登录| 免费注册
设为首页| 加入收藏| 在线留言 |企业位置 |手机站
首页
律师简介
荣誉资质
最新资讯
业务范围
经典案例
以案说法
更多

法律法规

联系我们

在线留言

法律论坛

图片新闻

诉讼指南

企业位置

首页>>以案说法>>以案说法
以案说法

以案说法

2021 年网络安全和数据保护领域立法大年,企业如何确保合规落地?

时间:2024-10-16 00:04 作者:佚名 【转载】

东莞长安律师获悉

与智库一起走出去观察

2021年,我国在网络安全和数据保护领域的立法仍在快速推进,可谓立法“大年”。随着个人信息保护法于11月1日生效,我国网络空间监管的立法框架已基本定型,后续配套法规和规范性文件的制定将成为重点。

面对丰硕的立法成果,企业面临的压力是尽快认识和识别风险并确保合规。进入2022年,“走出去”智库特约法律专家、中伦律师事务所合伙人陈继红为同事们奉献了年度法律观察,希望能给企业数据合规工作带来一些启发和指导。

今日,走出去智库(CGGT)发表陈继宏律师的文章,供关心数据合规问题的读者参考。

要点

CGGT,中国走向

1、《数据安全法》建立了数据分类分级的基本制度,建立了数据安全审查制度,较为全面地构建了我国数据跨境流动的监管制度。

2、汽车全产业链涵盖交通运输、公共服务、工业制造等行业。智能网联汽车配备了各种网络系统并处理大量数据。随着智能网联汽车数量的增加,它们与国家安全和公共健康密切相关。兴趣与个人利益的联系越来越紧密。

3、根据企业数据处理活动的敏感性、可用资源以及合规措施与风险相适应的原则,制定企业数据合规策略。

文本

CGGT,中国走向

文/陈继红

走出去智库(CGGT)特约法律专家

中伦律师事务所合伙人

一、立法观察:“三驾马车”格局下逐步完善的法律体系

《个人信息保护法》于2021年11月1日正式实施,从个人信息处理的基本原则、合法性依据、主体权利到处理者的一系列法律义务,建立了与欧盟《个人信息保护法》一致的规定。 《通用数据保护条例》(以下简称“GDPR”)的保护水平基本相当,虽然从颁布到正式实施仅用了两个多月的时间,但给企业落实合规带来了不小的压力。与GDPR相比,《个人信息保护法》的处罚手段更加丰富,除了同样的高额罚款外,还包括停业整顿、吊销许可证等行政处罚,还可以处以罚款和一定的措施。对直接责任人员的处罚是期间内的职业禁止,但个人信息保护法的最终实施程度还取决于未来配套法规、执法和司法裁判的指导以及相关规定的明确。企业合规实践。

我们认为,根据《个人信息保护法》,企业未来将面临五大合规风险:

《数据安全法》将于2021年9月1日正式实施。作为“数据安全领域的基础法”,《数据安全法》重点关注数据安全保护体系建设。这样的制度建设似乎是自上而下的“顶层设计”和“制度建设”。然而,其背后却隐藏着企业在数据处理活动中应遵守的法律义务。特别是《数据安全法》建立了数据分级分类的基本制度,建立了数据安全审查制度,较为全面地构建了我国数据跨境流动的监管体系。

“三驾马车”建筑。与2017年6月1日生效的《网络安全法》一起,上述三部基本法共同构成了我国网络空间监管的“三驾马车”。三部法律没有先后之分,都应成为企业实施合规的法律基准。然而,这三项法律的适用程度根据企业的业务类型而有所不同。如果要划分各自的监管重点领域,《网络安全法》重点关注网络安全等级保护制度、网络关键设备和网络安全专用产品的检测认证制度、密钥保护、网络安全审查和信息化等。网络内容安全。网络安全监测、预警和信息通报系统; 《数据安全法》主要规范数据处理活动,包括数据分类和分级保护制度、重要数据和国家核心数据管理、数据安全风险预警和应急机制、数据安全审查制度和数据跨境流动监管等.; 《个人信息保护法》规定了个人信息的保护,包括个人信息范围的界定、个人信息处理的基本原则和具体规则、个人信息跨境流动规则、个人信息的权利等。主体和保护、处理者的安全义务等。

《网络数据安全管理规定》。 2021年11月14日,国家互联网信息办公室公布了《网络数据安全管理规定(征求意见稿)》(以下简称《数据安全规定》)。 《数字安全条例》以“三驾马车”为上位法,内容庞大。它们不仅对“三驾马车”重要但不足的实施细节进行细化和补充,而且还增加了一些新的制度体系。由于《数据安全条例》立法空间较大,未来可能成为“三驾马车”框架体系下具体实施细则的决定者,因此《条例》的出台引起了社会的高度关注,也引起了各方的关注。学者和业界。专家之间存在广泛争议,学术界和行业专家也对某些监管机制的合理性和平衡性发表了意见。

修订网络安全审查制度。网络安全审查制度是国家安全审查制度的一部分。 2017年网络安全法伊始,我国颁布了《网络产品和服务安全审查办法(试行)》(以下简称《审查办法》)。 2020年6月1日,新施行的《网络安全审查办法》取代了《审查办法》。某知名互联网旅游公司在国外上市引发网络安全审查。这一事件今年引起了广泛关注。该事件源于监管部门对跨境资本市场活动带来的数据安全问题的担忧。今年7月10日,国家网信办发布《网络安全审查办法(修订草案征求意见稿)》并公开征求意见。此次修订首先增加了《数据安全法》作为立法依据,为监管数据处理活动提供了直接的法律依据;其次,征求意见稿扩大了网络安全审查的适用范围,将数据处理活动纳入网络安全审查。该法规的范围涵盖对数据处理者的网络安全审查;第三,明确持有100万以上用户个人信息并在境外公开的数据处理者必须向网络安全审查办公室申请网络安全审查。

数据导出安全评估和标准合同条款。国家网信办10月29日发布《数据传输安全评估办法(征求意见稿)》并公开征求意见。同时,我们还正在就《个人信息出境标准合同条款》紧锣密鼓地征求内部意见。数据出境涉及国家安全和重大公共利益,是数据监管最重要的方面之一。目前,这两份法律文件已准备就绪,随时可以发布。

除上述立法外,备受期待的《关键信息基础设施安全保护条例》已于9月、1月正式实施,与《网络安全法》共同确立了国家关键信息基础设施安全保护体系的顶层设计。此外,国家网信办等五部门联合印发的《汽车数据安全管理若干规定(试行)》将于2021年10月1日起施行,我国汽车数据安全迎来强监管时代。国家。

地方立法方面,《上海市数据条例》和《深圳经济特区数据条例》将分别于2022年1月1日起实施。

2、执法观察:从行政执法到多元治理模式

APP专项管理。自2019年开展打击App违法违规收集、使用个人信息专项行动以来,App个人信息保护行动不断深化并持续至今。今年以来,国家网信办等四部门联合发布的《常见类型移动互联网应用所需个人信息范围规定》将于2021年5月1日正式实施,划定了明确的界限用于确定必要的个人信息的范围。国家网信办、工信部、公安部重点针对过度收集、未经同意收集使用、未提供退出选项等侵犯用户权益的痛点同意,并已通知了总共一千多个应用程序。从未来的监管要求和趋势来看,一是治理内容将细化。监管重点将主要针对“超范围收集与功能无关的个人信息”、“强制或频繁请求无关权限”、“无法退出”、“SDK治理”等更细化、具体的问题;二是落实应用分发平台责任,应用分发平台要落实平台内app信息公开和平台管理责任;三是不断改进技术检测手段;四是发挥舆论监督治理作用,督促企业加强自律。

司法解释出台。 2021年8月1日,《最高人民法院关于审理利用人脸识别技术处理个人信息民事案件适用法律若干问题的规定》(以下简称《规定》) )由最高人民法院制定施行。人脸识别是人工智能技术的重要应用。它在给社会生活带来便利的同时,带来的敏感个人信息保护问题也日益突出。 “人脸识别第一案”强制顾客激活人脸识别系统,反映出人脸识别技术的广泛应用与个人信息保护之间日益尖锐的矛盾。过去,我国长期以行政监管和刑事处罚作为个人信息保护的主要监管手段。由于民事司法裁判规定不明确、原告举证责任难以履行等原因,通过民事手段维护个人信息权益的司法实践并不顺利。 《条例》的实施,结合《个人信息保护法》确立的侵犯个人信息权益的过错责任推定模式,将激活人脸识别个人信息保护案件的民事司法保护通道。

公益诉讼。 8月21日,《个人信息保护法》颁布次日,最高人民检察院发布《关于贯彻落实个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,要求检察机关切实加大办案力度 加大力度推动公益诉讼规定落实,形成个人信息保护多维联动治理新格局。这一举措是对个人信息保护法第七十条公益诉讼规定的有力支持。事实上,个人信息保护是检察公益诉讼的新领域之一。最高人民检察院2020年9月印发的《关于积极稳妥扩大公益诉讼案件范围的指导意见》中,将个人信息保护纳入网络侵权领域。办案重点。

刑事保护。 《刑法修正案(九)》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”并入“侵犯公民个人信息罪”,扩大了犯罪主体范围和侵犯个人信息行为。 2017年,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》发布。鉴于个人信息犯罪的犯罪门槛较低,防范犯罪风险一直是企业数据合规工作的底线。据最高人民法院统计,2017年6月至2021年6月,全国法院新收侵犯公民个人信息刑事案件10059件,审结9743件,作出生效判决21726人,判处被告人3803人有期徒刑。三年以下有期徒刑。 ,占比达到17.50%。

3.热点扫描:数据治理的焦点

海外上市的网络安全审查。今年,知名互联网旅游公司境外上市引发的网络安全审查,让网络安全审查制度成为社会关注的焦点。对于资本市场从业者来说,最关心的就是境外上市引发的网络安全审查。想要海外上市,首先要通过网络安全测试。对比《审查办法》和《数据安全条例》,我们提出以下看法:一是《数据安全条例》和《审查办法》均以“百万”为适用标准,最终草案采用以一百万人为标准。备案门槛似乎是一个大概率事件;其次,境外上市与香港上市的监管条件不同。与境外上市一刀切的量化标准相比,香港上市的网络安全审查采用了风险导向的标准。只有当确实存在影响或可能影响国家安全的风险时,才会触发网络安全审查。这个监管标准显然比外资上市宽松很多。上述旅游公司从美国退市到香港上市的决定,也印证了监管部门对两地市场不同的风险判断;第三,《数据安全条例》通过使用“处理者”和“数据处理者”等概念明确了网络安全的审查范围。

平台算法治理。 8月27日,国家网信办发布《互联网信息服务算法推荐管理规定(征求意见稿)》并公开征求意见。这是我国第一部专门规范算法应用的立法,甚至是全球第一部。第一个案例。 9月17日,国家网信办等九部委联合印发《关于加强互联网信息服务算法综合治理的指导意见》,需要三年左右的时间,逐步建立治理机制健全、监管体系完善的算法安全,以及标准化的算法生态。综合治理格局。近期针对算法治理的一系列立法和监管行动,表明我国对网络空间的治理已逐步从数据治理转向算法治理。事实上,企业的算法治理和数据治理是密不可分的,或者说良好的数据治理体系是算法治理的基础。

汽车数据已进入强监管时代。 2021年10月1日,《汽车数据安全管理若干规定(试行)》(以下简称《若干规定》)正式施行。作为我国首部针对汽车行业数据安全的部门规章,《若干规定》开启了我国汽车数据强监管时代。临近年底,上海市、广东省、天津市、河北省等省市网信办根据《汽车数据安全管理若干规定(试行)》第十三条规定,要求汽车数据2021年开展汽车数据安全检查。管理状况通报预示着《若干规定》的实际落地。

汽车全产业链涵盖交通运输、公共服务、工业制造等行业。智能网联汽车配备了各种网络系统并处理大量数据。随着智能网联汽车数量的增加,它们与国家安全、公共利益和个人利益的关系日益密切。近期,智能网联汽车相关产业政策或监管政策密集发布。 2021年3月23日,深圳市人大常委会发布《深圳经济特区智能网联汽车管理规定(征求意见稿)》,进一步放宽智能网联汽车要求。车联网道路测试及示范应用相关条件。 2021年3月24日,公安部发布《道路交通安全法(修订草案建议稿)》,首次尝试从法律层面明确具有自动驾驶功能的车辆道路测试通行相关要求,并规定了对自动驾驶汽车违法行为的处罚和事故责任分担;尽管4月正式通过的道路交通安全法修正案尚未采用前述修正案,但这也体现了我国监管部门将自动驾驶纳入法律监管的意图。 2021年4月7日,工业和信息化部发布《智能网联汽车生产企业及产品准入管理指南(试行)》(征求意见稿),针对有条件自动驾驶、高度自主的智能网联汽车申请访问的驱动功能。车联网制造商及其产品规定了一系列安全保障能力要求、必要的产品功能和接入测试要求。此外,信息安全标准委员会于2021年10月8日发布了《汽车采集数据处理安全指南》,明确了汽车采集数据传输、存储和出站处理的安全要求。

隐私计算。 2021年备受关注的一个技术话题是隐私计算的发展与应用。 2020年4月9日,中共中央、国务院印发《关于构建更加完善的要素市场化配置体系和机制的意见》,首次将数据列为新要素的生产。数据分解需要数据的流动和交换,以实现数据的生产价值。限制数据交换和流动的主要因素包括隐私保护和数据所有权不明确。隐私计算是指在保证数据提供者不泄露原始数据的前提下对数据进行分析和计算的一系列信息技术,从而使数据在流通和融合过程中“可用而不可见”。业界对隐私计算解决数据流通问题寄予厚望。比如,今年3月成立的北京国际大数据交易有限公司,号称是国内首个基于“数据可用而不可见,使用可控可测”的数据交易范式。交换。我们认为隐私计算不是万能的,可能只能解决部分数据保护问题,隐私计算的输出仍可能构成个人信息。私有计算技术加上合法的数据合规解决方案是完整的解决方案路径。

4、合规实施:由外到内,逐步推进

企业以“三驾马车”为法律标杆,构建完善的数据合规体系是一项艰巨的任务。一方面,许多配套法律尚未制定,监管执法规模不明确,法律尚不足以指导合规实施;另一方面,行业在很多层面都缺乏成熟的良好实践,没有太多经验可供参考。例如,如何有效获得“个人同意”;另一个原因是由于时间限制以及受制于企业资源的投入。基于此,我们建议企业从宏观战略和实际执行两大方向入手,由外到内逐步推进企业数据合规建设:

首先,企业必须制定可行的数据合规策略。企业数据合规策略必须根据企业数据处理活动的敏感性、可用资源以及合规措施与风险相适应的原则来制定。在合规实施方面,可以采取“由外到内、循序渐进”的方式。从宏观战略角度,首先设定“速赢”阶段目标,重点解决外网产品等容易引起用户投诉和监管关注的高风险场景的合规性,完成隐私政策,并解锁数据主体行为。在此基础上,企业进而进入全面合规体系建设阶段,构建层次化(自上而下管理、自下而上执行)、全面(覆盖数据全生命周期)、有重点(关键环节、关键点字段、关键管控)的数据合规管理体系。

二是设立数据合规管理机构。仅靠法律是不够的,公司没有固定的职位和责任,所有的合规都是纸面上的。从法律上讲,《数据安全法》规定了重要数据处理者的数据安全负责人,《网络安全法》规定了网络安全负责人,《个人信息保护法》规定了重要数据处理者的数据安全负责人。个人信息保护。这些法定义务企业必须遵守并履行。除了依法设立的基本岗位外,不少互联网平台公司等数据处理活动密集的公司也会设立企业隐私保护/数据合规委员会。一般来说,隐私保护/数据合规委员会采取跨部门协作的方式,负责制定与数据合规相关的重要策略以及跨部门问题的决策,确保数据保护融入公司战略。在执行层面,法律、合规、安全、技术、产品等不同角色根据职能承担不同的数据保护任务。

从实践角度来看,我们认为以下关键环节需要企业特别关注:

(一)风险识别。风险识别的前提是全面梳理数据处理活动,盘点数据资产,建立企业数据清单和数据流图。在此基础上,我们对关键业务场景进行合规差距分析,识别风险,并对风险进行分类。在此基础上,我们制定合规整治的重点和实施路径。

(二)制度体系建设。三项基本法对构建覆盖数据全生命周期的合规体系做出了规定。数据保护合规规则体系分三个层次构建:第一层次是政策,是公司关于数据保护合规的纲领性文件,明确总体战略目标、基本路径、职责分工等;第二个层次是手册,作为一系列总体政策和具体规范,是员工在具体业务场景下操作的指南和工具。涵盖典型业务场景和普通员工日常活动场景;第三层是具体的规范性文本,作为具体的制度、流程、表格、模板库,是合规工作的具体依据。

(三)数据本地化和数据跨境路径。对于跨国经营的企业来说,数据本地化和跨境传输路径选择是其面临的紧迫和困难问题。数据的本地化存储意味着资源的投入、IT架构的重置以及业务流程的改变。一般来说,在考虑数据本地化的必要性时,要综合考虑业务类型(2C或2B)、处理的数据量(是否超过国家网信办的标准)、服务的客户类型(是否有CIIO客户)。以及所处理数据的性质(是否包含重要数据或受特定法规约束的数据)。

(四)开展个人信息影响评估和个人信息保护合规审计。进行个人信息安全影响评估(以下简称“PIA”)的目的是检验数据处理活动的合法性、合规性,发现潜在风险,确定风险程度。首先,PIA是法定合规义务,在《个人信息保护法》和《儿童网络个人信息保护规定》中都有明确要求;其次,PIA是一种普遍适用的数据处理活动风险评估方法,可以作为有效的数据合规工具。除了PIA之外,另一个重要的合规机制是合规审计。审计是对数据合规工作的审查和监督,发现数据保护工作中的遗漏和差距。对此,《个人信息保护法》也有明确要求。关于推进审计工作的重点和方法,可以参考中国科学院院士近期编制的《关于推进个人信息保护合规审计的若干建议》。基于此,我们建议PIA和合规审计应成为企业数据合规体系中的基础制度。

(五)信息安全事件应急响应机制。一旦发生数据泄露,可能演变成企业的危机。为此,企业必须有应急预案。应急预案至少要包括风险识别与锁定、应急响应机制、报告通报机制、公共关系响应机制等内容,并定期进行演练。对于跨国公司来说,数据事件往往涉及不同的法律管辖区,处理起来也比较困难。因此,有必要提前建立一个能够覆盖各个法律管辖区、应对各种安全事件的法律资源网络作为有效支撑。

(六)建立合规基准。数据合规意味着资源的投入,合规也是价值的创造。通过数据合规项目,公司可以有效避免法律风险,申请与数据保护相关的认证,建立合规基准并建立合规性品牌。

5。趋势分析和判断:密集的支持法规和基准执法案件

在2022年,我们期望:

支持这三个法律的法规将被密切颁布。据报道,中国的网络空间管理目前正在努力制定各种支持法律法规,包括“网络数据安全管理法规”,“数据传输安全评估方法”,“个人信息转移标准合同法规”和“关于面部识别技术应用程序安全管理的临时法规”,以及合规性审核系统以及有关数据安全和个人信息保护的相关标准和规格。此外,我们预计还将完成“网络安全审查措施”的修订,从而将诸如海外列表之类的活动触发的数据安全审查工作纳入有效的监管机制中。当然,部门和行业立法在内,包括工业和信息技术部,国家监管局,公共安全部和中国人民银行也将非常活跃。信息安全标准委员会和行业标准设定的组织还将启动许多国家和行业标准,尤其是专注于金融服务。数据,平台数据,车辆互联网数据和其他字段。

与个人信息保护有关的执法活动将进行深入进行。在“个人信息保护法”生效之前,执法机构使用应用程序作为起点,以不断进行非法和非法收集和非法收集和使用个人信息的使用,重点是管理应用程序的强制授权。 ,过多的权利索赔和过多的个人信息收集,以及非法收集个人信息的现象。在2022年,利用了“个人信息保护法”生效的优势,与个人信息保护有关的执法活动肯定会更深入,包括,例如,隐私政策设置的透明度,获取用户的有效性同意以及跨境数据传输的控制。就合法性和其他方面而言,也可能存在基准执法案件,这些案件为罚款数量创造了记录。

对平台治理的分类和分层监督。 2021年,以“国务院反垄断委员会的反垄断指南”为特征,监管机构和执法机构在平台经济中发起了激烈的反垄断运动,以防止资本不当扩张。考虑到2022年中央政府经济工作的主要基调“稳定为重中之重,并在保持稳定的同时取得进步”,应在2022年降低对平台经济的更严格的监管措施,监管机构将基于”大型平台,大责任,高标准分类和评分思想促进平台治理的重点。实施数据安全法规的明确要求是平台的算法治理。逐渐实施平台算法的分类和分类,归档管理和安全评估系统。

重要的数据识别和跨境数据监督。重要数据的处理活动和跨境数据传输将触发对国家安全和重要公共利益的考虑,并且一直是数据安全监督的重点。在2021年,对重要数据的识别和监督将是第一个在汽车数据领域进行的。可以预期,识别重要数据的一般法律规则将在2022年颁布。数据处理活动将逐渐放在程序轨道上。至于跨境数据的流程,预计随着颁布和进入“数据传输安全评估措施”和“个人信息转移的标准合同规定”,它肯定会成为重点公司合规性和监督。

民事诉讼和公共利益诉讼将大大增加。如上所述,“个人信息保护法”确定了侵犯个人信息的故障责任的推定,这很可能会触发有关保护个人信息权利和利益的大量民事案件。实际上,在2021年,地方法院已经接受了一批类似案件。在民事诉讼案件中,数据处理器负责证明其无罪,而公司合规系统的建设和实施是主要的证明手段。公共利益诉讼对公司的品牌和声誉非常有害。平台公司也值得关注社会热点和监管优先事项,并通过提前合规安排解决潜在的公共利益诉讼。

长安镇律师?敬请于评论区发表高见,并对本文予以点赞及转发,以助广大读者把握法律与正义的界限。

技术支持: 建站ABC | 管理登录