雷锋网编者按:昨天(12月7日),雷锋网宅客频道刚告诉你企业CSO “背锅侠”不易当,不好意思,又要给网络安全的领导们来一场“暴击”。
今天(12月8日),在BDTC 2017中国大数据技术大会“大数据安全与政策法规论坛”上,公安部第三研究所网络安全法律研究中心主任黄道丽给出了两个案例:1.雀巢员工侵犯公民个人信息案中,2011年至2013年9月,郑某等6名雀巢员工为推销配方奶粉,通过支付好处费等手段,从兰州市多家医院获取孕妇姓名、手机号等信息共计12万余条,但二审法院甘肃省兰州市中级人民法院于今年 5 月 31 日判决,郑某等人的涉案行为属于个人行为,雀巢公司无刑事责任,免于单位犯罪。为什么?2.今年网安法颁布后,其二十一条可能会让企业的网络安全负责人比较难受:负责人若轻易签字,可能要遭受网安法规定的“个人处罚”。
企业如何遵从法律要求的“合规”?以下为黄道丽的演讲全文,原题为《从数据合规道网安法的全面遵从》,雷锋网在不影响原意的基础上略有删减和整理,小标题为编者所加。
--
我今天演讲的题目是《从数据合规到网安法的全面遵从》。
我带领的团队专业主要从事网络安全法律的研究工作,除了承担相关的科研项目,还会为政府部门、互联网企业提供法律研究支撑。团队现在的研究重点主要是围绕网络安全法的相关配套措施和制度研究,包括数据安全保障、安全漏洞法律治理、等级保护与关键信息基础设施保护立法等。
信息技术与经济社会的融合引发了全球数据的迅猛增长,数据资源现在正成为人类社会的生产要素和国家基础性战略资源,美、日、欧、澳大利亚等发达国家都相继制定实施大数据战略,国务院《促进大数据发展行动纲要》(国发〔2015〕50 号)正式发布,旨在全面推进我国大数据发展和应用,加快建设数据强国,纲要提出了三大主要任务和七大政策机制。《中华人民共和国国民经济和社会发展第十三个五年规划纲要》更是明确提出“要推行国家大数据战略”。
与此同时,我们也应看到,互联网跨界融合趋势明显,随着数据生产和收集的急剧增长以及应用场景的日趋多元,大数据时代面临着比以往任何一个时代更为严峻的安全态势,数据基础设施频受攻击、个人信息丢失及泄露风险加大、新型网络威胁层出不穷、数据跨境流动监管机制不够完善、数据资源、开放共享与安全保护矛盾等问题非常突出。
早在2013年,2013年 EMC 和 IDC 联合发布的研究报告《2020年的数字宇宙》做了很多针对中国的预测,在我看来还比较准确,报告预测,由中国领导的新兴市场将于2017年超越成熟市场,中国总体数据量将由2012年的占世界13%提高到21%。
但这个报告同时也指出,在中国,众多需要保护的数据尚未得到保护,它认为中国 51 %的数据是没有得到保护的,只有 49 %的得到保护。这个报告的预测再结合我们国家目前整体的数据安全态势和现状,我们可以得出这么一个看法,传统基于数据资产的风险管理机制尽管仍具备基本保护作用,但大数据时代的数据安全保护需要更进一步。
我们各个行业包括企业现在基本在沿用风险管理理念将数据作为资产进行保护,这种方式起到了基本保护作用,但已不能完全适应大数据技术和产业发展的需要。
对有效应对数据安全的风险态势,保障大数据产业的健康发展,我国正不断完善国家顶层监管机制并在积极推动落地实施,寻求在个人信息保护、数据安全保障、跨境数据传输等法律监管和大数据产业经济发展之间的平衡,安全监管态势呈现三大特点:立法规范体系化、执法实践常态化、诉讼案例规模化。
我们先看第一个特点,立法规范体系化。立法层面,相关规范制度已初具规模,并在逐步完善。我们看到在个人信息保护方面。《关于加强网络信息保护的决定》《刑法》《民法总则》《消费者权益保护法》《测绘法》《征信管理条例》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《电信和互联网用户个人信息保护规定》等法律法规中均明确了个人信息保护规范。立法层级逐步提升,可操作性逐步增强。在数据安全保障方面。
2017年6月1日正式施行的《网络安全法》将实施多年的信息安全等级保护制度上升到国家网络安全等级保护制度层面,并首次明确建立了关键信息基础设施保护制度。《网络安全法》对数据安全保护在传统保护方式基础上,从关键信息基础设施保护、网络安全审查、数据本地化留存与跨境流动等方面强化对数据全生命周期的安全要求,并相继出台了一系列的配套措施。
目前《关键信息基础设施保护条例》(征求意见稿)、《个人信息和重要数据出境安全评估办法》(征求意见稿)、《信息安全技术 数据出境安全评估指南》(征求意见稿)等配套规范仍在加紧推进中。
第二个特点,执法实践常态化。一方面,侵犯公民个人信息犯罪仍处于高发态势,而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,社会危害及其严重,公安部多次部署全国公安机关打击整治网络侵犯公民个人信息犯罪专项行动。
一会儿喻海松(编者注:最高人民法院法官、法学博士)会跟大家专门讲这个方面。另一方面,《网络安全法》实施之后,围绕网安法全国各地也已经开始了执法的活动,包括违反网络内容行政处罚案例也在相继的涌现,这个也是在执法实践常态化的一个标志。
第三个特点,诉讼案例规模化。司法层面,相关诉讼逐步增多。
民事诉讼方面,我国先后出现了朱烨诉百度隐私权侵权案,周盛春诉阿里巴巴案 ,任甲玉诉百度案。刑事诉讼方面,《刑法修正案(九)》施行以来,各级公检法机关依据修改后的刑法规定,严肃惩处侵犯公民个人信息犯罪,案件数量显著增长。2015年11月至2016年12月,全国法院新收侵犯公民个人信息刑事案件495件,审结464件,生效判决人数697人。
总结前面来看,我国数据合规的基础立法已经基本确立,初步构建了民事、行政和刑事保护相结合的立体框架,同时呢,基础立法也有待指引和标准化落地。我们认为,相对于企业合规来说,大数据安全合规也具有三大特点,
1.监管体系配套制度部分还是处于正在征求意见或等待制定的状态,企业合规存在不确定性。
2.从执法以及常态化的角度来分析,总体上来说现在良性的执法体系也还没有完全的建立起来,这是合规的第二大风险。
3.从民事诉讼层面、刑事诉讼层面,我们已经看到一些典型的案例,但总体案例的规模还是有限的,也难以根据案例对立法效果或某些条款规定进行有效的度量和改进。
企业做大数据安全合规对自身有什么影响?我想通过一个案例来说明。
雀巢员工侵犯公民个人信息案,该案由甘肃省兰州市中级人民法院2017年5月31日判决二审判决。这个案件是怎么回事?
具体来说案情就是这样的,2011年至2013年9月,郑某等6名雀巢企业员工为推销配方奶粉,通过支付好处费等手段,从兰州市多家医院获取孕妇姓名、手机号等信息共计12万余条。一审判决这6名员工侵犯公民个人信息罪,但员工随即提起上诉,认为他们的行为属于公司行为,应该由公司承担责任。二审基本维持了原判,裁定这6人承担侵犯公民个人信息罪的刑事责任。
在这一案例里,法院充分认可雀巢企业所制定和实施的含有个人信息保护合规内容的《员工行为规范》等企业政策,认为其足以证明“雀巢企业禁止员工从事侵犯公民个人信息的违法犯罪行为”,并据此认定郑某等人的涉案行为属于个人行为。雀巢作为一家跨国大企业免于单位犯罪,无刑事责任,对企业自身发展的重要性不言而喻。在这个案例里面企业内部合规的重要性也凸显。
当然,从雀巢的案例我们总结出这样一条经验,员工的合规意识是最终决定企业合规成败的关键,自上而下,以人为本,在企业数据安全管理上,“人是最大的风险,也是最好的尺度”。
《网络安全法》于2016年11月7日发布,自2017年6月1日起施行。这是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑。《网络安全法》从网络支持促进、网络运行安全、网络信息安全和网络事件安全四个维度保障网络安全,虽然没有哪一章命名为“网络数据安全”,但我一直主张,数据安全是《网络安全法》的核心价值之一。
为什么说数据安全是《网络安全法》的核心价值之一呢,大家看,在网络运行安全部分,《网络安全法》在传统保护方式基础上(数据分类、重要数据备份和加密)(第21条),从关键信息基础设施保护(第34条)、网络安全审查(第35条)、数据本地化留存与跨境流动(第37条)等方面强化数据全生命周期安全的要求。
在网络信息安全部分,《网络安全法》第40条到第45条规定了网络运营者对个人信息的全生命周期保护义务,要求网络运营者建立健全用户信息保护制度、信息安全投诉及举报制度,合法、正当、必要并经收集者同意后收集、使用其个人信息,强化个人信息安全保障,履行泄露告知、补救和报告等义务,保障个人的删除更正权,不得非法侵犯个人信息等。
《网络安全法》在法律责任部分加大了对违反数据安全保护的处罚力度。网络运营者、网络产品或者服务的提供者违反个人信息收集使用规则的,可能需要承担的行政处罚责任包括:责令改正、警告、没收违法所得、罚款;情节严重的,可能还会被责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等。窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,需要没收违法所得,并处罚款,没有违法所得的,处一百万元以下罚款。
实际上,网安法的处罚力度和罚款额度等都是在网安法审议的过程中不断加大的,对侵犯公民个人信息的处罚,二次审议稿原本最高额都是50万,最终审议通过成为100万,还有实行的双罚制,既罚单位又罚负责人员,尤其是对相关负责人的处罚,有些责任条款原本也是没有涉及“直接负责的主管人员和其他直接责任人员”的规定,也是在最终审议时新增。
这也表明了立法的一个从严态度。所以我一直强调,网安法中的网络安全负责人不是好当的,不要糊里糊涂签字,有些行为后面是很可能要承担行政处罚责任的。除了行政处罚,网安法还规定了违法人要记入信用档案,予以公示,对于违反网安法第27条危害网络安全的行为,受到治安管理处罚或者刑事处罚后,还存在从业资格限制的规定。
我们一直在说,今年可以被称为网安法配套措施完善进行时,大家看,我这张列表里的战略、法规、规范性文件、国家标准等涉及数据安全的非常多,当然,里面有不少还处于征求意见稿阶段。
结合网安法的生效条款和正在制定的配套措施,我们认为,做网安法的全面遵从可以从这九个模块入手:网络运营者、关键信息基础设施保护、网络安全等级保护、国家安全审查、配合支持监管工作、个人信息保护、网络设备与服务认证、网络实名制、数据本地化存储与出境评估。网络运营者是网安法的第一责任主体,网安法定义了十分宽泛的网络运营者定义。关键信息基础设施运营者虽然还存在部分不确定,但基本的安全保护要求网安法已经提出来了。
针对这九大模块,我们认为这个合规输出可以输出很多东西,比如在座的,你要明白自己适用的法律清单是什么,如果建立在这样一个清单和适用分析的基础之上,实际上是把网安法条款规定和企业内部真实的情况做差异分析,要明白企业运行风险点在哪里。个人信息和重要数据是非常敏感的点,数据就是企业的生命线,做网络法合规非常关键的一点是——个人信息和重要数据清单、以及分布的情况,对于企业来说这些数据分布在不同的部门,做网安法合规要清楚哪些是识别出来的数据,清单是分布在哪个业务部门的,配合这样一个个人信息和数据的清单,对信息和重要数据所承载的重要系统也要有评估的结果,这是保障网络信息安全基本的要件。
前面合规做完了以后,我们建议不管企业自己做合规或者找外面的咨询服务,最后一定要得出改进建议,尤其是和外部数据交互的建议,如果企业内部管理制度不完善,那么就要更新制度。
鸣谢:BDTC 2017中国大数据技术大会,干货十足,不容错过。