過去數(shù)月,中國網(wǎng)絡(luò)運(yùn)營者面對著日益嚴(yán)峻的數(shù)據(jù)保護(hù)挑戰(zhàn)。中國備受期待的《網(wǎng)絡(luò)安全法》及其相關(guān)規(guī)則和標(biāo)準(zhǔn)的頒布,相比其他法律措施,將對數(shù)據(jù)保護(hù)帶來最深遠(yuǎn)的影響。
《網(wǎng)絡(luò)安全法》及其相關(guān)法規(guī)自2017年6月1日生效以來,不僅為中國網(wǎng)絡(luò)數(shù)據(jù)的保護(hù)和安全制定多項(xiàng)重大規(guī)定,也為國內(nèi)外的企業(yè)帶來持續(xù)挑戰(zhàn)。近期有報(bào)道稱國家互聯(lián)網(wǎng)信息辦公室(CAC)多次開展了數(shù)據(jù)保護(hù)執(zhí)法行動(dòng),例如審閱中國網(wǎng)絡(luò)運(yùn)營者的隱私政策及其實(shí)施情況,這表明中國數(shù)據(jù)保護(hù)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)正被日益重視。本文將概述公司內(nèi)部法律顧問應(yīng)如何遵守這些法規(guī)以應(yīng)對相關(guān)挑戰(zhàn)。
夯實(shí)網(wǎng)絡(luò)安全管理系統(tǒng)基礎(chǔ)
《網(wǎng)絡(luò)安全法》適用于中國的網(wǎng)絡(luò)運(yùn)營者(即網(wǎng)絡(luò)的所有者、管理者以及網(wǎng)絡(luò)服務(wù)提供者),網(wǎng)絡(luò)運(yùn)營者必需依法制定相關(guān)內(nèi)部政策流程以保障其在中國境內(nèi)的網(wǎng)絡(luò)安全。依據(jù)《網(wǎng)絡(luò)安全法》未履行網(wǎng)絡(luò)安全管理職責(zé)的違規(guī)者不但會(huì)受到行政處罰,如被責(zé)令暫停相關(guān)業(yè)務(wù)、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或營業(yè)執(zhí)照、企業(yè)或相關(guān)人員被處行政罰款等;若違規(guī)行為情節(jié)嚴(yán)重,還可依照中國《刑法》承擔(dān)相應(yīng)的刑事責(zé)任,如有期徒刑、拘留及/或刑事罰款等(例如泄露用戶信息而導(dǎo)致嚴(yán)重后果)。
公司內(nèi)部法律顧問需要和公司內(nèi)部的相關(guān)職能部門密切合作,來確保企業(yè)遵守《網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定,包括在網(wǎng)絡(luò)安全制度中加入網(wǎng)絡(luò)安全措施。例如,中國的網(wǎng)絡(luò)運(yùn)營者應(yīng)施行以下各項(xiàng)措施:
網(wǎng)絡(luò)安全措施。實(shí)施技術(shù)措施防止電腦被入侵并監(jiān)督網(wǎng)絡(luò)運(yùn)作;安排網(wǎng)絡(luò)安全負(fù)責(zé)人落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任;按照規(guī)定留存相關(guān)網(wǎng)絡(luò)日志不少于六個(gè)月;備份和加密重要數(shù)據(jù);及制定和演練網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案(例如應(yīng)對電腦病毒、網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)入侵等危機(jī))。
用戶信息保護(hù)。收集用戶信息前應(yīng)當(dāng)向用戶明示并取得同意;建立用戶信息保護(hù)制度以嚴(yán)格保密用戶信息;建立適當(dāng)機(jī)制使用戶可以在某些情況下刪除或更改其個(gè)人信息;如發(fā)現(xiàn)或懷疑用戶個(gè)人信息被泄露、損壞或遺失,應(yīng)及時(shí)采取補(bǔ)救措施并通知用戶及相關(guān)主管部門。
線上內(nèi)容管理。向用戶提供網(wǎng)絡(luò)內(nèi)容發(fā)布及傳播的相關(guān)服務(wù)(例如為用戶辦理網(wǎng)絡(luò)接入、域名注冊服務(wù)、固網(wǎng)電話或移動(dòng)電話入網(wǎng)手續(xù)、信息發(fā)布或即時(shí)通訊服務(wù))前應(yīng)核實(shí)用戶的真實(shí)身份和信息;加強(qiáng)對用戶提供的網(wǎng)絡(luò)信息管理,防止非法信息散布。
網(wǎng)絡(luò)產(chǎn)品及服務(wù)要求。網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)商必需確保提供的網(wǎng)絡(luò)產(chǎn)品和服務(wù)符合國家相關(guān)的強(qiáng)制性規(guī)定;在法規(guī)規(guī)定或各方同意的期間內(nèi)提供安全支持;發(fā)現(xiàn)網(wǎng)絡(luò)安全危機(jī)需即時(shí)采取補(bǔ)救措施并通知用戶和有關(guān)主管部門。
除了上述適用于網(wǎng)絡(luò)運(yùn)營者的規(guī)定外,被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的企業(yè)需要遵守更嚴(yán)格的網(wǎng)絡(luò)安全規(guī)定,例如實(shí)施更嚴(yán)格的網(wǎng)絡(luò)安全措施、對個(gè)人信息和重要數(shù)據(jù)實(shí)施本地存儲(chǔ),遵循數(shù)據(jù)出境要求并在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)通過國家安全審查等。
關(guān)鍵信息基礎(chǔ)設(shè)施的定義尚處發(fā)展階段
雖然《網(wǎng)絡(luò)安全法》 及其相關(guān)規(guī)則(尚處征求意見階段)載列了關(guān)鍵信息基礎(chǔ)設(shè)施的行業(yè)描述,但其詳細(xì)定義仍有待當(dāng)局進(jìn)一步界定。
下表載列了《網(wǎng)絡(luò)安全法》與CAC在2017年7月10日對外發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》中對關(guān)鍵信息基礎(chǔ)設(shè)施的定義:
雖然《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》對于《網(wǎng)絡(luò)安全法》中給出的關(guān)鍵信息基礎(chǔ)設(shè)施的定義可能作出進(jìn)一步說明,從而致使界定某一企業(yè)是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施仍存在不確定性,但是《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》的發(fā)布(盡管只是征求意見稿)還是有助于我們進(jìn)一步了解監(jiān)管機(jī)構(gòu)對于關(guān)鍵信息基礎(chǔ)設(shè)施的界定范圍。
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》還規(guī)定國家網(wǎng)信部門將會(huì)與相關(guān)政府機(jī)關(guān)制定關(guān)鍵信息基礎(chǔ)設(shè)施識別指南,這顯然會(huì)從各行業(yè)的角度來更加明確關(guān)鍵信息基礎(chǔ)設(shè)施的涵蓋范圍。有報(bào)告指出相關(guān)政府機(jī)關(guān)已將數(shù)百家企業(yè)認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者,當(dāng)中大部分為中國國有企業(yè)。相關(guān)政府機(jī)關(guān)已通知這些國有企業(yè)其已被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者并告知其應(yīng)當(dāng)遵守的相關(guān)合規(guī)要求。一旦相關(guān)政府機(jī)關(guān)公布關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者初步名單和關(guān)鍵信息基礎(chǔ)設(shè)施識別指南,企業(yè)可望于近期內(nèi)進(jìn)一步明確對關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定準(zhǔn)則。
關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)遵循更嚴(yán)格的相關(guān)數(shù)據(jù)要求
根據(jù)《網(wǎng)絡(luò)安全法》,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)當(dāng)履行更嚴(yán)格的網(wǎng)絡(luò)安全保護(hù)義務(wù),例如設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人、定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核,以及對重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行分類、容災(zāi)備份和備份等,其中最受關(guān)注的網(wǎng)絡(luò)安全要求是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者需遵守《網(wǎng)絡(luò)安全法》下的數(shù)據(jù)出境規(guī)定。
具體而言,《網(wǎng)絡(luò)安全法》規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和“重要數(shù)據(jù)”應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照主管部門制定的辦法進(jìn)行安全評估。除了數(shù)據(jù)出境規(guī)定外,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》還規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行維護(hù)應(yīng)當(dāng)在中國境內(nèi)實(shí)施,因業(yè)務(wù)需要確需進(jìn)行境外遠(yuǎn)程維護(hù)的,應(yīng)事先報(bào)國家行業(yè)主管或監(jiān)管部門和國務(wù)院公安部門。
隨著更多國內(nèi)和跨國企業(yè)將可能落入關(guān)鍵信息基礎(chǔ)設(shè)施(范圍仍然不斷說明)的監(jiān)管范圍,它們可能會(huì)受到這一規(guī)定所帶來的影響。因此,企業(yè)必需密切關(guān)注相關(guān)法規(guī)的發(fā)展,預(yù)先做好準(zhǔn)備,避免違規(guī)所帶來的法律后果。
個(gè)人信息保護(hù)的范圍不斷擴(kuò)大
《網(wǎng)絡(luò)安全法》及其相關(guān)法規(guī)另一個(gè)引人注目的發(fā)展在于加強(qiáng)對個(gè)人信息的保護(hù)。雖然之前多項(xiàng)法規(guī)從各個(gè)角度做出過類似的規(guī)定,但唯獨(dú)《網(wǎng)絡(luò)安全法》以其完整嚴(yán)密的結(jié)構(gòu)重申了相關(guān)規(guī)定,要求網(wǎng)絡(luò)運(yùn)營者建立健全用戶信息保護(hù)制度,以加強(qiáng)對用戶信息的保護(hù)。因此公司法律顧問及時(shí)了解和審查公司內(nèi)部是否在各方面做到依據(jù)《網(wǎng)絡(luò)安全法》的要求對用戶信息進(jìn)行保護(hù)就顯得尤為重要。
新法規(guī)強(qiáng)調(diào)網(wǎng)絡(luò)運(yùn)營者需要建立一套健全的用戶信息保護(hù)制度,凡收集、儲(chǔ)存、處理和轉(zhuǎn)移個(gè)人信息,應(yīng)明確與被收集者溝通,并在進(jìn)行上述操作前得到被收集者同意。具體而言,根據(jù)《網(wǎng)絡(luò)安全法》,網(wǎng)絡(luò)運(yùn)營者收集、使用、轉(zhuǎn)移和分享個(gè)人信息,應(yīng)當(dāng)遵循網(wǎng)絡(luò)運(yùn)營者與用戶之間的協(xié)議,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。此外,《網(wǎng)絡(luò)安全法》規(guī)定,網(wǎng)絡(luò)運(yùn)營者未經(jīng)被收集者同意,不得向他人提供個(gè)人信息。但是,經(jīng)過處理無法識別特定個(gè)人且不能復(fù)原的除外。
網(wǎng)絡(luò)運(yùn)營者成為重點(diǎn)整頓對象已經(jīng)反映在最近針對網(wǎng)絡(luò)運(yùn)營者隱私政策的執(zhí)法行動(dòng)中。最近有新聞指出,中國當(dāng)局已經(jīng)對至少十家領(lǐng)先的網(wǎng)絡(luò)服務(wù)供應(yīng)商的隱私政策進(jìn)行審查并提出意見。據(jù)報(bào)道,中國一家移動(dòng)地圖應(yīng)用運(yùn)營者將會(huì)采用以《個(gè)人信息安全規(guī)范》(該規(guī)范征求意見稿預(yù)期將會(huì)在短期內(nèi)公布)為基礎(chǔ)的新網(wǎng)絡(luò)隱私政策。此外,工業(yè)和信息化部還頒布了《移動(dòng)互聯(lián)網(wǎng)綜合標(biāo)準(zhǔn)化體系建設(shè)指南》,要求網(wǎng)絡(luò)運(yùn)營者在制定網(wǎng)絡(luò)隱私政策時(shí),內(nèi)部法律顧問應(yīng)參考其規(guī)定的 “用戶個(gè)人信息保護(hù)指南”。
由于《網(wǎng)絡(luò)安全法》可能會(huì)為企業(yè)和個(gè)人帶來刑事責(zé)任,內(nèi)部法律顧問應(yīng)審查和自我評估公司現(xiàn)行的網(wǎng)絡(luò)隱私政策與保護(hù)個(gè)人信息的基礎(chǔ)設(shè)施建設(shè),以識別潛在的違規(guī)漏洞并加以糾正。
你準(zhǔn)備好了嗎?