植德律所-中国企业数字化转型合规白皮书-2019.5-118页.pdf.pdf

《植德律所-中国企业数字化转型合规白皮书-2019.5-118页.pdf.pdf》由会员分享，可在线阅读，更多相关《植德律所-中国企业数字化转型合规白皮书-2019.5-118页.pdf.pdf（119页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 北京市东城区东直门南大街 1 号来福士中心办公楼 5 层，100007 5th Floor, Raffles City Beijing Offices Tower, No.1 Dongzhimen South Street, Dongcheng District, Beijing 100007 P.R.C. T. 010-56500900 F. 010-56500999 北京市东城区东直门南大街 1 号来福士中心办公楼 5 层，100007 5th Floor, Raffles City Beijing Offices Tower, No.1 Dongzhimen South Street

2、, Dongcheng District, Beijing 100007 P.R.C. T. 010-56500900 F. 010-56500999 中国企业数字化转型合规白皮书中国企业数字化转型合规白皮书 植德律师事务所植德律师事务所 王伟、朱宣烨、曾雯雯 Orrick, Herrington 且因为百度网讯公司利用网络技术提供个性化推荐服务，并未直接将搜索引擎服务而产生的数据和 Cookie信息向第三方或公众展示， 没有任何的公开行为，因而不属于侵害个人隐私的行为。 外， 该案件的终审法院也不是最高院， 因此不会对后续案件构成有约束力的先例。 （2） 根据目前的规定，企业应在网站或 A

3、pp的隐私政策中具体阐明 Cookie 技术的使用方式。 2 王某诉北京奇虎科技有限公司隐私权纠纷 王某使用手机给朋友沈某的号码为136XXXXXXXX 的手机拨打电话时，在 360 手机卫士软件的“防窃听”模块下，显示该号码被标记为“维特网络信息有限公司（合肥分公司）浙江杭州移动”。法院判定“如非号码所有人主动申请标记，建议针对被标记号码采取短信确认的方式，对所有人有所提示，有助于其获得相应知情权”。 （1） 公司业务中如涉及个人信息， 则需要时刻注意是否符合监管部门的要求。例如最近App 专项治理工作组的 App 违法违规收集使用个人信息行为认定方法 （征求意见稿） 等文件。 （2） Ap

4、p 收集个人信息和使用个人信息时要履行对用户的通知义务。 3 王某诉沈丘县农村信用合作联社名誉权纠由于信用合作社对其工作人员管理不善，致使冒名贷款事件的发生，使王某在中国人民银行个人信息由于金融机构掌握大量个人敏感信息， 一旦泄漏或发生错误， 可能对个人产生重大不利影响， 故金融机构应9 序号序号 典型案例典型案例 案情简要案情简要 植德合规建议植德合规建议 纷 数据库中产生不良信用记录。 妥善管理数据库， 并在不良事件发生时尽快删除、 改正相关信息。 4 庞某诉北京趣拿信息技术有限公司等隐私权纠纷 庞某在趣拿公司下辖网站“去哪儿网”购买东航机票，因此导致个人信息被泄露，庞某收到内容为声称原告

5、航班取消的诈骗短信。法院判决东航和趣拿公司存在泄露庞某隐私信息的高度可能，并且存在过错，应当承担侵犯隐私权的相应侵权责任。 （1） 合同内容，用户姓名、 电话号码及行程安排等事项属于个人信息， 基于合理事由掌握个人整体信息的组织或个人应积极谨慎地采取有效措施防止信息泄露； （2） 如果经营者外包了涉及个人信息的业务，即便是第三方供应商泄露了用户的隐私信息， 也首先由经营者承担责任。 经营者在承担责任后可以依据其与第三方供应商之间的服务合同条款， 在相关证据具备的情况下， 向第三方供应商主张权利。 5 任某与北京百度网讯科技有限公司名誉权、姓名权、一般人格权纠纷 百度搜索任某，“相关搜索”栏中显

6、示出任某曾经的职业，并对任某产生了不利影响。 （1） 本案涉及被遗忘权的概念， 尽管该概念在学术界已有讨论， 但我国现行法律中并无对“被遗忘权” 的法律规定，亦无“被遗忘权”的权利类型。 （2） 在公安部第三研究10 序号序号 典型案例典型案例 案情简要案情简要 植德合规建议植德合规建议 所发布的 App 违法违规收集使用个人信息行为认定方法 （征求意见稿）中，未提供更正、删除个人信息，注销用户账号的功能已经被认定为 “未按法律规定提供删除或更正个人信息功能的情形”。 6 周某与中国保险监督管理委员会、北京中科汇联科技股份有限公司网络侵权责任纠纷 中国保监会也依法负有保护申请政府信息公开申请人

7、信息安全的义务。该会网站因网络漏洞泄露了周某的个人注册信息。 （1） 根据中华人民共和国侵权责任法 第三十六条，网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。 网络用户利用网络服务实施侵权行为的，被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施 （2） 即使是政府部门，亦负有法律义务保护数据安全。 7 赵某与纽海电子商务（上海）有限公司其他侵权责任纠纷 纽海电子经营的电商购物平台利用赵某在购物时留存的手机信息，给赵某手机发送商业短信。 （1） 如果企业合法取得用户个人信息并指示了取消发送商业短信的方式， 且发送商业短信不过于多， 则属于合理范围。 11

8、序号序号 典型案例典型案例 案情简要案情简要 植德合规建议植德合规建议 （2） 利用用户信息和算法定向推送新闻、 广告等， 且未提供终止定向推送的选项则属于被关注的风险业务。 2.1.4. 涉及个人信息案件统计分析 除了上述的典型案例外，以“个人信息”为关键词，我们从专业数据库上筛选了 2015 年 5 月 1 日至 2018 年 3 月 1 日期间涉及“个人信息”的 146 件民事案例，统计分析如下： 侵权纠纷案件139 件 （其中被认定存在侵权事实的案件数为 94 件） ，合同纠纷案件共计 7 件； 涉案行业中金融行业和互联网行业居多，其他行业也有较快增长； 信息收集量大、使用比较频繁的领

9、域涉诉风险较高； 涉案争议行为具体类型涵盖了个人信息收集、保存、使用等全生命周期的全流程； “个人信息记录错误” 、“未经同意使用个人信息” 以及“个人信息泄露”三类行为涉案数量最多； 不少案件反映的是对个人信息收集使用的商业模式的争议，典型的如朱烨诉百度收集 Cookie 侵犯隐私权的案件； 涉及个人信息违法收集、信息共享、遗忘权的案件也开始出现； 以庞理鹏诉去哪儿网、东航为标志，信息共享者共同担责，数据控制者对数据处理者的行为担责或成为趋势。 2.2. 行政处罚风险 2.2.1. 网络安全法项下的行政法律责任 网络安全法是网络安全和数据合规行政处罚最重要的依据。在此就网络安全法规定的行政责

10、任简单梳理如下： 12 13 2.2.2. 行政处罚典型案件 序序号号 事件名称及经事件名称及经过过 行政处行政处罚决定罚决定机关机关 违规行为违规行为 违规行违规行为类型为类型 行政措施行政措施 法律依法律依据据 1 山西忻州市某省直事业单位网站不履行网络安全保护义务被处罚 2017 年 6月至 7月间， 山西忻州市某省直事业单位网站存在SQL 注入漏洞，网站信息安全存在严重安全隐患， 其连续被国家网络与信息安全信息通报中心通报， 并被忻州市、 县两级公安机关网安部门处以行政警告处罚并责令其改正。 忻州市、县两级公安机关网安部门 未按照网络安全等级保护制度的要求，采取防范计算机病毒和网络攻击

11、、网络侵入等危害网络安全行为的技术措施 违法网络安全义务 警告并责令其改正 网络安全法第21 条、 第59 条 2 某求职网站被网信办责令整改 2017 年 8 月 11日， 北京市网信办、 天津市网信办联合约谈了某求职网站法定代表人,并要北京市网信办、天津市网信办 为未提供真实身份信息的用户提供信息发布服务；未采取有效措施对用户发布传输的违法网络安全义务 责令改正 网络安全法第24 条、 61条、47条、 68 条 14 序序号号 事件名称及经事件名称及经过过 行政处行政处罚决定罚决定机关机关 违规行为违规行为 违规行违规行为类型为类型 行政措施行政措施 法律依法律依据据 求该网站整改网站招

12、聘信息。 信息进行严格管理,导致违法违规信息扩散 3 汕头某公司未及时履行网络安全义务， 网警依据网安法责令改正 汕头市某信息系统安全等级为第三级的信息科技有限公司自 2016 年至今未按规定定期开展等级测评。 广东汕头网警支队 未按规定履行网络安全等级测评义务 违法网络安全义务 警告并责令其改正 信息安全等级保护管理办法 第 14条第 1 款和网络安全法第 21 条第 （5） 以及网络安全法第 59 条 4 重庆某网络公司未留存用户登录日志被网安查处 自网络安全法 正式实施以来， 重庆市某科技发展有限公司在提供互联网数据中心服务时， 未依法留存用户登录相关网络日志。 重庆公安局网安总队 未依

13、法留存用户登录相关网络日志 违法网络安全义务 警告并责令其改正 网络安全法第21、 第 59条 15 序序号号 事件名称及经事件名称及经过过 行政处行政处罚决定罚决定机关机关 违规行为违规行为 违规行违规行为类型为类型 行政措施行政措施 法律依法律依据据 5 四川某网站因高危漏洞遭入侵被罚 2017 年 7 月 22日， 四川宜宾市某网站因未将网络安全防护工作落实到位，进而导致网站存在高危漏洞，最终造成了网站发生被黑客攻击入侵的网络安全事件。 宜宾网安部门 未落实网络安全等级保护制度，未履行网络安全保护义务 违法网络安全义务 对直接负责的主管人员罚款5 千， 机构罚款 1 万元 网络安全法第2

14、1 条、 第59 条 6 三家互联网公司因用户隐私问题被工信部约谈 2018 年 1 月， 工信部信息通信管理局针对手机软件对用户个人信息收集使用规则、 使用目的告知不充分的情况， 约谈了该三家互联网企业， 要求三家企业本着充分保障用户知情权和选择权工信部信息通信管理局 用户个人信息收集使用规则、使用目的告知不充分 侵犯公民个人信息 约谈并要求整改。 网络安全法、全国人民代表大会常务委员会关于加强网络信息保护的决定 、电信和互联网用户个人信息保护规定（工业和信息化部令第24 号） 有16 序序号号 事件名称及经事件名称及经过过 行政处行政处罚决定罚决定机关机关 违规行为违规行为 违规行违规行为

15、类型为类型 行政措施行政措施 法律依法律依据据 的原则进行整改。 关规定 7 某应用程序非法共享热点被罚 25 万 2018 年 5 月 22日， 根据媒体反映， 对两款移动应用程序， 工信部针组织了网络安全专业机构进行技术分析， 发现两款移动应用程序具有共享用户所登录 WiFi 网络密码等信息的功能， 最终对其给予了处罚。 上海市通信管理局 未经同意共享用户WiFi 网络密码等信息 侵犯公民个人信息 责令改正、罚款 网络安全法第41 条 8 多家平台自媒体平台存在内容违法违规， 涉嫌抄袭等问题被集中约谈整改 北京市网信办于 2017 年 7 月18 日依法约谈了多家自媒体网站的相关负责人，

16、责令网站北京市网信办 违法违规，涉嫌抄袭等 违反网络信息内容管理义务 约谈并责任改正 网络安全法第48 条、 第50 条 17 序序号号 事件名称及经事件名称及经过过 行政处行政处罚决定罚决定机关机关 违规行为违规行为 违规行违规行为类型为类型 行政措施行政措施 法律依法律依据据 立即对自媒体平台存在八个问题进行专项清理整治。 9 某知名社交平台和某知名网络社区平台因对网络信息内容未尽到管理义务被北京市网信办行政处罚 2017 年 9 月， 针对某知名社交平台对其用户发布传播 “淫秽色情信息、 宣扬民族仇恨信息及相关评论信息” 未尽到管理义务以及某知名网络社区平台对其用户发布传播 “淫秽色情信

17、息、 暴力恐怖信息帖文及相关评论信息”未尽到管理义务的违法行为，北京市网信办分别作出行政北京市网信办 未采取有效措施对用户发布传输的信息进行严格管理,导致违法违规信息扩散。 违反网络信息内容管理义务 罚款、责令改正 网络安全法47条、 68 条 18 序序号号 事件名称及经事件名称及经过过 行政处行政处罚决定罚决定机关机关 违规行为违规行为 违规行违规行为类型为类型 行政措施行政措施 法律依法律依据据 处罚。 10 某网络媒体平台因对网络信息内容未尽到管理义务被行政处罚 2017 年 9 月， 广州某网络技术有限公司在发现有用户利用其网络平台发布和传播违法有害信息后， 未立即停止传输，防止信息

18、扩散，保存有关记录并向主管部门报告。 后广东省通信管理局责令该公司立即整改， 并给予警告处罚， 要求该公司切实落实信息服务管理责任。 广东省通信管理局 未采取有效措施对用户发布传输的信息进行严格管理,导致违法违规信息扩散。 违反网络信息内容管理义务 警告并责令其改正 网络安全法第47 条、 第68 条，互联网信息服务管理办法 第 16条、 第 23条 11 某两家新闻客户端涉低俗信息被责令停止违法违规行为 2017 年 12 月，某两家新闻客北京市网信办 传播违法违规有害信息、违规自采转载新闻信息 违反网络信息内容管理义务 约谈并停止违规转载新闻信 网络安全法第48 条、 第50 条 19 序

19、序号号 事件名称及经事件名称及经过过 行政处行政处罚决定罚决定机关机关 违规行为违规行为 违规行违规行为类型为类型 行政措施行政措施 法律依法律依据据 户端客户传播色情低俗信息，且获得转载。 北京市网信办责令两家企业深入自查自纠。 12 某社交平台未尽到义务， 某业务版块暂时下线一周 2018 年 1 月， 某社交平台因未对用户发布违法违规信息尽到审查义务， 并传播了违法违规信息， 被北京市网信办约谈，责令其立即自查自纠， 全面深入整改。 北京市网信办 对用户发布违法违规信息未尽到审查义务，传播违法违规有害信息 违反网络信息内容管理义务 约谈并责令改正 网络安全法第47 条、 第68 条第48

20、 条、 第50 条 13 某公众号发低俗文章被责令整改 2018 年 5 月， 某公众号在其头条推文发布了低俗文章， 同时对事件进行了不当的描述， 后浙江省网信办浙江省网信办、杭州市网信办 传播违法违规有害信息 违反网络信息内容管理义务 约谈并责令改正 网络安全法第48 条、 第50 条 20 序序号号 事件名称及经事件名称及经过过 行政处行政处罚决定罚决定机关机关 违规行为违规行为 违规行违规行为类型为类型 行政措施行政措施 法律依法律依据据 会同杭州市网信办约谈了该公众号主要负责人， 并责令限期整改。 14 北京市网信办、工商局针对广告存在侮辱英烈的内容约谈查处某知名短视频平台及知名搜索引

21、擎并责令整改 2018 年 6 月， 针对某知名短视频平台在某知名搜索引擎投放的广告中出现侮辱英烈内容的问题， 北京市网信办、 市工商局依法联合对两者约谈查处，责令整改。 北京市网信办、市工商局 制作、发布内容违法的广告 违反网络信息内容管理义务 约谈并责令整改 网络安全法第12 条、 第47 条 中华人民共和国英雄烈士保护法 第 22条、中华人民共和国广告法第 9条 2.3. 刑事处罚的风险 涉及网络或者数据的业务，还须关注网络安全、数据合规以及隐私保护等方面的刑事违法风险。企业数字化转型过程中运用新的数字技术或者商业模式超过合理的边界，有可能会导致公司、公司实际控制人或者员工承担刑事责任，

22、相关案例屡见不鲜。司法实践中，与网络安全、数据合规相关的刑事罪名主要如下。 21 2.3.1. 计算机系统安全类罪名 具体包括：非法侵入计算机信息系统罪，破坏计算机信息系统罪，非法获取计算机信息系统数据罪，非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统程序、工具罪。 大数据时代，数据的存储、处理、应用离不开计算机系统构成的网络环境，商业模式先天缺陷或者实际操作的不合规很容易导致构成前述罪名。典型的案例有： 序序号号 罪名罪名 典型案例典型案例 案情简要案情简要 植德合规建议植德合规建议 1 非法获取计算机信息系统数据罪 北京某科技股份有限公司（新三板公司） 该公司利用自主编写的恶意

23、程序，劫持运营商流量，并通过清洗、 还原等技术，从中窃取Cookie、访问记录等信息 30 亿条，将该数据导出存放在该公司境内外的多个服务器上。 该公司已被停牌，公司监事黄某、梁某、员工王某、石某已于2018年8月被检察院批捕，原法人、董事周某取保候审。 进行软件开发时需注意产品逻辑是否合规，不得开发破坏其他产品的正常功能、运行逻辑及相关秩序的软件，不得利用技术手段非法获取数据。 2 提供侵入、非法控制计算机信息系统程序、工具罪 辜某、资某等提供侵入、非法控制计算机信息系统程序、工具罪辜某注册成立并担任法定代表人的成都某科技有限公司，开发具22 序序号号 罪名罪名 典型案例典型案例 案情简要案

24、情简要 植德合规建议植德合规建议 一案 有在某电商平台网站中可批量注册账户，并对不同账户在短时间内实现批量下单、批量抢领电商给予常规客户的优惠券和红包、批量付款等功能的计算机软件，并通过网络进行软件出售牟利。 法院认为，针对某电商平台网站的软件的研发、使用，未获得该电商平台的许可。辜某及其雇用的人员构成提供侵入、非法控制计算机信息系统程序、 工具罪。 3 破坏计算机信息系统罪 湖南某网络科技有限公司 该公司为牟取非法利益，开发运行用于非法核验身份的“VTOOL”软件，绕过铁路身份证识别仪,在铁路售票系统上对铁路购票网站存储冻结的23 序序号号 罪名罪名 典型案例典型案例 案情简要案情简要 植德

25、合规建议植德合规建议 1295365 条旅客身份信息数据，由“需线下核验不能网上购票”修改为“正常可以网上购票”，破坏了铁路售票秩序。 法院认为该公司的行为构成破坏计算机信息系统罪。 4 非法获取计算机信息系统数据罪 上海某网络科技有限公司 被告人张某、宋某、侯某经共谋采用技术手段抓取被害单位北京某网络技术有限公司服务器中存储的视频数据，并破解北京某网络技术有限公司的防抓取措施，使用“tt_spider”文件实施视频数据抓取行为。 法院认为该公司及直接负责的主管人员和其他直接责任人员犯非法获取计算机信息系统数据罪。 利用爬虫技术须谨慎，避免抓取 Robots协议中明确禁止抓取的数据及他人服务器

26、中的数据。 5 非法侵入计算四川某汽车服务钟某经营的该汽进入计算机信息系24 序序号号 罪名罪名 典型案例典型案例 案情简要案情简要 植德合规建议植德合规建议 机信息系统罪 有限公司 车服务有限公司，通过交警黄某管理的执法终端设备查询车辆和驾驶人违章信息二万余次，并以几名交警的警号和密码侵入公安交警警务云平台共计 24*余次。 法院认为被告单位、钟某均已构成非法侵入计算机信息系统罪。 统必须按照正规途径获得相关账号和相应权限，避免私自登陆他人已获得授权的账号。 6 非法控制计算机信息系统罪 羊某犯非法控制计算机信息系统罪一案 羊某向楚某等人收购“webshell”（网站控制权限），后羊某使用黑

27、客工具及收购的“webshell”非法侵入被控制网站 69 个， 并向被控制的网站服务器上传广告网页，将广告网页链接指向羊某搭建的网站，羊某利用该网站谋取非法利益。 法院认为被告人羊某犯非法控制拒绝使用黑客工具，不得对他人发起网络攻击。 25 序序号号 罪名罪名 典型案例典型案例 案情简要案情简要 植德合规建议植德合规建议 计算机信息系统罪。 7 破坏计算机信息系统罪 成都某安全技术有限公司 该公司及其直接负责的主管人员雇佣黑客对其竞争对手公司的网络游戏计算机信息系统功能进行干扰。 法院认为该公司行为已构成破坏计算机信息系统罪。 通过正常的市场竞争机制进行竞争，不得对竞争对手等实施网络攻击等违

28、法犯罪手段。 2.3.2. 侵犯公民个人信息罪 个人信息一方面是大数据时代企业的重要资源，另外一方面也涉及每个人的隐私，不当的商业模式或者操作将可能导致企业被认定侵犯公民个人信息罪。最高人民法院、最高人民检察院和公安部都曾陆续发布过与此相关的典型案例，我们选取其中具有代表性的案例分享如下： 序号序号 发布单位发布单位/督办督办单位单位 案件名称案件名称 案情简要案情简要 1 公安部、最高人民检察院督办 某新三板公司买卖数据案 该公司人员从某经贸有限公司购入涉案数据，此后将经过清洗和处理的数据卖给其他公司。该公司多名股东都曾接受过调查， 最终包括首席运营官、平台资源部总监等在内的 6 名员工被诉

29、。 2 最高人民法院(2017-05-09) 邵某等侵犯公民个人信息案 非法出售户籍信息、 手机定位、住宿记录等个人信息，构成侵26 序号序号 发布单位发布单位/督办督办单位单位 案件名称案件名称 案情简要案情简要 犯公民个人信息罪。 3 最高人民法院(2017-05-09) 韩某、旷某、韩某等侵犯公民个人信息案 非法查询征信信息牟利，构成侵犯公民个人信息罪。 4 最高人民法院(2017-05-09) 丁某侵犯公民个人信息案 非法提供近二千万条住宿记录供他人查询牟利，构成侵犯公民个人信息罪“情节特别严重”。 5 最高人民检察院(2017-05-16) 郭某某侵犯公民个人信息案 将在提供服务过程

30、中获得的公民个人信息出售、 提供给他人，构成侵犯公民个人信息罪。 6 最高人民检察院(2017-05-16) 鲁某等侵犯公民个人信息案 单位实施侵犯公民个人信息犯罪，依法追究单位和相关责任人员的刑事责任。 7 公安部(2016-07-20) 江苏淮安侦破陈某某等人侵犯公民个人信息案 利用互联网大肆倒卖车主、车牌号、车辆类型等公民个人信息。 8 公安部(2016-07-20) 湖北襄阳侦破郑某某等人侵犯公民个人信息案 利用其短信营销平台，不断获取客户上传信息，贩卖公民个人信息。 9 公安部(2016-07-20) 湖北荆门侦破李某某等人侵犯公民个人信息案 贩卖利用在某证券公司上班时的便利获得的以

31、及使用软件和论坛下载保存下来的大量各类公民个人信息。 10 公安部(2016-07-20) 上海侦破吴某、 刘某某等人非法获取公民个人信息案 通过快递公司的内部系统员工账号，下载和大量购买个人信息出售牟利。 11 公安部(2016-12-17) 北京顾某等人非法获取计算机信息系统数据案 制作用于非法获取该公司账号的软件程序，并在互联网上大肆收购网站身份认证信息，使27 序号序号 发布单位发布单位/督办督办单位单位 案件名称案件名称 案情简要案情简要 用软件大量实施“撞库”行为，非法获取该公民个人账号约 10万组。 12 公安部(2016-12-17) 江苏淮安某社工库侵犯公民个人信息案 该网络

32、社工库涉及公民个人信息 20 亿条，已被主管机关封查。 13 公安部(2016-12-17) 福建泉州某网站侵犯公民个人信息案 该网站买卖公民个人信息，被主管机关封查。 14 公安部(2016-12-17) 江苏徐州某非法获取计算机信息系统数据案 以黑客和快递公司内部员工为泄露源头倒卖快递信息。 15 公安部(2016-12-17) 山东威海董某某侵犯公民个人信息案 非法查询公民个人银行账户余额、流水等信息进行出售。 16 公安部(2016-12-17) 内蒙古赤峰李某某侵犯公民个人信息案 利用“快递单号生成器”等软件筛选快递单号，通过快递公司内部人员查询对应的公民个人信息出售获利。 17 公

33、安部(2016-12-17) 湖南怀化某侵犯公民个人信息案 在网上购买、搜索、下载等方式大量搜集公民个人信息，再通过“撞库”、“扫存”等非法软件比对公民网络账户密码，进行出售和“刷单”赢利。 2.3.3. 侵犯著作权罪 如果被侵犯的他人服务器中的数据属于著作权法意义上的作品的，则还可能构成侵犯著作权罪。典型案例如下： 序号序号 典型案例典型案例 案情简要案情简要 法院观点法院观点 1 薛某、潘某非法获取计算机信息系统数据、非法控制计算机信息系统薛某、潘某等经共谋， 侵入他人计算机窃取游戏的源代码，被告人薛某与被告人潘某等人经共谋，以营利为目的，未经著作权人28 罪、侵犯著作权罪一案 破解游戏源

34、代码密码后，租赁服务器、搭建“私服”游戏平台、充当“私服”客服进行经营谋利。 许可，复制发行非法获取的计算机信息系统数据，非法经营数额达120000 余元，属于“有其他严重情节”，其行为均构成侵犯著作权罪。 2 邱某侵犯著作权罪一案 邱某私自取得某公司开发的棋牌游戏的源代码， 并先后成立另外两家公司， 对该棋牌游戏进行换皮、加工、更名等形式的修改， 并进行运营。 被告人邱某未经著作权人许可， 以营利为目的，以其窃取的源代码为基础，通过复制原程序的原始数据，以换皮、加工等形式制作成另外一款棋牌游戏并上线运营，符合中华人民共和国刑法 （下称 “ 刑法”）第二百一十七条所规定的侵犯著作权罪的“复制发

35、行”要求。 2.3.4. 诈骗罪、非法经营罪 数字化转型过程中，如果对于新的概念、商业模式、利用方式没有合规审查，有可能认定实质上非法占有他人财产从而构成诈骗罪或者非法经营罪。典型案例如下： 序号序号 典型案例典型案例 案情简要案情简要 法院观点法院观点 1 深圳某网络科技有限公司、廖某某等数据刷量诈骗案 2016 年 4 月至 7 月间，被告单位与被害单位签订了手机应用软件委托推广合同，约定由被告单位为被害单位法院认为各被告单位、被告人均构成合同诈骗罪。首先，从犯罪构成客观行为的角度上看，被告单位和重庆某科技公司通过虚29 开发的三款手机应用软件提供推广服务，并以下载量作为计费依据。被告人廖

36、某在代表公司履行上述合同的过程中，指使重庆某科技有限公司商务部员工被告人杨某，利用手机群控软件模拟真实用户，虚增三款手机应用软件下载量，骗取被害单位推广费用共计人民币 1200 余万元。 增假量的受害单位推广费用，虚增的假量根本无法实现合同目的，致使被害单位直接遭受了经济损失。其次，从犯罪构成的主观方面看，各被告主观上均具有非法占有他人钱款的故意，且形成了共同犯罪的合意。最后，从社会危害性的角度看，网络推广合作模式与传统经济合作模式不同，由于互联网的虚拟性，很难对合同的履行情况进行有效监控。无法苛求被害单位单位能够像侦查机关一样调取到证明被告单位 “刷量”的证据，其合法权益很难通过协商或民事途

37、径予以充分保障。综上，无论从形式上还是实质上，本案均应认定构成合同诈骗罪。 2 李某某犯非法经营罪一案 李某某通过创建某网站和利用某语音聊天工具建立刷单炒信平台，吸纳淘宝卖家注册账户成为会员，并收取会员费。通过制定刷单炒信规则与流程，组织及协助会员通过该平台发布或接受刷单炒信任务。 被告人李某某违反国家规定，以营利为目的，明知是虚假的信息仍通过网络有偿提供发布信息等服务，扰乱市场秩序，情节特别严重，其行为已构成非法经营罪。 30 2.3.5. 拒不履行网络安全管理义务罪 刑法第二百八十六条之一规定，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改

38、正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：（一）致使违法信息大量传播的；（二）致使用户信息泄露，造成严重后果的；（三）致使刑事案件证据灭失，情节严重的；（四）有其他严重情节的。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。拒不履行网络安全管理义务罪惩罚的是公司在网络安全与数据合规方面的不作为。 任何一个网络服务提供者应当履行信息网络安全管理义务，如果不履行且经责令改正而拒不改正，在发生特定不利后果的情形下，该行为已经从行政违法转变为刑事犯罪。典型案例如下： 序号序号 典型案例典型案例 案情简要案情简要 法院观点法

39、院观点 1 胡某拒不履行信息网络安全管理义务案 胡某为非法牟利， 租用国内、国外服务器，自行制作并出租某翻墙软件， 为境内网络用户非法提供境外互联网接入服务。2016 年 10 月，上海市公安局浦东分局作出责令停止联网、警告、并处罚款以及没收违法所得的行政处罚。 被告人胡某拒不改正继续出租该翻墙软件。 法院认为， 被告人胡某非法提供国际联网代理服务，拒不履行法律、行政法规规定的信息网络安全管理义务， 经监管部门责令采取改正措施后拒不改正，情节严重，其行为已构成拒不履行信息网络安全管理义务罪。 3. 谁需要考虑数字化转型中的合规风险谁需要考虑数字化转型中的合规风险 3.1. 绝大多数企业均须考虑

40、网络安全和数据合规 市场上有一种错误的理解，即只有互联网公司才应当关注网络安全、数据合规的风险。 31 其实不然，根据我们的理解，任何一个公司如果其业务涉及网络安全法中规定的“网络”、“网络安全”、“网络运营者”以及“网络数据”，都很有可能落入网络安全法的管辖范围。 根据网络安全法，前述词汇的定义分别如下： 网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。 值得注意的是， 除了计算机之外， 便携式笔记本电脑、 Ipad、 IOT 设备、智能汽车、智能家居等任何可以发送、接受信息的设备都可能构成网安法下的信息终端。 网络安全，

41、是指通过采取必要措施， 防范对网络的攻击、 侵入、 干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。 不当的商业模式，无论其外在形式表现如何，如果事实上作为攻方突破了守方的网络安全措施，使得对方网络无法处于稳定可靠运行状态或者侵害了对方数据的完整性、保密性、可用性，将在很大可能上构成破坏网络安全的行为。 网络运营者，是指网络的所有者、管理者和网络服务提供者。 网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。 在互联网时代，计算机或网络是所有企业都在使用的必要设备，且大量企业都在对客户数据进行搜集、储存或处理。因此

42、，不难推测几乎绝大部分的境内机构都将不可避免的适用网络安全法。 3.2. 是否可以通过注册一个境外公司来规避中国法下的合规风险？ 某些具有国际视野的企业家经常问的一个问题就是，是否可以通过注册一个境外公司来规避中国法下的合规风险？简单回答是：不能。 根据网络安全法第二条，在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。虽然网络安全法规制的是境内网络活动，但是我们不能简单的认为网络安全法只适用于在中华人民共和国大陆地区注册的公司。事实上，中国政府一直强调要从网络主权高度来看网络安全，没有网络安全就没有32 国家安全，且考虑到互联网自身的无国界性的特点，网络安全法

43、影响范围必然不仅仅适用于在中国大陆注册的公司。 综合考虑目前现有的规范和法律实践，如下的一些企业都是应当关注网络安全法的：在中国境内注册的网络运营者，以及未在中国境内注册，但在中国境内开展业务，或向中国境内提供产品或服务的网络经营者。如果一个境外公司的经营中有如下一个或全部因素，那么该境外公司将很有可能被认定在中国境内开展业务，或向中国境内提供产品或服务：（1）网站使用中文；（2）以人民币作为结算货币；（3）向中国境内配送物流等。中华人民共和国境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务，且不涉及境内公民个人信息和重要数据的，不视为境内运营。 换句话说，通过设立境外公司这样

44、简单粗暴的方案不可能从实质上规避违法的风险。 3.3. 关键信息基础设施运营者的特殊义务 网络安全法第三十一条明确规定了关键信息基础设施(Critical Information Infrastructure，下称“CII”)保护制度。 关键信息基础设施运营者（下称“CIIO”）较之一般的主体又负有更高的义务。 3.3.1. 关键信息基础设施范围的一般界定 根据关键信息基础设施安全保护条例（征求意见稿），下列单位运行、管理的网络设施和信息系统应当纳入保护范围： 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域； 其它一旦遭到破坏、丧失功能或者数据泄露，可能严重危害

45、国家安全、国计民生、公共利益的关键信息基础设施； 卫生医疗、教育、社保、环境保护； 云计算、大数据和其他大型公共信息网络服务的单位； 国防科工、大型装备、化工、食品药品等行业领域科研生产单位。 3.3.2. 关键信息基础设施范围的特别界定 33 值得注意的是，根据关键信息基础设施安全保护条例（征求意见稿），任何未被明确列举的行业和领域的主体所运营的网络设施和信息系统只要符合重要性认定，均有可能被认定为 CII。 网信办编制的国家网络安全检查操作指南进一步规定了确定 CII的三个步骤： a) 确定关键业务； b) 确定支撑关键业务的信息系统或工业控制系统； c) 根据关键业务对信息系统或工业控制

46、系统的依赖程度， 以及信息系统发生网络安全事件后可能造成的损失认定 CII。 可见，在特别界定 CII 范围的语境下，关键业务是重中之重。如何判断某项业务是关键业务呢？国家网络安全检查操作指南中的CII 业务判定表（参见附件一）是判断某项业务是否是关键业务的重要指引。 对信息系统或工业控制系统， 应根据本地区、 本部门、 本行业实际，参照具体标准认定 CII。以平台类为例，符合以下条件之一的，可认定为 CII： 注册用户数超过 1000 万，或活跃（每日至少登陆一次）用户数超过100 万； 日均成交订单额或交易额超过 1000 万元； 一旦发生网络安全事故，可能造成以下影响之一的：造成 100

47、0 万元以上的直接经济损失；直接影响超过 1000 万人工作、生活；造成超过 100 万人个人信息泄露；造成大量机构、企业敏感信息泄露；造成大量地理、人口、资源等国家基础数据泄露；严重损害社会和经济秩序，或危害国家安全；其他应该认定为关键信息基础设施的情形。 3.3.3. 关键信息基础设施运营者的保护义务 网络安全法规定：CIIO 对 CII 在网络安全等级保护制度的基础上进行特殊保护，CIIO 及网络安全关键岗位专业技术人员实行执证上岗制度，企业应设臵安全管理负责人，CIIO 对建立 CII 安全检测评估制度等也具有相应义务。 34 此外，关键信息基础设施安全保护条例（征求意见稿）规定，CI

48、IO 采购网络产品和服务， 可能影响国家安全的 （例如金融、 电信、能源等重点行业领域），应当按照网络产品和服务安全审查办法的要求通过网络安全审查，并与提供者签订安全保密协议。 3.4. 不同行业对应不同的合规风险 任何一个行业如果涉及个人信息或者与国家安全、经济发展以及公共利益密切相关的数据，都应该格外关注网络安全、数据合规的风险。 为了方便大家简单直接的了解相关行业网络安全、数据合规的风险程度高低，我们制作了下述行业风险程度一览表。其中红色的为风险程度最高，黄色为须重点关注风险，绿色为风险程度相对较低。 3.5. 即便是网络事件的受害者也可能因忽略合规而遭受处罚 如果某个公司遭遇网络事件（

49、例如网络攻击）后不能证明其已经履行信息网络安全管理义务，那么其作为网络攻击的受害者还可能被行政处罚甚至被刑事处罚。 据法制网报道，从 2018 年开始，公安机关已实行“一案双查制度，即在对网络违法犯罪案件开展侦查调查工作时，同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查。对拒不履行法定网35 络安全义务、为网络违法犯罪活动提供帮助的网络服务提供者，公安机关将依法对其进行严厉查处，努力从源头遏制网络违法犯罪案件发生。 根据网络安全法的规定，网络运营者不履行制定网络安全事件应急预案，及时处臵系统漏洞、计算机病毒、网络攻击、网络侵入，发生危害网络安全事件时未及时启动应急预案并采取补救措施等网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万