零壹智库闭门会系列:“《网络安全法》实施后金融科技等行业如何应对?”
6月14日,零壹智库在君合律所举办了“如何应对《网络安全法》系列规范带来的新挑战”闭门会。时值《中华人民共和国网络安全法》(以下简称《网络安全法》)生效不久。最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“两高司法解释”)也于《网络安全法》生效同日起实施。
作为我国网络安全领域的基本法正式实施,《网络安全法》是中国第一部关于网络安全的综合性法律,包含了若干新的法律概念及规定,其定义、规定将对应用本法律、包括金融科技行业、大数据产业在内的商业公司产生深远影响。
《网络安全法》立法历程
《网络安全法》立法工作启动始于2013年。在此之前,网络安全领域的法律、法规建制,更是经历了20多年的积累。1994《计算机信息系统安全保护条例》的发布,是该领域首个法规。此后该领域法规逐渐充实丰富,2007《信息安全等级保护管理办法》出台;
2012年全国人大发布《关于加强网络信息保护的决定》。
《网络安全法》的出台,包含了许多与个人信息保护有关的规定,概括性统筹了以往散见于各个法规的规定,也提出了新的法律要求。
新法几大需要注意的地方
《网络安全法》将网络运营主体分为三大类别,即网络运营者、网络产品和服务提供者和网络关键信息基础设施运营者,其中网络关键信息基础设施运营者是首次提出的概念,设置了若干新的法律义务。
《网络安全法》重申了网络运营者对个人信息的保护义务,这些义务散见于现有法律、法规,包括:网络运营者收集、使用个人信息,遵循合法、正当、必要的原则、强调了"不得收集与其提供服务无关的个人信息"和"知情和同意"的要求;仅将个人信息用于个人同意的目的等。除此以外,《网络安全法》对个人信息保护提出了新规则,主要有三大方面:
数据泄露通知义务;
个人信息的收集、使用需遵守知情和同意原则,但信息经过处理无法识别特定个人且不能复原的除外;
个人在发现被收集、存储的其个人信息有错误的或者个人信息的收集、使用违反双方的约定的时候,有权要求网络运营者进行修改或者删除相关个人信息。
阿里巴巴法务官孟洁 :
大数据采集时需要从不同的层面考虑违规风险。行政责任方面,有相应的《行政法》、《网络安全法》和人民银行的规定。从刑事责任角度考虑,以往的案例大多是数据诈骗,其司法解释范围非常宽。它有几点值得注意:第一未经同意的收集作为非法行为,这个在以往没有很明确;第二未经同意的转让,比如说人家从别的数据源拿到给我们,或者我们拿到给别人,这个也作为非法的方式;第三,非法侵犯个人信息,"非法"的解释,按照刑法来讲是违反国家的法律和行政法规,这是人大出的规定和国务院出的规定。两条解释里面扩大到法律行政法规和规章。人民银行的规定如果是部门规章关于个人消费者的规定,它就纳入到行政法规这一块。“比如说个人金融信息管理除了收集金融信息不能为业务之外的其他用户使用,这是一条线,如果用这条线就什么事也做不了。这就面临着我们探寻的不是法律底线,而是实践执行的实践底线。”
《网络安全法》发布后,行业仍存在一些疑问,在实施和执行的细节方面,仍将依赖于更为具体的规定和主管部门的实施意见出台。
《网络安全法》执行还存在哪些条文有待明确?
《网络安全法》实施后,尚存在一些操作细节的疑惑,这些疑惑或需要监管部门出台相应的实施细则。君合律师事务所合伙人董潇律师举了一些例子:
比如收集信息要求遵守知情和同意的原则,披露给消费者的时候披露到什么样的程度才算是让消费者足够的知情,何种方式的同意有效?
《网络安全法》当中增加了三块义务,第一就是数据泄露的通知义务,42条规定如果已经发生数据泄露的,应该按照相关要求相关规定去及时的通知消费者,并且报告相应的政府机构。按照相应的规定,是指按照什么规定,如何进行相应的报告和通知。
大数据产业如何规避违规?
今年以来,经媒体曝光的数据泄露和数据盗窃事件不断,《网络安全法》的实施,为个人消费者提供维权和申诉的法律依据。另一方面,作为数据获取方的大数据公司,此前所采用购买数据、爬虫等较为“野蛮”的方式,面临着困惑和挑战:新的司法解释出来之后,过去的野蛮的采集方式是否可行?有哪些业务边界需要厘清?
董潇认为,大数据采集和处理时需要从不同的层面考虑违规风险,例如,需要考虑《网络安全法》以及相应行业的规定、例如人民银行关于消费金融信息的规定,来综合的考虑。而且,从刑事责任角度考虑,以往的案例大多是数据诈骗,但考虑到两高司法解释,大数据公司需要更多的考虑操作是否触及刑法红线;例如,数据来源是否属于未经同意的收集;又如,从第三方获取的数据,第三方是否获得了足够的授权。
律师答疑
问:对于企业的客户经理的个人违规,有时候是公司无法完全掌控的,如果这种风险发生,员工当然会开除,对公司造成的法律上的责任怎么界定?
董潇:这是两个层面的责任,一个是个人层面的行政责任、刑事责任;对公司来讲从《网络安全法》和工信部之前的规定来看,规定一个公司要形成相关的制度,一旦出现风险事件,以此认定这个公司有没有满足相应的法律要求做到适当的保护措施。
问:关于授权方式,监管机构会出一个更细致的指导吗?
董潇:各行各业不一样,很难出台一个统一的办法。需要从几个方面进行关注,第一是从刑事责任角度,公安部门检查部门掌握到哪条线;第二步就是行业主管机关角度,例如人民银行对于金融行业的监管、工信部对于互联网和电信行业的监管,工商局对消费者保护方面的监管等等采取何种原则,以及相关领域的行业实践是怎样的。
关于我们
零壹智库是零壹财经旗下新型的研究服务平台,坚持独立、专业、开放、创新的价值观。包含零壹财经华中新金融研究院,零壹研究院等研究机构,并建立了多元化的学术团队,通过持续开展金融创新的调研、学术交流、峰会论坛、出版传播等业务,服务新金融机构,探索新金融发展浪潮。