随着国家数据法律体系的健全与数据治理体系的完善，企业作为数据处理活动主体，将承担越来越多的数据合规义务与法律责任。建立健全数据合规管理体系，提升数据合规能力成为企业防范合规风险，避免承担法律责任的重要举措。

美国通信巨头威瑞森公司发布的《2021年数据泄露调查报告》显示，85％的违规行为涉及人为因素。如果企业员工因工作疏忽或出于恶意等“人为因素”导致数据泄露，企业是否应当对员工的行为承担责任？企业如何实施合规计划进行风险隔离，避免不当承担法律责任？我们检索到几起员工数据泄露的典型案例，通过对案例的研究和分析，尝试去回答以上问题。

案例一：郑州新密市某公司工作人员李某利用工作之便从公司内部系统导出用户信息6万余条，出售给新密某装修公司员工。2021年6月新密警方将李某抓获，依法采取刑事强制措施。新密警方同步启动“一案双查”机制，对其所在公司开展网络安全检查，发现该公司未采取确保其收集的公民个人信息不被泄露、篡改、毁损的技术措施。遂根据《网络安全法》的相关规定，对该公司给予15万元罚款，对直接负责的主管人员给予2万元罚款。

为治理网络乱象，公安机关自2018以来已全面实行“一案双查”机制。“一案双查”机制是指在对网络违法犯罪案件开展侦查调查工作时，同步启动对涉案网络服务提供者法定网络安全义务履行情况的监督检查。对拒不履行法定网络安全义务、为网络违法犯罪活动提供帮助的网络服务提供者，公安机关将依法对其进行严厉查处。一旦发生员工泄露数据事件，除涉案员工需要受到法律制裁外，企业也会面临执法部门的监督检查，承担由此带来的行政处罚。当数据泄露事件致使违法信息大量传播，造成严重后果的，企业还可能触犯“拒不履行信息网络安全管理义务罪”等罪名而承担刑事责任，被判处罚金，其直接负责人员同样会受到处罚。

“双罚制”是指对于企业的行政违法行为，同时给予企业及相关责任人员行政处罚的法律责任制度。我国的几部与数据相关的法律均规定了“双罚制”，“双罚制”为我国的企业合规管理体系建设留下了很大空间。例如《数据安全法》第四十五条规定，对于不履行数据安全保护义务的单位，由有关主管部门责令改正，根据不同情节给予警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处以罚款。《个人信息保护法》的罚则规定了“责令暂停或者终止提供服务”、“并处五千万元以下或者上一年度营业额百分之五以下罚款”、“吊销相关业务许可或者吊销营业执照”等严厉的处罚措施。企业在个人信息处理方面违法行为，导致的高额罚款或吊销营业资格等行政处罚危及企业的正常经营，建立起一套合规管理体系对企业变得更有实际意义。

如果泄露数据的涉案员工所在企业依据法律规定建立起一套“数据合规管理体系”，能够预防、发现和报告数据泄露风险，并在组织上能够保障制度的实施，包括指定网络安全负责人或数据合规官、定期对员工进行培训、采取必要的技术防范措施等，则可以作为“合规抗辩”事由。企业由此可能免于、从轻或减轻处罚。即使数据泄露事件发生时未建立合规体系或合规体系存在重大漏洞的，若企业承诺在一定期限内建立有效的合规体系，也可作为从轻或减轻处罚的裁量情节。

案例二：李某为DD公司高级产品经理，具备通过DD出行系统查询用户行程轨迹信息的权限，其利用职务之便，非因工作需要登陆查询系统，长期查询两位女性同事的行程轨迹信息。DD公司遂依据公司规章制度解除与李某的劳动合同关系不给予任何赔偿。李某不服公司决定申请劳动仲裁，驳回申请后又诉至北京海淀区法院，主张DD公司系违法辞退，应向其支付违法解除劳动合同赔偿金及年度年终奖27万余元。海淀区法院经审理做出（2019）京0108民初52354号民事判决书，驳回李某的全部诉讼请求。

根据《个人信息保护法》的相关规定，李某查询“用户行程轨迹信息”系涉案当事人的敏感个人信息。一旦泄露或者非法使用，容易导致被查询人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。而李某“非工作目的私自长期查询特定对象涉及隐私的敏感保密信息”，虽然未造成对外泄露等后果，但造成了涉案当事人的心理担忧，属于严重违反职业道德的行为。嘀嘀公司以此为由辞退李某具备事实与法律依据。

对于DD公司收集的用户“行程信息”，包括用户的出发地、到达地、行踪轨迹、时长及里程数信息，主要应当用作行车计费、保护乘客人身财产安全、处理用户纠纷之目的。DD公司应当根据法律规定，对用户个人信息应当有效管理并采取安全措施，避免用户的信息被自己的员工和第三方不当处理，防止未经授权的访问以及个人信息泄露、篡改、丢失。结合本案判决书披露的内容，大致可以看到DD公司实施的数据合规管理措施如下：

• 建立公司信息安全委员会，统一协调管理数据安全工作，并下设数据安全小组、推动各项数据安全活动。

• 公司内部颁布实施数据安全管理规范，明确对用户数据（包括用户个人信息）的保护标准和要求。要求员工知晓并承诺遵守、签署《员工确认函》；员工入职后应当登录线上签收现行规章制度，未经签收合学习的，将无法使用OA自动化办公系统等；发布《DD出行员工手册》，并在手册中规定泄露薪酬、私自保存、获取或泄露公司的保密信息属于违反公司规章制度的行为。

• 新项目、新系统上线前对数据安全（包括用户个人信息数据）进行项目风险评估。

• 与全体员工及服务外包人员签署保密协议，并严格按照工作职责分配数据访问权限。具体包括：颁布《高压线政策》，详细规定禁止非公目的获取隐私信息等各种违纪情形，组织员工学习高压线政策和信息安全相关规定；明确信息系统的使用规则，要求员工签署《保密、知识产权归属、反商业贿赂及禁止招揽协议书》，规定员工不得利用系统权限，违规对任何系统信息进行查询、修改、下载、删除、转发等操作，不得利用权限以非因公的目的进行非法查询、获取任何隐私信息或商业秘密；侵犯个人隐私的不以造成损害结果为处罚标准；要求员工签署《诚信&廉洁自律协议书》，并确认员工怠于查询和学习的，不影响民主程序的法律效力。

• 定期开展面向公司全体员工及外包服务人员的信息安全教育及培训。

• 安全保护措施包括：对用户个人敏感信息进行加密并通过数据隔离技术进行存储、使用加密传输协议、设立完善的敏感数据访问权限申请、审批制度、建立数据安全监控和审计制等。

从以上内容可以看出，DD公司的数据合规管理体系较为健全。即便如此，对此事件，海淀区法院在本案的判决书中对DD公司也给出了司法建议，要求“嘀嘀公司应当充分认识到自身的管理漏洞，亟需提升对用户隐私权保护的重视程度，通过采取必要的管理措施和技术手段，防止未经授权实施查阅、使用或泄露用户信息的行为发生，保障用户的隐私权不受侵犯。”而对于本案中个人信息受到侵犯的员工，亦可以行使个人信息知情决定权，要求DD公司限制或者拒绝他人对其个人信息进行查询。

此外，《个人信息保护法》还规定了处理个人信息的过错责任，公司造成个人信息权益损害又不能证明自己没有过错的，应当承担损害赔偿等侵权责任。为此，公司应注意对数据处理行为的留痕，保留或备份经营活动中的数据采集、传输、共享等记录。而对于侵害众多个人的权益的数据泄露事件，企业将面临“公益诉讼”的被诉风险，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法提起诉讼。2021年7月1日，《人民检察院公益诉讼办案规则》实施；2021年8月26日，最高检下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》。根据通知，教育、医疗、就业、养老、消费等重点领域处理的个人信息，以及处理100万人以上的大规模个人信息将会成为公益诉讼的重点。

案例三：华为员工易某因工作需要拥有登录华为公司企业资源计划(ERP）系统的权限，可以查看工作范围内相关数据信息。但其在调离岗位7年后，仍未清理查询权限。在此期间，他多次利用权限查看系统数据，甚至利用发现的漏洞绕过权限控制，多次向华为的某供应商提供系统数据，从中获利两万多元。案发后，虽然华为公司对易某予以谅解，但易某非法获取计算机信息系统数据，违法所得超过人民币5000元，属于情节严重，已经构成非法获取计算机信息系统数据罪。广东省深圳市中级人民法院经审理后做出(2021)粤03刑终1657号刑事裁定书，判处易某有期徒刑一年，并处罚金人民币二万元，追缴违法所得上缴国库。

我国《刑法》第二百八十五条规定了非法获取计算机信息系统数据罪，是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》规定，非法获取计算机信息系统数据的违法所得在五千元以上或者造成经济损失一万元以上的就属于“情节严重”。其他相关法律规定包括《计算机信息系统安全保护条例》.

《计算机信息网络国际联网安全保护管理办法》也要求任何单位和个人不得从事危害计算机信息网络安全的活动。然而，该罪在司法实践中成了一个超级口袋罪：在罪名上，与人身安全、财产安全等多个章节的罪名产生交叉重合；在保护的利益上，不仅涵摄刑法上其他章节所保护的法益，而且开始溢出整个刑法典，进而保护信息时代重要性日益凸显、其他利益日益频繁地受到侵害。[i]本案易某的行为是否构成非法获取计算机信息系统罪存有争议，被告人及其辩护律师都提出了质疑。

深圳市中级人民法院在判决书说理部分，援引了最高人民检察院公布的第九批指导性案例（检例第36号-卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案）作为“类案”，并在裁判中参照了这一指导性案例对何为侵入计算机信息系统做出认定：

“被告人将自己因工作需要掌握的本公司账号、密码、Token令牌等交由他人登录该公司管理开发系统获取数据，虽不属于通过技术手段侵入计算机信息系统，但内外勾结擅自登录公司内部管理开发系统下载数据，明显超出正常授权范围。超出授权范围使用账号、密码、Token令牌登录系统，也属于侵入计算机信息系统的行为。”

深圳市中级人民法院同样认为：非法获取计算机信息系统数据罪中的“侵入”，是指违背被害人意愿、非法进入计算机信息系统的行为，其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统，也包括未取得被害人授权擅自进入计算机系统，还包括超出被害人授权范围进入计算机信息系统。

本文所涉的三个案例均与企业的信息系统管理有关。企业大量的结构化的数据和信息都存储在系统中，员工越权访问数据或利用系统漏洞泄露数据都会给企业带来不必要的麻烦，甚至要承担相应的法律责任，这也是本文三个案例给企业带来的警示。

为此，企业在数据合规管理体系建设中，需要重视对信息系统的管理。从公司层面明确数据保护的政策和态度并建立起一套制度和管理流程是法律的基本要求，而从技术层面建立管理要求并把管理要求融入相关业务流程、信息系统和工具中也至关重要。包括采取加密、去标识化等安全技术措施、遵从最小化的原则管理操作系统、根据“最小授权”原则设定账户访问权限、密码管理、防病毒防渗透、数据备份和恢复等方面。借助于技术的支持、流程的管控，企业对数据的合规要求才能起到对员工行为的指引和规范作用，法律、管理与技术相融合的合规管理理念才能得到有效的贯彻和执行。