编者按
在全球数字经济的浪潮下,面对数字技术创新与迭代带来的机遇与挑战,开展数字化转型已成为企业谋求生存及长远发展的必然选择。
近期,全国政协召开“推动数字经济持续健康发展”专题协商会引起各界热议,全国各地也纷纷出台推动数字经济、产业数字化转型的支持政策,“数字化转型”已然成为一个热点话题。
什么是数字化转型?数字化转型可能会面临哪些风险?数字化转型的路径是什么?如何构建数字化转型的保护与保障体系?面对此类数字化转型过程中无法回避的必答题,国浩深圳律师史跃、程婷、程梦珂撰写《企业数字化转型法律指南》,以法律人的视角,分享自身的思考与经验,以期抛砖引玉,助力企业数字化转型。今日撷取指南专章《法律视角下企业数字化转型的危机与风险》,供诸位一览全貌,更多精彩专题内容将陆续发布,敬请期待!
数字化转型,意味着企业的业务、管理、运营等各领域全流程的根本性转变,势必会带来不同的法律规制和监管适用,相应地,企业面临的法律风险类型繁多且较为复杂。此外,监管日益强化是数字经济时代的大背景,在此之下,企业面对越来越严格的数据监管要求,违规风险和法律责任不容忽视。实际上,近年来,数据监管愈发呈现出责任主体多元化、责任类型多样化的趋势。因而,识别风险并有效防范、化解风险对企业数字化转型至关重要。
就企业数字化转型的重点场景所涉法律风险,可分为民事风险、行政风险及刑事风险三个方面,具体分析如下:
一、民事风险
(一) 合同风险
企业在数字化转型实施过程中,或多或少需要签署数字化相关合同,在签约及履约过程中,应关注如下与合同相关的法律风险并进行防范:
1. 合同无效或效力待定风险
常见的合同无效或效力待定情形包括:未使用符合法律规定的电子签名签署电子合同的,将导致合同无效或效力待定;云计算服务提供商无证或未在许可范围内经营的,将导致合同无效。
2. 合同违约风险
数字化转型相关合同的顺利履行,有赖于双方具备合同履行的条件,以网络服务合同为例,企业应关注合同双方在网络服务合同项下的权利义务及网络服务合同关于特殊事件发生后责任承担的约定,并关注合同相对方的商业模式是否具有无法弥补的缺陷(如涉及侵权或违反法律规定)而可能影响网络服务合同正常履行,亦应关注合同相对方是否具有提供相关网络服务资质等。
(二) 不正当竞争风险
1. 未经授权的数据爬取、利用、移植行为涉嫌不正当竞争
企业对数据/信息享有的权益问题是数据不正当竞争问题的基础和前提,但是,目前法律并未对此予以明确界定。不可否认的是,平台在收集、整理数据上投入了一定的时间和人力成本,可以主张其享有一定权益。
因此,未经授权的大规模数据爬取、利用、移植行为可能损害平台对于数据的上述权益,进而,很可能构成“侵犯商业秘密”、“妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行”等不正当竞争情形。
2. 利用技术手段影响用户选择的行为涉嫌不正当竞争和侵害消费者权益
根据《反不正当竞争法》,经营者不得利用技术手段,通过影响用户选择或者其他方式,实施妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为,包括但不限于在未经其他经营者同意的情况下,在其合法提供的网络产品或者服务中,插入链接、强制进行目标跳转。
根据《电子商务法》,电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。
因此,企业利用数据和技术手段,通过影响用户选择,实施妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为,涉嫌不正当竞争,同时还可能被认定侵害消费者合法权益。
(三) 侵权风险
根据《民法典》《个人信息保护法》,个人信息受法律保护。因此,企业在日常管理或运营中,对员工隐私保护和个人信息保护不到位将会带来侵权风险。
关于员工隐私保护,举例而言,如企业采取的视频打卡等管理措施超过公平、必要、合理的界限,就会触及员工合法的个人隐私,存在侵犯员工隐私风险。
关于个人信息保护,我国立法和司法实践正在形成并完善个人信息独立于隐私权的保护机制。根据公开信息检索,2021年以“隐私权、个人信息保护纠纷”为案由的民事诉讼案件约200件。此外,随着《个人信息保护法》的实施,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起公益诉讼。因此,若企业利用网络技术侵犯个人信息、隐私权,将面临诉讼风险。
此外,如企业员工在工作中使用盗版软件,将涉嫌侵犯著作权人对其计算机软件享有的复制权,企业可能基于对员工行为负责的法律要求,承担侵权责任。
二、行政风险
(一) 数据保护领域的行政风险
随着《网络安全法》《数据安全法》《个人信息保护法》陆续出台,我国数据保护领域的行政执法呈强监管、常态化趋势,目前,监管的重点集中于APP违法违规收集使用个人信息、侵害用户权益治理以及金融数据合规等领域。
针对个人信息安全,重点聚焦违规调用手机权限、超范围收集个人信息等问题。监管部门对APP运营者违法违规收集使用个人信息行为的处罚措施,包括由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。此外,对于窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
针对侵害用户权益治理,重点聚焦APP过度索权、频繁骚扰、侵害用户权益的问题。监管部门不断深化APP侵害用户权益整治,具体措施包括责令整改、向社会公告、组织APP下架、停止APP接入服务,以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等。
针对金融数据合规,重点聚焦对个人信息未尽安全保护义务、未经授权查询个人信用信息、违反安全管理要求等问题。除网信部门对个人信息安全的监管,及工信部、公安部、国家安全部、国家保密局等在其职责范围内对涉及个人信息安全的问题进行处罚外,证券、银行、保险等金融监管部门也对金融机构的金融数据保护情况进行日常监管和处罚。
(二) 云计算领域的行政风险
1. 无证经营
根据《电信条例》《电信业务经营许可管理办法》,未取得电信业务经营许可证,任何组织或者个人不得从事电信业务经营活动,未获得电信业务经营许可证的经营者无法合法获得基础电信业务经营者提供的电信服务和电信资源。
擅自经营电信业务的,将被监管部门责令改正,没收违法所得,处违法所得3倍以上5倍以下罚款;没有违法所得或者违法所得不足5万元的,处10万元以上100万元以下罚款;情节严重的,责令停业整顿。
电信业务经营者受到电信管理机构行政处罚的,由电信管理机构自作出行政处罚决定之日起30日内列入电信业务经营不良名单,但受到电信管理机构吊销经营许可证的处罚或者具有直接列入电信业务经营失信名单情形的,直接列入失信名单。
2. 资源来源不合法
根据《电信条例》《电信业务经营许可管理办法》,提供接入服务的增值电信业务经营者应当租用取得相应经营许可证的基础电信业务经营者提供的电信服务或者电信资源从事业务经营活动,不得向其他从事接入服务的增值电信业务经营者转租所获得的电信服务或者电信资源。
根据《工业和信息化部关于清理规范互联网网络接入服务市场的通知》,IDC、ISP、CDN企业不得私自建设通信传输设施,不得使用无相应电信业务经营许可资质的单位或个人提供的网络基础设施和IP地址、带宽等网络接入资源。
工信部自2017年开始对互联网网络接入服务市场进行清理规范,对企业违规自建传输网络、非法经营传输业务及违规经营跨境数据通信等问题加大监管力度,督促企业合法合规经营。处罚措施包括责令改正,给予警告,可以并处5000元以上3万元以下的罚款,对拒不整改的企业依法严肃查处,并纳入信用管理机制实施惩戒等。
3. 资源使用不合法
资源使用合法合规的要求主要包括:①电信业务经营者应当按照经营许可证所载明电信业务种类,在规定的业务覆盖范围内,按照经营许可证的规定经营电信业务;②持有相应的电信业务经营许可证的企业,不得以技术合作等名义向无证企业非法经营电信业务提供资质或者资源;③ISP业务经营者不得向其他从事ISP业务的经营者转租所获得的电信服务或者电信资源等。
违反上述规定经营电信业务或使用资源,将面临以下行政处罚风险:国务院信息产业主管部门或者省、自治区、直辖市电信管理机构责令改正,没收违法所得,处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足1万元的,处1万元以上10万元以下罚款;情节严重的,责令停业整顿。
4. 资源去向不合法
资源去向合法合规的要求主要包括:
(1) 审核合作方:①基础电信企业不得向无证企业和个人提供用于经营IDC、ISP、CDN等业务的网络基础设施和IP地址、带宽等网络接入资源;②ISP企业不得为未取得经营许可证的或者未履行非经营性互联网信息服务备案手续的单位或个人提供ISP或代收费服务;③ISP企业需要对所接入网站传播违法信息的行为进行监督;④ISP企业向其他增值电信业务经营者提供ISP或代收费服务及开展业务合作时,应当审查合作方是否被列入电信业务经营不良名单或失信名单;⑤IDC企业对接入的第三方应用开发者进行实名登记和核验;
(2) 禁止层层转租:IDC、ISP企业不得将其获得的IP地址、宽带等网络接入资源转租给其他企业,用于经营IDC、ISP等业务;
(3) CDN业务禁止:CDN企业不得为未备案网站、列入黑名单的网站提供CDN服务。
违反上述规定提供互联网接入服务,将面临被违法行为发生地省通信管理局责令改正,并处1万元罚款的处罚措施;未根据《计算机信息网络国际联网安全保护管理办法》履行备案职责的,由公安机关给予警告或者停机整顿不超过6个月的处罚。此外,电信业务经营者受到行政处罚的,由电信管理机构自作出行政处罚决定之日起30日内列入电信业务经营不良名单。
三、刑事风险
企业在数字化转型过程中运用新的数字技术或者商业模式,如侵犯国家利益或公民合法权益,企业本身及/或其法定代表人、员工可能涉及以下刑事责任:
(一) 非法获取计算机信息系统数据、非法控制计算机信息系统罪
企业利用技术手段非法获取数据,如爬虫技术,可能涉嫌非法获取计算机信息系统数据罪。
根据《刑法》,违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
(二) 侵犯公民个人信息罪
《刑法》并未对“公民个人信息”的范围进行明确规定,一般而言,涉及个人隐私、被侵犯后将给公民的人身财产安全带来重大风险的信息都应属于前述范围。在实务中,入侵工商行政管理系统爬取大量市场主体信息或非法获取带有明显公民个人属性组合信息的行为,以及利用黑客技术侵入高校招生网站、非法获取考生信息的行为等,均涉嫌侵犯公民个人信息罪。
根据《刑法》,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
(三) 侵犯著作权罪
《刑法》对侵犯著作权罪的情形进行了列举,如未经著作权人许可,复制发行、通过信息网络向公众传播其文字作品、音乐、美术、视听作品、计算机软件及法律、行政法规规定的其他作品等。
在数据保护情境下,企业利用爬虫技术非法复制或通过信息网络传播他人享有著作权的内容,或员工在工作中使用盗版软件等,均涉嫌侵犯著作权罪。
此外,根据最高人民法院、最高人民检察院、公安部发布的《关于办理侵犯知识产权刑事案件适用法律若干问题的意见》,明知他人实施侵犯知识产权犯罪,而为其提供生产、制造侵权产品的主要原材料、辅助材料、半成品、包装材料、机械设备、标签标识、生产技术、配方等帮助,或者提供互联网接入、服务器托管、网络存储空间、通讯传输通道、代收费、费用结算等服务的,以侵犯知识产权犯罪的共犯论处。因而,违反法律规定向无资质合作方提供互联网接入服务的,亦有可能涉嫌侵犯著作权罪。
根据《刑法》,以营利为目的,存在上述侵犯著作权或者与著作权有关的权利的情形,违法所得数额较大或者有其他严重情节的,处三年以下有期徒刑,并处或者单处罚金;违法所得数额巨大或者有其他特别严重情节的,处三年以上十年以下有期徒刑,并处罚金。
(四) 帮助信息网络犯罪活动罪
违反法律规定向无资质合作方提供互联网接入服务或层层转租,可能涉嫌帮助信息网络犯罪活动罪。
根据《刑法》,明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
(五) 诈骗罪
企业利用网络或采取新的商业模式及技术手段实施非法占有他人财产行为的,可能涉嫌诈骗罪。
根据《刑法》,诈骗公私财物,数额较大的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;数额巨大或者有其他严重情节的,处三年以上十年以下有期徒刑,并处罚金;数额特别巨大或者有其他特别严重情节的,处十年以上有期徒刑或者无期徒刑,并处罚金或者没收财产。
此外,《刑法》还规定了信用卡诈骗罪、合同诈骗罪等罪名,如符合前述罪名的犯罪构成,亦涉嫌该等犯罪。
(六) 非法经营罪
未经许可经营法律、行政法规规定的专营、专卖物品或者其他限制买卖的物品的,属于非法经营行为。在数字领域,未取得电信业务经营许可证即开展经营活动的,涉嫌非法经营罪。
根据《刑法》,违反国家规定,有非法经营行为,扰乱市场秩序,情节严重的,处五年以下有期徒刑或者拘役,并处或者单处违法所得一倍以上五倍以下罚金;情节特别严重的,处五年以上有期徒刑,并处违法所得一倍以上五倍以下罚金或者没收财产。
以上分析,仅就数字化转型过程中常见的法律风险进行阐述,远不能涵盖全部的法律风险,随着数字化的纵深推进,各领域全过程涉及的风险与危机势必相应增加。