過去數(shù)月,中國網(wǎng)絡(luò)運營者面對著日益嚴峻的數(shù)據(jù)保護挑戰(zhàn)。中國備受期待的《網(wǎng)絡(luò)安全法》及其相關(guān)規(guī)則和標準的頒布,相比其他法律措施,將對數(shù)據(jù)保護帶來最深遠的影響。
《網(wǎng)絡(luò)安全法》及其相關(guān)法規(guī)自2017年6月1日生效以來,不僅為中國網(wǎng)絡(luò)數(shù)據(jù)的保護和安全制定多項重大規(guī)定,也為國內(nèi)外的企業(yè)帶來持續(xù)挑戰(zhàn)。近期有報道稱國家互聯(lián)網(wǎng)信息辦公室(CAC)多次開展了數(shù)據(jù)保護執(zhí)法行動,例如審閱中國網(wǎng)絡(luò)運營者的隱私政策及其實施情況,這表明中國數(shù)據(jù)保護和網(wǎng)絡(luò)安全風險正被日益重視。本文將概述公司內(nèi)部法律顧問應(yīng)如何遵守這些法規(guī)以應(yīng)對相關(guān)挑戰(zhàn)。
夯實網(wǎng)絡(luò)安全管理系統(tǒng)基礎(chǔ)
《網(wǎng)絡(luò)安全法》適用于中國的網(wǎng)絡(luò)運營者(即網(wǎng)絡(luò)的所有者、管理者以及網(wǎng)絡(luò)服務(wù)提供者),網(wǎng)絡(luò)運營者必需依法制定相關(guān)內(nèi)部政策流程以保障其在中國境內(nèi)的網(wǎng)絡(luò)安全。依據(jù)《網(wǎng)絡(luò)安全法》未履行網(wǎng)絡(luò)安全管理職責的違規(guī)者不但會受到行政處罰,如被責令暫停相關(guān)業(yè)務(wù)、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或營業(yè)執(zhí)照、企業(yè)或相關(guān)人員被處行政罰款等;若違規(guī)行為情節(jié)嚴重,還可依照中國《刑法》承擔相應(yīng)的刑事責任,如有期徒刑、拘留及/或刑事罰款等(例如泄露用戶信息而導(dǎo)致嚴重后果)。
公司內(nèi)部法律顧問需要和公司內(nèi)部的相關(guān)職能部門密切合作,來確保企業(yè)遵守《網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定,包括在網(wǎng)絡(luò)安全制度中加入網(wǎng)絡(luò)安全措施。例如,中國的網(wǎng)絡(luò)運營者應(yīng)施行以下各項措施:
網(wǎng)絡(luò)安全措施。實施技術(shù)措施防止電腦被入侵并監(jiān)督網(wǎng)絡(luò)運作;安排網(wǎng)絡(luò)安全負責人落實網(wǎng)絡(luò)安全保護責任;按照規(guī)定留存相關(guān)網(wǎng)絡(luò)日志不少于六個月;備份和加密重要數(shù)據(jù);及制定和演練網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案(例如應(yīng)對電腦病毒、網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)入侵等危機)。
用戶信息保護。收集用戶信息前應(yīng)當向用戶明示并取得同意;建立用戶信息保護制度以嚴格保密用戶信息;建立適當機制使用戶可以在某些情況下刪除或更改其個人信息;如發(fā)現(xiàn)或懷疑用戶個人信息被泄露、損壞或遺失,應(yīng)及時采取補救措施并通知用戶及相關(guān)主管部門。
線上內(nèi)容管理。向用戶提供網(wǎng)絡(luò)內(nèi)容發(fā)布及傳播的相關(guān)服務(wù)(例如為用戶辦理網(wǎng)絡(luò)接入、域名注冊服務(wù)、固網(wǎng)電話或移動電話入網(wǎng)手續(xù)、信息發(fā)布或即時通訊服務(wù))前應(yīng)核實用戶的真實身份和信息;加強對用戶提供的網(wǎng)絡(luò)信息管理,防止非法信息散布。
網(wǎng)絡(luò)產(chǎn)品及服務(wù)要求。網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)商必需確保提供的網(wǎng)絡(luò)產(chǎn)品和服務(wù)符合國家相關(guān)的強制性規(guī)定;在法規(guī)規(guī)定或各方同意的期間內(nèi)提供安全支持;發(fā)現(xiàn)網(wǎng)絡(luò)安全危機需即時采取補救措施并通知用戶和有關(guān)主管部門。
除了上述適用于網(wǎng)絡(luò)運營者的規(guī)定外,被認定為關(guān)鍵信息基礎(chǔ)設(shè)施的企業(yè)需要遵守更嚴格的網(wǎng)絡(luò)安全規(guī)定,例如實施更嚴格的網(wǎng)絡(luò)安全措施、對個人信息和重要數(shù)據(jù)實施本地存儲,遵循數(shù)據(jù)出境要求并在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時通過國家安全審查等。
關(guān)鍵信息基礎(chǔ)設(shè)施的定義尚處發(fā)展階段
雖然《網(wǎng)絡(luò)安全法》 及其相關(guān)規(guī)則(尚處征求意見階段)載列了關(guān)鍵信息基礎(chǔ)設(shè)施的行業(yè)描述,但其詳細定義仍有待當局進一步界定。
下表載列了《網(wǎng)絡(luò)安全法》與CAC在2017年7月10日對外發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》中對關(guān)鍵信息基礎(chǔ)設(shè)施的定義:
雖然《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》對于《網(wǎng)絡(luò)安全法》中給出的關(guān)鍵信息基礎(chǔ)設(shè)施的定義可能作出進一步說明,從而致使界定某一企業(yè)是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施仍存在不確定性,但是《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》的發(fā)布(盡管只是征求意見稿)還是有助于我們進一步了解監(jiān)管機構(gòu)對于關(guān)鍵信息基礎(chǔ)設(shè)施的界定范圍。
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》還規(guī)定國家網(wǎng)信部門將會與相關(guān)政府機關(guān)制定關(guān)鍵信息基礎(chǔ)設(shè)施識別指南,這顯然會從各行業(yè)的角度來更加明確關(guān)鍵信息基礎(chǔ)設(shè)施的涵蓋范圍。有報告指出相關(guān)政府機關(guān)已將數(shù)百家企業(yè)認定為關(guān)鍵信息基礎(chǔ)設(shè)施運營者,當中大部分為中國國有企業(yè)。相關(guān)政府機關(guān)已通知這些國有企業(yè)其已被認定為關(guān)鍵信息基礎(chǔ)設(shè)施運營者并告知其應(yīng)當遵守的相關(guān)合規(guī)要求。一旦相關(guān)政府機關(guān)公布關(guān)鍵信息基礎(chǔ)設(shè)施運營者初步名單和關(guān)鍵信息基礎(chǔ)設(shè)施識別指南,企業(yè)可望于近期內(nèi)進一步明確對關(guān)鍵信息基礎(chǔ)設(shè)施的認定準則。
關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)遵循更嚴格的相關(guān)數(shù)據(jù)要求
根據(jù)《網(wǎng)絡(luò)安全法》,關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)當履行更嚴格的網(wǎng)絡(luò)安全保護義務(wù),例如設(shè)置專門安全管理機構(gòu)和安全管理負責人、定期對從業(yè)人員進行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核,以及對重要系統(tǒng)和數(shù)據(jù)庫進行分類、容災(zāi)備份和備份等,其中最受關(guān)注的網(wǎng)絡(luò)安全要求是關(guān)鍵信息基礎(chǔ)設(shè)施運營者需遵守《網(wǎng)絡(luò)安全法》下的數(shù)據(jù)出境規(guī)定。
具體而言,《網(wǎng)絡(luò)安全法》規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運營者在中國境內(nèi)運營中收集和產(chǎn)生的個人信息和“重要數(shù)據(jù)”應(yīng)當在境內(nèi)存儲。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當按照主管部門制定的辦法進行安全評估。除了數(shù)據(jù)出境規(guī)定外,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》還規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的運行維護應(yīng)當在中國境內(nèi)實施,因業(yè)務(wù)需要確需進行境外遠程維護的,應(yīng)事先報國家行業(yè)主管或監(jiān)管部門和國務(wù)院公安部門。
隨著更多國內(nèi)和跨國企業(yè)將可能落入關(guān)鍵信息基礎(chǔ)設(shè)施(范圍仍然不斷說明)的監(jiān)管范圍,它們可能會受到這一規(guī)定所帶來的影響。因此,企業(yè)必需密切關(guān)注相關(guān)法規(guī)的發(fā)展,預(yù)先做好準備,避免違規(guī)所帶來的法律后果。
個人信息保護的范圍不斷擴大
《網(wǎng)絡(luò)安全法》及其相關(guān)法規(guī)另一個引人注目的發(fā)展在于加強對個人信息的保護。雖然之前多項法規(guī)從各個角度做出過類似的規(guī)定,但唯獨《網(wǎng)絡(luò)安全法》以其完整嚴密的結(jié)構(gòu)重申了相關(guān)規(guī)定,要求網(wǎng)絡(luò)運營者建立健全用戶信息保護制度,以加強對用戶信息的保護。因此公司法律顧問及時了解和審查公司內(nèi)部是否在各方面做到依據(jù)《網(wǎng)絡(luò)安全法》的要求對用戶信息進行保護就顯得尤為重要。
新法規(guī)強調(diào)網(wǎng)絡(luò)運營者需要建立一套健全的用戶信息保護制度,凡收集、儲存、處理和轉(zhuǎn)移個人信息,應(yīng)明確與被收集者溝通,并在進行上述操作前得到被收集者同意。具體而言,根據(jù)《網(wǎng)絡(luò)安全法》,網(wǎng)絡(luò)運營者收集、使用、轉(zhuǎn)移和分享個人信息,應(yīng)當遵循網(wǎng)絡(luò)運營者與用戶之間的協(xié)議,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。此外,《網(wǎng)絡(luò)安全法》規(guī)定,網(wǎng)絡(luò)運營者未經(jīng)被收集者同意,不得向他人提供個人信息。但是,經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。
網(wǎng)絡(luò)運營者成為重點整頓對象已經(jīng)反映在最近針對網(wǎng)絡(luò)運營者隱私政策的執(zhí)法行動中。最近有新聞指出,中國當局已經(jīng)對至少十家領(lǐng)先的網(wǎng)絡(luò)服務(wù)供應(yīng)商的隱私政策進行審查并提出意見。據(jù)報道,中國一家移動地圖應(yīng)用運營者將會采用以《個人信息安全規(guī)范》(該規(guī)范征求意見稿預(yù)期將會在短期內(nèi)公布)為基礎(chǔ)的新網(wǎng)絡(luò)隱私政策。此外,工業(yè)和信息化部還頒布了《移動互聯(lián)網(wǎng)綜合標準化體系建設(shè)指南》,要求網(wǎng)絡(luò)運營者在制定網(wǎng)絡(luò)隱私政策時,內(nèi)部法律顧問應(yīng)參考其規(guī)定的 “用戶個人信息保護指南”。
由于《網(wǎng)絡(luò)安全法》可能會為企業(yè)和個人帶來刑事責任,內(nèi)部法律顧問應(yīng)審查和自我評估公司現(xiàn)行的網(wǎng)絡(luò)隱私政策與保護個人信息的基礎(chǔ)設(shè)施建設(shè),以識別潛在的違規(guī)漏洞并加以糾正。
你準備好了嗎?
京公網(wǎng)安備 11010502049343號