数据合规是当代企业无法回避的问题
        作者：李明亮韩冰
        微谈法
        在国家政策不断明确、行业监管不断加强的背景下，数据合规时代全面到来。对于很多企业来说，数据是公司的核心资产，那些不起眼的数据在很多情况下往往关系到企业的生死存亡。企业数据合规与安全已经成为企业无法回避的话题。如何消除企业数据合规风险，实现数据合规，是很多企业亟待解决的问题。在本文中，我们将详细分析企业数据合规中的风险类型和风险。
        I.风险类型
        本文中，数据合规风险主要包括以下几个方面：
        1.侵犯个人信息
        很多App在使用前，都会向用户索要各种授权，比如位置信息、通讯录、摄像头、录音权限等。在这一请求授权的过程中，可能存在侵犯个人信息尤其是通讯录等隐私数据的数据合规风险。当用户信息被过度收集时，即使用户同意，仍可能不合规。比如，不久前某平台侵犯用户个人信息案，北京互联网法院作出一审判决，认定该平台App侵犯用户个人信息，应承担相应侵权责任。
        除了非法获取、泄露个人信息，非法提供、拒绝提供个人信息也是企业数据风险的类型。如前两年较受关注的“乐清xx顺风车事件”，受害人家属报案后，公安机关向平台公司申请调取顺风车主车辆信息，但未得到公司及时配合。随后，该平台公司顺风车业务在浙江省内下线，进行长期整改。
        2.侵犯商业秘密
        商业秘密是企业的重要数据，侵犯企业的数据就可能侵犯企业的商业秘密。
        什么是商业秘密？简言之，能够为公司带来价值的业务数据就可以构成公司的商业秘密。根据判例法，商业秘密的形成一方面要有价值，另一方面企业
        采取保密措施。例如，客户名单有时受到商业秘密的保护。一方面，客户名单是有价值的信息，另一方面，如果采取保密措施，也可以评价为商业秘密。以非法手段获取他人客户名单时，可能侵犯他人商业秘密。
        3.不正当竞争
        侵犯他人数据还可能构成不正当竞争，给企业带来诉讼风险。如“大数据引发不正当竞争第一案”，某互联网公司起诉某平台非法获取其用户信息。该平台未经用户许可和微博平台授权，非法抓取、使用互联网用户信息，非法获取、使用注册用户手机通讯录联系人与微博用户的对应关系，对该互联网公司构成不正当竞争。
        4.虚假宣传、虚假广告
        这类风险最常见的表现就是通过刷单来增加交易量、提高店铺口碑，也就是人们常说的“刷单炒信”。“卖单信”就是“虚构交易”，利用虚构交易进行“虚假宣传”，违反了《反不正当竞争法》和《电子商务法》，可能会对企业提起行政处罚。
        在侵犯知识产权案件中，无论是商标侵权民事案件，还是销售假冒注册商标的商品的刑事案件，“刷单”数据的存在都是当事人用来抗辩的理由之一。在商标侵权民事案件中，侵权人以被侵权商品有“刷单”数据为由抗辩减少侵权数额；在销售假冒注册商标的商品犯罪案件中，被告人往往以存在“刷单”数据为由，抗辩降低犯罪数额。但在司法实践中，这样的抗辩往往不被采信，这就意味着欺诈行为给自己造成了不利后果。
        5.违反计算机/信息网络犯罪
        企业数据风险不仅会带来民事诉讼风险，在很多场景下还会给企业和管理层带来刑事风险。
        首先，在数据获取过程中，如果通过非法手段获取数据，会给企业带来以下刑事风险：
        利用爬虫非法侵入国家事务、国防建设、前沿科技领域的计算机信息系统，可能构成“非法侵入计算机信息系统罪”；
        利用爬虫规避网站运营者设置的反爬虫措施非法获取信息，可能涉嫌“非法获取计算机信息系统数据罪”；
        如果干扰了被爬网网站的正常运行，则可能构成“破坏计算机信息系统罪”；
        如果是提供专门用于侵入、非法控制计算机信息系统的爬虫，或者明知他人实施了侵入、非法控制计算机信息系统的违法犯罪行为，仍为他人提供爬虫的，可以构成提供侵入、非法控制计算机信息系统程序、工具罪。
        其次，在数据存储、管理环节，企业作为网络服务提供者，不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施仍不改正的，可能构成拒不履行信息网络安全管理义务罪。以平台管理者为例。如果用户在平台上传淫秽视频，被监管部门责令删除而未删除，导致大量淫秽视频被传播，可以判定平台未尽到信息网络安全管理义务。情节严重的，可以构成本罪。
        二、企业数据合规风险
        企业数据合规风险主要类型如下：
        1.投诉、检举、控告
        这类风险主要来自于相关用户或受害人向监管部门的投诉举报，或向公安机关的刑事投诉，或向法院的民事投诉。
        2、监管部门调查
        监管部门对企业进行数据风险排查时，一般依据投诉或举报中的线索。当然，也不排除相关监管部门主动执法、查处数据违规的可能。监管部门接到群众举报投诉后，将投入工作人员对举报投诉进行调查。如果调查发现涉事企业确实存在相关数据合规风险，等待企业的往往是行政处罚。企业涉嫌犯罪的，应当提起刑事诉讼
        诉讼程序将随后进行。
        3.专项执法
        2019年1月23日，中央网信办会同工业和信息化部、公安部、市场监管总局发布《关于开展APP违法违规收集使用个人信息专项治理的公告》，对市场主流APP进行查控专项活动，就是专项执法的典型。截至目前，已有大量不合规APP被强制下架。
        4.合作伙伴调查
        实践中，不少企业的合规风险就在于此。许多商业伙伴在合作前对企业进行尽职调查；尤其是互联网行业融资前，管理层一般会对企业进行每一次调整，以审查其业务能力和合法合规经营情况。在排查过程中，一些企业数据合规风险浮出水面。以管理层调查为例，企业经营过程中可能存在股权融资需求。在正式投资前，管理层往往会对被投企业进行全面细致的尽职调查。被投资企业通常会聘请专业和会计师团队梳理企业相关风险，使相关风险点合规。在这场博弈中，企业内部风险得到了充分暴露和应对，企业的数据合规风险也将随之显现。