企业数据合规刑事风险的识别

  • A+
所属分类:数据合规风险

数据处理各环节可能涉及的刑事风险

(一)数据获取方面容易引发的刑事风险

风险点一:通过非法渠道向第三方购买个人信息的刑事风险

风险提示1:基于商业目的,通过非法渠道向第三方购买公民个人信息,无论该第三方是否通过公开渠道获得,都可能涉嫌侵犯公民个人信息罪。

相关案例:被告人杜某甲通过QQ网络聊天工具,向他人购买或交换获取大量公民个人信息再卖出。涉案公民个人信息数据量为371.9G……法院认为,企业工商登记信息可以通过正当途径予以查询,但其中涉及的公民个人信息仍属于法律保护的范畴,本案中,被告人杜某甲获得的此类信息数量达20余万条,且系通过非法途径获得,故属于刑法保护范围。

判决结果:被告人杜某甲犯侵犯公民个人信息罪,判处有期徒刑一年四个月,罚金人民币一万元。

风险点二:不当使用网络爬虫技术引发的刑事风险

网络爬虫,又称为网页蜘蛛,网络机器人,是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本。通俗地讲,就是能够自动访问互联网并将网站内容下载下来的程序或者脚本。

风险提示2:不遵守目标网站Robots协议 ,采取对抗“反爬虫”措施的技术行为,突破访问限制抓取数据信息,可能涉嫌非法获取计算机信息系统数据罪。该行为不限于获取个人信息,还可能获取其他有价值的信息,如商业信息资料等。

相关案例:在未经淘宝公司授权许可的情况下,被告人李某使用IP代理、“X-sign”签名算法等手段突破、绕过淘宝公司的防护机制,再通过数据抓取程序大量抓取淘宝公司存储的各主播在淘宝直播时的开播地址、销售额、观看PV、UV等数据。整合非法获取的数据后通过微信小程序对外出售牟利,违法所得共计22万余元。

法院认为,被告人明知其行为有法律风险,淘宝公司对除个人用户正常网络浏览外的“爬取”数据行为予以禁止或限制并使用“反爬虫”机制,仍商议利用技术手段对抗“反爬虫”安全措施,其行为应认定为“侵入”计算机信息系统。

风险提示3:即便查询、抓取的数据系网上公开信息,且仅用于公司业务参考,但因频繁访问导致目标网站网络拥堵或造成其他故障的,可能涉嫌破坏计算机信息系统罪。

相关案例:被告人杨某明授权公司开发一款软件,其“网络爬虫”功能能与深圳市居住证网站链接,访问量能达到每小时数十万次,以达到为其公司主营业务便捷的目的。该软件对居住证服务平台进行大量访问,对服务器进行自动化程序攻击,造成服务器阻塞,导致系统不能正常运行,后果特别严重。

判决结果:被告人杨某明被判处破坏计算机信息系统罪。

风险提示4:利用网络爬虫技术抓取公民个人信息,用于出售牟利,可能涉嫌侵犯公民个人信息罪。

相关案例:被告人郭某宇通过“爬虫”软件从互联网上非法获取淘宝、京东、天猫等多个网络购物平台及其他公民个人信息,用于出售牟利,共计非法获取541424条。

判决结果:被告人郭某宇、冷某、张某被判处侵犯公民个人信息罪。

风险提示5:利用爬虫技术对抓取的个人信息以外的其他数据比如视频等进行传播,可能涉嫌侵犯著作权罪,如果是淫秽视频,还可能同时触犯传播淫秽物品罪。

案例简介4:被告人开办了一个视频网站,利用爬虫技术爬取未经著作权人授权许可的各类视频资源以及淫秽主播视频表演等视频,通过解析网站的网页源代码,编写对应的程序,链接到被告人的网站内吸引网上观众浏览观看,并通过付费会员机制和嵌入广告获得收入。

判决结果:被告人王某杰犯侵犯著作权罪和传播淫秽物品罪,二罪并罚。

风险提示6:网络工程师爬取数据即便只是为了检验软件的抗风险性以及试验自身的技术水平,但从案件办理过程中可以看出,类似的爬取行为对企业的数据信息造成了一定的风险。被爬取的数据不限于公民个人信息,有可能是内部经营信息、技术信息,一旦泄露企业将承担不利的后果。因此,企业应当从反爬策略、技术防护、完善内部规章等方面加强对相关数据信息的保护,行为人也不得随意收集、使用他人信息。

典型案例:行为人通过爬虫技术批量获取内部公开数据是否构罪?

处理结果:检察机关认为,于某为公司正式员工,根据公司的授权登陆聊天工具后能够即时浏览到本案中的全部员工数据,该信息属于其职权范围内可以知晓的内容,而其使用数据爬取策略,仅仅系提高了查阅的效率,而非本质上的越权获取或者窃取等非法手段,同理亦不构成侵犯公民个人信息罪。

网络爬虫类风险总结:企业使用网络爬虫技术时,应注意:

1)避免违背数据权利人的意愿、避免超出数据访问授权范围;

2)避免使用的技术手段对被访问的计算机网络系统造成损害;

3)注意抓取的信息是否含有个人隐私信息、商业秘密等,内部公开数据可以依职权抓取,但应遵循公司正常的访问途径。

风险点三:正常提供服务过程中违规向用户收集个人信息

风险提示7:正常提供服务过程中合法收集用户数据,但违规(超出同意范围)存储数据,如告知用户手机信息仅用于一次性验证,但实际上予以存储;或告知用户仅存储特定时间,而实际上超期存储,构成侵犯公民个人信息罪。

相关案例:魔X公司将其开发的前端插件嵌入上述网贷平台中,在网贷平台用户使用网贷平台的APP借款时,贷款用户需要在前端插件上,输入其多个网站的账号、密码,经过贷款用户授权后,魔X公司的爬虫程序代替贷款用户登录上述网站,爬取用户本人各类数据,并提供给网贷平台用于判断用户的资信情况,进而从网贷平台获取费用。魔X公司明确告知贷款用户“不会保存用户账号密码,仅在用户每次单独授权的情况下采集信息”,但未经用户许可仍长期保存用户各类账号和密码在自己的服务器上,非法保存的个人贷款用户各类账号和密码条数多达21241504条。

判决结果:被告单位和两被告人被判处侵犯公民个人信息罪。

风险点四:提供服务中加入自动收集、发送用户信息的软件开发工具窃取数据

风险提示8:某些软件开发工具虽然预装在手机中,但如果该软件及运行均未经用户允许,其获取用户信息、自动更新、静默安装等在其他经用户允许的应用程序中同样具备的功能,均属于未经用户授权。软件开发工具商可能涉嫌非法获取计算机信息系统数据、非法控制计算机信息系统罪、侵犯公民个人信息罪。

相关案例:手机商将被告人开发的广告SDK预装到手机中,并使广告SDK获取系统权限。用户首次开机联网时,广告SDK即通过互联网与后台服务器连接,在用户不知情的情况下向后台服务器上传用户信息、自动更新广告SDK版本等,并向用户推送商业性电子信息,从而产生广告费收入。

判决结果:各被告人均被判处非法控制计算机信息系统罪。

(二)数据使用与交易中涉及的刑事风险

风险点五:获取的数据违规使用

风险提示9:数据处理服务本是高速发展的新兴产业,但一些科技信息公司、数据服务公司、第三方支付公司却沦为网络“套路贷”犯罪工具和帮凶,涉嫌帮助信息网络犯罪活动罪。明知他人电信网络犯罪行为,仍为研发提供互联网介入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,帮助者可能涉嫌帮助信息网络犯罪活动罪。

相关案例:被告人杨某博、张某哲为牟取利益,购买“络漫宝”发射装置,并从卡商处购买手机卡,利用发射装置协助上家拨打电话实施电信网络诈骗活动。

被告人李某恒为牟取利益,先后收购不少于15张的手机卡出售给杨某博、张某哲使用。上述手机卡均关联着公民包括姓名、身份证号码、家庭住址等个人信息。

判决结果:被告人杨某博、张某哲犯帮助信息网络犯罪活动罪,判处有期徒刑十一个月;被告人李某恒犯侵犯公民个人信息罪,判处有期徒刑七个月。

风险点六:未经同意的数据交易

风险提示10:《个人信息保护法》第二十三条规定:个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。即个人信息交易需要获得信息主体二次同意。不经过同意的交易涉嫌侵犯公民个人罪。

相关案例:数据X公司成立于2011年,被称为“国内首家大数据交易平台”。该公司营销产品线在运营时,购入数据并进行接收、整理、存储,,并根据用户兴趣、爱好等分别打上不同标签,之后依据客户需求向其精准营销。

判决结果:多名被告人被判处侵犯公民个人信息罪,其中最高刑期为有期徒刑三年。

(三)违反数据安全管理义务可能涉及的刑事风险

风险点七:网络服务者不履行信息网络安全管理义务

风险提示11:网络服务提供者开展数据处理活动时应当履行数据安全保护义务。若未尽此义务,导致用户数据泄露或违法信息传播或致使刑事案件证据灭失等等危害结果,经监管部门责令采取改正措施拒不改正,则涉嫌拒不履行信息网络安全管理义务罪。

相关案例:被告人李某全从用户停机三个月后被回收的卡中,挑出4000张带有公民个人微信的卡号并要求通信技术公司进行制卡。李某全负有查验、评估、审核行业卡使用情况的职责,在明知违反实名制管理规定的情况下,仍然将大量带有公民个人信息的回收卡交给其他公司,违反用户实名制进行挑卡,造成严重后果,且在两年内经监管部门多次责令改正而拒不改正。

判决结果:被告人李某全被判处拒不履行信息网络安全管理义务罪。

风险点八:非法经营互联网跨境接入服务

风险提示12:未经允许经营互联网跨境接入服务(翻墙)等基础网络服务业务,可能涉嫌拒不履行信息网络安全管理义务罪。

相关案例:被告人胡某为非法牟利,租用国内、国外服务器,自行制作并出租翻墙软件。公安机关先后两次约谈胡某,并作出行政处罚。被告人胡某拒不改正,继续经营,违法所得共计人民币236,167元。

判决结果:被告人胡某被判处拒不履行信息网络安全管理义务罪。

风险点九:为网络黑产提供支付结算等

风险提示13:为网络黑产从业者(如网络赌博、色情网站等)提供支付结算、网络接入与存储、VPS(虚拟服务器)代管等业务,可能涉嫌帮助信息网络犯罪活动罪。

相关案例:被告单位隆某公司先后为多款涉嫌网络赌博的手游提供结算服务,被告公司在明知以上手游涉嫌违法犯罪的情况下,其对公账户仍大量接受资金转账予以支付结算并进行广告推广。

判决结果:被告单位犯帮助信息网络犯罪活动。

风险点十:违反非法数据禁止义务

风险提示14:企业对运营的信息网络负有管理义务,未尽此义务导致违法有害信息大量传播的,可能构成拒不履行信息网络安全管理义务罪,同时构成其他犯罪的,择重处罚。

案情简介:【快播案】公司主管人员王某等人在明知快播公司提供的视听节目含有色情等内容的情况下,未履行监管职责,放任淫秽视频在快播公司控制和管理的缓存服务器内存储并被下载,导致大量淫秽视频在网上传播。由于大量淫秽视频得以通过快播网络服务系统传播,快播播放器的用户数量和市场占有率得以提高,快播资讯和捆绑软件的盈利能力得以提升,快播公司拒不履行网络安全管理义务,具有非法牟利目的。

判决结果:快播公司及各被告人均被判处传播淫秽物品牟利罪。(注:该罪重于拒不履行网络安全管理义务)

风险点十一:违反数据出境审查义务

风险提示15:2021年9月1日生效的《数据安全法》增加了关于重要数据出境安全管理的规定。个人信息与重要数据应在境内存储、处理,确需出境的,应经过网信部门的审批。企业应注意存储本企业各类信息的服务器所在地、使用的软件或互联网服务是否由境外主体提供,是否有数据违规出境的风险。

相关案例:2021年6月10日(北京时间),《数据安全法》公布,并将于2021年9月1日正式施行。

6月10日(美国时间),滴滴正式向美国证券委员会(SEC)递交招股书,申请纳斯达克或纽约证券交易所上市。在美国上市以后,它必须按照《外国公司问责法案》呈交以审计底稿亦或是用户数据和城市地图为代表的部分数据,这些都是关乎国家数据主权的核心数据。

7月2日,国家网信办依据《国家安全法》《网络安全法》对“滴滴出行”实施网络安全审查。同时国家网信办的公告还说,为配合网络安全审查,防范风险扩大,审查期间停止了滴滴出行的新用户注册功能。

7月4日审查结果公布,滴滴出行APP存在严重违法违规收集使用个人信息的问题,并通知应用商店下架滴滴出行APP。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: