【非法数据处理活动的处罚】
窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。
【释义】
本条规定了几种非法数据处理活动处罚的法律适用。本条在《数据安全法》起草过程中修改较多,第一,相比于《数据安全法(一审稿)》第47条[61],《数据安全法(二审稿)》第49条明确数据处理活动不应“排除、限制竞争”;第二,正式通过的《数据安全法》将《数据安全法(二审稿)》中“开展数据处理活动危害国家安全、公共利益”更改为“窃取或者以其他非法方式获取数据”,强调了获取数据的合法性要求。
对于本条的理解需要结合本法第32条、第52条的相关规定,明确以下几个要点。
第一是明确了窃取或者以非法方式获取数据的法律后果与其他法律的衔接。《数据安全法》第32条规定了“不得以窃取或者以其他非法方式获取数据”,但未规定该行为的法律后果。本条通过衔接性规定笼统规定了该行为的法律后果系应当依照有关法律、行政法规的规定处罚,按照第52条承担相应法律责任。以典型的数据窃取“爬虫”技术为关键字在中国裁判文书网进行检索,其中四分之三的案件集中在民事领域,刑事案件和行政案件占比四分之一。民事案由主要为“知识产权与竞争纠纷”,而刑事案由主要为《刑法》第253条之一规定的“侵犯公民个人信息罪”和第285条、第286条规定的计算机网络犯罪。例如,金某某、潘某侵犯著作权罪案[62]中,被告人以冰豆公司的名义雇用员工开发“免费小说书城”手机App软件,并编写爬虫软件从互联网上抓取小说数据储存至租用的阿里云服务器软件即从互联网上抓取用户所需的小说内容,发送并缓存至上述服务器内,供用户免费阅读,即将被爬取的作品在互联网上公开传播,侵犯了著作权人的信息网络传播权,情节严重的有可能构成侵犯著作权罪。2020年魔蝎公司案[63]中涉案单位魔蝎公司犯侵犯公民个人信息罪,魔蝎公司主要与各网络贷款公司、小型银行进行合作,为网络贷款公司、银行提供需要贷款的用户的个人信息及多维度信用数据,魔蝎公司将其开发的前端插件嵌入上述网贷平台App中,当网贷平台用户使用网贷平台的App借款时,贷款用户需要在魔蝎公司提供的前端插件上,输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、密码,经过贷款用户授权后,魔蝎公司的爬虫程序代替贷款用户登录上述网站,进入其个人账户,利用各类爬虫技术,爬取(复制)上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据,并按与用户的约定提供给网贷平台用于判断用户的资信情况,并从网贷平台获取每笔0.1元至0.3元不等的费用。杭州西湖区人民法院认为,魔蝎公司明确告知不会保存用户各类账号密码,还是未经许可非法留存用户信息,是以其他方法非法获取公民个人信息,构成侵犯公民个人信息罪。
第二是明确了数据处理活动不应排除、限制竞争。在欧美等国家和地区,竞争执法机构已经在数据与垄断问题上积累了丰富经验。2020年12月15日,欧盟委员会提出了两项与网络服务有关的法案,聚焦不正当竞争的《数字市场法案》和聚焦线上非法有害内容的《数字服务法案》,目标是被称为“看门人”的大型科技公司。多年来,与其他全球大型经济体相比,欧盟一直较为关注科技巨头公司过于庞大、遏制小公司市场竞争的问题。根据《数字市场法案》,“看门人”企业不得使自营产品在自有平台上的排名凌驾于竞争对手,不能使用竞争对手的数据与他们竞争,“看门人”企业需要向监管机构告知较小规模的收购交易。待这两项法案通过后,欧盟监管机构将有权对违反有关法律的企业处以巨额罚款,最高可达其全球年收入的10%。[64]同日,英国政府发布了《在线安全立法》计划,要求大型科技企业所拥有的在线平台加强对非法内容的管控。除此之外,英国竞争与市场管理局上周公布了另一项针对数字市场高科技企业的立法提案,根据该法案,违反英国数字市场竞争规则的科技企业巨头,可能被处以数十亿英镑的罚款。2016年,德国联邦卡特尔局和法国竞争管理局发表了“竞争法与数据”的联合报告。[65]2020年10月美国司法部在一份法庭文件中起诉谷歌,称其非法行为使谷歌在在线搜索领域积聚垄断力量。美国司法部称,谷歌切断了竞争对手的关键分销渠道,以保持其主导地位。[66]这些和其他反竞争的做法损害了竞争和消费者,降低了创新的新公司发展、竞争和约束谷歌行为的能力。此外,加拿大、日本等国,也于近期针对大型科技企业推出了类似的监管措施。而除欧盟整体层面外,法国、意大利、西班牙等欧盟国家还制定了本国的相关规定。(https://www.daowen.com)
我国数据处理活动中的排除、限制竞争应当是指经营者违反《反垄断法》的规定进行数据处理活动,实施垄断协议、滥用市场支配地位等垄断行为。例如,《反垄断法》明确禁止经营者在其经营活动中排除、限制市场竞争。国务院反垄断委员会此前发布的《国务院反垄断委员会关于平台经济领域的反垄断指南》中,明确提及了经营者利用数据或算法排除、限制竞争的多种行为模式。经营者通过数据、算法、平台规则或者其他方式实质上达成协调一致的行为(垄断协议);经营者通过平台规则、数据、算法、技术等方面的实际设置限制或者障碍的方式限定交易(滥用市场支配地位限定交易);基于大数据和算法,根据交易相对人的支付能力、消费偏好、使用习惯等,实行差异性交易价格或者其他交易条件(滥用市场支配地位实施差别待遇)。[67]此外,平台经营者掌握的数据情况对于认定经营者市场支配地位具有重要意义,《国务院反垄断委员会关于平台经济领域的反垄断指南》详细列举了认定或者推定经营者具有市场支配地位的考量因素,包括经营者的市场份额、相关市场竞争状况、经营者控制市场的能力、经营者的财力和技术条件、其他经营者的依赖程度、市场进入难易程度等。这一规定将数据处理活动与《反不正当竞争法》《反垄断法》等法律法规的规定相结合,促进竞争和创新,提高经济运行效率,维护消费者利益和社会公共利益,体现了我国对数据安全的综合监管思路。《数据安全法》在短期内可能为企业增加一部分数据合规成本,但长远而言,对于企业加强数据合规管理,在国际竞争中增强自身竞争力将具有积极影响。
第三是以损害个人、组织合法权益的数据处理行为作为非法数据处理类型的兜底性规定,衔接现有法律、行政法规的处罚规定,同时也契合本法第1条规定的“保护个人、组织的合法权益”立法目的。该规定要求:一是个人、组织的损害事实与非法数据活动之间存在因果关系,二是损害必须是现实已经产生或者必然产生的,不是想象的、虚拟的,是直接的,不是间接的;三是处罚必须是法律、行政法规规定的,只有当法律规定的各项条件具备后,才应当予以处罚。本条文除衔接《反垄断法》《反不正当竞争法》等现有法律、行政法规的相关规定外,还衔接本法第52条的规定,当行为主体满足本条规定且满足第52条规定时,应当依法承担民事责任、予以治安管理处罚或追究刑事责任。
本条列举了非法数据处理行为的几种类型,意在实现《数据安全法》与现有法律、行政法规的有效衔接,节约立法成本,避免重复规范,推进我国数据治理规范的体系化建设。我国正在构建以《数据安全法》为中心,衔接《反垄断法》《反不正当竞争法》以及《民法典》《刑法》等多部法律的数据保护法律规范体系,对数据合规工作进行部署。随着《数据安全法》的落地与生效,我国数据安全监管领域的法律制度更为完善。
【关联规定】
本法第32条、第52条,《中华人民共和国反垄断法》第3条、第6条
(撰稿人:程喆)