2019年10月24日至25日,上海市律师协会律师学院、互联网业务研究委员会在上海交通大学凯原法学院东方会堂联合举办主题为“创新环境下的新挑战——律师如何更好服务数字经济发展”系列培训活动之一,“创新保障——网络安全法律实务的新近发展”法律实务培训。
本次活动由上海市律师协会互联网业务研究委员会主任陈巍律师主持,由上海市汇业律师事务所合伙人黄春林律师主讲《2019年网络安全立法与执法的最新实践—兼谈零售企业个人信息保护与数据合规最新实践》,某世界500强企业大中国及亚太信息安全总监陈皓先生主讲《隐私保护的治理和管理体系建设、技术落地》,上海市通力律师事务所合伙人潘永建律师主讲《中国数据管理制度:商用与隐私保护的冲突和合规方案》,某互联网领军企业数据隐私保护部合规总监赵冉冉先生主讲《近期数据隐私热点法律问题——隐私政策起草、敏感权限配置及网络爬虫应用》。
一、黄春林:2019年网络安全立法与执法的最新实践——兼谈零售企业个人信息保护与数据合规最新实践
等保2.0制度。网络安全等级保护是我国信息安全保障的基本制度性工作,是网络空间安全保障体系的重要支撑,也是应对强敌APT攻击的有效措施。在法律支撑层面,我国的计算机系统等级保护条例提升为国家基础性法律制度,即《网络安全法》中的网络安全等级保护制度。等保的工作流程分为五个步骤,分别是:系统定级、系统备案、建设整改、等级测评和监督检查。其中最重要的是等级测评,它用来验证系统是否满足相应等级的安全要求。在合规性要求上,企业需要特别注意以下几个方面:第一,管理制度、岗位人员及培训体系是否合规;第二,是否采用相应的技术措施和安全产品;第三,是否履行等保备案、测评或变更手续。
关于数据安全制度,数据流动的合规要点之一在于开展数据合规专项尽职调查和安全风险评估,同时也要注意数据承接方超过原授权范围使用数据的应当获得用户重新同意。
从未来刑事法律服务融合角度就网络与数据合规问题解读,涉及网络与数据的罪名主要有侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、非法获取计算机系统数据罪和帮助信息网络犯罪活动罪等,以上罪名均采取双罚制,即单位和责任人员都可能受到刑事责任追究,如果企业已出现刑事风险,就应当及时做好危机管控,尽力将刑事责任降至最低;在涉及到刑事风险的情况下,相关企业应明确律师提供的刑事合规法律服务不是为了帮助企业逃避刑事责任追究,而是为了帮助企业做好刑事危机的有效应对。
二、陈皓:隐私保护的治理和管理体系建设、技术落地
企业的隐私保护和数据保护涉及的人员包括律师、合规人员和技术人员等,因此隐私保护和数据保护是一个跨团队、跨学科的工作,需要不同部门的协调组织和多方面的知识储备。
在当前隐私保护法律不断出台和加强的背景下,隐私保护作为一个合规活动必然在企业中深入开展,企业需要特别明确以下几项要素:建立隐私保护的驱动力;隐私保护的范围;关键的业务部门以及这些业务部门承担的功能;隐私保护的目标和战略计划;隐私保护的沟通和汇报机制等。
关于隐私操作生命周期模型,该模型致力于推进长期而有效的隐私保护机制,分为评估、保护、评价和响应四个阶段:“评估”为隐私保护提供了框架,具体为与行业中已经存在的政策、流程、管理制度等进行对比,发现差距并提出建议;“保护”针对的是信息和数据的安全进行保护;“评价”是通过监视、审计和通信来进行隐私管理;“响应”包括对信息请求、合规、突发事件的处理等方面的处理。
三、潘永建:中国数据管理制度,商用与隐私保护的冲突和合规方案
在大数据时代下,很多对个人数据信息的利用行为伴随着侵犯隐私的风险,在目前,指纹、面部以及虹膜识别等个人生物信息在商业应用、社会治理以及国家安全等领域具有广阔前景。但是公民个人生物信息具有唯一性和不可变更的特质,一旦泄露就是终身泄露,其敏感程度和利用价值远高于一般信息,存在特殊风险。
以系列案例说明,个人信息的商业应用与隐私保护存在的冲突,以及“三步走”的合规建议:首先,企业需要对收集的数据情况进行盘点自查,主要针对收集数据的方式、手段和目的;其次,企业需要与最佳实践进行差异分析;最后,进行落实整改。
对于数据安全的制度建设,从采集、传输、存储、共享、使用和销毁六个方面建议:第一,企业在采集用户数据前,应当遵循开放透明原则,以明确、易懂、合理的方式告知用户收集、使用信息的目的、方式和范围,留存信息的期限,查询、更正信息的渠道以及拒绝提供信息的后果等事项,并明示征得用户同意。不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息;第二,企业应根据业务流程、职责界面等情况,合理划分安全域,并在安全边界上配置相应的访问控制策略及部署安全措施。针对跨安全域传输等存在潜在安全风险的环境,应对敏感信息的传输进行加密保护,并根据数据敏感级别采用相应的加密手段;第三,企业应对存储数据的设备及基础设施重点做好安全防护,包括落实数据存储设备的操作终端安全管控措施及接入鉴权机制,设置平台侧访问控制策略,定期实施安全风险评估及整改,配置安全基线、部署必要的安全存储技术手段等;第四,企业应加强数据线下交互的过程管控,应对数据线下交互建立审批机制及操作流程,要求对线下交互数据采取加密、脱敏或物理保密封装等防护手段,防止数据被违规复制、传播、破坏等;第五,企业应依据权限最小分配原则做好账号权限管理,对大数据平台及业务系统的数据使用操作应纳入4A管控,通过4A系统实现集中账号授权管理和登录访问控制,关键系统高风险操作应纳入金库模式管控;第六,企业应对数据销毁操作过程进行日志记录以支持安全审计。
四、赵冉冉:近期数据隐私热点法律问题——隐私政策起草、敏感权限配置及网络爬虫应用
网络爬虫作为一种计算机技术具有两面性:网络爬虫被广泛应用于数据获取,在法律上并不被禁止,但是利用网络爬虫技术获取数据这一行为具有违法甚至犯罪风险。
网络爬虫的影响主要在于以下几个方面:第一,会给网络服务器带来巨大的资源消耗;第二,服务器上的数据具有产权归属,网络爬虫获取数据后用于牟利将会引发法律风险;第三,网络爬虫可能具备突破简单访问的控制能力,获取被保护的数据,从而泄露个人隐私。
在敏感权限配置方面,有三项建议:首先,企业仅申请提供服务所必需的敏感权限,即评估申请的敏感权限应当是提供服务所必须的最少权限;其次,企业应在操作系统提交的声明列表里明确申请的敏感权限,并加以引导及说明;最后,获取敏感权限应经用户同意,由用户主动开启。
(注:以上嘉宾观点,根据录音整理,未经本人审阅)
供稿:上海市律师协会互联网业务研究委员会
执笔:任愿达 上海市通力律师事务所