从典型案例看企业数据合规风险及防范

数据是国际社会公认的生产要素，将给一个企业带来不可估量的价值。同时，保障数据安全也是企业必修课，巨大价值下隐藏的数据合规风险不可忽视。在一定程度上，能否保障数据安全关乎企业信誉与未来建设。日前，据央视报道，国内最大的行业专家信息服务商凯盛融英被查，凯盛融英合作的行业专家违规向境外机构客户提供涉密信息，涉嫌危害国家安全。目前国家安全机关已对其采取刑事强制措施，同时已依法依规处理涉事企业，督促企业认真履行反间谍安全防范责任和义务。该事件再次为企业数据合规敲响警钟。

案例一：上海Z公司、陈某某等人非法获取计算机信息系统数据案

01 基本案情

上海Z网络科技有限公司（以下简称“Z公司”）系一家为本地商户提供数字化转型服务的互联网大数据公司。被不起诉人陈某某、汤某某、王某某等人分别系该公司首席技术官、核心技术人员。

2019年至2020年，在未经上海E信息科技有限公司（以下简称“E公司”，系国内特大型美食外卖平台企业）授权许可的情况下，Z公司为了以提供超范围数据服务吸引更多的客户，由公司首席技术官陈某某指使汤某某等多名公司技术人员，通过爬虫程序，或利用E平台网页漏洞，突破、绕开E公司设置的IP限制、验证码验证等网络安全措施，非法获取E公司运营的外卖平台数据，大量获取E公司存储的店铺信息等数据。

02 数据合规风险

1.合规领域：外卖平台商户信息保护（E公司）与技术合规要求（Z公司）。信息化时代，案例中的特大型美食外卖平台吸引众多商户，店铺信息、订单流水等具有大量公民个人生活信息，通过大数据分析后可精准画出用户购物习惯、消费水平、生活轨迹的图谱。与此同时，爬虫等技术的日益精进也给非法获取个人信息提供路径，极易滋生诈骗、不正当竞争等违法行为。

2.合规风险：作为被侵权方的E公司，外卖平台中保护数据的网络安全措施设置不够严密，被具有技术优势的Z公司轻易突破并获取敏感信息，侵害公民个人信息安全；作为侵权方的Z公司，其管理层及员工则存在重技术开发、轻数据合规等问题，公司制度设计存在管理盲区、制度空白、技术滥用等合规风险。

03 合规整改措施

Z公司积极整改，并聘请法律顾问制定数据合规专项整改计划，从数据合规管理、数据风险识别、评估与处理、数据合规运行与保障等方面进行全流程合规整改。

1.数据来源合规。Z公司与E公司达成合规数据交互约定，彻底销毁相关爬虫程序及源代码，对非法获取的涉案数据进行无害化处理，并与E平台API数据接口直连，实现数据来源合法化。

2.数据安全合规。Z公司设立数据安全官，专项负责数据安全及个人信息安全保护工作；构建数据安全管理体系，制定、落实《数据分类分级管理制度》《员工安全管理等级》；加入区级态势感知平台，提升安全威胁的识别、响应处置能力，分拆服务，提高云访问权限，数据及时脱敏、加密，增强网络攻击防护能力。

3.数据管理制度合规。Z公司建立数据合规委员会，制定常态化合规管理制度，开展合规年度报告。


案例二：广东省深圳市宝安区人民检察院诉付某等人侵犯公民个人信息刑事附带民事公益诉讼案

01 基本案情

2020年10月以来，某快递公司营业点主管以及仓库管理员付某等8人，利用职务便利通过营业点主管账户查询指定手机号码对应的快递单号，再通过手机拍照将快递单号发至购买方，购买方通过“巴枪”（快递业数据采集工具）获取快递单号在某快递公司的所有信息，包括寄收方姓名、联系方式、收寄货地址、物品信息等，严重侵犯公民个人信息安全，损害了社会公共利益。

02 数据合规风险

1.合规领域：物流行业快递单所蕴含的大量个人信息。和第一个典型案例一样，本案例涉及的数据安全保护与我们的日常生活密不可分。物流行业掌握大量公民个人消费水平、生活习惯、日常踪迹等私人信息。

2.合规风险：快递行业快递查单系统权限设置过大、查单系统账号和密码安保级别低、“巴枪”管理不到位等问题。如上述典型案例，某快递公司作为快递行业龙头企业，虽然已采取多种安全保障措施，但在硬件设置和管理流程风控上仍然存在改进空间。

03 合规整改措施

某快递公司收到检察建议后积极开展整改，聘请专业机构针对个人信息泄露风险点进行全流程梳理。

1.优化用户个人信息保密制度。落实保密内容、细化保密环节及明确保密责任。严格设置不同级别员工的查询、访问权限，实行“账号负责制”。

2.根据服务范围或服务对象分配内部人员的最小所需数据访问权限。快递员仅可查询其服务客户相关地址信息，通过一键拨号功能隐藏客户真实手机号。

3.严控账号安全风险。采用CAS框架对应用进行统一的用户登陆管理。

4.另行开发APP。逐步取代“巴枪”，同步加强对现有“巴枪”的管理。


合规关注领域与合规措施启示

01 合规关注领域

上述两个典型案例中，案例一的涉案企业与被侵权企业均为大型互联网科创企业，案例二的物流企业也为国内快递行业龙头。对于数据安全，上述企业均有采取一定措施进行保护，但漏洞频发。体现为设置的网络安全措施可被外部人员轻易突破、缺乏内部防范措施，造成“内忧外患”的局面。行业巨头尚且如此，其余多如牛毛的相关互联网企业对涉及个人信息数据安全的重视程度与保护措施可想而知。

02 合规措施启示

最高检指出，应逐步推动从“后端惩治”到“全流程风控”转化。对于挽救企业而言，早合规优于晚合规，全流程合规优于点面合规。上述典型案例中的合规整改措施共同点即为推动企业针对数据安全构建“全流程风控”体系。

案例二中物流公司针对“内忧”对用户个人信息保密制度进行了完善，在快递单号个人信息保护层面，以落实保密内容、细化保密环节及明确保密责任为手段，进行了全流程的保密风控。

案例一所涉及的侵权面更为广泛，面临的问题是“内忧外患”。因此涉案Z公司对数据合规的制度构建也更为彻底，利用互联网科创公司的技术优势，充分利用大数据手段进行合规建设。进一步从数据合规管理、技术层面的数据风险识别、评估与处理、数据合规运行与保障等方面进行全流程合规整改，并建立数据合规委员会，制定常态化合规管理制度。作为大型民营企业，Z公司听取检察机关意见进行整改，捕捉到了《中央企业合规管理办法》所释放的合规信号，合规全覆盖并运用信息化手段将合规要求和防控措施嵌入流程，针对关键节点加强合规审查。Z公司通过扎实开展企业合规，建立健全数据合规长效机制，公司实现稳步发展。

以上典型案例折射出了数据合规层面企业全流程合规的典型意义。


来源：企业合规管理论坛