網(wǎng)絡(luò)數(shù)據(jù)使用需求合規(guī)性審核制度

1、根據(jù)我們的經(jīng)驗，建立合規(guī)的網(wǎng)絡(luò)數(shù)據(jù)安全審查制度，不僅能夠有效遏制類似事件發(fā)生的幾率，而且還是類似事件發(fā)生后企業(yè)免責(zé)的最好抗辯事由，誰會苛責(zé)一只窮盡所能的勤勞小蜜蜂呢更重要的是，這不是一項可有可無的善舉，而是每一個企業(yè)必須承擔(dān)的法定義務(wù)。筆者結(jié)合執(zhí)業(yè)經(jīng)驗，梳理出網(wǎng)絡(luò)數(shù)據(jù)合規(guī)審查(同時也可以用于并購項目中的網(wǎng)絡(luò)安全法律盡調(diào))部分要點，僅供大家交流、參考。一、企業(yè)應(yīng)當(dāng)制定網(wǎng)絡(luò)數(shù)據(jù)安全保護機制一、企業(yè)應(yīng)當(dāng)制定網(wǎng)絡(luò)數(shù)據(jù)安全保護機制是否有相對健全的

2、網(wǎng)絡(luò)數(shù)據(jù)安全保護機制，是網(wǎng)絡(luò)數(shù)據(jù)合規(guī)審查的首要關(guān)注點。這不僅是企業(yè)開展互聯(lián)網(wǎng)業(yè)務(wù)的前提條件，也是網(wǎng)絡(luò)公共安全事件發(fā)生后，企業(yè)是否應(yīng)當(dāng)承擔(dān)責(zé)任以及承擔(dān)多大責(zé)任的首要考量因素。根據(jù)工信部《電信業(yè)務(wù)經(jīng)營許可管理辦法》，企業(yè)申請辦理電信業(yè)務(wù)經(jīng)營許可證的，必須向監(jiān)管機構(gòu)提交符合要求的“信息安全保障措施”申請材料。此外，全國人大常委會《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》要求，企業(yè)應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全。根據(jù)《電信條例》規(guī)定，企業(yè)應(yīng)當(dāng)

3、按照國家有關(guān)電信安全的規(guī)定建立健全內(nèi)部安全保障制度，實行安全保障責(zé)任制。同時，根據(jù)公安部《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》，企業(yè)應(yīng)當(dāng)建立相應(yīng)的管理制度，落實互聯(lián)網(wǎng)安全保護技術(shù)措施，且互聯(lián)網(wǎng)安全保護技術(shù)措施應(yīng)當(dāng)符合工信部、公安部監(jiān)管要求及相關(guān)行業(yè)標(biāo)準(zhǔn)(例如《增值電信業(yè)務(wù)網(wǎng)絡(luò)信息安全保障基本要求》、《電信和互聯(lián)網(wǎng)服務(wù)用戶個人信息保護分級指南》等)。根據(jù)公安部《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》規(guī)定，未建立安全保護管理制度的企業(yè)，根據(jù)情節(jié)不

4、同，由公安機關(guān)給予責(zé)令限期改正、警告、罰款、停止聯(lián)網(wǎng)、停機整頓的處罰，必要時可以建議原發(fā)證、審批機構(gòu)吊銷經(jīng)營許可證或者取消聯(lián)網(wǎng)資格。二、企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)數(shù)據(jù)違法犯罪調(diào)查配合機制二、企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)數(shù)據(jù)違法犯罪調(diào)查配合機制根據(jù)我國法律規(guī)定，配合司法機關(guān)調(diào)查違法犯罪行為是每一個公民和企業(yè)的義務(wù)，在網(wǎng)絡(luò)數(shù)據(jù)安全領(lǐng)域也不例外。企業(yè)不僅應(yīng)當(dāng)為司法機關(guān)提供相關(guān)的數(shù)據(jù)接口與解密支持，還應(yīng)當(dāng)提供個案調(diào)查配合義務(wù)。根據(jù)《反恐怖主義法》規(guī)定，企業(yè)應(yīng)當(dāng)為公安

5、機關(guān)、國家安全機關(guān)進行防范、調(diào)查恐怖活動提供網(wǎng)絡(luò)數(shù)據(jù)的技術(shù)接口和解密技術(shù)支持。根據(jù)公安部《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》，企業(yè)網(wǎng)絡(luò)數(shù)據(jù)應(yīng)當(dāng)具有符合公共安全行業(yè)技術(shù)標(biāo)準(zhǔn)的聯(lián)網(wǎng)接口。此外，根據(jù)《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》，企業(yè)應(yīng)當(dāng)如實向公安機關(guān)提供有關(guān)安全保護的信息、資料及數(shù)據(jù)文件，協(xié)助公安機關(guān)查處通過國際聯(lián)網(wǎng)的計算機信息網(wǎng)絡(luò)的違法犯罪行為。三、企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)數(shù)據(jù)過濾與審核機制三、企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)數(shù)據(jù)過濾與審核機制企業(yè)在互聯(lián)網(wǎng)

6、領(lǐng)域的合規(guī)風(fēng)險，大部分來至于對網(wǎng)絡(luò)平臺數(shù)據(jù)的審核不力或監(jiān)管疏漏，輕則被通報批評或罰款，重則被吊銷經(jīng)營資質(zhì)?！毒W(wǎng)絡(luò)安全法(草案)》、《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》、《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定(修訂征求意見稿)》等均明確規(guī)定，企業(yè)有義務(wù)此外，《征信業(yè)管理條例》、《人口健康信息管理辦法(試行)》、《網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)活動管理暫行辦法(征求意見稿)》、《人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好

7、個人金融信息保護工作的通知》等均明確禁止向境外轉(zhuǎn)移涉及用戶個人敏感信息的網(wǎng)絡(luò)數(shù)據(jù)。七、企業(yè)必須依法留存用戶網(wǎng)絡(luò)數(shù)據(jù)七、企業(yè)必須依法留存用戶網(wǎng)絡(luò)數(shù)據(jù)立法者必須在個人利益保護與維持合理企業(yè)成本之間找到一個平衡點，一個典型的例子就是在用戶網(wǎng)絡(luò)數(shù)據(jù)留存制度設(shè)計上。一方面，立法者希望企業(yè)盡可能久的留存用戶信息，以方便網(wǎng)絡(luò)監(jiān)管及未來可能的爭議解決另一方面，又擔(dān)心企業(yè)長期留存并濫用用戶信息，進而損害個人利益。一個比較常見的留存期限是不少于60天，例如

8、，根據(jù)《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》、《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》等均規(guī)定用戶網(wǎng)絡(luò)數(shù)據(jù)應(yīng)當(dāng)至少留存60天。但也有例外，例如《網(wǎng)絡(luò)游戲管理暫行辦法》要求不得少于180天，《網(wǎng)絡(luò)交易管理辦法》要求不得少于兩年。而相反，立法者限定了一些特定領(lǐng)域的網(wǎng)絡(luò)數(shù)據(jù)留存最長期限。例如，《快遞條例(征求意見稿)》明確規(guī)定，企業(yè)應(yīng)當(dāng)定期銷毀快件運單，確保用戶信息安全《征信業(yè)管理條例》更是明確規(guī)定，征信機

9、構(gòu)對個人不良信息的保存期限為5年，超過5年的應(yīng)當(dāng)予以刪除。八、企業(yè)收集和使用用戶網(wǎng)絡(luò)數(shù)據(jù)須經(jīng)許可八、企業(yè)收集和使用用戶網(wǎng)絡(luò)數(shù)據(jù)須經(jīng)許可立法者已經(jīng)接受了這一事實，應(yīng)當(dāng)限制企業(yè)日益膨脹的數(shù)據(jù)獲取欲望。而目前最好的限制措施莫過于收集和使用用戶網(wǎng)絡(luò)數(shù)據(jù)的“披露許可”原則，即披露收集和使用的目的、方式、范圍等，并需要經(jīng)過用戶的同意(但并沒有明確是消極同意還是積極同意)。根據(jù)《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等均明

10、確規(guī)定，企業(yè)在在經(jīng)營活動中收集、使用用戶網(wǎng)絡(luò)數(shù)據(jù)信息的，應(yīng)當(dāng)明示并公開收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。此外，《網(wǎng)絡(luò)交易管理辦法》、《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》、《互聯(lián)網(wǎng)廣告監(jiān)督管理暫行辦法(征求意見稿)》等明確規(guī)定，企業(yè)未經(jīng)消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發(fā)送商業(yè)性電子信息。綜上，是筆者根據(jù)長期互聯(lián)網(wǎng)法律服務(wù)經(jīng)驗，整理的企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)審查(同時也可以用于并購項目中的網(wǎng)絡(luò)安全法律盡調(diào))的主

11、要關(guān)注點，但這些絕非全部。關(guān)于網(wǎng)絡(luò)數(shù)據(jù)所有權(quán)及其定性，數(shù)據(jù)清洗與交易規(guī)則，等等這些問題，目前在立法與執(zhí)法實踐中還存在一些爭議，還有一些問題在不同的部分法規(guī)中還存在較大的沖突，此外，中國互聯(lián)網(wǎng)立法相對粗糙，且網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)依據(jù)較為分散(本文涉及法律、法規(guī)及規(guī)范性文件30余部)，這就給企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)審查帶來了極大的挑戰(zhàn)。但，如同數(shù)據(jù)網(wǎng)絡(luò)不可能絕對安全一樣，我們的目標(biāo)不是面面俱到，但求有所作為(至少不能違反哪些法律、法規(guī)的強制性規(guī)定)