网络安全问题在全球范围内正日益成为立法与监管的焦点。近日,美国证券交易委员会(SEC)与摩根士丹利美邦(Morgan Stanley Smith Barney LLC, MSSB)就备受瞩目的MSSB违反“保护措施规则”的指控以美元一百万元达成和解,成为近期网络安全又一热门案例。“保护措施规则”是一项美国联邦法律规则,明确要求在SEC登记的证券公司和投资顾问公司采取措施保护其用户信息安全。SEC的指控源于MSSB员工在未经授权情况下获取MSSB数据库数据,导致大约73万客户的账户信息泄露,虽然MSSB采取了一定措施保障信息安全,但相关措施仍然缺乏内部审查和对内部员工获取和使用信息的监控。这一案例提醒相关公司除了需认知外部风险,还需要加强内部控制和采取强有力的预防性措施。
相较美国联邦法律一般侧重对数据保护进行分行业监管,中国现有立法适用范围更广泛,涵盖在中国常规性经营或处理用户信息的公司。本文旨在概括性地介绍在中国开展经营活动需要关注的网络信息安全的法律法规,并提出一些减少网络安全合规风险的措施建议。
1、现有法律法规和监管下的个人信息保护
目前中国法下用户个人信息的公司保护仍由多部相关联的法律法规予以约束。适用于用户个人信息保护的现有法律法规包括:《电信和互联网用户个人信息保护规定》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《网络交易管理办法》、《消费者权益保护法》和《规范互联网信息服务市场秩序若干规定》等。总体而言,上述法律法规要求收集和使用个人信息的公司,特别是涉及网络服务的公司,采取适当措施,以确保上述信息安全并阻止用户个人信息泄露、毁损或丢失;当发生或可能已发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。
网络安全领域法律法规一般适用于“互联网信息服务提供者”,包括但不限于网站运营者、电子商务经营者、社交媒体、网络游戏服务商等。在用户金融信息保护中,银行业金融机构同样适用部分金融信息保护的特别法规,并受到中华人民共和国工业和信息化部和中国人民银行的双重监管。
2、互联网信息服务提供者的用户个人信息保护措施和要求内容广泛
关于用户个人信息的保护,相关法律法规对互联网信息服务提供者的要求包括:
确定各部门、岗位和分支机构的用户个人信息安全管理责任;
建立内部控制体系阻止对用户个人信息未经授权的转移、披露或任何形式的出售;
对用户个人信息实行权限管理;
审查用户个人信息的批量导出、复制、销毁,并采取防泄密措施;
妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施;
对储存用户个人信息的信息系统实行接入审查,并采取防入侵、防病毒等措施;
记录对用户个人信息进行操作的人员、时间、地点、事项等信息;
对用户个人信息保护情况进行自查,至少每年一次;
当用户个人信息数据泄露事件发生时,及时通知相关用户和电信管理机构。
电信管理机构实施电信业务经营许可及经营许可证年检时,应当对用户个人信息保护情况进行审查;在接到网络信息违法犯罪举报时,也应当及时检查并处理。网络信息服务提供者未能遵守上述要求,将被责令改正、予以警告,或处以罚款,在特定情况下还可能被追究刑事责任。
3、遵守中国个人信息保护要求
基于中国目前关于用户个人信息保护的网络安全法律法规,我们建议公司在处理任何形式的个人信息或管理个人信息时,采取合理的措施。基于我们的经验,推荐以下措施:
采取有效的技术措施和内部规章,以保障信息安全并阻止内部或外部的非法访问、获取和黑客入侵;
涉及收集、使用和转移用户个人信息的,应向其明确披露并获取其书面或电子形式的同意,该等同意应当慎重措辞以保留在法律允许范围内处理的灵活性。
对个人信息的收集、使用和转移应当被限定在同意和提供服务所必须的范围之内;
在未获适当授权时,在任何情况下均不得转让或售卖个人信息;
当信息泄露或黑客事件发生或可能已发生时,及时通知相关方并采取相应补救措施。
4、对中国网络安全监管的展望
尽管目前并没有一部生效的网络安全综合性法律或法规,但中国政府正在着力制定新法新规以更好地解决网络安全问题,《网络安全法(草案)》近日刚刚完成立法机构的二审,今年可能正式出台便是例证。二审稿拟通过约谈、记入信用档案、从业禁止等惩戒措施进一步加大对危害网络安全行为的惩戒力度。同时,二审稿还增加规定,网络运营者留存网络日志不得少于六个月;网络运营者对有关部门依法实施的监督检查应当予以配合。此外,草案拟增加多项促进网络安全的支持措施,协同推进网络安全与发展。我们相信这一新法的出台将帮助厘清当下复杂的网络安全监管和法规。我们将持续关注网络安全领域的法律和监管环境,并及时跟进法律法规的更新情况。
中国法律与监管下的网络个人信息保护
作者:唐志华来源:汉坤律师事务所

网络安全问题在全球范围内正日益成为立法与监管的焦点。