❶ 拒不履行信息網路安全管理義務負責人刑拘!
兄弟,你聽說過「眾包平台」嗎?
眾包是啥,一群人包餃子嗎?
當然不是啦,科普一下,請聽好!
「眾包平台」,指企業或個人將某些任務拆分,以帶有傭金的形式發布出來,完成任務即可賺取相應傭金。
「眾包平台」提供了一種組織勞動力的全新方式,但需要注意的是,有不法分子趁虛而入。
他們打著「大學生邊讀書邊賺錢」「家庭主婦邊帶娃邊賺錢」的幌子,利用「眾包平台」發布賭博跑分、交友詐騙等違法信息,將某些「眾包平台」變成了違法犯罪的「根據地」。
「某牛」APP的第一次被查
2020年8月,重慶網警在「某牛」APP眾包平台上發現,有用戶發布違法違規信息,重慶網警立即赴該公司開展現場監督檢查。
「某牛」APP平台存在的各種違法信息截圖
經查,該APP平台日發布信息量1萬余條,日活躍人數5萬餘人。注冊用戶可在平台上發布帶有傭金的任務信息,其他用戶完成任務後即可獲得相應傭金。
鑒於該公司存在對法律、行政法規禁止發布或傳輸的信息未停止傳輸、採取消除等處置措施的違法行為,依據《網路安全法》第四十七條、第六十八條之規定,重慶網安部門給予「某牛」APP運營主體公司警告處罰並責令採取改正措施,納入重點監管對象。
「某牛」APP的再次被查
2021年5月,重慶網警在辦理一起賭博案件時,查明涉案嫌疑人利用「某牛」APP軟體平台發布「銀行卡、手機卡買賣」等違法廣告信息的事實。
經調查核實,「某牛」APP運營主體公司在2020年被屬地公安機關行政處罰後,仍未對APP內信息發布等環節進行有效整改,致其再次被違法犯罪嫌疑人用來發布違法違規廣告信息共計九千餘條,並造成現實危害。
5月26日,該公司相關負責人被抓獲歸案,犯罪嫌疑人涉嫌違反《中華人民共和國刑法》第二百八十六條之一,拒不履行信息網路安全管理義務罪被刑事拘留。
目前,該案正在進一步偵辦中。
網警普法
言行不軌於法令者必禁。
——《韓非子》
根據《網路安全法》第四十七條 網路運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,採取消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告。
第六十八條 網路運營者違反本法第四十七條規定,對法律、行政法規禁止發布或者傳輸的信息未停止傳輸、採取消除等處置措施、保存有關記錄的,由有關主管部門責令改正,給予警告,沒收違法所得;拒不改正或者情節嚴重的,處十萬元以上五十萬元以下罰款,並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
根據《刑法》第二百八十六條之一【拒不履行信息網路安全管理義務罪】網路服務提供者不履行法律、行政法規規定的信息網路安全管理義務,經監管部門責令採取改正措施而拒不改正,有下列情形之一的,處三年以下有期徒刑、拘役或者管制,並處或者單處罰金:
(一)致使違法信息大量傳播的;
(二)致使用戶信息泄露,造成嚴重後果的;
(三)致使刑事案件證據滅失,情節嚴重的;
(四)有其他嚴重情節的。
單位犯前款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照前款的規定處罰。
有前兩款行為,同時構成其他犯罪的,依照處罰較重的規定定罪處罰。
圖片 | 網路截圖
素材 | 重慶網警
編輯 | 張思遙
— END —
❷ 破壞計算機信息系統罪、網路服務瀆職罪既遂的刑事責任
一、破壞計算機信息系統罪、網路服務瀆職罪既遂的刑事責任?
1、破壞計算機信息系統罪的刑事責任:
違反國家規定,對計算機信息系統功能進行刪除、修改、增加、干擾,造成計算機信息系統不能正常運行,後果悔梁嚴重的,處五年以下有期徒刑或者拘役;後果特別嚴重的,處五年以上有期徒刑。
違反國家規定,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作,後果嚴重的,依照前款的規定處罰。
單位犯罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照個人犯罪的規定處罰。
2、我國沒有網路服務瀆職罪,相關的罪名是拒不履行信息網路安全管理義務罪,刑事處罰標準的參考依據如下:
網路服務提供者不履行法律、行政法規規定的信息網路安全管理義務,經監管部門責令採取改正措施而拒不改正,有下列情形之一的,處三年以下有期徒刑、拘役或者管制,並處或者單處罰金:
(一)致使違法信息大量傳播的;
(二)致使用戶信息泄露,造成嚴重後果的;
(三)致使刑事案件證據滅失,情節嚴重的;
(四)有其他嚴重情節的。
單位犯前款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照個人犯罪的規定處罰。
二、破壞計算機信息系統罪的立案標準是什麼?
1、造成10台以上計算機信息系統的主要軟體或者硬體不能正常運行的;
2、對20台以上計算機信息系統中存儲、處理或者傳輸的數據進行刪除、修改、增加操作的;
3、違法所得5000元以上或者造成經濟損失1萬元以上的;
4、造成為100台以上計算機信息系統提供域名解析、身份認證、計費等基礎服務或者為1萬以上用戶提供服務的計算機信息系統不能正常運行累計1小時以上的;
5、造成其他嚴重後果的。
如上所述,破壞計算機信息系統罪和拒不履行信睜前山悉中息網路安全管理義務罪的刑事責任,需要根據具體情況分析,而且,這兩種犯罪行為的犯罪主體都包括單位犯罪,對於單位犯罪,單位的主管人員和相關的直接責任人都要承擔刑事責任,對單位要判處罰金。
❸ 相關公司拒絕執行個人信息安全法第十五條規定怎麼處理
《個人信息保護法》三讀通過,標志著我國對個人信息的立法保護方面上升到了新的高度;但相對應的是,作為「信息處理者」的企業也有了法律上新的義務。
作者 | 呂長軍 中國傳媒大學法律碩士校外導師
編輯 | 布魯斯
2021年8月, 我國《個人信息保護法》三讀通過 ,標志著我國對個人信息的立法保護方面上升到了新的高度;但相對應的是,作為「信息處理者」[1]的企業也有了法律上新的義務,包括:制度完備義務、安全保障義務、個人信息分級分類義務、內部許可權管理義務、信息質量與演算法合規義務、信息主體權益保障義務、事前風險評估義務(例如事前個人信息保護影響評估)、合規審計義務、以及特殊處理者的義務等,因此需要依法建立起符合法律要求的個人信息及數據[2]合規體系。
一、企業建立個人信息及數據合規體系的價值
《個人信息保護法》中對企業提出了建立個人信息保護合規體系的要求,似乎企業負擔加重,但實際上企業按照《個人信息保護法》的要求來進行合規操作有諸多的價值:
其一,合規價值。我國先後出台的《網路安全法》、《數據安全法》和《個人信息保護法》三部法律不僅構建起個人信息和數據保護的基本框架, 而且均明確要求企業建立數據(或個人信息)合規制度,而《個人信息保護法》更是要求大型互聯網平台、業務類型復雜的企業 「應當按照國家規定建立健全個人信息合規制度體系」[3];同時,諸多境外數據保護法律法規如GDPR等也要求企業建立數據及個人信息保護合規體系。可以說,建立個人信息及數據合規體系已經成為現代企業的一項重要法律義務。
其二, 品牌價值和市場競爭力。在強調個人數據與隱私保護的大環境下,企業在數據安全和隱私保護方面的有效努力,最終會得到合作方的認可,更為重要的是可以得到消費者的最後認同,這無疑將提升企業的品牌價值和市場競爭力。
其三,降低企業風險及減少損失。任何企業在個人信息及數據方面不合規的行為,均有可能產生行政調查、侵權訴訟、媒體曝光、甚至刑事案件等後果,將可能會為企業帶來重大的經濟和聲譽損失,包括行政處罰、訴訟賠償、刑事處罰、客戶流失等。
其四,有助於應對行政監管或訴訟。企業的個人信息及數據合規體系的完備,可以在一定程度上證明企業已充分盡到數據及個人信息保護的義務,可以有效助力企業應對監管執法和訴訟抗辯。
二、《個人信息保護法》第51條下企業的合規義務
在《個人信息保護法》中,第51條集中闡述了個人信息處理者的主要合規義務,包括制度建設、信息分類、技術措施、人員管理和應急預案五個基本方面以及兜底的其他措施。
第51條規定:
個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,採取下列措施確保個人信息處理活動符合法律、行政法規的規定,並防止未經授權的訪問以及個人信息泄露、篡改、丟失:
(一)制定內部管理制度和操作規程;
(二)對個人信息實行分類管理;
(三)採取相應的加密、去標識化等安全技術措施;
(四)合理確定個人信息處理的操作許可權,並定期對從業人員進行安全教育和培訓;
(五)制定並組織實施個人信息安全事件應急預案;
(六)法律、行政法規規定的其他措施。
1、制定公司內部管理制度和操作規程
《個人信息保護法》要求個人信息處理者(企業)內部應建立完善的個人信息保護制度以及操作規程。
1)健全內部管理制度
對企業而言,了解和梳理企業個人信息處理活動的目的、范圍和方式,是進行信息處理管理的基礎。在此基礎上,需要整理、制定適應企業內部的個人信息相關制度,包括但不限於:(1)個人信息收集、傳輸及處理制度;(2)個人用戶信息收集及處理告知制度;(3)個人信息安全保護制度(包括傳輸、使用及資料庫安全等);(4)信息分級分類管理制度;(5)個人信息風險評估制度 ;(6)審計制度等。
除上述重要制度外,企業內部管理制度中還應有應急預案制度、個人信息出境管理制度等。(詳見下文)
內部制度應具有合規性、可行性、完備性;也即既要符合法律法規要求,又要從企業自身實際情況出發,可操作,同時應注意全面覆蓋相應各個業務條線, 具有完備性。
2)制定個人信息收集、傳輸、存儲及處理操作流程
流程與制度相輔相成。企業應注意「個人信息處理全流程管理」的重要性,實施從個人信息收集、傳輸、存儲到處理、刪除等各環節的銜接和涵蓋全流程的管理,並在流程中應注意嚴格的許可權管理。
3)設置網路安全負責人、個人信息保護負責人等專職人員
《網路安全法》要求網路運營者設置專門安全管理機構和安全管理負責人,《信息安全技術 個人信息安全規范》規定了個人信息控制者應當設置個人信息保護負責人,而GDPR則要求設置數據保護官。
《個人信息保護法》沒有硬性要求所有的企業均設立「個人信息保護負責人」,而是要求如果處理個人信息達到一定」數量」, 則應設置個人信息保護負責人[4],但「數量」並未予以明確標准。當涉及的個人信息數據量較大時,企業應當考慮設定個人信息保護負責人,由其進行相關工作的統籌和管理,在有必要的情況下可以考慮成立相關部門,負責建立內部合規管理制度和相關措施乃至推行制度及措施的實施。
2、個人信息實行分級分類管理
《網路安全法》、《數據保護法》和《個人信息保護法》都提出要將數據進行分級分類管理。無論從合規或管理效率而言, 企業都有必要對數據進行分級分類管理。
首先,梳理企業信息庫存。搞清企業目前擁有哪些個人信息(數據)、承載個人信息的數據位於何處、如何流動以及與哪些部門相關,是在企業中創建個人信息保護合規框架的基礎。
其次,明確所需信息, 去除非必要信息。對個人信息的處理,應滿足《個人信息法》第6條提出的 「明確合理目的」以及「個人權益影響最小」兩個原則。因此,企業應當明確其需要哪些類型的個人信息,通過清單等形式將所需信息的內容和目的進行陳列,同時,應在企業系統中去除非必要的信息,並嚴格要求各部門不再進行收集或儲存。
再次,對需要處理的信息進行分級分類,以便進一步的管理,包括處理許可權、流程等工作的區分。
其中,企業應對以下兩類信息進行甄別並加以特別關註:
1)敏感個人信息。敏感個人信息包括種族、民族、宗教信仰、個人生物特徵、醫療健康、金融賬戶、個人行蹤等信息。這類信息多與人身、財產安全相關,因此受到法律特別保護,相關的程序和保護措施要求較之一般個人信息要嚴格。
2)未成年人(未滿十四周歲)個人信息。我國法律要求對該類信息的處理應依法取得其監護人的同意。
需要注意的是, 企業收集的個人信息, 不僅僅指收集的外部個人信息, 也包括對內部員工的個人信息。雖然《個人信息保護法》提出因對內部員工「人力資源管理」從而可以進行各種個人信息的收集、處理, 但絕不意味著可以忽略內部員工個人信息權益的保護。
3、個人信息安全保護措施
在網路環境下,數據安全是個人信息保護的基礎,而保障數據安全是個人信息處理者的一項重要且基礎的工作,同時也是一項法律義務。我國《網路安全法》要求網路運營者保障網路安全、維護網路數據的完整性、保密性和可用性[5];《數據安全法》強制性規定了數據處理者保障數據安全的法律義務[6], 《個人信息保護法》則要求企業採用安全技術措施來保護其所處理的個人信息。
匿名化後的數據,不需要遵守有關個人信息保護的條款, 但仍應遵守數據保護的法律規定。
4、個人信息處理許可權及安全教育與培訓
個人信息處理許可權制度經過多年企業界的實踐, 被證明是一項較好的對個人信息及數據管理的機制,《個人信息保護法》將該機制直接列為企業的一項法律義務。該機制的要點在於:
1)設立內部分工和許可權制度。將個人信息的收集、儲存、使用等處理環節,以及風險監控、合規等工作進行明確的分工,並根據分工和信息分級分類情況,對不同員工設置對應級別的許可權。
2) 全員參與(而非重點人員參與)安全與許可權培訓。通過個人信息與數據的安全教育與培訓,牢固樹立數據安全意識,明確各自許可權所在, 防止人為造成數據泄露。
5、個人信息安全事件應急制度
合規工作雖能防患於未然,但並不能完全排除風險。隨著技術進步和企業產品迭代,安全漏洞總難以避免,因此企業應當制定數據安全事件應急預案並定期演練,以備不時之需。我國《網路安全法》中已規定網路運營者應當制定網路安全事件應急預案[9],及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,及時啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
《個人信息保護法》再次強調企業應建立個人信息安全事件應急預案並定期進行演練,並將此作為企業的一項法律義務。
三、《個人信息保護法》下企業的其他合規義務
除第51條外,《個人信息保護法》還在其他條文中規定了企業的一些重要的合規義務, 主要包括:
1、收集、處理個人信息的充分告知義務
《個人信息保護法》再次強調了個人信息收集與處理的「告知-同意」原則。對於需要收集個人信息的企業而言,應制定出明確的個人信息保護政策(《隱私政策》),真實、完整的向用戶告知企業的基本情況、個人信息收集、使用目的、范圍及場景、個人信息處理方式及規則、對外共享及披露情形、個人信息主體權利保障機制、投訴處理渠道等。
個人信息保護政策應公開發布且應送達個人信息主體, 由用戶在注冊或首次運行產品時閱讀並勾選同意後才可繼續使用。如涉及個人信息會被用於用戶畫像和個性化展示的,則應在《隱私政策》中徵得用戶的同意,充分保障用戶知情權;而在進行自動化決策前,應當就自動化決策的透明和公平性做好充分說明。
需要特別注意的是,《個人信息保護法》要求對於收集個人敏感信息的,應取得用戶的單獨同意[10],因此企業不能採取過去的概約性、打包式的同意,而應單獨提示用戶勾選同意方可。
2、信息主體權益保障義務(應提供個人信息查閱復制、修正、移轉及刪除服務)
《個人信息保護法》明確了在個人信息處理活動中個人的各項權利,包括知情權、決定權、限制權、拒絕權、查閱、復制權、可攜權、更正、補充權、刪除權。既然個人享有一系列個人信息權利,也意味著個人信息處理者負有配合個人權利行使的義務。企業需要根據用戶個人的需求,靈活和准確地響應數據主體訪問查詢、更正、刪除、移轉等要求。
1)接受信息主體的要求,提供個人信息查閱、復制的途徑及服務
長期以來,不少互聯網平台將用戶信息視為重要的財產性權益,而用戶想了解平台到底掌握自己哪些信息卻有時連查詢的渠道、途徑都沒有。GDPR開了個人信息嚴格保護的先河,確認個人有查詢權,即有權要求互聯網公司(信息控制者)提供掌握本人信息的明細清單。
《個人信息保護法》也規定了企業應為用戶提供個人信息查閱、復制的法律義務,因此企業也應制定相應的接受用戶要求、核實身份、匯總信息、提供信息的制度和流程。
2)接受信息主體的要求, 提供個人信息修正的途徑及服務
《個人信息保護法》第十五條規定了信息主體對個人信息的修改權,企業應為個人信息處理者提供修正的途徑和服務。相應的,企業應建立起修正溝通渠道、內部修正機制等。
3)接受信息主體的要求,提供移轉的途徑及服務
《個人信息保護法》第十五條規定了信息主體對個人信息的可攜帶權,即個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑。該規定不僅有利於個人自由處理其個人信息,也有利於打破數據壟斷和數據孤島現象。而作為企業也應就此制定移轉的內部操作流程。
4)接受信息主體的要求,提供便捷刪除服務
《個人信息保護法》第十五條規定了「基於個人同意而進行的個人信息處理活動,個人有權撤回其同意。個人信息處理者應當提供便捷的撤回同意的方式」。
撤回同意,是個人信息主體處分自身權利的一種方式。企業應確定撤回方式、撤回渠道等響應機制,並應保證用戶行使權力的便利性,符合「便捷原則」。
雖然法律未解釋何為「便捷」, 但按照通常的理解,「撤回」的難度不應大於「同意」的難度。
因此,企業可在企業主網頁、APP登錄入口等顯著頁面安置「撤回」的鏈接或選項, 並提供明晰的操作指導。企業內部因數據的修改和刪除有可能涉及多個部門,故應建立一系列的操作流程,並應研判其中的風險。
3、數據與演算法的合規義務
1)數據質量的檢查和審視,防止因數據質量引發歧視
演算法以數據為基礎, 數據不準確,則演算法結果、數據分析結論則基本不會准確,有可能會對相關數據主體帶來負面評價,從而導致其合法權益受到影響。
《個人信息保護法》第8條規定:
「處理個人信息應當保證個人信息的質量,避免因個人信息不準確、不完整對個人權益造成不利影響。」
《個人信息保護法》將保證個人信息質量作為企業的法定義務,從企業的角度說,則應建立檢查和審視數據的相應制度和流程, 以保障數據獲取的准確度。
2)保證演算法公平合理, 防止不合理差別待遇
互聯網時代「演算法為王」。演算法推薦是搜索引擎、社交軟體、電子商務等幾乎所有平台的標配。平台用代碼、演算法替代了傳統的內容分發過程中編輯的角色,提高了服務效率的同時,也會導致例如大數據殺熟、劣質內容泛濫等一系列侵犯用戶權利的現象。也正因為演算法推薦下的社會問題層出不窮,國家開始通過立法手段進行干預,並在《個人信息保護法》下初步確立了演算法問責制,這在我國還是首次。
《個人信息保護法》第二十四條規定,
個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正。
演算法的透明性、公平及公正性本屬於倫理范疇, 《個人信息保護法》將它上升到了法律的高度, 成為相關企業的法律義務。它要求個人信息處理者必須對所用演算法進行檢查和審視,保證自動化決策的透明度和結果的公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
3) 自動化決策(演算法),需遵循「明確合理目的」以及「個人權益影響最小」兩個原則
《個人信息保護法》第六條規定,企業進行自動化決策,需遵循「明確合理目的」以及「個人權益影響最小」兩個原則,而且在自動化決策對個人權益造成重大影響時,應「向個人提供便捷的拒絕方式」, 也即賦予個人主體拒絕權。這對於長期以來通過個性化推薦、通過用戶畫像為用戶提供各種信息服務的企業來說,產生較強的影響和制約。
4、事前風險評估義務[11]
根據《個人信息保護法》的規定,在下列情況中,企業應當進行事前風險評估,且應將風險評估報告和處理情況記錄至少保存三年:
1)處理敏感個人信息;
2)利用個人信息進行自動化決策;
3) 委託處理個人信息、向他人提供個人信息、公開個人信息;
4) 向境外提供個人信息;
5)其他對個人有重大影響的個人信息處理活動。
我國《數據安全法》中僅規定「重要數據」的處理者應當對其數據活動定期開展風險評估,並向有關主管部門報送風險評估報告[12];《個人信息保護法》則明確在涉及「敏感個人信息」、「自動化決策」、「委託處理」、「向第三方提供」、「對外公開」、「跨境提供」等情形下賦予所有的個人信息處理者以「事前評估」的義務。
因此,風險評估將成為作為信息處理者的企業的一項經常性工作, 應將其制度化、常態化,在保證評估質量的情況下盡量實現高效、快捷。
筆者認為,風險評估報告應當包括本組織涉及的個人信息種類、數量, 收集、存儲、使用、委託、提供等的情況,面臨的安全風險及其應對措施等。
5、合規審計義務
《個人信息保護法》要求定期對企業處理個人信息遵守法律、行政法規的情況進行合規審計[13]。但由誰審計、具體審計內容、審計標准尚未有明確規定,企業應未雨綢繆,參照《個人信息保護法》、《網路安全法》、《數據保護法》三部基本法律中相對具體的規定,制定出應對審計的方案。筆者認為,主要內容應包括:
1) 審查內部管理制度和個人信息備忘錄的完備性和合規性;
2) 定期審計個人信息處理和管理工作;
3) 審計履行個人信息查閱復制、修正、移轉及刪除義務情況(信息主體權益保障情況);
4) 審核風險評估報告及記錄情況;
5) 審核個人信息相關的合同及其他法律文書;
6) 根據個人信息及數據相關法律法規的更新,及時調整內部制度的情況。
6、委託外部進行個人信息處理的合規義務
《個人信息保護法》並非不允許進行個人信息的外部委託處理, 但是應區分「共同處理」與「委託處理」, 其中,共同處理應取得信息主體的充分授權。
在數字經濟發展迅猛的今天, 數據外部委託處理已經極為常見, 比如雲服務,SAAS服務等, 均需要數據的外部存儲與處理。委託處理雖不必取得信息主體的授權,但是,《個人信息保護法》生效後,在對委託第三方(受託人)處理的情況下,委託處理個人信息之前,應事先進行個人信息保護影響評估,並對處理情況進行記錄。
雙方應簽訂書面委託合同, 其中應清楚載明委託事項、受託人許可權、期間等事項, 尤其是委託受託人進行信息處理不應超過個人權利主體的授權許可權或相關法律授予的許可權。
7、跨境數據傳輸的合規義務
《個人信息保護法》並非禁止個人信息跨境傳輸,而是規定了實現數據跨境傳輸的必要條件以及制度性框架,並引入了國際上一些較為成熟的做法,如標准合同機制等。但是,在操作層面還有待於進一步的制度以及有關部門的指導性意見去進行細化,包括標准合同模板、國家網信部門的評估流程及標准、認證部門及認證標准、不對等國家的清單等[14]。因此,在跨境數據流動場景中,企業應嚴格按照《個人信息保護法》、《網路安全法》與《數據安全法》的規定, 慎重處理跨境數據傳輸的問題。
對於企業(尤其是互聯網企業)而言,《個人信息保護法》要求的企業合規內容多而雜,可能涉及企業多個部門,因此企業應根據自身實際情況有一個完整的應對思路和方案, 所有部門都應當做好調整和配合的准備。
我國的《個人信息保護法》吸收了國外立法的優秀做法以及過往國內實踐寶貴經驗,可謂是「集大成者」,真正把我國對個人信息保護提升到了新的水平;但「徒法不足以自行」,個人信息保護法還有待於包括企業在內的各方一起努力,才能真正起到保護公民個人信息、維護公民網路空間權益以及促進信息合理利用的作用。
相關鏈接:
全文 | 《中華人民共和國個人信息保護法》
每周速覽 | 個人信息保護法草案三審
注釋:
[1] 個人信息處理者不僅僅包括企業,也包括政府部門、事業單位等;本文主要討論企業的合規義務。
[2] 數據是信息的載體, 個人信息在網路環境下通常以數據形式存在,故在網路時代個人信息保護和數據保護不可分離。
[3] 參見《個人信息保護法》第58條。
[4] 參見《個人信息保護法》第五十二條:處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及採取的保護措施等進行監督。個人信息處理者應當公開個人信息保護負責人的聯系方式,並將個人信息保護負責人的姓名、聯系方式等報送履行個人信息保護職責的部門。
[5] 參見《網路安全法》第10條。
[6] 參見《數據安全法》 第25條。
[9] 參見《網路安全法》第 25 條。
[10] 參見《個人信息保護法》第 29 條。
[11] 參見《個人信息保護法》第 55 條。
[12] 參見《數據安全法》 第28條.
[13] 《個人信息保護法》第54條規定:個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。
[14] 參見《個人信息保護法》第38條、第40條、第43條。
❹ 拒不履行信息網路安全管理義務罪
拒不履行信息網路安全管理義務罪是網路服務提供者不履行法律、行政法規規定的信息網路安全管理義務,經監管部門責令採取改正措施而拒不改正,有下列情形之一的,處三年以下有期徒刑、拘役或者管制,並處或者單處罰金:
(一)致使違法信息大量傳播的;(二)致使用戶信息泄露,造成嚴重後果的;(三)致使刑事案件證據滅失,情節嚴重的;(四)有其他嚴重情節的。單位犯前款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照前款的規定處罰。有前兩款行為,同時構成其他犯罪的,依照處罰較重的規定定罪處罰。
法律依據《中華人民共和國刑法》第二百八十六條之一網路服務提供者不履行法律、行政法規規定的信息網路安全管理義務,經監管部門責令採取改正措施而拒不改正,有下列情形之一的,處三年以下有期徒刑、拘役或者管制,並處或者單處罰金:
(一)致使違法信息大量傳播的;(二)致使用戶信息泄露,造成嚴重後果的;(三)致使刑事案件證據滅失,情節嚴重的;(四)有其他嚴重情節的。單位犯前款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照前款的規定處罰。有前兩款行為,同時構成其他犯罪的,依照處罰較重的規定定罪處罰。
❺ 泄密案件查處辦法
【法律分析】
拒不履行信息網路安全管理義務罪是指網路服務提供者不履行法律、行政法規規定的信息網路安全管理義務,經監管部門責令採取改正措施而拒不改正,情節嚴重的行為。1.客體:國家的信息網路安全管理制度。2.客觀方面:指網路服務提供者不履行法律、行政法規規定的信息網路安全管理義務,經監管部門責令採取改正措施而拒不改正,有下列情形之一的行為:其一,致使違法信息大量傳播的;其二,致使用戶信息泄露,造成嚴重後果的;其三,致使刑事案件證據滅失,情節嚴重的;其四,有其他嚴重情節的。3.主體:是特殊主體,即網路服務提供橡拍者,既包括自然人,也包括單位。4.主觀方面:是故意的,既包括直接故意,也包括間接故意。
【法律依據】
《中華人民共和國刑法修正案》 二十八、碰派 在刑法第二百八十六條後增加一條,作為第二百八十六條之一:「網路服務提供者不履行法律、行政法規規定的信息網路安全管理義務,經監管部門責令採取改正措施而拒不改梁吵羨正,有下列情形之一的,處三年以下有期徒刑、拘役或者管制,並處或者單處罰金:「(一)致使違法信息大量傳播的;「(二)致使用戶信息泄露,造成嚴重後果的;「(三)致使刑事案件證據滅失,情節嚴重的;「(四)有其他嚴重情節的。「單位犯前款罪的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照前款的規定處罰。「有前兩款行為,同時構成其他犯罪的,依照處罰較重的規定定罪處罰。」
❻ 幫助信息網路犯罪活動罪司法解釋
法律解析:
1、主體 幫助信息網路犯罪活動罪主體為一般主體。即年滿十六周歲具有刑事責任能力的自然人,單位也可構成幫助信息網路犯罪活動罪。 2、主觀方面 幫助信息網路犯罪活動罪在主觀方面只能由故意構成,過失不構成幫助信息網路犯罪活動罪。 3、客體 幫助信息網路犯罪活動罪侵犯的客體是有關國家網路安全的管理制度。 4、客觀方面 幫助信息網路犯罪活動罪客觀方面表現在明知他人利用信息網路實施犯罪,為其犯罪提供互聯網接入、伺服器託管、網路存儲、通訊傳輸等技術支持,或者提供廣告推廣、支付結算等幫助,情節嚴重的行為。 所謂「明知」,就是指知山弊道或應當知道;所謂「互聯網接入」是指通過特定的信息採集與共享的傳輸通道,利用相關傳輸技術完成用戶與IP廣域網的高帶寬、高速度的物理連接;所謂「伺服器託管」,是指為了提高網站的訪問速度,將您的伺服器及相關設備託管到具有完善機房設施、高品質網路環境、豐富帶寬資源和運營經驗以及可對用戶的網路和設備進行實時監控的網路數據中心內,以此使系統達到安全、可靠、穩定、高效運行的目的;所謂「網路存儲」,是指將存儲設備通過標準的網路拓撲結構連接到一群計算機上,目的在於幫助解決迅速增加存儲容量的需求,簡單的說就是將電腦上的東西存放在網路上。網路存儲結構大致分為三種:直連式存儲、網路存儲設備和存儲網路;所謂「通訊傳輸」,是指由一地向另一地進行信息的傳輸與交換,簡單的說,就是信息的傳遞。其目的是傳輸消息然而,隨著社會生產力的發展,人們對傳遞消息的要求也越來越高。 幫助信息網路犯罪活動罪是結果犯,需要達到「情節嚴重」才能構成,何為「嚴重情節」,有待於法律或司法解釋作出明確的規定。犯幫助信息網路犯罪活動罪同時又構成其他犯罪的,依照處罰較重的規定定罪處罰,不實行數罪並罰。
法律依據:
《 最高人民法院最高人民檢察院 關於辦理非法利用信息網路、幫助信息網路犯罪活動等刑事案件適用法律若干問題的解釋》 (2019年6月3日最高人民法院審判委員會第1771次會議、2019年9月4日最高人民檢察院第十三屆檢察委員會第二十三次會議通過,自2019年11月1日起施行) 法釋〔2019〕15號 為依法懲治拒不履行信息網路安全管理義務、非法利用信息網路、幫助信息網路犯罪活動等犯罪,維護正常網路秩序,根據《中華人民共和國刑法》《中華人民共和國刑事訴訟法》的規定,現就辦理此類刑事案件適用法律的若干問題解釋如下: 第一條 提供下列服務的單位和個人,應當認定為刑法第二百八十六條之一第一款規定的「網路服務提供者」: (一)網路接入、域名注冊解析等信息網路接入、計算、存儲、傳輸服務; (二)信息發布、搜索引擎、即時通訊、網路支付、網路預約、網路購物、網路游戲、網路直播、網站建設、安全防護、廣告推廣、應用商店等信息網路應用服務; (三)利用信息網路提供的電子政務、通信、能源、交通、水利、金融、教育、醫療等公共服務。 第二條 刑法第二百八十六條之一第一款規定的「監管部門責令採取改正措施」,是指網信、電信、公安等依照法律、行政法規的規定承擔信息網路安全監管職責的部門,以責令整改通知書或者其他文書形式,責令網路服務提供者採取改正措施。 認定「經監管部門責令採取改正措施而拒不改正」,應當綜合考慮監管部門責令改正是否具有法律、行政法規依據,改正措施及期限要求是否明確、合理,網路服務提供者是否具有按照要求採取改正措施的能力等因素進行判斷。 第三條 拒不履行信息網路安全管理義務,具有下列情形之一的,應當認定為刑法第二百八十六條之一第一款第一項規定的「致使違法信息大量傳播」: (一)致使傳播違法視頻文件二百個以上的; (二)致使傳播違法視頻文件以外的其他違法信息二千個以上的; (三)致使傳播違法信息,數量雖未達到第一項、滑攜第二項規定標准,但是按相應比例折算合計達到有關數量標準的; (四)致使向二千個以上用戶賬號傳播違法信息的; (五)致使利用群組成員賬號數累計三千以上的通訊群組或者關注人員賬號數累計三萬以上的社交網路傳播違信唯伏法信息的; (六)致使違法信息實際被點擊數達到五萬以上的; (七)其他致使違法信息大量傳播的情形。 第四條 拒不履行信息網路安全管理義務,致使用戶信息泄露,具有下列情形之一的,應當認定為刑法第二百八十六條之一第一款第二項規定的「造成嚴重後果」: (一)致使泄露行蹤軌跡信息、通信內容、徵信信息、財產信息五百條以上的; (二)致使泄露住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的用戶信息五千條以上的; (三)致使泄露第一項、第二項規定以外的用戶信息五萬條以上的; (四)數量雖未達到第一項至第三項規定標准,但是按相應比例折算合計達到有關數量標準的; (五)造成他人死亡、重傷、精神失常或者被綁架等嚴重後果的; (六)造成重大經濟損失的; (七)嚴重擾亂社會秩序的; (八)造成其他嚴重後果的。 第五條 拒不履行信息網路安全管理義務,致使影響定罪量刑的刑事案件證據滅失,具有下列情形之一的,應當認定為刑法第二百八十六條之一第一款第三項規定的「情節嚴重」: (一)造成危害國家安全犯罪、恐怖活動犯罪、黑社會性質組織犯罪、貪污賄賂犯罪案件的證據滅失的; (二)造成可能判處五年有期徒刑以上刑罰犯罪案件的證據滅失的; (三)多次造成刑事案件證據滅失的; (四)致使刑事訴訟程序受到嚴重影響的; (五)其他情節嚴重的情形。 第六條 拒不履行信息網路安全管理義務,具有下列情形之一的,應當認定為刑法第二百八十六條之一第一款第四項規定的「有其他嚴重情節」: (一)對絕大多數用戶日誌未留存或者未落實真實身份信息認證義務的; (二)二年內經多次責令改正拒不改正的; (三)致使信息網路服務被主要用於違法犯罪的; (四)致使信息網路服務、網路設施被用於實施網路攻擊,嚴重影響生產、生活的; (五)致使信息網路服務被用於實施危害國家安全犯罪、恐怖活動犯罪、黑社會性質組織犯罪、貪污賄賂犯罪或者其他重大犯罪的; (六)致使國家機關或者通信、能源、交通、水利、金融、教育、醫療等領域提供公共服務的信息網路受到破壞,嚴重影響生產、生活的; (七)其他嚴重違反信息網路安全管理義務的情形。 第七條 刑法第二百八十七條之一規定的「違法犯罪」,包括犯罪行為和屬於刑法分則規定的行為類型但尚未構成犯罪的違法行為。 第八條 以實施違法犯罪活動為目的而設立或者設立後主要用於實施違法犯罪活動的網站、通訊群組,應當認定為刑法第二百八十七條之一第一款第一項規定的「用於實施詐騙、傳授犯罪方法、製作或者銷售違禁物品、管制物品等違法犯罪活動的網站、通訊群組」。 第九條 利用信息網路提供信息的鏈接、截屏、二維碼、訪問賬號密碼及其他指引訪問服務的,應當認定為刑法第二百八十七條之一第一款第二項、第三項規定的「發布信息」。 第十條 非法利用信息網路,具有下列情形之一的,應當認定為刑法第二百八十七條之一第一款規定的「情節嚴重」: (一)假冒國家機關、金融機構名義,設立用於實施違法犯罪活動的網站的; (二)設立用於實施違法犯罪活動的網站,數量達到三個以上或者注冊賬號數累計達到二千以上的; (三)設立用於實施違法犯罪活動的通訊群組,數量達到五個以上或者群組成員賬號數累計達到一千以上的; (四)發布有關違法犯罪的信息或者為實施違法犯罪活動發布信息,具有下列情形之一的: 1.在網站上發布有關信息一百條以上的; 2.向二千個以上用戶賬號發送有關信息的; 3.向群組成員數累計達到三千以上的通訊群組發送有關信息的; 4.利用關注人員賬號數累計達到三萬以上的社交網路傳播有關信息的; (五)違法所得一萬元以上的; (六)二年內曾因非法利用信息網路、幫助信息網路犯罪活動、危害計算機信息系統安全受過行政處罰,又非法利用信息網路的; (七)其他情節嚴重的情形。 第十一條 為他人實施犯罪提供技術支持或者幫助,具有下列情形之一的,可以認定行為人明知他人利用信息網路實施犯罪,但是有相反證據的除外: (一)經監管部門告知後仍然實施有關行為的; (二)接到舉報後不履行法定管理職責的; (三)交易價格或者方式明顯異常的; (四)提供專門用於違法犯罪的程序、工具或者其他技術支持、幫助的; (五)頻繁採用隱蔽上網、加密通信、銷毀數據等措施或者使用虛假身份,逃避監管或者規避調查的; (六)為他人逃避監管或者規避調查提供技術支持、幫助的; (七)其他足以認定行為人明知的情形。 第十二條 明知他人利用信息網路實施犯罪,為其犯罪提供幫助,具有下列情形之一的,應當認定為刑法第二百八十七條之二第一款規定的「情節嚴重」: (一)為三個以上對象提供幫助的; (二)支付結算金額二十萬元以上的; (三)以投放廣告等方式提供資金五萬元以上的; (四)違法所得一萬元以上的; (五)二年內曾因非法利用信息網路、幫助信息網路犯罪活動、危害計算機信息系統安全受過行政處罰,又幫助信息網路犯罪活動的; (六)被幫助對象實施的犯罪造成嚴重後果的; (七)其他情節嚴重的情形。 實施前款規定的行為,確因客觀條件限制無法查證被幫助對象是否達到犯罪的程度,但相關數額總計達到前款第二項至第四項規定標准五倍以上,或者造成特別嚴重後果的,應當以幫助信息網路犯罪活動罪追究行為人的刑事責任。 第十三條 被幫助對象實施的犯罪行為可以確認,但尚未到案、尚未依法裁判或者因未達到刑事責任年齡等原因依法未予追究刑事責任的,不影響幫助信息網路犯罪活動罪的認定。 第十四條 單位實施本解釋規定的犯罪的,依照本解釋規定的相應自然人犯罪的定罪量刑標准,對直接負責的主管人員和其他直接責任人員定罪處罰,並對單位判處罰金。 第十五條 綜合考慮社會危害程度、認罪悔罪態度等情節,認為犯罪情節輕微的,可以不起訴或者免予刑事處罰;情節顯著輕微危害不大的,不以犯罪論處。 第十六條 多次拒不履行信息網路安全管理義務、非法利用信息網路、幫助信息網路犯罪活動構成犯罪,依法應當追訴的,或者二年內多次實施前述行為未經處理的,數量或者數額累計計算。 第十七條 對於實施本解釋規定的犯罪被判處刑罰的,可以根據犯罪情況和預防再犯罪的需要,依法宣告職業禁止;被判處管制、宣告緩刑的,可以根據犯罪情況,依法宣告禁止令。 第十八條 對於實施本解釋規定的犯罪的,應當綜合考慮犯罪的危害程度、違法所得數額以及被告人的前科情況、認罪悔罪態度等,依法判處罰金。 第十九條 本解釋自2019年11月1日起施行。
請點擊輸入圖片描述(最多18字)