第四章  网络安全与数据合规管理



              网络平台可构成传播淫秽物品牟利罪。在快播案中，快播公司虽然没有直接实施
              传播淫秽物品的行为，但是利用 P2P 技术提供了用户下载和上传淫秽视频的平台，
              并且提供缓存服务，由于放任淫秽视频在本平台上大量传播，构成传播淫秽物品
              牟利罪。

                  （二）管理失职类风险
                  数据合规管理失职类风险来源于法律通过合规流程性条款为企业创设的合规
              管理义务，企业怠于履行义务，就有可能受到监管部门的行政处罚，一旦造成用
              户重大敏感信息泄露的严重后果，经监管部门责令采取改正措施而拒不改正的，

              还可构成拒不履行信息网络安全管理义务罪。为贯彻等级保护和分级分类管理的
              要求，中国数据保护法律为关键信息基础设施运营者、敏感信息处理者、提供重
              要互联网平台服务的数据处理者确立了更加严格的数据保护合规管理义务。管理
              失职类风险可以分为安全管理措施风险、安全技术措施风险、事件补救措施风险

              三大类。
                  1. 安全管理措施风险
                  安全管理措施是企业为履行数据安全保护义务而采取的管理措施。企业未采
              取法定安全管理措施，即被认定为未履行安全管理义务，可能遭受行政或刑事处

              罚。这些安全管理措施主要包括：第一，设立数据安全负责人和管理机构，公开
              负责人的联系方式并报送职能部门；第二，合理确定内部从业人员的数据处理操
              作权限，并定期进行安全教育和培训；第三，定期对数据处理情况进行合规审计，
              加强风险监测；第四，成立主要由外部成员组成的独立机构对数据保护合规情况

              进行监督；第五，在处理敏感个人信息、利用个人信息进行自动化决策、向他人
              或境外提供个人信息、委托处理个人信息等场景下，应当事前进行个人信息保护
              影响评估，并报送评估报告；第六，建立安全投诉、举报制度，公布举报方式等
              信息，及时受理投诉和举报；第七，严格资质管理，如数据服务经营者依法取得

              经营业务许可或者备案等。
                  2. 安全技术措施风险
                  安全技术措施是指企业为保护数据安全所采取的必要技术措施，主要包括：
              第一，防范计算机病毒和网络攻击、网络侵入的网络运行安全技术措施；第二，

              检测、记录网络运行状态、网络安全事件的技术措施，留存网络日志不少于 6 个
              月；第三，防止未经授权访问以及个人信息泄露、篡改、毁损、丢失的安全技术


                                                                                     137