江伟律师
数字化转型背景下,数据已成为企业核心资产,但数据收集、存储、使用各环节均存在一些刑事风险。多数企业存在“数据能用即行”的侥幸心理,极易触碰红线。结合司法实践,企业数据相关刑事案件高发于以下两种类型犯罪,企业及负责人需高度警惕。
侵犯公民个人信息罪,具体指违反国家有关规定,向他人出售或者提供公民个人信息的行为。依据《中华人民共和国个人信息保护法》,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,包括姓名、身份证号码、联系方式等可识别特定自然人的信息。我们在办案中发现,企业违规收集客户信息、未经同意共享出售信息、员工泄露信息等行为频发,如不加以规制,则给企业埋下涉刑隐患。
非法获取计算机信息系统数据罪,行为表现为侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据。此类风险集中于互联网、科技企业,常见操作包括未经授权爬取同行数据、破解竞争对手系统获取核心数据等。此类操作即便未用于营利,只要实施了该种破坏信息系统的行为达到情节严重的标准,单位及相关责任人即会面临刑事处罚。
企业守住数据合规底线,应做好以下三个核心环节防控。
一是规范数据收集,守住“合法边界”。需遵循“合法、正当、必要”原则,明确告知用户收集目的并获得书面或电子确认,严禁欺诈、过度收集及收集无关信息,从源头规避风险。
二是规范数据存储,守住“安全底线”。存储个人信息需采取加密、备份等防护措施,不得超业务需求留存,用户注销账号后需及时删除信息,敏感信息严禁存储在非加密设备中。
三是规范数据使用,守住“权限边界”。使用数据不得超出约定用途,共享第三方需再次获得用户同意并签订保密协议,严禁出售、泄露信息,明确员工权限并定期开展合规培训。
数据合规不是“额外负担”,而是企业的生存底线,当前数据监管越来越严格,刑事追责力度也在持续加大,数据利用与合规风控并行,方能实现长远发展。