《網絡安全法》下的合規風險管理
作者:史軍 馮欣 2020-04-07自2017年6月1日《網絡安全法》實施以來,相關主管部門陸續發布了一系列補充實施細則。為了幫助企業更好地理解這些規則下的合規義務,我們分析了《網絡安全法》的法律框架,并提出一些實用建議。
適用主體。在中國境內的任何“建設、運營、維護和使用網絡”的企業均應遵守《網絡安全法》。具體而言,《網絡安全法》適用于“網絡運營者”,涵蓋“網絡的所有者、管理者和網絡服務提供者”。在所有這些網絡運營者中,有一些被稱為“關鍵信息基礎設施的運營者”(CIIO)。CIIO是指與公共服務和民生有關的網絡運營者。網絡產品和服務的提供商以及使用交互式信息系統進行通信的任何個人、企業和社會組織也應遵守《網絡安全法》。
具體的合規義務。《網絡安全法》旨在實現兩個層面的保護。為了保護社會公共利益,網絡運營者應當建立健全的網絡運行體系,并制定網絡安全事件應急預案;為了保護用戶隱私,網絡運營者應建立相應的系統,對收集到的用戶信息保密。
(1)網絡安全保護方案。通常,《網絡安全法》要求網絡運營者按照多級保護方案(MLPS)的標準采取行動,以保護網絡安全。
該方案的“多級”意味著根據網絡攻擊的潛在后果,網絡運營者的安全保護義務有不同的等級。在這方面,應引起注意的是《信息安全技術網絡安全等級保護基本要求》。企業應根據其適用的義務等級來制定內部保護系統。
除了不同程度的義務外,為了處理緊急的網絡安全事件,《網絡安全法》還要求網絡運營者針對此類事件制定網絡安全事件應急預案。根據中國國家互聯網信息辦公室于2017年1月10日發布的《國家網絡安全事件應急預案》,在制定應急預案時,適用企業應指定緊急情況發生時的主要責任人、通知機制、補救措施及其他細節。緊急情況。此類事件也應盡快報告給當地互聯網信息管理部門,以便有關部門可以迅速啟動應急響應。
(2)用戶信息保密規則和規定。《網絡安全法》的另一個任務是建立保護用戶信息的機密系統,以規范使用企業收集此類信息。適用企業應當主動偵測用戶發布的違法信息,并及時采取措施刪除和舉報此類信息。企業應明確說明信息收集和使用的目的、方法和范圍。企業收集個人信息時,應征得本人的同意。此外,企業收集的個人信息必須與要提供的服務有關。
《網絡安全法》列出了“個人信息”的不完全列表。確定信息是否為個人信息的關鍵是評估這些信息是否能夠單獨或者與其他信息結合識別出自然人“個人身份”。實際上,一些企業在用戶使用服務時收集諸如時間和用戶位置之類的信息,該信息可以與其他信息結合在一起以識別用戶的“個人身份”。這種組合可能屬于“個人信息”的范圍。
(3)跨境數據安全評估。《網絡安全法》第三十七條要求,關鍵信息基礎設施的運營者在中國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要、確需向境外傳輸這類信息時,應當提前進行安全評估。
這對中國的適用企業施加了嚴格的數據合規性要求。此外,《個人信息出境安全評估辦法(征求意見稿)》(下稱《評估方法》)于2019年6月13日發布,尤其側重于個人信息出境。
建議。(1)《網絡安全法》和《評估辦法》對國內外企業是否一視同仁?是的,不對外國實體施加任何其他義務。但是,由于外國實體更有可能參與信息的跨境流動,因此有必要建立數據轉移合規系統。
(2)被歸類為網絡運營者的企業是否必須履行“數據境內存儲”義務?這視情況而定。首先,可以肯定的是,網絡安全第三十七條規定的關鍵信息基礎設施的運營者承擔“數據境內存儲”義務。其次,《評估辦法》要求對所有以任何形式向海外提供在華運營期間收集的個人信息的網絡運營者進行安全評估。從理論上講,這些網絡運營者需要事先獲得省地網信部門的批準。盡管該措施尚未生效,但相關企業應將這些措施視為處理個人數據的指導細則,進行相關的可行性研究,并為合規做好準備。
(3)外商投資企業(FIE)是否需要報告偶爾的跨境數據傳輸?對于在華非網絡運營者的外商投資企業,如果要傳輸的個人信息的范圍和主題有限,且外商投資企業已經評估了與數據傳輸有關的所有情況,并提供了適當的措施保護個人數據,那么目前看來,沒有必要根據《評估辦法》進行申報。
對于在中國境內被認定為關鍵信息基礎設施的運營者的外商投資企業(如外資銀行),如果將在中國境內收集的個人信息轉移到海外,則應按《評估辦法》進行評估。外商投資企業應密切注意這方面的法規更新。
