全国法律服务热线0571-86898968

蔡文超:《数据安全法》背景下直播电商平台刑事风险探讨——以拒不履行信息网络安全管理义务罪为视角

作者:蔡文超 专职律师 发布日期:2022-01-30

图片

《数据安全法》在2021年9月1日起施行,该法从行政及刑事层面,对在直播电商开展数据处理活动及其安全监管提出了新要求。杭州作为“数字经济第一城”,直播电商领域发展蓬勃,笔者试就直播电商行业在《数据安全法》背景下可能涉及的部分刑事法律问题进行探讨,以期为直播电商行业刑事风险防控、企业合规经营提供一些思考。


一、《数据安全法》对数据保护的基本要求梳理

《数据安全法》将数据分为两类,即一般数据和重要数据。《数据安全法》对一般数据以及重要数据,分别提出了不同的保护要求,即对相关企业、个人提出了不同要求。


其中,针对一般数据,《数据安全法》要求相关企业、个人须尽的义务包括:

1.建立健全全流程数据安全管理制度;

2.组织开展数据安全教育培训;

3.采取相应的技术措施和其他必要措施保障数据安全;

4.应当在网络安全等级保护制度的基础上,履行数据安全保护义务;

5.开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理;

6.不得窃取或者以其他非法方式获取数据;

7.对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据;

8.应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录(从事数据交易中介服务的机构提供服务);

9.因国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合;

10.未经主管机关批准,不得向外国提供存储于我国境内的数据。

针对重要数据,《数据安全法》除了要求相关企业、个人履行一般数据的保护义务,还另外规定了“增强型”的保护义务,即:

1.重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任;

2.重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。

另外,风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。


以上《数据安全法》对相关企业、个人所规定的义务,是行业行为规范的基本准则,也是相关行业可能触碰法律的底线,具有极高的研究价值,研究成果可直接指导生产实践。


二、直播电商平台可能违反数据安全保护义务的刑事风险探究

图片

从图中的结构可以看出,直播电商平台处于数据处理的核心位置,对接消费者与品牌商家等,还能串联线上线下业务场景的新零售业务。也就是说,直播电商平台在数据收集、使用、管理、流转四个环节全方面参与数据处理活动。参与环节越多,出错的可能性越大。《数据安全法》施行后,未履行数据安全合规义务的直播电商平台,除了要受到高额的行政罚款外,还可能触犯拒不履行信息网络安全管理义务罪。


《刑法》第二百八十六条之一规定,“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:

(一)致使违法信息大量传播的;

(二)致使用户信息泄露,造成严重后果的;

(三)致使刑事案件证据灭失,情节严重的;

(四)有其他严重情节的。


单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。


有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”


细究拒不履行信息网络安全管理义务罪的罪状表述,可以看出直播电商平台在运营中存在较多可能触犯拒不履行信息网络安全管理义务罪的“先天条件”,以下稍加讨论。


(一)直播电商平台系网络服务提供者

根据最高人民法院、最高人民检察院《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(以下简称“解释”)第一条的规定:刑法第二百八十六条之一第一款规定的“网络服务提供者”,包括:(2)信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;如淘宝网,微信,支付宝等。


直播电商平台的经营项目几乎涵盖解释所规定的全部业务,因此从业务上看直播电商平台属于标准的网络服务提供者。另外结合解释对网络服务提供者的列举性表述以及《数据安全法》对企业、个人关于数据安全的要求,可以对直播电商平台所涉全部业务进行逐一筛查,排除全部风险,保证平台有序、合法发展。


(二)违反数据安全管理义务能否解释为违反了信息网络安全管理义务

笔者认为数据安全系网络安全的下位概念,违反数据安全的合规义务,也就违是反了网络安全管理义务。


在《网络安全法》的附则第七十六条第二项、第四项中,对网络安全和网络数据下了定义:网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据。


从此看出,数据安全包含在网络安全之下。这一点也在《数据安全法》中有所体现,该第二十七条就规定数据安全应衔接网络安全等级保护制度。


例如滴滴出行被国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定下架,网信办7月2日的公告称:“为防范国家数据安全风险,维护国家安全,保障公共利益。”公告还体现了数据安全到网络安全到国家安全的保护义务体系。


(三)行政处罚前置,不是一行为构成拒不履行信息网络安全管理义务罪的构成要件

有观点认为,行政处罚前置是一行为构成拒不履行信息网络安全管理义务罪的构成要件,笔者认为这种理解是错误的。原因有二,其一拒不履行信息网络安全管理义务罪的罪状表述为“责令采取改正措施”,并未要求必须下达行政处罚;其二实践中下达“责令改正”的行政命令完全符合“责令采取改正措施”的罪状表述,而2021年新修订的《行政处罚法》第九条,责令改正不属于行政处罚的一种,因此构成拒不履行信息网络安全管理义务罪不需要行政处罚前置。


(四)其他严重情节在《数据安全法》下的内涵

其他严重情节,在《数据安全法》第四十五条第二款有了明确的规定:违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,构成犯罪的,依法追究刑事责任。


《数据安全法》规定核心数据管理制度应当满足:1.重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任;2.重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。


可见,在《数据安全法》规制下“其他严重情节”需要满足两个条件,即首先未落实《数据安全法》对核心数据管理所提出的“规定动作”,再者需因未落实“规定动作”导致数据泄露,且危害国家主权、安全和发展利益。如果不能同时满足以上两点,则不应认定存在其他严重情节。

 

综上,在数据安全保护愈发重要的当下,重数据驱动的直播电商平台应当积极履行上述数据安全保护义务,在配合行政主管机关调查及执行数据安全保护义务时明晰刑事边界,依法合理有效利用数据,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。

图片
全国法律服务热线:0571-86898968
地址:杭州市拱墅区余杭塘路 515 号矩阵国际中心 3 号楼 7 层
传真:0571-86898968
邮箱:houqilawyer@163.com

“厚启刑辩”更多平台: