作者:宁宣凤吴涵、黎辉辉 金杜律师事务所

前言

距离我们将“网络安全与数据合规”(Cybersecurity & Data Compliance)作为合规工作的单独门类已经近四年时间,网络安全与数据合规工作的内涵和外延不断的发生变化,逐步形成了以《网络安全法》(以下简称“《网安法》”)以及《全国人大常委会关于加强网络信息保护的决定》(统称“一法一决定”)为基础,配套法律法规以及国家标准为框架的合规体系。

企业对网络安全与数据合规工作的认识也日益加深,大多数企业已经任命专门的网络安全负责人以及个人信息保护负责人,加强内部网络安全与数据合规制度建设与培训。企业内部合规意识的增强得益于网络安全与数据合规相关规则高频率的出台和广泛的宣传,同时近年来相关执法活动的逐步开展也推动企业内部合规工作的落地。

从2019年的立法执法活动来看,我国网络安全与数据合规工作即将迈入2.0时代。企业2020年合规工作即将步入“深水区”,不仅以“技术+合规”为基础,兼顾企业的商业发展,同时以网络及数据合规资产为导向的合规工作还将直接影响企业的商业价值。“合规创造价值”将成为2020年网络安全与数据合规的工作重点。

我们将近三年在金杜平台上发布的部分文章(请见文后金杜网络安全与数据合规团队文章共享)以及2019年的重要立法、执法和相关活动小结(请见文后附表)随附,结合本文一起回顾并以此展望2020年网络安全与数据合规工作。

一、2019年网络安全与数据合规回顾与述评

个人信息保护是2019年网络安全与数据合规工作的重点领域,网络安全等级保护、关键信息基础设施(以下简称“CII”)保护、数据跨境传输与互联网信息内容服务管理等领域也有重要的发展。同时主管部门在多项重点问题上已经形成较为成熟的监管思路,正逐步推进执法和监管的落地,我国网络安全与数据合规的治理格局也日益稳定。

(一)个人信息保护进入深水区,数据管理与利用双管齐下 

  • 立法工作相互衔接,“层层”递进

1.      以法律为核心,法规与国家及行业标准配套的立法体系

2.      强化特定类型比如儿童个人信息的保护

3.      细化个人信息同意、收集必要性等具体规范

作为个人信息保护的基础性法律之一,《网安法》从其颁行伊始,其体系规则通过“战略-法律-法规-国家及行业标准”的次序和层次做到“层层递进,逐步落实”。这一“多层次”的规则构建思路在2019年个人信息保护领域中得到显著的体现。

从基本法律层面看,个人信息保护的原则在多项法律中相互衔接,逐步发展。《民法总则》第111条对“个人信息权利”作出规定,与《网安法》中关于“个人信息保护”的基本规则进行呼应。《民法典分编》草案中也将可能纳入“隐私权和个人信息保护”的专章专节,正式在民事法律关系领域的基本大法中确立了个人信息基本民事权益的法律地位。此外,《个人信息保护法》也被列入了全国人大常委会的立法计划,有望成为我国关于集个人信息属性、民事权益和保护规则于一体的基础性法律。

从具体规范层面看,《儿童个人信息网络保护规定》是我国第一部针对儿童的个人信息保护的专门立法,不仅具有立法领域上的综合性,更具有保护主体上的针对性,弥补了我国关于儿童个人信息保护具体规则的空白,也让我国儿童个人信息保护的水平与国际要求逐渐接轨(详情请见此前文章“星光奉献给长夜——儿童个人信息保护的亮点和启示”)。除此以外《数据安全管理办法(征求意见稿)》等规章文本也陆续出台,也有《个人信息去标识化指南》《个人信息安全规范(修订稿征求意见稿)》和《个人信息安全影响评估指南(征求意见稿)》等国家标准的编制。从构建规则的角度看来,我们理解,主管部门已从个人信息保护的基础规则,逐渐开始关注具体的操作环节和特定类型的个人信息,例如去标识化、安全影响评估和儿童个人信息等,注重在现有成型的规则框架中进一步丰富个人信息保护工作的内涵,以期为执法实践和企业合规提供更全面、具体的参照。

相类似地,2020年初出台的另外两份国家标准(《移动互联网应用(App)收集个人信息基本规范》和《个人信息告知同意指南》)征求意见稿也在一定程度上延续了这一趋势:从微观与实质入手,要求企业全面检视“App采集的个人信息是否最少必要”以及“同意是否充分有效”,并通过必要的技术和组织措施进行完善。

  • App治理由表及里、多方共治

1.      多部门联合执法与单独执法相结合

2.      执法内容从文本优化深入到产品设计和技术实现

3.      加强实质性合规,考虑开展APP认证

贯穿2019年的App个人信息保护专项治理与执法活动也体现个人信息保护工作正逐步进入“深水区”(详情请见此前文章“按图索骥——图示移动App个人信息保护的重点”)。

承接2018年的执法治理活动,2019年初,中央网信办、工信部、公安部、市场监管总局等四部门决定全年在全国范围内组织开展App违法违规收集使用个人信息专项治理,而治理工作的关注点也从前期的App隐私政策制定与起草、App产品功能的整体设置,逐步深入至用户账户的注销管理、用户权利的响应机制、App处理个人信息所使用的技术模块(如SDK、API、Cookie等)与重要系统权限(如摄像头、存储读写、麦克风、位置、系统日志等)的调用是否合规等问题。同时,从App监管向外延伸的工作中可见,主管部门也高度关注由新兴技术利用引发的个人信息保护问题,如“3·15晚会”曝光的Wi-Fi探针、使用场景日渐增多的人脸识别技术、多见于大数据采集与分析行业的爬虫技术等等。

由此可见,个人信息保护监管的“形式合规”阶段(如优化用户协议与隐私政策、)即将成为过去式,强调精细化、定制化、微观化的“实质合规”将成为主管部门未来工作的关注重点。因此,这将既要求合规部门对产品所使用的技术具有全面、透彻的认识,也需要商务、技术部门在产品生命周期内始终保持高度的合规意识,才能确保企业在“形式合规”的基础上,在实质层面真正落实App个人信息保护的合规工作。

此外,App治理工作在监管手段上还呈现了两大特点。一方面,四部门虽有联合行动,不同部门也会在自身职权范围内开展相应的执法,例如公安部的“净网行动”、工信部的信息通信领域App专项整治等,且不同部门的执法要求与关注点还可能存在差异。因此,为了更好地应对不同部门的专项执法要求,企业在设计产品合规方案时就应该充分考虑执法的趋势与程度,在可行的范围内以更为严格的标准落实合规,以避免周旋于不同治理要求之中而应接不暇。

另一方面,除了专项整治外,App安全认证更是主管部门在监管形势上的又一创新。App运营者参与申请App安全认证,既能发挥第三方独立检测机构的技术优势,也能发挥以各大搜索引擎、应用市场在辅助监督层面的价值,一定程度上减轻主管部门的执法负担,更能调动App运营者的合规积极性,可谓一举多得。考虑到未来的App治理工作将进一步深入,App安全认证的范围亦即将放开,有条件的企业确实可以考虑通过取得安全认证的方式,推进App产品的实质合规,以便更为游刃有余地配合执法工作。

  • 重点行业严格执法 数据全链条合规

1.      金融、征信、医疗、交通、电信、互联网等行业是重点监管行业

2.      公安个人信息保护执法中注重数据全链条的合规性

3.      资本市场也注重数据合规性,以合规为出发点考虑企业持久盈利能力

4.      建议企业从自身合规为起点,流程合规性证据,同时加强第三方数据合规性管控

5.      企业的数据合规工作宜早不宜迟

考虑到不同的行业所涉个人信息的敏感程度、规模有所区别,主管部门在执法中也有区分轻重缓急。金融、征信、医疗、交通、电信、互联网等行业因在经营过程中能够接触到海量的个人(敏感)信息,且行业覆盖范围极其广泛,始终是主管部门高度关注的严监管行业。

2017至2018年间,以“数据堂案”为典型的电信行业侵犯公民个人信息等相关案件轰动一时。2019年,围绕“个人金融信息”“(类)征信业务”“爬虫技术”等关键词、以“套路贷”“砍头贷”“714高炮”等经济活动犯罪为导火索引发的金融风控行业全链条彻查,出现引发广泛社会关注的系列案件。值得注意的是,在刑事侦查领域,公安部门对严监管行业的关注通常不会停留在某一业务节点,而通常会延伸至切入点的上游或下游业务,并从宏观层面考察上下游业务之间可能存在的关联性,以及其中可能涉及的个人信息处理活动

同时,相关的执法也引发行业主管部门对行业格局、业务逻辑、业内规范的反思,比如在金融行业,《个人金融信息(数据)保护试行办法(初稿)》和《金融消费者权益保护实施办法(征求意见稿)》陆续出台,旨在新经济条件下规范个人金融信息收集和使用。

此外,包括个人信息保护在内的数据合规问题也引发了资本市场的关注。比如各大证券交易所在2019年下半年也在IPO(尤其是科创板)中加大对拟上市企业数据合规情况的问询,除了发函要求保荐机构与律师事务所针对具体个人信息处理问题发表正式意见以外,个别项目中证券交易所甚至组成督查组进场驻扎,对重点关注问题进行现场勘验(详情请见此前文章“宜未雨而绸缪——企业上市关注的重点数据合规问题”)。而其中,主营业务中实质性涉及个人信息采集、分析和共享等处理活动的拟上市企业备受关注,存量数据的合规性问题、企业内部数据合规制度的完备性问题以及企业与外部第三方间数据交互的合规性问题则是证券交易所密切关注的重点。

换言之,我们理解,企业(尤其是处于“严监管”行业的企业)日后在开展个人信息保护工作时,首先要“独善其身”,进行数据全面梳理、文本优化与内部制度构建,并保留合规性证明文件为日后应对检查准备,同时为融资等后续资本运作保存材料。同时,还应当注重与自身存在数据交互的第三方,以最大限度地避免数据合规瑕疵在业务流程中得以传导和流入。此外,企业开展数据合规的时点宜早不宜迟,不能在业务和产品上市、商业模式基本成型后再行考虑和开展数据合规评估,而应当在产品的设计之始就纳入数据合规理念,并使之贯穿于产品的全生命周期。

  • 数据“合规”与“价值”并举

1.      数据合规不是为了应对执法,应该创造价值

2.      数据溯源与确权的最终目的是为了固定数据相关权益

3.      数据资产、数据治理是数据价值合法合规实现的基础

纵使如此,执法与监管本身并不是目标,正如“合规创造价值”的观点一般,“合规”并非终极目的而是创造“价值”的必备要件。因此,从充分调动数据利用积极性的角度而言,我们注意到,《数据安全管理办法(征求意见稿)》中除了凸显“个人信息与重要数据的跨境传输实施分轨管理”以外,其最大的特点正是在于立法的出发点与落脚点在于“数据”,而并未限定特定的类型(详情请见前文“‘却顾所来径,苍苍横翠微’——短评《数据安全管理办法(征求意见稿)》”)。随着《数据安全法》亦被列入了立法规划之中,我们理解,国家对数据治理的布局思路也逐步体现,既要强调安全管理,开展经营与运行时做到实质合规,也要强调合理利用,在合规的基础上充分挖掘数据对经济活动的价值。

因此,国家领导层所大力倡导的、《区块链信息服务管理规定》所指向的区块链技术或许正是体现这一思路的典型代表:在监管数据合规的同时,需要逐步利用技术手段实现数据的安全可信共享,在维护数据隐私和安全的前提下促进数据的共享和流动,打破数据孤岛,让数据产生价值。由此可见,数据价值的合理开发和利用,也将成为未来数据管理工作的又一重点。对数据驱动型企业而言,如何将数据从纯粹的业务材料提升为数据资产,使其得以固定、并能够为企业创造和实现价值,将是难以绕开的核心问题(详情请见前文“平安夜里说平安——‘数据资产’的误区与合规条件”)。相应地,如何在企业内构筑“数据资产管理体系”以更高效的形式运营数据,亦将成为企业未来在合规前提下谋求可持续发展的核心任务。

(二)网络运行安全防护更上层楼

  • 等保0为核心的网络安全保护体系

1.      网络安全等级保护是企业需要履行的法定义务

2.      对等保2.0的实施落地将是执法长期关注的指标

3.      等保2.0的实施落地是企业网络安全的基础,但不是终点

以GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》为代表的三项网络安全等级保护核心国家标准正式生效,意味着“等保2.0”时代的新里程正式启航。

与“等保1.0”有所不同,“等保2.0”源自于《网安法》第二十一条对“网络安全等级保护制度”的框架性规定,因而其法律依据的位阶更高,在企业合规工作中具有更强的必要性与引导作用。此外,为体现更好的政策与产业兼容性,等保2.0体系也将云计算、移动互联、物联网、工业控制系统和大数据等应用纳入防护体系中,并在安全通用要求的基础上拟制了拓展要求,以便相关企业能够最大限度地定制等保合规策略(详情请见前文“欲穷千里目,更上一层楼:国际新形势下的等保2.0”);同时,新《密码法》也为等级保护中的“密码”使用提供了必要的指引与启示。(详情请见前文“博观而约取,厚积而薄发:《密码法》要点评析及企业合规路径”)

随着基本要求、测评要求、安全设计技术要求和实施指南的正式落地,等保2.0的标准体系已基本完善;虽然2019年主管部门并未专门针对等保2.0开展专项治理活动,考虑到等级保护备案/认证属于标准化合规事项,“是否落实等级保护制度”一直是公安机关在日常网络安全检查和临时突袭检查中的必检科目。因未能及时落实等保义务,继而引发其他安全或违规事件而引发行政处罚的案例也并不鲜见。由此可见,作为网络安全常态合规中必不可少的部分,等保2.0是承载网络安全与数据价值的基本所在,缺乏对网络与信息系统合适、对等的防护,安全与价值有如无源之水、无本之木。因此企业在日常合规中也应将网络安全等级保护工作置于显要位置,并应将其作为企业进一步增加网络安全能力的重要基础。

  • CII保护箭在弦上、稳步推进

1.      CII保护的前提是CII识别,CII识别工作已经逐步推进

2.      CII保护应当从等保、数据出境义务、网络产品及服务采购等多环节把控

事实上,与等保2.0密切相关、国家网络安全工作核心的CII保护也在稳步进行。不少行业已逐步进行内部评定,并初步筛选和识别该行业内的CII。与此同时,2019年12月,全国信安标委秘书处就在北京组织召开了国家标准《信息安全技术 关键信息基础设施网络安全保护基本要求(报批稿)》的试点工作启动会,并在电信、广电、能源、交通、金融、卫生健康等重点行业和领域选取了12家单位作为标准应用试点单位。由此,从内部合规的角度,企业应当密切关注自身行业内对CII识别与试点合规的情况。

就CII规则体系构建的层面而言,除了等保2.0能够为不同等级的CII(原则上不低于三级))提供网络安全合规参照外,《云计算服务安全评估办法》与《网络安全审查办法(征求意见稿)》的出台,也进一步夯实了CII在开展网络产品与服务(如云计算服务)采购活动中的安全可控,从国家层面为CII保护提供必要的规则支撑(详情请见前文“千淘万漉虽辛苦,吹尽狂沙始到金——《网络安全审查办法(征求意见稿)》简析”)。我们理解,鉴于二者均以“是否关切或影响国家安全、经济安全、社会稳定、公共利益”等指标作为衡量与判别因素,随着CII保护工作条件的日臻成熟,CII的范围与对象将逐渐明朗,“重要数据”的界定思路和范围也可能得以进一步明晰,相应的合规工作也将能够正式启动。可以预见的是,如《关键信息基础设施安全保护条例》能够早日出台,主管部门与各行业企业将会在更大范围内、更有力地推动CII保护工作的开展。

(三)互联网信息内容服务管理是网络生态治理的核心

互联网信息内容管理一直以来都是监管和执法的重点领域。2019年内出台的《网络生态治理规定》与《互联网信息服务严重失信主体信用信息管理办法(征求意见稿)》不仅说明互联网信息内容服务管理是网络安全治理中不可或缺的重要组成部分,也证明了其在网络生态治理中的核心地位。

一方面,《网络生态治理规定》通过对“网络信息内容生产者”、“网络信息内容服务使用者”和“网络信息内容服务平台”进行责任划分,要求其各自规范自身任内行为,将显著有利于建立健全网络综合治理体系,落实互联网企业信息管理主体责任,并能够以法律的武器遏制网络暴力、人肉搜索、深度伪造、流量造假、操纵账号等污染网络生态的行为,构筑严厉的“事后追究机制”。

另一方面,《互联网信息服务严重失信主体信用信息管理办法(征求意见稿)》则是响应2019年7月颁行的《国务院办公厅关于加快推进社会信用体系建设构建以信用为基础的新型监管机制的指导意见》的号召(详情请见前文“大一统而慎始也——新型信用监管机制问答”),从互联网信息服务领域促进信用建设,并计划启动信用黑名单管理和失信联合惩戒,有意向严重失信主体呈现“前置性威慑”,以抑制违法违规行为的出现。

两份规范性文件虽然规制切入点和工作机制有所不同,但二者都是从责任追究的角度出发,拟进一步加强对我国互联网空间信息内容服务的监管。考虑到“网络信息(内容)服务”的范围较为宽泛,除了提供相关服务的平台企业需要着重关注以外,普通企业在管理内部网络信息内容服务时也需谨慎行事,避免因轻视的心态而引发不利的合规后果。

二、2020年网络安全与数据合规工作的展望与启示

 (一)展望 

结合2019年工作的回顾,在2020年我们需要重点提示大家:

  • 个人信息保护的监管态势与多方共治的态势将得以保持。主管部门的“微观”监管视角也将可能延续和进一步推进,持续关注App和移动智能设备中用于采集用户个人信息的技术手段,而国家与行业标准也将仍然是执法实践与企业合规工作参考的重要材料。

随着人工智能、物联网、云计算、生物识别等技术的进一步发展和普及,利用前述技术开展个人信息处理的产品和应用也将成为主管部门的关注重点;而监管的切入点将不限于App专项治理与安全认证、企业拟议IPO、专项刑事案件调查等,而可能是在更多既存的日常检查与执法活动中嵌入数据合规方面的考察内容,使数据合规进一步成为常态化监管要求。

  • 随着等保0体系的完备与成熟,以及CII保护工作的试点完成,《关键信息基础设施安全保护条例》将可能得以正式出台,CII保护工作也可能将实质性地铺开。相应地,不排除与CII存在一定关联的“重要数据”识别和划定工作也将在不同行业中展开。

历经2017年与2019年两次的规制路径优化,数据跨境传输的监管思路也逐渐成熟,在一定程度上具备了正式出台监管规范的条件。考虑到《数据安全管理办法(征求意见稿)》初步体现了“分轨管理”的机制,《个人信息出境安全评估办法(征求意见稿)》已经呈现借鉴欧盟GDPR标准合同条款思路的趋势,因而不排除主管部门将可能分别针对个人信息与重要数据的跨境传输更新和修订安全评估指南,以进一步完善跨境传输的工作机制。

  • 电信与金融行业中主要涉及的个人信息处理活动在既往的专项执法中已进行了必要的梳理,而目前金融行业的个人信息处理与利用规则仍然处于破局攻坚阶段,业内产业链与格局也在主管部门的指引下相应调整。由此可见,“严监管”行业将仍然是执法监管的关注重点,而伴随执法监管而来的还将是行业规则与业务逻辑的革新。

在严厉打击“严监管”行业中侵犯公民个人信息与其他数据权益案件的同时,“数据资产”的概念也逐渐浮出水面。在强调数据安全治理的同时,如何在合规的基础上盘活数据并使之成为资产,得以为企业创造更大的价值,既是主管部门需要提供指引与支撑的领域,也是企业需要深入思考与创新的问题。

 (二)启示 

关键词:技术+合规+产品;数据合规体系;数据融合;数据资产;数据治理

综上所述,针对企业2020年的网络安全与数据合规工作,我们建议:

  • 企业的数据合规工作应该从关注隐私政策文本与产品界面优化,转而更多地关注产品功能的设计逻辑与底层技术;在设计、研发、运营等环节中嵌入数据合规元素,确保产品全流程合规和常态化合规;同时,企业可以考虑通过App安全认证等方式提升产品合规知名度。
  • 企业内部数据合规体系的构建已成必要,因而需要召集产品、商务、技术与合规部门,共同了解企业当前的数据安全与合规现状,从企业的业务战略与目标出发,整理明确出数据合规的关键需求;在整体的信息化规划下进行数据合规体系、架构等的设计规划工作,并在落实数据合规的相关制度时,注重实施情况的反馈与制度的持续性改进。
  • 企业应该密切关注主管部门的监管动态,尤其是位于“严监管”行业的企业,一方面需要留心行业主管部门结合本行业实际,对网络安全与数据合规提出的定制化要求;另一方面,也需要跟进《网安法》体系监管机构对数据跨境传输、重要数据保护等“待定领域”的最新动态,并在可行的范围内参考征求意见稿开展内部自查合规,以备应对专项执法活动的不时之需。
  • 企业数据资产管理体系的构建是大势所趋。企业需要明确自身数据集合的类别与对应可主张的权利来源,完善数据融合体系为固定形成数据资产提供必要的基础(详情请见“‘数’年快乐——万字长文说‘数据融合’”);通过数据资产模型规划和数据资产分级与分类,将数据集合进行“资产化”为后续的管理和使用提供便利;切实建立一套常态化、体系化、标准化的管理措施,针对特定数据资产拟定相应的管控措施与流程,以便数据资产的可持续运营。