1、根据我们的经验,建立合规的网络数据安全审查制度,不仅能够有效遏制类似事件发生的几率,而且还是类似事件发生后企业免责的最好抗辩事由,谁会苛责一只穷尽所能的勤劳小蜜蜂呢?更重要的是,这不是一项可有可无的善举,而是每一个企业必须承担的法定义务。笔者结合执业经验,梳理出网络数据合规审查( 同时也可以用于并购项目中的网络安全法律尽调 )部分要点,仅供大家交流、参考。一、企业应当制定网络数据安全保护机制是否有相对健全的网络数据安全保护机制,是网络数据合规审查的首要关注点。这不仅是企业开展互联网业务的前提条件,也是网络公共安全事件发生后,企业是否应当承担责任以及承担多大责任的首要考量因素。根据工信部电信业务
2、经营许可管理办法,企业申请办理电信业务经营许可证的,必须向监管机构提交符合要求的“信息安全保障措施 ”申请材料。此外,全国人大常委会关于加强网络信息保护的决定要求,企业应当采取技术措施和其他必要措施,确保信息安全。根据电信条例规定,企业应当按照国家有关电信安全的规定建立健全内部安全保障制度,实行安全保障责任制。同时,根据公安部互联网安全保护技术措施规定,企业应当建立相应的管理制度,落实互联网安全保护技术措施,且互联网安全保护技术措施应当符合工信部、公安部监管要求及相关行业标准(例如增值电信业务网络信息安全保障基本要求、电信和互联网服务用户个人信息保护分级指南等)。根据公安部计算机信息网络国际联
3、网安全保护管理办法规定,未建立安全保护管理制度的企业,根据情节不同,由公安机关给予责令限期改正、警告、罚款、停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。二、企业应当建立网络数据违法犯罪调查配合机制根据我国法律规定,配合司法机关调查违法犯罪行为是每一个公民和企业的义务,在网络数据安全领域也不例外。企业不仅应当为司法机关提供相关的数据接口与解密支持,还应当提供个案调查配合义务。根据反恐怖主义法规定,企业应当为公安机关、国家安全机关进行防范、调查恐怖活动提供网络数据的技术接口和解密技术支持。根据公安部互联网安全保护技术措施规定,企业网络数据应当具有符合公共
4、安全行业技术标准的联网接口。此外,根据计算机信息网络国际联网安全保护管理办法,企业应当如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。三、企业应当建立网络数据过滤与审核机制企业在互联网领域的合规风险,大部分来至于对网络平台数据的审核不力或监管疏漏,轻则被通报批评或罚款,重则被吊销经营资质。网络安全法(草案)、网络出版服务管理规定、互联网信息服务管理办法 、互联网安全保护技术措施规定、互联网新闻信息服务管理规定(修订征求意见稿) 等均明确规定,企业有义务主动发现、停止传输、报告公共网络数据中的违法信息,应当建立网络数据内容审核与过
5、滤机制,加强对其用户发布的信息的管理与审核工作。根据关于加强网络信息保护的决定,企业违反过滤与审核规定的,根据情节给予警告、罚款、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚。四、企业应当建立网络数据分级管理与保护制度对网络数据分级,有利于平衡用户与企业利益,方便企业采取针对性的安全保护措施,提高企业合规管理效率。电信和互联网服务用户个人信息保护定义及分类以及电信和互联网服务用户个人信息保护分级指南根据网络数据的敏感程度不同,将网络数据分类、分级保护,并依据信息安全等级保护管理办法采取相应的安全保护措施。寄递服务用户个人信息安全管理规定、人口健康信息管理办法(试行)
6、 、关于银行业金融机构做好个人金融信息保护工作的通知等也明确规定,个人信息实行分级管理、分类利用原则。五、企业应当建立网络用户实名验证机制用户的注册与使用行为是企业获取网络数据的主要来源之一,但依法获取该等信息的前提条件是企业必须建立实名验证机制。根据关于加强网络信息保护的决定、网络安全法(草案) 、 互联网安全保护技术措施规定、网络交易管理办法等之规定,企业为用户提供入网、信息发布等服务时,应当要求用户提供真实身份信息并核验。根据反恐怖主义法之规定,电信、互联网、金融业务经营者、服务提供者未按规定对客户身份进行查验,或者对身份不明、拒绝身份查验的客户提供服务的,根据情节不同,给予责令改正,对
7、直接负责的主管人员和其他直接责任人员处以五十万元以下罚款。六、企业应当在境内设置服务器并限制数据跨境转移互联网的无国界性,以及分散网络流量与容灾备份的要求,决定了企业在全球范围内布局服务器的技术需求。但是,限制特定行业在境外设置服务器及敏感网络数据跨境转移,这也是国际互联网监管实践的通行做法。我国网络安全法(草案)明确规定,未进行安全评估的关键信息基础设施的运营者,不得在境外存储,或者向境外转移在运营中收集和产生的公民个人信息等重要数据。此外,工信部(原信产部) 在关于加强外商投资经营增值电信业务管理的通知中明确规定,服务器等设施应当在经营许可证业务覆盖范围内设置。在具体行业领域,网络出版服务
8、管理规定、地图管理条例、人口健康信息管理办法(试行) 、非银行支付机构网络支付业务管理办法、互联网域名管理办法( 征求意见稿) 等,均明确规定企业的服务器和存储设备必须在中华人民共和国境内设置。此外,征信业管理条例、人口健康信息管理办法(试行) 、 网络借贷信息中介机构业务活动管理暂行办法(征求意见稿)、人民银行关于银行业金融机构做好个人金融信息保护工作的通知 等均明确禁止向境外转移涉及用户个人敏感信息的网络数据。七、企业必须依法留存用户网络数据立法者必须在个人利益保护与维持合理企业成本之间找到一个平衡点,一个典型的例子就是在用户网络数据留存制度设计上。一方面,立法者希望企业尽可能久的留存用户
9、信息,以方便网络监管及未来可能的争议解决;另一方面,又担心企业长期留存并滥用用户信息,进而损害个人利益。一个比较常见的留存期限是不少于 60 天,例如,根据互联网安全保护技术措施规定、互联网信息服务管理办法、互联网电子邮件服务管理办法、网络出版服务管理规定等均规定用户网络数据应当至少留存 60 天。但也有例外,例如网络游戏管理暂行办法要求不得少于 180 天,网络交易管理办法要求不得少于两年。而相反,立法者限定了一些特定领域的网络数据留存最长期限。例如,快递条例(征求意见稿) 明确规定,企业应当定期销毁快件运单,确保用户信息安全;征信业管理条例更是明确规定,征信机构对个人不良信息的保存期限为
10、5 年,超过 5 年的应当予以删除。八、企业收集和使用用户网络数据须经许可立法者已经接受了这一事实,应当限制企业日益膨胀的数据获取欲望。而目前最好的限制措施莫过于收集和使用用户网络数据的“披露 +许可”原则,即披露收集和使用的目的、方式、范围等,并需要经过用户的同意( 但并没有明确是消极同意还是积极同意 )。根据关于加强网络信息保护的决定、电信和互联网用户个人信息保护规定等均明确规定,企业在在经营活动中收集、使用用户网络数据信息的,应当明示并公开收集、使用信息的目的、方式和范围,并经被收集者同意。此外,网络交易管理办法、互联网电子邮件服务管理办法、互联网广告监督管理暂行办法(征求意见稿) 等明
11、确规定,企业未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性电子信息。综上,是笔者根据长期互联网法律服务经验,整理的企业网络数据安全合规审查(同时也可以用于并购项目中的网络安全法律尽调)的主要关注点,但这些绝非全部。关于网络数据所有权及其定性,数据清洗与交易规则,等等这些问题,目前在立法与执法实践中还存在一些争议,还有一些问题在不同的部分法规中还存在较大的冲突,此外,中国互联网立法相对粗糙,且网络数据安全合规依据较为分散(本文涉及法律、法规及规范性文件 30 余部) ,这就给企业网络数据安全合规审查带来了极大的挑战。但,如同数据网络不可能绝对安全一样,我们的目标不是面面俱到,但求有所作为(至少不能违反哪些法律、法规的强制性规定)。或许,任何人都能理解没有绝对安全的数据网络,但恐怕没有人能接受企业在网络数据安全方面毫无作为。
