以下是現場速記。
北京瀛和律師事務所 知識產權中心主任 趙禮杰
趙禮杰:各位領導、各位來賓,大家下午好!站在這兒跟各位技術大咖來介紹數據合規還是有點忐忑,雖然我學法律,但是我覺得大家可能對數據研究應該比我的歷史要長,可能是這樣的。我是從做律師以后,可能對這塊研究的會更多一些。今天是范總給我的命題,介紹剛剛頒布的《數據安全法》和《個人信息保護法》,時間原因不太展開,主要分享跟各位專家相關的法條。
我分享的主題是強監管時代下的企業數據合規。大家能感覺到數據的監管好像是越來越嚴了,或者我把好像去掉,大家應該特別有感覺,所以今天有了這樣的命題。
正式開始之前,首先簡單的做個自我介紹,我叫趙禮杰,我現在在北京瀛和律師事務所,這個事務所主持人介紹了,看來主持人是到過我們那邊。我們所就在這個樓,特別有緣,我們在國際飯店5層,大家茶歇時感興趣的話可以去我們那邊參觀一下,我帶著大家看一看坐一坐。
我現在是一個執業律師,主要做的法律服務是知識產權和數據合規,我之前在科技企業做法務,一個是京東方,還有一個做人工智能的企業。
下面正式開始我今天的分享,分享的內容是強監管下的數據合規,主要有三個內容跟大家簡單交流:
第一.數據強監管下的嚴峻形勢。
第二.數安法與個保法要點解讀。
第三.企業的數據合規開展建議。
大家應該能感覺到現在數據的治理或者說合規這一塊,國家是越來越關注了。國家為什么關注?可能大家都想過,因為它其實是關系到大到國家安全,中等到產業安全,小到個人信息安全,其實它關系的是國家主權、國際民生還有我們個人的正常的安寧的個人生活。
談到嚴峻形勢,我們首先看幾個案例:
案例1.阿里云泄露用戶信息被責令整改。
2021年8月23日,一份浙江省通信管理局對投訴人的答復函,我是想讓大家關注到,現在國家相關部門對數據的關注或者說監管是越來越嚴了,相應的市場主體肯定要做好數據的保護。
案例2.滴滴被網信辦啟動網絡安全審查。
大家應該關注到了這個案例,發生在它在美國IPO的時間節點。官方信息沒有給定論原因,但是做數據的CIO們會感覺到國家層面關心的是數據安全,這肯定是很重要的關聯因素。網信辦通知的時間是2021年7月2日。
案例3.運滿滿、貨車幫、BOSS直聘被網絡安全審查。
這是發生在2021年7月5日,網信辦為什么這么密集的對這些公司進行安全審查?因為這個事兒對國家層面它很急迫。大家看一下他們做的業務,他們做的業務并不是涉及到多少重要數據的業務,可能是這樣想的。但是大家看到審查的通知以后,自己的思維要扭轉一下了,他可能實際做的日常業務里涉及到的日常數據就可能是重要數據,所以網信辦會對它進行安全審查。
案例4.深網視界的數據泄露事件。
這個案例稍微有點老,是2019年2月份發生的。這個案例曝出來的時候,當時我正好關注到了,當時我還不律所,我在另外一家公司,還在曠世。當時因為做法務,所以對這些事件還是有一定敏感度的。
這是一家做AI的公司,它犯了什么錯誤呢?它的數據庫被黑客發現,它是在線公開狀態,任何人都可以自由訪問。這些數據里包括什么數據?它大概有超過250萬人的數據信息,包括身份證信息、人臉識別圖像、包括這些信息被捕獲的地點。不管是按《網絡安全法》還是按《數據安全法》還是按《個人信息保護法》,這些數據都屬于個人信息。
這個事兒后面我沒關注,它只是曝出來了,后面我沒做跟蹤。但這個事兒應當能給企業里從事數據合規或者數據安全的同事做一些警示,這其實是很嚴重的數據泄露案件。
案例5.某數據企業員工專賣個人信息4刑事案件。
這個案例是搜索界面截圖,我搜索的是數據源廠商了就是數據堂,我只是客觀介紹案例,沒有任何個人色彩在里面。當年時,這應該是18年的時候,那個階段,這個案例網上一搜,不管通過什么搜索引擎都是好多頁相關的報道,為什么這么被新聞媒體關注?就是因為它涉及到了轉賣或者倒賣個人信息,而且是刑事案件,最后這件事兒蓋棺定論沒有跟這家公司建立直接的聯系,最后是員工自然人被定罪了。這個事兒背后到底是什么情況?可能只有當事人才能說得清楚,但是它給我們所有的從業者一個深深的警示,涉及到個人信息的非法的倒賣,它會入刑的,而且真的會被判刑的,這幾個同學被判了實刑的。
通過以上幾個案例大家能注意到數據合規治理的事兒,在所有涉及到數據處理的企業都是特別重要的一件事兒,就是國家層面特別關注,而且企業層面也特別關注,就是因為它跟我們企業合法的、可持續的運營直接相關。
談到數據合規主要涉及到哪些問題?不知道大家有沒有想過?簡單總結一下可能數據合規涉及到的問題主要是這些:
第一.數據安全。這個可能和大家在座的各位專家們的本職工作會比較相關,因為我們這塊有很多是CIO,也有很多廠商是做安全的廠商。
第二.隱私和個人信息保護。這個可能也跟我們比較相關,但是可能它有點偏法律維度,在公司里面有一部分是信息安全負責的,有一部分是法務合規團隊負責的,但它跟公司運營直接相關,我們都需要關注。
其他幾塊內容也是大家工作里一直關注的,比如數據權屬問題,這個數據到底是我的,還是我采集的自然人的?我有什么權利,我怎樣開發和怎樣利用?
數據壟斷和不正當競爭。這個在業界也很多,有些頭部企業有了大量的數據,它形成了數據壟斷,它會不會涉及到反壟斷的問題?
有一些廠商之間在數據上面有不正當的競爭行為,比如通過爬蟲爬數據。
在數據這一塊還有特別重要的問題,就是個人信息或者重要數據的出境問題。剛才的某一個案例,其實它的數據是出去了的,或者最起碼當時官方懷疑它出去了,所以對它啟用了網絡安全審查。為什么對它的數據那么關注?因為它涉及到大量的個人信息,而且它跟地理位置結合以后,它是重要數據。數據這塊還可能是數據征信的問題。
中國數據領域的三部基礎法律:
過往比較關注的是《網絡安全法》,從2017年6月1日實施。《數據安全法》會在2021年9月1日實施,《個人信息保護法》到2021年11月1日也會實施。
《數據安全法》監管的是對數據處理的活動,對所有數據都保護,它并不像《網絡安全法》那樣,只關注網絡空間。非網絡空間的數據,它也要去做監管。它里面涉及到很多關鍵事項,比如數據安全標準體系的建設、數據的分類分級保護、數據跨境流動監管、數據安全風險預警機制及應急處理機制。
關于《個人信息保護法》,它更多的是關注自然人的個人信息。它可能涉及到很多問題,比如個人信息的范圍有了一個新的界定,它確立了一些個人信息的基本處理原則,還有它對我們個人信息的主體權利做了明確的規定,而且也明確的規定了個人信息處理者的義務。
以上是關于嚴峻形勢的介紹,下面我們接著剛才那一頁PPT一起來看一下《數據安全法》還有個保法里面的一些具體條文。因為兩個法律都是大幾十條的法律,時間原因無法把相關法律都一一跟大家做交流,我只簡單羅列了幾個可能跟在座各位技術專家們的日常工作更直接相關的幾個法條。
首先來看一下《數安法》相關法條,它是關于數據分級分類的保護制度。我們可以一起看一下,這一條是《數據安全法》第21條,里面明確規定國家建立數據分級分類保護制度,對應企業制度肯定也需要做分類分級的保護。
肯定很多頭部企業已經在做分類分級了,而且因為一直在做律師,跟很多企業里的信息安全團隊還有法務團隊或合規團隊溝通很多,有些頭部企業分類分級分的特別細,比法律現在有些粗獷要求分類要細很多,但是也接觸到一些發展中的企業特別是創業型公司并沒有做這樣的事兒。《數據安全法》9月1日就要實施了,這些事情是不是要做起來?
標紅的部分大家關注一下:
一個是重要數據。重要數據的監管會很嚴,就是它的處理特別是出境會很嚴。大家會看到重要數據出境需要審查。以前我們傳統很粗獷的,境外有個研發中心,直接傳數據讓它去用,這樣的方式是不是不合規,也違法了?甚至可能犯罪了?所以大家可能很習以為常的處理方式就是違法犯罪了,所以這兩部法律建議大家從頭去讀一下,如果內部有法務團隊,讓他們深入研究,跟業務小伙伴一起探討、交流。
還有一個是國家核心數據,關心到國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度。我們做業務過程中會不會涉及到這些數據,我們提供安全解決方案的公司,我們給相關政府部門提供服務的時候,是不是會接觸到這些數據?我們業務上如何去應對?可能大家需要提前做準備,而且需要隨著《數據安全法》落地過程中,所有法條都明確之后相應的調整我們的業務模式。
我們下面看一下第27條,關于數據安全保護義務。這個是《數據安全法》里面的核心,《數據安全法》最重要的是數據安全保護義務,對相關的數據、重要數據、國家核心數據如何去保護?它里邊第27條明確規定了開展數據處理活動,應當依照法律法規的規定,我們去建立健全全流程數據安全管理制度。
大家看一下標紅的幾個字“全流程監管制度”,我們企業在數據處理整個生命周期里,從收集或采集開始到最后比如把它刪除掉它中間經過很多處理的步驟或者處理的流程,我有沒有建立起全流程的安全管理制度?當然它有其他要求,包括教育培訓、技術措施和其他必要措施,有沒有對應全流程?不一定,每家企業做的不一樣。
大家特別關注的是第二款,它提到對重要數據的處理者,這些處理者是那些廠商,可能是在座的各家公司,我們供職的公司和我們自己的公司。數據處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任,也就是說如果處理重要數據的話,需要明確一個安全負責人,這個人的責任會很重大,他要去盡數據安全保護義務。
關注到刑法的時候,都會關注到如果單位犯罪的話,直接責任人有一些會需要遭受刑事處罰,這個直接責任人是不是能對應到數據安全負責人呢?這個是一個新的概念,現在還沒有實際的案例。從法理角度分析,他應該能對應過去,而且直接責任人可能不僅限于數據安全負責人。大家看到還有一個管理機構,管理機構里可能還有其他的人。
這是關于數據安全保護義務還有數據安全負責人。
下面再看一個法條,這個法條其實就是要求對重要數據的處理,要依照相關規定,對這個數據處理活動定期開展風險評估。可能之前沒有這部法律的時候,大家未必在做這個動作,肯定有的公司在做,有很多公司的數據安全還有合規是做的遠遠高于國家的相關法律法規的要求的標準,但有些公司可能沒有做,但是后面這件事兒要做起來了。
關于《數據安全法》我們看最后一個法條,就是第45條,關于數據處理活動的。大家簡單看一下藍色、紅色的字體,藍色是對單位的處罰,紅色是對直接負責的主管人員還有其他責任人員的處罰。
大家看到了它有行政處罰就是罰款,涉及到犯罪的會追蹤形勢責任,對于公司而言可能涉及到暫停相關業務、停業整頓、吊銷相關的許可證或者吊銷營業執照,大家可以看到對公司而言它的罰款可能最高是第二款1000萬以下,但是其實有另外一個法條沒列過來就是它的下一條,是關于數據出境的,這個處罰會根嚴一些。
再來看《個人信息保護法》的相關規定。
首先來看第24條,這一條是大家特別關注的,叫大數據殺熟。很多公司有過這些行為,被曝出來過。這個大數據殺熟行為,在商業實踐里已經特別多了,相關立法者也關注到這個問題了,所以《個人信息保護法》第24條專門對這件事兒做了規制。
它是說個人信息處理者,利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
下一個法條定義了一個個人敏感信息,這個更嚴格的定義了敏感的個人信息。它包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息以及不滿十四周歲未成年人的個人信息。
28條第二款規定,只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。也就是說,按《個人信息保護法》而言,我們以前處理的某些信息可能現在不能處理了,或者說我需要去評價一下它是不是符合這個處理的必要性?而且我需要去區分普通個人信息和敏感個人信息,如果我是做APP的,APP的彈窗提示可能都不一樣了。
第29條說處理個人敏感信息應該取得個人的單獨同意,什么叫單獨同意?比如它采集人臉識別,它是生物識別信息,以前它放在整個用戶協議里邊加粗一下會采集我的信息用于給我提供更好的服務就OK了,但現在摻雜整個用戶協議里不行,需要單獨彈出來告訴我采集我的信息,干什么用。
如果涉及到APP的廠商尤其技術專家需要考慮,怎樣去彈窗。如果采集信息,彈窗之后用戶體驗肯定會差。時間原因不展開。
下面再看第52條,這也是個人信息保護負責人,跟《數據安全法》是同樣的概念。大家可以回顧一下《網絡安全法》,《網絡安全法》里也有網絡安全負責人,這個負責人到底是誰?是我們在座的CIO嗎?很多場景下我覺得它是,如果是的話,后面相關法律責任是大家需要盡量做防控的。
下面這個條款是關于法律責任,其實跟《數據安全法》是類似的,我們就不展開了,我們來一起看一下另外兩個《刑法》的法條,一個是《刑法》第253條之一-侵犯公民個人信息罪,《個人信息保護法》跟這個罪是直接對應的。
再看《刑法》第286條,拒不履行信息網絡安全管理義務罪。它的刑期是三年以下有期徒刑、拘役或者管制,并處或者單處罰金。
最后一個方面,簡單跟大家交流一下企業的數據合規建議。
首先給大家簡單的列出了數據合規的工作流程,我看企業做的到底合不合規,怎樣去做?
首先是盡職調查,第二步分析現在合規分析方案是否符合方案規定,第三步是合規優化。
對于企業數據合規有哪些實操方面需要關注?首先要建立健全數據合規機構和負責人;合規文化很重要,企業全員范圍內培育數據合規文化;建立基于業務的數據合規機制和制度;基于數據處理全生命周期進行數據合規;主動推進數據合規工作并持續優化重點關注與防控高危數據合規風險。
最后總結兩點:
第一.數據強監管時代已經到來,做好數據合規是企業良性發展的必由之路。
第二.有遠見的CIO,應當格外重視數據合規,并將可能涉刑的合規事項作為數據合規的重中之重。
以上就是我分享的全部內容,剛才提到了特別有緣分,我們北京瀛和律師事務所就在國際飯店五層,茶歇時歡迎大家去我們辦公室參觀、交流。謝謝大家!
京公網安備 11010502049343號