金桥法谈 | 从滴滴事件看《网络安全审查办法(修订草案征求意见稿)》与企业数据合规要点
陈淮 合伙人
广东金桥百信律师事务所
岳洋洋 律师
广东金桥百信律师事务所
01
前言
2021年6月30日,滴滴出行以交易代码“DIDI”正式登陆纽交所,随后中国网络安全审查办公室于7月2日公告,依据《国家安全法》与《网络安全法》,将启动对“滴滴出行”的审查。7月4日,国家互联网信息办公室发布公告通知应用商店下架“滴滴出行”App。
随后,中共中央办公厅、国务院办公厅印发了《关于依法从严打击证券违法活动的意见》,其中第19条规定,“加强跨境监管合作。完善数据安全、跨境数据流动、涉密信息管理等相关法律法规。抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定,压实境外上市公司信息安全主体责任。” 企业的数据合规与监管归责被强调。
7月10日,国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》(下称“《办法》修订草案”),该《办法》修订草案突破了《网络安全法》中涉及安全审查的主体范围与审查范围。
滴滴出行作为国内领先的网约车平台,占据网约车市场90%以上的份额,掌握了中国各大城市道路、交通与众多公民的出行数据。早在滴滴出行美股上市之前,滴滴已被相关部门约谈两次。虽然对于此次“滴滴出行”被下架的原因众说纷纭,但不可否认的是,上述一系列事件已然显示,企业数据合规已然迈入了“强监管”的时代。为此,以下就企业关心的五个问题简要分析。
02
《办法》修订草案重点关注的修订内容有哪些?
1、拓展了网络安全审查的审查范围
目前实施的《网络安全审查办法》作为《网络安全法》规定的安全审查的配套法规,仅仅就关键信息基础设施运营者采购网络产品和服务涉及如何具体实行安全审查进行规定。
然而,本次《办法》修订草案突破了《网络安全法》中涉及安全审查的审查范围。《办法》修订草案中多处增加了关于国外上市的网络安全审查的内容,并强调国外上市是网络安全审查重点评估的内容之一,网络安全审查的材料也包括了企业拟提交的IPO文件,明确了触发网络安全审查的不再仅仅是采购网络产品和服务。
2、 增加了网络安全审查申报义务的主体
《办法》修订草案新增的第六条明确规定,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。从而增加了原本申报网络安全审查主体,网络安全审查主体不再仅限于关键信息基础设施运营者,超过100万用户个人信息的数据处理者国外上市同样需要申报网络安全审查。
3、 网络安全审查的程序是否有修改?
网络安全审查的启动分为两种方式,分别为国家网络安全审查工作机制依职权启动或者企业按照《办法》修订草案第5条、第6条依申报启动。
本次《办法》修订草案未对网络安全审查的程序上做任何变更,仅对特别审查程序的时间限制由45个工作日改为3个月。因而对于复杂的网络安全审查,审查期间最长可达60个工作日另加3个月的特别审查程序,并可另行延长。
下图为本次《办法》修订草案的网络安全审查流程图。
03
哪些企业需要特别关注数据合规?
根据《网络安全法》,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
上述重要行业或领域的运营者可能被被认定为关键信息基础设施运营者,相比起一般数据处理者而言,关键信息基础设施运营者的各项法定义务与管控标准都更为严格,需要特别注意网络安全与数据合规。
此外,关于关键信息基础设施运营者的认定,《关键信息基础设施安全保护条例(征求意见稿)》中的相关规定也能予以参考:
1)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
2)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
3)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
4)广播电台、电视台、通讯社等新闻单位或其他重点单位。
04
企业在数据合规方面需要注意什么?
1、落实网络安全等级保护测评备案
网络基础设施作为企业网络安全与数据安全的基础,应当优先获得重视。企业应当按照《网络安全法》以及《GB/T 22240-2020 信息安全技术网络安全等级保护定级指南》等相关规定,根据企业自身的业务类别与体量确定相应的等级,全面落实相应系统的等保测评备案工作,并且根据不同测评级别跟进完成年度测评备案工作。
2、建立数据的保护制度
企业还应当根据相关法律法规与行业指南的监管规范要求,落实到企业的数据全生命周期(包括但不限于收集、存储、使用、加工、传输、提供、公开、销毁等),建立数据安全应急处置机制并进行数据安全风险评估等制度,根据每个环节设计并落实人员、组织、制度的管理体系。
3、网络安全教育与数据合规培训
企业很应当通过内部定期或不定期的网络安全或数据合规培训,教育并强化企业员工对于数据安全的意识,使企业员工能够在工作岗位上切实落实公司对于网络安全与数据管理的各项制度。
05
违反相关法律法规的法律责任?
《网络安全法》第六十五条
关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
若企业有违反《网络安全法》的其他情形,有关主管部分将根据具体情况,责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
此外,根据《数据安全法》,最高可被处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。根据《个人信息保护法(草案二次审议稿)征求意见》(下称“《个保法》征求意见”), 企业违反《个人信息保护法》处理个人信息,最高将被罚款五千万元以下或者上一年度营业额百分之五以下,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
因此,违反数据合规与个人信息保护的行政处罚未来将进入千万级别的罚款时代,企业应当未雨绸缪,按照相关法律规范的要求,完善企业的网络安全系统与数据合规体系。
06
后续仍需特别关注的事项
1、数据跨境的法律制度
根据《网络安全法》与《数据安全法》相关规定,关键信息基础设施的运营者收集的个人数据与重要数据出境需经安全评估,其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。而根据《个保法》征求意见第38条,数据跨境应至少满足下列条件之一:
(一)通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;
(四)法律、行政法规或者国家网信部门规定的其他条件。
上述条款所述的个人信息保护认证与国家网信部门制定的标准合同,在一定程度上借鉴了欧盟GDPR的关于数据跨境的规定,然而具体如何与《网络安全法》以及修订后的《网络安全审查办法》进行衔接,有待后续的司法解释或相关法律法规的诠释。
2、数据国家安全审查制度与网络安全审查制度
为回应《国家安全法》的相关规定,《数据安全法》建立了数据领域的国家安全审查制度,将对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
本次《办法》修订草案亦将《数据安全法》作为其依据的上位法之一这意味着修订后的《网络安全审查办法》将在2021年9月1日《数据安全法》正式实施后,作为《数据安全法》的配套法规予以实施,然而本次《办法》修订草案并未对数据国家安全审查制度任何新的规定。
有观点认为,《数据安全法》虽然未对数据安全审查制度所覆盖的审查范围予以进一步明确,但可以预见的是,随着相关配套法律法规的出台,数据国家安全审查将同网络安全审查一样,成为企业合规工作需要重点关注并落实的合规义务。*
然而《数据安全法》正式实施后,前述两个审查制度将来是否会分别单独实施或是合并实施?具体的审查程序与内容是什么?对于数据国家安全审查又是否会有像网络安全审查一样,组织专门的机构负责处理?仍然需要各大企业关注后续的立法动态。
* 陈际红、蔡鹏、韩璐、骆天在《<数据安全法>七大合规义务和六项应对策略》,
https://law.wkinfo.com.cn/professionalarticles/detail/NjAwMDAxMjIyNTY%3Dmodule=&fromType=qrcode,最后访问2021年7月18日。
07
结语
基于国家总体安全观,网络与数据安全属于政治、领土和军事威胁之外的非传统安全,但在国家安全战略体系中的地位仍然十分关键。这是因为,数字化时代多源信息融合技术的发展模糊了国家秘密与非秘密之间的界限,而部分影响国家安全的数据并不在传统国家安全部门的统领之下,不少可能影响国家经济命脉、社会稳定和整体福利水平的重要数据可能由企业掌握。*
随着物联网、云计算、人工智能、5G等新技术的发展,网络安全与数据合规问题必将成为社会焦点,相关法律制度与执法实践也必然成为国家关注的重点。本次滴滴出行被下架后,网络安全审查办公室公告对“运满满”“货车帮”“BOSS直聘”启动网安审查。关注网络安全、完善数据合规制度已是企业合法合规经营的重点,且其紧迫性已不容忽视。
* 朱雪忠,代志在:《总体国家安全观视域下<数据安全法>的价值与体系定位》,载《电子政务》2020年第8期,第82-92页。
供稿 | 陈淮 岳洋洋
编辑 | 罗影璇
金桥百信 招贤纳士
►广东金桥百信律师事务所于1995年在广州设立,是国内第一批合伙制律师事务所。办公地址位于广州市CBD核心——珠江新城超甲级写字楼高德置地广场G座楼24、25楼,办公面积近5000平方米,执业律师逾400人。2015年事务所启动改制和创新管理,2019年凭借自身的核心竞争力和优势顺利入选ALB 2019年亚洲最大50家律师事务所,2020年被评为2016-2019年度广州优秀律师事务所。
►广东金桥百信律师事务所因不断壮大需求,诚邀志同道合的法律精英加盟,携手合作、共创美好金桥。
►合伙人加盟联系
人才发展委员会副主任罗建欣律师
邮箱:luojianxin@kingbridgelaw.com
电话:186 8888 9563
►律师、实习律师/助理、实习生加入联系
人力资源部郑小姐
邮箱:kingbridge@gdjqbx.com
电话:135 8043 6900
工作地点:广州市天河区珠江东路16号高德置地冬广场G座24、25楼
推荐阅读
金桥法谈 | 拿什么兑现 I care a lot 的老年时光
金桥法谈 | 吴亦凡舆情事件持续发酵,而法律的硬仗才刚刚开始......
点击分享
点赞
点亮在看