分享到
EN
  • 专业文章 Articles

大数据背景下供应商及商业合作伙伴的信息安全合规

公司与并购 知识产权 竞争与反垄断

  一、大数据是什么?
  有关大数据的定义众说纷纭。麦肯锡全球研究院认为,大数据是指规模超出普通数据库软件工具的捕获、存储、管理和分析能力的数据集。高德纳则认为,大数据是数量大、处理速度快、种类繁多的信息资产,要求高效有创造性地对其进行信息处理,以增强洞见,提升决策[1]。我国在国发〔2015〕50号《国务院关于印发促进大数据发展行动纲要的通知》中指出,大数据是以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合,正快速发展为对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析,从中发现新知识、创造新价值、提升新能力的新一代信息技术和服务业态[2]。
  从上述定义可以看出,所有的大数据概念中都具备三个基本特征,即:1、量大;2、速度快;3、种类多。大数据不仅是作为一个名词的存在,在很多场合是强调一个数据处理过程,是一个决策洞察的过程。在此过程中,处理的是其获取的各种数据。 
  二、保护什么样的数据?
  随着互联网的普及、移动互联、智能终端的广泛运用,加上与云计算模式的整合,数据的采集、存储、分析以及利用已构成企业运营的核心。这些纷繁复杂的数据信息可以分为:个人信息、国家机密、公众信息、商业信息等众多方面。具体而言,我们需要保护哪些数据信息?
  (一)个人信息
  在考虑信息安全保护时,首先应当是个人信息的保护。我国《民法总则》规定了明确的个人信息权[3]。但在大数据的交易中,许多标的都是属于以个人为粒度的数据,即使这些数据经过一定的清洗,但也很难保证个人的隐私不被泄露。[4] 与此同时,因犯罪行为而导致的个人信息泄露数字更是触目惊心。如:辽宁丹东破获一起特大侵犯公民个人信息案,涉及公民个人信息数据达100亿余条[5]。打击危害个人信息安全犯罪问题,刻不容缓。
  (二)知识产权
  知识产权已成为企业重要的资产之一。《民法总则》规定民事主体依法享有知识产权[6],不得侵犯。信息安全的漏洞有可能导致永久性失去知识产权。以商业秘密为例,如果商业秘密被公布于众,其便失去作为商业秘密保护的地位和价值。在目前的市场环境下,几乎每一家企业都有大量的商业秘密,如客户名单、经营策略、配方以及软件代码等。在网络环境下,尤其是大数据普及的情况下,商业秘密成为最容易被攻击的对象之一。
  (三)企业其他机密信息
  企业的机密信息包括财务信息、营销方案、潜在推广活动、合规政策以及客户名单等。这些可能不构成商业秘密,但对企业具有商业价值。 
  三、为什么要保护?
  网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度[7]。网络运营者应采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失[8]。可见,信息安全的保护是每个企业的法定职责。
  除此之外,从保护资产的角度来看,企业投入大量人力物力产生的知识产权、营销方案以及财务信息等是其宝贵财富,进行信息安全保护理所应当。
  再从商业信誉来看,发生安全事故可能极大的损害企业声誉,企业声誉是其重要的无形资产。如,京东回应12G数据外泄传闻,源自2013年安全漏洞问题[9]。在2016年发生的京东客户信息外泄事件中,引起消费者对京东数据保护措施及能力的质疑[10],甚至有消费者提出要求行使数据删除权[11]。
  最后,从责任承担的角度来看,信息安全和保密的法律并不是要求企业追求完美,而是需要证明企业是否依据法律法规的规定采取合理、恰当的行动。如果企业采取了合理的标准,即使信息安全遭到破坏,企业也不会被合规处罚。如果网络服务提供者不履行法律、行政法规规定的信息网络安全义务,可能构成拒不履行信息网络安全管理义务罪[12]。 
  四、如何保护?
  当企业将保密信息托付给商业合作伙伴或供应商时,即意味着他们有可能获得大数据授权,有权访问数据库。在此情况下,信息安全问题尤为重要,企业需要评估第三方整体安全措施,已确保信息安全。一般会采取以下三种措施:
  (一)尽职问卷调查
  把数据托管给第三方时,应尽可能地开展尽职调查工作。尽职调查程序并没有统一的标准,但应采用标准化的调查问卷。标准化的调查问卷有利于为尽职调查工作提供一个统一、现成的框架;有利于对问卷的答复进行同类型比较;有利于确保涉及尽职调查工作的关键点没有遗漏。一般会包括总体上信息安全、保险责任范围、财务人事状况、信息安全政策、物理安全、分包商信息安全政策、应急措施以及加密等。
  (二)供应商和商业合作伙伴中信息安全的合同保护措施
  在大部分的商务合同中,很少有明确针对信息安全的条款,有些合同甚至完全没有信息安全条款。有关信息安全的条款很多是在保密条款中匆匆带过,出现问题,追偿责任时只有依赖于法律的相关规定。在目前的立法及实践来看,用于规制信息安全的法律的保护效果不尽如人意,我们应当重视商务合同中的信息安全条款。信息安全条款可以以附件或专业条款的方式在合同中出现。其内容一般包含保证条款、信息安全义务、免责条款、责任限制以及监督条款。
  (三)信息安全规则
  使用附件或说明书对协议涉及的信息安全规定进行明确规范和指导。比如,涉及将高度保密的信息委托给第三方的合作,可能要求第三方在处理相关信息时遵照严格的操作,提供给第三方具体的操作协议,甚至协助其建立信息安全合规制度。附件还可以包括对加密以及用来存放企业信息的存储媒介的明确规定,以确保用恰当的方式从硬件和存储媒介上提取信息。也可以要求建立完善的数据回收及销毁程序与措施。
  五、建议
  当我们和第三方建立商务合作关系时,我们将数据信息委托给第三方,将会面临我们无法控制的风险。为有效的控制或监督数据泄露风险,我们建议运用统一的尽职调查程序、使用与信息安全相关的合同条款保护措施,甚至运用合同附件的方式对第三方要遵守的信息安全条款及措施进行规范与指导。当然,对第三方落实上述信息安全的措施情况进行监督检查,并不时对信息安全保护政策及措施进行更新更为重要。
[1] Http://www.gartner.com/it-glossary/big-data 
[2] http://www.gov.cn/zhengce/content/2015-09/05/content_10137.htm  
[3] 《民法总则》第111条规定:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
[4] 王融:《大数据时代》,北京,中国工信出版集团,2017,第5页。
[5] http://news.163.com/17/0802/15/CQRH8I4O00018AOQ.html
[6] 《民法总则》第123条规定 民事主体依法享有知识产权。
知识产权是权利人依法就下列客体享有的专有的权利:
(一)作品;
(二)发明、实用新型、外观设计;
(三)商标;
(四)地理标志;
(五)商业秘密;
(六)集成电路布图设计;
(七)植物新品种;
(八)法律规定的其他客体。
[7] 《网络安全法》第40条。
[8] 《网络安全法》第42条。
[9] http://tech.sina.com.cn/i/2016-12-11/doc-ifxypipt0876084.shtml
[10] http://news.zol.com.cn/618/6188940.html
[11] 《网络安全法》第43条对删除权进行了规定。个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
[12] 《刑法》第286条之一规定:
网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。

相关文章
  • 查看详情

    财税[2019]8号关于创业投资企业个人合伙人所得税政策问...

  • 查看详情

    融资租赁商事争议的特点和法律实践

  • 查看详情

    股权代持协议效力分析

关注:
地 址:上海市浦东新区银城中路501号上海中心大厦15/16层
电 话:+86 21 5878 5888