盘点2018 | 致敬数据合规元年，网络安全年度法律评论 | 自由微信

盘点2018 | 致敬数据合规元年，网络安全年度法律评论

Original 陈际红等中伦视界 2020-09-01

前言

《网络安全法》于2017年6月1日实施，业界称2018年为中国“数据合规元年”。在这一年中，网络安全和数据保护始终位于法律人和数据从业者的关注焦点。我们已经跨入ABC时代（AI，Big Data和Cloud Computing），数据资产构成企业的核心资产，数据的应用能力决定企业的市场竞争力，而网络安全和数据安全关乎企业的声誉、价值甚至于生存。Facebook数据泄露事件刚趋于平静，最近又爆出万豪国际酒店顾客数据库泄露事件，而其正面临集体诉讼和高达125亿美元的索赔。在2019年初，我们觉得有必要审视一下网络安全和数据保护的法律环境，并对未来的立法趋势作一展望，这对企业的数据合规具有参考意义。

一、配套法规千呼万唤不出来

《网络安全法》作为我国网络空间安全管理的基本法律，是一部框架性法律，对网络安全进行了若干制度设计，而许多制度的落地实施需要配套法规或实施细则的支撑，截至目前，有一些重要制度的配套法规制定工作进展却不尽如人意。

《网络安全法》对关键信息基础设施运营者数据本地化存储及跨境传输的安全义务进行了原则性规定。2017年4月份开始到今年年底，国家互联网信息办公室（“国家网信办”）一直在进行中国跨境数据传输管理方案的制度构建工作，进行若干次的《个人信息和重要数据出境安全评估办法（草案）》征求意见，全国信息安全标准化技术委员会（“信安标委”）也在同步推进《数据出境安全评估指南》的制定工作。鉴于兹事体大，争议问题较多也比较大，我国数据跨境流动的监管制度仍是雾里探花、只见端倪。概括讲，主要的争议点包括：要不要对网络运营者设定数据本地化存储的一般性义务；对于数据出境的安全评估，是否应当从关键信息基础设施的运营者扩大到一般的网络运营者；对于数据出境的合法场景，安全评估制度是否过于单一，要不要借鉴GDPR的认证或充分保护等制度设计；监管机构安全评估的程序如何设定；重要数据的范围如何准确界定等。

在关键信息基础设施安全保护制度方面，随着国家网信办和公安部牵头的《关键信息基础设施安全保护条例》、信安标委制定的《关键信息基础设施安全检查评估指南》等征求意见稿的公布，关键信息基础设施运营者的安全保护义务将得以进一步明确，但是关键信息基础设施的范围、认定程序依旧有待进一步厘清。有消息称，《关键信息基础设施安全保护条例》“正处于走程序的阶段”，即将公布实施。

公安部牵头制定的《网络安全等级保护条例（征求意见稿）》，俗称“等保2.0”，也几近完成，预计近期会正式发布。

在十三届全国人大常委会今年9月份公布的立法规划中，将《个人信息保护法》和《数据安全法》列入第一类项目，即，全国人大认为这两部法律的立法条件比较成熟，在本届任期内拟提请审议。

二、网安行政执法仍是“九龙治水”

全国人大常委会2017年 “一法一决定”执法检查报告认为，《网络安全法》执法中“九龙治水”的局面仍然存在。依照法律规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作，国务院电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作。事实上，几个行政执法主体间存在着权责不清、交叉执法的问题。根据已有案例统计，虽然三个主要执法部门存在执法重叠问题，但仍有侧重，比如，公安部门执法主要领域是网络安全运行管理制度、网络安全等级保护制度和个人信息违法行为；网信部门主要侧重于网络内容监管和网络实名制落实；工信部门重点的执法对象是电信和互联网持牌企业的网络安全保护。

2018年，主要执法部门的行政执法依然活跃。《公安机关互联网安全监督检查规定》于2018年11月1日正式实施，我们预计，未来公安部门的网络安全执法检查工作将会制度化和常态化。

2018年9月，第二次隐私条款评审专项工作启动，以信安标委主导的专家工作组对40款网络产品和服务的隐私条款进行了评审。今年的专项工作较去年相比，评审对象数量明显增多，首次按产品类别进行评审，专家评审从面对面转变为背靠背，评审要点也更加细化完善。

三、刑事风险如达摩克利斯之剑

2015年11月，《刑法修正案（九）》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”，扩大了犯罪主体和侵犯个人信息行为的范围。于2017年6月1日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（“两高解释”）明确了侵犯公民个人信息罪的具体定罪量刑标准，刑事打击侵害公民个人信息行为的力度更大。2018年11月，最高人民检察院印发了《检察机关办理侵犯公民个人信息案件指引》，明确了检察机关在办理个人信息刑事案件的诸多实务问题。

鉴于中国的大数据产业普遍具有“原罪”，两高解释发布之后，大数据产业风声鹤唳，经常会听闻某某数据公司高管被抓的消息，数据堂案件就是一个鲜活的案例。据统计，2016年中国检察机关起诉侵犯公民个人信息犯罪1029人，2017年起诉4407人，2018年1-9月起诉3283人，呈明显增长趋势。

企业的数据刑事风险并非与大企业绝缘。一个声誉良好的大企业，一旦出现管理体制上的漏洞，也有可能陷入刑事的陷阱。企业的数据刑事风险主要来源于以下方面：一是内部管理出现问题，员工通过黑色渠道购买数据，从而对企业的数据资源形成污染；二是企业对数据资产管理不严，员工会将企业的数据资产进行非法交易；三是不能把握好技术应用的边界，比如通过技术手段实施网站攻击、撞库、利用钓鱼网站、木马、免费WIFI、恶意APP等“技术类”窃取个人信息等。

对于企业来讲，刑事风险是不能承受之重，一定要在企业合规体系中对此划出红色界限。

四、域外立法对中国企业影响不容忽视

中国一直是经济全球化的践行者和受益者，中国企业与域外的关联因素已经非常广泛。考虑到全球各国的数据立法此起彼伏，且很多具有域外管辖的长臂效果，中国经济在走出去的过程中，不得不密切关注域外数据立法对企业的影响。

《欧盟数据保护通用条例》（General Data Protection Regulation，GDPR）于2018年5月25日正式实施，其对中国企业的影响程度超过原来的想象，概因：一是其扩张型的域外适用效力，众多中国企业会落入GDPR的适用范围之内；二是其规定了苛刻的法律责任，违反 GDPR 规定，可能会导致2千万欧元或者企业全球营业额4%的处罚。GDPR生效伊始，其具体适用细节和执法力度仍待观察，但对于企业，却不能暴露于因合规不足而面临巨额处罚的风险中。

2018年3月，美国CLOUD Act生效，该法案采取了“数据控制者”标准，打破了原有的“服务器标准”，扩张了美国执法机构调取不在美国境内存储数据的范围，增强了美国执法机构全球获取数据的能力。2018年8月特朗普总统签署生效的《外国投资风险审查现代化法案》，增强了对外国投资的审查力度， CFIUS对于涉及网络安全、大数据及个人隐私、金融业及影响美国科技领先地位的交易会加强审查。

“一带一路”沿线的很多国家，都已经或正在制定数据保护法律。比如，根据俄罗斯法律，互联网信息传播组织者、运营商都需要对数据进行本地化存储和处理，对于数据出境，俄罗斯要求数据接收国家必须拥有同等的保护水平，否则必须具备数据主体的书面同意、履行合同必要等法定事由才可以进行。

中国企业在国际化进程中，要综合考虑不同国家/区域的网络安全和数据保护法律制度，以设计有效的全球IT设施架构，构建合法的全球数据处理机制。

五、标准与指南-指引企业数据合规

信安标委在2017年和2018年制定了一系列以信息安全技术为规范对象的国家推荐性标准。其中，大部分处于征求意见稿阶段，有部分已正式生效，或者正式发布待实施。

2018年11月30日，公安部网络安全保卫局发布《互联网个人信息安全保护指引（征求意见稿）》，面向社会征求意见。与《个人信息安全规范》相比，该指引加强了数据安全实现中技术措施的要求，并与等级保护制度的技术要求相结合。企业良好的数据合规体系，无外乎是技术措施和组织措施的有效结合，《个人信息安全规范》侧重于企业数据合规的法律指引，《互联网个人信息安全保护指引（征求意见稿）》加强了技术措施的指引，两者结合起来，可以构成企业数据合规工作的更加全面的指引。

这一系列标准或指引非为强制性国家标准，不是各企业实施数据合规的唯一途径，监管部门也不能以此作为直接的法律依据进行行政执法。但考虑到《网络安全法》属于框架性立法，很多法律要求并不十分明确，此类标准和指引对于企业合规和执法管理的指引性和参照性作用十分明显。总体而言，其为企业提供了落实数据保护工作的一个良好法律实践范例（Good Practice）。遵守并落实规范或指引的各项要求，可以确保企业符合法律法规的各项要求，也有利于企业在法律允许的范畴内开展各项数据业务。

六、核心是合规

以《网络安全法》为基础，我国建立了多项新的网络安全法律制度，对企业设定了系统的法律义务，主要包括：