展望2020 | 网络安全与数据合规领域的“变”与“不变”
作者 / 刘阳
来源 / 法律品牌观察
2019年是数据合规走向常规化、趋于实践化的一年。《网络安全等级保护条例(征求意见稿)》、《个人信息安全规范(征求意见稿)》等《网络安全法》配套新规的接连出台,要求信息控制者遵循更高的合规要求。个人信息保护、网络安全等级保护、关键信息基础设施保护、数据跨境传输与互联网信息内容服务管理等领域也有重要的发展,我国网络安全与数据合规的治理格局也日益稳定。
鉴于上述背景,法律品牌观察特邀请安杰律师事务所杨洪泉律师、竞天公诚律师事务所袁立志律师及天达共和数据合规团队,围绕CII的出台可能性、跨境数据传输等问题进行探讨,共同展望2020年网络安全与数据合规领域的新趋势。
一
整体趋势
近年来,网络安全和数据保护始终是法律人和数据从业者的关注焦点。在2020年初,审视网络安全和数据保护的法律环境,这对企业的数据合规具有参考意义。各位律师分别从立法、执法和跨境监管的角度分析了2020年,网络安全与数据合规领域的整体趋势。
(一)立法层面
杨洪泉律师
从立法的角度来看,我国关于网络安全及个人信息保护的立法将进一步得到完善。
首先,《数据安全法》和《个人信息保护法》已列入十三届全国人大常委会立法规划,希望该草案可于2020年公布并向社会征求意见。
其次,对于2020年前根据《网络安全法》起草并已向社会公布征求意见稿的数据安全管理办法》、《个人信息出境安全评估办法》、《关键信息基础设施安全保护条例》、《网络安全等级保护条例》。有可能在2020年发布其最终生效版本。
各行业主管部门也可能根据《网络安全法》制定和发布适用于本行业的网络安全、数据安全保护及个人信息保护方面的法规或征求意见稿。
再次,《信息安全技术 个人信息安全规范》修订版已于近日正式公布。在《个人信息保护法》未正式出台前,该国家标准仍将作为指导企业个人信息保 护合规工作的重要参考文件。2020 年也有可能迎来有关网络安全、数据安全保护及个人信 息保护方面的其他国家标准或其征求意见稿。
袁立志律师
2020年诸多网络安全与信息安全领域的法律法规及标准规范有望陆续出台,相关法律与制度将日趋健全与完善,我国个人信息保护将进入全新阶段。可能出台的法律法规及标准规范包括:已列入立法规划的《个人信息保护法》、《数据安全法》等;已发布较长时间征求意见稿的条例或办法,如《关键信息基础设施安全保护条例》、《数据安全管理办法》、《个人信息出境安全评估办法》等;配套性标准文件,如《信息安全技术-个人信息告知同意指南》、《信息安全技术-移动互联网应用(App)收集个人信息基本规范》等。
天达共和数据合规团队
从立法层面来看,《个人信息保护法》、《数据安全法》等基础性法律,以及涉及关键信息基础设施和重要数据的识别与认定、数据安全管理、个人信息和重要数据出境安全评估、跨境监管和网络安全等级保护、密码技术监管和应用等支撑性配套规范性文件和标准有望在2020年正式出台或发布征求意见稿。
(二)执法层面
袁立志律师
行政监管将趋向常态化。2019年,网络数据安全领域的行政执法以专项治理为主,基于在APP专项治理、数据供应链上下游治理、爬虫治理等方面的治理经验,今年的执法力度将更加深入,一些新的领域将成为执法重点,行政执法方式将从专项治理式转为常态化。
杨洪泉律师
我们预计相关部门会继续在个人信息保护和网络安全领域的执法态势。在2020年,相关部门将可能延续在个人信息治理上的专项执法行动,对该行为的治理将有可能纳入常态化监管。此外,APP专项治理行动深刻影响了最初发起APP专项治理行动的四部委以外的其他部门,并促使其在网络安全和信息安全方面加大监督及执法力度。2020年,各行业主管部门有可能进一步深化其行业内网络安全及个人信息保护方面的监督和执法。
天达共和数据合规团队
以网络安全和个人信息保护为重点内容的执法活动仍将活跃,执法活动在实践经验的积累下有可能向更多领域展开,同时呈现专项治理与日常常态化监管并重的态势。金融、医疗健康、教育、人工智能等重点数据相关行业或领域将进一步加强行业内网络安全和信息安全的规范和监管工作。另外在企业合规层面,数据合规边界日益清晰,数据合规将成为企业防范风险和创造价值的必然选择。
(三)跨境监管层面
袁立志律师
网络安全与信息安全领域在跨境监管方面的法律与制度空白将会被填补。2020年,《数据安全管理办法》、《个人信息出境安全评估办法》可能正式出台,同时CII相关草案及标准的相继发布将一并改善数据跨境方面无法可依的局面。
二
CII条例出台有望
2019年12月,全国信安标委秘书处就在北京组织召开了国家标准《信息安全技术 关键信息基础设施网络安全保护基本要求(报批稿)》的试点工作启动会,并在电信、广电、能源、交通、金融、卫生健康等重点行业和领域选取了12家单位作为标准应用试点单位。
随着等保2.0体系的完备与成熟,以及CII保护工作的试点完成,《关键信息基础设施安全保护条例》是否可能正式出台已经受到各界的广泛关注。
天达共和数据合规团队
2019年,《信息安全技术 云计算服务运行监管框架》等一系列涉及网络产品和服务管理制度的规范性文件和标准以及等保2.0标准的公布实施,为CII规则体系的建立完善提供了制度支持和保障。《信息安全技术 关键信息基础设施安全检查评估指南》(报批稿)国家标准项目试点和《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)试点工作的完成,为后续的标准推广和关键信息基础设施安全保护奠定了基础。目前CII识别工作在相关重点行业也在逐步开展,我们认为实施CII条例的条件日渐成熟,CII条例有望在今年正式出台。CII条例涉及经营者安全保护责任(包括个人信息和重要数据的存储和跨境传输管理)、产品和服务安全管理、监测预警、应急处置、检测评估等多方面内容,将为公共通信、广播电视、能源、金融、交通、水利、卫生、社会保障等相关领域明确合规边界和要求,推动行业网络安全和信息安全的保护工作。
袁立志律师
《关键信息基础设施安全保护条例(征求意见稿)》自2017年发布,至今已近三年,CII保护工作试点也开展了较长时间。经历了充分的时间和实践检验,《关键信息基础设施安全保护条例》今年正式出台的可能性较大。
划定CII的目的是在网络安全等级保护制度的基础上对可能严重危害国家安全、国计民生、公共利益的重要系统加强保护,因此CII仅限于重要部门、重要领域、重要行业的重要系统,绝大多数企业的信息系统并不构成CII。该条例的正式出台对非CIIO企业造成的直接影响有限,但很多企业会受到间接影响。这是因为,CIIO可能会将相应的监管压力转移至与他们有密切业务来往的企业。同时,随着《关键信息基础设施安全保护条例》的出台以及等保2.0体系的完善,提供网络安全与数据保护服务的企业会迎接更多的业务机遇,整个网络安全产业会进入新的发展阶段。
杨洪泉律师
2019年12月1日,以GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》为代表的三项网络安全等级保护核心国家标准正式生效,意味着“等保2.0”时代的新里程正式启航。目前尚不清楚《关键信息基础设施安全保护条例》何时正式出台,但我们的客户普遍比较关注该条例,其中关键信息基础设施的范围、认定标准和具体义务将对企业后续安排信息保护及网络安全工作产生比较重要的影响。我们希望《关键信息基础设施安全保护条例》能够为主管部门和各行业企业展开CII保护工作提供更加明确的指引。
三
数据跨境传输
数据跨境传输监管是中国《网络安全法》自颁布实施以来始终热议的话题。作为中国网络领域的基本法律《网络安全法》对关键信息基础设施数据的境内存储和出境安全评估相配套的法规文件尚未落地,数据跨境传输监管的现状与发展趋势为诸多具有数据合规出境需求的企业所关注。
杨洪泉律师
现有已生效的法律法规中对跨境信息传输的规定较少。除《保守国家秘密法》中对国家秘密的跨境提供限制外,主要是《网络安全法》中对关键信息基础设施数据本地化的要求,以及一些特定行业主管部门对其行业涉及的敏感数据有专门的本地化存储或跨境传输限制(例如地图信息、遗传资源信息等)。
国家网信办于2017年和2019年先后发布了《个人信息和重要数据出境安全评估办法》(征求意见稿)和《个人信息出境安全评估办法》(征求意见稿),对个人信息和重要数据的跨境传输提出了规制路径。但需要注意的是,两稿针对个人信息出境的态度有所变化,即,由以企业进行自评估为主转变为向主管部门申请评估。此变化也折射了监管部门对个人信息出境监管思路的不同。此外,跨境信息传输还涉及“重要数据”的出境问题。在现阶段,“重要数据”这一概念尚无明确的法律定义,与此相关的出境机制(例如批准、安全评估等)也仍未落地。相关问题仍有待相关法律法规的出台。
我们认为,由于数据出境问题的复杂性,相关法律法规可能不会很快落地。在提供跨境信息传输的法律服务时,我们会结合已生效法律法规的原则性规定,并结合相关征求意见稿中的监管态度为客户提供建议和提示风险。但总体而言,因为相关征求意见稿是否能原文落地具有较大的不确定性,在现阶段我们不建议客户采取过于激进的措施。
此外,已出台和未出台的法律法规不可能详尽规定企业数据出境的每一种复杂情况,企业将非常依赖于法律工作者对相关问题进行分析并提出法律合规建议。
天达共和数据合规团队
数据跨境传输在网络安全和数据合规领域是世界各国都非常关注的问题,欧盟、美国以及其他一些国家和地区也都已经或正在制定相关规定。在这一全球背景下,如何处理不同国家和地区在合规监管方面的冲突并满足不同法域的合规要求是企业,特别是跨国企业,最为关注的问题之一,也是法律服务的主要焦点之一。
我们认为,经过两年多的设计,我国数据跨境传输制度的基本模式已经确定,但目前的数据跨境监管规范仍存在一些需要解决的问题,比如上位法缺失、制度落实还需要设置更具有可操作性的措施等。在我国实施“一带一路”国家战略和进一步加大改革开放力度、不断优化营商环境的过程中,中国企业走出去、外商投资引进来都会涉及数据跨境传输问题。如何平衡数据流动和数据安全是各国都在探讨的问题,我国数据跨境传输制度的出台也宜慎重。为此,除CII运营者的数据跨境传输制度规则外,对一般网络运营者数据跨境传输的监管规范可能还需要时间完善。
袁立志律师
目前有迫切跨境信息传输法律服务需求的企业主要有两类,第一类是外商投资企业及跨国公司在华机构,尤其是金融、消费等数据密集领域的企业;第二类是中国出海企业。这两类企业存在大量的跨境信息传输需求。
至于目前是否满足监管规范正式出台的条件,从法律制定层面来看,《数据安全管理办法》、《个人信息出境安全评估办法》等跨境信息传输领域的监管规范征求意见稿已出台,且经过多次审议修改,已基本成熟。但从国际环境来看,我国的数据跨境传输政策路径也受到国际环境、主要国家数据跨境政策和国际博弈的影响,这些都还存在很大变数,故对中国相关规则的正式落地造成一定影响。
四
企业数据合规建议
2020年,网络安全与数据合规工作即将迈入2.0时代。企业对网络安全与数据合规工作的认识也日益加深,大多数企业已经任命专门的网络安全负责人以及个人信息保护负责人,加强内部网络安全与数据合规制度建设与培训。
针对企业2020年的网络安全与数据合规工作,法律工作者的建议是什么,关注的焦点应集中在哪些方面?
天达共和数据合规团队
随着《网络安全法》相关配套法律法规的逐步完善,《网络安全法》确立的等级保护制度、信息安全和个人信息保护原则将得以细化实施。我们预期,执法关注点除了互联网应用程序对个人信息的收集利用等外,重点还将包括等级保护、数据存储地和跨境转移等。我们建议企业密切关注网络安全和数据合规领域的立法和执法动态,尤其要注意所属行业领域是否新增细化合规要求;未能完成等级保护定级备案的,抓紧完成定级备案,建立及/或及时调整、完善内部数据和外部数据收集利用的合规管理制度和个人信息保护制度;运营线上业务的企业应关注最新发布的新规并适时调整隐私政策内容及其设置;出海企业和在华外资企业关注业务所涉多个法域的数据存储地和跨境传输数据要求相关立法动态,以便及时作出部署。
杨洪泉律师
中国的网络安全和数据合规法律框架虽已初步建立,但仍有部分法律法规及国家标准未落地。在此情况下,我们建议,企业需平衡合规工作中的“变”与“不变”,即对于已有生效法律、法规和国家标准支持的法律要求(例如建立数据处理记录、制定个人信息管理制度、完善隐私政策、APP治理等工作),企业应当重点关注,尽快开展合规工作;对于仍处于制定过程中的法律、法规和国家标准所体现的合规要求,企业则需及时关注立法的新动态,并做到具体问题具体分析:一些新要求充分反映了国际立法趋势和行业呼声,在未来将大概率成为生效的合规要求,企业可以开始相关的合规准备工作;而一些新要求争议较大,企业为满足该要求将花费较高成本(例如实现数据的完全本地化),且未来是否能成为最终生效的合规要求有较大的不确定性,对于此类要求,企业不宜采取过于激进的合规措施试图做到“一步到位”。
此外,我们建议企业将数据合规工作视为一个有机的整体,采取适当的项目管理措施和工作流程,有计划、有步骤地开展合规工作,避免“头痛医头、脚痛医脚”和低效无序的做法。
袁立志律师
企业的合规重点应放在落实用户授权和确保数据安全两个方面,企业应切实贯彻法律规定,具体工作包括:
1、搭建网路安全与数据保护部门并配置专业人员,依据企业数据密集程度、产品数量多少等设立适合本企业的数据安全保护部门。
2、梳理企业数据资产清单,掌控产品线、业务线的数据在企业内各部门的流向及对外共享情况。
3、落实用户授权,通过配备和完善隐私政策,优化产品设计,将数据合规落实到产品细节中。
4、规范数据利用方式,采用汇聚融合、用户画像、精准营销、自动化决策等高风险数据使用方式时,进行充分的评估论证,并采取与风险相适应的技术措施和管理措施。
5、加强数据供应链上下游及合作伙伴的管理,在与上下游及合作伙伴签订的相关协议中完善数据保护条款,对业务资质、业务合法性以及数据来源的合法性进行审查,如发现存在合规性风险,及时与其停止合作。
6、加强相关许可、备案管理,企业需仔细甄别所涉业务是否应获得行政许可或进行备案,如电信业务许可、个人征信业务许可、网络文化经营许可、等保备案和测评、联网备案、ICP备案等。
五
结语
当下,很多中国企业已经认识到数字化转型的必然性与必要性,网络突破了时空限制,但伴随而来的却是更加复杂的安全环境。无论是传统行业的互联网化、数据化转型,还是新兴行业、新型商业模式的发展,企业的原数据、衍生数据、数据的算法等,都是数字化企业的核心竞争力。在数据全生命周期中做好网络安全与数据合规,关乎着企业的data mapping,运作模式、甚至商业模式。网络安全与数据合规对于维护企业资产价值和核心竞争力起着至关重要的作用。希望通过大咖们的精彩分享,律师从业者及数据合规工作者能从中有所受益。
本期采访嘉宾
(以下排名均以姓氏拼音为序)
安杰律师事务所
杨洪泉 律师
安杰律师事务所合伙人
杨律师是国际知名法律评级机构Legal 500推荐的中国律师事务所“TMT领军律师”、LEGALBAND 推荐的“网络安全及数据保护律师(第一等)”。
在技术、媒体和电信(TMT)领域,杨律师已有15年的公司内部法律顾问和外部律师的丰富经验。他在监管、商事和公司等事务上为客户提供广泛的法律服务,尤为专注个人信息保护、网络安全、电信和互联网、电子商务、社交网络、在线游戏、硬件和软件、技术采购和转让,分销和许可以及其他与技术有关的领域。
杨律师是中国最早从事个人信息保护和网络安全业务的律师之一,由于其在互联网及电信公司的多年工作经历,杨律师较为熟悉与法律相关的IT知识,且对企业所需法律服务有深入理解。其主要服务于500强公司、大型国有企业、知名互联网公司等。杨律师经常在相关法律媒体和刊物上发表有关中国数据保护及网络安全方面的文章。
邮箱:yanghongquan@anjielaw.com
竞天公诚律师事务所
袁立志 律师
竞天公诚律师事务所合伙人
上海对外经贸大学国际法硕士
新加坡国立大学国际商法硕士
袁立志律师于2016年加入竞天公诚律师事务所。袁律师是IAPP(国际隐私专家协会)会员,通过CIPP/E资格认证。袁律师代表竞天公诚律师事务所,作为全国信息安全标准化技术委员会(TC260)成员和中国通信标准化协会大数据技术标准推进委员会(TC601)会员,参与多项信息安全技术和大数据国家标准的起草和修订。袁律师兼任华东师范大学法学院校外实务导师。
袁律师的执业领域为网络安全与数据保护、公司法律事务。袁律师最早从2009年开始即为客户提供商用密码等方面的法律服务,2016年曾主办大数据企业思贤股份新三板挂牌项目。近年来,袁律师曾为多家知名企业提供网络与数据法律服务,包括金融机构、汽车制造商、智能硬件制造商、文化娱乐企业、互联网企业、数据服务商、信息安全服务商、云服务商、医疗机构等。
袁律师荣获2020年The Legal 500亚太地区TMT(电信、媒体、娱乐与高科技)领域“特别推荐律师”。
邮箱:yuan.lizhi@jingtian.com
天达共和数据合规团队
李丽霞 律师
天达共和律师事务所合伙人
◆◆◆
申晓雨 律师
天达共和律师事务所合伙人
◆◆◆
叶鹏 律师
天达共和律师事务所合伙人
天达共和数据合规团队由多名在公司合规、数据和互联网领域具有丰富经验的合伙人/顾问、律师组成,人员以北京总部和上海为核心,业务范围覆盖全国。依托于天达共和公司制一体化管理的综合力优势,天达共和数据合规团队长期为客户提供高效、优质、专业的服务,涉及的业务内容包括数据合规审查综合项目、数据合规风控体系的建立与完善、数据合规专项服务、行政检查应对、争议解决、合规培训等。