“數據之治”構建良好數據生態體系

2024年2月6日 21点热度 0人点赞

來源:《檢察日報·數字檢察》

深圳寶安:實踐與創新指引並驅,引導企業規范使用數據

陳柳  

深圳市寶安區檢察院開展掃碼點餐個人信息保護公益訴訟“回頭看”活動。

深圳市寶安區檢察院邀請相關高校負責數據合規參編工作的研究員開展數據合規工作座談會。

深圳市寶安區檢察院聯合人大代表到相關快遞企業站點進行合規整改檢查。

  近年來,隨著數字經濟的發展,數據已成為推動經濟社會發展的新引擎。然而,在海量信息流動與數據價值釋放的過程中,數據侵權、網絡犯罪等新型違法犯罪現象日益凸顯。如何立足檢察職能定位,提升檢察機關在網絡空間法治化建設中的作用和影響力,是檢察機關在承擔維護網絡安全、保護數據權益職責時所面臨的難題和挑戰。

  廣東省深圳市寶安區檢察院以案件辦理為切入點,積極探索、確立和推廣數據合規的核心理念與操作規范,推動深圳市構建起一套全面系統、符合時代需求的企業數據合規治理標準體系,助推企業在數字化轉型過程中實現安全、穩健運營,將檢察職能轉化為推動數字經濟發展的重要法治動力。

  整治App過度收集個人信息,築牢數據安全“防火墻”

  “以前在餐廳掃碼點餐時,心裡總犯嘀咕,生怕手機號、姓名這些隱私被隨意泄露出去,現在掃碼點餐簡單規范多了,不用授權一堆信息就能輕松下單,也不用擔心自己的信息被過度采集,真是吃得舒心又放心!感謝你們對掃碼點餐信息安全隱患的系統治理。”近日,消費者葉女士在廣東省深圳市寶安區檢察院開展的一次餐廳隨機回訪時說道。

  隨著各類App在生活中的廣泛普及,部分App在提供服務過程中過度收集、使用乃至非法泄露用戶個人信息的問題逐漸成為公眾關註的焦點。

  “要先關註餐廳公眾號、註冊會員、填寫個人信息後才能進入點餐程序,這讓我意識到,餐廳在未明確告知並獲取客戶同意的情況下收集個人信息,會對客戶的個人信息權益造成潛在威脅。”該院公益訴訟檢察官姚霞在餐廳掃碼點餐時,敏銳地發現掃碼點餐背後隱藏的公益訴訟線索。該院經分析研判後,在轄區內開展餐飲行業掃碼點餐獲取個人信息專項檢察監督行動。

  “經過多次實地走訪和調查核實,我們發現有15傢商戶確實存在不同程度地利用掃碼點餐小程序強制性獲取消費者手機號碼、微信個人信息、地理位置以及要求強制關註公眾號等違法行為,嚴重侵害了消費者的合法權益。”該院第五檢察部主任王林介紹道:“為督促負有監管職責的行政機關依法履職,我們召集相關行政機關及15傢商戶進行了訴前磋商。”

  磋商會上,辦案檢察官闡述了15傢商戶的違法違規事實、個人信息安全的重要性、數據合規的定義以及企業整改的方向和目的,15傢商戶均對違法事實予以確認並簽署《合規承諾書》,表示願意聘請合規專業人員對企業進行數據合規整改。在15傢商戶自行合規整改完成後,該院建議行政機關提請寶安區促進企業合規建設委員會組建第三方監督評估工作組。第三方監督評估工作組由7位個人信息保護專業領域的合規專傢、法學教授組成,經過審查商戶自查報告提出整改要求、現場走訪商戶及調查評估,最後對完成違法風險點合規以及企業合規體系建設的15傢商戶出具了合規考察報告。

  為推進個人信息保護的全行業整治,該院針對小程序平臺對個人信息保護不力的問題,向相關計算機公司制發社會治理檢察建議,建議其加大對平臺中個人信息及數據安全保護的全流程合規審查力度,通過小程序準入設置、中期監管、末端退出等方式建立合規審查通用標準。相關計算機公司對檢察建議高度重視,聘請專業團隊制定嚴格的個人信息收集規范,建立專門的小程序平臺運營規范,為用戶提供規范的隱私保護指引模板;成立個人信息保護外部監督委員會,獨立評議公司及各產品隱私保護等相關工作。

  “在個人信息保護領域踐行‘公益訴訟 數據合規’模式,組建專業化第三方監督評估工作組,對‘企業 平臺’的雙合規整改進行專業評估,實現全行業綜合整治,是我院為企業數據合規建設提供更廣闊路徑的新嘗試,既可以切實維護群眾合法權益,也可以引導企業良性運行,優化法治化營商環境。”王林說道。

  打擊快遞員販賣個人信息行為,劃定數據安全“隔離帶”

  近年來,網絡購物推動了快遞需求的急劇增長。據統計,2022年國內全年網上零售額為13.79萬億元,快遞隱私面單(指可通過符號隱藏、虛擬電話等多種方式將寄件人和收件人的個人信息“藏”起來)使用量已達日均1億單以上。

  “雖然快遞業對個人信息保護的水平正在提升,但快遞行業人員販賣客戶個人信息的行為仍屢禁不止,大傢還時不時會接到一些騷擾電話和詐騙信息,導致我每次網購都提心吊膽,生怕自己的地址、電話這些信息被不當利用,希望能進一步規范快遞行業寄遞信息管理,讓我們在網購時能買得開心、收得安心。”消費者郭女士道出了自己的隱私焦慮。

  數據安全法和個人信息保護法均明確規定了收集、使用、處理個人信息應當遵循的原則,要求相關企業承擔起保護個人信息安全的責任。公安部、國傢網信辦、國傢郵政局等部門也聯合開展相關治理行動,加大對竊取、販賣寄遞信息案件及相關黑色產業鏈的打擊力度,檢察機關也針對嚴重侵犯公民個人信息的案件提起公益訴訟,督促快遞公司加強信息安全管理與整改。

  “我院在辦理某快遞企業營業點主管及倉庫管理員等8人侵犯公民個人信息刑事案件時,發現違法人員利用職務便利,通過主管賬戶查詢指定手機號碼對應的快遞單號,再通過手機拍照方式將快遞單號發至購買方,購買方通過‘巴槍’(快遞業數據采集工具)便可獲取快遞單號中的所有信息,包括寄收方姓名、聯系方式、收寄貨地址、物品信息等,其行為嚴重侵犯公民個人信息安全,損害社會公共利益。我院啟動一體化辦案機制,聯動刑事檢察與公益訴訟檢察職能,在打擊侵犯公民個人信息刑事犯罪的同時,開展了刑事附帶民事公益訴訟工作。”該院副檢察長潘少暉介紹道。

  該院刑事檢察部門和公益訴訟檢察部門共同厘清證據鏈條,全面掌握涉案人員違法犯罪事實和社會公共利益受損情況,最終促成8名涉案人員全部認罪認罰,8人均表示願意支付公益訴訟賠償金。該院依法提起刑事附帶民事公益訴訟,訴請判令涉案人員支付侵犯公民個人信息賠償金24萬餘元。2022年5月,寶安區法院判決8名被告人構成侵犯公民個人信息罪,並支持了該院的民事公益訴訟請求。

  “公益訴訟檢察工作不應止步於此。”潘少暉繼續說,“我們多次到某快遞公司了解其日常監管模式及操作流程,發現該公司雖然已采取大量安全保障措施,但在硬件設置和管理流程風控上仍然存在可完善空間。通過走訪其他快遞公司和物流行業協會還發現,快遞行業普遍存在著快遞查單系統權限設置過高,查單系統賬號、密碼安保級別低,‘巴槍’管理不到位等問題。”

  2022年10月,該院向相關快遞公司發出檢察建議,建議其針對公司管理漏洞開展企業數據合規治理。相關快遞公司按照檢察建議要求,快速啟動企業數據合規整改工作,聘請專業機構針對個人信息收集、管理流程進行拆解、細化、規范,優化用戶個人信息保密制度,合理設置內部人員數據訪問權限,嚴控賬號安全風險,加強對現有“巴槍”的管理。相關快遞公司完成系列數據合規整改後,該院督促相關部門現場抽查該快遞公司營業網點管理人員登錄系統、“巴槍”查詢權限、資產盤點清算系統等情況,對該快遞公司的數據合規整改進行驗收,確保相關公益損害風險已得到消除。

  “我院通過對刑事附帶民事公益訴訟案件的辦理,在打擊數據違法犯罪的基礎上,發揮修復社會公益綜合治理的檢察職能,從後端懲治向全流程風控轉變,督促企業開展數據合規整改,建立快遞企業個人信息安全保護通用標準,實現由點到線、由線到面的輻射保護效應,該案被最高檢評為個人信息保護檢察公益訴訟典型案例。”潘少暉表示。

  構建大灣區數據合規標準體系,打好數據安全“預防針”

  “以前在開展業務的時候,總擔心踩到法律紅線或面臨合規風險,《深圳市企業數據合規指引》的出臺,讓我們在收集、使用及處理數據時有了邊界和規范指導,不僅強化了我們對數據安全、用戶隱私保護的責任意識,還讓我們企業在數據運營上更有底氣,也更能專註於技術研發和服務創新。”一名在深圳創業的數據企業負責人在一次合規調研活動上說道。

  中共中央、國務院發佈的《關於構建數據基礎制度更好發揮數據要素作用的意見》確立了“在合規流通使用中激活數據價值”的基本遵循與“完善數據全流程合規與監管規則體系”的整體目標。深圳市現有企業數量已突破250萬戶,商事主體數量和創業密度穩居全國前列,其中數據企業的數量龐大且增長迅速。將數據相關法律法規和企業合規需求有機結合,構建大灣區數據合規標準體系,成為深圳數字產業在避免侵犯個人信息合法權益和算法誤導前提下實現數據價值和可持續發展的剛性需求。

  “深圳是全國數字經濟重要的前沿陣地,數據交易規模和跨境交易金額居全國前列。但由於數據合規體系標準缺失,導致很多企業不敢、不會、不願去挖掘數據價值,限制了深圳乃至大灣區數字實體經濟的進一步發展。我院作為全國最早一批開展涉案企業合規工作的試點檢察院,有著較為豐富的合規實踐經驗,結合大灣區數據安全治理的現狀,探索建立具有深圳特色的企業數據合規標準體系,是我們的檢察使命和擔當。”寶安區檢察院檢察長吳澍農在談起推動構建深圳市企業數據合規標準體系的初衷時說道。

  2023年1月,在深圳市檢察院的支持下,該院聯合深圳數據交易所組織多傢高校和科技企業共同啟動《深圳市企業數據合規指引》(以下簡稱《指引》)的編寫工作。

  “如何平衡不同領域企業對數據合規需求的差異?如何在探索制定監管規則時避免出現阻礙數據要素流通和產業發展的情形?如何在嚴守個人信息保護紅線的基礎上保障企業充分利用數據資源、激活數據價值,構建起具有普適性和前瞻性的數據合規體系標準?這些都是擺在《指引》編寫團隊面前需要解決的一道道難題。”該《指引》歷經8個月精心打磨和審慎研討後出臺,吳澍農回憶起編寫過程中的點點滴滴,仍充滿感慨。

  編寫團隊成員來自檢察機關、高校研究機構以及業界領軍企業,多元視角下,各方對數據合規的理解、實踐和需求的差異讓《指引》起草過程充滿著意見的碰撞和協商,為解決在數據全生命周期管理的具體流程、數據出境的審核標準、監管責任分配和激勵機制設置等關鍵條款的分歧,團隊成員在檢察院的組織下多次在線上視頻連線進行討論、在線下走訪不同企業進行調研,最終經多輪專傢論證並征求行政機關意見後優化修改,完成定稿。

  2023年9月,在深圳市網絡安全宣傳周啟動活動上,深圳市檢察院、深圳市互聯網信息辦公室、深圳市發展和改革委員會、深圳市司法局和深圳數據交易所聯合發佈該《指引》。該《指引》完善了數據全生命周期中的各類安全風險防范問題,搭建了全流程合規標準規范,明確數據跨境交易合規的標準和監管;首次將數據合規的激勵機制引入行政監管領域並確立數據合規行刑銜接機制;嘗試建立企業數據交易環節的免責事由與容錯機制,助力數據要素合規高效流通交易,促進數據要素市場發展。

  該《指引》不僅為企業提供了明確的數據合規操作標準和實踐框架,有助於企業在合法合規前提下充分利用數據資源進行數字化轉型和產業升級,也完成了檢察機關企業數據合規的實踐成果轉化,促使檢察機關從單純的事後追責向事前預防與監督並重的角色轉變,深化了檢察機關對企業數據管理的引導作用和服務效能,並為監管部門和司法機關辦案提供參考,引領塑造了數據合規環境下監管部門和司法機關履職方式和一體化治理的“灣區方案”,更好地促進數字經濟高質量規范發展。