亿诚律师 | 数据合规领域企业行政责任及高管责任
阅读次数:91  发布时间:2021/11/4 10:21:39


11月1日,《个人信息保护法》正式实施。自此,在数据合规领域的三部基础性的法律《个人信息保护法》、《数据安全法》、《网络安全法》均已正式生效,相应配套的规章、国标等也在制定或者修订之中。我国的数据方面相关的法律网络初具雏形。
本文从企业数据合同的视角出发,主要梳理在数据合规领域,现有法律法规对企业及高管的要求和责任。
一、企业行政责任
任何主体未履行相应的网络安全与数据保护义务均可能面临约谈或是行政处罚,行政处罚具体包括:对单位责令改正、警告、记入诚信档案、罚款、责令暂停相关业务、责令停业整顿、责令关闭网站、吊销相关业务许可证或者吊销营业执照。
1、《数据安全法》
《数据安全法》第六章确定了违反各项数据安全义务所对应的法律责任。罚款上限高达一千万元,以及可以并处暂停相关业务、停业整顿或者吊销营业执照的处罚。
其中,第四十四条规定了主管部门在监管过程中发现数据处理活动有较大安全风险的,可对相关组织与个人进行约谈,并要求整改、消除隐患。
2、《个人信息保护法》
在个人信息保护领域,企业的行政责任,主要规定在《个保法》第六十六条,若企业违反《个人信息保护法》规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,将会遭受责令改正,给予警告,没收违法所得等处罚;对违法处理个人信息的应用程序,可能受到责令暂停或者终止提供服务处罚;情节严重的,没收违法所得,企业有可能受到五千万元以下或者上一年度营业额百分之五以下罚款,并可以被相关部门责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。
3、《网络安全法》
《网络安全法》企业行政责任也主要规定在第六章。主要包括:不履行网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款;侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
二、高管责任
从事企业网络安全与数据保护的高管也需要承担相应的法律责任。如《网络安全法》、《数据安全法》、《信息安全技术个人信息安全规范(GB/T 35273-2020)》、《网络安全等级保护条例(征求意见稿)》、《关键信息基础设施安全保护条例(征求意见稿)》、以及《数据安全管理办法(征求意见稿)》均对网络安全与数据保护的负责人或责任人的设置做出了明确规定,《个保法》也要求处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。“数据保护官”的高管职位也应运而生。经过梳理,数据安全负责人或者个人信息保护负责人的职责主要包括: