作者:宁宣凤 吴涵 黎辉辉 张乐建 金杜律师事务所商务合规部
本文简要梳理《网安法》生效以后“个人信息保护”、“CII”与“网络运行安全”领域发生的若干重点事件。
因此,下文将简要梳理和分享《网安法》生效以后“个人信息保护”、“CII”与“网络运行安全”领域发生的若干重点事件,供大家参考。
个人信息保护
(1)监管部门出手数据乱象,15家大数据公司被查
据媒体报道,2017年5月底至6月初期间,监管部门对市场中非法交易数据等乱象出手,正式开始清理行动,15家大数据公司被列入调查名单,其中几家估值超几十亿。据财新记者报道,“公安部公共信息网络安全监察局正在制定专项治理方案,已将调查名单扩大到30多家,业内知名的大数据公司悉数在此次调查范围之内,不乏已在排队申请IPO计划的公司。”[1]
(2)四部门联合调查隐私政策,个人信息保护从源头抓起
2017年7月27日,中央网信办、工信部、公安部、国家标准委等四部门联合开展隐私条款专项工作,首批评审的十款网络产品和服务包括微信、新浪微博、京东商城、百度地图、航旅纵横、携程网等。[2]
此前,若干组织就曾联合针对1000家网络平台的隐私政策进行调研,发现互联网企业对此的重视程度并不高。在参与测评的1000家网站与APP中,没有一个能够达到隐私政策透明度“高”的标准,超过半数的互联网企业隐私政策透明度为“低”。[3]而此次四部门隐私政策联合评审的重点内容包括明确告知收集的个人信息以及收集方式;明确告知使用个人信息的规则,例如形成用户画像及画像的目的,是否用于推送商业广告等;明确告知用户访问、删除、更正其个人信息的权利、实现方式、限制条件等。
(3)打击侵犯公民个人信息犯罪专项行动,严查数据链条
公安部最近披露消息:自今年3月公安部部署开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动以来,截至目前,全国共侦破侵犯公民个人信息案件和黑客攻击破坏案件1800余起,抓获犯罪嫌疑人4800余名,查获各类公民个人信息500多亿条。[4]
以合肥市为例,2017年以来,合肥市公安局组织开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动,共破获黑客攻击破坏类案件5起、网络侵犯公民个人信息犯罪案件53起,抓获犯罪嫌疑人77名,查获公民个人信息数据3亿余条。[5]
警方负责人介绍,“大规模个人信息泄露的源头主要有两个,一个是黑客攻击,另一个是掌握大量个人信息的相关企业、单位、平台的‘内鬼’”。在专项行动中,合肥警方网安、刑侦等多个警种联动,以“追源头、摧平台、断链条”为目标,对网络交易平台、论坛、网站等进行全面排查,梳理了一批非法获取、贩卖、使用公民个人信息的线索,尤其是加大对金融、电信、网络服务提供商等单位内部故意泄露公民个人信息的“内鬼”,以及通过黑客入侵手段获取公民个人信息犯罪行为的查处力度。
2. 立法
除了执法力度的不断加强,《网安法》的出台也加快了相关配套法律规范、国家标准的制定与颁布,为细化个人信息保护方面的实践提供了根据。
(1)《个人信息安全规范(报批稿)》成隐私政策文本修改依据
2017年8月1日,高德地图上线新版本App,新版本在用户使用前出现了弹窗服务协议和隐私政策文本,对个人信息收集及使用的范围、限制等进行重点提示。
据报道称,隐私政策文本系根据国家标准《个人信息安全规范(报批稿)》附录修改而成。事实上,早在2016年,《个人信息安全规范》标准制定项目已经在全国信息安全标准化技术委员会立项,并被列为当年的重点标准项目。参加该标准制定工作的包括中国信息安全研究院、中国电子技术标准化研究院、公安部第一研究所、腾讯、阿里巴巴等多家企事业单位。近日高德地图依据《个人信息安全规范(报批稿)》附录修改隐私政策文本的消息如果确认无误,则意味着《个人信息安全规范》的出台近在眼前。
(2)用户个人信息保护纳入标准制定规划
2017年8月初,工信部印发《移动互联网综合标准化体系建设指南》(“《指南》”)。[6]《指南》提出,到2020年,初步建立起基础标准较为完善、主要产品和服务标准基本覆盖、安全标准有效保障、符合我国移动互联网产业发展需要的标准体系。其中,用户个人信息保护被纳入移动安全标准制定规划之中。
据工信部的信息称,相关标准的内容主要涉及“用户个人信息保护的定义、范畴、分类和分级方式以及针对个人信息管理业务平台和终端的标准”,规范包括用户账号、用户授权以及用户资源方面的数据管理方法、管理架构以及管理范围。目前已形成包括移动用户个人信息管理业务系统技术要求和测试方法、移动用户个人信息管理业务终端技术要求和测试方法、个人信息共享导则等标准,日后还需针对应用商店、终端、应用软件以及用户数据保护等方面进一步制定个人信息保护标准。
3. 争议
(1)顺风与菜鸟:谁动了谁的用户数据
《网安法》生效当天下午,菜鸟网络即发布《关于顺丰暂停物流数据接口的声明》称,顺丰主动关闭了丰巢自提柜和淘宝平台物流数据信息回传;四个小时后,顺丰回应称是菜鸟单方面切断信息接口。在国家邮政局的及时协调下,各方本着顾全大局、维护市场秩序和消费者合法权益的原则,已达成共识并同意从6月3日午间起,全面恢复业务合作和数据传输。
(2)华为与微信:谁能对手机上的用户信息主张权利
近日,华为与微信在用户数据问题上的争议引发了广泛关注。用户数据的权利归属、应用软件与硬件设备对数据权利主张的边界划分等问题,将会是未来商务实践和司法实践的焦点。
(3)微博与今日头条:如何合法地抓取信息
关于信息抓取和授权的争议也发生在微博与今日头条之间。近日,微博称今日头条在微博毫不知情且未授权的情况下,直接从微博抓取包括自媒体账号内容在内的行为涉嫌侵权,微博将就此进行维权。今日头条方面则声称,其抓取的信息已经获得用户的事先知情同意,用户在是否授权问题上有充分的自主权,因而发布在微博平台上的信息其版权仍然属于用户本人,由用户自主决定是否授权,不涉及微博的知情和授权问题。
CII
(1)《关键信息基础设施保护条例(征求意见稿)》揭开CII保护立法进程新篇章
2017年7月11日,国家互联网信息办公室公布了备受瞩目的《关键信息基础设施安全保护条例(征求意见稿)》(“《保护条例(征求意见稿)》”)。[7]CII安全保护制度作为《网安法》建立的若干信息网络安全制度中的核心和重中之重,早在2013年国家信息网络立法规划中就被认定为整个信息网络立法的最基础层。《保护条例(征求意见稿)》对CII范围、运营者安全保护义务、产品和服务安全、监测预警、应急处置和检测评估等一系列事项进行了详细的规定,构建了CII安全保护制度的具体框架。其制度框架要求发挥CII运营者的主观能动性,调动多方资源共享合作,体现了国家将CII筑成“金城汤池”,捍卫网络空间主权的决心。
(2)《关键信息基础设施识别指南》近在咫尺
根据《保护条例(征求意见稿)》第19条规定,国家网信部门将会同国务院电信主管部门、公安部门等部门制定《关键信息基础设施识别指南》(“《识别指南》”);国家行业主管或监管部门按照《识别指南》,组织识别本行业、本领域的CII,并按程序报送识别结果。未来相关部门会发布《识别指南》和经识别的各行业CII具体清单,解决目前《网安法》实施过程中所面临的CII范围的不确定性。
2. 执法
(1)CII名单初步确定,诸多国企在列
据PaRR报道,目前国内已有400-500家企业被列入CII名单之中,其中大部分为国有企业。消息称,被列入CII名单的企业已被告知此事,而未接获通知的企业暂时将不会被界定为CII运营者。然而,该名单可能会不定期更新,并随着确认工作继续推进,适时发布公告。
根据《网安法》相关规定,国家互联网信息办公室将每年统筹协调有关部门对CII运营者开展全国性检测;2017年的检测工作现已启动,预计将于中共第十九次全国代表大会召开前加速。
网络运行安全
2017年8月初,重庆市公安局网安总队成功查处重庆首例违反《网安法》的行政案件。[8]重庆公安网安总队在日常检查中发现,某重庆当地网络运营商自今年6月《网安法》正式实施以来,在提供互联网服务时存在未依法留存用户登录相关网络日志的违法行为,根据相关规定给予该公司警告处罚,并责令限期整改。
2. 四川省网安第一案
根据四川在线消息,因未落实网络安全等级保护制度,近日宜宾市翠屏区教师培训与教育研究中心被四川省公安厅处一万元罚款,法人代表唐某某被处五千元罚款。这是今年6月1日《网安法》实施以来,四川省公安机关依法处置的第一起违反《网安法》的行政案件。
此外,四川全省公安网安部门表示,下一步,全省将依据《网安法》,进一步加大网络安全监管和执法力度,继续深入开展2017年全省公安机关网络安全执法检查,对未落实网络安全等级保护制度、网络实名认证、侵害公民个人信息等违法行为严格依法查处,切实维护网络信息安全。
而网络安全等级保护制度是我国现行的网络安全领域重要制度。 公安部和标准化主管部门已经制定了信息系统的安全保护等级。《网安法》总结实践经验,对其主要内容做出了规定,进一步加强网络安全等级保护制度的落实。
3. Boss直聘案
东北大学毕业生李文星通过BOSS直聘求职,继而深陷传销组织致死一案暴露了BOSS直聘的重大漏洞后,相关监管部门已经积极介入。北京网信办、天津网信办就BOSS直聘发布违法违规信息、用户管理出现重大疏漏等问题联合约谈BOSS直聘,并责令网站立即整改。[9]
北京网信办相关发言人表示,BOSS直聘在为用户提供信息发布服务过程中,违规为未提供真实身份信息的用户提供了信息发布服务;未采取有效措施对用户发布传输的信息进行严格管理,导致违法违规信息扩散。2017年8月10日,BOSS直聘也发出了官方道歉信,表示自李文星事件发生以来公司采取的三项紧急措施,包括“100%审核认证”、“组建求职安全中心”、“建立平台提醒机制”等。
4. 腾讯微信、新浪微博、百度贴吧网站被立案调查
据国家网信办官网通报,2017年8月13日,国家网信办指导北京市、广东省网信办分别对腾讯微信、新浪微博、百度贴吧立案,并依法展开调查。通报指出,根据网民举报,经北京市、广东省网信办初查,三家网站的微信、微博、贴吧平台分别存在有用户传播暴力恐怖、虚假谣言、淫秽色情等危害国家安全、公共安全、社会秩序的信息。三家网站平台涉嫌违反《网安法》等法律法规,对其平台用户发布的法律法规禁止发布的信息未尽到管理义务。[10]
注释:
[1] 请见《财新周刊》 2017年第31期“整肃数据产业链”,出版日期 2017年08月07日。
[2] 请见http://www.cac.gov.cn/2017-08/02/c_1121421829.htm。
[3] 请见http://news.xinhuanet.com/legal/2017-06/01/c_1121067078.htm。
[4] 请见http://www.gov.cn/xinwen/2017-07/18/content_5211559.htm。
[5] 请见http://hf.ahga.gov.cn/xwfb/201706/23152231zuet.html。
[6] 请见http://www.miit.gov.cn/n1146295/n1146592/n3917132/n4061630/c5757129/content.html。
[7] 请见http://www.cac.gov.cn/2017-07/11/c_1121294220.htm。
[8] 请见http://www.cqga.gov.cn/jfzx/53137.htm。
[9] 请见http://society.people.com.cn/n1/2017/0810/c1008-29460958.html。
[10] 请见http://www.cac.gov.cn/2017-08/11/c_1121467425.htm。