0
| 本文作者: 李勤 | 2017-12-08 21:42 |
雷鋒網編者按:昨天(12月7日),雷鋒網宅客頻道剛告訴你企業CSO “背鍋俠”不易當,不好意思,又要給網絡安全的領導們來一場“暴擊”。
今天(12月8日),在BDTC 2017中國大數據技術大會“大數據安全與政策法規論壇”上,公安部第三研究所網絡安全法律研究中心主任黃道麗給出了兩個案例:1.雀巢員工侵犯公民個人信息案中,2011年至2013年9月,鄭某等6名雀巢員工為推銷配方奶粉,通過支付好處費等手段,從蘭州市多家醫院獲取孕婦姓名、手機號等信息共計12萬余條,但二審法院甘肅省蘭州市中級人民法院于今年 5 月 31 日判決,鄭某等人的涉案行為屬于個人行為,雀巢公司無刑事責任,免于單位犯罪。為什么?2.今年網安法頒布后,其二十一條可能會讓企業的網絡安全負責人比較難受:負責人若輕易簽字,可能要遭受網安法規定的“個人處罰”。
企業如何遵從法律要求的“合規”?以下為黃道麗的演講全文,原題為《從數據合規道網安法的全面遵從》,雷鋒網在不影響原意的基礎上略有刪減和整理,小標題為編者所加。
--
我今天演講的題目是《從數據合規到網安法的全面遵從》。
我帶領的團隊專業主要從事網絡安全法律的研究工作,除了承擔相關的科研項目,還會為政府部門、互聯網企業提供法律研究支撐。團隊現在的研究重點主要是圍繞網絡安全法的相關配套措施和制度研究,包括數據安全保障、安全漏洞法律治理、等級保護與關鍵信息基礎設施保護立法等。
信息技術與經濟社會的融合引發了全球數據的迅猛增長,數據資源現在正成為人類社會的生產要素和國家基礎性戰略資源,美、日、歐、澳大利亞等發達國家都相繼制定實施大數據戰略,國務院《促進大數據發展行動綱要》(國發〔2015〕50 號)正式發布,旨在全面推進我國大數據發展和應用,加快建設數據強國,綱要提出了三大主要任務和七大政策機制。《中華人民共和國國民經濟和社會發展第十三個五年規劃綱要》更是明確提出“要推行國家大數據戰略”。
與此同時,我們也應看到,互聯網跨界融合趨勢明顯,隨著數據生產和收集的急劇增長以及應用場景的日趨多元,大數據時代面臨著比以往任何一個時代更為嚴峻的安全態勢,數據基礎設施頻受攻擊、個人信息丟失及泄露風險加大、新型網絡威脅層出不窮、數據跨境流動監管機制不夠完善、數據資源、開放共享與安全保護矛盾等問題非常突出。
早在2013年,2013年 EMC 和 IDC 聯合發布的研究報告《2020年的數字宇宙》做了很多針對中國的預測,在我看來還比較準確,報告預測,由中國領導的新興市場將于2017年超越成熟市場,中國總體數據量將由2012年的占世界13%提高到21%。
但這個報告同時也指出,在中國,眾多需要保護的數據尚未得到保護,它認為中國 51 %的數據是沒有得到保護的,只有 49 %的得到保護。這個報告的預測再結合我們國家目前整體的數據安全態勢和現狀,我們可以得出這么一個看法,傳統基于數據資產的風險管理機制盡管仍具備基本保護作用,但大數據時代的數據安全保護需要更進一步。
我們各個行業包括企業現在基本在沿用風險管理理念將數據作為資產進行保護,這種方式起到了基本保護作用,但已不能完全適應大數據技術和產業發展的需要。
對有效應對數據安全的風險態勢,保障大數據產業的健康發展,我國正不斷完善國家頂層監管機制并在積極推動落地實施,尋求在個人信息保護、數據安全保障、跨境數據傳輸等法律監管和大數據產業經濟發展之間的平衡,安全監管態勢呈現三大特點:立法規范體系化、執法實踐常態化、訴訟案例規模化。
我們先看第一個特點,立法規范體系化。立法層面,相關規范制度已初具規模,并在逐步完善。我們看到在個人信息保護方面。《關于加強網絡信息保護的決定》《刑法》《民法總則》《消費者權益保護法》《測繪法》《征信管理條例》《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》《電信和互聯網用戶個人信息保護規定》等法律法規中均明確了個人信息保護規范。立法層級逐步提升,可操作性逐步增強。在數據安全保障方面。
2017年6月1日正式施行的《網絡安全法》將實施多年的信息安全等級保護制度上升到國家網絡安全等級保護制度層面,并首次明確建立了關鍵信息基礎設施保護制度。《網絡安全法》對數據安全保護在傳統保護方式基礎上,從關鍵信息基礎設施保護、網絡安全審查、數據本地化留存與跨境流動等方面強化對數據全生命周期的安全要求,并相繼出臺了一系列的配套措施。
目前《關鍵信息基礎設施保護條例》(征求意見稿)、《個人信息和重要數據出境安全評估辦法》(征求意見稿)、《信息安全技術 數據出境安全評估指南》(征求意見稿)等配套規范仍在加緊推進中。
第二個特點,執法實踐常態化。一方面,侵犯公民個人信息犯罪仍處于高發態勢,而且與電信網絡詐騙、敲詐勒索、綁架等犯罪呈合流態勢,社會危害及其嚴重,公安部多次部署全國公安機關打擊整治網絡侵犯公民個人信息犯罪專項行動。
一會兒喻海松(編者注:最高人民法院法官、法學博士)會跟大家專門講這個方面。另一方面,《網絡安全法》實施之后,圍繞網安法全國各地也已經開始了執法的活動,包括違反網絡內容行政處罰案例也在相繼的涌現,這個也是在執法實踐常態化的一個標志。
第三個特點,訴訟案例規模化。司法層面,相關訴訟逐步增多。
民事訴訟方面,我國先后出現了朱燁訴百度隱私權侵權案,周盛春訴阿里巴巴案 ,任甲玉訴百度案。刑事訴訟方面,《刑法修正案(九)》施行以來,各級公檢法機關依據修改后的刑法規定,嚴肅懲處侵犯公民個人信息犯罪,案件數量顯著增長。2015年11月至2016年12月,全國法院新收侵犯公民個人信息刑事案件495件,審結464件,生效判決人數697人。
總結前面來看,我國數據合規的基礎立法已經基本確立,初步構建了民事、行政和刑事保護相結合的立體框架,同時呢,基礎立法也有待指引和標準化落地。我們認為,相對于企業合規來說,大數據安全合規也具有三大特點,
1.監管體系配套制度部分還是處于正在征求意見或等待制定的狀態,企業合規存在不確定性。
2.從執法以及常態化的角度來分析,總體上來說現在良性的執法體系也還沒有完全的建立起來,這是合規的第二大風險。
3.從民事訴訟層面、刑事訴訟層面,我們已經看到一些典型的案例,但總體案例的規模還是有限的,也難以根據案例對立法效果或某些條款規定進行有效的度量和改進。
企業做大數據安全合規對自身有什么影響?我想通過一個案例來說明。
雀巢員工侵犯公民個人信息案,該案由甘肅省蘭州市中級人民法院2017年5月31日判決二審判決。這個案件是怎么回事?
具體來說案情就是這樣的,2011年至2013年9月,鄭某等6名雀巢企業員工為推銷配方奶粉,通過支付好處費等手段,從蘭州市多家醫院獲取孕婦姓名、手機號等信息共計12萬余條。一審判決這6名員工侵犯公民個人信息罪,但員工隨即提起上訴,認為他們的行為屬于公司行為,應該由公司承擔責任。二審基本維持了原判,裁定這6人承擔侵犯公民個人信息罪的刑事責任。
在這一案例里,法院充分認可雀巢企業所制定和實施的含有個人信息保護合規內容的《員工行為規范》等企業政策,認為其足以證明“雀巢企業禁止員工從事侵犯公民個人信息的違法犯罪行為”,并據此認定鄭某等人的涉案行為屬于個人行為。雀巢作為一家跨國大企業免于單位犯罪,無刑事責任,對企業自身發展的重要性不言而喻。在這個案例里面企業內部合規的重要性也凸顯。
當然,從雀巢的案例我們總結出這樣一條經驗,員工的合規意識是最終決定企業合規成敗的關鍵,自上而下,以人為本,在企業數據安全管理上,“人是最大的風險,也是最好的尺度”。
《網絡安全法》于2016年11月7日發布,自2017年6月1日起施行。這是我國第一部全面規范網絡空間安全管理方面問題的基礎性法律,是我國網絡空間法治建設的重要里程碑。《網絡安全法》從網絡支持促進、網絡運行安全、網絡信息安全和網絡事件安全四個維度保障網絡安全,雖然沒有哪一章命名為“網絡數據安全”,但我一直主張,數據安全是《網絡安全法》的核心價值之一。
為什么說數據安全是《網絡安全法》的核心價值之一呢,大家看,在網絡運行安全部分,《網絡安全法》在傳統保護方式基礎上(數據分類、重要數據備份和加密)(第21條),從關鍵信息基礎設施保護(第34條)、網絡安全審查(第35條)、數據本地化留存與跨境流動(第37條)等方面強化數據全生命周期安全的要求。
在網絡信息安全部分,《網絡安全法》第40條到第45條規定了網絡運營者對個人信息的全生命周期保護義務,要求網絡運營者建立健全用戶信息保護制度、信息安全投訴及舉報制度,合法、正當、必要并經收集者同意后收集、使用其個人信息,強化個人信息安全保障,履行泄露告知、補救和報告等義務,保障個人的刪除更正權,不得非法侵犯個人信息等。
《網絡安全法》在法律責任部分加大了對違反數據安全保護的處罰力度。網絡運營者、網絡產品或者服務的提供者違反個人信息收集使用規則的,可能需要承擔的行政處罰責任包括:責令改正、警告、沒收違法所得、罰款;情節嚴重的,可能還會被責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照等。竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息,尚不構成犯罪的,需要沒收違法所得,并處罰款,沒有違法所得的,處一百萬元以下罰款。
實際上,網安法的處罰力度和罰款額度等都是在網安法審議的過程中不斷加大的,對侵犯公民個人信息的處罰,二次審議稿原本最高額都是50萬,最終審議通過成為100萬,還有實行的雙罰制,既罰單位又罰負責人員,尤其是對相關負責人的處罰,有些責任條款原本也是沒有涉及“直接負責的主管人員和其他直接責任人員”的規定,也是在最終審議時新增。
這也表明了立法的一個從嚴態度。所以我一直強調,網安法中的網絡安全負責人不是好當的,不要糊里糊涂簽字,有些行為后面是很可能要承擔行政處罰責任的。除了行政處罰,網安法還規定了違法人要記入信用檔案,予以公示,對于違反網安法第27條危害網絡安全的行為,受到治安管理處罰或者刑事處罰后,還存在從業資格限制的規定。
我們一直在說,今年可以被稱為網安法配套措施完善進行時,大家看,我這張列表里的戰略、法規、規范性文件、國家標準等涉及數據安全的非常多,當然,里面有不少還處于征求意見稿階段。
結合網安法的生效條款和正在制定的配套措施,我們認為,做網安法的全面遵從可以從這九個模塊入手:網絡運營者、關鍵信息基礎設施保護、網絡安全等級保護、國家安全審查、配合支持監管工作、個人信息保護、網絡設備與服務認證、網絡實名制、數據本地化存儲與出境評估。網絡運營者是網安法的第一責任主體,網安法定義了十分寬泛的網絡運營者定義。關鍵信息基礎設施運營者雖然還存在部分不確定,但基本的安全保護要求網安法已經提出來了。
針對這九大模塊,我們認為這個合規輸出可以輸出很多東西,比如在座的,你要明白自己適用的法律清單是什么,如果建立在這樣一個清單和適用分析的基礎之上,實際上是把網安法條款規定和企業內部真實的情況做差異分析,要明白企業運行風險點在哪里。個人信息和重要數據是非常敏感的點,數據就是企業的生命線,做網絡法合規非常關鍵的一點是——個人信息和重要數據清單、以及分布的情況,對于企業來說這些數據分布在不同的部門,做網安法合規要清楚哪些是識別出來的數據,清單是分布在哪個業務部門的,配合這樣一個個人信息和數據的清單,對信息和重要數據所承載的重要系統也要有評估的結果,這是保障網絡信息安全基本的要件。
前面合規做完了以后,我們建議不管企業自己做合規或者找外面的咨詢服務,最后一定要得出改進建議,尤其是和外部數據交互的建議,如果企業內部管理制度不完善,那么就要更新制度。
鳴謝:BDTC 2017中國大數據技術大會,干貨十足,不容錯過。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
