上海2022屆高校畢業生首場校園招聘會舉行，可在線求

上海2022屆高校畢業生首場校園招聘會舉行，可在線求職

湃新聞記者張慧

10月12日，2022屆上海高校畢業生秋季校園招聘會在上海建橋學院舉行。澎湃新聞記者張慧圖

本場招聘會是滬上這一學年舉辦的首場高校畢業生校園招聘會，標志著對全市2022屆高校畢業生的集中就業服務的正式啟動。

當日共有980家用人單位進場招聘。上海建橋學院供圖

該活動由上海市教育委員會主辦，上海市學生事務中心和上海建橋學院共同承辦，共有980家用人單位進場招聘，提供崗位2800余個，招聘需求人數25000多人，活動進場學生數達14000余人。其中，長三角地區企業40余家，臨港新片區單位80余家，重點單位160余家。招聘會采用“線上+線下”形式同步舉行，無法到場的畢業生，也能在線求職。

上海市教育委員會副主任倪閩景表示，2021年的上海高校畢業生就業工作總體上保持了良好、穩定的狀態，取得了不錯的成績。2022屆高校就業工作拉開序幕，上海市將與其他兄弟省市共同促進畢業生就業與企業人才需求雙向對接，加強創新型人才在行業、領域、區域間優化配置，全方位幫助“五大新城”構筑人才高地。

風雨之中，活動進場學生數達14000余人。上海建橋學院供圖

當日，長三角地區畢業生供需云平臺啟動。該平臺融通了滬、蘇、浙、皖地區的就業信息數據（http://www.firstjob.shec.edu.cn/zp/csjzph/index.html），應屆生可通過平臺投遞簡歷，實現長三角地區“云應聘”。此外，上海市終身教育學分銀行戰略合作備忘錄簽署完成。這家“另類”銀行集存儲、整合學習經歷于一體，服務于上海市建設終身教育體系和學習型社會的需要，能夠消除校園“圍墻”，將學生的求學經歷與工作經歷連接起來，助力畢業生終身學習。

根據用人單位需求，高校將就業磨合期提前到在校期間。舉辦方上海建橋學院是上海“促進就業先進集體”，學生就業率在98%、簽約率90%以上，本市就業的學生占比超七成。為了確保畢業生都能得到精準高效的就業服務支持，學校把學生就業和人才培養有機融合。比如，物流專業為大一、大二學生提供職業測評、職業生涯規劃發展課程，大三設置企業開放日，大四階段，學校舉行招聘會，提供面試指導、簡歷指導，內部宣講會等。

責任編輯：高文

校對：丁曉

假已經到來，為普及更多安全知識，1月22日（本周六）晚上8點，惠州市教育局、惠州市消防救援支隊、南方報業傳媒集團惠州分社將聯合推出寒假安全教育“云課堂”?；葜菔谢莩菂^消防救援大隊工程師張蓬將為大家講解防火用電安全知識和遇火逃生技巧。希望通過這節“云課堂”，師生和家長朋友可以學到更多消防安全知識，增強安全意識和自救能力，過一個平安快樂的寒假。

安全課收看方式>>>

https://static.nfapp.southcn.com/apptpl/liveToShare.html?id=341692

【溫馨提示】

南方+視頻直播支持電視投屏。您可以下載南方+客戶端，根據下圖指引進行操作就可以在電視大屏上收看安全課啦！

2.【點播】如果不能在晚上8時準時收看班會課直播，可以選擇點播觀看：

電腦點播▼

http://pc.nfapp.southcn.com/25450/6149731.html

手機點播▼

https://static.nfapp.southcn.com/content/202201/19/c6149731.html

【策劃/統籌】羅銳周歡鄒晟紅張蓬何志遠林麗麗

【文字】謝志清

【拍攝/后期】王昌輝

【作者】謝志清；王昌輝

【來源】南方報業傳媒集團南方+客戶端

來源：南方+ - 創造更多價值

要：大數據背景下，數據合規成為與反商業賄賂合規、出口管制合規等并列重要的合規項目。不論是互聯網類型企業，還是其它類型企業，甚至包括政府機構，數據合規都成為企業合規中最重要的部分之一。在刑事責任上，數據不合規主要會導致破壞計算機信息系統罪，拒不履行信息網絡安全管理義務罪，幫助信息網絡犯罪活動罪、非法利用信息網絡罪，提供侵入、非法控制計算機系統程序、工具罪和侵犯公民個人信息罪等。這些罪名涉及到數據來源、存儲和使用、流轉中的合規問題。本文主要通過識別數據風險、分析實際案例、設置數據合規基本范式來探討數據合規內容。對于互聯網企業日常經營來說，恰當的數據合規可以阻卻刑事責任，對于最高檢合規不起訴試點地區已經出現信息網絡犯罪、數據犯罪類犯罪情況的企業，在提起公訴階段，可以申請引入第三方監管機制對企業進行專項數據合規以達到合規不起訴的效果。

關鍵詞：企業合規；數據合規；風險識別；合規不起訴

隨著大數據、網絡技術的不斷發展和應用，包括從事傳統經營活動在內的企業，都將不可避免的融入大數據的滾滾浪潮，而數據合規也已不再僅是互聯網、電子商務等企業需要關注的問題。特別是隨著《數據安全法》、《個人信息保護法》等法律的頒布施行，只要涉及到數據、信息的搜集、存儲、使用等活動的企業，都需要高度重視數據合規，特別需要重視數據不合規所引發的刑事法律風險。

我國近兩年發布了大量有關電子信息管理、數據合規的規范性文件。2021年11月1日生效的《個人信息保護法》、2021年9月1日生效的《數據安全法》、2017年6月1日生效的《網絡安全法》，以及散落的各項規范性文件都顯示出目前我國并不缺乏數據合規的法律法規基礎，但由于規定繁雜且并不統一，效力有差別，導致實踐中企業難以識別數據風險并形成規范的數據合規模式。

一、數據收集的風險

根據《數據安全法》第三條：本法所稱數據，是指任何以電子或者其他方式對信息的記錄。數據的范圍較為廣泛，對于企業日常經營來說，數據收集的風險，主要在于用戶個人信息數據的收集和流量數據的收集。

用戶個人信息對于互聯網企業來說如夏娃之果，獲取大量用戶信息是互聯網企業經營的第一步。個人信息的收集和處理是互聯網平臺提供交互服務的基礎。然而，由于大型互聯網平臺在電商、物流、營銷等領域互相交叉，涵蓋了購物、出行、住宿、支付轉賬、投資理財、公益等數以百計的場景，消費者在大型互聯網平臺面前越來越成為“透明人”。相當一部分互聯網平臺的競爭優勢正是建立在數據優勢基礎上，而數據與消費者個人信息密切相關。

不當獲取用戶個人信息極易觸犯法律，例如超范圍收集個人信息，強制、頻繁、過度獲取用戶個人權限等等。2020年7月22日中央網信辦、工業和信息化部、公安部、國家市場監管總局四部門啟動App違法違規收集使用個人信息治理工作，制定印發了《App違法違規收集使用個人信息行為認定方法》、《App違法違規收集使用個人信息自評估指南》等政策規范，以促進互聯網企業自查收集用戶個人信息數據合規。常見的數據收集風險主要有利用非法軟件收集數據和使用不規范SDK兩種。

（1）利用非法軟件收集數據

在眾多違規收集用戶個人信息的行為中，利用非法軟件盜竊用戶個人信息數據和劫持流量數據這兩種行為極易引發刑事法律風險。瑞智華勝及其相關人員曾因利用非法軟件收集數據被判非法獲取計算機信息系統數據罪，法定代表人周某被判處三年半的有期徒刑，瑞智華勝被判處罰金1000萬。[1]

瑞智華勝是互聯網新媒體營銷解決方案提供商，通過運營自媒體賬號與互聯網用戶互動，利用大數據分析和優質內容制作不斷積累活躍用戶的數量，以此來提高營銷推廣范圍和營銷質量。但2018年瑞智華勝公司涉嫌非法竊取用戶個人信息30億條，涉及百度、騰訊、阿里、京東、新浪和等全國96家互聯網公司產品，幾乎涵蓋了國內核心的互聯網企業。

瑞智華勝進行個人信息盜竊的方式，主要是瑞智華勝及其關聯公司在與正規運營商合作中，先和運營商簽訂正規合同、拿到登錄憑證，然后將非法程序置入用于自動采集用戶cookie、手機號等信息。cookie是用戶在運營商上留存的上網記錄，通過技術手段技術人員可以從中提取公民個人信息、相關賬號密碼、搜索的關鍵詞等內容。瑞智華勝非法數據來源包括電信、移動、聯通、鐵通、廣電等11個省市的運營商，這些運營商均與瑞智華勝簽署過合作協議。

瑞智華勝曾利用SD程序運行后，可以實現對指定網卡網絡傳輸流量數據包進行獲取并解析的功能，對淘寶用戶個人數據盜竊。淘寶爬蟲程序運行后可以繞過系統保護措施，提取出淘寶訂單信息；淘寶加粉程序運行后可以實現繞過系統保護措施獲取用戶信息，并對指定淘寶賬號添加好友等等。在劫持數據后瑞智華勝還會進行爬取、還原等，為了不被發現該公司專門購買了3萬多個IP地址用于頻繁爬取。

警方梳理瑞智華勝簽訂過的合同發現，其利用上述非法手段不但給自己運營賬號加粉，還承接外來加粉、加關注和提升百度搜詞排名等業務。

在互聯網類型公司成立初期，使用非法程序和非法軟件獲取用戶個人信息數據能夠有效、快速降低經營成本，但這種降低經營成本方式的代價就是觸犯法律，徹底摧毀企業的安全生存環境，使企業難以可持續發展。

（2）使用不規范SDK

除利用非法程序或軟件收集用戶cookie、手機號等隱私信息，SDK作為侵犯用戶隱私、流量劫持的重災區，被網信辦等四部門重點執法檢查。

SDK指Software Development Kit，即軟件開發工具包，是一種標準化程序模塊，其主要功能涉及到系統登錄，數據收集、統計、推薦，支付，地圖應用等等。在App中使用SDK成本低廉，為了鼓勵使用其系統或者語言，許多SDK是免費提供給App開發者的，故大多數App開發者會大量使用SDK。

根據南都個人信息保護研究中心2019年發布的《常用第三方SDK收集使用個人信息測評報告》，所選取的60款APP共使用了至少966個SDK，去掉重復項后，60款App共使用了至少113個不同的SDK，使用最廣泛的SDK來自頭部互聯網公司。[2]

但SDK的簡便性導致很多企業在APP中直接引用預設好的SDK，而有部分SDK存在隨意收集用戶個人信息、侵犯用戶個人隱私、劫持流量、惡意推送的情況，導致企業經營過程中因SDK私自增加的功能違法犯罪。如去年315晚會上曝光了北京招彩旺旺信息技術有限公司和上海氪信技術科技有限公司開發的SDK存在在用戶不知情的情況下，私自竊取用戶隱私，包括設備的IMEI、IMSI、應用安裝列表、電話、通信記錄等等。

另外部分惡意SDK會劫持流量，用戶一旦使用，其網絡訪問路徑可能會被劫持到特定渠道，更有甚者，惡意SDK會在后臺默默運行，訪問用戶未曾看過的網站、瀏覽特定信息。

一旦互聯網企業使用了不規范的SDK，在日常經營中也未盡足夠的注意義務，可能涉嫌拒不履行信息網絡安全管理義務罪，幫助信息網絡犯罪活動罪、非法利用信息網絡罪等。

二、數據存儲和使用的風險

（1）為犯罪團伙提供數據服務

據公安部通報，“凈網2019”專項行動的成果之一是搗毀了一批為“套路貸”提供技術、數據服務的科技公司。[3]公安機關將對網絡“套路貸”犯罪涉及的技術服務商、數據支撐服務商、支付服務商、推廣服務商等進行了生態式、全鏈條打擊。其中大數據服務商涉及許多科技公司。

其中某某科技公司爬蟲類產品利用非法獲取的公民個人信息為互聯網放貸機構提供風險測評，案發后，該公司關閉此項業務。

數據處理服務本是高速發展的新興產業，但一些科技信息公司、數據服務公司、第三方支付公司卻淪為網絡“套路貸”犯罪工具和幫兇。這其中就有數據服務公司對合作公司審查不嚴，未做商業伙伴合規的原因。

除了數據處理服務外，還有提供撥號VPS服務的互聯網公司，VPS簡單來說就是虛擬服務器，基于主服務器利用技術將主機分化成多個具有獨立IP地址的服務器系統。對于取得行政許可的提供該服務的互聯網公司來說，面臨兩個風險，一是日常經營不規范存在跨區域“轉包”可能涉嫌非法經營罪，二是撥號VPS的銷售對象為犯罪團伙或者是黑色產業從業者，可能涉嫌幫助信息網絡犯罪活動罪。

（2）忽略數據安全風險

《數據安全法》第四章明確了數據安全保護義務。根據該法，利用信息網絡開展數據處理活動的企業應當履行數據安全保護義務。

同時《個人信息保護法》專門將個人信息中的敏感個人信息劃分出來，將敏感個人信息的處理規則單獨作為一章。兩高司法解釋對“致使用戶信息泄露，造成嚴重后果”的規定，也強調了對個人敏感信息的保護。

2020年3月新浪微博因用戶查詢接口被惡意調用導致App數據泄露問題，工業和信息化部網絡安全管理局對新浪微博相關負責人進行了問詢約談。[4]工信部要求新浪微博盡快完善隱私政策，規范用戶個人信息收集使用行為，并加強用戶信息分類分級保護，加強企業內部數據安全管理，定期及新業務上線前要開展數據安全合規性評估，在發生重大數據安全事件時，及時告知用戶并向主管部門報告。

跟數據安全相關的罪名有拒不履行信息網絡安全管理義務罪，在該罪的四類嚴重后果中，致使違法信息大量傳播、致使用戶信息泄露可以說是互聯網公司最常面臨的緊急事態。

三、數據流轉的風險

《數據安全法》第十九條：國家建立健全數據交易管理制度，規范數據交易行為，培育數據交易市場。

《網絡安全法》第四十二條：網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。

從上述規定看到，我國并不禁止數據交易，在數據流轉過程中，容易出現風險的往往是涉密信息流轉，其中個人信息流轉最容易出現風險。《個人信息保護法》在第五章詳細描述了個人信息處理者的義務。對于個人信息來說，銷售個人信息要么須經過被收集者同意要么達到足夠的保密要求。

雖然我國并不禁止個人信息的數據買賣，但因為個人信息數據買賣門檻較高，在未取得被收集者同意或處理個人信息未達到足夠保密要求的情況下買賣個人信息顯然涉嫌侵犯公民個人信息罪。

另外在《個人信息保護法》中第二十一條規定了個人信息委托處理的方式，雖然對于企業來說委托處理個人信息數據相比上述兩種個人數據處理要求限制更少，但仍需滿足一定條件，需要企業在開展數據交易時進行嚴格的合規審查，否則同樣涉嫌侵犯公民個人信息罪。

國內互聯網公司特大侵犯個人信息案件為數據堂事件。數據堂成立于2011年，被稱為“國內首家大數據交易平臺”，該案被山東警方全面起底，從源頭公司到中轉商再到下游使用者，共11家公司牽涉其中。其中，數據堂多名員工處于鏈條中信息流轉的重要環節。該公司營銷產品線在運營時，由資源合作部購入數據，該案某被告之一所在的資源平臺部負責接收數據，并將數據放入公司集群。另一被告所在的技術組根據產品組要求，將集群上的數據根據用戶興趣、愛好等分別打上不同標簽，之后依據客戶需求向其傳輸數據。多名被告人被判處侵犯公民個人信息罪，其中最高刑期為有期徒刑三年。[5]

在該案判決書中，公訴機關向費縣法院提起公訴后，費縣法院依法作出了（2018）魯1325刑初63號補充起訴建議函，建議公訴機關補充起訴數據堂公司為單位犯罪，但公訴機關未予接受。數據堂公司該條產品線高管被認定為主犯，案發后數據堂關閉兩條相關產品線。自此數據流轉相關產品線成為各互聯網類型公司“高壓”業務。

實踐中還有大數據公司為規避風險，在數據銷售過程中，將涉及公民隱私的數據拆分成不同部分，每段均無法識別到個人，到了需求端再自行整合起來，形成對個人的完整數據。這類技術規避行為，事實上亦涉嫌侵犯公民個人信息罪。

四、數據合規的基本范式

《數據安全法》、《個人信息保護法》均分別對在我國境內開展數據處理活動和處理自然人個人信息活動的行為人的應盡義力、責任，作了詳細規定，且均在法律責任章節中從民事、行政的角度，對違反相關數據安全、個人信息保護義務的行為，規定了嚴格的法律責任。對于某些特別嚴重的違法行為，甚至分別規定了最高可達一千萬和五千萬的罰款，以及吊銷相關業務許可或吊銷營業執照等剝奪從業資格的嚴厲處罰。

我國刑法更是針對非法侵入計算機系統、非法獲取計算機信息系統數據、拒不履行信息網絡安全管理義務、非法利用信息網絡、幫助信息網絡犯罪活動等行為，設置了專門的罪名，許多罪名均規定了單位犯罪，某些嚴重的刑事犯罪，責任人可能會承擔最高至七年的有期徒刑。

從以上立法趨勢可以看出，國家對于數據安全、公民個人信息保護將采取更加嚴格的強監管。

而時至今日，數據、信息、計算機系統，早已不為互聯網企業所特有。因此，不僅是以數據處理為主要業務的互聯網公司，甚至包括大量從事傳統經營業務的企業，只要是涉及到數據處理、公民個人信息處理的活動，均需高度重視和建立專項的數據合規制度，或是將數據合規作為企業合規制度中的重要一環，以期最大可能降低自身的民事、行政和刑事法律風險。

從這一角度說，數據合規不僅是保護用戶更是保護企業本身。

對于已構成犯罪的互聯網類型企業，特別是合規不起訴改革試點地區滿足條件的企業，可以向當地檢察機關申請企業合規不起訴。對于檢察機關來說，數據合規作為企業專項合規之一，對互聯網類型企業極具有針對性，且《App違法違規收集使用個人信息行為認定方法》、《App違法違規收集使用個人信息自評估指南》等政策規范可以幫助檢察機關對企業合規的有效性進行監督評估?？梢哉f數據合規是優化互聯網類型企業營商環境的必由之路，以下為企業提供數據合規的基本范式。

（1）企業決策層的重視

健全的數據合規體系應當包括高層重視、制度建設、合規組織、合規資源、風險評估、流程管控、培訓溝通這七個要素。在這七要素中，首當其沖的應當是高層重視。這代表著企業的決策層，認同并堅守合規經營的決心與態度，反映了企業的經營理念，也決定了企業是“真合規”還是“假合規”的問題。

對于高層重視來說，中興明確了“在商業自由度和商業可持續之間，中興通訊選擇商業可持續”[6]的商業理念，中興設置了《合規管理委員會章程》，高層管理者只能根據該章程的議事規則和流程參與合規規劃、重要規范文件和重大合規事項的決策和建議。并且高層管理者直接對其所管轄業務的合規性負責。

企業決策層應當就數據合規作出統一聲明，并在企業內部進行公示，表明態度并使全員知曉。除此之外，企業還應建立具有足夠資源和權限的專門合規部門。合規部門的負責人應當是企業中具有較高決策與話語權的高層領導。

對此《個人信息保護法》也作了類似規定。第五十二條規定：“處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監督?！钡谖迨龡l規定：“本法第三條第二款規定的中華人民共和國境外的個人信息處理者，應當在中華人民共和國境內設立專門機構或者指定代表，負責處理個人信息保護相關事務，并將有關機構的名稱或者代表的姓名、聯系方式等報送履行個人信息保護職責的部門?！痹摲ǖ谖迨藯l甚至規定，對于提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，應當成立主要由外部成員組成的獨立機構對個人信息保護情況進行監督。

從企業合規評估的層面看，上述聲明與機構設置也是反映企業是否切實合規的重要判斷依據。

（2）建設數據合規制度

實踐中建立數據合規體系應基本包括以下內容。

數據合規制度的內容應既包括企業內部與數據相關的業務描述，也應實時更新有關數據合規的規范性文件。并且應當詳細描述合規管理架構和層級，建立合理的合規系統，以及具體的合規條款。企業根據識別出的相應數據風險，在數據合規制度中建立起從數據源頭到數據存儲、使用再到數據流轉的完整合規流程，主要有以下流程。

健全合規組織，設定數據合規人員。對于數據處理部門，企業應設置足夠的合規專員，以滿足企業數據合規的需要，并需合理確定部門內部個人信息等數據處理權限，實行數據使用權和管理權分離制度。

建立企業數據分級分類制度。在不同的規范性文件中，不同類型數據信息有不同的處理規則，數據處理者有不同的處理義務。例如《個人信息保護法》對個人信息進行了定義，并規定個人信息中又包含敏感個人信息和普通信息。

該法第二十八條規定：“敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。”

而2020年3月6日，由國家市場監督管理總局、國家標準化管理委員會分布的《信息安全技術個人信息安全規范》也對個人信息、敏感個人信息作了大致相同的規定。

企業在進行數據合規時，則需首先對數據信息依照上述法律規定和行業標準，按照更加嚴格、全面的標準進行分級分類，以便采取相對應的合規處理流程。對于前述規定中的敏感個人信息，“包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息”，應當被歸為更高一層級數據庫。

《個人信息保護法》第二章第二節單獨規定了敏感個人信息的處理規則，其中第二十九條規定，處理敏感個人信息應當取得個人的單獨同意；法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定。對于敏感個人信息來說，“單獨同意”條款可能意味著互聯網企業無法通過一攬子格式條款獲取授權處理。那么對于該類型數據屬于法律規定的強制合規內容，就應當在日常經營中按照法律規定合規，并保存合規痕跡。

制定統一的數據管理規則。從數據源頭開始關注數據質量、數據清潔度，對于達到合規標準的數據錄入凈數據庫，對于有風險數據則不宜與凈數據庫數據混同。可參考華為數據湖模式，華為在數字化轉型過程中提到要提升數據質量，建立清潔可靠的數據源，形成清潔、完整、一致的數據湖，并設置了兩種入湖方式，六項入湖標準，用以保證數據質量。[7]

準備詳細的補救預案。對于可能發生的信息安全事故，如信息泄露、外部攻擊等，設定完整有效的補救措施，并能夠設立通道迅速通知數據安全職責部門以及相關行政機關。

（3）建立企業數據安全的動態評估

《個人信息保護法》第五十四條規定：“個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。”

該法第五十五條還規定：“有下列情形之一的，個人信息處理者應當事前進行個人信息保護影響評估，并對處理情況進行記錄：
（一）處理敏感個人信息；
（二）利用個人信息進行自動化決策；
（三）委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；
（四）向境外提供個人信息；
（五）其他對個人權益有重大影響的個人信息處理活動?！?/p>

實際上上述法律規定，對于企業數據合規來說，正是企業數據安全動態評估的重要內容之一。企業只有建立動態的數據合規制度，定期或有針對性地不斷對企業數據信息進行合規審計與評估，才能真正做到將國家的監管要求內化為企業內部的管理行為，才能真正的防范風險。

具體包括：

事前風險評估。比如對于上述個人信息的處理，企業應當依照法律規定，建立事前的數據影響評估制度并切實履行。企業數據是不斷變化的，企業則應當建立相應的數據動態評估制度。只要是屬于重點評估范圍的數據，都需要進行相應的事前風險評估。

除數據風險評估之外，企業還需在進行相關的數據提供、數據合作方面進行合作方的安全審查。數據收集和數據流轉都涉及到第三方商業伙伴，一旦經營中使用不規范SDK或與不合規的商業伙伴甚至是犯罪團伙合作，那么企業將面臨極大風險，涉嫌幫助信息網絡犯罪活動罪、非法利用信息網絡罪等。對第三方商業伙伴進行盡職調查并進行風險提示既可以減少未知風險又可以在第三方企業犯罪時，盡可能切割企業責任。企業對第三方商業伙伴的調查與評估，還應注意書面留痕，保存好相關證據。

事中風險提示。企業數據合規部門，應當定期對企業產品功能、收集使用個人信息情況、第三方插件明細、隱私政策完整性等進行審查并出具數據風險評估自查報告，自查報告應匯總到合規人員或部門審查留檔。

事后風險整改。合規人員或部門進行相應的風控推演，對部門作出風險提示，觸發法律風險的部門應積極整改，整改過程應當留檔備查。

若企業已經被行政處罰，那么企業的風險等級最高，忽略執法檢查結果或行政處罰決定書，可能會導致企業犯罪。例如構成拒不履行信息網絡安全管理義務罪中規定前提條件，即為“經監管部門責令采取改正措施而拒不改正”。而在合規不起訴過程中，企業執法檢查不通過或收到處罰決定書可能會直接導致合規不起訴失敗。這就意味著企業若忽略行政機關的執法檢查時，犯罪風險大大增加。因此，對于企業而臨執法檢查或已被行政處罰時，企業合規部門（包括企業決策層）需高度重視，應按要求進行堅決的整改，并對企業整改情況進行評估，以防止由行政法律風險演變為刑事法律風險。

（4）加強全部門數據合規培訓宣講

《數據安全法》、《個人信息保護法》均明確規定了支持和要求開展數據安全、信息保護方面的宣傳教育。

對于企業數據合規業說，這一工作不僅是法定義務，更是構建數據合規工作體系的重要步驟，以及劃分企業責任與員工個人行為的重要判斷依據。

近年出現部分企業內部工作人員缺乏合規意識，做出違法犯罪行為，導致公司遭受巨大損失的案件，均一再說明，合規培訓宣講是企業合規理念深入企業內部，企業高層的合規意愿轉變為企業員工合規行為的重要工作。

企業在進行數據合規工作過程中，應當定期向全體工作人員開展數據合規培訓，向特殊員工如新員工、營銷部門、技術人員、高管等展開定期專項合規培訓。當合規政策、法律法規發生變化時，展開相應宣傳和講解。并通過簽署合規告知書、合規承諾書、組織員工進行數據合規考核、發放合規手冊等方式，以增強員工合規意識，規范員工經營行為，建立企業合規文化。

企業在進行數據合規宣傳培訓時，還需重視相關工作的留痕、留檔，員工簽署的合規告知書、合規承諾書、合規考試試卷，都是企業進行合規建設和管理，建立企業數據合規風險防火墻的重要依據，可以在員工犯罪時，有效切割企業和員工的責任。

（5）持續數據合規監督和舉報

除了在企業建立自上而下的各項數據合規制度以外，企業還需建立內部職工、甚至是客戶的投訴舉報制度。

對于企業重要部門配備合規專員，定期由合規部組織合規專員單獨開會和學習，并要求其注意觀察企業數據處理中的相關問題，以便及時發現合規隱患。

同時，企業也應鼓勵內部員工及時反映數據處理過程中存在的問題，并暢通內部員工的反映渠道。對舉報違規的員工予保密措施并進行嘉獎。同時合規團隊按企業實際情況，每半年或每年對企業進行合規審計，根據舉報線索和審計結果作出整改建議，對相關人員作出是否紀律處分建議。

對于企業用戶方面，企業也應建立用戶投訴、舉報平臺。例如，對于已開發APP的互聯網企業，可以面向用戶設置投訴舉報功能，以便于企業用戶就涉及個人信息保護、數據安全等方面的問題，及時向企業進行投訴。實踐中，企業的及時主動處理，有利于企業及時化解數據合規風險，掌握主動。

參見（2019）浙0602刑初636號刑事判決書。
參見蔣琳：《常用第三方SDK收集使用個人信息測評報告》，載微信公眾號“隱私護衛隊”2019年7月23日，https://mp.weixin.qq.com/s/oJs4MWJrUjvD7RpoZus65w。
參見石楊：《公安部召開“凈網2019”十大集群戰役總結會71個單位和200名個人受表彰》，載中國人民公安部網站2019年12月31日，https://www.mps.gov.cn/n2254098/n4904352/c6845987/content.html。
參見網絡安全管理局：《網絡安全管理局就新浪微博App數據泄露問題開展問詢約談》，載中華人民共和國工業和信息化部網站2020年3月24日，https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2020/art_3e63cea18ebb4a9796db087d09a84c80.html。
參見（2018）魯13刑終549號刑事判決書。
申楠：《中興通訊首席法務官申楠談合規治理》，載中興官網2019年4月24日，https://www.zte.com.cn/china/about/magazine/zte-technologies/2019/4-cn/2/2。
參見華為公司數據管理部：《華為數據之道》，機械工業出版社2020年版，101-116頁。

在線咨詢

上一篇：我用html+CSS告訴老大爺“啥是佩奇”
下一篇：「ThinkPHP5開發連載73」tp5連載模板內置

您的項目需求

*請認真填寫需求信息，我們會在24小時內與您取得聯系。

整合營銷服務商

上海2022屆高校畢業生首場校園招聘會舉行，可在線求