作者简介:深圳市律师协会刑事犯罪预防专业委委员,广东知恒律师事务所律师。在合规风控、商事诉讼等领域具丰富实务经验;具密码安全工程师资质,深耕网络与数据治理;擅长企业战略制订与落实、行政与刑事风险防范。
企业的数据泄露安全事件频发,今年五六月即接连发生了卡地亚、Dior敏感数据泄露事件,此类事件往往只是企业信用危机的开端,事态常会引爆诸次生危机,故企业对于数据防泄漏的制度安排与合规部署有着现实的迫切性。本文将结合国内近期案例,紧扣数据泄露三重法律风险,梳理企业风险防范的要点。
一、数据泄露的法律风险
企业一旦发生数据泄露安全事件,就面临着行政、民事和刑事三重责任承担问题。
(一)行政责任
数据安全领域的执法工作渐往纵深,主要针对企业“未依法履行数据安全保护义务”等情形,典型案件包括企业相关系统或数据库、服务器存在弱口令、未授权访问、未采取必要保障措施等情况,处罚依据以《数据安全法》(以下简称数安法)第27、45条等条款居多。如广东公安适用数安法首例[1]:某公司对其开发的“驾培平台”所存储的驾校培训学员姓名、身份证号、手机号、个人照片等信息千万余条未建立起数据安全管理制度和操作规程、未采取去标识化和加密措施,2022年被公安机关处以警告并处罚款5万元。
数据泄露事件中对于企业高管乃至关联方(如甲方单位等)相关责任人个人的行政处罚也越发常见,这与监管执法的焦点由早期单纯侧重技术漏洞转移至以管理制度缺陷的审查有关。2023年某科技公司为浙江某县级市政府部门开发运维信息管理系统的过程中,未经同意将该单位采集的敏感数据擅自上传至自租的公有云服务器上,未采取安全保护措施,造成了严重的数据泄露。公安机关对该公司及项目主管人员、直接责任人员分别作出罚款100 万、8 万、6 万元的行政处罚。甲方建设单位也因失管失察、未履行数据安全保护职责的情况,被纪委监委依照地方党委相关细则,对主要负责同志、部门负责人等作出批评教育、诫勉谈话和政务立案调查等追究问责决定[2]。
(二)民事责任
数据确权问题争议未休,数据要素市场的法制体系不乏空白之处,故而当前就企业数据泄露导致的民事诉讼的请求权基础并不统一。一些涉《个人信息保护法》(以下简称个保法)和知识产权类的案件引人注目,继续参见两则案例:
一则系广东省高院2023年发布的全国首例涉人脸信息保护民事公益诉讼案件[3]:本案被告人售大量公民身份信息,用于制作虚假人脸动态识别视频,解封微信账号、验证工商类等政务APP的实名认证,并利用“阅后即焚”软件删除相关信息和交易记录。法院认为案涉人脸信息属敏感个人信息中的生物识别信息,“蕴含人格权益及财产利益,其在未取得授权同意的情况下,对不特定社会公众的人脸信息进行非法收集、买卖、使用,侵害了不特定公众的信息自决权,损害了社会公共利益”,判决被告人立即停止侵权,支付公益损害赔偿金10.3万元,并通过志愿服务等方式进行行为补偿。
类似案例逐渐增多:未经许可AI化使用他人声音,构成人格权侵权、擅用他人肖像供他人“换脸”构成肖像权侵权、“挂人”网暴行为构成名誉权侵权责任……这种个保侵权案件中的责任主体还存在多方主体的责任边界划分问题:2024年上海第一中院在某财产保险公司、某信息技术公司等被诉个人信息保护纠纷案[4]中就对个人信息“共同处理者”的认定标准予以了界分,认为核心认定标准是不同主体在共同决定个人信息的处理目的和方式,并不要求参与方均直接实施或知晓他人行为。笔者认为,责任界分问题必将跟随密集的数据安全立法步骤形成更具体系化、场景化的裁判规则。
二则系数安法实施以来被称为“数据资源法治第一案”的数据爬取构成侵权的不正当竞争纠纷案[5],2025年南京中院认定被告公司的寄生软件爬取淘宝等电商平台海量数据并售卖的行为,侵害了平台方的商业秘密和数据权益,判定被告停止侵权,连带赔偿约3000万元。
数据产权的知识产权侵权类案件近年已屡见不鲜:
此前杭州法院判定的网络运营者未经许可,将他人数据产品作为获取商业利益工具的行为构成不正当竞争[6]、最近深圳法院亦首次将算法[7]纳入商业秘密范畴从而认定被告侵权。对于企业高管和相关责任人员而言,也会因《公司法》,面临承担连带责任或违反忠实与勤勉义务而被索赔或追偿的民事法律风险。
(三)刑事责任
虽然刑法未针对数据犯罪增设专门罪名,但企业数据泄露导致的刑事责任仍然在刑法规制范围内。基于数据权益的“多重保护属性”,其“权利客体具有多样性”,“对其刑法保护必然具有复杂性”[8],为便于阐述,本文将企业数据泄露导致的刑事责任划分为四类:一是宽泛意义上的网络与数据犯罪类型、二是涉国家秘密型、三是知识产权类、四是传统犯罪的数据网络化类型。
1.网络与数据犯罪类
数据类犯罪与网络犯罪在实务中并未作严格区分,包括侵犯公民个人信息罪、计算机信息系统类犯罪(破坏计算机信息系统罪等)、拒不履行信息网络安全管理义务罪,这类罪名的共性为隐蔽、便捷、链条长、人员众、危害不可控等,对于数据泄露的情形,定罪量刑大多需要厘清数据权益与社会秩序的关系,并对企业的合规义务和兜底效应[9]提出实战性的拷问。在一非法侵入计算机信息系统罪案件[10]中,被告人未经许可,擅自下载数据并拷贝到其公司购买的百度云服务器上,即构成非法侵入计算机信息系统罪(与本文行政责任章节所举案例中的行为特征相似)。
2.数据涉国家秘密的刑事责任
《国家安全法》颁布10周年之际,数据作为国家秘密等敏感信息的载体,越来越成为相关刑事追责的焦点,如地理信息测绘数据非法转移出境类型[11],涉案数据即便尚未构成《保守国家秘密法》《反间谍法》所明确保护的国家秘密范畴,也属于数安法和包括《数据出境安全评估办法》《关键信息基础设施安全保护条例》等规定所规制的重要或敏感数据,该类数据只有通过明确的申报批准、审核评估方可出境。在首例涉案数据被鉴定为情报的跨境交易案[12]中,涉案的公司负责人不敌利润丰厚的诱惑,选择忽略公司法务对于该交易的合法性疑义,为境外公司搜集、提供高铁信号数据,涉案数据被鉴定为情报,相关人员构成为境外刺探、非法提供情报罪。
3.数据涉知识产权的刑事责任
以数据涉知识产权权利为代表的类型,包括泄露公司网络游戏源代码构成的侵犯商业秘密罪、将游戏源代码编译成私服游戏软件牟利构成的侵犯著作权罪等。数据作为新型生产要素,虽与传统知识产权的权利客体和限制、制度目标等方面存有相似性,但其非独创性、非竞争性等特点又与后者泾渭分明,故相关数据犯罪行为若要以知识产权体系予以规制,仍然需要满足该体系的实质特征。
4.传统犯罪类型的数据网络化
此为当前广泛存在又容易在企业合规中被忽视的类型,即学术界讨论的传统犯罪的“网络异化”[13]问题。有研究者认为“数据安全法益的本质是对信息法益的前置化保护”[14],也有研究指出各个类型的网络犯罪之间存在法益侵害的交叉[15],而犯罪学意义上的讨论并不能限制司法实践的快步上前:实践中“信息法益”可直接对应《刑法》第161条违规披露重要信息罪、180条泄露内幕信息罪、308条泄露不应公开的案件信息罪等条文,其信息承载或交叉的法益侵害也几乎可涵盖数字经济生活的方方面面,无论是个人权益、公共利益,还是社会秩序。故企业不应拘泥于现有的部门法条文,而应在总体国家安全观之下对法律责任体系作融会贯通的相应部署。
二、防范数据泄露的立法动向
今年的立法工作比之往年更显频密,与早已常态化的执法现状相得益彰。
从《网络安全法(修正草案再次征求意见稿)》可以看出,数据泄露所面临的行政处罚措施更严、更细。网络与数据安全也将更注重各部门法之间、三重法律责任之间的衔接、落地。
三、代结语
数据泄露事件往往始于漏洞,归于顶层设计。企业在访问控制和责任归属方面所能做的基础性工作并非高悬楼阁之举,一些企业在权限滥用、管理失职方面的防控举措形同虚设……感于形势之危,故发此文。
[1] 2022年7月26日,广州市公安局新闻办公室召开新闻发布会,通报2022年广州民生实事“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动中,全链条打击侵犯公民个人信息等突出网络违法犯罪的相关情况和典型案例。
[2] 《浙江公安网安部门适用《数据安全法》对违法单位罚款100万元》,载微信公众号“公安部网安局”,2023年6月16日,https://mp.weixin.qq.com/s/MmAWdyoNQFfbBDzexX-qAA
[3] 广东省高级人民法院:《广东法院个人信息保护典型案例》,载微信公众号“广东省高级人民法院”,2023年10月31日,https://mp.weixin.qq.com/s/0VVqrfHu9t75Tb6NGkTKzg
[4] 上海市浦东新区人民法院:(2023)沪0115民初42087号民事判决书;上海市第一中级人民法院(2024)沪01民终410号民事判决书。
[5] 江苏省南京市中级人民法院(2023)苏01民初4082号民事判决书。
[6] 杭州铁路运输法院判决:(2019)浙8601民初1987号、杭州市中级人民法院判决:(2020)浙01民终5889号。
[7] 广东省深圳市中级人民法院判决:(2021)粤 03 民初 3843 号。
[8] 参见喻海松:《数据犯罪刑法规制模式的现状评析与未来展望》,载《法学杂志》2023年第5期“数字时代的刑事法因应专题”
[9] 叶荷:《数据刑事合规实施要点》,载微信公众号“数智安全行动计划”,2024年4月17日,https://mp.weixin.qq.com/s/_J7gY5pkupnTsCY3I3owRg
[10] 江西省南昌市东湖区法院:(2020)赣0102刑初967号刑事判决书、江西省南昌市中级法院判决:(2021)赣01刑终104号刑事判决书。
[11] 《隐秘的测绘秘密的泄露》,载微信公众号“国家安全部”,2024年10月16日,https://mp.weixin.qq.com/s/R7d0-O3mbDndUIyfl5p6lg
[12] 该案于2022年4月15日全民国家安全教育日经央视《焦点访谈》节目播出。
[13] 参见郭艳东、马宗亮:《我国网络犯罪的犯罪化背景、变迁、思路与界限》,载《上海法学研究》集刊2021年第19卷(网络治理与数据信息法学研究会卷)。
[14] 张高月:《数据安全法益的基本构造及司法运用》,载《江西社会科学》,2025年第6期。
[15] 高磊:《刑法因果关系的实质认定:网络犯罪的“算法归责”》,载欧阳本祺等著《实质刑法基本立场与方法》,法律出版社2021年版第五章。
推荐文章
护航人工智能,首批AI安全治理能力评估启动!
大模型数据安全能力评估征集(附标准解读)
从 ISO/IEC 42001 到 ASG:企业人工智能安全体系化治理思路