数据合规这个词,近几年来越来越多走进企业的视野。很多企业专门成立合规部门,专业中介机构也抓紧开发数据合规的业务,对接客户需求。
究其原因,在于数据的身份和价值发生了变化。过去在商业运营中的数据,更多是统计资料、事实记录、保密对象;但现在数据已经成为相当一部分企业的核心资源或主要生产资料。同时,数据的价值体现方式也发生了变化,不仅来自于本身的内容和规模,而且相当一部分在流通过程中实现。
鉴于数据在国家安全、公共利益、国计民生、个人隐私等方面都扮演着愈发重要的角色,我国也从立法到执法不断加强对数据的监管。
立法现状
1、关于网络安全的相关立法
《网络安全法》于2016年发布,2017年6月正式实施,主要对网络安全等级保护制度、关键信息基础设施(CII)、用户信息保护制度及监测预警和应急处置进行了框架性规定,开启了我国数据合规元年。
针对网络安全等级保护,《网络安全法》第二十一条规定:网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。随后,公安部在2018年发布了《网络安全等级保护条例》的征求意见稿,细化了网络安全等级保护的具体做法,虽然目前还不是正式稿,但实践中基本以该条例为操作指引。
对于关键信息基础设施,网络安全法以概括加列举的方式规定:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”但CII的范围到底有多宽,保护途径究竟有哪些,业内的尺度仍然莫衷一是。一方面,根据上述规定,政府机关、能源、水利、电信这些当然应当属于CII的涵摄范围;另一方面,那些掌握着几千万乃至上亿用户信息的规模化互联网公司,是否也应落入“一旦数据泄漏,可能严重危害公共利益”的范围?虽然,网信办于2017年发布了《关键信息基础设施安全保护条例》的征求意见稿,信安标委也发布了一系列的条例、标准的讨论稿,但均尚未正式生效。对此,我们认为,网络运行安全需要把握政策监管趋严的趋势,谨慎等待法规落地,提前进行布局。
2、关于个人信息保护的相关立法
首先,《民法典》在第四编第六章明确规定了隐私权和个人信息保护,确立了个人信息处理应当遵循合法、正当、必要的原则。
其次,近年来的专项整治行动中,大部分是针对APP收集个人信息方面。各部门相继也有出台规范和规定,特别是今年即将生效的《APP必要个人信息范围规定》,这将是运营互联网APP功能的企业今年合规的重点准绳。
当然,目前还处于草案阶段的《个人信息保护法》也值得我们关注,其正式生效后将是个人信息保护领域的主要法律依据。
3、关于数据活动监管的相关立法
包括对数据的收集、存储、使用、加工、提供、交易、公开等全生命周期处理活动的监管。《民法典》在第四编第六章已经有了盖然性的规定,还应重点关注的是《数据安全法》草案,待其生效后,将与《网络安全法》、《个人信息保护法》共同构建数据合规和网络安全的法律体系。
目前,《数据安全法》草案里包括了数据分类分级保护、重要数据保护目录、数据安全风险预警机制、数据安全应急处置机制、数据活动的国家安全审查机制等,是对于数据处理活动合规化的重要指引。
治理情况
1、执法部门
目前对于网络安全和数据安全的治理,执法机构繁多,执法尺度各异,各自管辖的领域也有重叠,有同行称之为九龙治水。
主要执法部门包括以下四个:其一,网信办,主要针对网络运营者的数据信息和内容合规管理,用户发布的信息、网络实名制等。其二,工信部,主要针对电信行业的监管,包括个人信息收集、保护和使用的情况。其三,公安部,主要关注网络安全运行管理制度,核查网络安全等级保护制度等,打击与网络安全和个人信息保护相关的违法犯罪行为。其四,市监局,主要受理并调查涉及网络安全、个人信息安全的群众投诉、举报案件。
2、执法重点
近两年的执法重点主要是针对个人信息数据的收集、使用。
2019年,执法部门针对APP违法违规收集使用个人信息进行了专项治理,效果显著。其中有260款用户规模大、问题突出的APP受到相应处罚措施。在2020年的专项治理行动中,在发现、纠正违规行为的基础上,还提供了一些正向引导措施,比如制定审核管理指南、加强个人信息安全评估培训等。以疏代堵,帮助APP运营主体合规化。
另外,公安部还针对侵犯公民个人信息的违法犯罪行为发起了“净网”专项治理行动。在“净网2020”专项治理行动中,共侦办网络犯罪案件5.6万起,抓获犯罪嫌疑人8万余名。其中,侦办侵犯公民个人信息类案件6524起,抓获犯罪嫌疑人1.3万名;侦办黑客攻击及新技术犯罪案件1782起,抓获犯罪嫌疑人2975名;侦办网络黑产类案件1万余起,抓获犯罪嫌疑人1.5万名,扣押“手机黑卡”548万余张,查获涉案网络账号2.2亿余个,及时阻止1850万余张物联网卡流入黑市。可见,公安部对侵犯个人信息犯罪的惩治态度是非常坚决的。
3、合规风险
违法对个人信息数据进行收集、使用除了面临执法部门的惩处外,还会陷入与用户的民事诉讼,乃至影响整个企业的战略发展。
在“杭州野生动物世界人脸识别案”中,由于杭州野生动物世界强制要求年卡用户注册人脸识别,否则无法正常入园,因而被年卡用户郭某诉至法院。本案的核心问题在于对经营者处理消费者个人信息,尤其是指纹和人脸等个人生物识别信息行为的评价和规范问题。2021年4月9日,杭州中院作出终审判决,判令杭州野生动物世界退还郭某部分年卡费用,赔偿交通费损失,并删除郭某登记的指纹、面部识别信息。
本案给我们的启示:首先,收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。其次,经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。再次,经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。同时,配置生物识别技术的信息采集时,应采取审慎态度,并为消费者提供替代方案。此外,制定应急预案,在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
在“墨迹科技IPO被否案”中,北京墨迹风云科技股份有限公司(简称“墨迹公司”)首发申请未通过,证监会在《公告》中指出墨迹公司的用户数据收集及处理合规问题是一大关键问题,墨迹公司通过自主收集及第三方途径获取用户数据及标签,并利用数据进行商业化变现,其于2019年7月16日收到App专项治理工作组发出的《关于App收集使用个人信息相关问题的通知》,要求其就收集使用个人信息中存在的问题进行整改。
由此可见,针对用户数据收集、处理的合规性,已成为证监会重点关注的问题之一,并成为影响企业上市成功与否的重要因素。因此,对于拟上市的企业,应对数据活动的全生命周期开展治理,其一,应完善内部数据治理体系;其二,要同时紧跟监管步伐。
企业数据合规启示:如何从零到一
首先,应当对企业的日常运营业务流程进行全面梳理。对此,我们律师能够配合企业对业务流程中涉及数据相关的部分进行尽职调查。尽职调查的目标就是检视,企业现有的网络安全制度、数据处理规则与现行法律法规的差距。
其次,需要结合尽调结果和公司自身的实际情况,完善公司内部数据合规制度。这一阶段涉及和涵盖的内容繁多且零散,我们主要沿着数据的全生命周期来提炼每个阶段需要关注的部分。
第一,数据收集。制定《个人信息收集使用规则》,告知/确认/签署规则、数据收集取得用户授权、收集的渠道要合法。
第二,数据使用。审查未超出双方约定规则的使用范围、有无违法使用场景。
第三,数据管理。指定安全管理人员、保障数据主体权利(查看、更正、删除个人信息,注销账户)、采取技术措施确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四,数据流转。对数据合作、数据共享、数据跨境传输进行合规性检视。其中,数据共享需要用户知情并同意,数据跨境传输需甄别可传输的信息范围,并进行安全评估。
最后,就是随时跟着立法进度,回看审视现有制度是否紧贴法律法规的规定要求,不断更新制度和文件。
作者:虞杨
