传统快消、零售业引入“互联网+”的概念,通过大数据、人工智能等算法技术,对商品的生产、流通、销售整个产业链进行升级改造,其产业结构与市场生态也发生了颠覆性变化——销售、信息收集、市场推广等方面从传统的静态渠道,突破空间的限制,成为动态的数字化渠道。传统线下快消行业企业到线上渠道的开发利用过程中,网络安全合规也成为快消行业领域合规关注新重点。
一、快消行业“互联网+”业务运营场景
我们团队通过对现有“互联网+快消”的运营模式进行分析,发现当前的快消行业对互联网进行运营的模式主要有两个场景:场景一,快消公司与已具规模的现有电商平台合作,通过入驻电商平台成为电子商务经营者进行产品销售;场景二,快消企业开发自己的网络门户网站或终端App,为自己的产品提供网络服务。依据《网络安全法》(以下“简称《网安法》”)第二条规定,在中国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。同时,依据《电子商务法》(以下简称“《电商法》”)第二条关于适用主体及范围的规定,提出在中国境内通过互联网等信息网络销售商品或者提供服务的经营活动的主体适用本法。
“互联网+快消”模式下的快消企业使用网络渠道联通消费终端,同时进行页面设计、更新、功能开发、软件杀毒等日常维护以保证传感器终端的稳定和有效促进产品销售,可见“互联网+快消”模式下的快消企业既是《网安法》下的“网络运营者”,也是《电商法》下的“电子商务经营者”。同时,传统大型的快消企业因线下品牌效应为其终端传感器带来较大的用户使用规模和交易(交互)规模,与终端消费者产生紧密、频繁且直接的交互关联。消费者通过线上渠道进行消费时,企业终端传感器将消费者直接标识信息(如姓名、手机号码、地址等)和间接标识信息(如搜索及浏览记录、消费偏好等)进行收集使用。因此,对“互联网+”下的快消企业进行网络安全合规监管有着现实的必要性和正当性,即快消企业在利用互联网进行产品下销售或提供服务时,须履行网络安全保障义务,维护网络稳定,对消费者在消费过程中产生各种数据信息进行保护,满足数据保护及网络管理应符合《网安法》及配套规范性文件的合规要求。本文将对快消行业“互联网+”场景下可能涉及到的八个方面的网络安全合规要求进行分析并提出相关合规建议。
二、快消行业中可能涉及到的网络安全合规要求及建议
(一)主体登记及信息公示
《电子商务法》第十条要求电子商务经营者,包括电子商务平台经营者、平台内经营者以及通过自建网站、其他网络服务销售商品或者提供服务的电子商务经营者,应当依法办理市场主体登记。因此无论是入驻电商平台还是自建平台的快消企业皆应当注意依照现行市场主体登记管理规定向各地市场监督管理部门申请办理市场主体登记或经营范围信息更新。
同时,从事经营性互联网信息服务须办理行政许可(经营性互联网信息服务ICP许可证),涉及医疗保健、药品、医疗器械等产品或服务提供的还需办理特殊审批。快消企业自建门户网站或终端App时须注意办理相关行政许可或备案,取得许可或备案后,还应依据《互联网信息服务管理办法》第十二条,在其网站主页的显著位置标明其经营许可证编号或者备案编号,以满足信息公示的合规要求。
(二)网络安全等级保护
《网安法》第二十一条规定,网络运营者应当按照网络安全等级保护制度的要求,履行网络安全保护义务,保障数据安全。如前所述,使用网络实现产品销售的快消企业也是《网安法》的规范主体。网络安全等级保护制度是网络安全的基本要求,“互联网+”模式下,快消企业对各种消费者消费过程中产生的数据、个人信息进行收集使用。例如,场景一的销售模式的快消企业,数据收集使用的任务虽主要由电商平台开展,但企业也就消费者的订单信息和联系方式,如姓名、手机号码、收货地址等信息,具有收集存储并使用的业务场景,常见业务场景如商业广告推送。这种场景下的快消企业对消费者的个人信息具有收集使用的现实,仍应切实履行网络安全等级保护制度的要求。
实施网络安全等级保护的管理以满足网络安全的基本要求过程中,建议企业参考《网络安全等级保护条例(征求意见稿)》的规定开展自我评估进行安全保护等级划分,并依据评估结果设立并完备企业内关于网络安全等级保护的制度规范。如下表,根据快消企业对涉及数据收集使用业务场景的一般情况分析,快消企业可能实施第一级或第二级的安全保护。
安全保护等级 | 定级要素 | 安全保护义务 |
第一级 | 一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。 | 一般安全保护义务 |
第二级 | 一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。 | 一般安全保护义务+定级备案+上线检测 |
上表所指的一般安全保护义务即为,《网安法》第二十一条规定的五项安全保护义务,(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。
(三)个人信息及隐私保护
收集消费者个人信息办理会员卡是快消行业对消费者进行分类管理普遍使用的手段,此中涉及会员用户个人信息的安全管理问题,如个人信息第三授权、收集、处理、使用、存储等。同时,随着AI技术的发展与普及,AR/VR/MR成为加强用户体验带动产品销售的新途径,但此体验的完成须收集处理用户本人的面部信息、身体特征等生物识别信息,在此过程中,还涉及到个人敏感信息的收集使用的安全管理。因此,企业应参照《个人信息安全规范》《个人信息安全保护指引》等相关规范性文件对现有用户个人信息、个人敏感信息进行管理,切实履行个人信息合规管理及网络安全义务。
(四)网络安全应急处置
《网安法》第二十五条规定,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。因此,快消企业应当及时制定网络安全事件应急预案,参照《公共互联网网络安全突发事件应急预案》对事件分级、监测预警、事件监测、预警监测、预警分级、预警发布、预警响应、预警解除、应急处置、响应分级等内容结构对本公司的网络安全事件应急预案进行完善和制定,并参考《网络安全等级保护条例(征求意见稿)》的规定采取相应措施进行网络安全管理。涉及对消费者个人信息控制和处理的网络经营者网络安全事件应急预案中还应当包括对个人信息安全事件处置,即预案应当有针对用户个人信息泄露安全事件应急处置和报告,安全事件告知的内容。
(五)数据跨境传输
在中国境内开展经营活动的大型快消企业不乏涉外企业,因业务开展的需要可能会涉及到数据跨境传输的问题。根据《网安法》第三十七条规定,关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。根据第三十一条对“关键信息基础设施”的定义为,“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息基础设施”。一般情况下快消领域的企业据现有标准难以被认定为“关键信息基础设施的运营者”,但这并不意味着快消企业不受到数据跨境传输的规制。
2017年发布的《信息安全技术数据出境安全评估指南(征求意见稿)》对》(以下简称“《评估指南》”)对《网安法》中关于数据跨境传输部分进一步细化,其中将数据出境的规范主体表述为“网络运营者”,即包括网络的所有者、管理者和网络服务提供者,运营互联网进行产品销售的快消企业也是跨境数据传输制度的规范主体。
因此,快消企业应制定包含数据出境目的、范围、类型、规模和涉及的信息系统及出境数据保护的安全措施等内容的数据出境计划,并在数据出境前应自行组织数据出境安全评估。涉及用户个人信息出境的,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区并经其同意。
(六)实名认证及平台内容审查
《网安法》第二十四条规定,网络运营者应当要求用户提供真实身份信息,落实对网络用户的实名认证管理制度。自建网络平台的快消企业须注意对其用户的注册信息进行实名认证检验,对不提供真实身份信息的网络用户不得为其提供相关服务。
同时,依据《电商法》第三十九条规定,要求电子商务平台经营者应当建立健全信用评价制度,公示信用评价规则,为消费者提供对平台内销售的商品或者提供的服务进行评价的途径,且第四十七条还规定,网络运营者应当加强对其用户发布的信息的管理。基于此,快消企业自建的网络销售平台内应当建有为消费者提供对平台内销售的商品进行评价的公开平台,并应设立专门的职能岗位对发帖、回复、留言涉及的文字、符号、表情、图片、音视频等信息进行内容审查,当出现法律、行政法规禁止发布或传输的信息时,及时采取停止传输、消除和其他必要阻断传播的技术措施。
(七)网络产品和服务安全审查
《网安法》第二十二条规定,网络产品和服务的提供者不得设置恶意程序,同时提出对其产品、服务持续提供安全维护,这就要求自建网络平台的快消企业除了不得设置恶意程序主动侵犯消费者信息安全外,并具有及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险的网络安全管理能力,体现在完善的内部网络安全管理制度、应急处置措施、网络产品的审查购买等方面。快消企业可参照《网络关键设备和网络安全专用产品目录(第一批)》和《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》的内容,根据自身使用的路由器、交换机、PLC设备、IDS、IPS等不同设备对接相应认证检测机构,并根据《网安法》要求完善内部网络安全管理与应急制度。
(八)关键信息基础设施
快消企业应当依据自身情况开展关键信息基础设施经营者(以下简称“CIIO”)认定工作的,可参照《网安法》和《国家网络安全检查操作指南》(以下简称“《操作指南》”)“3.2 确定关键信息基础设施步骤”,及关键信息基础设施(以下简称“CII”)的定义。依据现有相关步骤及认定标准对快消行业进行认定,快消行业满足《操作指南》“关键信息基础业务判定表”中关于“工业制造之消费品”行业关键业务标准,因此,其相关息系统或工业控制系统一旦遭到破坏满足下表1条件的,则该快消企业可被认定为CIIO,须参照《信息安全技术关键信息基础设施网络安全保护要求(征求意见稿)》要求,注重建立和完善本单位的网络安全保护工作。
表1:《国家网络安全检查操作指南》“3.2 确定关键信息基础设施步骤”
A.网站类 | 1.县级(含)以上党政机关网站。(2016年检查中,所有党政机关网站均应填写上报登记表) 2.重点新闻网站。(2016年检查中,所有新闻网站均应填写上报登记表) 3.日均访问量超过100万人次的网站 4.一旦发生网络安全事故,可能造成以下影响之一的: (1)影响超过100万人工作、生活; (2)影响单个地级市政区30%以上人口的工作、生活; (3)造成超过100万个人信息泄露; (4)造成大量机构、企业敏感信息泄露; (5)造成大量地理、人口、资源等国家基础数据泄露; (6)严重损害政府形象、社会秩序,或危害国家安全。 5.其他应当认定为关键信息基础设施。 |
B.平台类 | 符合以下条件之一的,可认定为关键信息基础设施: 1. 注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万。 2. 日均成交订单额或交易额超过1000万元。 3. 一旦发生网络安全事故,可能造成以下影响之一的: (1)造成1000万元以上的直接经济损失; (2)直接影响超过1000万人工作、生活; (3)造成超过100万人个人信息泄露; (4)造成大量机构、企业敏感信息泄露; (5)造成大量地理、人口、资源等国家基础数据泄露; (6)严重损害社会和经济秩序,或危害国家安全。 4.其他应当认定为关键信息基础设施。 |
C.生产业务类 | 符合以下条件之一的,可认定为关键信息基础设施: 1. 地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统。 2. 规模超过1500个标准机架的数据中心。 3. 一旦发生安全事故,可能造成以下影响之一的: (1)影响单个地市级行政区30%以上人口的工作、生活; (2)影响10万人用水、用电、用气、用油、取暖或交通出行等; (3)导致5人以上死亡或50人以上重伤; (4)直接造成5000万元以上经济损失; (5)造成超过100万人个人信息泄露; (6)造成大量机构、企业敏感信息泄露; (7)造成大量地理、人口、资源等国家基础数据泄露; (8)严重损害社会和经济秩序,或危害国家安全。 4.其他应当认定为关键信息基础设施。 |
三、小结
网络安全保护向各行业、各领域的企业单位提出网络安全保障要求,不仅局限于大数据公司,也包括进行数字化平台搭建或利用互联网开展经营活动的传统线下企业。在中国境内建设、运营、维护和使用网络的主体都应承担起网络安全等级保护、个人信息及隐私保护、网络安全应急处置等安全义务,满足网络安全管理制度下的合规要求。
