0
本文作者: 李勤 | 2017-12-08 21:42 |
雷鋒網(wǎng)編者按:昨天(12月7日),雷鋒網(wǎng)宅客頻道剛告訴你企業(yè)CSO “背鍋俠”不易當(dāng),不好意思,又要給網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)們來一場“暴擊”。
今天(12月8日),在BDTC 2017中國大數(shù)據(jù)技術(shù)大會(huì)“大數(shù)據(jù)安全與政策法規(guī)論壇”上,公安部第三研究所網(wǎng)絡(luò)安全法律研究中心主任黃道麗給出了兩個(gè)案例:1.雀巢員工侵犯公民個(gè)人信息案中,2011年至2013年9月,鄭某等6名雀巢員工為推銷配方奶粉,通過支付好處費(fèi)等手段,從蘭州市多家醫(yī)院獲取孕婦姓名、手機(jī)號(hào)等信息共計(jì)12萬余條,但二審法院甘肅省蘭州市中級(jí)人民法院于今年 5 月 31 日判決,鄭某等人的涉案行為屬于個(gè)人行為,雀巢公司無刑事責(zé)任,免于單位犯罪。為什么?2.今年網(wǎng)安法頒布后,其二十一條可能會(huì)讓企業(yè)的網(wǎng)絡(luò)安全負(fù)責(zé)人比較難受:負(fù)責(zé)人若輕易簽字,可能要遭受網(wǎng)安法規(guī)定的“個(gè)人處罰”。
企業(yè)如何遵從法律要求的“合規(guī)”?以下為黃道麗的演講全文,原題為《從數(shù)據(jù)合規(guī)道網(wǎng)安法的全面遵從》,雷鋒網(wǎng)在不影響原意的基礎(chǔ)上略有刪減和整理,小標(biāo)題為編者所加。
--
我今天演講的題目是《從數(shù)據(jù)合規(guī)到網(wǎng)安法的全面遵從》。
我?guī)ьI(lǐng)的團(tuán)隊(duì)專業(yè)主要從事網(wǎng)絡(luò)安全法律的研究工作,除了承擔(dān)相關(guān)的科研項(xiàng)目,還會(huì)為政府部門、互聯(lián)網(wǎng)企業(yè)提供法律研究支撐。團(tuán)隊(duì)現(xiàn)在的研究重點(diǎn)主要是圍繞網(wǎng)絡(luò)安全法的相關(guān)配套措施和制度研究,包括數(shù)據(jù)安全保障、安全漏洞法律治理、等級(jí)保護(hù)與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)立法等。
信息技術(shù)與經(jīng)濟(jì)社會(huì)的融合引發(fā)了全球數(shù)據(jù)的迅猛增長,數(shù)據(jù)資源現(xiàn)在正成為人類社會(huì)的生產(chǎn)要素和國家基礎(chǔ)性戰(zhàn)略資源,美、日、歐、澳大利亞等發(fā)達(dá)國家都相繼制定實(shí)施大數(shù)據(jù)戰(zhàn)略,國務(wù)院《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》(國發(fā)〔2015〕50 號(hào))正式發(fā)布,旨在全面推進(jìn)我國大數(shù)據(jù)發(fā)展和應(yīng)用,加快建設(shè)數(shù)據(jù)強(qiáng)國,綱要提出了三大主要任務(wù)和七大政策機(jī)制。《中華人民共和國國民經(jīng)濟(jì)和社會(huì)發(fā)展第十三個(gè)五年規(guī)劃綱要》更是明確提出“要推行國家大數(shù)據(jù)戰(zhàn)略”。
與此同時(shí),我們也應(yīng)看到,互聯(lián)網(wǎng)跨界融合趨勢明顯,隨著數(shù)據(jù)生產(chǎn)和收集的急劇增長以及應(yīng)用場景的日趨多元,大數(shù)據(jù)時(shí)代面臨著比以往任何一個(gè)時(shí)代更為嚴(yán)峻的安全態(tài)勢,數(shù)據(jù)基礎(chǔ)設(shè)施頻受攻擊、個(gè)人信息丟失及泄露風(fēng)險(xiǎn)加大、新型網(wǎng)絡(luò)威脅層出不窮、數(shù)據(jù)跨境流動(dòng)監(jiān)管機(jī)制不夠完善、數(shù)據(jù)資源、開放共享與安全保護(hù)矛盾等問題非常突出。
早在2013年,2013年 EMC 和 IDC 聯(lián)合發(fā)布的研究報(bào)告《2020年的數(shù)字宇宙》做了很多針對(duì)中國的預(yù)測,在我看來還比較準(zhǔn)確,報(bào)告預(yù)測,由中國領(lǐng)導(dǎo)的新興市場將于2017年超越成熟市場,中國總體數(shù)據(jù)量將由2012年的占世界13%提高到21%。
但這個(gè)報(bào)告同時(shí)也指出,在中國,眾多需要保護(hù)的數(shù)據(jù)尚未得到保護(hù),它認(rèn)為中國 51 %的數(shù)據(jù)是沒有得到保護(hù)的,只有 49 %的得到保護(hù)。這個(gè)報(bào)告的預(yù)測再結(jié)合我們國家目前整體的數(shù)據(jù)安全態(tài)勢和現(xiàn)狀,我們可以得出這么一個(gè)看法,傳統(tǒng)基于數(shù)據(jù)資產(chǎn)的風(fēng)險(xiǎn)管理機(jī)制盡管仍具備基本保護(hù)作用,但大數(shù)據(jù)時(shí)代的數(shù)據(jù)安全保護(hù)需要更進(jìn)一步。
我們各個(gè)行業(yè)包括企業(yè)現(xiàn)在基本在沿用風(fēng)險(xiǎn)管理理念將數(shù)據(jù)作為資產(chǎn)進(jìn)行保護(hù),這種方式起到了基本保護(hù)作用,但已不能完全適應(yīng)大數(shù)據(jù)技術(shù)和產(chǎn)業(yè)發(fā)展的需要。
對(duì)有效應(yīng)對(duì)數(shù)據(jù)安全的風(fēng)險(xiǎn)態(tài)勢,保障大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展,我國正不斷完善國家頂層監(jiān)管機(jī)制并在積極推動(dòng)落地實(shí)施,尋求在個(gè)人信息保護(hù)、數(shù)據(jù)安全保障、跨境數(shù)據(jù)傳輸?shù)确杀O(jiān)管和大數(shù)據(jù)產(chǎn)業(yè)經(jīng)濟(jì)發(fā)展之間的平衡,安全監(jiān)管態(tài)勢呈現(xiàn)三大特點(diǎn):立法規(guī)范體系化、執(zhí)法實(shí)踐常態(tài)化、訴訟案例規(guī)?;?。
我們先看第一個(gè)特點(diǎn),立法規(guī)范體系化。立法層面,相關(guān)規(guī)范制度已初具規(guī)模,并在逐步完善。我們看到在個(gè)人信息保護(hù)方面。《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《刑法》《民法總則》《消費(fèi)者權(quán)益保護(hù)法》《測繪法》《征信管理?xiàng)l例》《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)中均明確了個(gè)人信息保護(hù)規(guī)范。立法層級(jí)逐步提升,可操作性逐步增強(qiáng)。在數(shù)據(jù)安全保障方面。
2017年6月1日正式施行的《網(wǎng)絡(luò)安全法》將實(shí)施多年的信息安全等級(jí)保護(hù)制度上升到國家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度層面,并首次明確建立了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度?!毒W(wǎng)絡(luò)安全法》對(duì)數(shù)據(jù)安全保護(hù)在傳統(tǒng)保護(hù)方式基礎(chǔ)上,從關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)安全審查、數(shù)據(jù)本地化留存與跨境流動(dòng)等方面強(qiáng)化對(duì)數(shù)據(jù)全生命周期的安全要求,并相繼出臺(tái)了一系列的配套措施。
目前《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》(征求意見稿)、《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》(征求意見稿)、《信息安全技術(shù) 數(shù)據(jù)出境安全評(píng)估指南》(征求意見稿)等配套規(guī)范仍在加緊推進(jìn)中。
第二個(gè)特點(diǎn),執(zhí)法實(shí)踐常態(tài)化。一方面,侵犯公民個(gè)人信息犯罪仍處于高發(fā)態(tài)勢,而且與電信網(wǎng)絡(luò)詐騙、敲詐勒索、綁架等犯罪呈合流態(tài)勢,社會(huì)危害及其嚴(yán)重,公安部多次部署全國公安機(jī)關(guān)打擊整治網(wǎng)絡(luò)侵犯公民個(gè)人信息犯罪專項(xiàng)行動(dòng)。
一會(huì)兒喻海松(編者注:最高人民法院法官、法學(xué)博士)會(huì)跟大家專門講這個(gè)方面。另一方面,《網(wǎng)絡(luò)安全法》實(shí)施之后,圍繞網(wǎng)安法全國各地也已經(jīng)開始了執(zhí)法的活動(dòng),包括違反網(wǎng)絡(luò)內(nèi)容行政處罰案例也在相繼的涌現(xiàn),這個(gè)也是在執(zhí)法實(shí)踐常態(tài)化的一個(gè)標(biāo)志。
第三個(gè)特點(diǎn),訴訟案例規(guī)模化。司法層面,相關(guān)訴訟逐步增多。
民事訴訟方面,我國先后出現(xiàn)了朱燁訴百度隱私權(quán)侵權(quán)案,周盛春訴阿里巴巴案 ,任甲玉訴百度案。刑事訴訟方面,《刑法修正案(九)》施行以來,各級(jí)公檢法機(jī)關(guān)依據(jù)修改后的刑法規(guī)定,嚴(yán)肅懲處侵犯公民個(gè)人信息犯罪,案件數(shù)量顯著增長。2015年11月至2016年12月,全國法院新收侵犯公民個(gè)人信息刑事案件495件,審結(jié)464件,生效判決人數(shù)697人。
總結(jié)前面來看,我國數(shù)據(jù)合規(guī)的基礎(chǔ)立法已經(jīng)基本確立,初步構(gòu)建了民事、行政和刑事保護(hù)相結(jié)合的立體框架,同時(shí)呢,基礎(chǔ)立法也有待指引和標(biāo)準(zhǔn)化落地。我們認(rèn)為,相對(duì)于企業(yè)合規(guī)來說,大數(shù)據(jù)安全合規(guī)也具有三大特點(diǎn),
1.監(jiān)管體系配套制度部分還是處于正在征求意見或等待制定的狀態(tài),企業(yè)合規(guī)存在不確定性。
2.從執(zhí)法以及常態(tài)化的角度來分析,總體上來說現(xiàn)在良性的執(zhí)法體系也還沒有完全的建立起來,這是合規(guī)的第二大風(fēng)險(xiǎn)。
3.從民事訴訟層面、刑事訴訟層面,我們已經(jīng)看到一些典型的案例,但總體案例的規(guī)模還是有限的,也難以根據(jù)案例對(duì)立法效果或某些條款規(guī)定進(jìn)行有效的度量和改進(jìn)。
企業(yè)做大數(shù)據(jù)安全合規(guī)對(duì)自身有什么影響?我想通過一個(gè)案例來說明。
雀巢員工侵犯公民個(gè)人信息案,該案由甘肅省蘭州市中級(jí)人民法院2017年5月31日判決二審判決。這個(gè)案件是怎么回事?
具體來說案情就是這樣的,2011年至2013年9月,鄭某等6名雀巢企業(yè)員工為推銷配方奶粉,通過支付好處費(fèi)等手段,從蘭州市多家醫(yī)院獲取孕婦姓名、手機(jī)號(hào)等信息共計(jì)12萬余條。一審判決這6名員工侵犯公民個(gè)人信息罪,但員工隨即提起上訴,認(rèn)為他們的行為屬于公司行為,應(yīng)該由公司承擔(dān)責(zé)任。二審基本維持了原判,裁定這6人承擔(dān)侵犯公民個(gè)人信息罪的刑事責(zé)任。
在這一案例里,法院充分認(rèn)可雀巢企業(yè)所制定和實(shí)施的含有個(gè)人信息保護(hù)合規(guī)內(nèi)容的《員工行為規(guī)范》等企業(yè)政策,認(rèn)為其足以證明“雀巢企業(yè)禁止員工從事侵犯公民個(gè)人信息的違法犯罪行為”,并據(jù)此認(rèn)定鄭某等人的涉案行為屬于個(gè)人行為。雀巢作為一家跨國大企業(yè)免于單位犯罪,無刑事責(zé)任,對(duì)企業(yè)自身發(fā)展的重要性不言而喻。在這個(gè)案例里面企業(yè)內(nèi)部合規(guī)的重要性也凸顯。
當(dāng)然,從雀巢的案例我們總結(jié)出這樣一條經(jīng)驗(yàn),員工的合規(guī)意識(shí)是最終決定企業(yè)合規(guī)成敗的關(guān)鍵,自上而下,以人為本,在企業(yè)數(shù)據(jù)安全管理上,“人是最大的風(fēng)險(xiǎn),也是最好的尺度”。
《網(wǎng)絡(luò)安全法》于2016年11月7日發(fā)布,自2017年6月1日起施行。這是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律,是我國網(wǎng)絡(luò)空間法治建設(shè)的重要里程碑?!毒W(wǎng)絡(luò)安全法》從網(wǎng)絡(luò)支持促進(jìn)、網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)信息安全和網(wǎng)絡(luò)事件安全四個(gè)維度保障網(wǎng)絡(luò)安全,雖然沒有哪一章命名為“網(wǎng)絡(luò)數(shù)據(jù)安全”,但我一直主張,數(shù)據(jù)安全是《網(wǎng)絡(luò)安全法》的核心價(jià)值之一。
為什么說數(shù)據(jù)安全是《網(wǎng)絡(luò)安全法》的核心價(jià)值之一呢,大家看,在網(wǎng)絡(luò)運(yùn)行安全部分,《網(wǎng)絡(luò)安全法》在傳統(tǒng)保護(hù)方式基礎(chǔ)上(數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密)(第21條),從關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)(第34條)、網(wǎng)絡(luò)安全審查(第35條)、數(shù)據(jù)本地化留存與跨境流動(dòng)(第37條)等方面強(qiáng)化數(shù)據(jù)全生命周期安全的要求。
在網(wǎng)絡(luò)信息安全部分,《網(wǎng)絡(luò)安全法》第40條到第45條規(guī)定了網(wǎng)絡(luò)運(yùn)營者對(duì)個(gè)人信息的全生命周期保護(hù)義務(wù),要求網(wǎng)絡(luò)運(yùn)營者建立健全用戶信息保護(hù)制度、信息安全投訴及舉報(bào)制度,合法、正當(dāng)、必要并經(jīng)收集者同意后收集、使用其個(gè)人信息,強(qiáng)化個(gè)人信息安全保障,履行泄露告知、補(bǔ)救和報(bào)告等義務(wù),保障個(gè)人的刪除更正權(quán),不得非法侵犯個(gè)人信息等。
《網(wǎng)絡(luò)安全法》在法律責(zé)任部分加大了對(duì)違反數(shù)據(jù)安全保護(hù)的處罰力度。網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者違反個(gè)人信息收集使用規(guī)則的,可能需要承擔(dān)的行政處罰責(zé)任包括:責(zé)令改正、警告、沒收違法所得、罰款;情節(jié)嚴(yán)重的,可能還會(huì)被責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照等。竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個(gè)人信息,尚不構(gòu)成犯罪的,需要沒收違法所得,并處罰款,沒有違法所得的,處一百萬元以下罰款。
實(shí)際上,網(wǎng)安法的處罰力度和罰款額度等都是在網(wǎng)安法審議的過程中不斷加大的,對(duì)侵犯公民個(gè)人信息的處罰,二次審議稿原本最高額都是50萬,最終審議通過成為100萬,還有實(shí)行的雙罰制,既罰單位又罰負(fù)責(zé)人員,尤其是對(duì)相關(guān)負(fù)責(zé)人的處罰,有些責(zé)任條款原本也是沒有涉及“直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員”的規(guī)定,也是在最終審議時(shí)新增。
這也表明了立法的一個(gè)從嚴(yán)態(tài)度。所以我一直強(qiáng)調(diào),網(wǎng)安法中的網(wǎng)絡(luò)安全負(fù)責(zé)人不是好當(dāng)?shù)?,不要糊里糊涂簽字,有些行為后面是很可能要承?dān)行政處罰責(zé)任的。除了行政處罰,網(wǎng)安法還規(guī)定了違法人要記入信用檔案,予以公示,對(duì)于違反網(wǎng)安法第27條危害網(wǎng)絡(luò)安全的行為,受到治安管理處罰或者刑事處罰后,還存在從業(yè)資格限制的規(guī)定。
我們一直在說,今年可以被稱為網(wǎng)安法配套措施完善進(jìn)行時(shí),大家看,我這張列表里的戰(zhàn)略、法規(guī)、規(guī)范性文件、國家標(biāo)準(zhǔn)等涉及數(shù)據(jù)安全的非常多,當(dāng)然,里面有不少還處于征求意見稿階段。
結(jié)合網(wǎng)安法的生效條款和正在制定的配套措施,我們認(rèn)為,做網(wǎng)安法的全面遵從可以從這九個(gè)模塊入手:網(wǎng)絡(luò)運(yùn)營者、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)安全等級(jí)保護(hù)、國家安全審查、配合支持監(jiān)管工作、個(gè)人信息保護(hù)、網(wǎng)絡(luò)設(shè)備與服務(wù)認(rèn)證、網(wǎng)絡(luò)實(shí)名制、數(shù)據(jù)本地化存儲(chǔ)與出境評(píng)估。網(wǎng)絡(luò)運(yùn)營者是網(wǎng)安法的第一責(zé)任主體,網(wǎng)安法定義了十分寬泛的網(wǎng)絡(luò)運(yùn)營者定義。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者雖然還存在部分不確定,但基本的安全保護(hù)要求網(wǎng)安法已經(jīng)提出來了。
針對(duì)這九大模塊,我們認(rèn)為這個(gè)合規(guī)輸出可以輸出很多東西,比如在座的,你要明白自己適用的法律清單是什么,如果建立在這樣一個(gè)清單和適用分析的基礎(chǔ)之上,實(shí)際上是把網(wǎng)安法條款規(guī)定和企業(yè)內(nèi)部真實(shí)的情況做差異分析,要明白企業(yè)運(yùn)行風(fēng)險(xiǎn)點(diǎn)在哪里。個(gè)人信息和重要數(shù)據(jù)是非常敏感的點(diǎn),數(shù)據(jù)就是企業(yè)的生命線,做網(wǎng)絡(luò)法合規(guī)非常關(guān)鍵的一點(diǎn)是——個(gè)人信息和重要數(shù)據(jù)清單、以及分布的情況,對(duì)于企業(yè)來說這些數(shù)據(jù)分布在不同的部門,做網(wǎng)安法合規(guī)要清楚哪些是識(shí)別出來的數(shù)據(jù),清單是分布在哪個(gè)業(yè)務(wù)部門的,配合這樣一個(gè)個(gè)人信息和數(shù)據(jù)的清單,對(duì)信息和重要數(shù)據(jù)所承載的重要系統(tǒng)也要有評(píng)估的結(jié)果,這是保障網(wǎng)絡(luò)信息安全基本的要件。
前面合規(guī)做完了以后,我們建議不管企業(yè)自己做合規(guī)或者找外面的咨詢服務(wù),最后一定要得出改進(jìn)建議,尤其是和外部數(shù)據(jù)交互的建議,如果企業(yè)內(nèi)部管理制度不完善,那么就要更新制度。
鳴謝:BDTC 2017中國大數(shù)據(jù)技術(shù)大會(huì),干貨十足,不容錯(cuò)過。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。