网络安全与数据保护2021年度法律观察
作者:陈际红
2021年,我国在网络安全和数据保护领域的立法仍然高歌猛进,可谓立法的“大年”。随着11月1日《个人信息保护法》的生效,我国网络空间监管的立法框架基本尘埃落定,随之而来的配套法规和规范性文件的制定将成为重点。而面对丰硕的立法成果,企业的压力在于如何尽快认知、识别风险和确保合规落地。一如往年,在进入2022年之际,我们仍然以一篇年度法律观察奉献给同仁,一孔之见,期待为企业数据合规工作带来一些启示和指引。
一
立法观察:“三驾马车”架构下逐渐完善的法律体系
《个人信息保护法》于2021年11月1日正式实施,从个人信息处理的基本原则、合法性基础、主体权利到处理者系列法律义务等方面,确立了与欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)基本相当的保护水准。从颁布到正式实施,虽仅有两个多月的时间,但给企业的合规落地带来了不小的压力。与GDPR相比,《个人信息保护法》的处罚手段更为丰富,除了同样的高额罚款之外,还包括停业整顿、吊销执照等行政处罚措施,亦可以对直接责任人员施以罚款及一定期间的职业禁入的处罚。尽管如此,《个人信息保护法》的最终实施水平还取决于未来配套法规对模糊法律条文的明晰、执法和司法裁判的指引,以及企业合规工作中的实践。
我们认为,在《个人信息保护法》下,企业未来将面临五大合规风险:
五大合规风险 | |
(一)常态化的行政执法 | 多重的执法机构可能会利用法律设定的多元化执法手段和执法工具“竞争性执法”。 |
(二)民事诉讼 | 《个人信息保护法》确立了侵害个人信息权益的过错推定责任,减轻数据主体举证责任,加大处理者自证清白的责任,非常可能会有效激活个人信息保护的民事路径。 |
(三)公益诉讼 | 对于侵害众多个人权益的案件,检察院、消费者组织等得以提起公益诉讼,考虑到公益诉讼所追求的社会效果,平台性互联网企业或许会成为公益诉讼的主要目标。 |
(四)高管责任 | 这也是为何企业任命数据保护官(“DPO”)是一项严肃和必要的工作。 |
(五)刑事风险 | 自2009年《刑法修正案(七)》增加了侵犯公民个人信息罪后,与个人信息有关的犯罪案件就呈现逐年增加的趋势。 |
《数据安全法》于2021年9月1日正式实施。作为“数据安全领域的基础性法律”,《数据安全法》重点关注数据安全保障制度方面的建设,此类制度建设看似多为自上而下的“顶层设计”与“制度构建”,然而其背后却蕴含着企业数据处理活动中应遵守的法律义务。尤其是,《数据安全法》确立了数据分类分级的基本制度,设立了数据安全审查制度,并且较为全面地构建了我国数据跨境流动的监管制度。
“三驾马车”架构。与2017年6月1日生效的《网络安全法》一起,上述三部基础性法律共同构成了我国网络空间监管的“三驾马车”。三部法律没有主次之分,都应当是企业在合规实施中对标的法律基准,只不过根据企业的业务类型不同,三部法律适用的紧密程度有所不同。如果要对各自的监管重点范围做一个划分,《网络安全法》侧重于网络安全等级保护制度、网络关键设备和网络安全专用产品检测与认证体系、关基保护、网络安全审查、信息网络内容安全及网络安全监测预警和信息通报制度等;《数据安全法》则主要监管数据处理活动,包括数据分类分级保护制度、重要数据和国家核心数据管理、数据安全风险预警及应急处置机制、数据安全审查制度和数据跨境流动监管等;《个人信息保护法》规定了个人信息的保护,包括个人信息范围的界定、个人信息处理基本原则及具体规则、个人信息跨境流动规则、个人信息主体权利及保护、处理者的安全义务等。
《网络数据安全管理条例》。2021年11月14日,国家互联网信息办公室公布《网络数据安全管理条例(征求意见稿)》(以下简称“《数安条例》”)。《数安条例》以 “三驾马车”作为上位法,内容庞大,既有对“三驾马车”中重要但又落地细节不足条款的细化和补充,也增设了一些新的制度体系。因《数安条例》具有较大的立法空间,未来可能成为“三驾马车”框架制度体系下具体实施规则的决定者,该条例的发布引起了社会的极大关注,也引发了学者和业界专家的广泛争议,学者和业界专家亦对某些监管机制的合理性和平衡性提出了意见。
网络安全审查制度的修订。网络安全审查制度是国家安全审查制度的一部分,在2017年《网络安全法》生效的伊始,我国就颁布了《网络产品和服务安全审查办法(试行)》(以下简称“《审查办法》”)。2020年6月1日,新生效的《网络安全审查办法》取代该《审查办法》。某知名互联网出行企业在外国上市引发网络安全审查是今年广受关注的一个事件,该事件源于监管部门对跨境资本市场活动所带来的数据安全问题的担忧。今年的7月10日,国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》,并公开征求意见。此次修订,首先是增加《数据安全法》为立法依据,为监管数据处理活动提供了直接的法律依据;其次,征求意见稿扩大了网络安全审查的适用,将数据处理活动纳入到网络安全审查的范围,将网络安全审查的义务主体涵盖到数据处理者;第三,明确掌握超过100万用户个人信息的数据处理者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
数据出境安全评估与标准合同条款。网信办于10月29日发布《数据出境安全评估办法(征求意见稿)》,并公开征求意见。同时,关于《个人信息出境标准合同规定》也正密集地在内部征求意见。数据出境涉及国家安全和重大公共利益,是数据监管的最重要的环节之一。目前,这两个法律文件可谓箭在弦上,随时待发。
除了以上的立法之外,备受瞩目的《关键信息基础设施安全保护条例》于9月1月正式实施,与《网络安全法》一起构建了国家关键信息基础设施安全保护体系的顶层设计。此外,网信办等五部门联合发布的《汽车数据安全管理若干规定(试行)》自 2021年10月1日起施行,开启了我国汽车数据安全强监管时代。
在地方立法方面,《上海市数据条例》和《深圳经济特区数据条例》分别将于2022年1月1日实施。
二
执法观察:从行政执法迈向多元治理模式
APP专项治理。自2019年开展App违法违规收集使用个人信息专项治理行动以来,App个人信息保护行动不断深化持续至今。今年以来,由网信办等四部门联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》于2021年5月1日正式施行,为判断必要个人信息的范围设定了明确的边界。网信办、工信部和公安部聚焦超范围收集、未经同意收集使用、未提供撤回同意选项等侵犯用户权益的痛点问题,累计通报了逾千款App。在未来监管要求和趋势方面,一是治理内容精细化,监管重点将主要集中在“超范围收集与功能无关个人信息”、“强制或频繁索要无关权限”、“无法注销”、“SDK治理”等更加细致具体的问题上;二是落实应用分发平台责任,应用分发平台应当落实平台内App信息公示责任、平台管理责任;三是不断提高技术检测手段;四是发挥舆论监督治理作用,督促企业强化自律。
司法解释出台。2021年8月1日,最高人民法院制定的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称“《规定》”)实施。人脸识别是人工智能技术的重要应用,在为社会生活带来便利的同时,其所带来的敏感个人信息保护问题也日益凸显。“人脸识别第一案”中强制顾客激活人脸识别系统,体现出人脸识别技术广泛应用与个人信息保护的矛盾日益尖锐。我国过去长期以行政监管和刑事惩戒作为个人信息保护的主要规制手段,基于民事司法裁判的规制不清晰、原告举证责任难以实现等原因,以民事途径维护个人信息权益的司法实践并不顺畅。《规定》的实施,结合《个人信息保护法》确立的侵害个人信息权益的过错推定责任模式,将激活有关人脸识别个人信息保护案件的民事司法保护途径。
公益诉讼。在《个人信息保护法》颁布的第二天,即8月21日,最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,要求检察院切实加大办案力度,推动公益诉讼条款落地落实,形成个人信息保护多元共治新格局。此举措是对《个人信息保护法》第七十条之公益诉讼条款的有力支撑。事实上,个人信息保护作为检察公益诉讼新领域之一,在最高人民检察院2020年9月出台的《关于积极稳妥拓展公益诉讼案件范围的指导意见》中,已经将个人信息保护作为网络侵害领域的办案重点。
刑事保护。《刑法修正案(九)》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,扩大了犯罪主体和侵犯个人信息行为的范围。2017年,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》发布。考虑个人信息犯罪较低的入刑门槛,刑事风险的防范一直是企业数据合规工作的底线。据最高人民法院统计,2017年6月至2021年6月,全国法院新收侵犯公民个人信息刑事案件10059件,审结9743件,生效判决人数21726人,对3803名被告人判处三年以上有期徒刑,比例达17.50%。
三
热点扫描:数据治理的焦点
境外上市之网络安全审查。今年某知名互联网出行企业在国外上市引发的网络安全审查,使得网络安全审查制度成为社会关注的焦点。对于资本市场从业者而言,最关注的莫过于境外上市所引发的网络安全审查,要想境外上市,先过网络安全这一关。对比《审查办法》和《数安条例》,我们得出以下的观察:一是《数安条例》和《审查办法》都采用了“一百万”作为申报标准,最终稿采用百万人作为申报门槛似乎是大概率事件;二是赴国外上市与赴港上市监管条件不同。相较于对国外上市所采取的一刀切的量化标准,赴港上市的网络安全审查采取是风险导向的标准,只有确实存在影响或可能影响国家安全的风险,才会触发网络安全审查,这个监管尺度显然要比国外上市宽松许多。上述出行企业决定从美国退市到香港上市,也印证了监管部门对两地市场不同的风险判断;三是《数安条例》通过使用“处理”和“数据处理者”等概念明确了网络安全审查的适用范围。
平台算法治理。8月27日,网信办发布《互联网信息服务算法推荐管理规定(征求意见稿)》,并公开征求意见,这是我国第一部专门规制算法应用的立法,甚至在世界范围内也尚属首例。9月17日,网信办等九部委联合发布《关于加强互联网信息服务算法综合治理的指导意见》,要求利用三年左右时间,逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局。最近的一系列有关算法治理的立法和监管行动,预示着中国对网络空间的治理已经逐步从数据治理迈向了算法治理。事实上,企业的算法治理和数据治理密不可分,或者说一个良好的数据治理体系是开展算法治理的基础。
汽车数据进入强监管时代。2021年10月1日,《汽车数据安全管理若干规定(试行)》(以下简称“《若干规定》”)施行。《若干规定》作为我国首个汽车行业数据安全方面的部门规章,开启了我国汽车数据强监管时代。临近年底,上海市、广东省、天津市、河北省等多省市网信办依据《汽车数据安全管理若干规定(试行)》第十三条规定,要求汽车数据处理者开展2021年度汽车数据安全管理情况报送工作,预示着《若干规定》实实在在地落地实施。
汽车全产业链涵盖交通、公共服务、工业制造等行业,智能网联汽车配备了各种网络系统,处理大量的数据,随着智能网联汽车保有量的增大,与国家安全、公共利益和个人利益关系愈发密切。近期有关智能网联汽车的产业政策或监管政策正密集发布,2021年3月23日,深圳市人大常委会发布《深圳经济特区智能网联汽车管理条例(征求意见稿)》,进一步放宽智能网联汽车道路测试和示范应用相关条件。2021年3月24日,公安部发布《道路交通安全法(修订建议稿)》,首次尝试在法律层面明确具有自动驾驶功能的汽车进行道路测试和通行的相关要求,并对自动驾驶车辆违法行为和事故责任分担进行了规定;尽管于4月正式通过的《道路交通安全法》修正案暂未采纳前述修订,但这也体现了我国监管部门将自动驾驶纳入法律监管的意图。2021年4月7日,工信部发布《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿),针对申请准入的具备有条件自动驾驶、高度自动驾驶功能的智能网联汽车生产企业及其产品,规定了一系列安全保障能力要求、产品必备功能及准入测试要求。此外,信安标委于2021年10月8日发布《汽车采集数据处理安全指南》,明确了对汽车采集数据开展传输、存储和出境等处理活动的安全要求。
隐私计算。2021年一个广受关注的技术话题是隐私计算的发展和应用。2020年4月9日,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》首次将数据作为新型生产要素。数据要素化要求数据的流动和交换,从而实现数据的生产价值。而制约数据交换和流动的主要因素包括隐私保护、数据权属的不清晰等。隐私计算是指在保证数据提供方不泄露原始数据的前提下,对数据进行分析计算的一系列信息技术,从而实现数据在流通与融合过程中的“可用不可见”。业界对隐私计算破解数据流动难题寄予厚望,比如,于今年3月成立的北京国际大数据交易有限公司,宣称是国内首家基于“数据可用不可见,用途可控可计量”新型交易范式的数据交易所。我们认为,隐私计算不是万能的灵丹妙药,可能只能解决一部分数据保护问题,隐私计算的输出仍有可能构成个人信息。隐私计算技术加法律上的数据合规方案,才是完整的解决路径。
四
合规落地:由表及里,逐步推进
企业以“三驾马车”作为法律基准,搭建全面的数据合规体系是个具有挑战的任务。一方面,诸多的配套法律尚未制定,监管执法尺度亦不清晰,法律对于合规落地的指引性尚不充分;另一方面,业界在诸多层面缺乏成熟的良好实践,能参照的经验不多,比如如何有效地获得“单独同意”;再则是源于时间的紧迫,并受制于企业资源的投入。基于此,我们建议企业可以从宏观策略和实际落地两大方向出发,由表及里,逐步推进企业数据合规建设:
首先企业要制定可行的数据合规策略。企业数据合规策略一定是根据企业数据处理活动的敏感程度、可投入资源,基于合规措施与风险相适应的原则量身而制。在合规实施上,可以采用“由表及里,逐步推进”的方式。从宏观策略上来看,先设定一个“quick win”的阶段目标,集中解决外部网络产品等易受用户投诉及监管关注的高风险场景的合规,完成隐私政策修改和设置、畅通数据主体行权渠道、完成与第三方商业伙伴的数据处理协议等。在此基础上,企业再进入全面合规体系的构建阶段,构建层次化(自上而下管理,自下而上落实)、全面化(覆盖数据全生命周期)和重点化(重点环节、重点领域、重点管控)的数据合规管理体系。
其次是设置数据合规管理机构。徒法不足以自行,企业无岗位和职责设定,所有的合规都是纸上谈兵。法律上讲,《数据安全法》规定了重要数据处理者的数据安全负责人,《网络安全法》规定了网络安全负责人,《个人信息保护法》规定了个人信息保护负责人,这些法定义务要求企业予以遵照实施。除了依法设立的基本岗位外,对于很多互联网平台企业及其它数据处理活动比较密集的企业,还会成立企业的隐私保护/数据合规委员会。通常而言,隐私保护/数据合规委员会采用跨部门协同的方式,负责数据合规相关的重要战略制定、跨部门问题的决策,确保数据保护纳入公司战略。在执行层面,法务、合规、安全、技术和产品等不同的角色根据职能承担不同的数据保护任务。
从实操层面来看,我们认为以下几个关键环节需引起企业的特别重视:
(1)风险识别。风险识别的前提是全面梳理数据处理活动,盘点数据资产,建立企业的数据清单和数据流转图。在此基础上,对重点业务场景进行合规差距分析、识别风险,并对风险进行分级,在此基础上制定合规整改的优先顺序和实施路径。
(2)制度体系构建。对于覆盖数据全生命周期的合规制度建设,三部基本法都有规定。数据保护合规规则体系分三层次构建:第一层次为政策,作为公司关于数据保护合规的纲领性文件,将在其中明确整体战略目标、基本路径、职责划分等内容;第二层次为手册,作为整体政策与具体规范的串联,是可供员工在具体业务场景下实际操作的指南与工具,将覆盖典型业务场景及普通员工的日常活动场景;第三层次为具体规范文本,作为具体的制度、流程及表单、模板库,是合规工作开展的具体依据。
(3)数据本地化与数据跨境路径。对于国际化经营的企业而言,数据本地化及跨境传输的路径选择是其面临的一个比较亟迫且棘手的问题。数据本地化存储,意味着资源的投入、IT架构的重新设定和业务流程的变化。一般而言,在考虑数据本地化必要性方面,要综合考虑业务的类型(2C还是2B)、处理数据的量(是否超过网信办的标准)、服务客户的类型(是否有CIIO客户),以及处理数据的性质(是否包含重要数据或受特定监管的数据)后加以确定。
(4)开展个人信息影响评估及个人信息保护合规审计。开展个人信息安全影响评估(以下简称“PIA”)的目的是检验数据处理活动的合法合规程度、发现潜在风险并判断风险程度。PIA 首先是一项法定的合规义务,在《个人信息保护法》和《儿童个人信息网络保护规定》等规定中都有明确的要求;其次,PIA 是一种普遍适用的数据处理活动风险评估方法论,可以作为一个有效的数据合规工具。除PIA外,另外一个重要的合规机制则是合规审计,审计工作是对数据合规工作的一种审视和监督,以发现数据保护工作中的疏漏和差距,对此《个人信息保护法》亦有明确要求。关于推进审计工作的重点和方法,可以参照中国信息通信研究院最近牵头编写的《关于推进个人信息保护合规审计的若干建议》。据此,我们建议PIA和合规审计应当成为企业数据合规体系中的基础性制度。
(5)信息安全事件应急机制。一旦发生数据泄露事件,就可能演化成一场企业的危机,对此,企业要有应急预案。应急预案至少要包括风险识别和锁定、应急处理机制、报告和通知机制以及公关应对机制等,并定期进行演练活动。对于国际公司而言,数据事件往往涉及不同法域,处理难度更大,因此需提前建立起能覆盖各法域、应对各类安全事件的法律资源网作为有效支撑。
(6)树立合规标杆。数据合规意味着资源的投入,合规同时也是价值的创造。通过数据合规项目,企业可以有效地避免法律风险,也可以申请数据保护相关认证,树立合规标杆,打造合规品牌。
五
趋势研判:密集的配套法规及标杆性的执法案件
在2022年,我们预计:
三部大法的配套法规会密集出台。据报道,目前网信办正在抓紧制定各项配套法规规章,包括《网络数据安全管理条例》《数据出境安全评估办法》《个人信息出境标准合同规定》《人脸识别技术应用安全管理暂行规定》,以及数据安全、个人信息保护的合规审计制度和相关标准规范。另外,我们预计《网络安全审查办法》的修订工作也会完成,据此把境外上市等活动引发的数据安全审查工作纳入有效的监管机制。当然,包括工信部、市监总局、公安部、人行等在内的部门和行业立法也会非常活跃,信安标委和行业标准制定机构也会密集推出一批国家和行业标准,尤其会聚焦于金融数据、平台数据、车联网数据等领域。
与个人信息保护有关的执法活动将深入开展。在《个人信息保护法》生效之前,执法机构以APP为抓手,连续地开展了App违法违规收集使用个人信息专项治理工作,突出治理App强制授权、过度索权、超范围收集个人信息,以及违规收集个人信息的现象。在2022年,借《个人信息保护法》生效的东风,与个人信息保护有关的执法活动必将更加深入,比如,包括隐私政策设置的透明性、获取用户同意的有效性、跨境数据传输的合法性等方面,也可能产生在处罚数额上创记录的标杆性执法案件。
平台治理的分类分级监管。2021年,以《国务院反垄断委员会关于平台经济领域的反垄断指南》为标志,监管和执法机构开展了一场轰轰烈烈的平台经济反垄断、防止资本无序扩张的行动。考虑到中央确定的2022年经济工作 “稳字当头、稳中求进” 的主基调,2022年关于平台经济更加严苛的监管措施应当会减少,监管部门将会基于“大平台、大责任、高标准”的分类分级思路推进平台治理工作。平台治理工作重点可能包括两大方面,一是《个人信息保护法》第五十八条对重要互联网平台服务的监管,会伴随着《数安条例》的落地而具有更清晰的法律要求;二是平台的算法治理,在《互联网信息服务算法推荐管理规定(征求意见稿)》发布实施的预期下,监管机构会逐渐落实平台算法的分类分级、备案管理和安全评估制度。
重要数据识别和跨境数据监管。重要数据的处理活动和跨境数据传输会引发国家安全和重要公共利益的考虑,历来是数据安全监管的重点。2021年,重要数据的识别和监管率先在汽车数据领域展开,预计2022年重要数据识别的一般法律规则会出台生效,各行各业的重要数据识别会逐次展开,监管部门和行业主管部门也会把重要数据处理活动监管逐步纳入程序化的轨道。对于跨境数据的流动,预计随着《数据出境安全评估办法》和《个人信息出境标准合同规定》的颁布生效,必将成为企业合规的重点和监管的焦点。
民事诉讼和公益诉讼会显著增加。如前文所述,《个人信息保护法》确立了侵害个人信息的过错推定责任,非常可能会激发产生大量关于个人信息权益保护的民事案件。事实上,在2021年,各地法院已经受理了一批类似的案件。在民事诉讼案件中,数据处理者承担自证清白的责任,而企业合规制度的构建和执行是最主要的证明手段。公益诉讼对企业的品牌和声誉具有很大的杀伤力,也值得平台类企业密切关注社会热点和监管重点,通过提前的合规部署化解潜在公益诉讼的发生。
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权权利保护, 网络安全和数据保护, 反垄断和竞争法
特色行业类别:金融行业, 通讯与技术
作者往期文章推荐
《关于《网络数据安全管理条例(征求意见稿)》的三十四个核心问题(下)》
《关于<网络数据安全管理条例(征求意见稿)>的三十四个核心问题(上)》
《IDC产业链全解析(四):互联网数据中心的数据安全保护义务》
《<个人信息保护法>正式生效,我们聊聊合规落地中的“五六七”》
《网络空间治理升级——从数据治理迈向算法治理》
《<个人信息保护法>正式稿与二审稿对比》
《全景解构<个人信息保护法>,助力企业进入中国个人信息保护新纪元》
《明晰人脸识别案件司法裁判规则,推动AI行业规范发展——最高院人脸识别司法解释解读》
《激活网络安全审查制度 筑牢数据安全防火墙—— <网络安全审查办法(修订草案征求意见稿)>评析》
《欧盟个人数据传输的两项新工具(SCCs):历史演变、法律影响和应对策略》
《九万里风鹏正举:<数据安全法>已来,企业当如何乘风?》
《汽车数据强监管时代开启:<汽车数据安全管理若干规定>(征求意见稿)评析》
《天之未雨 绸缪牖户:企业如何实施个人信息安全影响评估?》
《简评<网络直播营销管理办法(试行)>》
《健康医疗企业IPO数据合规重点问题与应对(下)》
《健康医疗企业IPO数据合规重点问题与应对(上)》
《解读<网络交易监督管理办法>》
《网络安全与数据保护2020年度观察》
《新型电商的数据合规路径》
《EDPB<GDPR下数据控制者及数据处理者概念的指南>解读兼谈<个人信息保护法(草案)>关于处理者的定义》
《2020年APP个人信息治理工作启动,你需要关注的APP自评估指南的主要变化》
《<数据安全法(草案)>观察:构建我国基础性数据安全制度的开端》
《“抗疫”不忘数据合规:<个人金融信息保护技术规范>评析》
《疫情期间企业个人信息保护十问十答》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。