数据合规是指企业或组织在收集、存储、使用、传输、处理和删除数据的全过程中,必须遵守跟数据合规相关的法律法规、行业标准以及用户权利保护规定的一整套制度与措施。
当下的互联网时代以及即将到来的AI时代都是大数据时代,数据合规越来越重要。
在国内,如果没有做好数据合规,那么可能会涉嫌以下10大罪名:
1、窃取、收买、非法提供信用卡信息罪;
2、侵犯公民个人信息罪;
3、拒不履行信息网络安全管理义务罪;
4、非法利用信息网络罪;
5、非法侵入计算机信息系统罪;
6非法获取计算机信息系统数据、非法控制计算机信息系统罪;
7、提供侵入、非法控制计算机信息系统程序、工具罪;
8、破坏计算机信息系统罪;
9、帮助信息网络犯罪活动罪;
10、侵犯著作权罪;
11、侵犯商业秘密罪。
在国外,当地时间2025年5月2日,TikTok(我国科技公司字节跳动旗下的子公司)因数据传输合法性问题被爱尔兰数据保护委员会(DPC)调查,后被处以5.3亿欧元(约合43.66亿元人民币)的行政罚款。这不是TikTok第一次受到DPC的处罚。早在2023年,TikTok就曾因触犯、违反欧盟《通用数据保护条例》(GDPR)中关于处理儿童个人数据的隐私法律(如:默认公开账户设置、年龄验证问题),被罚款3.45亿欧元(约合28.42亿元人民币)。另外,在澳大利亚,Medibank 数据泄露后,直接损失过亿,市值蒸发几十亿。
既然数据合规那么重要,那么有关数据合规的基本法律有哪些呢?这些法律是怎么样一步步演进的呢?
目前世界上第一部数据保护法是早在1970年德国黑森州颁布的《数据保护法》。而世界各地颁布的数据保护立法中,影响最大的一部法律就是2018年5月25日起施行的欧盟颁布的《《一般数据保护条例》(GDPR)》,分别对数据处理的基本原则、数据主体的权利、数据控制者和处理者的义务与责任、跨境数据传输等事项进行了详细的规定。
而我国国内数据合规相关的基本法律的数量多达8部,其整整20年的发展演进脉络也非常清晰。
一、刑法
1、2005年,全国人大常委会通过了《刑法修正案(五)》,增设了“窃取、收买、非法提供信用卡信息罪”,在刑法第177条之一第2款,具体规定为:“窃取、收买或者非法提供他人信用卡信息资料的,依照前款规定处罚。”
这是我国刑法第一次将直接侵害公民个人信息的行为规定为犯罪,为数据合规提供了指引。
2、2009年,全国人大常委会审议通过了《刑法修正案(七)》,新增《刑法》第253条之一,具体规定为:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
这是我国首次将侵犯公民个人信息行为入罪,将出售或非法提供个人信息以及窃取或以其他方法非法获取个人信息的行为纳入刑事打击的范围。
3、2015年,全国人大常委会通过了《刑法修正案(九)》,其中,对《刑法》第253条之一作了修改,明确规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
这次修改将犯罪主体从国家机关或者金融、电信、交通、教育、医疗等单位的工作人员变成了任何人;同时明确了在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚。
4、2015年,全国人大常委会通过了《刑法修正案(九)》,在刑法第二百八十六条后增加一条,作为第二百八十六条之一,新增了拒不履行信息网络安全管理义务罪,对网络服务提供者不履行信息网络安全管理义务,致使违法信息大量传播或致使用户信息泄露等后果的,以该罪论处。
具体内容如下:
网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
5、2015年,全国人大常委会通过了《刑法修正案(九)》,在刑法第二百八十七条后增加了两条,其中第一条作为第二百八十七条之一,新增了非法利用信息网络罪,对利用信息网络设立用于诈骗、传授犯罪方法等违法犯罪活动或发布违法犯罪信息的行为进行规制。这些网站的内容主要是发布违法犯罪信息和数据,危害性大,所以受到刑法的规制。
具体内容如下:
利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金:
(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;
(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;
(三)为实施诈骗等违法犯罪活动发布信息的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
6、行为人可能会涉嫌的其他几个罪名,主要是因为犯罪的方式会导致非法获取到信息数据,或内容载体会涉及到信息数据,或者会对数据相关的犯罪起到帮助作用。
二、全国人大常委会于2012年12月28日发布的《关于加强网络信息保护的决定》
1、该决定明确了:任何组织和个人不得窃取或者以其他非法方式获取能够识别公民个人身份和涉及公民个人隐私的公民个人电子信息,也不得出售或者非法向他人提供公民个人电子信息。
2、该决定系我国第一次以法律的形式明确规定:网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意
3、该决定规定:网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
4、该决定明确要求网络服务提供者和其他企业事业单位采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失
三、全国人大常委会于2013年10月25日修改并发布的《消费者权益保护法》
1、在第14条中,新增了消费者“享有个人信息依法得到保护的权利。”
这是因为当时经营者泄露、非法买卖消费者个人信息的违法行为高发,严重侵害了消费者的隐私权和生活安宁权。
2、对应第14条,第50条明确规定:侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失。
这也是在网络销售、互联网销售兴起的时代背景而作的修改,以保护消费者的个人信息和数据。
四、全国人大常委会于2016年11月7日发布的《网络安全法》
该法律的第四章专门对网络信息安全进行了规定。
1、再次重申并要求:网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
2、再次重申:网络运营者收集使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。同时明确:不得收集与其提供的服务无关的个人信息。
3、明确规定:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
4、明文规定:网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施、告知和报告。
5、明确规定:任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
6、明确要求:任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
尽管在2025年10月28日,全国人大常委会重新修改了《网络安全法》,但是以上内容全部都原文保留了。
五、全国人民代表大会于2017年3月15日发布的《民法总则》(现已失效)
1、民法总则第111条明确规定:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
2、民法总则第127条还规定:法律对数据、网络虚拟财产的保护有规定的,依照其规定。
六、全国人大常委会于2018年8月31日发布的《电子商务法》
这是在电商平台利用大数据对用户进行数据画像,从而精准营销、发送广告的背景下出台的。为了保护消费者的知情权和选择权,该法第18条第1款明确规定: “电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。”
七、全国人民代表大会于2020年5月28日发布的《民法典》
1、《民法典》第1034条明确对个人信息进行了定义,并指出了常见的个人信息的范围。而个人信息是个人最重要最核心的数据。
具体内容如下:
自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
2、《民法典》第1035条明确了个人信息处理的原则。
具体内容如下:
处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
3、民法典第1036条规定了处理个人信息的免责事由。
具体内容如下:
处理个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。
4、民法典第1037条规定了自然人信息主体的各项权利
具体内容如下:
自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。
自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。
5、民法典第1038条规定了信息处理者的义务和责任。
具体内容如下:
信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。
6、民法典第1039条规定了国家机关及其工作人员对个人信息的保密义务。
具体内容如下:
国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。
7、民法典第999条明确了:新闻报道可以合理使用个人信息,以保证社会公众的舆论监督权。
具体内容如下:
为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等;使用不合理侵害民事主体人格权的,应当依法承担民事责任。
八、全国人大常委会于2020年10月17日发布的《未成年人保护法》
1、第72条规定了处理未成年人个人信息的原则、未成年人及其监护人的权利。
具体内容如下:
信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。
未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外。
2、第73条规定了网络服务提供者的及时及保护义务。
网络服务提供者发现未成年人通过网络发布私密信息的,应当及时提示,并采取必要的保护措施。
综上,从数据合规的基本法律演进来看,总体趋势是越来越细化,越来越全面,更有利于全方位保护个人数据,进行数据合规。
湘潭大学诉讼法学硕士、法治湖南建设与区域社会治理协同创新中心研究员、北大法宝的签约作者、无讼专栏作者;广州市从化区人民检察院涉案企业合规试点改革第三方组织专业人员;广东省律协协会合规与风控委员会委员;入选广东省律师协会涉外律师人才库。
办案期间,撰写了多篇理论和实务文章,其中有多篇文章发表在《中国律师》《广东律师》《苏州检察》《广州律师》等权威刊物。
其中,《不以市场交易而以其他犯罪为目的的行贿,是否属对非国家工作人员行贿罪》于2018年被广东省律师协会评为三等奖;
《从“冬虫夏草”案看食品和药品的区分》于2018年被广州市律师协会评为“理论成果奖三等奖”;
《通过江歌刘鑫案看刑法先行行为引起的救助义务对犯罪的影响》被北大法律信息网评为2017年度最受关注“文章;
《八种影响正当防卫认定的问题》于2019年被广东省律师协会评为三等奖;
多个案件成功实现无罪辩护或罪轻、轻罪、减少罪名等有效辩护,其中李某某被控套路贷诈骗案件成功实现无罪辩护,广州市律师协会将该案评为2021年度业务成果奖, 之后该案例已收入《广州律师业务成果奖优秀案例汇编》(中国法制出版社);
李某被控妨害信用卡管理罪案件成功实现无罪辩护,广州市律师协会将该案评为2022年度业务成果奖;
刘某某被控合同诈骗成功实现无罪辩护,广州市律师协会将该案评为2023年度业务成果奖。
