2017年6月1日《中华人民共和国网络安全法》(“《网络安全法》”)实施以来,其中与数据安全和个人信息保护有关的规范要求尤为引人关注。特别是近两年来数据安全事件、个人信息泄露事件频发,欧盟《通用数据保护条例》(“GDPR”)、美国加州《消费者隐私法案》(“CCPA”)等域外监管要求提升的背景下,对于作为网络运营者的企业,就所处行业、不同的业务和平台下在数据安全和个人信息保护方面有哪些问题,如何在《网络安全法》框架下结合行业特点和企业特性积极有效地应对、进而搭建与本企业相适应的数据合规体系。值《网络安全法》实施两年之际,天元将推出数据合规系列文章,从不同维度归纳和分享我们对问题的思考及实务经验。
从2019年4月中旬起,在“天元数据合规”系列中,我们对《网络安全法》实施以来的制度性文件进行梳理和回顾,并对数据安全和个人信息保护的焦点问题和趋势加以展望;进而,分析了电商、互联网消费贷、互联网教育、互联网医疗、保险等几个行业或领域的数据合规管理要点,其中主要侧重于客户个人信息的保护与管理。
的确,在当前的数据治理框架下,个人信息保护无疑是最受关注的内容之一。一方面,随着网络和信息技术的迅猛发展,以及大数据、云计算和移动互联网的广泛应用,网络运营者收集用户信息的范围不断扩大,具有收集信息功能的应用也越来越多。从一系列数据安全事件看,个人信息的过度收集、滥用、泄露在其中占相当大的比例。
另一方面,个人信息保护,从某种意义上说,是从个人权益角度考虑数据安全问题,而个人观点、立场等差异,以及个人信息用途的多样化,导致个人信息保护变得格外复杂,也促使对个人信息保护的治理手段趋向多元化。
但是,数据安全远不止个人信息安全。本篇我们将结合《网络安全法》关于网络安全的规定,从个人信息安全视角扩展到数据安全、乃至网络安全,对网络安全法的相关规定加以梳理。
特别地,2019年5月28日,国家网信办就《数据安全管理办法(征求意见稿)》向全社会征求意见。其中明确,“在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动(以下简称数据活动),以及数据安全的保护和监督管理,适用本办法。纯粹家庭和个人事务除外。……”要求网络运营者应当按照有关法律、行政法规的规定,参照国家网络安全标准,履行数据安全保护义务,建立数据安全管理责任和评价考核制度,制定数据安全计划,实施数据安全技术防护,开展数据安全风险评估,制定网络安全事件应急预案,及时处置安全事件,组织数据安全教育、培训。并且提出,网络运营者利用用户数据和算法推送新闻信息、商业广告等(简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。
一、数据安全与个人信息保护
(一)数据与个人信息的内涵和外延不同
数据作为信息数字化形式,其中既有可识别自然人个人身份的各种信息和隐私,也有经过处理无法识别特定人且不能复原的信息,还有法人和企业组织的商业秘密等信息。
对于数据与个人信息的关系可以参考图1理解:
(图1)
《数据安全管理办法(征求意见稿)》除了对“网络数据”“个人信息”“个人信息主体”等关键用语的含义规定外,还界定了 “重要数据”,即“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”
(二)数据安全因相关方不同呈现不同的保护需求
从企业角度,对于数据安全主要关注的是商业秘密保护;从个人角度,由于个人处于相对弱势的位置,需要国家通过公权力对组织提出相关要求,让组织能够保护好个人信息;此外,从国家安全、社会公共利益角度看,对于相关的重要数据需要额外的保护措施。
(三)当前数据安全的内涵和外延与从前有很大不同
数据安全已成为近年来的高频词,其包含的内容也有所扩展。很多数据安全事件不只是泄漏问题。例如,顺丰与菜鸟之争、华为与微信关于数据的争端,支付宝的账单事件,网络爬取数据案件等,这些事件或者案件涉及的已经不仅是个人信息保护问题,并且与过去网络安全强调的保密性、完整性、可用性的关联度不大,亟待完善数据安全方面的治理。
二、《网络安全法》关于网络安全、数据安全与个人信息保护
(一)《网络安全法》关于网络安全制度
《网络安全法》确立了网络设备设施安全、网络运行安全、网络数据安全、网络信息安全等方面制度,将网络安全的范围确定为网络运行安全和网络信息安全两个方面,并分别规定在该法的第三章“网络运行安全”和第四章“网络信息安全”中。
对于网络安全制度方面的关系以及管理要点可以分别参考图2、表1理解:
(图2)
(表1)注:国家互联网信息办公室关于《个人信息和重要数据出境安全评估办法(征求意见稿)》公开征求意见的通知(2017年4月11日)
注:国家互联网信息办公室关于《数据安全管理办法(征求意见稿)》公开征求意见的通知(2019年5月28日)
(二)《网络安全法》关于网络信息安全
从规制网络运营者对用户信息保护的角度,《网络安全法》将网络数据安全相对集中规定在第四章“网络信息安全”中。由于网络用户有自然人、法人和其他组织,用户信息包括个人信息以及法人和其他组织的商业秘密等信息,而商业秘密等信息在反不正当竞争法等中有规定。因此,《网络安全法》第四章重点规定了个人信息的保护,但在其他章节也有个人信息的内容。例如第四章中的网络运营者不能涵盖网络产品、服务的提供者,因此在第三章第二十二条中衔接性规定;第二十四条涉及用户信息则是基于身份管理。
(三)《网络安全法》关于网络运行安全
网络等级安全保护制度是网络安全领域的一项重要制度。从《计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》到《信息安全等级保护管理办法》,特别是《网络安全法》以及《网络安全等级保护基本要求》(信息系统安全等级保护基本要求)等一系列文件,随着IT向DT的转变,网络等级保护已经进入2.0时代。
《网络安全法》对于网络运营者、网络产品生产者和服务提供者、网络关键设备和网络安全专用产品提供者、关键信息基础设施运营者等不同网络主体在网络运行安全、网络信息安全方面有不同的要求(见表2):
(表2)
注:国家互联网信息办公室关于《关键信息基础设施安全保护条例(征求意见稿)》公开征求意见的通知(2017年7月11日)
综上,企业数据合规管理,既有个人信息保护,也有商业秘密等数据安全其他数据的安全,且不可避免地涉及网络安全。各企业应当结合自身的角色,跟进变化,有针对性地进行数据安合规管理。
天元数据合规服务
天元团队连续二十余年为TMT行业提供法律服务,对通信及互联网产业政策、行业发展和变迁历程、以及业务有着深刻的理解和感受。从2012年底全国人大常委会关于公民个人信息保护的第一个专门性法律颁布至今,天元持续为行业内领先的企业客户提供数据合规、用户个人信息保护、网络和信息安全方面的法律服务。天元数据合规服务包括:对企业的业务模式、业务规则、业务流程以及业务方案中涉及的用户个人信息保护、数据使用与安全、数据跨境等问题进行合规性审查和论证;为企业审查和起草用户个人信息协议、授权文件、隐私政策等文件;协助企业搭建数据业务合规体系,制订相关文件;以及数据合规培训。天元数据合规服务涵盖数据及个人信息的收集、使用、存储、管理、合作、经营以及数据跨境等业务及安全管理的全链条。