雷鋒網(wǎng)編者按：昨天（12月7日），雷鋒網(wǎng)宅客頻道剛告訴你企業(yè)CSO “背鍋俠”不易當(dāng)，不好意思，又要給網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)們來一場“暴擊”。

今天（12月8日），在BDTC 2017中國大數(shù)據(jù)技術(shù)大會“大數(shù)據(jù)安全與政策法規(guī)論壇”上，公安部第三研究所網(wǎng)絡(luò)安全法律研究中心主任黃道麗給出了兩個案例：1.雀巢員工侵犯公民個人信息案中，2011年至2013年9月，鄭某等6名雀巢員工為推銷配方奶粉，通過支付好處費等手段，從蘭州市多家醫(yī)院獲取孕婦姓名、手機號等信息共計12萬余條，但二審法院甘肅省蘭州市中級人民法院于今年 5 月 31 日判決，鄭某等人的涉案行為屬于個人行為，雀巢公司無刑事責(zé)任，免于單位犯罪。為什么？2.今年網(wǎng)安法頒布后，其二十一條可能會讓企業(yè)的網(wǎng)絡(luò)安全負(fù)責(zé)人比較難受：負(fù)責(zé)人若輕易簽字，可能要遭受網(wǎng)安法規(guī)定的“個人處罰”。

企業(yè)如何遵從法律要求的“合規(guī)”？以下為黃道麗的演講全文，原題為《從數(shù)據(jù)合規(guī)道網(wǎng)安法的全面遵從》，雷鋒網(wǎng)在不影響原意的基礎(chǔ)上略有刪減和整理，小標(biāo)題為編者所加。

－－

我今天演講的題目是《從數(shù)據(jù)合規(guī)到網(wǎng)安法的全面遵從》。

我?guī)ьI(lǐng)的團(tuán)隊專業(yè)主要從事網(wǎng)絡(luò)安全法律的研究工作，除了承擔(dān)相關(guān)的科研項目，還會為政府部門、互聯(lián)網(wǎng)企業(yè)提供法律研究支撐。團(tuán)隊現(xiàn)在的研究重點主要是圍繞網(wǎng)絡(luò)安全法的相關(guān)配套措施和制度研究，包括數(shù)據(jù)安全保障、安全漏洞法律治理、等級保護(hù)與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)立法等。

數(shù)據(jù)合規(guī)態(tài)勢

信息技術(shù)與經(jīng)濟社會的融合引發(fā)了全球數(shù)據(jù)的迅猛增長，數(shù)據(jù)資源現(xiàn)在正成為人類社會的生產(chǎn)要素和國家基礎(chǔ)性戰(zhàn)略資源，美、日、歐、澳大利亞等發(fā)達(dá)國家都相繼制定實施大數(shù)據(jù)戰(zhàn)略，國務(wù)院《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》（國發(fā)〔2015〕50 號）正式發(fā)布，旨在全面推進(jìn)我國大數(shù)據(jù)發(fā)展和應(yīng)用，加快建設(shè)數(shù)據(jù)強國，綱要提出了三大主要任務(wù)和七大政策機制。《中華人民共和國國民經(jīng)濟和社會發(fā)展第十三個五年規(guī)劃綱要》更是明確提出“要推行國家大數(shù)據(jù)戰(zhàn)略”。

與此同時，我們也應(yīng)看到，互聯(lián)網(wǎng)跨界融合趨勢明顯，隨著數(shù)據(jù)生產(chǎn)和收集的急劇增長以及應(yīng)用場景的日趨多元，大數(shù)據(jù)時代面臨著比以往任何一個時代更為嚴(yán)峻的安全態(tài)勢，數(shù)據(jù)基礎(chǔ)設(shè)施頻受攻擊、個人信息丟失及泄露風(fēng)險加大、新型網(wǎng)絡(luò)威脅層出不窮、數(shù)據(jù)跨境流動監(jiān)管機制不夠完善、數(shù)據(jù)資源、開放共享與安全保護(hù)矛盾等問題非常突出。

早在2013年，2013年 EMC 和 IDC 聯(lián)合發(fā)布的研究報告《2020年的數(shù)字宇宙》做了很多針對中國的預(yù)測，在我看來還比較準(zhǔn)確，報告預(yù)測，由中國領(lǐng)導(dǎo)的新興市場將于2017年超越成熟市場，中國總體數(shù)據(jù)量將由2012年的占世界13%提高到21%。

但這個報告同時也指出，在中國，眾多需要保護(hù)的數(shù)據(jù)尚未得到保護(hù)，它認(rèn)為中國 51 %的數(shù)據(jù)是沒有得到保護(hù)的，只有 49 %的得到保護(hù)。這個報告的預(yù)測再結(jié)合我們國家目前整體的數(shù)據(jù)安全態(tài)勢和現(xiàn)狀，我們可以得出這么一個看法，傳統(tǒng)基于數(shù)據(jù)資產(chǎn)的風(fēng)險管理機制盡管仍具備基本保護(hù)作用，但大數(shù)據(jù)時代的數(shù)據(jù)安全保護(hù)需要更進(jìn)一步。

我們各個行業(yè)包括企業(yè)現(xiàn)在基本在沿用風(fēng)險管理理念將數(shù)據(jù)作為資產(chǎn)進(jìn)行保護(hù)，這種方式起到了基本保護(hù)作用，但已不能完全適應(yīng)大數(shù)據(jù)技術(shù)和產(chǎn)業(yè)發(fā)展的需要。

我國數(shù)據(jù)安全保護(hù)特點

對有效應(yīng)對數(shù)據(jù)安全的風(fēng)險態(tài)勢，保障大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展，我國正不斷完善國家頂層監(jiān)管機制并在積極推動落地實施，尋求在個人信息保護(hù)、數(shù)據(jù)安全保障、跨境數(shù)據(jù)傳輸?shù)确杀O(jiān)管和大數(shù)據(jù)產(chǎn)業(yè)經(jīng)濟發(fā)展之間的平衡，安全監(jiān)管態(tài)勢呈現(xiàn)三大特點:立法規(guī)范體系化、執(zhí)法實踐常態(tài)化、訴訟案例規(guī)?；?/p>

我們先看第一個特點，立法規(guī)范體系化。立法層面，相關(guān)規(guī)范制度已初具規(guī)模，并在逐步完善。我們看到在個人信息保護(hù)方面?！蛾P(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》《刑法》《民法總則》《消費者權(quán)益保護(hù)法》《測繪法》《征信管理條例》《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》等法律法規(guī)中均明確了個人信息保護(hù)規(guī)范。立法層級逐步提升，可操作性逐步增強。在數(shù)據(jù)安全保障方面。

2017年6月1日正式施行的《網(wǎng)絡(luò)安全法》將實施多年的信息安全等級保護(hù)制度上升到國家網(wǎng)絡(luò)安全等級保護(hù)制度層面，并首次明確建立了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度?！毒W(wǎng)絡(luò)安全法》對數(shù)據(jù)安全保護(hù)在傳統(tǒng)保護(hù)方式基礎(chǔ)上，從關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)安全審查、數(shù)據(jù)本地化留存與跨境流動等方面強化對數(shù)據(jù)全生命周期的安全要求，并相繼出臺了一系列的配套措施。

目前《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》（征求意見稿）、《個人信息和重要數(shù)據(jù)出境安全評估辦法》（征求意見稿）、《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南》（征求意見稿）等配套規(guī)范仍在加緊推進(jìn)中。

第二個特點，執(zhí)法實踐常態(tài)化。一方面，侵犯公民個人信息犯罪仍處于高發(fā)態(tài)勢，而且與電信網(wǎng)絡(luò)詐騙、敲詐勒索、綁架等犯罪呈合流態(tài)勢，社會危害及其嚴(yán)重，公安部多次部署全國公安機關(guān)打擊整治網(wǎng)絡(luò)侵犯公民個人信息犯罪專項行動。

一會兒喻海松（編者注：最高人民法院法官、法學(xué)博士）會跟大家專門講這個方面。另一方面，《網(wǎng)絡(luò)安全法》實施之后，圍繞網(wǎng)安法全國各地也已經(jīng)開始了執(zhí)法的活動，包括違反網(wǎng)絡(luò)內(nèi)容行政處罰案例也在相繼的涌現(xiàn)，這個也是在執(zhí)法實踐常態(tài)化的一個標(biāo)志。

第三個特點，訴訟案例規(guī)?；?。司法層面，相關(guān)訴訟逐步增多。

民事訴訟方面，我國先后出現(xiàn)了朱燁訴百度隱私權(quán)侵權(quán)案，周盛春訴阿里巴巴案 ，任甲玉訴百度案。刑事訴訟方面，《刑法修正案（九）》施行以來，各級公檢法機關(guān)依據(jù)修改后的刑法規(guī)定，嚴(yán)肅懲處侵犯公民個人信息犯罪，案件數(shù)量顯著增長。2015年11月至2016年12月，全國法院新收侵犯公民個人信息刑事案件495件，審結(jié)464件，生效判決人數(shù)697人。

總結(jié)前面來看，我國數(shù)據(jù)合規(guī)的基礎(chǔ)立法已經(jīng)基本確立，初步構(gòu)建了民事、行政和刑事保護(hù)相結(jié)合的立體框架，同時呢，基礎(chǔ)立法也有待指引和標(biāo)準(zhǔn)化落地。我們認(rèn)為，相對于企業(yè)合規(guī)來說，大數(shù)據(jù)安全合規(guī)也具有三大特點，

1.監(jiān)管體系配套制度部分還是處于正在征求意見或等待制定的狀態(tài)，企業(yè)合規(guī)存在不確定性。

2.從執(zhí)法以及常態(tài)化的角度來分析，總體上來說現(xiàn)在良性的執(zhí)法體系也還沒有完全的建立起來，這是合規(guī)的第二大風(fēng)險。

3.從民事訴訟層面、刑事訴訟層面，我們已經(jīng)看到一些典型的案例，但總體案例的規(guī)模還是有限的，也難以根據(jù)案例對立法效果或某些條款規(guī)定進(jìn)行有效的度量和改進(jìn)。

企業(yè)案例

企業(yè)做大數(shù)據(jù)安全合規(guī)對自身有什么影響？我想通過一個案例來說明。

雀巢員工侵犯公民個人信息案，該案由甘肅省蘭州市中級人民法院2017年5月31日判決二審判決。這個案件是怎么回事？

具體來說案情就是這樣的，2011年至2013年9月，鄭某等6名雀巢企業(yè)員工為推銷配方奶粉，通過支付好處費等手段，從蘭州市多家醫(yī)院獲取孕婦姓名、手機號等信息共計12萬余條。一審判決這6名員工侵犯公民個人信息罪，但員工隨即提起上訴，認(rèn)為他們的行為屬于公司行為，應(yīng)該由公司承擔(dān)責(zé)任。二審基本維持了原判，裁定這6人承擔(dān)侵犯公民個人信息罪的刑事責(zé)任。

在這一案例里，法院充分認(rèn)可雀巢企業(yè)所制定和實施的含有個人信息保護(hù)合規(guī)內(nèi)容的《員工行為規(guī)范》等企業(yè)政策，認(rèn)為其足以證明“雀巢企業(yè)禁止員工從事侵犯公民個人信息的違法犯罪行為”，并據(jù)此認(rèn)定鄭某等人的涉案行為屬于個人行為。雀巢作為一家跨國大企業(yè)免于單位犯罪，無刑事責(zé)任，對企業(yè)自身發(fā)展的重要性不言而喻。在這個案例里面企業(yè)內(nèi)部合規(guī)的重要性也凸顯。

當(dāng)然，從雀巢的案例我們總結(jié)出這樣一條經(jīng)驗，員工的合規(guī)意識是最終決定企業(yè)合規(guī)成敗的關(guān)鍵，自上而下，以人為本，在企業(yè)數(shù)據(jù)安全管理上，“人是最大的風(fēng)險，也是最好的尺度”。

企業(yè)合規(guī)遵從建議

《網(wǎng)絡(luò)安全法》于2016年11月7日發(fā)布，自2017年6月1日起施行。這是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律，是我國網(wǎng)絡(luò)空間法治建設(shè)的重要里程碑?！毒W(wǎng)絡(luò)安全法》從網(wǎng)絡(luò)支持促進(jìn)、網(wǎng)絡(luò)運行安全、網(wǎng)絡(luò)信息安全和網(wǎng)絡(luò)事件安全四個維度保障網(wǎng)絡(luò)安全，雖然沒有哪一章命名為“網(wǎng)絡(luò)數(shù)據(jù)安全”，但我一直主張，數(shù)據(jù)安全是《網(wǎng)絡(luò)安全法》的核心價值之一。

為什么說數(shù)據(jù)安全是《網(wǎng)絡(luò)安全法》的核心價值之一呢，大家看，在網(wǎng)絡(luò)運行安全部分，《網(wǎng)絡(luò)安全法》在傳統(tǒng)保護(hù)方式基礎(chǔ)上（數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密）（第21條），從關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)（第34條）、網(wǎng)絡(luò)安全審查（第35條）、數(shù)據(jù)本地化留存與跨境流動（第37條）等方面強化數(shù)據(jù)全生命周期安全的要求。

在網(wǎng)絡(luò)信息安全部分，《網(wǎng)絡(luò)安全法》第40條到第45條規(guī)定了網(wǎng)絡(luò)運營者對個人信息的全生命周期保護(hù)義務(wù)，要求網(wǎng)絡(luò)運營者建立健全用戶信息保護(hù)制度、信息安全投訴及舉報制度，合法、正當(dāng)、必要并經(jīng)收集者同意后收集、使用其個人信息，強化個人信息安全保障，履行泄露告知、補救和報告等義務(wù)，保障個人的刪除更正權(quán)，不得非法侵犯個人信息等。

《網(wǎng)絡(luò)安全法》在法律責(zé)任部分加大了對違反數(shù)據(jù)安全保護(hù)的處罰力度。網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者違反個人信息收集使用規(guī)則的，可能需要承擔(dān)的行政處罰責(zé)任包括：責(zé)令改正、警告、沒收違法所得、罰款；情節(jié)嚴(yán)重的，可能還會被責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照等。竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息，尚不構(gòu)成犯罪的，需要沒收違法所得，并處罰款，沒有違法所得的，處一百萬元以下罰款。

實際上，網(wǎng)安法的處罰力度和罰款額度等都是在網(wǎng)安法審議的過程中不斷加大的，對侵犯公民個人信息的處罰，二次審議稿原本最高額都是50萬，最終審議通過成為100萬，還有實行的雙罰制，既罰單位又罰負(fù)責(zé)人員，尤其是對相關(guān)負(fù)責(zé)人的處罰，有些責(zé)任條款原本也是沒有涉及“直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員”的規(guī)定，也是在最終審議時新增。

這也表明了立法的一個從嚴(yán)態(tài)度。所以我一直強調(diào)，網(wǎng)安法中的網(wǎng)絡(luò)安全負(fù)責(zé)人不是好當(dāng)?shù)模灰锖亢炞?，有些行為后面是很可能要承?dān)行政處罰責(zé)任的。除了行政處罰，網(wǎng)安法還規(guī)定了違法人要記入信用檔案，予以公示，對于違反網(wǎng)安法第27條危害網(wǎng)絡(luò)安全的行為，受到治安管理處罰或者刑事處罰后，還存在從業(yè)資格限制的規(guī)定。

我們一直在說，今年可以被稱為網(wǎng)安法配套措施完善進(jìn)行時，大家看，我這張列表里的戰(zhàn)略、法規(guī)、規(guī)范性文件、國家標(biāo)準(zhǔn)等涉及數(shù)據(jù)安全的非常多，當(dāng)然，里面有不少還處于征求意見稿階段。

結(jié)合網(wǎng)安法的生效條款和正在制定的配套措施，我們認(rèn)為，做網(wǎng)安法的全面遵從可以從這九個模塊入手：網(wǎng)絡(luò)運營者、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)安全等級保護(hù)、國家安全審查、配合支持監(jiān)管工作、個人信息保護(hù)、網(wǎng)絡(luò)設(shè)備與服務(wù)認(rèn)證、網(wǎng)絡(luò)實名制、數(shù)據(jù)本地化存儲與出境評估。網(wǎng)絡(luò)運營者是網(wǎng)安法的第一責(zé)任主體，網(wǎng)安法定義了十分寬泛的網(wǎng)絡(luò)運營者定義。關(guān)鍵信息基礎(chǔ)設(shè)施運營者雖然還存在部分不確定，但基本的安全保護(hù)要求網(wǎng)安法已經(jīng)提出來了。

針對這九大模塊，我們認(rèn)為這個合規(guī)輸出可以輸出很多東西，比如在座的，你要明白自己適用的法律清單是什么，如果建立在這樣一個清單和適用分析的基礎(chǔ)之上，實際上是把網(wǎng)安法條款規(guī)定和企業(yè)內(nèi)部真實的情況做差異分析，要明白企業(yè)運行風(fēng)險點在哪里。個人信息和重要數(shù)據(jù)是非常敏感的點，數(shù)據(jù)就是企業(yè)的生命線，做網(wǎng)絡(luò)法合規(guī)非常關(guān)鍵的一點是——個人信息和重要數(shù)據(jù)清單、以及分布的情況，對于企業(yè)來說這些數(shù)據(jù)分布在不同的部門，做網(wǎng)安法合規(guī)要清楚哪些是識別出來的數(shù)據(jù)，清單是分布在哪個業(yè)務(wù)部門的，配合這樣一個個人信息和數(shù)據(jù)的清單，對信息和重要數(shù)據(jù)所承載的重要系統(tǒng)也要有評估的結(jié)果，這是保障網(wǎng)絡(luò)信息安全基本的要件。

前面合規(guī)做完了以后，我們建議不管企業(yè)自己做合規(guī)或者找外面的咨詢服務(wù)，最后一定要得出改進(jìn)建議，尤其是和外部數(shù)據(jù)交互的建議，如果企業(yè)內(nèi)部管理制度不完善，那么就要更新制度。

鳴謝：BDTC 2017中國大數(shù)據(jù)技術(shù)大會，干貨十足，不容錯過。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。