2019年《网络安全法》年度观察
作者:陈际红 韩璐 薛泽涵
《中华人民共和国网络安全法》(“《网络安全法》”)生效至今已逾两年,相较于中国“数据合规元年”之2018年,网络安全相关立法体系逐步完善,执法监管活动更趋活跃,企业合规措施落地工作进入重点提升阶段。在“数据为王”的ABCD时代(AI, Blockchain, Cloud, big Data),及国家强化网络安全的政策环境下,网络安全及数据合规与各行业的耦合度进一步提升,除以工信部、网信办、公安部等部门主导的APP个人信息保护执法行动、“净网行动”外,围绕人脸识别技术应用的社会高度关注、针对数据爬取行业的起底、企业上市过程中由于数据合规遭遇滑铁卢等,无不体现网络安全及数据合规问题在各领域企业合规工作中的重要性凸显。在岁末年初,我们对本年度网络安全及数据保护热点做一个全景盘点,并对下一年度的发展趋势进行展望,以期为企业数据合规工作提供参考。
一
复盘2019:立法及执法的全景观察
(一)《网络安全法》配套法规之“进阶”
《网络安全法》作为我国网络空间安全管理的框架性法律,其对网络运营者等责任主体的责任义务要求需依托具体配套法规或实施细则予以落实。相较去年,本年度配套法规的完善取得了 “进阶性”成果,也做出了不少“进阶性”尝试。
“等保2.0”制度带来“十大变化。2019年12月1日,以《GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》、《GB/T 28448-2019信息安全技术 网络安全等级保护测评要求》、《GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求》[1]三个网络安全领域的国家标准为代表的“等保2.0”制度正式生效[2],标志我国等级保护将适用全新的评估标准体系。“等保2.0”在保留五级安全等级评定标准的基础上,实现了等保对象及适用范围两个全覆盖,将云计算、移动互联、物联网、工业控制系统等新兴技术和应用场景纳入了等级保护范围,构成“安全通用要求+新型应用安全扩展要求”新体系。据此,中伦总结出“等保2.0”制度体系的“十大变化”[3]。
《密码法》的“放与管”。《中华人民共和国密码法》(“密码法”)在2019年颁布并于2020年1月1日起施行。《密码法》的制定遵循“放管服”的思路,从立法层面正式取消了商用密码产品生产单位审批、商用密码产品销售单位许可、外商投资企业使用境外密码产品审批、境外组织和个人在华使用密码产品或者含有密码技术的设备审批等,监管重点正在从“管企业”向“管产品”转变。商务部和国家密码管理局对于商用密码进出口实行清单管理制度,用于网络关键设备和网络安全专用产品的商用密码服务实行强制检测、认证制度。《密码法》的颁布有利于外资企业公平地进入市场竞争。
《个人信息安全规范》应时而变。2018年5月《GB/T 35273-2017信息安全技术个人信息安全规范》(“《个人信息安全规范》”)正式实施。在现有生效版本基础上,本年度《个人信息安全规范》经历了2月、6月、10月的三次草案/征求意见稿的修改尝试,在总结现行规范实施过程中发现的问题及经验并展开优化的同时,积极回应新技术和产业的发展,对大数据时代的个性化展示、数据汇聚融合、SDK/插件管理等新型应用场景如何规范个人信息的收集和使用提出了新的尝试。《个人信息安全规范》不是法,但在个人信息保护和数据安全立法缺位的情况下,其起到了“准法源”的作用。
数据出境监管的新思路。本年度《个人信息出境安全评估办法(征求意见稿)》[4]的发布,试图打造中国版的SCC(标准合同条款)机制,并修正了2017年《个人信息和重要数据出境安全评估办法(征求意见稿)》[5]的立法思路。由于个人信息及重要数据所保护的法益不同,理应遵循不同的监管思路,目前的立法模式正逐步理顺这种分开管理的监管框架,以出境安全评估为抓手进行管理。需要进一步讲,对于个人信息出境的监管,需要考虑数据主体权利保护和经济效率的平衡,“一刀切”地要求所有出境数据进行安全评估和向网信部门申报评估并非平衡之道。
儿童个人信息保护再加强。本年度实施的《儿童个人信息网络保护规定》,辅之以8月初教育部等八部门联合发布的《关于引导规范教育移动互联网应用有序健康发展的意见》,对面向未成年人尤其是在校学生提供产品或服务过程中收集其个人信息的运营者进行明确的行为约束及规范。
CII网络安全保护制度即将落地。目前《关键信息基础设施安全保护条例(征求意见稿)》尚未落地,CII的识别标准和适用范围有待确定。本年度《网络安全审查办法(征求意见稿)》[6]的发布,表明国家重点关注并规范关键信息基础设施运营者(CIIO)采购网络产品和服务时的审查需要、审查流程、审查因素等。
地方先行先试的数据安全管理。网信办于5月发布《数据安全管理办法(征求意见稿)》,在个人信息保护部分,吸收了近年来广泛适用的《个人信息安全规范》中的若干规定,于法规层面上明确了网络运营者的合规要求及主管部门的监管态度,同时提出了收集个人敏感信息备案制的新要求;在重要数据保护部分,进一步明确了重要数据的性质,提出了收集重要数据的备案制以及向第三方提供重要数据的批准制的新要求。需要注意的是,天津市在6月份制定出台了《天津市数据安全管理办法(暂行)》,对数据备案、数据采集、数据传输、数据存储、数据使用、数据发布、数据共享、数据销毁、数据服务外包及信息通报与应急处置工作等作出了明确规定。
(二)网安行政执法之“迭起”
今年以来,App个人信息保护问题始终是各行业监管的重点关注对象。年初[7]中央网信办、工业和信息化部、公安部、市场监管总局四部委在《关于开展App违法违规收集使用个人信息专项治理的公告》中明确提出,自今年1-12月内全国范围将组织开展App违法违规收集使用个人信息专项治理行动。在此基调下,相应立法及执法行动频频,包括成立App专项治理工作组,发布《App违法违规收集使用个人信息自评估指南》等[8],“3.15晚会”上曝光典型案例,向用户量大且问题严重的App的运营者发送整改通知等。今年11月份以来,由工信部主导的“App用户权益执法行动”[9],可视为全年度App执法检查工作的“年度大考”。
公安机关不断加强网络安全执法监督工作。年中公安部部署了本年度网络安全执法检查工作,以国家关键信息基础设施、重要信息系统和大数据等相关应用系统为重点检查对象,组织网络安全技术检测和现场检查工作。同时,“净网2019”行动持续开展,各地网警支队陆续公布了行政执法案例,为企业网安合规工作划定实务“红线”。
各行业陆续开展内部审查及自律自管行动。中国人民银行、中国互联网协会、国家计算机病毒应急处理中心、各地消费者权益保护协会等行业单位及部门,陆续开展内部网络安全自查、自律等行动,从行业内部引导相应企业落实《网络安全法》的要求。
(三)数据爬取业务之刑事“红线”
今年9月以来,公安部门加强对涉足互联网金融行业的大数据服务公司在网络安全及数据合规领域的执法力度。9月6日,摩羯科技、新颜科技两家数据服务提供商均面临警方调查,部分高管人员被要求协助调查,其他部分知名风控数据提供商也主动或被动停止了相应的数据提供服务。根据现有公开资料显示,尽管这类公司遭遇调查的主要原因系数据爬虫技术的使用边界问题,但数据爬虫背后连带的数据源合规、用户授权获取、合法对外提供个人金融信息、数据库维护、各环节员工的数据访问权限等常见的数据合规处理问题,因缺乏人员数据合规意识及技能培训,缺乏内部管理制度和技术保障措施导致公司数据库污染或非法对外提供个人信息导致法律风险,甚至可能牵涉个人信息非法采集及提供等刑事“红线”,值得社会各界的高度关注,尤其是同样涉及大量数据获取、开发、分析、共享的企业的重视。
(四)行业标准及指南构建之合规“引路”
完善企业网络安全技术措施指引。2019年4月10日,公安部网络安全保卫局发布《互联网个人信息安全保护指南》。与《个人信息安全规范》相比,该指引加强了数据安全实现中技术措施的要求,并与等级保护制度的技术要求相结合,为企业数据合规工作提供更加全面的指引。
加强移动互联网引用程序(App)安全认证及合规管理指引。如今App成为网络运营者收集处理用户个人信息的主要渠道,相应行业单位及部门也以App为抓手展开合规指引工作。今年3月份国家认证认可监督管理委员会发布的《移动互联网应用程序(App)安全认证实施细则》、全国信息安全标准化技术委员会于5月份发布的《网络安全实践指南-移动互联网应用业务功能个人信息收集必要性规范》、国家标准化委员会于10月份发布的《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范》(草案)等,共同组成了App安全认证及数据合规管理指引体系基础。
尽管这一系列标准或指引并非强制性国家标准,但其为企业提供了落实数据保护工作的行业良好实践规范(Good Practice)。采取上述标准或指引的推荐性措施,有助于企业落实法律法规的各项要求,亦有利于企业平衡数据处理活动的商业需求与数据保护的合规义务。
二
展望:2020年国内立法发展及企业应对策略
在2020年,我们预计:
立法成果化:2019年度诞生的网络安全及数据合规领域的诸多“草案”及“征求意见稿”,预示着2020年将是本领域法律、行政法规成果“井喷”的一年。其中,已纳入十三届全国人大常委会立法规划的《数据安全法》、《个人信息保护法》,连同高度关注的《数据安全管理办法》及《个人信息出境安全评估办法》等配套法规的最终出台值得期待。
标准支撑完善化:有关数据出境安全评估、CII识别及安全保护、重要数据识别等一系列配套标准可能最终落地,为企业提供可操作性的合规指引。
隐私保护常态化:个人信息保护工作将从今年的阶段性执法运动的形式,逐步转化为日常常态化监管模式;对于隐私政策/通知等用户授权机制的审查要求,也将从“有无”进一步深入为“详略”的细化要求,切实评估各项功能涉及的个人信息处理活动的保护机制,切实维护个人信息主体权益。
跨境监管核心化:有关个人信息和重要数据出境的监管要求有望于明年落地,对于跨国企业而言,构建合规的全球IT架构,设计合法的数据本地化和跨境传输方案,将成为跨国企业合规工作的重中之重。
行业监管体系化:各个行业主管部门,尤其是金融、医疗健康、电子商务等数据敏感行业,将进一步完善行业内的网络安全和数据保护实施细则的立法和执法工作。
数据管理科学化:为应对商业发展需求,企业将从被动应对监管逐步转变为主动开展数据合规管理,启动数据资产管理战略,全盘化、体系化、科学化展开内部数据合规管理体系及外化合规成果建设工作。
三
结语
为帮助企业理解中国复杂的法律环境,寻求适当的合规路径,降低法律风险,中伦专业团队结合在网络安全和数据保护领域的广泛实践,发布了一系列网络安全和数据保护的回顾和总结文章,希望对企业的合规工作有所帮助。
[注]
[1] 2019年5月13日,国家市场监督管理总局、国家标准化管理委员会发布。
[2] 等保1.0以1994年发布并于2011年修订的《中华人民共和国计算机系统安全保护条例》 为开端,广泛应用于各行业指导企业开展信息系统安全等级保护的建设整改、等级测评等工作。2017年6月1日正式实施的《中华人民共和国网络安全法》规定“国家实行网络安全等级保护制度” ,明确了网络安全等级保护制度的法律地位,也拉开了等保2.0的序幕。相应地,2018年公安部发布《网络安全等级保护条例(征求意见稿)》,深入推进实施网络安全等级保护制度。而《等保基本要求》等三个国家标准结合云计算、移动互联、物联网、工业控制和大数据等新技术新应用开展综合治理、系统监管、主动防控的等保2.0时代。
[3] 参见评论文章《等保2.0国家标准颁布,看十大主要变化》
[4] 国家互联网信息办公室于2019年6月13日发布
[5] 国家互联网信息办公室于2017年4月11日发布
[6] 国家互联网信息办公室于2019年5月24日发布
[7] 中央网信办、工业和信息化部、公安部、市场监管总局四部委于2019年1月25日发布
[8] 包括《App违法违规收集使用个人信息自评估指南》、《App违法违规收集使用个人信息行为认定办法(征求意见稿)》及《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(草案)》。其中,国家互联网信息办公室、工业和信息化部、公安部、市场监管总局于2019年12月30日正式发布《App违法违规收集使用个人信息行为认定办法》。
[9] 2019年11月4日,工业和信息化部发布《关于开展App侵害用户权益专项整治工作的通知》 ,即日起面向App服务提供者和App分发服务提供者,就App违规处理个人信息、过度索权、为用户账号注销设置障碍等八类侵害用户权益的突出问题,由工信部及地方通信管理局主导开展信息通信领域为期两个月的App专项整治行动。
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
韩璐 律师
北京办公室 知识产权部
薛泽涵
北京办公室 知识产权部
作者往期文章推荐:
《他山之石:EDPB《关于GDPR第25条设计和默认的数据保护指南》解读(下)》
《他山之石:EDPB《关于GDPR第25条设计和默认的数据保护指南》解读(上)》
《打造中国版的SCC | <个人信息出境安全评估办法(征求意见稿)>评析》
《国家安全更聚焦 |《网络安全审查办法(征求意见稿)》出新招》
《儿童个人信息保护新规出台,与COPPA的明示同意区别有哪些?》
《小数据安全法出台 |《数据安全管理办法(征求意见稿)》解析》
《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》
《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》
《实施半年后再修订:《信息安全技术个人信息安全规范》应时而变》
《致敬数据合规元年 | 表析《网络安全法》配套法律法规和规范性文件》
《致敬数据合规元年 | 2018《网络安全法》执法案件大盘点》
《他山之石 | 从全球数据跨境流动监管政策看我国相关制度发展》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。