雷鋒網(wǎng)編者按：昨天（12月7日），雷鋒網(wǎng)宅客頻道剛告訴你企業(yè)CSO “背鍋俠”不易當(dāng)，不好意思，又要給網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)們來一場“暴擊”。

今天（12月8日），在BDTC 2017中國大數(shù)據(jù)技術(shù)大會(huì)“大數(shù)據(jù)安全與政策法規(guī)論壇”上，公安部第三研究所網(wǎng)絡(luò)安全法律研究中心主任黃道麗給出了兩個(gè)案例：1.雀巢員工侵犯公民個(gè)人信息案中，2011年至2013年9月，鄭某等6名雀巢員工為推銷配方奶粉，通過支付好處費(fèi)等手段，從蘭州市多家醫(yī)院獲取孕婦姓名、手機(jī)號(hào)等信息共計(jì)12萬余條，但二審法院甘肅省蘭州市中級(jí)人民法院于今年 5 月 31 日判決，鄭某等人的涉案行為屬于個(gè)人行為，雀巢公司無刑事責(zé)任，免于單位犯罪。為什么？2.今年網(wǎng)安法頒布后，其二十一條可能會(huì)讓企業(yè)的網(wǎng)絡(luò)安全負(fù)責(zé)人比較難受：負(fù)責(zé)人若輕易簽字，可能要遭受網(wǎng)安法規(guī)定的“個(gè)人處罰”。

企業(yè)如何遵從法律要求的“合規(guī)”？以下為黃道麗的演講全文，原題為《從數(shù)據(jù)合規(guī)道網(wǎng)安法的全面遵從》，雷鋒網(wǎng)在不影響原意的基礎(chǔ)上略有刪減和整理，小標(biāo)題為編者所加。

－－

我今天演講的題目是《從數(shù)據(jù)合規(guī)到網(wǎng)安法的全面遵從》。

我?guī)ьI(lǐng)的團(tuán)隊(duì)專業(yè)主要從事網(wǎng)絡(luò)安全法律的研究工作，除了承擔(dān)相關(guān)的科研項(xiàng)目，還會(huì)為政府部門、互聯(lián)網(wǎng)企業(yè)提供法律研究支撐。團(tuán)隊(duì)現(xiàn)在的研究重點(diǎn)主要是圍繞網(wǎng)絡(luò)安全法的相關(guān)配套措施和制度研究，包括數(shù)據(jù)安全保障、安全漏洞法律治理、等級(jí)保護(hù)與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)立法等。

數(shù)據(jù)合規(guī)態(tài)勢

信息技術(shù)與經(jīng)濟(jì)社會(huì)的融合引發(fā)了全球數(shù)據(jù)的迅猛增長，數(shù)據(jù)資源現(xiàn)在正成為人類社會(huì)的生產(chǎn)要素和國家基礎(chǔ)性戰(zhàn)略資源，美、日、歐、澳大利亞等發(fā)達(dá)國家都相繼制定實(shí)施大數(shù)據(jù)戰(zhàn)略，國務(wù)院《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》（國發(fā)〔2015〕50 號(hào)）正式發(fā)布，旨在全面推進(jìn)我國大數(shù)據(jù)發(fā)展和應(yīng)用，加快建設(shè)數(shù)據(jù)強(qiáng)國，綱要提出了三大主要任務(wù)和七大政策機(jī)制。《中華人民共和國國民經(jīng)濟(jì)和社會(huì)發(fā)展第十三個(gè)五年規(guī)劃綱要》更是明確提出“要推行國家大數(shù)據(jù)戰(zhàn)略”。

與此同時(shí)，我們也應(yīng)看到，互聯(lián)網(wǎng)跨界融合趨勢明顯，隨著數(shù)據(jù)生產(chǎn)和收集的急劇增長以及應(yīng)用場景的日趨多元，大數(shù)據(jù)時(shí)代面臨著比以往任何一個(gè)時(shí)代更為嚴(yán)峻的安全態(tài)勢，數(shù)據(jù)基礎(chǔ)設(shè)施頻受攻擊、個(gè)人信息丟失及泄露風(fēng)險(xiǎn)加大、新型網(wǎng)絡(luò)威脅層出不窮、數(shù)據(jù)跨境流動(dòng)監(jiān)管機(jī)制不夠完善、數(shù)據(jù)資源、開放共享與安全保護(hù)矛盾等問題非常突出。

早在2013年，2013年 EMC 和 IDC 聯(lián)合發(fā)布的研究報(bào)告《2020年的數(shù)字宇宙》做了很多針對(duì)中國的預(yù)測，在我看來還比較準(zhǔn)確，報(bào)告預(yù)測，由中國領(lǐng)導(dǎo)的新興市場將于2017年超越成熟市場，中國總體數(shù)據(jù)量將由2012年的占世界13%提高到21%。

但這個(gè)報(bào)告同時(shí)也指出，在中國，眾多需要保護(hù)的數(shù)據(jù)尚未得到保護(hù)，它認(rèn)為中國 51 %的數(shù)據(jù)是沒有得到保護(hù)的，只有 49 %的得到保護(hù)。這個(gè)報(bào)告的預(yù)測再結(jié)合我們國家目前整體的數(shù)據(jù)安全態(tài)勢和現(xiàn)狀，我們可以得出這么一個(gè)看法，傳統(tǒng)基于數(shù)據(jù)資產(chǎn)的風(fēng)險(xiǎn)管理機(jī)制盡管仍具備基本保護(hù)作用，但大數(shù)據(jù)時(shí)代的數(shù)據(jù)安全保護(hù)需要更進(jìn)一步。

我們各個(gè)行業(yè)包括企業(yè)現(xiàn)在基本在沿用風(fēng)險(xiǎn)管理理念將數(shù)據(jù)作為資產(chǎn)進(jìn)行保護(hù)，這種方式起到了基本保護(hù)作用，但已不能完全適應(yīng)大數(shù)據(jù)技術(shù)和產(chǎn)業(yè)發(fā)展的需要。

我國數(shù)據(jù)安全保護(hù)特點(diǎn)

對(duì)有效應(yīng)對(duì)數(shù)據(jù)安全的風(fēng)險(xiǎn)態(tài)勢，保障大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展，我國正不斷完善國家頂層監(jiān)管機(jī)制并在積極推動(dòng)落地實(shí)施，尋求在個(gè)人信息保護(hù)、數(shù)據(jù)安全保障、跨境數(shù)據(jù)傳輸?shù)确杀O(jiān)管和大數(shù)據(jù)產(chǎn)業(yè)經(jīng)濟(jì)發(fā)展之間的平衡，安全監(jiān)管態(tài)勢呈現(xiàn)三大特點(diǎn):立法規(guī)范體系化、執(zhí)法實(shí)踐常態(tài)化、訴訟案例規(guī)?；?。

我們先看第一個(gè)特點(diǎn)，立法規(guī)范體系化。立法層面，相關(guān)規(guī)范制度已初具規(guī)模，并在逐步完善。我們看到在個(gè)人信息保護(hù)方面。《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《刑法》《民法總則》《消費(fèi)者權(quán)益保護(hù)法》《測繪法》《征信管理?xiàng)l例》《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)中均明確了個(gè)人信息保護(hù)規(guī)范。立法層級(jí)逐步提升，可操作性逐步增強(qiáng)。在數(shù)據(jù)安全保障方面。

2017年6月1日正式施行的《網(wǎng)絡(luò)安全法》將實(shí)施多年的信息安全等級(jí)保護(hù)制度上升到國家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度層面，并首次明確建立了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度?！毒W(wǎng)絡(luò)安全法》對(duì)數(shù)據(jù)安全保護(hù)在傳統(tǒng)保護(hù)方式基礎(chǔ)上，從關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)安全審查、數(shù)據(jù)本地化留存與跨境流動(dòng)等方面強(qiáng)化對(duì)數(shù)據(jù)全生命周期的安全要求，并相繼出臺(tái)了一系列的配套措施。

目前《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》（征求意見稿）、《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》（征求意見稿）、《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南》（征求意見稿）等配套規(guī)范仍在加緊推進(jìn)中。

第二個(gè)特點(diǎn)，執(zhí)法實(shí)踐常態(tài)化。一方面，侵犯公民個(gè)人信息犯罪仍處于高發(fā)態(tài)勢，而且與電信網(wǎng)絡(luò)詐騙、敲詐勒索、綁架等犯罪呈合流態(tài)勢，社會(huì)危害及其嚴(yán)重，公安部多次部署全國公安機(jī)關(guān)打擊整治網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪專項(xiàng)行動(dòng)。

一會(huì)兒喻海松（編者注：最高人民法院法官、法學(xué)博士）會(huì)跟大家專門講這個(gè)方面。另一方面，《網(wǎng)絡(luò)安全法》實(shí)施之后，圍繞網(wǎng)安法全國各地也已經(jīng)開始了執(zhí)法的活動(dòng)，包括違反網(wǎng)絡(luò)內(nèi)容行政處罰案例也在相繼的涌現(xiàn)，這個(gè)也是在執(zhí)法實(shí)踐常態(tài)化的一個(gè)標(biāo)志。

第三個(gè)特點(diǎn)，訴訟案例規(guī)模化。司法層面，相關(guān)訴訟逐步增多。

民事訴訟方面，我國先后出現(xiàn)了朱燁訴百度隱私權(quán)侵權(quán)案，周盛春訴阿里巴巴案 ，任甲玉訴百度案。刑事訴訟方面，《刑法修正案（九）》施行以來，各級(jí)公檢法機(jī)關(guān)依據(jù)修改后的刑法規(guī)定，嚴(yán)肅懲處侵犯公民個(gè)人信息犯罪，案件數(shù)量顯著增長。2015年11月至2016年12月，全國法院新收侵犯公民個(gè)人信息刑事案件495件，審結(jié)464件，生效判決人數(shù)697人。

總結(jié)前面來看，我國數(shù)據(jù)合規(guī)的基礎(chǔ)立法已經(jīng)基本確立，初步構(gòu)建了民事、行政和刑事保護(hù)相結(jié)合的立體框架，同時(shí)呢，基礎(chǔ)立法也有待指引和標(biāo)準(zhǔn)化落地。我們認(rèn)為，相對(duì)于企業(yè)合規(guī)來說，大數(shù)據(jù)安全合規(guī)也具有三大特點(diǎn)，

1.監(jiān)管體系配套制度部分還是處于正在征求意見或等待制定的狀態(tài)，企業(yè)合規(guī)存在不確定性。

2.從執(zhí)法以及常態(tài)化的角度來分析，總體上來說現(xiàn)在良性的執(zhí)法體系也還沒有完全的建立起來，這是合規(guī)的第二大風(fēng)險(xiǎn)。

3.從民事訴訟層面、刑事訴訟層面，我們已經(jīng)看到一些典型的案例，但總體案例的規(guī)模還是有限的，也難以根據(jù)案例對(duì)立法效果或某些條款規(guī)定進(jìn)行有效的度量和改進(jìn)。

企業(yè)案例

企業(yè)做大數(shù)據(jù)安全合規(guī)對(duì)自身有什么影響？我想通過一個(gè)案例來說明。

雀巢員工侵犯公民個(gè)人信息案，該案由甘肅省蘭州市中級(jí)人民法院2017年5月31日判決二審判決。這個(gè)案件是怎么回事？

具體來說案情就是這樣的，2011年至2013年9月，鄭某等6名雀巢企業(yè)員工為推銷配方奶粉，通過支付好處費(fèi)等手段，從蘭州市多家醫(yī)院獲取孕婦姓名、手機(jī)號(hào)等信息共計(jì)12萬余條。一審判決這6名員工侵犯公民個(gè)人信息罪，但員工隨即提起上訴，認(rèn)為他們的行為屬于公司行為，應(yīng)該由公司承擔(dān)責(zé)任。二審基本維持了原判，裁定這6人承擔(dān)侵犯公民個(gè)人信息罪的刑事責(zé)任。

在這一案例里，法院充分認(rèn)可雀巢企業(yè)所制定和實(shí)施的含有個(gè)人信息保護(hù)合規(guī)內(nèi)容的《員工行為規(guī)范》等企業(yè)政策，認(rèn)為其足以證明“雀巢企業(yè)禁止員工從事侵犯公民個(gè)人信息的違法犯罪行為”，并據(jù)此認(rèn)定鄭某等人的涉案行為屬于個(gè)人行為。雀巢作為一家跨國大企業(yè)免于單位犯罪，無刑事責(zé)任，對(duì)企業(yè)自身發(fā)展的重要性不言而喻。在這個(gè)案例里面企業(yè)內(nèi)部合規(guī)的重要性也凸顯。

當(dāng)然，從雀巢的案例我們總結(jié)出這樣一條經(jīng)驗(yàn)，員工的合規(guī)意識(shí)是最終決定企業(yè)合規(guī)成敗的關(guān)鍵，自上而下，以人為本，在企業(yè)數(shù)據(jù)安全管理上，“人是最大的風(fēng)險(xiǎn)，也是最好的尺度”。

企業(yè)合規(guī)遵從建議

《網(wǎng)絡(luò)安全法》于2016年11月7日發(fā)布，自2017年6月1日起施行。這是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律，是我國網(wǎng)絡(luò)空間法治建設(shè)的重要里程碑?！毒W(wǎng)絡(luò)安全法》從網(wǎng)絡(luò)支持促進(jìn)、網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)信息安全和網(wǎng)絡(luò)事件安全四個(gè)維度保障網(wǎng)絡(luò)安全，雖然沒有哪一章命名為“網(wǎng)絡(luò)數(shù)據(jù)安全”，但我一直主張，數(shù)據(jù)安全是《網(wǎng)絡(luò)安全法》的核心價(jià)值之一。

為什么說數(shù)據(jù)安全是《網(wǎng)絡(luò)安全法》的核心價(jià)值之一呢，大家看，在網(wǎng)絡(luò)運(yùn)行安全部分，《網(wǎng)絡(luò)安全法》在傳統(tǒng)保護(hù)方式基礎(chǔ)上（數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密）（第21條），從關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)（第34條）、網(wǎng)絡(luò)安全審查（第35條）、數(shù)據(jù)本地化留存與跨境流動(dòng)（第37條）等方面強(qiáng)化數(shù)據(jù)全生命周期安全的要求。

在網(wǎng)絡(luò)信息安全部分，《網(wǎng)絡(luò)安全法》第40條到第45條規(guī)定了網(wǎng)絡(luò)運(yùn)營者對(duì)個(gè)人信息的全生命周期保護(hù)義務(wù)，要求網(wǎng)絡(luò)運(yùn)營者建立健全用戶信息保護(hù)制度、信息安全投訴及舉報(bào)制度，合法、正當(dāng)、必要并經(jīng)收集者同意后收集、使用其個(gè)人信息，強(qiáng)化個(gè)人信息安全保障，履行泄露告知、補(bǔ)救和報(bào)告等義務(wù)，保障個(gè)人的刪除更正權(quán)，不得非法侵犯個(gè)人信息等。

《網(wǎng)絡(luò)安全法》在法律責(zé)任部分加大了對(duì)違反數(shù)據(jù)安全保護(hù)的處罰力度。網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者違反個(gè)人信息收集使用規(guī)則的，可能需要承擔(dān)的行政處罰責(zé)任包括：責(zé)令改正、警告、沒收違法所得、罰款；情節(jié)嚴(yán)重的，可能還會(huì)被責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照等。竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個(gè)人信息，尚不構(gòu)成犯罪的，需要沒收違法所得，并處罰款，沒有違法所得的，處一百萬元以下罰款。

實(shí)際上，網(wǎng)安法的處罰力度和罰款額度等都是在網(wǎng)安法審議的過程中不斷加大的，對(duì)侵犯公民個(gè)人信息的處罰，二次審議稿原本最高額都是50萬，最終審議通過成為100萬，還有實(shí)行的雙罰制，既罰單位又罰負(fù)責(zé)人員，尤其是對(duì)相關(guān)負(fù)責(zé)人的處罰，有些責(zé)任條款原本也是沒有涉及“直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員”的規(guī)定，也是在最終審議時(shí)新增。

這也表明了立法的一個(gè)從嚴(yán)態(tài)度。所以我一直強(qiáng)調(diào)，網(wǎng)安法中的網(wǎng)絡(luò)安全負(fù)責(zé)人不是好當(dāng)?shù)?，不要糊里糊涂簽字，有些行為后面是很可能要承?dān)行政處罰責(zé)任的。除了行政處罰，網(wǎng)安法還規(guī)定了違法人要記入信用檔案，予以公示，對(duì)于違反網(wǎng)安法第27條危害網(wǎng)絡(luò)安全的行為，受到治安管理處罰或者刑事處罰后，還存在從業(yè)資格限制的規(guī)定。

我們一直在說，今年可以被稱為網(wǎng)安法配套措施完善進(jìn)行時(shí)，大家看，我這張列表里的戰(zhàn)略、法規(guī)、規(guī)范性文件、國家標(biāo)準(zhǔn)等涉及數(shù)據(jù)安全的非常多，當(dāng)然，里面有不少還處于征求意見稿階段。

結(jié)合網(wǎng)安法的生效條款和正在制定的配套措施，我們認(rèn)為，做網(wǎng)安法的全面遵從可以從這九個(gè)模塊入手：網(wǎng)絡(luò)運(yùn)營者、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)安全等級(jí)保護(hù)、國家安全審查、配合支持監(jiān)管工作、個(gè)人信息保護(hù)、網(wǎng)絡(luò)設(shè)備與服務(wù)認(rèn)證、網(wǎng)絡(luò)實(shí)名制、數(shù)據(jù)本地化存儲(chǔ)與出境評(píng)估。網(wǎng)絡(luò)運(yùn)營者是網(wǎng)安法的第一責(zé)任主體，網(wǎng)安法定義了十分寬泛的網(wǎng)絡(luò)運(yùn)營者定義。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者雖然還存在部分不確定，但基本的安全保護(hù)要求網(wǎng)安法已經(jīng)提出來了。

針對(duì)這九大模塊，我們認(rèn)為這個(gè)合規(guī)輸出可以輸出很多東西，比如在座的，你要明白自己適用的法律清單是什么，如果建立在這樣一個(gè)清單和適用分析的基礎(chǔ)之上，實(shí)際上是把網(wǎng)安法條款規(guī)定和企業(yè)內(nèi)部真實(shí)的情況做差異分析，要明白企業(yè)運(yùn)行風(fēng)險(xiǎn)點(diǎn)在哪里。個(gè)人信息和重要數(shù)據(jù)是非常敏感的點(diǎn)，數(shù)據(jù)就是企業(yè)的生命線，做網(wǎng)絡(luò)法合規(guī)非常關(guān)鍵的一點(diǎn)是——個(gè)人信息和重要數(shù)據(jù)清單、以及分布的情況，對(duì)于企業(yè)來說這些數(shù)據(jù)分布在不同的部門，做網(wǎng)安法合規(guī)要清楚哪些是識(shí)別出來的數(shù)據(jù)，清單是分布在哪個(gè)業(yè)務(wù)部門的，配合這樣一個(gè)個(gè)人信息和數(shù)據(jù)的清單，對(duì)信息和重要數(shù)據(jù)所承載的重要系統(tǒng)也要有評(píng)估的結(jié)果，這是保障網(wǎng)絡(luò)信息安全基本的要件。

前面合規(guī)做完了以后，我們建議不管企業(yè)自己做合規(guī)或者找外面的咨詢服務(wù)，最后一定要得出改進(jìn)建議，尤其是和外部數(shù)據(jù)交互的建議，如果企業(yè)內(nèi)部管理制度不完善，那么就要更新制度。

鳴謝：BDTC 2017中國大數(shù)據(jù)技術(shù)大會(huì)，干貨十足，不容錯(cuò)過。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。