公司信息保護(hù)法律規(guī)定？

《個(gè)人信息保護(hù)法》于11月1日施行，作為個(gè)人信息保護(hù)領(lǐng)域的基本法，其全面規(guī)定了企業(yè)等個(gè)人信息處理者的義務(wù)及責(zé)任，并在三處明確提出合規(guī)要求。隨著《個(gè)人信息保護(hù)法》的出臺(tái)與實(shí)施，其與《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《刑法》中相關(guān)條款共同形成公法視角下的個(gè)人信息保護(hù)法律體系。一方面，面對(duì)強(qiáng)制合規(guī)義務(wù)及責(zé)任，企業(yè)應(yīng)當(dāng)建立合規(guī)管理體系，以踐行處理個(gè)人信息的法定義務(wù)，避免因違法處理個(gè)人信息而受到處罰。另一方面，與強(qiáng)制合規(guī)并存的合規(guī)激勵(lì)機(jī)制，如合規(guī)爭(zhēng)取寬大行政或刑事處理，則使企業(yè)主動(dòng)建立健全個(gè)人信息保護(hù)合規(guī)體系。

一、法律責(zé)任

應(yīng)然狀態(tài)下的法律責(zé)任是企業(yè)個(gè)人信息保護(hù)不完善時(shí)可能面臨的合規(guī)風(fēng)險(xiǎn)，而不是企業(yè)承擔(dān)責(zé)任的實(shí)然狀態(tài)。行政和解制度、企業(yè)合規(guī)改革等合規(guī)激勵(lì)機(jī)制，賦予企業(yè)以合規(guī)爭(zhēng)取寬大行政處理及刑事處理的可能性，以此來(lái)減輕企業(yè)本應(yīng)承擔(dān)的責(zé)任，將較重的應(yīng)然責(zé)任轉(zhuǎn)為輕微的實(shí)然責(zé)任。

（一）應(yīng)然狀態(tài)下的法律責(zé)任

1、行政處罰

根據(jù)《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》 ，企業(yè)在處理個(gè)人信息時(shí)若違反禁止性規(guī)范或未嚴(yán)格落實(shí)義務(wù)性規(guī)范，可能面臨履行個(gè)人信息保護(hù)職責(zé)的部門(mén)吊銷(xiāo)營(yíng)業(yè)執(zhí)照等合規(guī)風(fēng)險(xiǎn)，具體如下。

（1）申戒罰。企業(yè)違反法律規(guī)定處理個(gè)人信息，或者處理個(gè)人信息未履行法律規(guī)定的個(gè)人信息保護(hù)義務(wù)的，由履行個(gè)人信息保護(hù)職責(zé)的部門(mén)給予警告。

（2）財(cái)產(chǎn)罰。企業(yè)違法處理個(gè)人信息拒不改正的，由履行個(gè)人信息保護(hù)職責(zé)的部門(mén)對(duì)企業(yè)及責(zé)任人員處以罰款，并沒(méi)收企業(yè)違法所得。

（3）行為罰。一是限制開(kāi)展經(jīng)營(yíng)活動(dòng)。對(duì)違法處理個(gè)人信息的應(yīng)用程序，責(zé)令暫停或者終止提供服務(wù)。二是吊銷(xiāo)許可證件。違法處理個(gè)人信息情節(jié)嚴(yán)重的，吊銷(xiāo)相關(guān)業(yè)務(wù)許可或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照。三是限制從業(yè)。禁止相關(guān)責(zé)任人員在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級(jí)管理人員和個(gè)人信息保護(hù)負(fù)責(zé)人。

2、刑事責(zé)任

根據(jù)我國(guó)《刑法》規(guī)定，企業(yè)若違反法律規(guī)定處理個(gè)人信息，或未盡到個(gè)人信息保護(hù)的義務(wù)，可觸犯作為犯“侵犯公民個(gè)人信息罪”及不作為犯“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”。

（1）作為犯罪。《刑法》第二百五十三條之一為“侵犯公民個(gè)人信息罪”，根據(jù)此條規(guī)定，違反國(guó)家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息情節(jié)嚴(yán)重的，竊取或者以其他方法非法獲取公民個(gè)人信息的，處有期徒刑或者拘役，并處或者單處罰金。

（2）不作為犯罪。《刑法》第二百八十六條之一為“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”，根據(jù)此條規(guī)定，網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門(mén)責(zé)令采取改正措施而拒不改正，致使用戶(hù)信息泄露造成嚴(yán)重后果的，或有其他嚴(yán)重情節(jié)的，處有期徒刑、拘役或者管制，并處或者單處罰金。

（二）實(shí)然狀態(tài)下的法律責(zé)任

1、寬大行政處理

在證券期貨監(jiān)管及反不正當(dāng)競(jìng)爭(zhēng)等領(lǐng)域，我國(guó)在行政監(jiān)管環(huán)節(jié)已經(jīng)開(kāi)始了以合規(guī)換取寬大處理的制度和實(shí)踐。具體到個(gè)人信息保護(hù)領(lǐng)域，可在兩個(gè)方面做好個(gè)人信息保護(hù)合規(guī)管理，以爭(zhēng)取寬大行政處理。

積極的作為義務(wù)方面，一是面向用戶(hù)遵守個(gè)人信息處理的規(guī)則。如采集個(gè)人信息應(yīng)當(dāng)具有合法性基礎(chǔ)，允許用戶(hù)撤回同意，為用戶(hù)行使刪除、更正的權(quán)利提供便利，告知用戶(hù)必要事項(xiàng)，通知安全事件等。二是企業(yè)內(nèi)部承擔(dān)安全管理的義務(wù)。如個(gè)人信息分類(lèi)管理，采取加密等技術(shù)措施，建立應(yīng)急機(jī)制，設(shè)立組織機(jī)構(gòu)，進(jìn)行影響評(píng)估及合規(guī)審計(jì)等。

消極的不作為方面，《個(gè)人信息保護(hù)法》等相關(guān)條款是企業(yè)處理個(gè)人信息時(shí)的禁止性規(guī)范，包括不得竊取或者以其他非法方式收集數(shù)據(jù)，不得過(guò)度收集個(gè)人信息，不得公開(kāi)處理的個(gè)人信息等。據(jù)此，若企業(yè)未從事上述違法行為，僅員工因個(gè)人行為遭受行政調(diào)查時(shí)，企業(yè)可以提出盡到了培訓(xùn)、懲戒等方面的合規(guī)管理義務(wù)，從而將單位責(zé)任與員工的個(gè)人責(zé)任進(jìn)行切割。

特別的，無(wú)論是積極的作為義務(wù)還是消極的不作為義務(wù)，若企業(yè)因“未盡強(qiáng)制性的義務(wù)”或“從事了禁止性的行為”而受到行政調(diào)查時(shí)，企業(yè)可以通過(guò)合規(guī)承諾，說(shuō)服履行個(gè)人信息保護(hù)的職責(zé)部門(mén)免除或減輕企業(yè)的行政法律責(zé)任。

2、寬大刑事處理

我國(guó)當(dāng)前正在進(jìn)行企業(yè)合規(guī)改革試點(diǎn)。根據(jù)最高檢《關(guān)于開(kāi)展企業(yè)合規(guī)改革試點(diǎn)工作方案》，開(kāi)展企業(yè)合規(guī)改革試點(diǎn)工作，是指檢察機(jī)關(guān)對(duì)于辦理的涉企刑事案件，在依法做出“能不捕的不捕、能不訴的不訴、能不判實(shí)刑的提出適用緩刑”的量刑建議的同時(shí)，針對(duì)企業(yè)涉嫌具體犯罪，結(jié)合辦案實(shí)際，督促涉案企業(yè)作出合規(guī)承諾并積極整改落實(shí)，促進(jìn)企業(yè)合規(guī)守法經(jīng)營(yíng)，減少和預(yù)防企業(yè)犯罪的改革舉措。

具體到個(gè)人信息保護(hù)領(lǐng)域，同樣可以在兩個(gè)方面做好個(gè)人信息保護(hù)合規(guī)管理，以爭(zhēng)取寬大刑事處理。積極的作為義務(wù)方面即履行信息網(wǎng)絡(luò)安全管理義務(wù)。消極的不作為義務(wù)方面即不允許員工在產(chǎn)品和服務(wù)中出售、提供、竊取、非法獲取個(gè)人信息。

三、合規(guī)建議

為貫徹落實(shí)相關(guān)要求，規(guī)范相關(guān)行為，提高相關(guān)企業(yè)合規(guī)意識(shí)和水平，相關(guān)部門(mén)在企業(yè)境外經(jīng)營(yíng)、金融、反壟斷等領(lǐng)域編制了相關(guān)管理指引，如國(guó)家發(fā)改委等七部委印發(fā)《企業(yè)境外經(jīng)營(yíng)合規(guī)管理指引》，為企業(yè)在具體領(lǐng)域的合規(guī)工作提供指引和參考。借鑒這些領(lǐng)域合規(guī)實(shí)踐，根據(jù)《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》及《刑法》，提出個(gè)人信息保護(hù)合規(guī)建議，具體內(nèi)容包括以下八個(gè)方面。

（一）擬定規(guī)章制度

根據(jù)個(gè)人信息保護(hù)的法律法規(guī)變化和監(jiān)管動(dòng)態(tài)，建立健全并不斷更新個(gè)人信息保護(hù)合規(guī)管理制度，闡明個(gè)人信息保護(hù)合規(guī)目的與內(nèi)涵，明確處理個(gè)人信息的行為規(guī)范及違規(guī)后果，將外部有關(guān)合規(guī)要求轉(zhuǎn)化為內(nèi)部規(guī)章制度。一是形成個(gè)人信息安全管理基礎(chǔ)性制度。二是在個(gè)人信息收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等各個(gè)處理環(huán)節(jié)踐行個(gè)人信息保護(hù)的義務(wù)。三是明確違規(guī)行為的內(nèi)部處理流程和責(zé)任承擔(dān)方式，簽署承諾性書(shū)面聲明，企業(yè)員工違規(guī)按既定方式處理。

（二）建立組織機(jī)構(gòu)

設(shè)立個(gè)人信息保護(hù)內(nèi)部合規(guī)機(jī)制的組織機(jī)構(gòu)，明確個(gè)人信息保護(hù)合規(guī)主管部門(mén)、負(fù)責(zé)人及職責(zé)。合規(guī)部門(mén)負(fù)責(zé)具體起草本企業(yè)個(gè)人信息保護(hù)合規(guī)管理計(jì)劃和管理制度；組織開(kāi)展或者參與個(gè)人信息保護(hù)合規(guī)審計(jì)、檢查與考核等相關(guān)工作，及時(shí)發(fā)現(xiàn)薄弱環(huán)節(jié)，督促違規(guī)整改和持續(xù)改進(jìn)；落實(shí)本企業(yè)個(gè)人信息保護(hù)合規(guī)宣傳計(jì)劃，定期和不定期組織或協(xié)助人事部門(mén)、業(yè)務(wù)部門(mén)開(kāi)展合規(guī)培訓(xùn)、宣傳等工作；指導(dǎo)各業(yè)務(wù)單位做好個(gè)人信息保護(hù)合規(guī)、為各業(yè)務(wù)單位提供合規(guī)咨詢(xún)和支持；就個(gè)人信息保護(hù)合規(guī)舉報(bào)進(jìn)行登記和受理并對(duì)舉報(bào)進(jìn)行調(diào)查和審核，判斷是否存在違規(guī)行為，并提出處理建議。