通力网络安全与数据合规年度回顾(2021)

时光飞逝, 不知不觉中, 我们已经辞去辛丑, 迎来了壬寅年。对于网络安全与合规领域, 2021年的重头大戏无疑是《个人信息保护法》的公布与实施。至此, 中国终于有了个人信息保护领域的“大宪章”。但2021年的高光时刻远不止于此, 《个人信息保护法》与同在2021年生效的《数据安全法》, 以及已实施多年的《网络安全法》一同构成了中国网络安全与数据领域的三驾马车, 为企业的网络安全及数据合规指明了方向。除此之外, 网络安全与数据领域在2021年的其他立法和执法活动也可谓“日新月异”, 补充并完善了三驾马车构建的法律体系。加之此前已经实施的法律法规, 纵观现有的网络安全与数据合规法律体系, 不可谓不纷繁复杂, 千头万绪。

通力律师事务所大合规团队特撰此文, 回顾2021年网络安全及数据合规领域的立法及执法动态, 并为企业在2022年的网安数据合规工作提出我们的思考和建议。网络安全与数据合规是一项长期、系统的工程, 需要持续、坚定的努力, 如果我们的本篇回顾能够给企业带来些许启示和指引, 将是我们作为网络安全与数据合规领域律师的一大幸事。

一、网安、数据领域立法总结

1. 网络与数据安全

《网络安全审查办法》2022.02.15  

要点: 明确CIIO/网络平台运营者的网络安全审查义务、跨境证券监管、网络安全审查的触发条件。

请参见通力法评《2022版<网络安全审查办法>重点问题评析》

《上海市数据条例》2022.01.01

要点: 数据权益与个人信息权益, 公共数据共享、开放及授权运营, 数据市场, 数据产业发展, 数据安全。

请参见通力法评《数据交易与数字化转型推进器——<上海市数据条例>评述》

《深圳经济特区数据条例》2022.01.01

要点: 数据权益与个人信息权益, 公共数据共享、数据要素市场培育、数据安全管理。

《网络数据安全管理条例》(征求意见稿) 2021.11.14

要点: 数据分级分类(一般数据、重要数据、核心数据), 网络安全审查、数据跨境传输、互联网平台运营者义务(规则的披露和裁决机制, 禁止大数据杀熟、恶意低价竞争、数据误导、设置障碍限制中小企业等)。

《数据出境安全评估办法》(征求意见稿)2021.10.29

要点: 数据出境安全评估的适用情形、操作流程和其他管理措施。

请参见通力法评《一图读懂数据出境规则》

《工业和信息化领域数据安全管理办法(试行)》(征求意见稿) 2021.09.30

要点: 数据分级分类条件、重要数据安全管理、数据安全全生命周期安全管理要求、数据安全监测预警与应急管理要求。

《数据安全法》2021.09.01

要点: 数据活动、数据出境、数据分级分类、数据交易与政务数据开放、安全审查及出口管制。

请参见通力法评《<数据安全法>与企业合规》

《关键信息基础设施安全保护条例》2021.09.01

要点: CIIO认定、运营者义务, 如专门安全管理机构设置、建立网络安全保护制度和责任制义务、网络安全检测和风险评估、安全保密协议等。

请参见通力法评《<关键信息基础设施安全保护条例>企业合规速览》

《网络安全标准实践指南——数据分类分级指引》(征求意见稿) 2021.09

请参见通力法评《三问企业数据分类分级合规》

2. 个人信息

《即时通信服务平台个人信息认定指南》(征求意见稿)2021.11.12

《个人信息保护法》2021.11.01

要点: 个人信息全周期处理要求、跨境传输、个人的权利及个人信息处理者义务。

请参见通力法评《千呼万唤始出来, 一文读懂<个人信息保护法>亮点变革》

《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》2021.08.01

要点: 个人信息侵权认定、民事责任豁免、举证责任分配、侵权责任、行为禁令等。

《常见类型移动互联网应用程序必要个人信息范围规定》2021.05.01

《信息安全技术 声纹识别数据安全要求》(征求意见稿) 2021.04.28

要点: 安全要求、声纹识别数据活动的典型场景、声纹识别数据安全风险分析、科学实验场景知情同意书示例。

《信息安全技术 步态识别数据安全要求》(征求意见稿) 2021.04.28

要点: 安全管理要求、适用场景、安全风险、知情同意书示例。

《移动互联网应用程序个人信息保护管理暂行规定》(征求意见稿) 2021.04.26

要点: App个人信息处理活动时的用户知情同意、App开发运营者/App分发平台/App第三方服务提供者/移动智能终端生产企业/网络接入服务提供者的个人信息保护义务。

《信息安全技术 人脸识别数据安全要求》(征求意见稿) 2021.04.23

《信息安全技术 移动互联网应用程序(APP)个人信息安全测评规范》(征求意见稿) 2021.04.19

《信息安全技术 个人信息去标识化效果分级评估规范》(征求意见稿) 2021.04.12

3. 行业法规政策

1) 汽车行业

《信息安全技术 汽车采集数据的安全要求》(征求意见稿) 2021.10.19

要点: 汽车采集数据内容、传输要求、存储要求、数据出境要求等。

《汽车数据安全管理若干规定(试行)》2021.10.01

要点: 汽车数据范围、汽车数据处理原则、告知与同意、涉及敏感个人信息及重要数据等情形。

请参见通力法评《解读<汽车数据安全管理规定>》

《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》2021.09.15

要点: 智能网联汽车数据安全、车联网网络安全、车联网服务平台安全。

《智能网联汽车道路测试与示范应用管理规范(试行)》2021.07.27

要点: 智能网联汽车道路测试的网络和数据安全要求。

《工业和信息部办公厅关于开展车联网身份认证和安全信任试点工作的通知》2021.06.08

要点: 车联网身份认证具体要求。

《信息安全技术 网联汽车 采集数据的安全要求》(征求意见稿) 2021.04.28

要点: 基本要求、数据传输、数据存储及数据跨境。

2) 金融

《征信业务管理办法》2022.01.01

要点: 域外适用效力、征信机构的尽职审查责任、个人信息主体的同意、收集征信信息的范围、征信信息主体权利、征信信息的跨境传输、信用评价类服务的评价标准、监管措施。

请参见通力法评《管窥<征信业务管理办法(征求意见稿)>的监管逻辑和重点》

《证券期货业网络安全事件报告与调查处理办法》2021.06.04

要点: 证券期货业网络安全事件的分级分类报告义务。

《中华人民共和国反洗钱法(修订草案公开征求意见稿)》2021.06.01

要点: 反洗钱信息获取、信息共享、信息安全。

《金融机构客户尽职调查和客户身份资料及交易记录保存管理办法(修订草案征求意见稿)》2021.03.31

要点: 客户尽职调查场景和信息核实措施, 客户身份资料和交易记录技术保护措施和保存期限。

《保险中介机构信息化工作监管办法》2021.02.01

要点: 保险中介机构的重要信息机制、设施和其管理与关联公司有效隔离、财务和人员管理信息系统要求、履行网络安全等级保护义务、管理要求、软件正版化、对外包管理的要求。

《证券基金经营机构信息技术管理办法》2021.01.15

要点: 为证券基金业务活动提供信息技术服务的重要信息系统的技术及管理规定。

3) 医药健康

《信息安全技术 健康医疗数据安全指南》2021.07.01

《信息安全技术 基因识别数据安全要求》(征求意见稿) 2021.05.11

要点: 安全管理要求、基因识别数据各场景的典型活动和实体类型、医学服务类保存规则、知情同意书模板等。

《生物安全法》2021.04.15

要点: 保障我国生物资源和人类遗传资源(包括相关数据、信息)安全。

请参见通力法评《无色处见繁花 —— 简析<生物安全法>第六章对医药企业经营的影响》

《用于产生真实世界证据的真实世界数据指导原则(试行)》2021.04.13

要点: 数据来源、适用性评价、数据治理、合规性、安全性和质量管理体系。

请参见通力法评《医药发展新引擎——真实世界数据合规简析”》

国家医疗保障局: 《加强网络安全和数据保护工作指导意见》2021.04.06

4) 信息行业

《互联网信息服务算法推荐管理规定》2022.03.01

请参见通力法评《补偏救弊, 解雅道陵迟之困——简评<互联网信息服务算法推荐管理规定(征求意见稿)>》

《信息安全技术 网络音视频服务数据安全指南》(征求意见稿) 2021.02.24

要点: 数据收集、使用、交换、存储与运输、主体权利及未成年信息保护, 数据分级分类、个人信息收集范围和使用要求。

《信息安全技术 网络支付服务数据安全指南》(征求意见稿) 2021.02.24

要点: 数据收集、使用、交换、存储、主体权利及安全要求, 数据分级分类、个人信息收集范围和使用要求、脱敏规则示例。

《信息安全技术 网上购物服务数据安全指南》(征求意见稿) 2021.02.24

要点: 数据收集、使用、交换、存储、删除、主体权利及安全要求, 数据分级分类、个人信息收集范围和使用要求等。

《信息安全技术 即时通信服务数据安全指南》(征求意见稿) 2021.02.03

要点: 数据收集、使用、交换、存储、运输、删除、主体权利及特殊场景, 数据分级分类、个人信息收集范围和使用要求等。

5) 工业

《工业和信息化部办公厅关于组织开展工业领域数据安全管理试点工作的通知》2021.12.10

要点: 工业领域数据安全管理试点申报。

《工业和信息化领域数据安全管理办法(试行)》(征求意见稿) 2021.09.30

要点: 数据分级分类条件、重要数据安全管理、数据安全全生命周期安全管理要求、数据安全监测预警与应急管理要求、评估与认证管理。

6) 物流

《信息安全技术 快递物流服务数据安全指南》(征求意见稿) 2021.02.03

要点: 数据收集、使用、交换、存储与运输、主体权利及安全保护, 数据分级分类、个人信息收集范围和使用要求、用户知情同意示例等。

二、网安、数据领域执法概况

1. 网安数据管理活动

• 组织开展对关键信息基础设施采购网络产品和服务活动的网络安全审查共4次[1]: 

       - 2021-07-02, 滴滴出行科技有限公司

       - 2021-07-05, 运满满

       - 2021-07-05, 货车帮

       - 2021-07-05, BOSS直聘

• 组织开展云计算服务安全评估, 已有57家云平台通过云计算服务安全评估[2]。

2. 国家及地方网安数据违法违规治理活动

• 【国家】2021年5月-8月中央网信办会同有关部门组织开展摄像头偷窥黑产集中治理。[3]

• 【国家】2021年中央网信办、公安部等部门持续开展了“清朗”“净网”“护苗”等专项整治行动, 打击各类网络犯罪活动并整治网上违法和不良信息。

• 2021-10 辽宁省市场监管局、省委宣传部、省网信办等15个部门联合开展为期3个月的2021年网络市场监管专项行动——“网剑行动”。[4]亦开展移动应用程序整治工作。

• 2021-07 福建省各级网信部门推进网络专项治理行动。

• 2021-06-02 浙江省互联网信息办公室、浙江省公安厅、浙江省市场监督管理局、浙江省通信管理局联合开展浙江省2021年度App违法违规收集使用个人信息专项治理。[5]

• 2021-04-27 天津市委网信办、天津市公安局、天津市市场监管委、天津市通信管理局开展天津市2021年度App网络安全专项治理。[6]

• 2021-06-23 海南网信部门开展房地产领域网络违规宣传广告专项治理行动。[7]

• 2021-06-07 山东开展打击互联网金融违法犯罪专项整治行动。[8]

3. 国家及地方网信部门、工信部违法违规APP及网站的通报与下架处理

• 【工信部】2021-12-09工信部针对APP超范围、高频次索取权限, 非服务场景所必需收集用户个人信息, 欺骗误导用户下载等违规行为进行了检查, 对逾期未完成整改的106款APP进行了下架处理。[9]

• 【工信部】2021-10-15工信部重点对假日出行、民生服务类APP进行检测, 发现96款APP未按时限要求完成整改, 重点集中在SDK违规问题, 工信部对上述APP进行下架处理。[10]

• 【工信部】2021-08-29工业和信息化部重点针对APP违规索取权限、开屏弹窗信息骚扰用户等问题进行“回头看”, 对逾期未完成整改的67款APP进行下架处理。[11]

• 【工信部】2021-07-12经第三方检测机构及各通信管理局核查复检, 有48款侵害用户权益且逾期未完成整改的APP, 工信部对其进行了下架处理。[12]

• 【工信部】2021-05-13经第三方检测机构及各通信管理局核查复检, 有85款侵害用户权益且逾期未完成整改的APP, 工信部对其进行了下架处理。[13]

• 【工信部】2021-04-06工信部对7款侵害用户权益且逾期未完成整改的APP进行下架处理。[14]

• 【工信部】2021-03-03工信部对橘兔语音等10款违规调用麦克风、通讯录、相册等权限且逾期未完成整改的APP进行下架处理。[15]

• 【工信部】2021-01-19工信部下架12款侵害用户权益APP。[16]

• 【国家计算机病毒应急处理中心】2021-07-10国家计算机病毒应急处理中心监测发现18款违法移动应用超范围采集个人隐私信息, 对其采取通报整改等处理举措。[17]

• 【国家网信办】2021-07-09国家互联网信息办公室下架“滴滴企业版”等25款App。[18]

• 【国家网信办】2021-06-11国家互联网信息办公室通报Keep等129款App违法违规收集使用个人信息。[19]

• 【国家网信办】2021-05-21国家互联网信息办公室通报抖音等105款App违法违规收集使用个人信息情况。[20]

• 【国家网信办】2021-05-10国家互联网信息办公室通报腾讯手机管家等84款App违法违规收集使用个人信息情况。[21]

• 【国家网信办】2021-05-01国家互联网信息办公室通报输入法等33款App违法违规收集使用个人信息情况。[22]

• 【地方网信办】2021-11-01海南省互联网信息办公室通报 “民生宝”“快速问医生”等7款App违法违规收集使用个人信息。[23]

• 【地方网信办】2021-09-03海南网信办通报“加油海南”等7款App违法违规收集使用个人信息情况。

• 【地方网信办】2021-09-02广西网信部门依法处置10个违法违规网站和App。[24]

• 【地方网信办】2021-08-29浙江省App违法违规收集使用个人信息专项治理工作组通报85款App违法违规收集使用个人信息情况。[25]

• 【地方网信办】2021-08-16山东网信办查处13家违规网络直播营销网站。[26]

• 【地方网信办】2021-08-08山东网信办根据举报线索依法查处违法违规收集使用个人信息的APP及网站19家。[27]

• 【地方网信办】2021-05-04山东网信办依法查处违法违规网站171家。[28]

• 【地方网信办】2021-04-14山东网信办查处网络赌博类违法违规网站24家。[29] 

• 【地方网信办】2021-01-27山东网信办依法关闭47家违法违规网站。[30]

• 【地方网信办】2021-08-12天津网信办警告网站、账号20家, 约谈网站、账号32家, 暂停更新网站2家, 会同电信主管部门取消网站许可、备案137家, 移送相关部门线索40条, 罚款19万元。属地网站平台依据用户服务协议关闭违法违规账号1388个。[31]

• 【地方网信办】2021-07福建省网信部门共约谈网站平台43家, 对17家网站给予警告, 暂停更新网站8家, 会同通信管理部门取消违法网站许可或备案、关闭违法网站492家, 向公安、通管、市场监管等部门移送相关违法违规线索7批次, 指导应用商店下架违法违规App 334款, 要求属地网站平台依据用户服务协议关停各类违法违规账号7千余个, 清理各类违法违规有害信息2万余条。[32]

• 【地方网信办】2021-02广西网信部门共协调处置有害信息284条, 关闭违法违规账号15个, 约谈网站或账号持有人13个, 移交线索39条。[33]1月, 广西网信部门查处网站和APP共8个。[34]

• 【地方网信办】2021-01-22广州网信部门责令整改网站735个, 提请关闭网站69个, 责令停止平台服务的网店153个。[35]

4. 2021年个人信息民事案件

(2020)浙01民终10940号 “人脸识别第一案”[36]

2019年4月, 原告郭先生购买野生动物世界双人年卡, 确定指纹识别入园方式。郭先生与妻子留存了姓名、身份证号码、电话号码等, 并录入指纹、拍照。后野生动物世界将年卡客户入园方式从指纹识别调整为人脸识别, 更换了店堂告示, 并两次向郭先生发送短信, 通知年卡入园识别系统更换事宜, 要求激活人脸识别系统, 否则将无法正常入园。

此后, 双方就入园方式、退卡等相关事宜协商未果, 郭先生提起诉讼, 要求确认野生动物世界违约且存在欺诈行为, 并要求赔偿年卡卡费、交通费, 删除个人信息等。

2021年9月, 法院作出判决认为: 野生动物世界单方变更入园方式构成违约, 且其欲将其已收集的照片激活处理为人脸识别信息, 未征得消费者充分知情同意, 违反了正当性原则, 故应当删除郭先生面部特征信息。鉴于野生动物世界停止使用指纹识别闸机, 致使原约定的入园服务方式无法实现, 亦应当删除郭兵的指纹识别信息。据此, 二审在原判决的基础上增判野生动物世界删除郭兵办理年卡时提交的指纹识别信息。

(2020)粤0305民初825号 微信好友关系不属于个人隐私[37]

2019年初, 王先生发现, 微视会在用户使用微信或QQ登录“微视”APP后, 获取其全部微信或QQ好友信息。王先生认为, 腾讯公司未经其授权将微信、QQ好友关系提供给其他APP, 侵犯其隐私权。据此, 王先生提起诉讼并要求腾讯公司删除其个人信息、赔礼道歉并赔偿维权合理支出。

2021年1月, 南山法院判决认为, 王先生所主张的好友关系既未包含其不愿为他人所知晓的私密关系, 他人也无法通过好友关系对其人格作出判断从而导致其遭受负面或不当评价。此外, 王先生“所主张的性别、地区信息由其注册微信账号时选择填写, 该两类信息通常不具有私密性”。因此, 以上信息在一定范围内已公开, 即已被包含软件运营商在内的相关主体所知悉。

因此法院认定王先生所主张的好友关系不属于个人隐私。

(2019)京0491民初23942号 隐私政策属于网络服务合同[38]

杜某于2015年成为知乎用户。2018年登陆知乎时, 知乎提示需同意“隐私政策-知乎”, 在不同意则无法进入知乎的情况下, 杜某同意了“隐私政策-知乎”。因此, 杜某认为知乎强制用户同意其发布的隐私政策, 违法收集个人信息, 侵害了用户合法权益, 并起诉至法院。

2021年4月, 北京互联网法院做出判决, 认为合同以要约、承诺的方式订立, 因此, 杜某“2015年是知乎用户, 即与知乎签订了网络服务合同”。法院认为“隐私政策-知乎”是一种以数据电文形式订立的合同, 为“向原告发出的变更合同条款的要约”。虽然杜某是在强制情形下给予同意, 但法院认为“原告对被告的要约进行了承诺, 双方合同已具备变更的形式要件”, 且知乎已通过设置弹窗、标黑等形式完成告知义务, 因此法院认为双方合同条款已变更(成立)。

(2021)浙06民终3129号 携程“大数据杀熟”案

胡女士作为携程公司的钻石贵宾用户, 本应享受房费8.5折优惠。在退房时却发现其支付的订金高出房费一倍。胡女士联系携程公司客服要求退款, 携程公司仅愿退还部分款项。此外, 胡女士主张携程公司强制要求用户同意不合理的《隐私政策》, 涉嫌对用户进行“大数据杀熟”, 请求法院判决携程公司增加“不同意其《隐私政策》和《服务协议》仍可继续使用APP”的选项。

2021年12月, 绍兴中院做出终审判决, 认为携程公司1)以捆绑服务、强制停止使用等不正当手段, 变相胁迫、强制用户同意携程公司及其关联公司、业务合作伙伴处理其个人信息的行为, 违反我国法律有关处理个人信息的正当性原则; 2)以概括授权的方式, 要求用户同意携程公司处理与预订酒店无关的账户信息、设备信息以及位置信息等, 超出了实现酒店预订等核心、主要的处理目的所必须的信息范围; 以及3)要求用户同意其将信息分享给携程公司可随意界定的关联公司、业务合作伙伴进行数据分析和商业利用, 进一步加重了用户个人信息使用风险, 不符合最小损害原则要求。

本所在本案二审程序中代理一审原告胡女士, 欲知悉本案细节解读, 请见《“大数据杀熟第一案”代理随笔——简评胡某诉携程案二审判决》。

5. 2021年网安和数据相关刑事案例

• 侵犯个人信息罪: 660+件

• 信息网络类犯罪: 7000+件

三、特定行业网安、数据合规要求观察

通力大合规团队在过去一年中, 为数量众多的客户提供了网络安全及数据合规法律服务,在众多细分领域中积累了大量的经验。随着《网络安全法》、《数据安全法》和《个人信息保护法》的相继生效, 汽车行业、泛金融行业、医药企业的网络安全及数据合规需求尤为强烈。为此, 我们特别准备了汽车、金融、医药领域的网络安全合规要求观察, 以供参考(欲知悉其他行业网络安全及数据合规, 请与我们联系获取相关资讯)。

1. 汽车行业

智能网联时代, 汽车可以全方位收集车内、车外数据, 不仅包括车内驾驶人、乘车人的个人信息, 还涉及敏感区域周边地理环境等可能关系国家安全的重要数据。2021年立法者对汽车数据的采集和安全管理作出了一系列立法尝试, 我们基于此对汽车行业网安监管现状和合规要点进行如下总结:

• 大型车企和出行平台应当审慎评估自身是否构成“关键信息基础设施运营者”, 进而做好网络安全审查的准备。大型车企和出行平台收集的用户设备信息、VIN码、位置信息、行程信息, 驾驶员的身份证或其他身份证明、面部识别特征、银行卡信息、信用信息, 街景数据、车流数据等不仅包含了大量的个人信息、敏感个人信息以及重要数据, 甚至其衍生数据可以展示行业情形和国家机密, 因此汽车行业的企业应当充分重视, 提早进行合规预防。

• 把握汽车行业数据特性, 落实数据分级分类制度。牢牢把握“个人信息”和“重要数据”两条主线下的数据合规要求, 尤其汽车行业中车内和车外数据、重要和“敏感”区域的地理信息、车流、物流等反映经济运行情况的数据等的保护与利用。

• 及时按照监管部门的要求提交自查报告, 并积极沟通有待澄清的监管事项。鉴于目前在数据合规领域仍有较多的事项没有达成共识, 因此与监管部门保持顺畅的沟通渠道具有必要性。

• 为了满足动态调整的合规要求, 有必要完备网络和数据安全的组织架构(明确个人信息保护负责人和数据安全负责人), 建设必要的内部管理制度(例如个人信息保护制度和数据分类分级保护制度)以加强对各类数据处理行为的管控。

进一步阅读: 

出行行业数据监管再讨论

解读《汽车数据安全管理规定》

2022版《网络安全审查办法》重点问题评析

见微知萌—从滴滴出行案谈网络安全审查制度

2. 金融

一般而言金融机构掌握大量个人敏感信息, 同时各类金融汇总类信息亦可能构成重要数据。因此金融机构的网络安全和个人信息保护情况尤为重要, 这也是立法者规制的重点。在2021年的立法背景下, 值得金融机构关注的合规要点包括: 

• 金融机构的网络和数据安全问题已经受到监管部门的高度关注。证券公司、基金管理人、保险中介等金融机构均应对网络安全和数据安全问题保持高度的警惕, 大到重要信息系统的设置与建设, 以及网络安全等级保护义务的履行, 小到软件正版化, 都是监管机构所关注的实际问题。

• 金融机构应当采取必要的技术措施和管理措施维护网络稳定和数据安全。除了网络安全技术外, 金融机构应当重视管理制度建设, 比如对重要数据和个人信息等数据的有效隔离、制定安全管理制度并强化员工培训, 培养员工的保密意识。

• 鉴于个人信息为金融机构掌握信息的重要组成部分, 结合金融行业特性, 金融机构应当尤为关注对个人信息的收集和使用、跨境传输以及个人权利的保护三方面, 由此确保个人信息来源合法、满足跨国金融机构发展需要以及符合个人信息立法要求。

• 考虑到数据收集监管, App的数据合规也是金融机构不得不关注的问题。在“金融科技”飞速发展的大背景下, 各类金融机构都已经通过App、小程序和其他数字渠道开展业务并获得成功。利用数字渠道开展业务也意味着适用相应的数据合规要求, 金融机构有必要在加强个人信息保护的监管背景下重视不同渠道的数据合规要求。

进一步阅读: 

《个人信息保护法》对资产管理行业的影响

个人信息保护法和数据安全法二审稿对跨国金融机构的影响

当信息化遇上保险中介机构-简评《保险中介机构信息化工作监管办法》

3. 医药健康

医药健康领域与个人信息保护密不可分。随着《个人信息保护法》的出台和数字医疗业务的发展, 药企研发流程所涉及的诸多个人信息均受到规制。随着医药研发的数据源不断扩大, 研发类数据可能受到规制的场景也随之增多, 针对患者旅程开展的真实世界数据研究项目还伴随着个人信息合规的问题。现阶段在医药研发语境下尚无专门的个人信息保护义务豁免, 因此, 如何平衡研发效率及个人信息保护义务成为药企亟待解决的问题。

此外, 由于监管部门对网络安全与数据安全越发重视, 企业在院端/客户端的各类联网设备(包括大型设备、便携式体外监测仪器等)也受到了特别监管。如何保证在高效服务的同时落实数据安全, 保障医疗信息系统安全、维护患者合规权益, 也是当下大健康行业的合规重点。因此, 根据我们的观察, 现阶段企业可从以下几处关注点着手:

• 关注个人信息来源及合法性。注意区分个人信息保护法律下的知情同意与临床试验/研究中知情同意的区别, 部分临床试验/研究知情同意的豁免并不能直接免除个人信息保护法下获取个人知情同意的义务。

• 关注不同场景下的个人信息转移情形, 以确定个人信息处理者、受委托方等主体的法律地位, 从而厘清各个参与方的法律责任。

• 做好内部排查与数理工作, 确认联网设备的维护服务提供方、服务器位置、设备端/后台分别采集何种数据, 确认数据本地化义务。

进一步阅读:

《个人信息保护法》对生命健康行业的影响

四、2022年展望与企业合规

结合上述立法及执法态势, 我们认为, 2022年的网络、数据领域立法、执法至少会有如下趋势:

• 数据跨境传输加强监管: 2021年出台的法律(包括草案)中, 无论是《个人信息保护法》、《数据安全法》, 还是《数据出境安全评估办法》、《网络数据安全管理条例》, 数据跨境传输都是其中的重要组成部分。鉴于掌握核心数据、重要数据的企业毕竟只是少数, 可以预见的是, 对于绝大多数企业而言, 至少在个人信息层面, 在2022年将面临更为严格的个人信息跨境传输监管。

• 对个人信息保护的执法进一步加强: 在《个人信息保护法》之前, 各大执法部门已经以APP、网站、小程序等为抓手, 开展了全方位的个人信息专项治理工作。但过往的个人信息执法活动均仅关注企业的“外在”, 而鲜有触及企业的内部治理和数据活动。随着《个人信息保护法》对个人信息处理合法基础、个人信息存储期限、个人信息跨境传输、个人信息安全保护评估等具体要求的出台, 企业必然将会在上述各方面面临更强的执法活动, 并且不排除遭到执法机关上门“突击”的可能性。

• 网安数据领域的配套法规制度进一步完善: “三驾马车”为网络安全与数据合规领域建立了良好的框架体系, 但是仍然需要细节的制度、规定来完善其“血肉”。而这些细节制度在各大法律中早已埋好了伏笔。2022年, 企业应至少重点关注以下重点配套法律的出台和实施情况: 《网络数据安全管理条例》《数据出境安全评估办法》《个人信息出境标准合同规定》, 以及关于数据安全、个人信息保护的合规审计制度及相关的标准。

与之相应, 我们建议企业在以下方面加强网安、数据合规建设:

• 加强自检自查: 企业需要识别网络安全及数据合规领域的法律风险和后果, 而这是建立在企业对自身网络安全及数据操作实践的全面自检自查的基础之上。企业至少应对重点业务场景或重点业务部门进行尽职调查、差距分析、并识别合规风险, 并在此基础之上对合规风险进行优先排序, 进行整改。

• 建立符合法律和企业实际的网安、数据制度: 法律通常是原则性的规定, 并不是针对企业的“量体裁衣”。而企业需要在自检自查及风险评估的基础上, 以法律规定为底线, 制定符合自身情况且切实可行的网安、数据制度(这也包括建立相关的网安、数据合规管理机构, 如确定数据安全负责人、网络安全负责人、个人信息保护负责人等), 如此才能保证法律对网络安全及数据合规的要求内化为企业自身的合规行为。

• 开展个人信息保护影响评估及个人信息保护合规审计: 《个人信息保护法》提出了个人信息保护影响评估(“DPIA”)及个人信息保护合规审计的要求。这两项制度在此前法律中并无先例可循, 生效法律也暂未明确其实施细则, 但这并不意味着企业可以坐等相关细则的制定和发布。因为企业对《个人信息保护法》等法律的合规天然地要求企业进行个人信息安全影响评估, 而合规审计也是企业进行自查、自检的重要途径。在相关法律细则正式出台前, 建议企业结合自身实际, 建立符合自身要求的DPIA制度, 并对个人信息保护的现状实施定期审计。

• 建立健全信息安全事件应急机制: 无论是个人信息还是其他数据, 一旦发生泄漏或者破坏, 不仅会导致企业自身的损失, 更有可能导致对信息主体的损害及企业的法律责任。因此, 企业应当建立安全事件应急机制, 明确风险识别、应急处理、报告和通知、公关应对等制度, 从而在发生信息安全事件时, 能够最大程度地降低、避免损害后果。

五、通力荣誉

通力律师事务所组建了覆盖网络安全与数据合规、反垄断与竞争法、反腐败、贸易与投资管制、劳动雇佣、商务知识产权、广告合规等各大业务领域的大合规团队。通力大合规团队在各业务领域均获得了市场的赞誉。在网络安全与数据合规领域, 我们的荣誉包括: 

• 通力获得2018 & 2020& 2021年ALB年度合规律师事务所提名。

• 通力连续三年(2019 & 2020 & 2021)在网络安全与数据领域获得LEGALBAND中国顶级律所排行榜推荐, 同时获得LEGALBAND 2021中国法律卓越大奖“年度最佳网络安全与数据合规律师事务所”。

• 通力在Legal 500 2021亚太地区榜单中得到“数据保护”领域推荐。

• 通力连续两年(2019 & 2020)在隐私及数据保护领域获得《商法》“年度卓越律所”大奖; 同时连续两年(2020 & 2021)在企业合规领域荣获“年度卓越律所”大奖。

• 潘永建律师连续两年(2019 & 2020)在网络安全与数据保护领域被评为LEGALBAND中国领先律师。

• 潘永建律师荣获2018 & 2020年度LEGALBAND中国网络安全与数据保护10强/15强律师。

• 潘永建律师荣获2020年LEGALBAND中国“合规多面手”15强律师。

• 潘永建律师获得ALB“数据隐私保护2020年度杰出律师”提名。

• 杨迅律师被LEGAL 500列为TMT领域、网络安全与数据安全领域特别推荐律师。

• 潘永建律师领导的团队2019年被《商法》评为数据与隐私保护中国领先服务团队。

通力律师事务所潘永建律师和杨迅律师带领的网络安全与数据合规团队为业内最早一批开展网安数据业务实践的团队之一, 对各个类型的网安数据业务均积累了丰富的经验, 是网安数据业务法律服务的中坚力量。通力律师凭借其深厚的法律功底及丰富的实务经验, 可以为您在网络安全与数据合规领域保驾护航: 

- 企业网络安全政策、个人信息与重要数据实践现状调查, IPO等融资场景下的“专门检查”, 个人信息安全评估(“PIA”)

- 企业数据安全和隐私制度的建设、培训与实施

- APP专项数据合规审查

- 企业数字化营销合规方案、大数据与数据交易合规服务

- 数据出境合规服务、网络架构与跨境联网合规服务

- 网络安全与数据事件应急管理服务

- 交易并购中的网络安全与数据合规服务

- 数据交易法律服务

向下滑动查看注释

[1]  网信办, http://search.cac.gov.cn/cms/cmsadmin/infopub/gjjs.jsp?templetid=1563339473064626&pubtype=S&pubpath=portal&page=2&webappcode=A09&huopro=%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E5%AE%A1%E6%9F%A5&mustpro=¬pro=&inpro=&startDate=$$$&endDate=$$$&sort=1&searchfield=$$$&searchdir=A09

[2]  通过云计算服务安全评估的云平台, 网信办, http://www.cac.gov.cn/2021-10/09/c_1635374183514549.htm

[3]  中央网信办、工业和信息化部、公安部、市场监管总局

关于开展摄像头偷窥等黑产集中治理的公告, http://www.cac.gov.cn/2021-06/11/c_1624994108997096.htm

[4]  辽宁省15部门联合开展“网剑行动”, http://www.cac.gov.cn/2021-09/26/c_1634248502106801.htm

[5]  浙江省App违法违规收集使用个人信息专项治理工作组发布《关于萌拍拍等57款App违法违规收集使用个人信息情况的通报》, http://www.cac.gov.cn/2021-07/09/c_1627416499328693.htm

[6]  关于开展天津市2021年度App网络安全专项治理的通告, http://www.cac.gov.cn/2021-04/27/c_1621103972524768.htm; 浙江省关于萌菌大作战等85款App违法违规收集使用个人信息情况的通报, http://www.cac.gov.cn/2021-08/29/c_1631828989708393.htm

[7]  海南开展房地产领域网络违规宣传广告专项治理行动, http://www.cac.gov.cn/2021-06/23/c_1626033093395066.htm

[8]  山东开展打击互联网金融违法犯罪专项整治行动, http://www.cac.gov.cn/2021-06/07/c_1624629091916411.htm

[9]  关于下架侵害用户权益APP名单的通报, https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2021/art_d939aaa441f7447eb03852dbbada9fef.html

[10]  关于下架侵害用户权益APP名单的通报, https://wap.miit.gov.cn/xwdt/gxdt/sjdt/art/2021/art_7476a16edcf448d6af0217a507916783.html

[11]  关于下架侵害用户权益APP名单的通报, http://www.gov.cn/xinwen/2021-08/29/content_5634037.htm

[12]  关于下架侵害用户权益APP名单的通报, https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2021/art_67939c262e3b4affab5e4510af18ece5.html

[13]  https://www.miit.gov.cn/jgsj/xgj/APPqhyhqyzxzzxd/gzdt/art/2021/art_e11dfc172c764a6ea81f61698f9b46f1.html

[14]  关于下架侵害用户权益APP名单的通报, https://mp.weixin.qq.com/s/pHsPdjwfRahOgHd6SxXFSw

[15]  工信部通报下架10款违规调用麦克风、通讯录、相册等权限的APP, https://new.qq.com/omn/20210304/20210304A07Y9B00.html

[16]  关于下架侵害用户权益APP名单的通报, https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2021/art_71946e7f5e134e39b806d442aa8a4368.html

[17]  国家计算机病毒应急处理中心监测发现18款违法移动应用, https://baijiahao.baidu.com/s?id=1704888797578841951&wfr=spider&for=pc

[18]  关于下架“滴滴企业版”等25款App的通报, http://www.cac.gov.cn/2021-07/09/c_1627415870012872.htm

[19]  关于Keep等129款App违法违规收集使用个人信息情况的通报, http://www.cac.gov.cn/2021-06/11/c_1624994586637626.htm

[20]  关于抖音等105款App违法违规收集使用个人信息情况的通报, http://www.cac.gov.cn/2021-05/20/c_1623091083320667.htm

[21]  关于腾讯手机管家等84款App违法违规收集使用个人信息情况的通报, http://www.cac.gov.cn/2021-05/10/c_1622225924090817.htm

[22]  关于输入法等33款App违法违规收集使用个人信息情况的通报, http://www.cac.gov.cn/2021-04/30/c_1621370239178608.htm

[23]  海南省互联网信息办公室关于对“民生宝”“快速问医生”等7款App

违法违规收集使用个人信息情况的通报, http://www.cac.gov.cn/2021-10/29/c_1637102894416330.htm

[24]  广西网信部门依法处置一批违法违规网站和App, http://www.cac.gov.cn/2021-09/02/c_1632170504030806.htm

[25]  浙江省关于萌菌大作战等85款App违法违规收集使用个人信息情况的通报, http://www.cac.gov.cn/2021-08/29/c_1631828989708393.htm

[26]  山东网信办根据网民举报依法查处13家违规网络直播营销网站, http://www.cac.gov.cn/2021-08/16/c_1630704326117622.htm

[27]  山东网信办根据举报线索依法查处违法违规收集使用个人信息的APP及网站19家, http://www.cac.gov.cn/2021-08/08/c_1630014037540297.htm

[28]  山东网信办根据举报线索依法查处违法违规网站171家, http://www.cac.gov.cn/2021-05/04/c_1621709390454273.htm

[29]  山东网信办根据网民举报坚决查处网络赌博类违法违规网站24家, http://www.cac.gov.cn/2021-04/14/c_1619979215470766.htm

[30]  山东网信办根据举报线索依法关闭47家违法违规网站, http://www.cac.gov.cn/2021-01/27/c_1613321105471883.htm

[31]  2021年上半年天津市网信行政执法工作成效显著, http://www.cac.gov.cn/2021-08/12/c_1630359860616267.htm

[32]  福建省网信系统持续推进行政执法 着力营造清朗网络空间, http://www.cac.gov.cn/2021-07/03/c_1626895589768236.htm

[33]  广西2月处置一批违法违规网站和账号, http://www.cac.gov.cn/2021-03/12/c_1617125821139504.htm

[34]  广西1月依法查处一批违法违规网站, http://www.cac.gov.cn/2021-02/15/c_1614967263948058.htm

[35]  广州查处网络交易违法案件60件, 责令整改735个网站, http://www.cac.gov.cn/2021-01/21/c_1612799380209328.htm

[36]  https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=68cb49460fec40a6869cadea01290aa7 

[37]  http://www.xhby.net/index/202102/t20210203_6970161.shtml 

[38]  https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=0b36c5260a0e427b9d8ead73000af96c