汇业评论 | 网安法周年系列一:网安合规十大常见问题汇总
文 | 黄春林 汇业律师事务所 合伙人
2018年6月1日,《网络安全法》正式实施一周年。一年来,网安有关的政策与细则逐步落地,网安监管与执法案例频见报端,企业网安合规获得了前所未有的重视,各界关于网安合规的理解与建议也如雨后春笋。
本文中,汇业黄春林律师团队结合近期网安合规项目经验,就企业普遍关注的十个网络安全合规问题,汇总解答如下:
十大问题
一 | 到底是不是网络运营者?
二 | 网安合规到底要做些什么?
三 | 是否必须要做等保备案与测评?
四 | 收集哪些信息需要获得用户的同意?
五 | 隐私政策合规重点有哪些?
六 | 数据流动中的审查与监管责任到底有多深?
七 | 跨国公司必须实现数据本地化?
八 | 35273/27001是否必须遵守?
九 | 网络平台的内容审查责任到底有多大?
十 | 网络接入合规到底要做什么?
一、到底是不是网络运营者?
很多非互联网企业,尤其是传统工业企业以及那些toB业务的企业,普遍认为自己不属于网安法意义上的“网络运营者”,所以无需遵守网安法21条等规定的网安合规义务。我们认为这种观点存在较大法律风险。
首先,网安法意义上的“网络运营者”是一个非常广泛的概念,包括网络(各种网络和触网的系统,例如局域网、工业控制系统、自动化办公系统、社交媒体等)的所有者(并非物权意义上的所有)、管理者(含网络或内容管理)和网络服务提供者(不仅仅是ISP)。所以从这个意义上讲,企业可能会因为任何“触网”的要素,被认定为网安法意义上的“网络运营者”
其次,企业网安合规的法律依据不仅仅是网安法,还包括全国人大的决定以及其他单行法规(例如国务院292号令)、规章(例如工信部24号令)等,更不能忽略消法、民法总则、刑法等基本法。这些法律法规设定的网安合规义务,并不局限于“网络运营者”的主体范畴。
二、网安合规到底要做些什么?
这是很多企业最迷茫的问题之一。大家都觉得网安合规很重要,但受限于内部网络/业务的复杂性及法律规范的模糊性,无从下手。
事实上,根据汇业黄春林律师团队的经验,一切脱离行业特点和企业实际情况谈网安合规的普适性路径,都是“耍流氓”。企业的涉网业务不同、触网程度不同、服务对象不同,其网安合规的触点就会有很大的差异。
所以,我们通常建议企业在开展网安合规检视项目前,应当开展网安合规调研(包括会议、访谈及问卷等形式),根据调研情况开展有针对性的合规评估及整改实施。
总体而言,企业应当结合前期调研情况,从下列角度匹配合规触点:(1)合规深度:技术措施层面、管理制度层面、岗位人员层面及透明度层面;(2)合规广度:运行安全(包括接入、运行、事件、协助、等保、CII等)及信息安全(PI、数据、内容、实名、未成年人等)。
三、是否必须要做等保备案与测评?
等级保护被称为网安合规的第一道坎儿。这不仅是因为等保责任大、执法严(公安主管),还因为等保体系本身为企业网安合规设立了一套较好的实践标准——参照等保测评体系整改后,企业的整体网安合规风险大大降低。
等保合规体系包括了定级、备案、测评及整改等多个合规触点。整体而言,所有网络运营者都应当开展等保定级,二级以上的需要公安等保备案,三级以上的需要开展强制测评,整改包括技术措施整改和管理制度整改。
目前,各地网安部门已经按行业逐步推进、检查落实等保要求,部分企业(含传统外企)因未履行等保义务而被处罚的案件频见报端。
四、收集哪些信息需要获得用户的同意?
通过网络收集个人信息(PI)需要获得用户同意,这是不争的问题。但是,收集用户信息(非PI)以及通过线下途径收集PI,是否需要用户同意,似乎业界有不同的观点。
首先,根据网安法第22条第3款规定,收集用户信息的,“其提供者应当向用户明示并取得同意”,网信办在解读这一条时明确讲到这里的“用户信息”是有别于第四章的“个人信息”的;其次,未经用户同意收集用户信息,是否涉嫌侵犯隐私权或不正当竞争,则是企业应当考虑的其他合规风险。
其次,消法、刑法等规范的个人信息并未严格限定在网络环境下,线下收集、使用个人信息仍然可能会违反消法、刑法等规定。所以,用户信息合规,应当是一个多层面(民、行与刑)、多角度(立法、执法与司法)的综合合规。
此外,很多企业普遍关注的员工信息收集(例如考勤、忠诚度调查等)合规、用户信息收集同意豁免情形等问题,实践中可能会因为使用场景差异、信息内容差异等因素影响合规性判断。
五、隐私政策合规重点有哪些?
根据近期几轮执法检查及约谈案例实践,监管机构目前主要关注的隐私政策合规重点包括但不限于:
(1) 隐私政策的放置位置、确认方式是否合规?例如,实践中(尤其是媒体)有一种误解,认为但凡是“默认勾选”的隐私政策都是不合规的。事实上, “默认勾选”的隐私政策是否合规,取决于该隐私政策适用的业务模式、个人信息类型,甚至勾选本身的显著性等多重因素。
(2) 隐私政策关于个人信息收集、使用、处置(共享、转让、披露等)的目的、范围和方式的披露是否清晰、明确、具体。
(3) 隐私政策是否披露个人信息主体控制权(查询、修改、注销等)及其实现方式。
(4) 隐私政策的更新及更新通知。
(5) 隐私政策是否有披露个人信息控制者及其有效联络方式;等等。
六、数据流动中的审查与监管责任到底有多深?
Facebook剑桥分析事件,引起了企业对数据流动合规的广泛关注和重视。实践中,如何平衡数据流动效率与合规风险,进而确定企业在数据流动中的审查与监管责任深度,是很多企业面临的棘手问题。
实践中,汇业黄春林律师团队建议,企业应当根据“分级管理、分层合规”原则,制定数据流动分级合规手册。即,企业应当根据流动数据的性质、来源、范围、体量、途径及频率等因素,将数据流动分级,并根据分级结果,有针对性的采取形式审查(又称文本审查)、实质审查(包括但不限于资质审查、来源审查、授权审查、责任能力审查、动态管理等)、第三方评估审查。
七、跨国公司必须实现数据本地化?
这或许是外企咨询最频繁的网安合规问题,当然原因是多方面的:
一方面,中国网安法及配套制度实施(或征求意见)后,到底哪些数据必须境内存储,境外媒体或“专家”众所纷纭,导致部分外企境外总部反向施压,要求中国公司必须评估、解决数据跨境转移的合规性。而另一方面,部分中国公司期望借助这个“千载难逢的机会”,以法律强制规定之名要求数据本土化,进而增强本土业务的控制力和话语权。似乎,数据本土化是板上钉钉的问题。
但现实的问题却是:(1)网安法37条有明确的适用前提(主体、行为、数据性质等);(2)《关键信息基础设施安全保护条例》还在征求意见,CII的范围并没有明确的法律标准;(3)《个人信息和重要数据出境安全评估办法》还在争论、修改中,评估的范围和办法都没成型;(4)贸易摩擦的关键时点,任何政策都可能刺激对方;等等。
所以,企业应当结合中国立法现实、企业行业特征、数据数量级、个人信息类型等因素综合评估数据是否可以跨境转移。
八、35273/27001是否必须遵守?
这个问题,源于大家对网安合规的迷茫和焦虑——实在不知道咋做网安合规,《个人信息安全规范》(GB/T 35273-2017)和ISO/IEC27001又恰好提供了一个“最佳实践”。
但是,《个人信息安全规范》仅仅是一个推荐性的行业标准,并没有GDPR一样的强制力;《个人信息安全规范》中的很多要求,仅仅是网安合规的其中一种可选的尝试/路径。违背《个人信息安全规范》的标准,并不必然承担法律责任;相反的,遵从《个人信息安全规范》的标准,也并不一定就合法合规,尤其是在民事和刑事司法实践中。
同样的问题,很多企业正在实施的ISO/IEC27001认证,也仅仅是网安合规的一个路径选择而已,绝非网安合规的“免死金牌”,企业还是应当根据自身业务特点,开展有针对性的合规评估和整改项目。
九、网络平台的内容审查责任到底有多大?
内容审查被称为是网安合规的放大镜——其他网安合规风险可能会因为内容审查风险而成倍放大。目前,披露出来依据网安法处罚案例最多(约占50%)、处罚最重(轻者约谈、罚款,重则整改、关停)的,就是内容审查违规。
尽管网安法有多条(9、47、48、49等)关于内容审查的规范,但实践中,网络平台(用户能上传、发布内容的一切网络或系统)的审查标准和依据远非这些,例如游戏、视频、文学、论坛、新闻、IM等业态均有相对成熟的内容审查的官方标准。
因此,企业应当结合自身业务特征,制定内容审查规范,确定内容审查岗位和人员,部署内容审查技术措施,并依法依规向主管部门备案或汇报,等等。
十、网络接入合规到底要做什么?
网络接入合规是很多企业最容易忽视的问题,目前已经爆出多个外企因为网络接入违规被处罚的案例。
网络接入有很多合规触点,包括但不限于网站ICP备案合规(境外域名处置、一致性核验等)、公安联网备案合规(变更合规、交互式面审等)、VPN接入与使用合规(自建与租用、数据中心连接等),等等。
实践中,企业应当加强网络集中管理,增强IT部门合规意识,强化IT与法务/合规沟通机制,降低相应的法律风险。