擅长:合同纠纷,建筑工程,公司企业,综合,刑事案件
现在社会是大数据时代,数据蕴含商机,很多企业通过利用数据进行弯道超车,在同业竞争中脱颖而出,更有甚者颠覆了原有行业传统模式。在现代商业竞争中,利用个人信息促进交易为背景而设立的平台公司日渐活跃。成立以个人信息数据处理与交易处理为主导业务的互联网服务平台公司,涉及到互联网业务的开展,客户信息的收集,运营过程中数据的保护等方方面面,企业应需非常注重企业数据合规建设,企业数据合规涉及内容庞杂,许多企业借助专业的律师团队辅助建设和不断完善,取得很好的效果。我们仅就设立互联网服务平台公司可能涉及的刑事风险作如下介绍,并希望引起有关企业或投资者的重视。
一、设立阶段可能涉及的刑事风险
ICP证是网站经营的许可证,根据国家《互联网信息服务管理办法》规定,经营性网站必须办理ICP证,否则就属于非法经营。
ICP根据《互联网信息服务管理办法》,违反本办法的规定,未取得经营许可证,擅自从事经营性互联网信息服务,或者超出许可的项目提供服务的,由所在地电信管理机构责令限期改正,有违法所得的,没收违法所得,处违法所得3倍以上5倍以下的罚款;没有违法所得或者违法所得不足5万元的,处10万元以上100万元以下的罚款;情节严重的,责令关闭网站。
我国《刑法》第二百二十五条规定,违反国家规定,有下列非法经营行为之一,扰乱市场秩序,情节严重的,处五年以下有期徒刑或者拘役,并处或者单处违法所得一倍以上五倍以下罚金;情节特别严重的,处五年以上有期徒刑,并处违法所得一倍以上五倍以下罚金或者没收财产:
(一)未经许可经营法律、行政法规规定的专营、专卖物品或者其他限制买卖的物品的;
(二)买卖进出口许可证、进出口原产地证明以及其他法律、行政法规规定的经营许可证或者批准文件的;
(三)未经国家有关主管部门批准非法经营证券、期货、保险业务的,或者非法从事资金支付结算业务的;
(四)其他严重扰乱市场秩序的非法经营行为。
通过个人信息交换促成交易的互联网平台公司在设立时如未办理上述两证,特别是EDI许可证,有可能涉嫌非法经营罪。
二、客户信息的收集阶段可能涉及的刑事风险
(一)收集客户信息的基本原则
互联网服务平台涉及到客户信息的收集。根据《网络安全法》第41条“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
最小必要原则,要求收集的个人信息类型应与实现产品或服务的功能直接关联,即没有该信息的参与,则产品或服务的功能无法实现;自动采集个人信息的频率应是实现产品或服务的功能所必须的最低频率;间接获取个人信息的数量应是实现产品或服务的功能所必须的最少数量。
明示同意原则,要求收集方的收集使用,应当公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经信息主体的同意。同时上述法律规定也规定了收集方不得收集与服务无关的个人信息。因此,互联网服务的平台公司在客户注册时收集客户的信息,但在收集客户信息时应当做到明确告知以及提示,严格遵守“知情-同意”的原则。在直接收集个人信息前,平台应通过隐私政策文件明确收集使用的目的、用途、规则、收集的信息类型、收集方式和频率、存放地域和期限、安全保护等有关情况,让客户享有知情权,且隐私政策文件应当单独成文、易于访问、方便客户阅读。否者,容易产生法律纠纷,并有可能存在侵犯个人信息犯罪的刑事风险。
(二)收集个人信息可能涉嫌侵犯个人信息犯罪
我国《刑法》第二百五十三条之一为“侵犯公民个人信息罪”,根据此条规定,违反国家有关规定,向他人出售或者提供公民个人信息情节严重的,窃取或者以其他方法非法获取公民个人信息的,处有期徒刑或者拘役,并处或者单处罚金。
1.关于公民个人信息的范围。《刑法》第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
3.关于信息使用用途和范围。信息的使用应当限制于促成交易。若平台方将运营过程中收集的公民信息交由他人(不论是否获利),属于《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条第二款规定的:未经被收集人同意,将合法收集的公民个人信息向他人提供。该行为涉嫌侵犯公民个人信息罪。
三、数据保护阶段及有可能的刑事风险
(一)数据保护的要求与合规建设
如平台公司确需自己储存客户信息,则需要依照《网络安全法》《数据安全法的要求》进行以下内部管理制度的完善。
1.在公司内部设置专门负责人。这一措施面临有可能形成诉讼或涉嫌刑事风险时证明公司“已尽到充分合理注意义务”。
2.建立完善、健全全流程数据安全管理制度和操作规程。公司内部建立一套完善的个人信息合规管理制度和操作规程,一方面有助于降低公司数据泄露或不当处理个人信息的风险,另一方面也可以在未来个人信息侵权事件中或执法检查或涉及刑事追责时证明企业已采取必要的措施保护个人信息。
4.组织开展数据安全培训教育。在必要之时能证明“已尽到充分合理注意义务”。
6.制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
(二)数据保护阶段有可能涉嫌的犯罪
1.拒不履行信息网络安全管理义务罪
如网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户信息泄露造成严重后果的,或有其他严重情节的,处有期徒刑、拘役或者管制,并处或者单处罚金。单位具有上述情节之一的,构成单位犯罪,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照上述规定处罚。
对于如何认定“经监管部门责令采取改正措施而拒不改正”以及“致使用户信息泄露造成严重后果”,在《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》的第二条中已对认定构成“监管部门责令采取改正措施”予以明确,是指网信、电信、公安等依照法律、行政法规的规定承担信息网络安全监管职责的部门,以责令整改通知书或者其他文书形式,责令网络服务提供者采取改正措施。并规定认定“经监管部门责令采取改正措施而拒不改正”,应当综合考虑监管部门责令改正是否具有法律、行政法规依据,改正措施及期限要求是否明确、合理,网络服务提供者是否具有按照要求采取改正措施的能力等因素进行判断。在上述司法解释第四条中对于“致使用户信息泄露造成严重后果”的认定上,也作了明确的认定。
2.帮助信息网络犯罪活动罪
四、结语
企业数据合规建设对于互联网平台公司而言尤为重要,合规建设是一系统工程,刑事风险仅是其中一个方面,只有严格遵守我国的法律法规,注意保护个人信息安全,当下很多涉及个人信息、数据安全企业才能得到更安全和健康的发展。