——以涉案小微企业数据合规整改为样本
文/余红
江苏省南京市玄武区人民检察院
文/周颖
江苏省南京市玄武区人民检察院
一、侵犯公民个人信息合规案件样本分析
(一)南京X婚纱摄影有限公司、J婚纱摄影有限公司、A珠宝有限公司
侵犯公民个人信息案
1.案情简介
南京X婚纱摄影有限公司(以下简称X公司)、南京J婚纱摄影有限公司(以下简称J公司)将在公司经营过程中获取的包括姓名、电话号码的客户信息存储于某瓜系统中,未设置存储期限、查看权限、下载权限等。X公司、J公司的法定代表人,将其合法收集的个人信息出售给具有业务关联性的A珠宝有限公司(以下简称A公司)、婚庆公司等,并安排员工负责提供公民个人信息。后被出售的公民个人信息被A公司等企业用于销售推广获利。
2.合规整改过程
X公司、Y公司和Z公司因涉嫌侵犯公民个人信息罪分别被移送检察机关审查起诉,经初期考察及企业合规承诺,检察机关联合第三方监督评估组织对三家企业开展合规风险分析以及有效性合规整改。
X公司、Y公司和A公司在第三方监督评估组织的指导下,分析犯罪成因,从以下三个方面开展了合规整改工作:一是积极建设合规文化,将合规文化融入企业生产经营活动,通过将相关法律规定的学习、考试纳入员工考核标准的方式,形成公司全员认可的合规文化理念;二是建立个人信息数据合规管理体系,在企业内部设立“数据合规管理小组”,内设专职人员,组长为法定代表人,专门负责个人信息保护及利用的统筹和管理工作,明确信息管理权限,将数据管理、员工责任、奖惩制度写入员工手册;三是强化公司内部监督管理,设立“内部监管小组”,定期开展企业内部合规审计,及时发现企业经营过程中存在的法律问题与疏漏,在动态流程中控制风险。
第三方监督评估组织对三家企业以专项要素式合规进行整改指导和考察,并注重“一企一策”,避免纸面合规。在中期检查中,针对X公司数据收集环节风险,第三方监督评估组织从客户知情方面提出整改建议,后该公司创新制作涉及公民个人信息保护的客户告知书,以摆台形式放置于接待场所,不仅获得了较好的整改效果,同时也使企业重新获得了客户的信任。针对J公司数据存储环节风险,第三方监督评估组织从系统优化方面提出整改建议,后该公司升级数据管理系统的数据存储期限、查看、下载权限的设置。针对A公司数据使用环节风险,第三方监督评估组织从优化数据合规文化方面提出整改建议,后该公司多次开展员工数据合规法律知识培训和考核,将个人信息保护法及相关法律法规以专栏的形式展示在公司醒目位置。
经专家论证、二次考察、公开听证,第三方监督评估组织及听证人员均认为三家企业在合规整改上取得了较好的效果,一致通过了整改结果,最终经检委会审议,决定对三家企业作相对不起诉。
3.样本分析
X公司、Y公司和A公司是典型的企业侵犯公民个人信息犯罪,而三家企业均系在正常的经营过程中,或因为获取客源,或因利益相关,在未经授权的情况下,购买或者出售公民个人信息。而在案发后合规整改过程中,企业均能够通过分析犯罪成因,总结出企业涉罪的原因,三家企业均系因自上而下缺乏合规氛围,未形成合法的、完备的数据合规管理体系,最终导致企业涉罪。
(二)南京Y文化艺术交流有限公司员工侵犯公民个人信息案
1.案情简介
南京Y文化艺术交流有限公司(以下简称Y公司)系课外培训机构,其员工王某某通过“地推”的方式获取儿童姓名及儿童家长联系方式用于公司业务推广。王某某在获取儿童姓名及家长联系方式后未经权利人允许,将其收集的信息以销售或者交换的方式提供给他人用于推广获利,共计8000余条。
2.风险提示整改
该案系典型的员工犯罪案件,而企业虽未涉嫌犯罪,但在经营过程中仍存在合规风险,导致公司收集的儿童家长信息泄露、员工涉罪。检察机关受理案件后,根据已办理的X公司等侵犯公民个人信息企业合规案件中提炼的数据合规路径,将该企业存在的数据合规风险进行提炼,以书面形式予以提示。检察机关提示企业在经营过程中存在以下三点数据合规风险:一是数据来源渠道的合规风险,该企业鼓励员工通过“地推”的方式获取儿童家长信息,获取后也未告知家长个人信息用途;二是数据存储风险,该企业在员工获取家长信息后并未要求员工信息上交由企业统一管理,导致信息被员工倒卖;三是数据使用风险,员工没有数据合规意识,随意交换、销售,导致合规风险的发生。检察机关针对上述三方面的数据合规风险,向该企业制发了法律风险提示函,防止类似风险的发生。
企业对照检察机关提出的风险及整改建议,从以下三个方面进行了合规整改:一是建立数据合规文化,对新员工进行数据合规培训、落实奖惩机制;二是构建数据合规组织体系,从经营实际出发指导企业、员工数据合规管理;三是制定数据合规的实体章程,规定员工的数据使用权限和禁止性规定,严禁员工将用于公司经营的个人信息向他人出售、交换。
3.样本分析
本案系企业员工为获取拓展业务、非法获利,将企业的客户信息出售或者与他人交换,虽然未涉及企业犯罪,但从本质上仍系企业合规体系不完备而导致的。无明文约束员工日常工作中的行为,导致个人信息的交换和出售成为常态。在本案中,王某某并未将责任推向企业,但在某些案件中,一旦员工将责任推向企业,而企业在未建立完善的合规实体法,责任无法切割,会导致企业面临刑事涉罪风险而无法自证。
二、公民个人信息保护领域出现合规风险的原因
根据《个人信息保护法》的规定以及上述检察机关办理的侵犯公民个人信息合规案例可见,作为互联网大数据时代经营者的企业,数据从产生、收集到后续的使用、保存等全生命周期都会面临一系列的安全风险。而小微企业由于自身的经营特点,规模较小,内设机构简单,在公民个人信息保护领域,更容易在数据来源、数据存储和数据使用三个方面存在合规风险。
(一)数据来源的合规风险
企业在数据来源渠道上出现合规风险,往往是由于缺乏自上而下的数据合规文化。缺乏数据合规文化,就会使企业成员对是非的判断逐渐模糊,习惯于在守法与违法的模棱两可中忽视自身行为的合规性,即越轨者感觉不到自己行为的不道德性。以A公司侵犯公民个人信息案为例,在该案中,上至企业负责人,下至普通员工,均向婚纱摄影行业购买拍摄婚纱照新人的个人信息,并以打电话、加微信的方式向该群体推销珠宝定制。而在案发后,涉案人员均表示,在这一过程中早已意识到购买客户信息行为的不法性,但因为公司并未禁止,且其他人甚至老板均实施同样的购买信息行为,在相互的心理支撑下,使违法犯罪成为经营日常。
(二)数据存储的合规风险
在企业存储数据期间,企业的人员组织结构安排及权限设计是数据合规的重要一环,在涉及侵犯公民个人信息犯罪案件中,涉案人员占比最大的往往是企业普通员工。由于企业对于数据管理缺乏敏感度,在员工服务完成后,信息仍被永久性存储在员工系统中,被员工下载并打包销售,导致侵犯公民个人信息案件发生。以J公司侵犯公民个人信息案为例,企业用于婚纱摄影预定、管理的“某瓜”系统中包含所有客户的个人信息,信息的查询、下载没有权限设计,所有能够登录该系统的人员均可以通过简单操作,将客户个人信息下载成表格形式,从而造成公民个人信息的泄露。
(三)数据使用的合规风险
企业在合法获得公民个人信息后的使用场合必然是由信息关联人员授权的,用于特定的行为或者领域。对于企业而言,其仅能用于自己经营使用或者在获得授权人同意授权后提供给相关人员、行业,但企业往往基于缺乏数据合规文化和管理体系,而在未获得权利人授权的情况下,将其个人信息提供给相关行业,导致信息使用阶段数据合规风险的发生。
三、小微企业公民个人信息保护领域数据合规管理路径
小微企业做好信息保护工作,能够避免发生上述合规风险,同时,也使企业的社会信赖度得以提高,进而有利于企业经营与发展。小微企业应当从建立数据合规文化、构建数据合规组织体系、制定数据合规实体章程三个方面建立数据合规管理体系,从而避免出现数据合规风险。
(一)理念先行,建立数据合规企业文化
企业合规文化是企业文化的重要组成部分,而数据合规文化又是在大数据时代经营的企业合规文化的重要组成部分。在企业营造出数据合规的文化氛围后,员工只要进入企业,就会感受这种氛围并受其影响,这种影响可能比法律法规的影响更为深刻。
企业建立数据合规文化,是在企业合规文化的基础上,融入数据合规的内涵,主要从以下四个方面营造数据合规文化。一是数据合规物质文化,作为表面层次的合规文化,企业应当在经营场所内张贴、上墙相关数据合规法律法规,体现数据合规的重要性。二是数据合规行为文化,行为文化主要表现为企业管理人员和员工在生产经营管理及学习、培训、团体活动中产生的行为文化,多方面、多维度渲染企业数据合规文化,充分发挥和调动全员合规建设的主动性。三是数据合规制度文化,企业制度文化应当包括企业的章程、合规管理制度和流程、奖惩办法等,也就是在员工中形成维护、服从合规制度的氛围,对于违反合规机制的人员落实惩戒制度。
(二)组织保障,构建数据合规组织体系
数据合规仅仅依靠员工的守法理念是远远不够的,如果没有完善的合规组织体系,合规文化也只能是“喊口号”,企业需要建立数据合规组织体系作为数据合规管理的组织保障。
一是确立数据合规最高责任人,在小微企业设立的数据合规组织体系中,只有以法定代表人或者实际控制人作为数据合规的总负责人,才能体现数据合规在企业经营中的重要性及企业经营战略高度,由法定代表人或者实际控制人牵头也更便于合规章程的制定和落实。二是建立合规专员和数据合规专项小组,合规专员就是为了帮助企业及时识别数据合规风险,动态掌握相关法律法规。但仅设立合规专员可能存在专员是否有从经营的角度指导企业数据合规管理的权限问题,因此,在设立合规专员的同时,对于小微企业来说,设立数据安全专项小组更为重要、合理,由法定代表人领导并直接对其负责,囊括企业所有有可能涉及客户个人信息的部门,强化内部监督,把控住合规风险防范的关口。三是优化数据管理载体和权限,数据管理载体的安全性决定着企业数据信息的安全性,涉及侵犯公民个人信息罪的企业多是因为数据管理的载体和权限存在管理漏洞,导致数据泄露。一方面,企业在利用业务系统登记、采集客户信息时,应当紧抓合规,将个人信息的传递利用限制在客户同意的范围内,避免发生过度采集个人信息的现象;另一方面,在信息查询权限和时限上,要严格划分层级,取消信息导出功能,避免大规模信息泄露情况的发生。
(三)制度落细,制定数据合规实体章程
数据合规体系是企业的内控机制,而要运行好内控机制则需要将所有涉及数据合规风险的内容均落实到实体章程中。对内的实体章程就是员工手册,对外的实体章程叫合规政策。
制定员工手册,要把行业中涉及数据管理的全部法律法规要求进行罗列,重点分析业务中可能遇到的风险点,规定员工的数据使用权限以及禁止性规定。也就是明确告知员工哪些事情可以做,哪些事情不可以做,即使是为了企业利益为了业务开展,禁止性规定的内容也是不能做的。另外,要在员工手册中明确奖惩机制,一方面,设立多渠道举报机制,激励企业内部员工主动举报数据违规侵害企业利益行为,经查证属实的,按照相应标准给予奖励。另一方面,设立惩戒机制,对于违反员工手册触发数据合规风险的员工,要予以惩罚,并明确惩罚的内容、方式,起到一般预防、警示作用。
制定合规政策,也就是对外公开的企业数据合规的章程,明确企业有哪些业务可能涉及收集客户的个人信息,明确告知企业获取信息的用途并得到客户的承诺。在小微企业运行中,往往存在一定的业务关联和利益输送,而在实务中,对是否必须要完全切断业务关联有不同的意见。笔者认为,如果能够获取客户授权同意,由客户签署数据使用渠道知情承诺书后,相关行业之间是可以存在一定的推广和推荐的。以婚纱摄影行业与珠宝、婚庆行业为例,从其行业特点来讲,一定程度的捆绑,不仅有利于企业经营,也能够在客户同意的情况下,为客户提供便利。
