分享嘉宾:陈立彤 北京大成(上海) 律师事务所高级合伙人
编辑整理:谢彪
出品平台:OpenMPC
导读:今天的话题是网络安全与数据治理,这个概念不单纯是法律层面,更多的是风险治理。网络安全法涉及很多内容,如等级保护、跨境传输个人信息、重要数据保护等,这就引出了一个我们不容忽视的重要问题——安全风险。在明确风险之后,我们要找到办法去管理,将风险分类,对症下药,不可以一味地对利用数据说不,而是要安全地挖掘数据价值。
个人信息保护法
《个人信息保护法》中提到了很多风险问题,其实它要解决的风险不仅仅是安全风险,还是合规风险,合规风险它要解决的是什么?解决的是管好我们自己的手。比如汽车行业,会收集很多的个人信息,这些个人信息对我们来说是非常宝贵的资源。这些信息有的可以拿过去出售卖钱,保险公司就非常感兴趣。基于车主的驾驶习惯可以分析出保险费,由于驾驶习惯的不同,有的鲁莽,有的谨慎,保费也就随之变化。再比如我们还可以精准地分析到,新婚夫妻刚结婚需要买一辆小车,再过几年生孩子后可能需要换一辆大车。这个时候我们信息经过治理就可以在合法合规的情况下作为推销产品的一种手段,我们可以精准推测用户喜欢什么颜色的车,喜欢什么类型的车,再去给他推销什么样的车。这些说明什么问题?说明这些信息对我们来说都是非常有价值的,这些价值如果没有法律来监管就可能被滥用。所以个人信息保护法要解决的是合规的问题,管好我们自己的手。因此,基于安全来立法和制定标准的思路已经落后了。《个人信息保护法》要做的是个人信息保护影响评估,讲的是合规的问题,但是现在新的安全规范已经不能解决合规的需求。《个人信息保护法》中信息主体包括的权利和《GDPR》类似,可以有很多引申的话题,主要包括撤回授权同意权、删除权、更正权、查询权、获取个人信息副本权、注销账户权。举个例子,我们的信息在汽车行业中存在,从 4S 店通过合规的相应手续、措施传输到整车厂,信息就属于不同主体了,那么数据转让在合规方面就存在一些要求。数据安全法
《数据安全法》中要关注的是比如数据出境影响评估。如果是个人信息达到了一定的量次,一定的级别,就要去做安全影响评估。其他法律
在《民法典》中,公民的个人信息应受到法律保护,任何组织或个人在必要时合法获取他人的个人信息需要确保其安全,不得非法收集、使用、处理或传输他人的个人信息。如果违法可能引发民事责任被起诉。同时我们还要注意,网络安全数据治理做不好还可能会引发刑事责任。违反国家有关规定,向他人出售或者提供公民个人信息且情节严重的,可以判处有期徒刑。面对着这么多法律、责任、风险,应该怎么办?我们要进入第二个维度,合规管理。合规管理管的是什么?管的是风险。我们对所面临的风险要进行识别,要评估它的风险值大小并排序,风险值越高的,我们对风险进行管控花的人力、物力、财力就越多。前面所说的那些法律规定所产生的风险,我们可以分为三类。
法律风险是法律规定你不能做,你做了;法律规定你必须做,你没有做。尤其是法律规定你不能做的,代表了法律对你的最低的期望,但是你去做了,这时候处罚是最严重的。所以我们在做风险识别的时候,我们要把这种叫禁止性合规义务所相应的风险优先识别。
非主观故意因素造成的损失风险,如内部控制缺陷或行为人的过失。例如,员工不熟悉系统操作流程,导致操作失误,或者员工安全意识不够强。
员工或者是外部的黑客对你构成了欺诈,也许你不会因为欺诈风险被处罚,但是欺诈风险会给你带来经济损失。面对这些风险,我们怎么办?我们要进行管理,依据已有标准,我们还要自己去设计一些管控措施和工具来进行管理。比如Integrity and Cybersecurity这种帮助企业来做隐私数据的分类、管控流程、泄露方式、管控方法等等。风险管控的措施要跟我们的风险值成正比,不能够大帽子戴小脑袋,也不能小帽子戴大脑袋,不能够极左,也不能极右。更不能说我们在处理法律风险、操作风险和欺诈风险的时候,因为我们自己的处理不当,形成了衍生的操作风险,明明这些受保护的财富可以为我们所用的,但是因为你合规管理工作没有做好,导致它没有被充分的利用,这也是一种操作风险。其实从这个角度来讲,我们的合规管理要去管理,而不是一直说不。