作者:宁宣凤 吴涵 黎辉辉 张乐建 金杜律师事务所商务合规部

本文简要梳理《网安法》生效以后“个人信息保护”、“CII”与“网络运行安全”领域发生的若干重点事件。

时至今日,我国网络安全领域的基本法《中华人民共和国网络安全法》(“《网安法》”)生效已两个多月。在短短的两个多月来,《网安法》在立法层面全面铺开,从“个人信息保护”、“个人信息和重要数据出境安全评估”、“关键信息基础设施(CII)保护”等多个方面预备出台配套法规。从执法层面,监管部门也坚决推动《网安法》的落实,各地都开展了专项执法活动。与此同时,网络运营者之间关于个人信息归属、数据权利人等问题的矛盾也浮出水面,社会各界都聚焦未来《网安法》配套法规和执法活动的动向。

因此,下文将简要梳理和分享《网安法》生效以后“个人信息保护”、“CII”与“网络运行安全”领域发生的若干重点事件,供大家参考。

个人信息保护

1. 执法

(1)监管部门出手数据乱象,15家大数据公司被查

据媒体报道,2017年5月底至6月初期间,监管部门对市场中非法交易数据等乱象出手,正式开始清理行动,15家大数据公司被列入调查名单,其中几家估值超几十亿。据财新记者报道,“公安部公共信息网络安全监察局正在制定专项治理方案,已将调查名单扩大到30多家,业内知名的大数据公司悉数在此次调查范围之内,不乏已在排队申请IPO计划的公司。”[1]

短评

大数据行业的监管出击可视为《网安法》实施的“预热行动”,并很有可能演变为对大数据行业的全面治理。8月7日出版的《财新周刊》封面报道推出上中下三篇谈大数据产业的灰色一面,强调整肃大数据产业链。随着大数据行业的发展,执法机关将进一步重视大数据企业在数据(尤其是个人信息)收集、使用方面的合法合规问题,如何尽快构建企业内部网络安全和数据合规制度将是企业亟需重视的工作。

(2)四部门联合调查隐私政策,个人信息保护从源头抓起 

2017年7月27日,中央网信办、工信部、公安部、国家标准委等四部门联合开展隐私条款专项工作,首批评审的十款网络产品和服务包括微信、新浪微博、京东商城、百度地图、航旅纵横、携程网等。[2]

此前,若干组织就曾联合针对1000家网络平台的隐私政策进行调研,发现互联网企业对此的重视程度并不高。在参与测评的1000家网站与APP中,没有一个能够达到隐私政策透明度“高”的标准,超过半数的互联网企业隐私政策透明度为“低”。[3]而此次四部门隐私政策联合评审的重点内容包括明确告知收集的个人信息以及收集方式;明确告知使用个人信息的规则,例如形成用户画像及画像的目的,是否用于推送商业广告等;明确告知用户访问、删除、更正其个人信息的权利、实现方式、限制条件等。

短评

隐私政策作为收集用户个人信息的第一道“闸门”,将是个人信息保护工作的第一步。企业隐私政策的制定和修改首先应该重视国家标准的重要性,同时结合产业的特殊性,做到个人信息保护和商业性的平衡。

(3)打击侵犯公民个人信息犯罪专项行动,严查数据链条

公安部最近披露消息:自今年3月公安部部署开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动以来,截至目前,全国共侦破侵犯公民个人信息案件和黑客攻击破坏案件1800余起,抓获犯罪嫌疑人4800余名,查获各类公民个人信息500多亿条。[4]

以合肥市为例,2017年以来,合肥市公安局组织开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动,共破获黑客攻击破坏类案件5起、网络侵犯公民个人信息犯罪案件53起,抓获犯罪嫌疑人77名,查获公民个人信息数据3亿余条。[5]

警方负责人介绍,“大规模个人信息泄露的源头主要有两个,一个是黑客攻击,另一个是掌握大量个人信息的相关企业、单位、平台的‘内鬼’”。在专项行动中,合肥警方网安、刑侦等多个警种联动,以“追源头、摧平台、断链条”为目标,对网络交易平台、论坛、网站等进行全面排查,梳理了一批非法获取、贩卖、使用公民个人信息的线索,尤其是加大对金融、电信、网络服务提供商等单位内部故意泄露公民个人信息的“内鬼”,以及通过黑客入侵手段获取公民个人信息犯罪行为的查处力度。

短评

除了《网安法》中对个人信息保护规定的责任和义务,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(“两高司法解释”),对《刑法修正案(九)》第253条作出解释,明晰了侵犯公民个人信息行为的定罪量刑标准,是目前公民个人信息保护执法的重点依据。由于两高司法解释不仅明确了犯罪行为责任主体,将公司、公司高管及直接业务负责人等都纳入到责任主体范围内,同时也大幅降低了入罪标准,企业亟需制定规范的合规制度以避免可能的刑事责任风险。

2. 立法

除了执法力度的不断加强,《网安法》的出台也加快了相关配套法律规范、国家标准的制定与颁布,为细化个人信息保护方面的实践提供了根据。

(1)《个人信息安全规范(报批稿)》成隐私政策文本修改依据

2017年8月1日,高德地图上线新版本App,新版本在用户使用前出现了弹窗服务协议和隐私政策文本,对个人信息收集及使用的范围、限制等进行重点提示。

据报道称,隐私政策文本系根据国家标准《个人信息安全规范(报批稿)》附录修改而成。事实上,早在2016年,《个人信息安全规范》标准制定项目已经在全国信息安全标准化技术委员会立项,并被列为当年的重点标准项目。参加该标准制定工作的包括中国信息安全研究院、中国电子技术标准化研究院、公安部第一研究所、腾讯、阿里巴巴等多家企事业单位。近日高德地图依据《个人信息安全规范(报批稿)》附录修改隐私政策文本的消息如果确认无误,则意味着《个人信息安全规范》的出台近在眼前。

短评

由于网络安全及大数据技术发展迅速,《网安法》以及配套的相关法律法规对于网络安全及个人信息保护仅仅能从宏观层面做原则性规定。根据《网安法》及其配套法律法规制定的国家标准,则内容更为具体,修订周期更短,能够与时俱进,为企业的合规制度提供更具操作性的指引。高德按照相关的国家标准对隐私政策文本进行修订,反映出国家标准在网络安全与个人信息保护领域发挥的积极指导作用。

(2)用户个人信息保护纳入标准制定规划

2017年8月初,工信部印发《移动互联网综合标准化体系建设指南》(“《指南》”)。[6]《指南》提出,到2020年,初步建立起基础标准较为完善、主要产品和服务标准基本覆盖、安全标准有效保障、符合我国移动互联网产业发展需要的标准体系。其中,用户个人信息保护被纳入移动安全标准制定规划之中。

据工信部的信息称,相关标准的内容主要涉及“用户个人信息保护的定义、范畴、分类和分级方式以及针对个人信息管理业务平台和终端的标准”,规范包括用户账号、用户授权以及用户资源方面的数据管理方法、管理架构以及管理范围。目前已形成包括移动用户个人信息管理业务系统技术要求和测试方法、移动用户个人信息管理业务终端技术要求和测试方法、个人信息共享导则等标准,日后还需针对应用商店、终端、应用软件以及用户数据保护等方面进一步制定个人信息保护标准。

短评

移动互联网已经成为目前信息产业中发展最快、竞争最激烈、创新最活跃的领域之一。移动互联网的便捷性和与用户的紧密联系,使得移动互联网企业能广泛地接触到大量的用户数据。用户数据在大数据时代是企业发展最新的驱动力,已经成为企业的竞争资源。如何在充分挖掘数据价值的同时,做好个人信息保护,防止个人信息泄露及滥用将是移动互联网甚至整个互联网行业需要关注的问题。可以预见,如何以国家或行业标准更好地指导企业的个人信息保护实践,也将是主管与监管部门日后工作的关键环节之一。

3. 争议

(1)顺风与菜鸟:谁动了谁的用户数据

《网安法》生效当天下午,菜鸟网络即发布《关于顺丰暂停物流数据接口的声明》称,顺丰主动关闭了丰巢自提柜和淘宝平台物流数据信息回传;四个小时后,顺丰回应称是菜鸟单方面切断信息接口。在国家邮政局的及时协调下,各方本着顾全大局、维护市场秩序和消费者合法权益的原则,已达成共识并同意从6月3日午间起,全面恢复业务合作和数据传输。

(2)华为与微信:谁能对手机上的用户信息主张权利 

近日,华为与微信在用户数据问题上的争议引发了广泛关注。用户数据的权利归属、应用软件与硬件设备对数据权利主张的边界划分等问题,将会是未来商务实践和司法实践的焦点。

(3)微博与今日头条:如何合法地抓取信息

关于信息抓取和授权的争议也发生在微博与今日头条之间。近日,微博称今日头条在微博毫不知情且未授权的情况下,直接从微博抓取包括自媒体账号内容在内的行为涉嫌侵权,微博将就此进行维权。今日头条方面则声称,其抓取的信息已经获得用户的事先知情同意,用户在是否授权问题上有充分的自主权,因而发布在微博平台上的信息其版权仍然属于用户本人,由用户自主决定是否授权,不涉及微博的知情和授权问题。

短评

在新浪/脉脉案件中,法院已经指出“用户数据已经成为企业愈发重要的经营资源”,可以预见的是未来对作为“经营资源”的用户数据的争夺将日益激烈,其引发的争议也将骤增。无论是顺丰与菜鸟之间的矛盾,华为与微信的纠纷,还是微博与今日头条的争议,在智能设备与物联网日益发达的时代,企业在业务中都会接触到、使用到用户数据。从产品和服务提供商的角度出发,如何尽可能地保护好用户的数据,是网络安全时代无法回避的话题。但同时,针对用户数据权利的问题,虽然我国关于互联网用户数据保护在宏观层面已有立法,但是具体场景下的个人是否完全具有相关信息的所有权,哪些企业能对合法收集的个人信息主张权利等问题,仍有待执法或司法实践进一步明确。

CII

1. 立法

(1)《关键信息基础设施保护条例(征求意见稿)》揭开CII保护立法进程新篇章

2017年7月11日,国家互联网信息办公室公布了备受瞩目的《关键信息基础设施安全保护条例(征求意见稿)》(“《保护条例(征求意见稿)》”)。[7]CII安全保护制度作为《网安法》建立的若干信息网络安全制度中的核心和重中之重,早在2013年国家信息网络立法规划中就被认定为整个信息网络立法的最基础层。《保护条例(征求意见稿)》对CII范围、运营者安全保护义务、产品和服务安全、监测预警、应急处置和检测评估等一系列事项进行了详细的规定,构建了CII安全保护制度的具体框架。其制度框架要求发挥CII运营者的主观能动性,调动多方资源共享合作,体现了国家将CII筑成“金城汤池”,捍卫网络空间主权的决心。

短评

《保护条例(征求意见稿)》的颁布,也意味着我国CII保护立法工作进一步推进,对CII运营者的日常运营与管理有着重要的指导意义。因此,CII运营者应当尽快开始梳理其内部网络安全制度和体系,比照相关规定项下的义务进行内部调整和校准。

(2)《关键信息基础设施识别指南》近在咫尺

根据《保护条例(征求意见稿)》第19条规定,国家网信部门将会同国务院电信主管部门、公安部门等部门制定《关键信息基础设施识别指南》(“《识别指南》”);国家行业主管或监管部门按照《识别指南》,组织识别本行业、本领域的CII,并按程序报送识别结果。未来相关部门会发布《识别指南》和经识别的各行业CII具体清单,解决目前《网安法》实施过程中所面临的CII范围的不确定性。

短评

《识别指南》的出台将有助于进一步提升CII的准确性,按照行业、领域组织识别CII的方法也反映了CII的识别标准是基于行业、领域特点的综合评估,反映了识别方法的科学性和合理性。在《识别指南》正式出台之前,企业也可按照自己所处的行业领域、运营方式等进行初步评估,为日后的合规工作做好充足的准备。

2. 执法

(1)CII名单初步确定,诸多国企在列

据PaRR报道,目前国内已有400-500家企业被列入CII名单之中,其中大部分为国有企业。消息称,被列入CII名单的企业已被告知此事,而未接获通知的企业暂时将不会被界定为CII运营者。然而,该名单可能会不定期更新,并随着确认工作继续推进,适时发布公告。

根据《网安法》相关规定,国家互联网信息办公室将每年统筹协调有关部门对CII运营者开展全国性检测;2017年的检测工作现已启动,预计将于中共第十九次全国代表大会召开前加速。

短评

CII安全保护制度的建设与实践将是我国网络安全体系的核心之一。自身网络设施是否构成CII、CII如何具体履行相关网络安全保护义务等也成为了目前企业最为关注的问题。随着《保护条例(征求意见稿)》的颁布与《识别指南》制定工作的推动,CII的范围将日渐明晰,企业应当积极反馈相关部门关于CII的问询,关注相关部门的公告与动态,积极做好应对准备。

网络运行安全

1. 重庆市网安第一案

2017年8月初,重庆市公安局网安总队成功查处重庆首例违反《网安法》的行政案件。[8]重庆公安网安总队在日常检查中发现,某重庆当地网络运营商自今年6月《网安法》正式实施以来,在提供互联网服务时存在未依法留存用户登录相关网络日志的违法行为,根据相关规定给予该公司警告处罚,并责令限期整改。

2. 四川省网安第一案

根据四川在线消息,因未落实网络安全等级保护制度,近日宜宾市翠屏区教师培训与教育研究中心被四川省公安厅处一万元罚款,法人代表唐某某被处五千元罚款。这是今年6月1日《网安法》实施以来,四川省公安机关依法处置的第一起违反《网安法》的行政案件。

此外,四川全省公安网安部门表示,下一步,全省将依据《网安法》,进一步加大网络安全监管和执法力度,继续深入开展2017年全省公安机关网络安全执法检查,对未落实网络安全等级保护制度、网络实名认证、侵害公民个人信息等违法行为严格依法查处,切实维护网络信息安全。

短评

重庆市和四川省的网络安全第一案都和网络安全运行安全相关。网络日志留存是公安机关依法追查网络违法犯罪的重要基础和保证,能够准确、及时查询到不法分子的互联网日志,可为下一步循线追踪,查获不法分子打下坚实基础。如负责该案执法的重庆公安网安总队也表示,遵守“日志留存”的相关规定,对网站运营者本身也有着极其重要的安全防护作用,不仅能够留存历史数据,更为未来可能发生的安全威胁消除了隐患。

而网络安全等级保护制度是我国现行的网络安全领域重要制度。 公安部和标准化主管部门已经制定了信息系统的安全保护等级。《网安法》总结实践经验,对其主要内容做出了规定,进一步加强网络安全等级保护制度的落实。

3. Boss直聘案

东北大学毕业生李文星通过BOSS直聘求职,继而深陷传销组织致死一案暴露了BOSS直聘的重大漏洞后,相关监管部门已经积极介入。北京网信办、天津网信办就BOSS直聘发布违法违规信息、用户管理出现重大疏漏等问题联合约谈BOSS直聘,并责令网站立即整改。[9]

北京网信办相关发言人表示,BOSS直聘在为用户提供信息发布服务过程中,违规为未提供真实身份信息的用户提供了信息发布服务;未采取有效措施对用户发布传输的信息进行严格管理,导致违法违规信息扩散。2017年8月10日,BOSS直聘也发出了官方道歉信,表示自李文星事件发生以来公司采取的三项紧急措施,包括“100%审核认证”、“组建求职安全中心”、“建立平台提醒机制”等。

4. 腾讯微信、新浪微博、百度贴吧网站被立案调查

据国家网信办官网通报,2017年8月13日,国家网信办指导北京市、广东省网信办分别对腾讯微信、新浪微博、百度贴吧立案,并依法展开调查。通报指出,根据网民举报,经北京市、广东省网信办初查,三家网站的微信、微博、贴吧平台分别存在有用户传播暴力恐怖、虚假谣言、淫秽色情等危害国家安全、公共安全、社会秩序的信息。三家网站平台涉嫌违反《网安法》等法律法规,对其平台用户发布的法律法规禁止发布的信息未尽到管理义务。[10]

短评

在信息产业时代,通过发挥网络连通性的影响力,网络平台已经成为了真正的信息高速通道。然而,网络平台的这种特性却也有可能成为垃圾信息和违法信息传播的工具。无论是Boss直聘案还是针对腾讯微信、新浪微博与百度贴吧的调查,可以看出,随着《网安法》的施行及网络运行安全监管工作的深入推进,如何更好规范网络信息平台运营制度和监管责任将是网络运营者,尤其是网络平台合规工作的重点。就目前的执法动态来看,用户协议的免责条款并不能作为网络平台完全免责的抗辩理由,网络平台应当转变身份与观念,由一个网络信息的参与者转变为网络信息的基层管理者,完善平台的事前提示、事后监管以及信息审核等机制,担当平台信息的准入与影响的责任,主动承担网络运营者的安全义务。

注释:

[1] 请见《财新周刊》 2017年第31期“整肃数据产业链”,出版日期 2017年08月07日。

[2] 请见http://www.cac.gov.cn/2017-08/02/c_1121421829.htm。

[3] 请见http://news.xinhuanet.com/legal/2017-06/01/c_1121067078.htm。

[4] 请见http://www.gov.cn/xinwen/2017-07/18/content_5211559.htm。

[5] 请见http://hf.ahga.gov.cn/xwfb/201706/23152231zuet.html。

[6] 请见http://www.miit.gov.cn/n1146295/n1146592/n3917132/n4061630/c5757129/content.html。

[7] 请见http://www.cac.gov.cn/2017-07/11/c_1121294220.htm。

[8] 请见http://www.cqga.gov.cn/jfzx/53137.htm。

[9] 请见http://society.people.com.cn/n1/2017/0810/c1008-29460958.html。

[10] 请见http://www.cac.gov.cn/2017-08/11/c_1121467425.htm。