你的浏览器版本过低,可能导致网站不能正常访问!为了你能正常使用网站功能,请使用这些浏览器。
一、步步升级---网络安全无小事
1、第一击:网络安全审查+停止新用户注册
2、第二击:违法违规收集个人信息+APP下架
我们可以看出,7月2日发出第一个公告后,7月4日发出第二个通报,且在非工作日紧急发布通告,可见监管机构对于此事的重视。而“网络安全审查”引发停止注册新用户,“违法违规收集个人信息”则引发APP下架,特别是第一个通知中提到了“防范国家数据安全风险,维护国家安全,保障公共利益”,充分说明了一个问题“网络安全无小事、数据安全无小事”。
不应把网络安全看成是一个简单的技术问题或者合规问题,而是应该从国家安全、国家战略、民族利益的高度看待这个问题。2015年,我国修改后的《国家安全法》阐述了全面的国家安全观,其中,网络空间安全是国家安全的重要构成部分。
关键信息基础设施运营者和重要互联网企业的网络安全、数据安全、个人信息保护问题,绝非企业的私事,同时更是国家安全范畴的大事。
二、追本溯源---两次公告/通报所涉法律事由
1、两次公告/通报多维度对比分析
通过分析两次公告/通报,我们发现,所述的法律事由有一些不同,吴卫明律师作了表格归纳,具体对比如下:
2、7月2日公告所涉事由的法律解读
(1)《国家安全法》层面的解读
7月2日公告里面提到了“防范国家数据安全风险,维护国家安全,保障公共利益”,且法律依据包括《国家安全法》。
法条表述
《国家安全法》第二十五条是这样表述的:国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。
核心词条之一:网络与信息安全保障体系
事实上《网络安全法》、《数据安全法》、《个人信息保护法(草案)》及配套条例和规章的制度安排,目的就在于构建网络与信息的安全保障体系。当然,具体分析滴滴的行为,还需要依据其行为事实与具体制度。
核心词条之二:关键基础设施和重要领域信息系统及数据的安全可控
安全可控,意味着中国境内的网络设施、数据处于安全、可控状态,并且承载网络的硬件、软件均安全可控。吴卫明律师认为,安全是个技术概念,可控则是一个供应链安全的概念,并且与当前国际之间的科技封锁及贸易管制措施有关。
核心词条之三:维护国家网络空间主权、安全
网络安全与数据是网络运营者的事,也是国家网络空间主权与安全范畴的事情。这一点,比一般的合规意识更加重要。
(2)《网络安全法》层面的解读
核心词条之一:关键信息基础设施
《网络安全法》第三十一条:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
核心词条之二:国家安全审查
《网络安全法》第三十五条:关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
这一内容在《网络安全审查办法》中得到细化,也是本次直接适用的一项具体制度。
核心词条之三:个人信息与重要数据境出境限制
《网络安全法》第三十七条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
这一问题,在《数据安全法》以及《个人信息出境安全评估办法(征求意见稿)》、《个人信息与重要数据出境安全评估办法(征求意见稿)》中也有进一步的规定与细化。
根据现有披露的信息,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查,可以初步推断的是,具体制度方面,适用的是《网络安全法》第三十五条,当然,由于监管机构正在查处本案,具体适用规则、制度的维度,仍需等待进一步的消息。
2、7月4日通报所涉事由的法律解读
核心词条之一:合法、正当、必要
《网络安全法》第四十一条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。网络运营者不得收集与其提供的服务无关的个人信息。
核心词条之二:公开、明示、同意
《网络安全法》第四十一条:网络运营者收集、使用个人信息,应当…公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
核心词条之三:依法依约处理
《网络安全法》第四十一条:网络运营者…不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
核心词条之四:不得非法提供
《网络安全法》第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
根据现有披露的信息,网络安全审查办公室按照《网络安全法》,对“滴滴出行”实施的整改,具体涉及《网络安全法》中所列的哪一种违法行为,以及涉及哪一项具体法规、条例或规章,当前尚无法获知。仍需等待监管及滴滴方面进一步的信息披露。
三、答疑解惑---网络安全/数据安全/个人信息关系
对于普通公众,乃至法律工作者,或者企业法务部门的工作人员,连续两次的公告/通报,涉及多个法律概念,其相互关系是什么?仍存在一定的模糊边界,对此,简要分析如下:
1、网络安全
网络安全是一个最为抽象的大概念,既包括信息系统安全、信息系统自主可控、也包括数据安全、还包括数据合规利用、个人信息保护等内容。网络安全对应的是网络空间治理,是一个宏观的范畴(参见《网络安全法解读》,吴卫明)。
(1)重要信息系统安全可控
(2)系统软硬件与系统环境的可用性、可靠性和稳定性
(4)数据安全与合规
2、数据安全
数据安全是一个较为具体的概念,主要针对数据这一无形的信息记载形式,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
(1)数据被有效保护,即未被窃取、盗用、不当删除(信息安全层面)
(2)数据合法利用(合规层面)
3、个人信息保护
个人信息是数据的重要组成部分,但由于涉及个人的隐私和人格尊严,个人信息在《民法典》、《网络安全法》、《数据安全法(草案)》中,均有单独的规定。
个人信息保护,主要规范个人信息的收集、存储、利用、传输、共享、删除的合法性问题,以及个人信息主体的权益。
四、避免踩雷---互联网企业如何应对
1、尽快启动评估/预先评估!
(1)网络安全管理整体合法合规性评估
如果企业整体合规基础较好,则整体评估的内容可以适当简化,而将重点放在一些重点问题的自评估方面。
(2)关键信息基础设施运营的合法合规评估
其一,网络产品及服务的采购安全评估制度,关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。虽然当前《关键信息基础设施安全保护条例》及风险预判指南尚未颁布,但仍建议参照已有的法律及规则及社会通行的常识进行判断。
其三、其他合规要求的评估,如组织、人员安排、演练、应急预案、培训等制度的落实。
(3)数据处理整体合法合规情况的评估
(4)重要数据风险评估
《数据安全法》确立了重要数据风险评估制度。与重要数据出境评估作为特定事项监管不同,重要数据风险评估制度是一种针对重要数据的常态化监管机制。
(5)个人信息保护合法合规性评估
对于个人信息处理所涉及的全流程、个人信息处理全生命周期的合法合规性做自评估。
(6)个人信息出境的评估
虽然当前《个人信息保护法(草案)》、《个人信息出境安全评估办法(征求意见稿)》均未正式通过,但为了应对将来的评估,企业自身对于数据出境及利用情况可以进行必要的预先评估,以迅速应对新法的颁布。
2、意识、意识、提升意识!
网络安全、数据安全,虽然是一套制度体系,但反映的是一种全新的法律治理对象,网络空间的无形性,容易引发对于网络安全、数据安全的疏忽与懈怠心理。
事实上,并非只有中小企业会因为网络安全、数据安全、个人信息保护遭受调查,部分头部互联网企业同样会遇到这样的问题。从其内部合规制度的完备性、人员的专业性来看,都达到了很高的水准,为什么仍会遇到各种违法违规问题呢?很重要的原因在于合规意识不够,合规没有被作为企业最为重要的内在能力。
因此,在合规管理体系中,网络安全、数据安全意识同样也是重要影响因素(参见《数据安全合规体系的构建》一文,吴卫明),尤其是决策层和重要管理层的网络安全、数据安全意识。
3、合规不仅是技术,更是宏观策略与架构!
如果从技术论角度看问题,那么合规部门、法务部门、信息安全部门的中观、微观操作性更强。然而,网络空间的虚拟性、外部环境的动态性、创新业态的复杂性、数据的流动性,导致如果仅仅从“操作技术”的角度进行网络安全、数据合规的管控,往往难以达到效果。
因此,吴卫明博士认为,需要从以下几个方面进行优化:
(1)将网络安全与数据合规上升到公司的宏观策略层面,以安全策略统领合规制度。
(2)网络安全、数据安全(包括个人信息保护)制度的全方位覆盖。
(3)赋予合规部门、法务部门、信息安全部门更为宏观的管控职能,在组织架构上提供履行职责的保障,并更加深度介入业务、战略决策,才是防范风险的根本。
4、建立网络安全与数据安全风险评估长效机制
如前所述,当前企业可以开展系类问题的自评估。这是应急的策略,从长期合规经营的角度看,企业应建立完善的网络安全与数据安全风险的评估体系。
通过定期评估机制,或者重要事件触发评估的机制,或者通过自评估与第三方专业机构评估结合的方式,让企业对于自身的网络安全与数据安全风险有清晰的判断,从而使风险处于可控状态。