中新经纬客户端8月25日电 题:《肖飒:CDO如何?》
作者 肖飒(北京大成律师事务所合伙人)
数字化转型,是市场主体的内在需求也是社会外在要求,这是不可逆转的趋势。对于公司首席数据官(以下简称CDO)而言,近日出台的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),带来了新的挑战。尽管CDO们此前对于数据合规的政策有所了解,但普遍对本次出台的新法没有掌握到法律关键点,故笔者谈谈以下相关看法:
新法之后,必有新司法解释框定新边界
法律出台之后,对于既有的个人信息及数据保护的法律框架有影响。尤其对于最硬核的刑法第253条之一侵犯公民个人信息罪而言,可能会直接扩大“犯罪圈”。
举例说明:14岁以下少年儿童的个人信息为敏感信息,而现有2017年《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》里对于“情节严重”的认定,实际上是按照个人信息的具体性质做了区分,行踪轨迹、通信、征信、财产信息50条以上即可入罪,而住宿信息、生理信息却需要500条,其他个人信息甚至需要5000条才能入罪。为保护少年儿童的身心健康,笔者认为14岁以下少年儿童的个人信息的入刑标准将划入与行踪轨迹同等重要的信息中来。
因此,CDO在甄别C端用户时,就要协调业务部门和IT部门,对青少年的个人信息做特别处理。笔者提醒:在视频、游戏、直播等行业,少年儿童过早触网,倘若已经点击“青少年模式”就务必切换数据保护的级别,切勿粗心大意,造成行政违法,甚至为企业带来刑事风险。
此外,普及一个常识,中国单位犯罪是双罚制,不仅处罚单位而且处罚直接负责的人员,CDO在数据类刑事案件中首当其冲。
两年内是否收到行政处罚
对于行政处罚,一些初创公司的CEO并不重视,笔者的EMBA同学经常喊的口号是:先跑起来,大不了罚款关门。然而,数据治理不是这样。
若行政处罚已有一次,再有非法购买、收受公民个人信息的,则直接构成刑事犯罪。
因此,CDO最重要的工作变成了:尽全力减少行政处罚。而《个人信息保护法》第五章“个人信息处理者的义务”规定了二十余项具体的义务,需要认真关注。同时,行政处罚的罚款金额和其他处罚情况,则归于第七章法律责任,同样需要注意。请记住,两年内如果有行政处罚,企业就不能再犯一点数据方面的红线了,否则刑法就在那里,不偏不倚。
为合法经营活动而非法购买、收受数据
从司法解释到司法实践,对于合法经营活动,例如AI等有意无意购买一些来源不明确的数据,相对比较宽容。
但随着创业风险变化,“合法性”的认定标准也在迭代甚至是多次变动,直接影响“为合法经营活动而非法购买、收受数据”之范围。
为合法经营活动而非法购买、收受个人信息的定罪要求更高,在获利金额上是非法活动要求金额的10倍。适用更高标准必须满足三个条件:一是为了合法活动,企业必须拿出证据(自证清白);二是仅限于普通的个人信息,不能包括影响人身、财产安全的敏感信息;三是信息没有再流出扩散,仅限企业内部使用。(中新经纬APP)
中新经纬版权所有,未经书面授权,任何单位及个人不得转载、摘编或以其它方式使用。本文不代表中新经纬观点。
( HN666)