引 言
今年的央视“315晚会”曝光了多起数据信息违规抓取、泄漏、非法买卖的个人信息安全事件,其中包括知名商家安装了某公司生产的监控设备,在未经允许的情况下抓取来店顾客包括性别、年龄、面部特征、甚至情绪状态在内的人脸信息;〔注释1〕“智能清理大师”、“手机管家Pro”等手机App不断引导客户安装看似是手机垃圾清理软件的App,实则背地里大量获取、读取设备上已经安装的应用程序、GPS地理定位、手机号、用户识别码等个人信息;〔注释2〕甚至一些平台利用大数据进行“杀熟”。近年来,全国各地的网信办、公安厅、市场监督管理局等多部门纷纷开展各项行动,针对App违法违规采集使用个人信息、违法收集公民个人信息等行为进行了严厉的打击。大数据时代下,我国已经越来越重视对数据的监管保护,相关法律制度也相继出台,这无疑也给企业数据合规带来了巨大的压力与风险。企业如何提高数据合规意识,建立相对完善的合规体系,从而降低经营中的法律风险,同时进一步助力企业从数据中掘金,是当前企业亟需面对的问题。
一、企业数据治理现状概述
2019年1月23日,中央网信办、工业和信息化部、公安部、市场监管总局发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理,所检查内容包括App强制授权、过度索权、超范围收集个人信息等。2019年6月28日,工业和信息化部办公厅印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》,进一步指出,通过集中开展数据安全合规性评估、专项治理和监督检查,督促基础电信企业和重点互联网企业强化网络数据安全全流程管理,及时整改消除重大数据泄露、滥用等安全隐患。其后,2021年5月《网络交易监督管理办法》、2021年6月《数据安全法》等相继出台。在国家政策不断明晰,行业监管持续加强的背景下,当前,数据合规的时代已全面到来。对于很多企业来说,数据就是公司的核心资产,甚至关系到企业的生死存亡。企业数据合规体系建设,成了企业必须面对的话题。如何排除企业数据合规风险,切实做到数据合规,是许多企业面临的切实问题。本文将从数据和数据合规的概念出发,详细剖析企业数据合规中的风险类型与来源,并进一步对企业数据合规体系搭建与应对策略提供建议。
二、数据及企业数据合规定义
什么是数据?数据产权的性质到底是什么,究竟是财产权,亦或知识产权?消费者的数据集中到一个企业里,使用权、所有权、分配权归属何方?这些都是企业合规工作中首要考虑的问题。首先,我们来讨论两个经常一起出现的概念,“信息”和“数据”。《数据安全法》中将数据定义为“任何以电子或者非电子形式对信息的记录”。数据是对客观事实、现象进行记录并使用数字、文字或图片的表达,分为电子数据和非电子数据。数字时代下,非电子数据因其被大量收集使用的难度较大,利用率较低的特点,经常会被转化为电子数据使用。计算机算法与互联网技术的发展使大量收集、批量处理电子数据成为可能。而信息则是数据想要表达的、可以被人直接读取的内容。信息具有广泛性、时效性、可处理性、可传递性等特点,它的表达方式多样,同一信息可以依附于不同的载体通过多种方式表达。数据使现实世界的信息可以在虚拟空间中存储、加工、处理,使信息能够在网络空间内高速传播。互联网时代,数据正承载着越来越大的信息传递工作,二者变得密不可分。而一般我们所说的企业数据包括企业收集的个人信息数据、工业数据、商业数据和其它特殊行业数据等。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括自然人的基本资料、身份信息、生物识别信息、财产信息等;工业数据是指企业生产经营过程中获得的机器设备数据、各类工程图纸、测量记录等;商业数据则是指企业运营过程中产生的财务数据、市场数据、客户清单、货源情报等。企业数据合规是指企业对数据采取的行为符合所在地与业务关联地法律法规的要求。企业从数据的收集、处理、储存,到转让、删除、销毁,都需要依照相关法规来执行。近几年,全球对于数据保护和管理方面的立法频频出台,国内外新颁布或正在公布草案征求意见的法案层出不穷,由最初的碎片化、松散型立法逐渐发展出较为完善饱满的数据合规法律体系。2017年,我国颁布的《网络安全法》成为我国网络安全和数据保护发展新阶段的开端,其后又陆续颁布了《数据保护法》、《个人信息保护法》(草案),以及《App违法违规收集使用个人信息行为认定方法》、《信息安全技术个人信息告知同意指南》等法律法规和行业规范。《民法典》中也确认了数据与个人信息作为公民的民事权利被法律保护,进一步加强了对数据和个人信息的保护。而国外数据相关法律也是一些外贸企业需要遵循的规则之一。2018年欧盟颁布的《一般数据保护条例》(GDPR)规定了数据控制者、处理者的义务规则与数据跨境传输规则,被称为“史上最严数据保护条例”。2013年生效并于2020年11月修订的新加坡《个人数据保护法》、2003年生效并于2020年修订的日本《个人信息保护法》等均对企业跨境数据合规提出了新的要求〔注释3〕。
三、数据合规风险类型
(一)侵犯个人信息
信息技术的发展为生活带来了便利,一些App开发者为了拓展用户群体、优化算法为用户提供更精准的个性化服务等收集并关联了用户多种账号信息,但这样的信息收集过程很可能会触发数据合规问题。2019年3月,一位重庆的法学博士以抖音在未被授权的情况下收集使用通讯录推荐好友,并在未经他明确同意的情况下为同一公司其他App提供了其姓名、手机号、地理位置等个人信息为由将抖音诉至北京互联网法院,最终一审判决抖音在未征得原告同意的情况下处理其个人信息,构成了对其个人信息权益的侵害。〔注释4〕还有一些运营者以改善服务质量、提升用户体验、定期推送信息等为由,使用默认授权、捆绑下载等形式强迫用户同意App对其个人信息的收集;抑或若用户不同意该信息采集,则无法获取相应App服务;甚至一些App更是要求用户开启所有权限,授权其读取与其提供的服务完全无关的信息内容,这些行为都存在侵犯个人信息的风险。2021年5月1日实施的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》)中明确了39种常见类型App必要的个人信息收集范围,这39种类型的App将只能在《规定》划定的信息种类范围内对保证基本功能服务正常运行所必要的个人信息进行收集,《规定》同时要求App不得因为用户拒绝提供非必要个人信息而拒绝用户使用其基本服务。
(二)侵犯商业秘密
企业会采取一定保密手段将一些具有重要价值的企业数据,例如生产数据、客户资料等作为商业秘密保护,这类数据对企业的生产发展和竞争力都有着至关重要的影响,一旦披露便会失去原有的价值,给企业带来严重的经济损失和声誉损失。近年来,企业的商业数据秘密被侵犯的案件屡见报端,大疆员工将其负责的无人机相关编码上传至公开平台致使企业遭受上百万的损失,最终获刑六个月并处20万罚金;〔注释5〕海尔前高管跳槽后向同行透露洗衣机重要生产数据,给技术权利人造成高达上千万的损失,最终获刑三年。〔注释6〕企业既存在着商业数据秘密被他人侵犯的风险,也存在着侵犯他人商业数据秘密的风险。一些企业利用掌握其他企业商业数据秘密的员工跳槽所带来的相关数据进行业务拓展,或者利用尚未公开的技术数据进行新产品开发等,都可能引起侵犯商业秘密的风险。
(三)侵犯消费者权益
企业在数据的运用方面也可能面临着违规风险。例如同样的商品或服务,老客户看到的价格远高于新客户价格的“大数据杀熟”现象,该现象因已成为消费者在日常消费活动中经常遭遇的问题,而被选入2018年度社会生活类十大流行语。“大数据杀熟”现象实际上是企业对所持数据、大数据进行分析、算法等技术手段的滥用。〔注释7〕2020年7月,文化和旅游部首先在《在线旅游经营服务管理暂行规定》做出了相关规定,要求在线旅游企业不得滥用大数据分析侵犯旅游者的合法权益。2020年底,市场监管总局发布了《关于平台经济领域的反垄断指南》征求意见稿,力求进一步加强对互联网平台不公平价格行为的监管。
(四)构成不正当竞争
随着消费者的消费行为由线下向线上不断转移,用户数据的获取便成为了企业扩张市场、提升自身竞争力的重要手段。企业获取到的数据越多,对消费者的习惯偏好掌握得越充分,越能以此推测出消费者需求的产品与服务。但企业抓取数据的行为,也可能构成侵犯他人数据权利的不正当竞争行为,因此给企业带来相关涉诉风险。〔注释8〕用户数据抓取不正当竞争行为是指未经许可或无正当理由,互联网经营者利用信息技术在互联网上抓取、使用对其他经营者具有商业价值的用户数据,提供能够替代其他经营者所提供的产品和服务的行为,该行为违反了《反不正当竞争法》中相关规定。例如新浪微博诉“脉脉”一案中,用户一旦运用新浪微博账号登陆“脉脉”软件,“脉脉”就会抓取该用户的新浪微博资料并与用户手机通讯录建立联系,该案最终被法院依据《反不正当竞争法》第二条认定“脉脉”软件未经许可抓取新浪微博数据的行为构成不正当竞争行为,判决“脉脉”停止抓取并赔偿相应款项。
(五)侵犯计算机/信息网络违法犯罪
企业数据风险不仅包括民事上的涉诉风险,还可能使企业及管理层面临刑事责任风险。例如“爬虫”是企业高效提取并利用数据最常用的网络信息搜索技术,但若“爬虫”行为未在法律框架内实施,则可能给企业带来严重的刑事后果。如在数据获取环节,利用“爬虫”违反国家规定侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,可能构成“非法侵入计算机信息系统罪”;利用“爬虫”规避网站经营者设置的“反爬虫”措施,非法获取其他计算机信息系统中存储、处理或者传输的数据的,可能涉嫌“非法获取计算机信息系统数据罪”;干扰被爬网站正常运营,对计算机信息系统功能或系统中存储、处理或者传输的数据和应用程序造成破坏,或者故意制作、传播病毒等破坏性程序,影响计算机系统正常运行的,可能构成“破坏计算机信息系统罪”;若提供专门用于侵入、非法控制计算机信息系统的“爬虫”程序,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供“爬虫”,则可能构成“提供侵入、非法控制计算机信息系统程序、工具罪”。2019年,上海某科技公司主管人员利用“爬虫”手段破解字节跳动的防抓取措施、实施视频数据抓取的行为,被判决构成非法获取计算机信息系统数据罪,成为全国首例的“爬虫”技术案件。〔注释9〕
(六)违反网络安全保护或信息网络安全管理义务
数据安全问题一直以来都是用户关心的重点,也是企业应当重点关注的事项。2018年,某知名连锁酒店开房记录数据泄露,内容涉及约5亿条包括姓名、身份证、手机号、卡号等个人入住酒店信息,卖家在网络上将数据标价8个比特币,约等于人民币35万元。〔注释10〕虽然警方及时将利用黑客手段窃取数据并在境外网站兜售的犯罪嫌疑人抓获,但已经流出的数据无法再被追回,酒店的信誉也因此遭受到沉重的打击。该类案件信息泄漏的原因可能是内部员工泄密所致,也可能是黑客攻击盗取,因此当企业未尽到相应的网络安全保护义务时,也会面临相应的违规风险。2019年4月,江苏某通信技术公司因安全责任意识淡薄,网络安全等级保护制度落实不到位,管理制度和技术防护措施严重缺失导致该公司业务管理系统遭受攻击破坏,南京警方依据《网络安全法》第21条、第59条规定,对该公司予以罚款1万元,对法定代表人予以罚款5千元,同时责令限期整改,落实网络安全等级保护制度。
在信息网络安全管理方面,如企业作为网络服务提供者不履行法律法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正导致违法信息大量传播、用户信息泄露等的,可能构成拒不履行信息网络安全管理义务罪。2020年4月,宿迁沭阳对某对外开展主机出租业务的互联网数据中心进行了刑事处罚。〔注释11〕该数据中心主机的承租用户使用多种非法软件从事刷单、养号、电信诈骗等违法犯罪行为,但数据中心未落实用户实名制管理、采取技术保护措施,且被行政处罚多次,一直纵容承租用户使用外租的主机实施违法犯罪活动。
四、数据跨境流动的规则及合规风险
数据跨境流动是指数据通过互联网在不同国家之间进行传输、储存、处理等跨越主权国家边界的现象。随着我国融入经济全球化的步伐加快,特别是在“一带一路”政策的加持之下,国家之间经济贸易交往日渐增多,数据跨境流动也成为经济全球化和数字经济发展无法规避的趋势所向。〔注释12〕企业对外业务量的增加,伴随而来的是更加严峻的数字安全与合规风险问题。
(一)国内外相关立法情况
我国数据跨境流动相关规则首次于2016年的《网络安全法》中提出。《网络安全法》对关键信息基础设施运营者在境内收集和产生的个人信息和重要数据应当本地化储存,确需向境外提供的,按照有关办法进行安全评估等进行规定。2021年的《数据安全法》确立了保障数据依法有序自由流动的原则,指出国家积极开展数据领域国际交流与合作,参与数据安全相关国际标准的制定,促进数据跨境安全而自由地流动。除此之外, 2017年网信办发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(下称《评估办法》)和全国信息安全标准化技术委员会发布的《信息安全技术数据出境安全评估指南(草案)》(下称《评估指南》)构建了数据安全评估的基本框架,详细制定了安全评估的适用范围、评估程序、评估内容、评估方法等内容,为数字经济发展、促进行业兴盛提供了坚实的保障。《评估办法》规定了未经个人信息主体同意的个人信息或侵害个人利益、影响国家安全损害社会公共利益的数据不得出境。《评估指南》则明确了数据出境必须满足合法性、正当性和重要性的要求。虽然《评估办法》和《评估指南》并未正式实施,但其也为我们明确了数据跨境流动未来原则的框架和方向,企业应尽早关注并参照处理。
国外数据跨境流动相关法律经历了较长时间的发展,已经在实际运用中积累下一定经验,但也出现过一些问题,值得我们辩证地加以研究和借鉴。其中较为著名的有美国2018年公布的《澄清境外数据合法使用法案》(Cloud Act),该法案打破了其他国家对数据保护的壁垒,要求服务商保存、备份或披露无论是否位于美国境外的消费者相关电子通信内容。2018年欧盟出台的《通用数据保护条例》(GDPR)则采取了较为强硬的数据保护手段,原则上禁止数据的跨境传输,除非出现欧盟委员会确定数据在接收国可获得充分保护(即被列入“白名单”),同时规定适当保护措施的情况或是存在数据主体明示同意、合同签订必要条件、保护重大利益等特殊情况下,才能进行数据跨境传输。〔注释13〕
(二)数据出境
数据出境是指网络运营者通过网络等方式,将在境内收集或产生的个人信息或重要数据,通过直接或间接手段提供给境外机构、组织或个人的一次性或连续性活动,企业在中国境内活动面临较多的数据跨境流动相关问题便是数据出境问题。数据出境主要是个人数据和重要数据两大类数据类型,《评估指南》中对两类数据都做出了详细的定义,并在附录中规定了石油天然气、人口、民用核设施等28个行业(领域)下的重要数据类型。数据出境的表现形式多样,根据《评估指南》,向本国境内但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);或是网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的,都被认为为数据出境的情形。而非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,或是非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,均不属于数据出境的情形。
(三)数据跨境流动合规风险
1、侵犯个人信息:数据出境中,个人隐私保护的问题尤为重要。例如一些海淘平台中,消费者通过平台订购货物,订单信息、联系方式、收货地址等个人信息将以电子数据的形式由平台收集再向境外卖家提供,这一环节中若出现不充分的数据保护措施或数据滥用的情形,便可能构成侵犯个人隐私。同时在《评估办法》要求网络运营者对个人信息主体进行数据出境的目的、接收方国家和地区等告知并征求同意的基础上,《评估指南》又增加了对可能存在的风险、网络运营者联系人及联系方式等告知义务。因此,未经个人信息主体同意即将数据出境将可能构成侵犯个人信息的行为,轻则受到民事处罚,重则可能触犯《刑法》中侵犯公民个人信息罪。
2、危害国家安全:2020年,美国政府以TikTok和WeChat等多款App涉嫌未经许可将用户数据传输给中国政府为由多次发布法令要求禁止这些App在美国的使用。华为公司5G技术的发展也在美国受到阻挠,原因是其业务开展的过程中会将大量用户数据传输回研发中心进行数据分析,引发美国对国家安全的担忧。〔注释14〕〔注释15〕数据跨境流动对国家安全带来的威胁不容置疑,企业若未经国家相关部门批准而将数据擅自传输至国外也可能面临构成《刑法》中国家安全犯罪的风险。《评估指南》和《评估办法》中也均要求可能影响国家安全、经济发展、公共利益的数据在出境前应先报请行业主管或监管部门组织安全评估。
3、其他行政处罚:《网络安全法》第六十六条规定了关键信息基础设施的运营者违法在境外存储网络数据或者向境外提供网络数据的,将由有关主管部门进行行政处罚或对主管人员处以罚款。除了《网络安全法》、《数据安全法》等数据安全专门法律法规的规定之外,一些专业领域方面的法律规定中也对数据跨境流动进行了限制,若未注意可能会受到相应的行政处罚。2015年,华大基因旗下的科技服务有限公司和华山医院未经许可与牛津大学开展中国人类遗传资源国际合作研究,将部分人类遗传资源信息从网上传递出境,国家科技部便依据《人类遗传资源管理暂行办法》对其进行了行政处罚。
五、数据合规体系构建
(一)建立风险评估与响应机制
数据合规管理的目的是要防范和管控数据合规风险,而防范和管控数据风险的前提应是认识和评价风险。《网络安全法》、《个人信息安全规范》等规定中均有对企业数据风险评估的详细要求;在隐私政策中向用户披露风险评估报告的内容也可以使用户充分了解企业的数据保护程度;企业开展数据评估采取相应措施后,即使后期出现了相应法律风险,也可提供报告证明已采取规避风险的措施降低自身法律责任。因此,数据合规风险评估是数据合规管理体系建设过程中最为重要的工作之一。企业应当建立风险评估流程,明确何时需要评估、哪些数据需要评估、如何准备材料、自行评估或是聘请相关机构评估以及相关责任等,企业可聘请具有一定资质的业务专家与法律专家共同根据不同的企业特点,制定不同的评估方法,最终形成一套完整的企业数据合规风险库。而这也正是企业进一步采取数据合规管控措施的基础。同时,数据合规风险库是一个不断完善,不断修正的过程,根据法律的更新和外部环境的变化,企业应注意必须定期的维护、更新。
(二)建立数据分级管理与保护制度
不同类型的数据,往往具有不同等级的风险。企业常常会同时采集和使用来自各类渠道的数据,在制定企业数据合规策略时,应首先根据产品或服务采集的数据来源、方式、类型的不同对数据进行划分,对数据分级管理,建立不同的合规流程。
《网络安全法》、《信息安全技术个人信息安全规范》、《互联网个人信息安全保护指南》和《App违法违规收集使用个人信息行为认定方法》等法律法规均明确了企业采集数据时必须先获得授权,得到当事人同意。不仅数据来源需要获得用户的明确同意,监管机构还可能要求企业明确数据运用的具体方式,使用是否超越用户授权范围。因此,对于用户主动提供的数据,企业应当采取“明示同意授权”的方式进行数据采集,要主动明确告知收集数据的目的、范围及使用用途。同时应当恪守“必要性与目的性”原则,对于产品或服务无关的用户个人信息不进行采集。当重要事项发生变更时,应当重新取得个人同意,同时不得以个人不同意为由拒绝提供产品和服务。
对于与第三方共享的数据,企业应与自行采集的数据进行分类管理。当第三方向企业提供数据时,根据《数据安全管理办法(征求意见稿)》、《个人信息安全规范》等规定,企业从其他途径获得个人信息,与直接收集个人信息负有同等的保护责任和义务,因此企业应当核查引入第三方数据的必要性和可行性,并要求第三方就用户授权提供有效、充足的承诺与证明,确保第三方提供的个人信息来源的合法性。同时,可根据数据的类型采取文本审查、实质审查、全面审查等方式,以及委托中介机构进行尽职调查及安全审计。当企业向第三方提供数据时,企业应与第三方签订相关数据安全保密协议,明确共享数据的范围、内容、使用方法、保护手段等双方的权利义务,以及出现相应法律风险时的责任承担。〔注释16〕企业应对第三方定期监督,一旦发现第三方有违规行为,及时发出整改通知,或者终止与其合作。
对于通过公开平台获取的数据,企业应建立数据合规性审查制度,确保该类数据不存在未经授权被采集的情形。严格禁止使用非法的“爬虫”技术或“撞库”技术非法抓取的数据,避免存在连带法律责任甚至是行政、刑事风险。
对于内容特殊的数据信息,企业在采集后的使用过程中建议及时对数据进行脱敏化或是匿名化的处理,避免信息数据的泄露。根据《个人信息安全规范》规定,匿名化是指通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。个人信息经匿名化处理后所得的信息不再属于个人信息,网络运营者采集用户信息时除了征得用户同意外,匿名化和去标识化也能合法地进行数据的收集和使用。该规范同时要求“采用假名、加密、哈希函数等技术手段替代对个人信息的标识”,常见方法如给用户配置对应的ID等。
(三)制定企业数据合规制度
企业数据合规体系的构建必须依赖于企业制定的相关规章制度才能得以落地实施。企业可根据自身特点,依据已实施的《网络安全法》和《数据安全法》,参照其他已有草案或正在征求意见的各项法律法规、政策及行业规范,制定自己内部的数据合规制度。企业数据合规制度包括数据合规管理的一般性规定,即数据合规管理办法、数据合规实施细则等,也包括为推动数据合规运行的专项规定,如数据合规风险评估办法、数据合规审查办法等,还包括落实数据合规管控的专项制度,如数据保护合规管理办法、网络安全合规管理办法等,上述制度可在专项的数据合规管理办法中一并进行规定,也可以单独规章制度的形式拟定。境外实践中的个人信息保护领域问责制通过法律明确个人信息保护的原则,由企业主动制定规则去履责的方法,更加能激励企业积极主动地制定各项管理办法,更好地进行数据保护。〔注释17〕这一制度也可推进到企业各个部门当中,在企业数据合规相关规定的大框架下,部门根据自己的职责和工作特点进一步细化,分别对数据合规的各个环节把关负责,从人员内部更好地激励企业数据合规的积极性和水平。
六、 结 语
近年来,国家加大了对数据安全与个人信息保护和对涉及数据风险事件的民事侵权、刑事犯罪的监管和打击力度。对企业而言,同时要面对监管部门的监管、市场对其的评价和消费者对其产品安全性的需求,规避风险、做好网络安全与数据合规是必要条件。本文从企业数据合规的概念出发,分析了企业在数据收集、存储、运用、分享、出境等方面可能存在的诸多风险点,希望能给企业予以启发。企业应从网络、设备、数据、操作、人员管理等方面考虑,根据企业自身性质和特点制定内部的数据安全管理规定,依据已实施的《网络安全法》和《数据安全法》,参照其他已有草案或正在征求意见的各项法律法规、政策行业规范,查漏补缺,核查修改管理规定存在的不足。企业数据合规体系的搭建是一个长期、动态的过程,应根据最新颁布的法律法规持续进行调整,同时也应将自身业务中不断开发的新型技术纳入管控的范围之中,在不同的阶段制定不同的目标。合规不仅仅在于初期的框架体系建立,而更依赖后期的日常运营机制不断丰富和完善。
注 释:
〔1〕 央视财经:《3·15晚会曝光|科勒卫浴、宝马、MaxMara商店安装人脸识别摄像头,海量人脸信息已被搜集!》,载https://news.cctv.com/2021/03/15/ARTIieo9QjynMSXTVDb224QE210315.shtml?spm=C94212.Ps9fhYPqOdBU.S51378.9,2021年4月8日访问。
〔2〕 央视财经:《3·15晚会曝光|手机清理软件黑手伸向爸妈!它们正将老人推向诈骗深渊》,载https://news.cctv.com/2021/03/15/ARTINgwV0gtECEY3C18iF2Ak210315.shtml?spm=C94212.Ps9fhYPqOdBU.S51378.6,2021年4月8日访问。
〔3〕 付 伟,于长钺:《数据权属国内外研究述评与发展动态分析》,载《现代情报》2017年第7期。
〔4〕 大白财经观察:《法院认定抖音侵害用户个人信息,当事人曾发文维权、起诉多闪》,载https://baijiahao.baidu.com/s?id=1673738877718586027&wfr=spider&for=pc,2021年3月28日访问。
〔5〕 电科技:《大疆无人机源代码遭前员工泄漏,直接经济损失达114.6万》,载https://baijiahao.baidu.com/s?id=1632051588309269087&wfr=spider&for=pc,2021年3月28日访问。
〔6〕 孙剑岚:《海尔四前高管跳槽窃取商业秘密案二审宣判》,载https://www.chinacourt.org/article/detail/2015/01/id/1540297.shtml,2021年3月28日访问。
〔7〕 法治日报:《“大数据杀熟”侵害消费者哪些权益》,载http://www.rmzxb.com.cn/c/2021-01-26/2771165.shtml,2021年3月28日访问。
〔8〕 沈贵明,刘源:《数据抓取行为反不正当竞争法规制困境与对策》,载《中国流通经济》2021年第1期。
〔9〕 人民法院报:《全国首例“爬虫”技术侵入计算机系统犯罪案》,载https://www.chinacourt.org/article/detail/2020/01/id/4769105.shtml,2021年3月29日访问。
〔10〕 新京报:《华住5亿余信息泄露案犯罪嫌疑人已被抓住,但数据泄露原因、被泄露数据真实性仍是谜团》,载https://baijiahao.baidu.com/s?id=1612026986109937764&wfr=spider&for=pc,2021年3月29日访问。
〔11〕 宿迁网警巡查执法关注:《网络安全宣传周 | 沭阳警方侦办全国首例拒不履行信息网络安全管理义务案》,载https://www.thepaper.cn/newsDetail_forward_9259489,2021年3月29日访问。
〔12〕 宁宣凤,吴涵,李沅珊:《“一带一路”背景下中国企业境外并购的网络安全和数据合规问题》,载《上海法学研究》集刊2020年第15卷。
〔13〕 赵香如:《我国个人信息出境法律规制比较研究》,载《岳麓法学评论》2020年第13卷。
〔14〕 马其家,李晓楠:《论我国数据跨境流动监管规则的构建》,载《法治研究》2021年第1期。
〔15〕 王东光:《国家安全审查:政治法律化与法律政治化》,载《中外法学》2016年第5期。
〔16〕 潘永建:《涉及第三方的数据合规风险防范》,载https://law.asia/zh-hans/%E6%95%B0%E6%8D%AE%E5%90%88%E8%A7%84/,2021年4月8日访问。
〔17〕 齐 力:《企业如何开展数据治理和提升数据治理水平》,载《中国对外贸易》2020年第8期.