大数据背景下供应商及商业合作伙伴的信息安全合规

原文题目：大数据背景下供应商及商业合作伙伴的信息安全合规

本文作者：谭家才律师

原创文章，转载请注明出处！

一、大数据是什么？

有关大数据的定义众说纷纭。麦肯锡全球研究院认为，大数据是指规模超出普通数据库软件工具的捕获、存储、管理和分析能力的数据集。高德纳则认为，大数据是数量大、处理速度快、种类繁多的信息资产，要求高效有创造性地对其进行信息处理，以增强洞见，提升决策【1】。我国在国发〔2015〕50号《国务院关于印发促进大数据发展行动纲要的通知》中指出，大数据是以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合，正快速发展为对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析，从中发现新知识、创造新价值、提升新能力的新一代信息技术和服务业态【2】。

从上述定义可以看出，所有的大数据概念中都具备三个基本特征，即：1、量大;2、速度快;3、种类多。大数据不仅是作为一个名词的存在，在很多场合是强调一个数据处理过程，是一个决策洞察的过程。在此过程中，处理的是其获取的各种数据。

二、保护什么样的数据？

随着互联网的普及、移动互联、智能终端的广泛运用，加上与云计算模式的整合，数据的采集、存储、分析以及利用已构成企业运营的核心。这些纷繁复杂的数据信息可以分为：个人信息、国家机密、公众信息、商业信息等众多方面。具体而言，我们需要保护哪些数据信息？

1、个人信息在考虑信息安全保护时，首先应当是个人信息的保护。我国《民法总则》规定了明确的个人信息权【3】。但在大数据的交易中，许多标的都是属于以个人为粒度的数据，即使这些数据经过一定的清洗，但也很难保证个人的隐私不被泄露【4】。 与此同时，因犯罪行为而导致的个人信息泄露数字更是触目惊心。如：辽宁丹东破获一起特大侵犯公民个人信息案，涉及公民个人信息数据达１００亿余条【5】。打击危害个人信息安全犯罪问题，刻不容缓。

2、知识产权 知识产权已成为企业重要的资产之一。《民法总则》规定民事主体依法享有知识产权【6】，不得侵犯。信息安全的漏洞有可能导致永久性失去知识产权。以商业秘密为例，如果商业秘密被公布于众，其便失去作为商业秘密保护的地位和价值。在目前的市场环境下，几乎每一家企业都有大量的商业秘密，如客户名单、经营策略、配方以及软件代码等。在网络环境下，尤其是大数据普及的情况下，商业秘密成为最容易被攻击的对象之一。

3、企业其他机密信息 企业的机密信息包括财务信息、营销方案、潜在推广活动、合规政策以及客户名单等。这些可能不构成商业秘密，但对企业具有商业价值。

三、为什么要保护？

网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度【7】。网络运营者应采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失【8】。可见，信息安全的保护是每个企业的法定职责。

除此之外，从保护资产的角度来看，企业投入大量人力物力产生的知识产权、营销方案以及财务信息等是其宝贵财富，进行信息安全保护理所应当。

再从商业信誉来看，发生安全事故可能极大的损害企业声誉，企业声誉是其重要的无形资产。如，京东回应12G数据外泄传闻，源自2013年安全漏洞问题【9】。在2016年发生的京东客户信息外泄事件中，引起消费者对京东数据保护措施及能力的质疑【10】，甚至有消费者提出要求行使数据删除权【11】。

最后，从责任承担的角度来看，信息安全和保密的法律并不是要求企业追求完美，而是需要证明企业是否依据法律法规的规定采取合理、恰当的行动。如果企业采取了合理的标准，即使信息安全遭到破坏，企业也不会被合规处罚。如果网络服务提供者不履行法律、行政法规规定的信息网络安全义务，可能构成拒不履行信息网络安全管理义务罪【12】。

四、如何保护？

当企业将保密信息托付给商业合作伙伴或供应商时，即意味着他们有可能获得大数据授权，有权访问数据库。在此情况下，信息安全问题尤为重要，企业需要评估第三方整体安全措施，以确保信息安全。一般会采取以下三种措施：

1、尽职问卷调查

把数据托管给第三方时，应尽可能地开展尽职调查工作。尽职调查程序并没有统一的标准，但应采用标准化的调查问卷。标准化的调查问卷有利于为尽职调查工作提供一个统一、现成的框架；有利于对问卷的答复进行同类型比较；有利于确保涉及尽职调查工作的关键点没有遗漏。一般会包括总体上信息安全、保险责任范围、财务人事状况、信息安全政策、物理安全、分包商信息安全政策、应急措施以及加密等。

2、供应商和商业合作伙伴中信息安全的合同保护措施

在大部分的商务合同中，很少有明确针对信息安全的条款，有些合同甚至完全没有信息安全条款。有关信息安全的条款很多是在保密条款中匆匆带过，出现问题，追偿责任时只有依赖于法律的相关规定。信息安全条款可以以附件或专业条款的方式在合同中出现。其内容一般包含保证条款、信息安全义务、免责条款、责任限制以及监督条款。

3、信息安全规则

使用附件或说明书对协议涉及的信息安全规定进行明确规范和指导。比如，涉及将高度保密的信息委托给第三方的合作，可能要求第三方在处理相关信息时遵照严格的操作，提供给第三方具体的操作协议，甚至协助其建立信息安全合规制度。附件还可以包括对加密以及用来存放企业信息的存储媒介的明确规定，以确保用恰当的方式从硬件和存储媒介上提取信息。也可以要求建立完善的数据回收及销毁程序与措施。

五、建议

当我们和第三方建立商务合作关系时，我们将数据信息委托给第三方，将会面临我们无法控制的风险。为有效的控制或监督数据泄露风险，我们建议运用统一的尽职调查程序、使用与信息安全相关的合同条款保护措施，甚至运用合同附件的方式对第三方要遵守的信息安全条款及措施进行规范与指导。当然，对第三方落实上述信息安全的措施情况进行监督检查，并不时对信息安全保护政策及措施进行更新更为重要

注释：

【1】http://www.gartner.com/it-glossary/big-data

【2】http://www.gov.cn/zhengce/content/2015-09/05/content_10137.htm

【3】 《民法总则》第111条规定：自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

【4】王融：《大数据时代》，北京，中国工信出版集团，2017，第5页。

【5】http://news.163.com/17/0802/15/CQRH8I4O00018AOQ.html

【6】《民法总则》第123条规定民事主体依法享有知识产权。

知识产权是权利人依法就下列客体享有的专有的权利：

（一）作品；

（二）发明、实用新型、外观设计；

（三）商标；

（四）地理标志；

（五）商业秘密；

（六）集成电路布图设计；

（七）植物新品种；

（八）法律规定的其他客体。

【7】 《网络安全法》第40条。

【8】《网络安全法》第42条。

【9】 http://tech.sina.com.cn/i/2016-12-11/doc-ifxypipt0876084.shtml

【10】http://news.zol.com.cn/618/6188940.html

【11】《网络安全法》第43条对删除权进行了规定。个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

【12】《刑法》第286条之一规定：

网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：

（一）致使违法信息大量传播的；

（二）致使用户信息泄露，造成严重后果的；

（三）致使刑事案件证据灭失，情节严重的；

（四）有其他严重情节的。

单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。

有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。

谭家才 （大成（上海）律师事务所）

专注领域：知识产权、跨境争议解决

谭家才律师，北京大成（上海）律师事务所合伙人，上海政法学院东盟比较法中心主任、客座教授、校外硕士导师。

自2001年执业以来，谭律师专注于跨境诉讼与国际商事仲裁、跨境投资与贸易以及国际技术许可与估值等业务领域，客户涵盖工业互联制造、金融、能源以及酒店管理等行业。谭律师代理过多起跨境诉讼及国际商事仲裁纠纷，处理过大量跨境投资与贸易以及国际技术许可与估值事宜。谭律师还曾作为法律领域专家代表，受邀参与国家发展改革委员会财金司举办的PPP融资政策专家研讨。

谭律师提供服务的客户从科技型创业公司到世界财富500强企业，代表性客户包括：宝马汽车金融（中国）有限公司、微软（中国）有限公司、达能亚太（上海）管理有限公司、瑞士Chematur Technologies AB、新加坡H&C S Holdings PTE. Ltd、泰国Nadasri Co., Ltd、菲律宾Remington Industrial Sales Corporation、上海核工程研究设计院有限公司、合肥泰禾光电科技股份有限公司（股票代码：603656）、利嘉实业（福建）集团有限公司以及澳牛俯（上海）食品科技有限公司等。

谭律师还持有基金从业人员资格。

大成（上海）律师事务所

北京大成（上海）律师事务所（以下简称大成上海办公室）成立于2001年，坐落于黄浦江畔的陆家嘴金融贸易区内。大成上海办公室目前拥有员工近700人，拥有400余名执业律师，其中合伙人160余名。超过70%的律师拥有国内外知名法律院校的硕士及以上学位。作为一家管理规范的大型综合性律师事务所，大成上海分所的执业律师人数在上海市同行业中名列前茅。大成上海办公室拥有1万多平方米的办公场所和先进的办公设施，强大的专业团队和现代化的办公条件能为客户提供优质、高效的法律服务。近年来，由于业绩突出，大成上海办公室曾被评为“上海市文明单位”、“上海市司法行政系统先进集体”、“上海市司法行政系统—集体三等功”等。

规模化是“大成”的基石，而专业化则是“大成”的根本。大成上海办公室坚持法律服务专业化理念，设立了公司与并购部、国际业务部、海事与航空部、建筑与房地产部、金融部、刑事业务部、争议解决部、知识产权部、资本市场部等九个专业部门，业务范围涵盖了法律服务的各个方面，凭借本所律师的广博学识和多年的执业经验积累，为国内外客户量身定制涉及各个行业和领域的法律服务。

目前，大成上海办公室正朝着国际化迈进，具有海外留学背景的律师达100多人，并有多名来自国外及港澳台的顾问，这些具有国际视野和海外律师事务所工作经验的“大成”人，兼容并蓄东西方先进的法律制度和法律文化，创造了大成上海分所多元化的工作氛围，并以其特有的勤奋，为客户提供的法律服务已超乎国际水准。

敬业、专业的上海“大成”人，秉承“大成”“志存高远、海纳百川、跬步千里、共铸大成”的理念和“规模化、规范化、专业化、品牌化、国际化”的目标，立足上海、辐射长三角，服务于来自全世界的客户，勤奋耕耘，开拓进取，取得了骄人的业绩，已成为上海律师界一支重要的生力军。