2021年,我国在网络安全和数据保护领域的立法仍然高歌猛进,可谓立法的“大年”。随着11月1日《个人信息保护法》的生效,我国网络空间监管的立法框架基本尘埃落定,随之而来的配套法规和规范性文件的制定将成为重点。
面对丰硕的立法成果,企业的压力在于如何尽快认知、识别风险和确保合规落地。在进入2022年之际,走出去智库(CGGT)特约法律专家、中伦律师事务所合伙人陈际红以一篇年度法律观察奉献给同仁,期待为企业数据合规工作带来一些启示和指引。
要点
CGGT,CHINAGOINGGLOBALTHINKTANK
1、《数据安全法》确立了数据分类分级的基本制度,设立了数据安全审查制度,并且较为全面地构建了我国数据跨境流动的监管制度。
2、汽车全产业链涵盖交通、公共服务、工业制造等行业,智能网联汽车配备了各种网络系统,处理大量的数据,随着智能网联汽车保有量的增大,与国家安全、公共利益和个人利益关系愈发密切。
3、企业数据合规策略一定是根据企业数据处理活动的敏感程度、可投入资源,基于合规措施与风险相适应的原则量身而制。
正文
文/陈际红
走出去智库(CGGT)特约法律专家
中伦律师事务所合伙人
一、立法观察:“三驾马车”架构下逐渐完善的法律体系
我们认为,在《个人信息保护法》下,企业未来将面临五大合规风险:
“三驾马车”架构。与2017年6月1日生效的《网络安全法》一起,上述三部基础性法律共同构成了我国网络空间监管的“三驾马车”。三部法律没有主次之分,都应当是企业在合规实施中对标的法律基准,只不过根据企业的业务类型不同,三部法律适用的紧密程度有所不同。如果要对各自的监管重点范围做一个划分,《网络安全法》侧重于网络安全等级保护制度、网络关键设备和网络安全专用产品检测与认证体系、关基保护、网络安全审查、信息网络内容安全及网络安全监测预警和信息通报制度等;《数据安全法》则主要监管数据处理活动,包括数据分类分级保护制度、重要数据和国家核心数据管理、数据安全风险预警及应急处置机制、数据安全审查制度和数据跨境流动监管等;《个人信息保护法》规定了个人信息的保护,包括个人信息范围的界定、个人信息处理基本原则及具体规则、个人信息跨境流动规则、个人信息主体权利及保护、处理者的安全义务等。
数据出境安全评估与标准合同条款。网信办于10月29日发布《数据出境安全评估办法(征求意见稿)》,并公开征求意见。同时,关于《个人信息出境标准合同规定》也正密集地在内部征求意见。数据出境涉及国家安全和重大公共利益,是数据监管的最重要的环节之一。目前,这两个法律文件可谓箭在弦上,随时待发。
除了以上的立法之外,备受瞩目的《关键信息基础设施安全保护条例》于9月1月正式实施,与《网络安全法》一起构建了国家关键信息基础设施安全保护体系的顶层设计。此外,网信办等五部门联合发布的《汽车数据安全管理若干规定(试行)》自2021年10月1日起施行,开启了我国汽车数据安全强监管时代。
在地方立法方面,《上海市数据条例》和《深圳经济特区数据条例》分别将于2022年1月1日实施。
二、执法观察:从行政执法迈向多元治理模式
APP专项治理。自2019年开展App违法违规收集使用个人信息专项治理行动以来,App个人信息保护行动不断深化持续至今。今年以来,由网信办等四部门联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》于2021年5月1日正式施行,为判断必要个人信息的范围设定了明确的边界。网信办、工信部和公安部聚焦超范围收集、未经同意收集使用、未提供撤回同意选项等侵犯用户权益的痛点问题,累计通报了逾千款App。在未来监管要求和趋势方面,一是治理内容精细化,监管重点将主要集中在“超范围收集与功能无关个人信息”、“强制或频繁索要无关权限”、“无法注销”、“SDK治理”等更加细致具体的问题上;二是落实应用分发平台责任,应用分发平台应当落实平台内App信息公示责任、平台管理责任;三是不断提高技术检测手段;四是发挥舆论监督治理作用,督促企业强化自律。
公益诉讼。在《个人信息保护法》颁布的第二天,即8月21日,最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,要求检察院切实加大办案力度,推动公益诉讼条款落地落实,形成个人信息保护多元共治新格局。此举措是对《个人信息保护法》第七十条之公益诉讼条款的有力支撑。事实上,个人信息保护作为检察公益诉讼新领域之一,在最高人民检察院2020年9月出台的《关于积极稳妥拓展公益诉讼案件范围的指导意见》中,已经将个人信息保护作为网络侵害领域的办案重点。
刑事保护。《刑法修正案(九)》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,扩大了犯罪主体和侵犯个人信息行为的范围。2017年,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》发布。考虑个人信息犯罪较低的入刑门槛,刑事风险的防范一直是企业数据合规工作的底线。据最高人民法院统计,2017年6月至2021年6月,全国法院新收侵犯公民个人信息刑事案件10059件,审结9743件,生效判决人数21726人,对3803名被告人判处三年以上有期徒刑,比例达17.50%。
三、热点扫描:数据治理的焦点
汽车数据进入强监管时代。2021年10月1日,《汽车数据安全管理若干规定(试行)》(以下简称“《若干规定》”)施行。《若干规定》作为我国首个汽车行业数据安全方面的部门规章,开启了我国汽车数据强监管时代。临近年底,上海市、广东省、天津市、河北省等多省市网信办依据《汽车数据安全管理若干规定(试行)》第十三条规定,要求汽车数据处理者开展2021年度汽车数据安全管理情况报送工作,预示着《若干规定》实实在在地落地实施。
四、合规落地:由表及里,逐步推进
从实操层面来看,我们认为以下几个关键环节需引起企业的特别重视:
(1)风险识别。风险识别的前提是全面梳理数据处理活动,盘点数据资产,建立企业的数据清单和数据流转图。在此基础上,对重点业务场景进行合规差距分析、识别风险,并对风险进行分级,在此基础上制定合规整改的优先顺序和实施路径。
(2)制度体系构建。对于覆盖数据全生命周期的合规制度建设,三部基本法都有规定。数据保护合规规则体系分三层次构建:第一层次为政策,作为公司关于数据保护合规的纲领性文件,将在其中明确整体战略目标、基本路径、职责划分等内容;第二层次为手册,作为整体政策与具体规范的串联,是可供员工在具体业务场景下实际操作的指南与工具,将覆盖典型业务场景及普通员工的日常活动场景;第三层次为具体规范文本,作为具体的制度、流程及表单、模板库,是合规工作开展的具体依据。
(3)数据本地化与数据跨境路径。对于国际化经营的企业而言,数据本地化及跨境传输的路径选择是其面临的一个比较亟迫且棘手的问题。数据本地化存储,意味着资源的投入、IT架构的重新设定和业务流程的变化。一般而言,在考虑数据本地化必要性方面,要综合考虑业务的类型(2C还是2B)、处理数据的量(是否超过网信办的标准)、服务客户的类型(是否有CIIO客户),以及处理数据的性质(是否包含重要数据或受特定监管的数据)后加以确定。
(4)开展个人信息影响评估及个人信息保护合规审计。开展个人信息安全影响评估(以下简称“PIA”)的目的是检验数据处理活动的合法合规程度、发现潜在风险并判断风险程度。PIA首先是一项法定的合规义务,在《个人信息保护法》和《儿童个人信息网络保护规定》等规定中都有明确的要求;其次,PIA是一种普遍适用的数据处理活动风险评估方法论,可以作为一个有效的数据合规工具。除PIA外,另外一个重要的合规机制则是合规审计,审计工作是对数据合规工作的一种审视和监督,以发现数据保护工作中的疏漏和差距,对此《个人信息保护法》亦有明确要求。关于推进审计工作的重点和方法,可以参照中国信息通信研究院最近牵头编写的《关于推进个人信息保护合规审计的若干建议》。据此,我们建议PIA和合规审计应当成为企业数据合规体系中的基础性制度。
(5)信息安全事件应急机制。一旦发生数据泄露事件,就可能演化成一场企业的危机,对此,企业要有应急预案。应急预案至少要包括风险识别和锁定、应急处理机制、报告和通知机制以及公关应对机制等,并定期进行演练活动。对于国际公司而言,数据事件往往涉及不同法域,处理难度更大,因此需提前建立起能覆盖各法域、应对各类安全事件的法律资源网作为有效支撑。
五、趋势研判:密集的配套法规及标杆性的执法案件
在2022年,我们预计:
平台治理的分类分级监管。2021年,以《国务院反垄断委员会关于平台经济领域的反垄断指南》为标志,监管和执法机构开展了一场轰轰烈烈的平台经济反垄断、防止资本无序扩张的行动。考虑到中央确定的2022年经济工作“稳字当头、稳中求进”的主基调,2022年关于平台经济更加严苛的监管措施应当会减少,监管部门将会基于“大平台、大责任、高标准”的分类分级思路推进平台治理工作。平台治理工作重点可能包括两大方面,一是《个人信息保护法》第五十八条对重要互联网平台服务的监管,会伴随着《数安条例》的落地而具有更清晰的法律要求;二是平台的算法治理,在《互联网信息服务算法推荐管理规定(征求意见稿)》发布实施的预期下,监管机构会逐渐落实平台算法的分类分级、备案管理和安全评估制度。
重要数据识别和跨境数据监管。重要数据的处理活动和跨境数据传输会引发国家安全和重要公共利益的考虑,历来是数据安全监管的重点。2021年,重要数据的识别和监管率先在汽车数据领域展开,预计2022年重要数据识别的一般法律规则会出台生效,各行各业的重要数据识别会逐次展开,监管部门和行业主管部门也会把重要数据处理活动监管逐步纳入程序化的轨道。对于跨境数据的流动,预计随着《数据出境安全评估办法》和《个人信息出境标准合同规定》的颁布生效,必将成为企业合规的重点和监管的焦点。