉百度网讯公（1）该案件发生在网络安全法及相关法律、规范性文件颁布和生效之前，该案件中认定的 Cookie 的性质已经不具有参考意义。此 8 序号序号 典型案例典型案例 案情简要案情简要 植德合规建议植德合规建议 司的行为侵犯了其隐私权。终审法院认为，该Cookie 关键词记录未能与原告的个人身份对应识别，不符合“个人信息”的可识别性要求;且因为百度网讯公司利用网络技术提供个性化推荐服务，并未直接将搜索引擎服务而产生的数据和 Cookie信息向第三方或公众展示，没有任何的公开行为，因而不属于侵害个人隐私的行为。外，该案件的终审法院也不是最高院，因此不会对后续案件构成有约束力的先例。（2）根据目前的规定，企业应在网站或 App的隐私政策中具体阐明 Cookie 技术的使用方式。2 王某诉北京奇虎科技有限公司隐私权纠纷 王某使用手机给朋友沈某的号码为136XXXXXXXX 的手机拨打电话时，在 360 手机卫士软件的“防窃听”模块下，显示该号码被标记为“维特网络信息有限公司（合肥分公司）浙江杭州移动”。法院判定“如非号码所有人主动申请标记，建议针对被标记号码采取短信确认的方式，对所有人有所提示，有助于其获得相应知情权”。（1）公司业务中如涉及个人信息，则需要时刻注意是否符合监管部门的要求。例如最近App 专项治理工作组的 App 违法违规收集使用个人信息行为认定方法（征求意见稿）等文件。（2）App 收集个人信息和使用个人信息时要履行对用户的通知义务。3 王某诉沈丘县农村信用合作联社名誉权纠由于信用合作社对其工作人员管理不善，致使冒名贷款事件的发生，使王某在中国人民银行个人信息由于金融机构掌握大量个人敏感信息，一旦泄漏或发生错误，可能对个人产生重大不利影响，故金融机构应 9 序号序号 典型案例典型案例 案情简要案情简要 植德合规建议植德合规建议 纷 数据库中产生不良信用记录。妥善管理数据库，并在不良事件发生时尽快删除、改正相关信息。4 庞某诉北京趣拿信息技术有限公司等隐私权纠纷 庞某在趣拿公司下辖网站“去哪儿网”购买东航机票，因此导致个人信息被泄露，庞某收到内容为声称原告航班取消的诈骗短信。法院判决东航和趣拿公司存在泄露庞某隐私信息的高度可能，并且存在过错，应当承担侵犯隐私权的相应侵权责任。（1）合同内容，用户姓名、电话号码及行程安排等事项属于个人信息，基于合理事由掌握个人整体信息的组织或个人应积极谨慎地采取有效措施防止信息泄露；（2）如果经营者外包了涉及个人信息的业务，即便是第三方供应商泄露了用户的隐私信息，也首先由经营者承担责任。经营者在承担责任后可以依据其与第三方供应商之间的服务合同条款，在相关证据具备的情况下，向第三方供应商主张权利。5 任某与北京百度网讯科技有限公司名誉权、姓名权、一般人格权纠纷 百度搜索任某，“相关搜索”栏中显示出任某曾经的职业，并对任某产生了不利影响。（1）本案涉及被遗忘权的概念，尽管该概念在学术界已有讨论，但我国现行法律中并无对“被遗忘权”的法律规定，亦无“被遗忘权”的权利类型。（2）在公安部第三研究 10 序号序号 典型案例典型案例 案情简要案情简要 植德合规建议植德合规建议 所发布的 App 违法违规收集使用个人信息行为认定方法（征求意见稿）中，未提供更正、删除个人信息，注销用户账号的功能已经被认定为“未按法律规定提供删除或更正个人信息功能的情形”。6 周某与中国保险监督管理委员会、北京中科汇联科技股份有限公司网络侵权责任纠纷 中国保监会也依法负有保护申请政府信息公开申请人信息安全的义务。该会网站因网络漏洞泄露了周某的个人注册信息。（1）根据中华人民共和国侵权责任法 第三十六条，网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施（2）即使是政府部门，亦负有法律义务保护数据安全。7 赵某与纽海电子商务（上海）有限公司其他侵权责任纠纷 纽海电子经营的电商购物平台利用赵某在购物时留存的手机信息，给赵某手机发送商业短信。（1）如果企业合法取得用户个人信息并指示了取消发送商业短信的方式，且发送商业短信不过于多，则属于合理范围。11 序号序号 典型案例典型案例 案情简要案情简要 植德合规建议植德合规建议（2）利用用户信息和算法定向推送新闻、广告等，且未提供终止定向推送的选项则属于被关注的风险业务。2.1.4.涉及个人信息案件统计分析 除了上述的典型案例外，以“个人信息”为关键词，我们从专业数据库上筛选了 2015 年 5 月 1 日至 2018 年 3 月 1 日期间涉及“个人信息”的 146 件民事案例，统计分析如下：侵权纠纷案件139 件（其中被认定存在侵权事实的案件数为 94 件），合同纠纷案件共计 7 件；涉案行业中金融行业和互联网行业居多，其他行业也有较快增长；信息收集量大、使用比较频繁的领域涉诉风险较高；涉案争议行为具体类型涵盖了个人信息收集、保存、使用等全生命周期的全流程；“个人信息记录错误”、“未经同意使用个人信息”以及“个人信息泄露”三类行为涉案数量最多；不少案件反映的是对个人信息收集使用的商业模式的争议，典型的如朱烨诉百度收集 Cookie 侵犯隐私权的案件；涉及个人信息违法收集、信息共享、遗忘权的案件也开始出现；以庞理鹏诉去哪儿网、东航为标志，信息共享者共同担责，数据控制者对数据处理者的行为担责或成为趋势。2.2.行政处罚风险 2.2.1.网络安全法项下的行政法律责任 网络安全法是网络安全和数据合规行政处罚最重要的依据。在此就网络安全法规定的行政责任简单梳理如下：12 13 2.2.2.行政处罚典型案件 序序号号 事件名称及经事件名称及经过过 行政处行政处罚决定罚决定机关机关 违规行为违规行为 违规行违规行为类型为类型 行政措施行政措施 法律依法律依据据 1 山西忻州市某省直事业单位网站不履行网络安全保护义务被处罚 2017 年 6月至 7月间，山西忻州市某省直事业单位网站存在SQL 注入漏洞，网站信息安全存在严重安全隐患，其连续被国家网络与信息安全信息通报中心通报，并被忻州市、县两级公安机关网安部门处以行政警告处罚并责令其改正。忻州市、县两级公安机关网安部门 未按照网络安全等级保护制度的要求，采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施 违法网络安全义务 警告并责令其改正 网络安全法第21 条、第59 条 2 某求职网站被网信办责令整改 2017 年 8 月 11日，北京市网信办、天津市网信办联合约谈了某求职网站法定代表人,并要北京市网信办、天津市网信办 为未提供真实身份信息的用户提供信息发布服务；未采取有效措施对用户发布传输的违法网络安全义务 责令改正 网络安全法第24 条、61条、47条、68 条 14 序序号号 事件名称及经事件名称及经过过 行政处行政处罚决定罚决定机关机关 违规行为违规行为 违规行违规行为类型为类型 行政措施行政措施 法律依法律依据据 求该网站整改网站招聘信息。信息进行严格管理,导致违法违规信息扩散 3 汕头某公司未及时履行网络安全义务，网警依据网安法责令改正 汕头市某信息系统安全等级为第三级的信息科技有限公司自 2016 年至今未按规定定期开展等级测评。广东汕头网警支队 未按规定履行网络安全等级测评义务 违法网络安全义务 警告并责令其改正 信息安全等级保护管理办法 第 14条第 1 款和网络安全法第 21 条第（5）以及网络安全法第 59 条 4 重庆某网络公司未留存用户登录日志被网安查处 自网络安全法 正式实施以来，重庆市某科技发展有限公司在提供互联网数据中心服务时，未依法留存用户登录相关网络日志。重庆公安局网安总队 未依法留存用户登录相关网络日志 违法网络安全义务 警告并责令其改正 网络安全法第21、第 59条 15 序序号号 事件名称及经事件名称及经过过 行政处行政处罚决定罚决定机关机关 违规行为违规行为 违规行违规行为类型为类型 行政措施行政措施 法律依法律依据据 5 四川某网站因高危漏洞遭入侵被罚 2017 年 7 月 22日，四川宜宾市某网站因未将网络安全防护工作落实到位，进而导致网站存在高危漏洞，最终造成了网站发生被黑客攻击入侵的网络安全事件。宜宾网安部门 未落实网络安全等级保护制度，未履行网络安全保护义务 违法网络安全义务 对直接负责的主管人员罚款5 千，机构罚款 1 万元 网络安全法第21 条、第59 条 6 三家互联网公司因用户隐私问题被工信部约谈 2018 年 1 月，工信部信息通信管理局针对手机软件对用户个人信息收集使用规则、使用目的告知不充分的情况，约谈了该三家互联网企业，要求三家企业本着充分保障用户知情权和选择权工信部信息通信管理局 用户个人信息收集使用规则、使用目的告知不充分 侵犯公民个人信息 约谈并要求整改。网络安全法、全国人民代表大会常务委员会关于加强网络信息保护的决定、电信和互联网用户个人信息保护规定（工业和信息化部令第24 号）有 16 序序号号 事件名称及经事件名称及经过过 行政处行政处罚决定罚决定机关机关 违规行为违规行为 违规行违规行为类型为类型 行政措施行政措施 法律依法律依据据 的原则进行整改。关规定 7 某应用程序非法共享热点被罚 25 万 2018 年 5 月 22日，根据媒体反映，对两款移动应用程序，工信部针组织了网络安全专业机构进行技术分析，发现两款移动应用程序具有共享用户所登录 WiFi 网络密码等信息的功能，最终对其给予了处罚。上海市通信管理局 未经同意共享用户WiFi 网络密码等信息 侵犯公民个人信息 责令改正、罚款 网络安全法第41 条 8 多家平台自媒体平台存在内容违法违规，涉嫌抄袭等问题被集中约谈整改 北京市网信办于 2017 年 7 月18 日依法约谈了多家自媒体网站的相关负责人，责令网站北京市网信办 违法违规，涉嫌抄袭等 违反网络信息内容管理义务 约谈并责任改正 网络安全法第48 条、第50 条 17 序序号号 事件名称及经事件名称及经过过 行政处行政处罚决定罚决定机关机关 违规行为违规行为 违规行违规行为类型为类型 行政措施行政措施 法律依法律依据据 立即对自媒体平台存在八个问题进行专项清理整治。9 某知名社交平台和某知名网络社区平台因对网络信息内容未尽到管理义务被北京市网信办行政处罚 2017 年 9 月，针对某知名社交平台对其用户发布传播“淫秽色情信息、宣扬民族仇恨信息及相关评论信息”未尽到管理义务以及某知名网络社区平台对其用户发布传播“淫秽色情信息、暴力恐怖信息帖文及相关评论信息”未尽到管理义务的违法行为，北京市网信办分别作出行政北京市网信办 未采取有效措施对用户发布传输的信息进行严格管理,导致违法违规信息扩散。违反网络信息内容管理义务 罚款、责令改正 网络安全法47条、68 条 18 序序号号 事件名称及经事件名称及经过过 行政处行政处罚决定罚决定机关机关 违规行为违规行为 违规行违规行为类型为类型 行政措施行政措施 法律依法律依据据 处罚。10 某网络媒体平台因对网络信息内容未尽到管理义务被行政处罚 2017 年 9 月，广州某网络技术有限公司在发现有用户利用其网络平台发布和传播违法有害信息后，未立即停止传输，防止信息扩散，保存有关记录并向主管部门报告。后广东省通信管理局责令该公司立即整改，并给予警告处罚，要求该公司切实落实信息服务管理责任。广东省通信管理局 未采取有效措施对用户发布传输的信息进行严格管理,导致违法违规信息扩散。违反网络信息内容管理义务 警告并责令其改正 网络安全法第47 条、第68 条，互联网信息服务管理办法 第 16条、第 23条 11 某两家新闻客户端涉低俗信息被责令停止违法违规行为 2017 年 12 月，某两家新闻客北京市网信办 传播违法违规有害信息、违规自采转载新闻信息 违反网络信息内容管理义务 约谈并停止违规转载新闻信 网络安全法第48 条、第50 条 19 序序号号 事件名称及经事件名称及经过过 行政处行政处罚决定罚决定机关机关 违规行为违规行为 违规行违规行为类型为类型 行政措施行政措施 法律依法律依据据 户端客户传播色情低俗信息，且获得转载。北京市网信办责令两家企业深入自查自纠。12 某社交平台未尽到义务，某业务版块暂时下线一周 2018 年 1 月，某社交平台因未对用户发布违法违规信息尽到审查义务，并传播了违法违规信息，被北京市网信办约谈，责令其立即自查自纠，全面深入整改。北京市网信办 对用户发布违法违规信息未尽到审查义务，传播违法违规有害信息 违反网络信息内容管理义务 约谈并责令改正 网络安全法第47 条、第68 条第48 条、第50 条 13 某公众号发低俗文章被责令整改 2018 年 5 月，某公众号在其头条推文发布了低俗文章，同时对事件进行了不当的描述，后浙江省网信办浙江省网信办、杭州市网信办 传播违法违规有害信息 违反网络信息内容管理义务 约谈并责令改正 网络安全法第48 条、第50 条 20 序序号号 事件名称及经事件名称及经过过 行政处行政处罚决定罚决定机关机关 违规行为违规行为 违规行违规行为类型为类型 行政措施行政措施 法律依法律依据据 会同杭州市网信办约谈了该公众号主要负责人，并责令限期整改。14 北京市网信办、工商局针对广告存在侮辱英烈的内容约谈查处某知名短视频平台及知名搜索引擎并责令整改 2018 年 6 月，针对某知名短视频平台在某知名搜索引擎投放的广告中出现侮辱英烈内容的问题，北京市网信办、市工商局依法联合对两者约谈查处，责令整改。北京市网信办、市工商局 制作、发布内容违法的广告 违反网络信息内容管理义务 约谈并责令整改 网络安全法第12 条、第47 条 中华人民共和国英雄烈士保护法 第 22条、中华人民共和国广告法第 9条 2.3.刑事处罚的风险 涉及网络或者数据的业务，还须关注网络安全、数据合规以及隐私保护等方面的刑事违法风险。企业数字化转型过程中运用新的数字技术或者商业模式超过合理的边界，有可能会导致公司、公司实际控制人或者员工承担刑事责任，相关案例屡见不鲜。司法实践中，与网络安全、数据合规相关的刑事罪名主要如下。21 2.3.1.计算机系统安全类罪名 具体包括：非法侵入计算机信息系统罪，破坏计算机信息系统罪，非法获取计算机信息系统数据罪，非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统程序、工具罪。大数据时代，数据的存储、处理、应用离不开计算机系统构成的网络环境，商业模式先天缺陷或者实际操作的不合规很容易导致构成前述罪名。典型的案例有：序序号号 罪名罪名 典型案例典型案例 案情简要案情简要 植德合规建议植德合规建议 1 非法获取计算机信息系统数据罪 北京某科技股份有限公司（新三板公司）该公司利用自主编写的恶意程序，劫持运营商流量，并通过清洗、还原等技术，从中窃取Cookie、访问记录等信息 30 亿条，将该数据导出存放在该公司境内外的多个服务器上。该公司已被停牌，公司监事黄某、梁某、员工王某、石某已于2018年8月被检察院批捕，原法人、董事周某取保候审。进行软件开发时需注意产品逻辑是否合规，不得开发破坏其他产品的正常功能、运行逻辑及相关秩序的软件，不得利用技术手段非法获取数据。2 提供侵入、非法控制计算机信息系统程序、工具罪 辜某、资某等提供侵入、非法控制计算机信息系统程序、工具罪辜某注册成立并担任法定代表人的成都某科技有限公司，开发具 22 序序号号 罪名罪名 典型案例典型案例 案情简要案情简要 植德合规建议植德合规建议 一案 有在某电商平台网站中可批量注册账户，并对不同账户在短时间内实现批量下单、批量抢领电商给予常规客户的优惠券和红包、批量付款等功能的计算机软件，并通过网络进行软件出售牟利。法院认为，针对某电商平台网站的软件的研发、使用，未获得该电商平台的许可。辜某及其雇用的人员构成提供侵入、非法控制计算机信息系统程序、工具罪。3 破坏计算机信息系统罪 湖南某网络科技有限公司 该公司为牟取非法利益，开发运行用于非法核验身份的“VTOOL”软件，绕过铁路身份证识别仪,在铁路售票系统上对铁路购票网站存储冻结的 23 序序号号 罪名罪名 典型案例典型案例 案情简要案情简要 植德合规建议植德合规建议 1295365 条旅客身份信息数据，由“需线下核验不能网上购票”修改为“正常可以网上购票”，破坏了铁路售票秩序。法院认为该公司的行为构成破坏计算机信息系统罪。4 非法获取计算机信息系统数据罪 上海某网络科技有限公司 被告人张某、宋某、侯某经共谋采用技术手段抓取被害单位北京某