安踏员工盗取95G保密信息，公司有没有责任？

10月21日，“廉洁安踏”微信公众号发布一则信息，关于集团零售人力宋某鹏盗取保密信息的通报。通报中称，安踏集团零售人力巡查发现，人力高级专员宋某鹏有盗用他人计算机权限，秘密窃取公司保密信息的行为。经集团流程与信息管理部、法务部、审计监察部介入调查后发现，宋某鹏趁他人不备，秘密利用他人权限为自己开通网盘权限，将集团零售体系人力的员工花名册、高管信息、各类总结汇报PPT、零售培训课件等保密电子资料下载至个人硬盘，计划随其本人离职后带走，总容量约为95G，给公司造成极大的泄密风险。

9月1日正式实施的《中华人民共和国数据安全法（以下简称《数据安全法》）是中国实施数据安全监督和管理的一部基础法律。安踏员工宋某鹏窃取公司保密资料的行为触犯了《数据安全法》第三十二条：任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的，应当在法律、行政法规规定的目的和范围内收集、使用数据。目前，安踏已对该员工作出了开除处分。

“这件事其实反应出企业并没有落实好《数据安全法》，没有适当的控制防护措施导致了这名员工窃取了数据，因此该企业自己的合规还有一定的改进空间。”上海段和段律师事务所合伙人刘春泉律师表示。

根据《数据安全法》第二十九规定：开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。因此，安踏这件案件发生后，应当即时向有关主管部门报告，关于涉事员工，也应当即时报警处理。

事实上，今年也曾有多次员工窃取公司信息并泄露的案件发生。5月30日，新密市区某公司6万余条用户信息遭泄露，存在重大风险隐患。掌握相关证据后，新密警方迅速将慎某龙、慎某明抓获到案，经审查，上述信息系新密市某公司工作人员李某闪出售给两人使用。6月4日，新密警方将该公司工作人员李某闪抓获，李某闪如实供述了其利用工作之便非法从公司内部系统导出用户信息6万余条用于出售牟利的犯罪事实。

为堵塞信息泄露漏洞，新密警方启动“一案双查”机制，对该公司开展网络安全检查。在检查中发现，该公司作为网络运营者，未采取确保其收集的公民个人信息不被泄露、篡改、毁损的技术措施，造成收集的6万余条公民个人信息泄露。根据《中华人民共和国网络安全法》（以下简称《网络安全法》）第64条第1款之规定，对该公司给予15万元罚款，对直接负责的主管人员给予2万元罚款。

10月23日，湖北省松滋市人民政府门户网站上发布了一则新闻，松滋市公安局网安大队在7月份对上级下发线索核查时，掌握到某通讯营业网点存在非法向他人出售个人信息的行为。经大量的调查证据确认，9月，松滋市警方成功抓获在松滋辖区内以张某、周某、刘某为首的非法买卖公民个人信息的涉案人员80余人，一举打掉一个涉嫌侵犯公民个人信息犯罪的团伙。其中采取刑事强制措施26人，行政处罚38人，教育训诫10余人，人员涉及中国移动、中国联通和中国电信营业厅（或代理点）多名工作人员。经查，犯罪嫌疑人张某利用其经营中国移动某营业厅的工作便利，在客户不知情的情况下，将前来办理移动业务用户的手机号码泄露给第三方人员，帮助抖音、淘宝、支付宝等APP平台增加账号用户数。

“上述企业对安全管理工作中存在几方面问题，1、人员意识，被盗权限的账户拥有者，可能存在离开电脑时没有锁屏，操作关键系统以后没有及时退出等意识问题；2、操作流程，变更敏感权限时是否有复核、确认；3、技术系统，对于非本人操作没有进行有效鉴别。”某跨国企业网络空间安全和合规负责人，诸子云上海理事长赵锐表示。

近年来，数据泄露事态日趋严峻已成为全球各领域行业的共识，无论是勒索软件的攻击，还是企业内部人员频繁泄密都在潜移默化的加重企业生存负担，因此，良好的网络发展生态环境成了企业可遇不可求的奢望。对于企业而言，首先，优化硬件管理体系，对业务在运作过程中数据的采集、存储和应用安全，可以通过加密、脱敏、认证健全等技术手段来加强保护措施；其次，组织内部检查机制，对重要数据做好分类分级工作，实名制或严格执行员工权限管理。最后，强化员工法律意识，签订保密协议书，要求员工严格保密接触到的用户信息等重要数据，按照规章制度管理相关系统的账号及密码，每月组织安全培训等。

值得注意的是，在“廉洁安踏”通报中，宋某鹏窃取的资料中包括员工花名册、高管信息等。

将于11月1日实施的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第十三条规定：符合下列情形之一的，个人信息处理者方可处理个人信息：（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需。

第五十三条规定：个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：（一）制定内部管理制度和操作规程；（三）采取相应的加密、去标识化等安全技术措施。因此，企业作为员工个人信息的处理者，应当对员工的个人信息负有安全等义务。

面对《数字安全法》和即将实行的《个人信心保护法》，企业后续应该有哪些重点建设的内容？赵锐表示：“对于各重要数据的流转，特别是个人敏感信息的访问、复制、下载等要开展相关的数据安全治理，而且很多组织只关注客户和员工数据，其实还有招聘过程中未入职的人员，合作方的人员信息（不管是最终签署合同，或是未签署合同）。”

据了解，不少企业近年来为了优化考勤管理，节省管理成本的目的引入人脸考勤。企业以这种方式管理员工的确能够节省公司的考勤管理压力，但《个人信息保护法》第二十八条规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

对此，赵锐建议：“企业应按数据生命周期对重要数据，特别是个人敏感信息进行梳理，确认前台用户、中台业务管理人员、后台运维操作时的权限管理或权限过大及日志、文件留存过多等问题。在数据生命周期中流转过的各系统也要进行梳理确认，如果在原来制度流程中有未完善之处，企业应尽快更新。”

《数据安全法》与已实施的《网络安全法》、《密码法》及即将实施的《个人信息保护法》相辅相成，共同构成了中国数据安全的法律保障体系。企业对于上述法律不应仅想着如何规避风险，而是要保持敬畏与尊重，结合立法原意及自身，创建可行的数据隐私保护机制。