今日精选
进入七月份以来短短不到一周的时间里,共享经济巨头——滴滴经历了一夜暴富到风雨飘摇的戏剧化旅程。滴滴缘何遭此“横祸”?《网络安全审查办法》首次亮剑,然后呢?本文将由此入手,讨论国家经济社会运行全面进入数据合规时代的背景下,企业如何自处与顺势而为。
全球最大的共享出行平台——滴滴出行6月30日完成了美股上市,次日便在美国市场的市值暴涨15%左右,跃居中国互联网公司第6位。
然而好景不长,仅仅时隔一日,7月2日国家网络安全审查办公室发布公告称,对“滴滴出行”实施网络安全审查。紧接着7月4日,国家互联网信息办公室发布核查通报称,滴滴出行APP存在严重违法违规收集使用个人信息问题,有关部门通知下架滴滴出行APP。

受此两记重拳影响,滴滴出行的在美股价连日暴跌,7月6日已跌破发行价。祸不单行,多家美国律所陆续启动对滴滴发起集体诉讼的调查工作。短短一周不到的时间里,共享经济巨头滴滴经历了从一夜暴富到风雨飘摇的戏剧化旅程。

那么,滴滴出行遭此“意外”,该不该感到意外呢?滴滴出行因何而被网安办、网信办突然出手审查、处理呢?今天就来和大家聊聊数据合规那些事儿。
01
滴滴被查处的一个基础原因即在于,其具有CIIO的身份
(一)啥是CII与CIIO?
CIIO 即为“关键信息基础设施经营者”,要了解CIIO的关键在于确认什么是“关键信息基础设施”(CII)。
根据国家网信办就《网络安全审查办法》答记者问中的阐释:关键信息基础设施(CII)就是电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等重要行业和领域,一旦遭到破坏或丧失功能或者是数据泄露,可能危害国家安全、国计民生、公共利益的网络和信息系统。而运营这些网络和网络系统的,就是关键信息基础设施运营者(CIIO)。


(图源:微博@liminx)
而滴滴自从2016年与优步合并后,便独占了网约车行业80%的市场份额,其所处的行业又正是新兴的“互联网+”交通运输业。同时滴滴掌握着海量复合大数据,至少包含了用户和司机的信息、交通饱和度、车流量大小和时域分布等,甚至可能还包括车内摄像头或者传感器的信息。如此看来,其符合“关键基础设施的运营者”的范畴。
(二)关键信息基础设施经营者(CIIO)有何特别之处?
根据《网络安全法》《关键信息基础设施安全保护条例(征求意见稿)》等文件所载,CIIO除了须履行一般网络运营者的安全保护义务之外,还须履行特别的合规义务:
1.在中国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
CII的运营、维护、技术支持都必须在境内实施,若需要境外远程访问、维护、调试等操作的,都必须要履行事前报备义务。
(这里插一句题外话,苹果iCloud之所以在贵州设立本地运营公司,便是受该合规要求限制的结果。)
除此之外,还有2.人员管理义务;3.安全教育与演练义务;4.网络产品和服务的安全审查义务;5.重要系统和数据库的容灾备份义务;6.网络安全等级保护制度的合规义务等。
当CIIO违反上述义务时,将可能面临主管部门责令改正、罚款、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销许可证或营业执照乃至直接对主管人员和负责人员个人进行一万元以上的罚款的处罚。

02
数据合规时代已然到来,非CIIO的企业未必可以高枕无忧
随着数字经济的发展,政府与企业的数字化转型进入深水区,在国家法治化进程中,数据合规时代已悄然到来。

如果说滴滴的滑铁卢可能是缘于其CIIO的身份,那么紧随其后的7月5日国家网络安全办公室再度发布公告称:对“运满满”“货车帮”“BOSS直聘”实施网络安全审查;7月6日浙江省App违法违规收集使用个人信息专项治理工作组通报57款违规APP;同日,深圳发布了《深圳经济特区数据条例》……最近这一系列的事件都可以反映出——随着近年来,国家层面与深圳地区先后密集颁布了大量数据合规相关法律法规,我国已初步构建起了数据合规的整套制度体系,每家企业也已然置身其中。

(部分截图-浙江省App违法违规收集使用个人信息APP)
(一)数据合规又是啥?
根据将于2021年9月1日起施行的《中华人民共和国数据安全法》的定义:任何以电子或者其他形式对信息的记录都是“数据”。“数据处理”则包括数据的收集、存储、使用、加工、传输、提供、公开等。
而数据合规并无官方定义,通俗来说便是主体通过对照相关法律法规,来完善自身制度、建构符合规范要求的内部体系,使自身对数据采取的行为,符合所在地与业务关联地法律法规的要求,以避免产生合规风险,承担不利后果。

(二)数据合规相关文件爆炸式颁布出台
1.国家层面
2015年7月1日新颁布的《中华人民共和国国家安全法》就明确了国家要建构起网络与信息安全保障体系,于是:
2016年11月7日颁布了《中华人民共和国网络安全法》;
2017年5月2日发布了《互联网新闻信息服务管理规定》;
2018年3月23日发布了《网络安全等级保护测评机构管理办法》
2019年4月23日颁布了《中华人民共和国电子签名法》;
2020年4月13日颁布了《网络安全审查办法》;
2021年6月10日颁布了《中华人民共和国数据安全法》
仅国家层面近年颁布的与数据合规相关的规范文件就不下数十份。

2.深圳特区
2021年7月06日深圳发布了,将于2022年1月1日实施的《深圳经济特区数据条例》开全国之先河,对“不全面授权就不让用”、大数据“杀熟”、个人信息收集任性、强制个性化广告推荐等问题重拳出击。而其选择在2021年7月6月发布,也好似对前述那些“不幸”企业的神补刀。

(三)我国数据合规体系已初现雏形
基于上述文件的先后出台,我国已建立起微观层面对数据的存储、出境、流动、安全评估、可携权、爬取行为、“杀熟”行为等方面的合规制度。同时也构建完成了宏观层面的关键信息基础设施安保制度、网络安全等级保护制度等制度体系的构建。此外,各行各业的主管部门也早已着手制定或已出台行业内的数据合规细则。
(四)非CIIO企业也需落地数据合规
1.以《中华人民共和国网络安全法》为例,其规制对象包含了一般网络运营者,后者的概念极为广泛:网络(各种网络和触网的系统,例如局域网、工业控制系统、自动化办公系统、社交媒体等)的所有者(并不要求达到物权意义上的所有)、管理者(网络或内容管理)和网络服务提供者(不限于互联网服务提供商)。
基于此,企业可能会因为任何“触网”的因素(例如开设了官方网站、电商网站或社交媒体账号等),被认定为“网络运营者”,而受到其规制,至少将产生如下义务(若违反,则可能遭到罚款(含对责任人个人)、乃至停业等处罚):
①制定完善、合规的网络安全制度;
②落实网络安全岗位及责任人员;
③建立网络平台信息内容审查机制;
④完善个人信息及隐私保护政策;
⑤健全未成年人网络个人信息保护制度;
⑥建立网络用户实名验证机制;
⑦依法留存用户网络数据;
⑧重要网络产品和服务采购的安全审查;
⑨个人信息和重要数据跨境转移的合规审查与安全评估;
⑩网络安全尽职调查。

(图源:滴滴出行官网)
2.当然,国家数据合规体系庞大,其规制的主体也远不限于“网络运营者”。也即任何企业都有可能因为早已有之的运营管理等制度漏洞,在不知不觉中触犯相关法律,而突然成为下一个滴滴。
3.此次对滴滴出行启动网络安全审查,系《网络安全审查办法》公布以来的首次高调适用,必将就此拉开我国经济社会运行全面数据合规化的序幕。互联网经济的本质就是数据,国家数据合规的达摩克里斯之剑已然高高悬起,若企业未能在当前的空窗期中完善自身数据管理制度体系,则可能在它落下时措手不及,以致付出难以承受的代价。

03
企业如何在来势汹汹的数据合规时代避免成为下一个滴滴
① 企业须密切关注当前网络安全和数据合规领域的立法与执法动态,诸如等级保护、数据存储地和跨境转移等,尤其要注意所属行业领域是否新增、细化合规要求;运营线上业务的企业,须根据新规的要求适时调整隐私政策内容及其设置;涉外企业则须着重关注业务所涉多个法域的数据存储地和跨境传输数据要求相关立法动态,以便及时作出部署。
② 建立或及时调整、完善内部数据和外部数据收集利用的合规管理制度和数据分级管理保护制度。
③ 建立个人信息保护制度。
④ 完成等级保护的定级备案。
⑤ 建构上述制度、研究新法新规,可以通过组建并赋予企业内部合规部门、法务部门、信息安全等部门相关的管控职能,在组织架构上提供履行职责的保障。亦可与第三方专业机构,如数据合规领域的专业律师合作,咨询深化理解相关法律法规、梳理完善制度体系。
相关法规 丨 Regulations
1. 《中华人民共和国国家安全法》
第二十五条国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益
第五十九条国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
2.《中华人民共和国网络安全法》
第五条国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第三十一条第一款 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
第三十四条除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第四十条网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
第六十六条关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
3.《中华人民共和国数据安全法》
第三条本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
第十七条国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。
第十九条国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
第二十一条国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
第二十四条国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
依法作出的安全审查决定为最终决定。
第二十七条开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第三十条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
第三十六条中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
第四十五条开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
进入七月份以来短短不到一周的时间里,共享经济巨头——滴滴经历了一夜暴富到风雨飘摇的戏剧化旅程。滴滴缘何遭此“横祸”?《网络安全审查办法》首次亮剑,然后呢?本文将由此入手,讨论国家经济社会运行全面进入数据合规时代的背景下,企业如何自处与顺势而为。
全球最大的共享出行平台——滴滴出行6月30日完成了美股上市,次日便在美国市场的市值暴涨15%左右,跃居中国互联网公司第6位。
然而好景不长,仅仅时隔一日,7月2日国家网络安全审查办公室发布公告称,对“滴滴出行”实施网络安全审查。紧接着7月4日,国家互联网信息办公室发布核查通报称,滴滴出行APP存在严重违法违规收集使用个人信息问题,有关部门通知下架滴滴出行APP。

受此两记重拳影响,滴滴出行的在美股价连日暴跌,7月6日已跌破发行价。祸不单行,多家美国律所陆续启动对滴滴发起集体诉讼的调查工作。短短一周不到的时间里,共享经济巨头滴滴经历了从一夜暴富到风雨飘摇的戏剧化旅程。

那么,滴滴出行遭此“意外”,该不该感到意外呢?滴滴出行因何而被网安办、网信办突然出手审查、处理呢?今天就来和大家聊聊数据合规那些事儿。
01
滴滴被查处的一个基础原因即在于,其具有CIIO的身份
(一)啥是CII与CIIO?
CIIO 即为“关键信息基础设施经营者”,要了解CIIO的关键在于确认什么是“关键信息基础设施”(CII)。
根据国家网信办就《网络安全审查办法》答记者问中的阐释:关键信息基础设施(CII)就是电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等重要行业和领域,一旦遭到破坏或丧失功能或者是数据泄露,可能危害国家安全、国计民生、公共利益的网络和信息系统。而运营这些网络和网络系统的,就是关键信息基础设施运营者(CIIO)。


(图源:微博@liminx)
而滴滴自从2016年与优步合并后,便独占了网约车行业80%的市场份额,其所处的行业又正是新兴的“互联网+”交通运输业。同时滴滴掌握着海量复合大数据,至少包含了用户和司机的信息、交通饱和度、车流量大小和时域分布等,甚至可能还包括车内摄像头或者传感器的信息。如此看来,其符合“关键基础设施的运营者”的范畴。
(二)关键信息基础设施经营者(CIIO)有何特别之处?
根据《网络安全法》《关键信息基础设施安全保护条例(征求意见稿)》等文件所载,CIIO除了须履行一般网络运营者的安全保护义务之外,还须履行特别的合规义务:
1.在中国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
CII的运营、维护、技术支持都必须在境内实施,若需要境外远程访问、维护、调试等操作的,都必须要履行事前报备义务。
(这里插一句题外话,苹果iCloud之所以在贵州设立本地运营公司,便是受该合规要求限制的结果。)
除此之外,还有2.人员管理义务;3.安全教育与演练义务;4.网络产品和服务的安全审查义务;5.重要系统和数据库的容灾备份义务;6.网络安全等级保护制度的合规义务等。
当CIIO违反上述义务时,将可能面临主管部门责令改正、罚款、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销许可证或营业执照乃至直接对主管人员和负责人员个人进行一万元以上的罚款的处罚。

02
数据合规时代已然到来,非CIIO的企业未必可以高枕无忧
随着数字经济的发展,政府与企业的数字化转型进入深水区,在国家法治化进程中,数据合规时代已悄然到来。

如果说滴滴的滑铁卢可能是缘于其CIIO的身份,那么紧随其后的7月5日国家网络安全办公室再度发布公告称:对“运满满”“货车帮”“BOSS直聘”实施网络安全审查;7月6日浙江省App违法违规收集使用个人信息专项治理工作组通报57款违规APP;同日,深圳发布了《深圳经济特区数据条例》……最近这一系列的事件都可以反映出——随着近年来,国家层面与深圳地区先后密集颁布了大量数据合规相关法律法规,我国已初步构建起了数据合规的整套制度体系,每家企业也已然置身其中。

(部分截图-浙江省App违法违规收集使用个人信息APP)
(一)数据合规又是啥?
根据将于2021年9月1日起施行的《中华人民共和国数据安全法》的定义:任何以电子或者其他形式对信息的记录都是“数据”。“数据处理”则包括数据的收集、存储、使用、加工、传输、提供、公开等。
而数据合规并无官方定义,通俗来说便是主体通过对照相关法律法规,来完善自身制度、建构符合规范要求的内部体系,使自身对数据采取的行为,符合所在地与业务关联地法律法规的要求,以避免产生合规风险,承担不利后果。

(二)数据合规相关文件爆炸式颁布出台
1.国家层面
2015年7月1日新颁布的《中华人民共和国国家安全法》就明确了国家要建构起网络与信息安全保障体系,于是:
2016年11月7日颁布了《中华人民共和国网络安全法》;
2017年5月2日发布了《互联网新闻信息服务管理规定》;
2018年3月23日发布了《网络安全等级保护测评机构管理办法》
2019年4月23日颁布了《中华人民共和国电子签名法》;
2020年4月13日颁布了《网络安全审查办法》;
2021年6月10日颁布了《中华人民共和国数据安全法》
仅国家层面近年颁布的与数据合规相关的规范文件就不下数十份。

2.深圳特区
2021年7月06日深圳发布了,将于2022年1月1日实施的《深圳经济特区数据条例》开全国之先河,对“不全面授权就不让用”、大数据“杀熟”、个人信息收集任性、强制个性化广告推荐等问题重拳出击。而其选择在2021年7月6月发布,也好似对前述那些“不幸”企业的神补刀。

(三)我国数据合规体系已初现雏形
基于上述文件的先后出台,我国已建立起微观层面对数据的存储、出境、流动、安全评估、可携权、爬取行为、“杀熟”行为等方面的合规制度。同时也构建完成了宏观层面的关键信息基础设施安保制度、网络安全等级保护制度等制度体系的构建。此外,各行各业的主管部门也早已着手制定或已出台行业内的数据合规细则。
(四)非CIIO企业也需落地数据合规
1.以《中华人民共和国网络安全法》为例,其规制对象包含了一般网络运营者,后者的概念极为广泛:网络(各种网络和触网的系统,例如局域网、工业控制系统、自动化办公系统、社交媒体等)的所有者(并不要求达到物权意义上的所有)、管理者(网络或内容管理)和网络服务提供者(不限于互联网服务提供商)。
基于此,企业可能会因为任何“触网”的因素(例如开设了官方网站、电商网站或社交媒体账号等),被认定为“网络运营者”,而受到其规制,至少将产生如下义务(若违反,则可能遭到罚款(含对责任人个人)、乃至停业等处罚):
①制定完善、合规的网络安全制度;
②落实网络安全岗位及责任人员;
③建立网络平台信息内容审查机制;
④完善个人信息及隐私保护政策;
⑤健全未成年人网络个人信息保护制度;
⑥建立网络用户实名验证机制;
⑦依法留存用户网络数据;
⑧重要网络产品和服务采购的安全审查;
⑨个人信息和重要数据跨境转移的合规审查与安全评估;
⑩网络安全尽职调查。

(图源:滴滴出行官网)
2.当然,国家数据合规体系庞大,其规制的主体也远不限于“网络运营者”。也即任何企业都有可能因为早已有之的运营管理等制度漏洞,在不知不觉中触犯相关法律,而突然成为下一个滴滴。
3.此次对滴滴出行启动网络安全审查,系《网络安全审查办法》公布以来的首次高调适用,必将就此拉开我国经济社会运行全面数据合规化的序幕。互联网经济的本质就是数据,国家数据合规的达摩克里斯之剑已然高高悬起,若企业未能在当前的空窗期中完善自身数据管理制度体系,则可能在它落下时措手不及,以致付出难以承受的代价。

03
企业如何在来势汹汹的数据合规时代避免成为下一个滴滴
① 企业须密切关注当前网络安全和数据合规领域的立法与执法动态,诸如等级保护、数据存储地和跨境转移等,尤其要注意所属行业领域是否新增、细化合规要求;运营线上业务的企业,须根据新规的要求适时调整隐私政策内容及其设置;涉外企业则须着重关注业务所涉多个法域的数据存储地和跨境传输数据要求相关立法动态,以便及时作出部署。
② 建立或及时调整、完善内部数据和外部数据收集利用的合规管理制度和数据分级管理保护制度。
③ 建立个人信息保护制度。
④ 完成等级保护的定级备案。
⑤ 建构上述制度、研究新法新规,可以通过组建并赋予企业内部合规部门、法务部门、信息安全等部门相关的管控职能,在组织架构上提供履行职责的保障。亦可与第三方专业机构,如数据合规领域的专业律师合作,咨询深化理解相关法律法规、梳理完善制度体系。
相关法规 丨 Regulations
1. 《中华人民共和国国家安全法》
第二十五条国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益
第五十九条国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
2.《中华人民共和国网络安全法》
第五条国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第三十一条第一款 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
第三十四条除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第四十条网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
第六十六条关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
3.《中华人民共和国数据安全法》
第三条本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
第十七条国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。
第十九条国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
第二十一条国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
第二十四条国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
依法作出的安全审查决定为最终决定。
第二十七条开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第三十条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
第三十六条中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
第四十五条开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
