《审查办法(征求意见稿)》的发布,体现了监管机构近年来不断加密、加快的监管趋势和执法依据位阶上升、监管尺度不断细化的监管趋势。对于能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、云计算、大数据、国防科工、大型装备、化工、食品药品、新闻等敏感行业(以下简称“敏感行业”)及处理和掌握大量用户数据的平台类企业,特别是拟赴或已在国外上市的企业,在网络安全、数据安全及用户个人信息保护方面的责任义务不断加码的大背景下,应持续关注相关监管法律法规和政策的变化,不断优化和夯实企业数据合规工作。本文作为下篇将结合笔者多年从事数据合规法律服务的经验,针对《审查办法(征求意见稿)》的修订内容及近年来相关监管法律法规和政策变化情况和发展趋势,提出合规建议,以期帮助企业开展合规工作并预防发生风险。
一、企业内部数据合规体系建构
随着我国数据合规相关法律法规的逐渐完善以及监管的不断加强,企业所面临的数据合规风险日益提高。在近期部分中概股企业赴美上市所引发的企业网络安全审查,以及《审查办法(征求意见稿)》最近出台的背景下,企业内部数据合规建设的重要性和紧迫性已经不言而喻,特别是在企业拟赴国内外上市、重组、投融资时更应当注重构建企业内部数据合规体系,从而为数据资产提供全生命周期的安全保护。在上市或完成重组或投融资后,还应当持续关注我国以及上市所在国关于数据以及个人信息的立法动态,及时完善企业的数据合规策略,并在企业进行数据共享、转让、公开披露、数据出境,发生重大安全事件或者企业业务模式、信息系统、运行环境发生重大变更时及时进行个人信息安全影响评估。
因此,我们建议企业应当将数据合规的主要治理重心放在以下四个部分:
1. 设计和审查外部政策与协议:包括涉及隐私保护实践方案,审查企业数据处理方面的相关协议、产品隐私政策及和用户服务协议等。
2. 建立及完善企业内部数据安全及规划管理制度:例如在设立总体内部规则、内控制度的同时,有针对性地修订HR及IT部门的制度文件及规程。此外,企业还应当设计网络安全事件应急预案,并定期开展企业内部培训与演练。
3. 建立数据出境合规体系:在出境前开展数据出境评估并落实安全保障制度与措施。当涉及数据出境时,企业应对出境数据的合法性、正当性、必要性和对目标国家的政治及法律环境进行安全评估,出具出境自评估报告。
4. 完善网络安全与关键信息基础设施保护:要求企业完成网络安全等级保护认证,核心数据以及重要数据的识别并配合开展分级分类保护的风险评估与控制措施,同时应结合相关法律法规判断关键信息基础设施的适用情况,并遵守关键信息基础设施运营者的增强法律责任和义务。
5. 在完善合规制度的同时,企业内部数据安全的组织架构也需要同时配套落实,以保证合规体系的完整、有效运行,可以按照决策层、管理层、执行层、员工和合作伙伴、监督层的组织架构设计。在具体执行过程中,组织也可赋予已有安全团队、法律合规部门与其它相关部门关于数据安全的工作职能,或者向第三方专业团队寻求帮助,协助企业开展机构设计、工作辅导与评估审计。特别是在面对网络安全审查时,需要企业内部各部门间相互配合、迅速响应,依据法律规定、监管要求和内部合规体系要求,配合监管完成审查与整改工作,必要时需要与监管部门进行提前沟通,以了解企业执行尺度与政策方向的匹配性,以便动态地调整符合国家法律法规、政策要求的合规基线。
当然,企业内部合规体系和组织架构也绝非一劳永逸的,而是需要不断动态调整的,特别是随着企业上市过程、投融资进展审查是否通畅而不断落实和完善,发现存在不合规之处,还需要及时整改与优化。同时需要组织人员进行培训,将梳理出来的问题通过内部落实整改与法律法规的跟踪变化进行比对并进一步复盘以查漏补缺、更新完善,最后构成一个有效的合规闭环。
二、针对网络安全、数据安全和个人信息保护审查的重点关注
虽然《审查办法(征求意见稿)》修订的网络安全审查的范围不再局限于《网络安全法》规定的关键信息基础设施运营者采购网络产品和服务,同时也包括《数据安全法》规定的数据处理者开展数据处理活动,但考虑到企业履行网络安全和数据安全义务以及审查要求上仍有差异,本部分将分别进行论述。此外,对于监管机构近年来不断升级的个人信息保护,也将同步给出合规建议。
(一)网络安全审查合规建议
首先,良好的业务连续性管理是网络安全及数据合规工作的基石。根据《网络安全法》第22条、第23条,企业应确保业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用;同时为其产品、服务持续提供安全维护。
其次,企业应当确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度。根据《网络安全法》第34条以及《网络安全等级保护条例(征求意见稿)》第20、21条,企业应当按照国家法律法规的规定和相关国家标准的要求,设置专门的网络安全管理机构和网络安全管理负责人,对网络安全管理负责人和关键岗位的人员进行安全背景审查,签署特殊保密协议,落实持证上岗制度。
第三,密码及通信安全管理也将成为网络安全审查的重要部分,建议企业根据《网络安全等级保护条例(征求意见稿)》第4条的规定,在网络建设过程中,同步规划、同步建设、同步运行密码保护措施。如果企业网络定级为第三级以上,应当使用国家密码管理部门认可的密码技术、产品和服务,并且履行密码安全管理职责,加强密码安全制度建设,完善密码安全管理措施,规范密码使用行为。在进口密码产品以及含有密码技术的设备或者出口商用密码产品时,应当依据《商用密码管理条例》第13条、第14条的规定,报经国家密码管理机构批准。企业及企业员工只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。此外,企业及企业员工不得销售境外的密码产品。
第四,《审查办法(征求意见稿)》第十条提出了“审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险”的内容。因此,企业应当重点关注网络产品和服务的供应链安全审查工作,落实对上游供应商的事前评估、事中和事后审计的全生命周期审查。具体而言,明确供应商在收集、保存、使用、共享、转让、公开披露等数据处理活动中须遵循的规则,根据国家网络安全相关法律法规以及企业内部合规要求制定评估项,对供应商的数据与网络安全合规情况进行逐项评估,排查隐患,提前预防并有效防范数据泄露、窃取、损毁、非法篡改。此外,企业也应依据《网络安全漏洞管理规定(征求意见稿)》针对相关的网络产品、服务、系统采取相应的漏洞修补或防范措施。
第五,我国证监会曾在某企业发行可转债项目中询问:“发行人开展现有业务、本次募投项目是否需要进行网络安全等级保护测评”。根据《网络安全等级保护条例(征求意见稿)》第33条的规定,企业建设、运营、维护和使用网络,向社会公众提供需取得行政许可经营活动的,相关主管部门应当将网络安全等级保护制度落实情况纳入审计、审核范围。根据拟定的不同等级,企业应当遵守的责任和义务也有所不同。
第六,从风险控制和审计管理要求出发,企业应由安全审计员对系统各个组成部分进行审计和管理,包括根据安全审计策略对各类网络安全信息进行分类记录,并对记录分类存储、管理、查询和分析,并根据分析结果及时处理;网络日志需保存六个月以上,企业须对各类安全报警和日志信息进行关联分析,生成统一审计报告,提取出安全事件或隐藏攻击的规律,形成报警和预判。在进行云计算平台安全设计时,还应对云服务器、云数据库、云存储等云服务的创建、删除等操作行为进行审计。
第七,依据《网络安全法》第22条及第34条、《关键信息基础设施安全保护条例(征求意见稿)》第24条,企业应当制定网络安全事件应急预案并定期进行演练;当企业发现提供的产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第八,根据《网络安全法》第49条、《电信和互联网用户个人信息保护规定》第12条以及《规范互联网信息服务市场秩序若干规定》第14条,企业应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报,并自接到投诉之日起十五日内答复投诉人。公司应当配合网信部门和有关部门依法实施监督检查。
(二)数据安全合规建议
根据此次公布的《审查办法(征求意见稿)》第十条的兜底规定,网络安全审查主要考量的风险包括一切可能危害关键信息基础设施安全和国家数据安全的因素。因此,结合《审查办法(征求意见稿)》和《数据安全法》,企业在进行合规落地时应尽到的义务包括:
首先,明确企业自身所控制和受规制的数据范围和类型,确保数据收集的合法、正当和必要性;其次,企业内部应当设立数据安全管理和分级分类保护制度,采取必要技术和措施保障数据安全;再次,需要按照要求对数据活动定期进行安全评估,并向有关主管部门报送风险评估报告。并且,企业需加强风险监测,在发现数据安全缺陷、漏洞等风险时,应当立即采取处置措施,若发生数据安全事件,应及时告知用户并向有关主管部门报告。当公安机关、国家安全机关因依法维护国家安全或者侦查犯罪需要调取数据时,企业应当在核验相关身份和证明后配合执法。并且,根据《数据安全法》第三十六条规定,当境外执法、司法机构依据其职权对企业进行调查,要求企业提供相关数据时,企业不能径直按照境外执法机构的要求提供,应当先向主管机关报批方可提供。
需要特别注意的是,针对《数据安全法》中提到的“从事数据交易中介服务的机构”,在进行交易、提供服务时,还应当同时要求数据提供方说明数据来源, 审核交易双方的身份,并留存审核、交易记录。这类企业在业务中往往会涉及大量数据信息,甚至可能会涉及关乎国家数据安全的信息,需要密切关注相关配套法规动态,落实合规举措,特别是赴国外上市时更需要审慎评估和自查。
(三)个人信息保护合规建议
针对个人信息保护问题,《网络安全法》《个人信息保护法(草案二次审议稿)》以及《信息安全技术 个人信息安全规范》(GB/T-35273-2020)等法律法规、国家标准从顶层设计、原则架构以及具体操作层面进行了全方位规定。
在立法不断完善的同时,监管部门的执法要求和力度也在逐渐细化和增强。工信部2019年10月31日发布的《关于开展App侵害用户权益专项整治工作的通知》中对于违规收集和使用用户个人信息的情形进行了明确规定;2021年3月12日,网信办等四部门联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》中也明确要求App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能,并且针对常见的39类App的必要个人信息范围进行了明确限制。
上述规定要求企业在进行产品及服务设计时,首先重视隐私设计,在设计阶段实施个人信息保护的原则和要求。其次,默认设置应当最大程度地保护个人信息。再次,在系统和产品建设过程中,保证安全和隐私保护措施的同步规划、同步建设和同步使用。企业在进行业务开发时,应始终将个人信息保护原则融入产品/服务设计,顺势而为,而非逆向操作,避免企图通过政策法规的空白,超出实际需求对用户个人信息进行收集、使用和处理。
企业同时应当结合自身业务,对可能涉及的个人信息进行整理梳理,构建内部个人信息保护完整性合规清单及层级架构,结合法律指引和国家标准,从个人信息生命周期的全流程,包括收集、存储、使用、共享/委托处理/转让/对外批露、删除、销毁,以及用户行权、安全事件处理等全方面进行制度建设并展开自查,进行内部梳理,防患于未然。特别是针对数据对外共享与数据跨境传输,需要制定严格详细的评估方案。例如,此次公布的《审查办法(征求意见稿)》第六条明确要求:掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查;并且网络安全审查主要考量的风险就包括大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险,以及被国外政府影响、控制、恶意利用的风险。
由于《个人信息保护法(二次审议稿)》第五十七条要求提供基础性互联网平台服务、用户数量巨大、业务类型复杂的平台成立主要由外部成员组成的独立机构,对个人信息处理活动进行监督;对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;定期发布个人信息保护社会责任报告,接受社会监督,企业需要进一步建立主动拥抱中介机构审查、平台自律审查以及公众、媒体与监管机构审查的多重监督机制。在面临监管部门审查时,应快速响应、积极配合并落实内部自查和整改。无论是在产品/服务设计、内部制度建设,以及个人信息主体行权落实等方面及时进行合规咨询,保持与监管机构的良好沟通与提前问询,最大程度地避免因个人信息保护不合规而给企业带来风险,以及业务运营、品牌形象上的负面影响。
三、企业数据出境合规建议
如上文所述,本次《审查办法(征求意见稿)》重点修订的是企业聚焦数据出境的合规义务,如在第六条中新增了针对“企业赴国外上市的网络安全审查义务”,第十条也适用于国外上市后,“关键信息基础设施,核心数据、重要数据或大量个人信息” 纳入审查要点。正如中国信息安全研究院副院长左晓栋在接受南都记者采访时指出,“企业在国外上市必然带来数据的跨境流动。当然,并不是说只要有数据跨境流动就会带来安全风险,但如果上市企业是互联网企业,且企业在经营过程中会收集产生大量国家核心数据、重要数据和批量个人信息,那么数据的出境安全风险就必须慎重对待。”近期网信部门的执法实践也为拟国外上市的企业,敲响了上市前需进行数据出境合规工作的警钟。
目前我国数据出境的监管方式以安全评估为主,监管的重点数据类型主要包括个人信息和重要数据。以下为我国目前数据出境有关的法规和国家标准,分别为《网络安全法》、《个人信息保护法(草案二次审议稿)》、《数据安全法》、《个人信息和重要数据出境安全评估办法(征求意见稿)》、《信息安全技术数据出境安全评估指南(征求意见稿)》和《个人信息出境安全评估办法(征求意见稿)》。目前除《网络安全法》和《数据安全法》外,其余法规和国家标准均尚未生效,但对企业数据出境合规建议具有重要指导意义。
(一)盘点数据出境情况
《数据安全法》建立了以数据分级分类制度为基础的企业合规路径,明确了重要数据处理者的数据安全保障增强义务。如上文所述,《数据安全法》第三十一条对关键信息基础设施运营者以及关键信息基础设施运营者以外的其他重要数据处理者所收集的重要数据出境的情况进行了规定,要求适用国家网信部门会同国务院有关部门制定的管理办法。本次《审查办法(征求意见稿)》虽说主旨在于规定对有可能影响国家安全的数据处理活动进行审查,但数据出境到国外被外国政府控制、影响和利用也被视为影响国家安全的因素之一,因此需要遵守的合规的义务与《数据安全法》的精神高度吻合。
由此,企业首先应排查自身数据资产。其次,应针对数据的重要程度、敏感程度对数据进行分类分级的保护,同时,区分一般数据和重要数据,按数据的重要性程度从高到低的顺序进行具体匹配,制定重要数据目录清单。国家信息安全标准化委员会也正在制定《重要数据分类分级指南》;各行业也在加紧研制本行业的数据分类分级标准和重要数据目录,企业需要关注相关动态,及时调整本企业内部数据分级分类的逻辑和标准。最后,根据企业自身身份(如央企、国内、大型互联网平台、一般性企业)和出境目标国家(依政治敏感度与双边关系紧张程度的强、中、弱等级)适配相应的合规义务。
(二)进行数据出境安全评估
《信息安全技术数据出境安全评估指南(征求意见稿)》对数据出境安全评估流程和方式进行了指引,虽然目前仍然处于征求意见稿状态,但企业可以参照后进行数出境安全评估自查。首先,企业内部需建立出境安全评估制度并制定出境自评估流程等文件。其次,根据业务需求与实际状况,判断是否涉及重要数据出境。如涉及,在企业自评估后,还需要报请行业主管部门与网信部门,因此需要制定和设计监管部门能够接受的评估流程及报请策略。在此过程中,需要对数据出接受方的安全保障能力等级及所在国际和地区的政治、法律环境、发生安全事件的可能性进行跟踪评估,防止发生变化和调整。最后,综合上述因素,对数据出境活动按照风险等级进行划分,制定企业出境评估报告并提交监管部门申请审查,并与其保持持续沟通与对方案的整改。
(三)安全检测和评估认证
根据《个人信息保护法(草案二次审议稿)》第三十八条规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,需按照国家网信部门的规定经专业机构进行个人信息保护认证。《数据安全法》第十八条指明了国家对安全检测评估、认证服务的支持态度。虽然对于数据出境方面的认证机制目前尚未正式出台,但比拟我国网络安全产品与服务、网络关键设备和网络安全专用产品安全认证等均通过中国网络安全审查技术与认证中心,采取强制测评与自愿测评相结合,进行定期和年度检测认证或自愿认证,企业可以根据自身业务所对应的要求选择相关检测与评估,以符合实施数据出境的合规措施。
(四)关注数据出境传输合同和/或合作协议范本的制定工作
《个人信息保护法(草案二次审议稿)》第三十八条的规定,个人信息处理者因业务需要向境外提供个人信息的,可以按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到个人信息保护法律法规规定的个人信息保护标准。目前,国家网信部门尚未正式颁布数据跨境传输标准合同。但近日媒体报告,知情人士表示国家互联网信息办公室已启动“中国版SCC”——数据跨境传输标准合同的起草工作。企业可密切关注监管部门相关动态并选择最适合本企业的数据出境合规机制。
(五)其他相关合规要求
根据《中华人民共和国电信条例(2016年修订)》(国务院令第666号)、《信息产业部关于公布<国际通信出入口局管理办法>的命令》(信息产业部令[2002]第22号),以经营电信业务为目的,通过互联网国际出入口设置虚拟网络的,应当报信息产业部批准;以内部使用为目的,通过互联网国际出入口设置虚拟专用网的,应当报信息产业部备案;与香港特别行政区、澳门特别行政区和台湾地区的通信,参照国际通信管理。
结语
通过上篇对《审查办法(征求意见稿)》修订要点的阐述和本文对企业数据合规建议的分析,笔者希望从事敏感行业和处理大量用户数据信息的平台类企业能够理解监管逻辑,关注监管法律法规和政策的变化,完善数据合规体系制度建设并落实到企业日常运营的过程中。此外,对于近期赴国外上市,特别是赴美上市的企业,宜尽快着手开展数据合规的自查工作,对于不合规事项尽快整改,并考虑适时与监管机构沟通,充分预估受到网络安全审查的可能性及监管不确定性带来的风险。针对以上风险,也建议在相关上市文件中进行充分披露。
点击“相关下载”,可查阅《审查办法》与《审查办法(征求意见稿)》条款对比。
相关下载