”
在大数据时代,数据资源对国家经济社会发展具有重要价值。2024年10月16日,国家安全部公众号通报了“某境外企业以智能驾驶研究为掩护开展非法测绘活动”,该事件引起了各方对数据安全监管的广泛关注。[1]
随着数据相关法律法规的不断完善及数据监管的常态化,企业作为最常见的数据处理者,其数据合规行为不仅事关企业法律风险的管理,还直接影响着企业的品牌形象、可持续发展和市场竞争力。在此背景下,承担数据安全、管理职能的人员,尤其是企业高管,扮演者至关重要的角色。相关人员的决策和行动不仅涉及企业的整体运营,还直接关系到企业及个人可能面临的法律风险。
本文旨在分析企业与“高管”在数据管理领域的法律义务与责任,并探讨相关风险管理措施。
目录
二、高管在数据合规中的角色与义务
三、企业与高管的涉数据刑事风险、行政处罚及民事责任
四、企业涉数据的法律风险管理
五、结论
一、数据合规语境下的“高管”的范围
1、《公司法》中对于“高管”范围的定义
新《公司法》第265条第一款规定,高级管理人员是指公司的经理、副经理、财务负责人,上市公司董事会秘书和公司章程规定的其他人员。司法实践中,由于公司内部自治的灵活性,在认定是否为高管时,法院通常不仅会对公司章程、任命文件和企业登记信息等方面进行形式审查,还会结合相关人员的实际履职范围等方面进行实质判断。
2、具体到数据合规领域对于“高管”范围的定义
具体到数据合规领域,目前尚未有法律法规对承担数据安全与管理职责的责任人员范围作出明确界定。实践中,不同行业、企业的经营模式不同,高管的职责和角色在数据合规领域也呈现着多元化情况,往往涉及多个职务和层级。我们认为,在我国数据保护法律框架下,高管的范围不应仅限于《公司法》中的概括性描述,而应结合具体场景进一步细化,涵盖那些在实际运营中承担数据管理职责的关键人员。具体而言,实践中可能对高管作扩张解释,除传统意义的董监高外,实际参与和决策企业网络安全和数据安全业务的人员(包括但不限于企业的网络安全与数据保护的负责人、业务主管、算法负责人等),可能会被纳入高管范畴,进而面对相应的责任和义务。例如,《企业数据合规指引》第6条规定“企业的最高管理者是数据合规的第一责任人”,《深圳市企业数据合规指引》第13条规定,“数据合规第一负责人由企业法定代表人或主要负责人担任,对数据合规负领导责任。”部分公司章程中还明确事务业务负责人、数据业务负责人属于高管范畴,并需要承担相应的数据合规责任。
综上所述,在数据合规语境下,“高管”的范畴可能会结合具体的场景判断,以涵盖所有在数据管理和决策中发挥关键作用的人员。
二、高管在数据合规中的角色与义务
1、《公司法》的相关要求
2018年《公司法》 | 2023年《公司法》 |
第147条第1款 董事、监事、高级管理人员应当遵守法律、行政法规和公司章程,对公司负有忠实义务和勤勉义务。 董事、监事、高级管理人员不得利用职权收受贿赂或者其他非法收入,不得侵占公司的财产。 | 第179条 董事、监事、高级管理人员应当遵守法律、行政法规和公司章程。 第180条 董事、监事、高级管理人员对公司负有忠实义务,应当采取措施避免自身利益与公司利益冲突,不得利用职权牟取不正当利益。 董事、监事、高级管理人员对公司负有勤勉义务,执行职务应当为公司的最大利益尽到管理者通常应有的合理注意。 公司的控股股东、实际控制人不担任公司董事但实际执行公司事务的,适用前两款规定。 |
2、企业的高管在数据合规中的核心职责
1)资源保障与条件支持:高管应为企业数据合规管理制度体系的建构和运行提供必要的资源保障和条件支持,确保合规管理制度体系有效运转并持续改进。
2)确立并执行合规方针与目标:高管需要确立数据合规方针和合规目标,并确保企业战略方向与合规方针和目标保持一致。这有助于企业合规经营,避免后续合规动作导致成本的增加。
3)保障合规管理部门或人员的独立性:日常经营中高管需要保障数据合规管理部门具备独立履行职责的能力与权限。保障相关人员在处理涉及合规风险的事项时,避免其收到其他业务部门的烦扰或者影响,从而确保客观、公正的履职环境。
4)把控数据合规风险:审批企业重大数据合规事项,确保风险可控。
5)将合规要求融入业务过程:确保将数据合规管理要求融入企业的业务过程,使合规要求成为企业日常经营的部分而不是额外的负担。例如,对于大模型应用的企业来说,算法备案要求是企业选择底座模型和构建应用时就要优先考虑的。将合规要求融入业务不仅能够确保企业的合规运营,也能避免因未履行算法合规义务导致后续整改动作增加成本或影响相关业务的进展。
6)制度建设及文化培育:确保建立有效的数据违规举报与惩处机制,并引导培育企业数据合规自主性,促成数据合规企业文化。
7)法律责任:高管作为直接负责的主管人员,如果不履行数据安全保护义务,可能面临相应的法律后果。
三、企业与高管的涉数据刑事风险、行政处罚及民事责任
全球范围内,数据立法和执法活动日趋活跃,各国和地区纷纷出台相关法律法规,不仅明确了数据处理企业的责任,还对企业高管及直接责任人员的法律义务和责任进行了规定。在中国大陆,随着数据保护法律体系的逐步完善,企业及高管在数据管理中承担重要的法律义务与责任。这些责任涉及刑事、行政和民事领域,贯穿数据保护的全生命周期。
(一) 刑事责任
罪名 | 法条依据 | 责任主体 |
侵犯公民信息罪[4] | 第二百五十三条之一 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。 窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。 单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。 | 自然人和单位 1.自然人: - 公司或组织内部人员 - 外部非法获取信息的人员 - 第三方滥用者 2.单位 - 实施相关行为的单位 - 单位中直接负责的主管人员和其他直接责任人员 |
侵犯商业秘密罪[5] | 第二百一十九条 有下列侵犯商业秘密行为之一,情节严重的,处三年以下有期徒刑,并处或者单处罚金;情节特别严重的,处三年以上十年以下有期徒刑,并处罚金: (一)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密的; (二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的; (三)违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。 明知前款所列行为,获取、披露、使用或者允许他人使用该商业秘密的,以侵犯商业秘密论。 本条所称权利人,是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人。 第二百二十条 单位犯本节第二百一十三条至第二百一十九条之一规定之罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照本节各该条的规定处罚。 | 自然人和单位 1.自然人: - 以不正当手段获取、披露、使用、允许他人侵害商业秘密行为的个人 - 明知他人侵犯商业秘密而获取、披露、使用或允许他人使用商业秘密的个人 - 违反保密义务的个人 2.单位 - 实施相关行为的单位 - 单位中直接负责的主管人员和其他直接责任人员
注:公司员工非法泄露公司的商业秘密,特别是涉及数据、技术信息或客户信息,可能被追究《刑法》第219条规定的泄露商业秘密罪。高管相较于普通员工更容易接触到公司的核心信息。 |
非法侵入计算机信息系统罪 | 第二百八十五条第一款 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。 | 自然人和单位 1.自然人:非法侵入国家事务、国防建设、尖端科学技术领域计算机信息系统的个人 2.单位 - 实施相关行为的单位 - 单位中直接负责的主管人员和其他直接责任人员 |
非法获取计算机信息系统数据、非法控制计算机信息系统罪[6] | 第二百八十五条第二款 违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 | 自然人和单位 1.自然人:非法获取、控制其他计算机信息系统的个人,包括超出授权范围使用账号、密码登录计算机信息系统的主体。 2.单位 - 实施相关行为的单位 - 单位中直接负责的主管人员和其他直接责任人员 |
提供侵入、非法控制计算机信息系统程序、工具罪[7] | 第二百八十五条第三款提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。 | 自然人和单位 1.自然人: 提供侵入、非法控制计算机信息系统程序或工具的个人 2.单位 - 实施相关行为的单位 - 单位中直接负责的主管人员和其他直接责任人员 |
破坏计算机信息系统罪 | 第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。 违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。 单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。 | 自然人和单位 1.自然人: - 直接实施破坏计算机信息系统行为的个人 - 故意制作、传播计算机病毒等破坏性程序的个人 2.单位 - 实施破坏行为的单位 - 单位中直接负责的主管人员和其他直接责任人员 |
拒不履行信息网络安全管理义务罪[8] | 第二百八十六条之一 网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金: (一)致使违法信息大量传播的; (二)致使用户信息泄露,造成严重后果的; (三)致使刑事案件证据灭失,情节严重的; (四)有其他严重情节的。 单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。 有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。 | 自然人和单位 1.自然人: “网络服务提供者” [9]:(1)网络接入、域名注册解析等信息网络接入、计算、存储、传输服务;(2)信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;(3)利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。 2.单位 - 提供网络服务的单位 - 单位中直接负责的主管人员和其他直接责任人员 |
非法利用信息网络罪 | 第二百八十七条之一 利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金: (一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的; (二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的; (三)为实施诈骗等违法犯罪活动发布信息的。 单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。 有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。 | 自然人和单位 1.自然人: 利用信息网络实施相关行为的个人 2.单位 - 利用信息网络实施相关行为单位 - 单位中直接负责的主管人员和其他直接责任人员 |
帮助信息网络犯罪活动罪 | 第二百八十七条之二 明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。 单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。 有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。 | 自然人和单位 1.自然人: 帮助信息网络犯罪的个人 2.单位 - 帮助信息网络犯罪的单位 - 单位中直接负责的主管人员和其他直接责任人员 |
(二)行政责任
(三)民事责任
对于董监高而言,根据《公司法》的相关规定,在履职过程中如因职务行为造成的公司或/及第三人的损害,他们可能面临以下民事法律风险:
违反忠实与勤勉义务:如果董监高未能有效监督或管理企业的数据合规工作,违反忠实与勤勉义务,导致公司因数据违规而遭受损失或承担法律责任,可能被股东或公司起诉要求赔偿损失。
连带责任:如果董监高在决策或管理过程中直接参与或明知违规行为而未采取合理措施,导致数据合规问题,可能会与公司一起承担连带民事责任。
股东或第三方诉讼:如果数据合规问题导致公司股东或第三方的权益受损,董监高可能面临股东或受损方的诉讼,要求其对未能履行职责承担赔偿责任。
公司内的追偿权:在公司因数据违规承担赔偿责任后,公司可以对未履行合规管理职责的董监高追偿,要求他们对公司的损失部分或全部负责。
四、企业涉数据的法律风险管理
如前所述,在数据合规管理中,企业高管不仅承担着数据合规义务,还可能涉及着数据安全和数据管理不当导致的法律风险。
1. 规范数据合规体系建设
2. 覆盖数据全生命周期
3. 贴合行业及企业具体情况
4. 职能分配
5.定期培训并留痕
6. 利用第三方评估实现尽职免责目的
五、结论
随着中国数据保护法律体系的逐步完善,企业及“高管”在数据管理中的法律责任显著增加。无论是刑事、行政还是民事责任,都要求企业必须严格遵守相关法律法规,建立健全的数据安全管理制度,以避免因违规而引发的法律风险。高管对企业的数据安全和隐私保护工作承担直接的领导责任,需要确保公司在处理数据时符合相关法律的规定,从而规避因数据不合规而引发个人承担法律风险。
注释
[1]《隐秘的测绘 秘密的泄露》,微信公众平台,链接:https://mp.weixin.qq.com/s/R7d0-O3mbDndUIyfl5p6lg,访问日期:2024年10月18日。
[2]《北京零点有数数据科技股份有限公司章程》,2023年12月14日,https://static.cninfo.com.cn/finalpage/2023-12-14/1218620651.PDF,访问日期:2024年10月18日。
[3]《深圳市企业数据合规指引》第13条。
[4]上海市金山区人民法院(2018)沪0116刑初839号。
[5]最高人民法院(2019)最高法知民终562号。
[6]北京市海淀区人民法院(2017)京0108刑初392号,最高检发布第九批指导性案例之四。
[7]浙江省绍兴市越城区人民法院(2018)浙0602刑初101号,公安部将该案列为“净网2019”专项行动挂牌督办案件。
[8]云南省昆明市盘龙区人民法院(2020)云0103刑初1206号。
[9]《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第一条“网络服务提供者”:(一)网络接入、域名注册解析等信息网络接入、计算、存储、传输服务;(二)信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;(三)利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。
[10]《深圳市企业数据合规指引》
作者简介
陈曦程 合伙人
邮箱:chenxicheng@junzejun.com
执业领域:民商事争议解决 | 公司投资 | 刑事辩护 | 合规建设 | 尽职调查 | 商业谈判
陈曦程律师为法学博士。陈曦程律师具有18年以上法律从业经验,在《政法论丛》《人民司法》等核心期刊或专业期刊上发表多篇学术文章,目前为国家市场监督管理总局发展研究中心、深圳市人民检察院、深圳市福田区法学会等政府和机构提供专家法律服务。
陈曦程律师近期部分获奖荣誉:陈律师本人荣登LEGALBAND 2023年度“中国顶级律师排行榜”,其经办案件连续两年荣获《商法》年度杰出交易大奖。
孟昕 律师
邮箱:mengxin@junzejun.com
执业领域:知识产权 | 竞争法 | 数据合规 | 民商事争议解决
孟律师本科毕业于吉林大学车辆工程学院,获得工学学士学位;硕士毕业于中国政法大学,获得法律硕士学位。具有理工、法律双重专业背景,拥有律师、专利代理师执业资格及注册欧盟信息隐私专家(CIPP/E)认证。
孟昕律师具有律师和工程师复合工作背景,在知识产权前、后端全链保护中具备实务经验,尤其在处理涉及复杂技术背景的案件时,能够迅速理解技术核心并精准把握法律要点,为客户争取最大利益。有丰富的实践经验,为客户提供知识产权诉讼、知识产权合规与保护、知识产权商业化和运营、数据合规等法律服务。
↓↓↓ 点击“阅读原文”了解更多资讯
