点击上方蓝字“赛博星人”,关注我们
《网络安全法》(2017年6月1日)正式生效,在这个值得纪念的历史性日子,普华永道网络安全与隐私保护咨询团队基于过去几个月与监管的多次交流、协助各行业客户执行有关《网络安全法》合规评估与咨询的工作经验,谨诚意奉上一系列文章,全面回顾《网络安全法》的合规要点,以及我们针对《网络安全法》开发的全面合规工具介绍。
由于内容比较多,因此,我们先在本篇开篇把这一系列文章的内容要点做一个整体的列示.本系列文章的主要内容包括:
-
采用"普华永道网络安全合规差距智能分析系统"
-
近期监管如何"动真格"--最新监管执法事件
-
监管已经准备好各项(全面的)规定与处罚条例
-
我所属企业是否属于网络安全法管辖范围?
-
如果违法,企业哪个部门领导会受到直接处分?
-
网络安全法合规"四步法"
-
企业合规"四步法"的重点与难点--信息保护
-
从指南(非强制)到法律(强制要求):网络信息法隐私保护原则
-
中国的数据本地化存储要求强度已走在世界前列
-
数据本地化存储应重点关注(跨国外资企业合规重点)
-
数据不能出境的情形与要求
-
跨境数据传输的相关定义以及风险评估要求
-
中国数据(个人信息)保护的三级监管体系合规之路如何建立
以上第2点和第3点有关"近期监管如何"动真格"--最新监管执法事件"、“监管已经准备好各项(全面的)规定与处罚条例”将在本篇文章做介绍,其它要点内容将在后续文章逐一介绍及讨论。
本系列文章的内容仅就其议题(以上要点)做简要的展示,如果您期望针对某个具体合规要点或者领域展开深入的交流,请联系我们:
2. 近期监管如何"动真格"--最新监管执法事件
《网络安全法》虽然于6月1日才正式实施,然而,监管及执法机构却在5月中下旬就已经展开了“动真格”的执法行动,针对的监管重点及执法热点是侵犯个人信息、个人隐私信息的事件及领域:
据报道,5月27日,共15家大数据公司(数据出售及交易平台)被调查,其中一家已在新三板上市的数据业务公司(估值数十亿),多名高管被调查,原因是该企业以及该批企业涉嫌向客户出售涉及用户隐私的大量数据,“此次整治行动的规模,超乎所有人的想象”,“最近警方会针对数据乱象出手,开始全面整治”......
监管及执法机构看得非常准,突破点找的也非常对,大数据公司向来是个人信息和重要数据最集中的行业,并且由于在其内部管理来说,普遍缺乏对个人信息的过滤、保护等领域的意识度,以及合规资源投放不足等原因,存在着大量对个人信息的泄露、篡改、毁损等不合规及违法的问题。
此次监管及执法事件的背景,其实可以追溯至半年前:
在今年年初,中央电视台以记者调查方式报道了有关“网上‘黑市’个人信息随意买卖,查身份信息只需提供手机号”等网上贩卖个人信息的情况。然而,在那个时候,虽然像我们一样的网络安全及隐私保护专业团队及公司,已经在开始宣贯、提醒及倡导企业应当开始认真学习《网络安全法》的有关要求,特别是针对"网络信息合规"、"个人信息保护"等领域的要求,但是,由于历史原因,许多的企业并未引起重视,依然认为:
-
"中央电视台或者其它官方媒体也会经常报道类似的侵犯个人隐私信息的新闻,这次也只不过是吹一阵风而已",又或者认为
-
"之前查处的侵犯个人隐私信息都是个人居多,企业并未见到过真正受罚的,这次应该也是这样,如果真的查处企业,那得多少企业受罚呀"
-
“因为以前也有过整治,未必会挖出根本,动真格”
然而,事实证明许多当时有以上想法的企业错了,并且,不知道各位有没有意识到,为什么《网络安全法》6月1日才正式实施,但监管及执法机构却在进行了充分的摸底调查之后,在5月中下旬就展开了正式执法行动?没有《网络安全法》的正式实施,这次的执法行动"有法可依"吗?
答案是肯定的,中国虽然不像其它西方国家或者某些地区,有一部独立的个人信息保护立法(譬如欧盟的GDPR法案),但已经建立了一套比较完善的个人信息保护法律制度,有关规定散见于各部法律、法规及部门规章和规范性文件中,涉及民法、刑法、行政法(包括行业监管法律、部门监管规章)等体系,请参见以下图示:
在《网络安全法》出台前
我国有关个人信息保护的法律及监管规章体系
所以,在经过摸底与调查之后,掌握了对个人信息进行泄露、篡改、毁损等违法行为集中的行业与领域之后,无论《网络安全法》有没有正式实施,均已经可以有足够的法律支撑以及可预见的执法结果(及效果),进行以上所述的执法行动了。选择在《网络安全法》正式实施前的5月中下旬行动,实际上是对《网络安全法》的监管重点、执法热点----个人信息保护----进行一次"预热";也是借对侵害个人信息严重的行业及领域的执法行动,"提醒"其它行业及领域的企业要真正开始关注《网络安全法》的合规难点----网络信息合规(个人信息及重要数据的保护)了。
3.监管已经准备好各项(全面的)规定与处罚条例
《网络安全法》的出台及正式实施,是将我国网络安全以及个人信息(重要数据)保护领域的要求及重视,提升到一个国家层面的高度,无论是在立法领域"有法可依"的角度,还是在"执法必严"、"违法必究"的实操领域,体现在:
-
《网络安全法》专章专篇规定个人信息保护
-
《网络安全法》规定网络运营者违反本法未要求用户提供真实身份信息收集,或者对不提供真实身份信息的用户提供相关服务的最大50万罚款或吊销营业执照(第六十一条)
-
网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的最大违法所得十倍以下罚款,没有违法所得处100万元以下罚款或吊销营业执照(第六十四条)
-
窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处100万元以下罚款(第六十四条)
其实,为了配合《网络安全法》6月1日正式实施的时间表,也是为了进一步完善及细化有关的个人信息保护的监管重点及执法热点,做到更好的"有法可依"的程度,同时也是为企业提供合法合规的具体指引与操作规则,在过去的几个月内,密集出台了众多配套指引、办法、司法解释、国家标准等等:
-
《江苏省消费者权益保护条例》新修订--3月30日
-
《个人信息和重要数据出境安全评估办法(征求意见稿)》--4月11日
-
《证券基金经营机构信息技术管理办法(征求意见稿)》 --5月5日
-
《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》》--5月9日
-
《信息安全技术-数据出境安全评估指南 (草案)》--5月29日
如果对以上配套出台的相关法案进行逐一的分析,不难发现其重点及关注领域均集中在个人信息以及重要数据的保护上,譬如,"两高"5月9日的司法解释中:
-
“……自2017年6月1日起施行……”
-
明确了“公民个人信息”的范围,“是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”
-
分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准,以体现罪责刑相适应(泄露、篡改、毁损五十条个人信息即可入罪)
-
单位犯前三款罪(侵犯、出售或提供、窃取)的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚
-
网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金………依照处罚较重的规定定罪处罚
除此之外,通过与监管的沟通,以及对《网络安全法》的全面分析,特别是将《网络安全法》与西方个人信息保护强势国家的有关法律进行对比分析,我们不难发现《网络安全法》的许多项"第一",特别是针对个人信息保护的许多项"第一";并且,我们认为我国借《网络安全法》的立法及正式实施,已经走在个人信息保护法律领域的前端:
-
正式对个人信息保护原则进行了体系化的归纳确定:提出了信息收集、使用、处理等原则
-
确立公民知情权:企业需要履行告知个人的法定义务
-
信息泄漏可删除权:创新的和欧盟的数据保护法看齐,提出了“可遗忘权”
-
确立错误信息更正权:广泛的意义上赋予了个人信息主体更正错误信息的权利
面对个人信息保护这么强的立法水平、如此多的法律法规要求、这么高难度的法律要求解读,您准备好了吗?下一个执法行业,说不定就是您企业所在的行业了。
我们建议企业立即行动,通过自身或者外部专业咨询机构的力量,全面解读《网络安全法》及配套法规等对个人信息这一监管重点、执法热点、合规难点的要求,展开全面并且系统化的差距分析工作,计划并切实部署合规改善具体工作。
我们将在本系列文章的后续篇章中,分享如何由更加全面及宏观的角度与层面,譬如站在跨行业集团层面或者企业全球合规的角度,去设计及落地全面的个人信息保护框架与体系。
本文始发于微信公众号(赛博星人):由近期监管及执法的动真格来领会《网络安全法》的监管重点、执法热点、合规难点
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论