孙敏:从拒不履行信息网络安全管理义务罪看《数据安全法》(草案)中公司的数据安全监管义务
一、
拒不履行信息网络安全管理义务罪
拒不履行信息网络安全管理义务罪是《刑法修正案九》在《刑法》二百八十六条后增加一条的涉及网络犯罪的罪名。“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,
处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”2019年11月1日实施的
《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》中就该罪做了详细解释,如该罪中的“网络服务提供者”的范围是什么、“经监管部门责令采取改正措施而拒不改正”、 “致使违法信息大量传播”、 “造成严重后果”、“情节严重”、 “有其他严重情节”、 “有其他严重情节”等具体包括哪些情形。已经生效的
(2018)沪0115刑初2974号判决,被告人
胡某拒不履行信息网络安全管理义务,为非法牟利,租用国内、国外服务器,自行制作并出租“土行孙”、“四十二”翻墙软件,为境内2000余名网络用户非法提供境外互联网接入服务,被判处拘役六个月,缓刑六个月,罚金人民币三万元。 第
(2018)鄂1003刑初150号判决书,被告人
朱皓于2012年注册成立荆州市某网络科技有限公司,创建www.osicp.com、www.un-idc.com、www.vpnadsl.cc等网站用于推广其代理销售和自己建立并销售的VPN软件。用户购买该软件后,可以访问国内IP不能访问的境外互联网网站。为了牟取非法利益,2017年6月,朱皓租用境内外服务器开始建立自己的VPN平台,为他人提供通道在网上予以出售,连接境外IP记录的会员账号数量为478个,支付宝交易记录收入共计人民币40350元。朱皓被判处有期徒刑一年四个月,并处罚金八万元
从已经生效的判决可以看出,拒不履行信息网络安全管理义务罪的犯罪主体以具有计算机专业技能的公司领导者为主,属于高知犯罪,那么
互联网公司如何做好网络安全管理,除了在思想意识上放弃侥幸心理、在道德上提高约束,更要在行为上规范运营管理。
《网络安全法》、《数据安全法》(草案)都对互联网公司的安全运行管理提出了要求,公司的管理部门需认真对待,杜绝后患。网络安全,归根结底还是数据的安全,下文只针对《数据安全法》(草案)中互联网公司的数据安全管理义务进行分析。
二、公司的数据安全管理义务
《数据安全法》(草案)中除去第五章政务数据外,共有七个法条涉及到了数据安全的监管工作,第七、二十五、二十七、二十八、二十九、三十、三十一条,其中第七条仍是对政务数据规范。
第二十五条,开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全全流程
数据安全管理制度, 组织开展
数据安全教育培训,采取相应的
技术措施和其他必要措施,保障数据安全。重要数据的处理者应当设立
数据安全负责人和管理机构,落实数据安全保护责任。
第二十七条 开展数据活动应当加强
风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当按照规定
及时告知用户并向有关主管部门报告。
第二十八条 重要数据的处理者应当按照规定对其数据活动定期开展
风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险 及其应对措施等。
第二十九条 任何组织、个人
收集数据,必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的, 应当在法律、行政法规规定的目的和范围内收集、使用数据,
不得超过必要的限度。
第三十条 从事数据交易中介服务的机构在提供交易
中介服务时,应当
要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
第三十一条 专门提供在线数据处理等服务的经营者,应当依法
取得经营业务许可或者备案。具体办法由国务院电信主管部门会同有关部门制定。
从以上规定可以看出,涉及数据活动的公司需建立完善的数据内部管理制度,一方面是自我管理的需要,另一方面公司需要接受监管部门的审查和监督。
公司的数据安全监管义务具体体现为:1、公司的安全管理制度需形成书面文件对内公开;2、需要对涉及数据安全的相关工作人员进行安全教育培训并形成培训记录;3、对数据库、服务器等数据存储介质采取技术措施,防止入侵和被破坏;4、需要设立专门的机构和安全责任人落实数据安保责任;5、定期或不定期对数据活动进行风险监测,发现问题及时补救,并需要向用户和监管部门报告风险情况;6、定期向主管部门报送风险评估报告,报告内容包括数据活动的种类、数量,数据的收集、存储、加工、使用情况;7、数据交易中介机构需要审核数据提供方数据来源的合法合规性;8、在线数据处理公司需进行备案并取得许可方可开展业务。
三、数据公司未尽到数据安全管理义务的法律责任
(一)行政责任
数据公司没有尽到安全管理义务,根据不同情况需要承担不同的行政、民事和刑事责任,《数据安全法》(草案)
第四十一条规定,主管部门发现数据活动存在较大安全风险的,要对组织和个人进行约谈;
第四十二条规定,数据活动的组织、个人未尽到本法要求的数据安全保护义务或者未采取必要的安全措施的,根据不同情况,会对组织和主管人员给与警告或罚款的处罚,罚款金额从一万到一百万不等;
第四十三条规定,数据交易中介机构未对数据来源进行审核,导致非法来源数据交易的,会被责令改正,没收违法所得,并处违法所得一倍以上十倍以下罚款,并有可能被吊销业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;
第四十四条规定,未取得许可或者备案,擅自从事数据在线服务的,需要承担没收违法所得和罚款的处罚,以及对直接负责的主管人员个人的罚款。
(二)民事责任
《数据安全法》(草案)第四十八条规定,违反本法规定,给他人造成损害的,依法承担民事责任。目前的司法实践中,针对数据安全的民事纠纷以不正当竞争案件进行处理,比照具体行为和损害后果时,参照《侵权责任法》处理。
(三)刑事责任
参照本文开头
拒不履行信息网络安全管理义务罪的论述。
作者:孙敏 北京厚大合川律师事务所律师 13683094771
