数据合规的中西大餐, 能否尝出融合的味道?
2019年“数据合规”的监管俨然有成为网红之势,APP的治理还在如火如荼中,最近两个最新文件的出台再次刷爆朋友圈 - 5月28日午夜钟声敲响之际,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》( “征求意见稿”);而同一天作为欧盟《一般数据保护条例》
(“GDPR”)一周年献礼,中国信息通信研究院安全研究所联合多家单位共同发布了洋洋洒洒70多页的《欧盟GDPR合规指引》(“GDPR合规指引”)。 征求意见稿是国家部门规章草案;GDPR合规指引则是对域外法律的学术研究报告,两个文件虽然在效力上并不具有可比性,但文件背后承载的中国和欧盟数据立法思路以及相似条款的融合和差异性值得回味和对比。
(一)中国
中国出台的数据保护和网络安全法规和规范多以综合性规定为主。
2017年的《网络安全法》中混合了关键信息基础设施保护、网络安全等级保护制度、网络信息治理以及公民个人信息保护等四方面内容。
而此次征求意见稿则除了目前监管要求比较成熟的个人信息,重要数据也作为文件的另一主要覆盖内容。重要数据概念首次规定于《网络安全法》,是指关键信息基础设施企业中与国家安全、经济发展,以及社会公共利益密切相关的数据。 后网信办配套制定的《个人信息和重要数据出境安全评估办法(征求意见稿)》将其扩展到所有网络运营者的范围。征求意见稿之前,重要数据的管理集中于对数据出境的要求,我们注意到此次征求意见稿把《个人信息安全规范》等文件确认的个人数据保护要求(例如发布、共享、交易前的安全评估、对数据承接方和接入第三方应用的责任承担要求等)也扩展到对重要数据的适用。
(二)欧盟
相比较而言,欧盟的每部立法更加聚焦:
GDPR,是专门针对个人信息保护的立法,一共99条的规定在落地和可操作性方面都比较强。GDPR出台的同年,2016年6月针对欧盟网络安全的保护,出台了《网络与信息系统安全指令》(“NIS指令”)。NIS指令应对以关键信息基础设施为重要保护核心的网络安全问题[1],对各欧盟成员国国家提出网络安全能力以及跨境合作等要求。NIS指令覆盖能源、交通、银行业、金融市场基础设施、健康产业、饮用水供给、数字基础设施,同时适用于包括网上市场、网络搜索引擎以及云计算等部分数字服务提供者的网络与信息系统。
针对非个人数据的规定,欧盟以2016年6月通过的《商业秘密保护指令》以及2018年10月的《非个人数据自由流动条例》为典型代表,前者旨在促进欧盟境内非个人数据自由流动,消除欧盟成员国数据本地化的限制,而后者则是通过明确和统一有关商业秘密的非法获取、使用或披露的法律来保护创新和发展。
(三)商业数据保护的突破 – 爬虫
相比较而言,我国对于企业商业数据的保护散落于《反不正当竞争法》、《劳动合同法》、《著作权法》等法规中,此次征求意见稿的保护标也排除了企业生产经营和内部管理信息等,但对 “自动化收集”(爬虫)做出了突破性规定。
爬虫基于计算机世界的机器人协议(robots协议),因为与技术的强属性在监管上各国都非常的谨慎。中国互联网协会行业2012年发布的《互联网搜索引擎服务自律公约》第七条要求会员应“遵循国际通行的行业惯例与商业规则,遵守机器人协议(robots协议)”。此前,我国对爬虫并没有设定专门的法规和标准,民事纠纷的法院判决案件[2]多《反不正当竞争法》的商业道德和诚实信用原则的角度考量。如果爬虫措施强行突破某些特定被爬方的技术措施,还可能构成侵入计算机系统的刑事犯罪行为[3]。
《互联网搜索引擎服务自律公约》倡导“互联网站所有者设置机器人协议应遵循公平、开放和促进信息自由流动的原则,限制搜索引擎抓取应有行业公认合理的正当理由,不利用机器人协议进行不正当竞争行为,积极营造鼓励创新、公平公正的良性竞争环境。” 此次征求意见稿第十六条把这一技术与法律难题进行量化规定: “网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;此类行为严重影响网站运行,如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止。”“日均流量三分之一“的数字依据合理性值得探讨,同时该项权利是以被爬虫网站发出主动要求停止的动作为前提,但反之,若网站没有发出要求,超流量的爬虫行为是否就被视为合法,是否仍可以进行起诉,有待明确。 当然如果爬虫收集到了个人信息,无论按照中国还是欧盟的规定都应以用户授权同意为基础。
(一)中国
中国的数据安全立法起步于2012年第十一届全国人民代表大会常务委员会第三十次会议通过的《关于加强网络信息保护的决定》,其中规范了公民个人身份和涉及公民个人隐私的电子信息。2017年是个人信息保护法的一个历史性年份, 6月1日我国第一部综合性网络安全和个人信息保护法律《网络安全法》出台,而4个月之后《民法总则》[4]将个人隐私权纳入了自然人基本民事权利的保护范围。然而前述两部大法的意义在于基本原则的奠基,规定内容过于粗疏和宽泛,导致落地和监管上的困难。
正当各界等待着一气呵成的《个人信息保护法》[5]出台时,应来的却是2018年1月的一部推荐性国家标准 --- 《GB/T 35273:2017信息安全技术:个人信息安全规范》(“安全规范”)。安全规范对于个人信息保护的原则和要求确实做到了细化落地,并引领了数据保护领域国标的浪潮,但由于其非国家立法文件的本质,导致行政措施依据上的尴尬性:
根据《标准化法》规定,“推荐性国家标准”系满足基础通用、与强制性国家标准配套、对各有关行业起引领作用的一类标准,国家鼓励企业采用,而不强制采用。
因此在我们常见发生个人信息安全事件中,目前行政机关多采取的是约谈、行政检查、劝导示范,而非出现大额的行政罚款或强制处罚。所以立法级别一定是征求意见稿最厉害之处: 一旦正式生效,将作为国家立法层级中的部门规章,可由行政机关依照直接给予行政处罚[6]。
(二)欧盟
欧盟个人数据保护法律体系历史悠久。
1981年,欧洲议会通过了有关个人数据保护的《保护自动化处理个人数据公约》,是世界上首个有约束力的有关规范数据使用、保护个人隐私、促进数据交流的国际公约。
1995年,欧洲议会和欧盟理事会通过发布《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(95号指令)。
2007 年 12 月,欧盟议会、欧盟委员会颁布了旨在保障欧盟公民权利的《欧盟 基本权利宪章》,其第 8 条将“个人数据受保护的权利”明确列入基本的自由权中。为应对新时代下个人信息保护以及数据利用的挑战和平衡,GDPR取代95号指令出台,且一生效便具有了直接在欧盟各成员国执行的强制力。欧盟数据保护委员会针对GDPR出台了一列推荐实操方案指引[7],基于GDPR本身规定的详实度以及强制力,在其实施一年内英国、奥地利等欧盟数据保护当局已经直接依照GDPR对违规行为启动数起行政处罚。
今年1月法国数据监管部门(CNIL)更是对美国搜索巨头谷歌开出5000万欧元罚款(约合人民币3.66亿元)的迄今最高罚单。
下文简单针对征求意见稿的部分规定与GDPR的相关要求进行比照:
一、适用范围
征求意见稿的适用范围是我国境内利用网络开展数据收集、存储、传输、处理、使用等活动,以及数据安全的保护和监督管理。特别排除纯粹家庭和个人事务。相比较,GDPR的野心扩展到的是世界地图范围,包括:
设在欧盟境内的数据控制者和处理者所进行的个人数据处理活动,而不论该处理行为是否发生在欧盟境内;
为欧盟境内的数据主体提供货物或服务,而不论数据控制者和处理者是否在欧盟境内,也不论数据主体是否被要求付费;
以及对数据主体在欧盟境内的行为进行监控,而不论数据控制者和处理者是否在欧盟境内。
一致的方面的是,GDPR也排除了因为个人原因或家庭活动而进行的与专业或商业行为无关的数据处理,同时进一步解释个人或家庭活动可以包括通信、保存地址,或者社交活动以及在类似活动背景下进行的线上活动,比如因为家庭聚会需要使用个人通讯录名单。
二、数据出境
《网络安全法》对关键信息基础设施运营方的个人数据和重要数据出境规定了安全风险评估和出境审批的基本原则。征求意见稿针对重要数据的出境对该原则进行了贯彻:
在主管机关规定上, 意见稿规定报经行业主管监管部门同意,行业主管监管部门不明确的,应经省级网信部门批准,此中网信部的兜底条款在一定程度上解决了目前大部分行业数据出境审批部门不明确的现状(只有个别领域比如档案、医疗以及金融等对数据出境明确主管机构)。
但针对业内一致期盼的安全评估操作指引,此次意见稿依然没有具体规定。2017年网信部配套出台的《个人信息和重要数据出境安全评估办法(征求意见稿)》和《信息安全技术 数据出境安全评估指南(草案)》曾对评估的原则、体系、主要内容、数据脱敏要求以及对数据接收方所在国家或地区的政治法律环境的评估要素等规定了详细的内容,但目前这两项规定尚未正式生效。安全评估如何落地,还是需要继续等待。
相较而言,在95号指令时代欧盟对于数据欧盟区域外的传输就已经有了具体的规范,并在GDPR发扬光大。按GDPR规定,数据境外传输除应获得用户的明示同意外,还实施了以充分性认定国家白名单为主,并辅以标准合同、约束性企业规则以及第三方认证规则等补充性方案,目的均为确保数据进口国个人数据保护水平的充分性。
三、行政处罚
《网络安全法》对违反者的最高行政罚金是100万元,业内也一致诟病与GDPR规定的相当于2000万欧元/企业“上一年全球总营业额4%的金额”(取较高的一项)的罚款不是一个数量级,不足以令企业敬畏。
征求意见稿的处罚规定只有简单一条: “网络运营者违反本办法规定的,由有关部门依照相关法律、行政法规的规定,根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。”
看似意义不大,但结合征求意见稿整体对企业网络安全要求的细化落地规定,一旦生效极有可能作为可依据准则,令刑法修正案(九)第二十八条的拒不履行信息网络安全管理义务罪执法落地。
四、定向广告推送
征求意见稿此次就针对新闻、广告中的定向推送机制提出较为严格的要求:网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能。
定向广告推送的要求并不是征求意见稿的首创,在《电子商务法》[8]、《广告法》中均有触及。结合数据保护,征求意见稿赋予了数据主体更多的控制权,征求意见稿将商业广告纳入了管理范围,并进一步要求:用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。
定向广告是全球的监管重点,上文提到的CNIL向谷歌发出的高额罚单就是缘于谷歌没有满足向客户投放定向广告的“透明度”法律要求 :即向用户明确说明“使用什么数据、基于什么、为了什么目的”。
除给予数据主体的营销拒绝权外,从事定向广告的运营还应遵守GDPR对于用户数据画像的要求,包括须向数据主体特殊说明并获得数据画像的独立授权,提供关于收集的数据的资料,并在适当情况下告知自动决策的存在、所涉及的逻辑以及这种处理的重要性和可预期的后果;应尽量避免处于营销目的对儿童进行画像,适用儿童数据应当建立特别儿童保护措施,并融合到行为准则中。
五、数据安全负责人
征求意见稿规定,网络运营者应在收集使用规则中突出网络运营者主要负责人、数据安全责任人的姓名及联系方式。其中数据安全责任人须由具有相关管理工作经历和数据安全专业知识的人员担任,参与有关数据活动的重要决策,直接向网络运营者的主要负责人报告工作。
数据安全责任人与《网络安全法》规定的网络安全负责人一脉相承,一些行业规定,比如《银行金融业数据治理指引》也提出“首席数据官”的类似概念。 据悉,不少中国企业已经开始设立类似的角色——芝麻信用、360均设立了首席隐私官,东航也设立了数据保护官。
数据安全责任人与GDPR中的“数据保护官”(DPO)具有一定的可比性,但欧盟更强调DPO具有独立特质,包括数据控制者或数据处理者对于DPO开展任务不会没有发出任何指令;数据控制者不会因DPO履行任务而解雇或处罚;与其他可能的任务和职责无利益冲突,作为利冲考虑在组织内部一些高级管理职位(如首席执行官、首席运营官、首席财务官、首席医疗官、市场部主管、人力资源主管或IT部门的负责人)不应担任DPO。
我国尚未发布数据负责人的专门职责和聘任要求指引,但考虑到中国公司内固有的行政汇报机制,数据负责人短期内应无法像DPO一样保持中立和独立性。
除上文所述,征求意见稿中针对来源于第三方的信息以及平台接入的第三方应用的责任承担,个人敏感信息和重要信息的备案机制等等规定也非常夺人眼球,业内人士的多篇文章都从各个角度给予了关注和阐释。从《网络安全法》、安全规范到征求意见稿反映我国数据安全立法在探索、学习和开拓的前行脚印,另一方面从业者们对于日益严峻的司法体系也在惴惴不安中等待监管要求的进一步指导落地。
注释:
[1] 2017年Wannary导致英国各地多家医院陷入瘫痪,并持续影响到欧盟各国的多个组织机构——其中包括FedEx以及Deutsche Bahn等多家大型企业。不久之后,NotPetya的肆虐又导致一家乌克兰核电站以及TNT与马士基等欧盟运输公司的正常运营受到影响。2017年夏季,由于心脏起搏器当中发现软件漏洞,50万名病人接到通知需要返回医院进行问题排查。
[2] 参见北京市第一中级人民法院在百度诉奇虎不正当竞争案件以及“酷米客”诉“车来了”案件”
[3] 《刑法》第二百八十五条规定,违反规定侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,不论情节严重与否,构成非法侵入计算机信息系统罪。《刑法》第二百八十六条规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,构成犯罪,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。而违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,也构成犯罪,依照前款的规定处罚。
[4] 《民法总则》第111条规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
[5] 2017年3月全国人大代表、全国人大常委、财经委副主任委员吴晓灵,全国人大代表、中国人民银行营业管理部主任周学东以及45位全国人大代表在两会提交《关于制定<中华人民共和国个人信息保护法>的议案》
[6] 《行政处罚法》第三条公民、法人或者其他组织违反行政管理秩序的行为,应当给予行政处罚的,依照本法由法律、法规或者规章规定,并由行政机关依照本法规定的程序实施。 没有法定依据或者不遵守法定程序的,行政处罚无效。
[7] 包括适用地域范围指南、跨境规则指南、数据保护影响评估指南、DPO指南、数据画像和自动决策指南、统一指南、数据泄露通知指南、可携带权指南、透明度指南等
[8] 【第十八条】 电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。
访问文末左下角点击“阅读原文”获取更多相关内容
或点击以下二维码1秒解锁更多独家法律知识问答。
关于享法
享法互联网法律团队主要创始人均来自国内著名互联网公司的法务部,依托于北京德和衡律师事务所,享法致力于为高科技创新型公司提供贴心实用的一站式法律管家服务。自成立至今,我们已为近百家公司提供了多样化服务。
享法围绕数据安全,电子商务,网络游戏,视频直播,互联网金融融资等互联网行业领域提供更具互联网思维的产品技术合规,融资并购以及新三板挂牌等法律服务,同时也针对企业的内部股权安排、劳动人事以及员工激励等开发了更实用优惠的专项打包法律服务。
请关注我们的微博:享法互联网法律
往期好文回顾
以链治链:杨东评全球首部区块链技术监管法规-网信办区块链信息服务管理规定
让我们为您保驾护航
微信:享法互联网JoyLegal
微博:享法互联网法律
电话:010-81050766
邮箱:info@joy-legal.com
24小时内答复咨询
关注和分享,总有一个在路上~