导读
2020年伊始,整个社会的运转处于停滞状态,幸好有数据作为“石油”,带动整个社会大机器的运转。远程办公,居家学习,智慧防疫,数据将各个产业绑在前进的车轮上,其重要性被充分释放。即使目前疫情在国内已逐渐被控制,但这次引发的数据浪潮依旧强劲。与此同时,人们对于网络安全与数据合规的担忧也在逐渐加重,国家和政府为了规范相关产业,保障国家安全、社会秩序、以及公民的利益,不仅在立法层面上极大推动了相关规定的进程,也在执法层面上呈现日趋严格的态势。在实践中,涉网纠纷与诉讼的数量有明显增长,为满足其需求,中国政法大学等学校也拟将数据法学设立为二级学科,法律在网络安全和数据合规中的地位逐渐凸显。
本文将对2020年网络安全与数据合规的法律趋势进行总结,对等保等具体项目的现状进行分析,希望读者对国内目前形势作以了解,并针对即将成为重点的平台反垄断,关保等措施提前做好企业内的合规工作。
一、网络与数据新规概述
随着《民法典》的颁布,以及《个人信息保护法(草案)》《数据安全法(草案)》的出台,网络安全与数据合规的要求已经提高到了法律层面,众多日常项目也对数据合规提出了新要求。以ipo为例,证监会要求律师对企业的数据合规工作进行答复。同时,众多新规范的确立,也为曾经模糊的界限敲定标准,为我们合规工作提供抓手。
(一)网络法律规范体系初步建立
2020年5月28日,《民法典》经全国人大表决通过,并于2021年1月1日正式实施。其中以专编专章的形式对个人信息进行规定,为我们的信息保护提供民法基础。其中不仅对个人信息的定义等传统重点做了规定,还在保护原则上对《网络保护法》的同意原则做了有益突破,也体现了我国立法层面对于信息保护问题认识的进步。
《个人信息保护法(草案)》和《数据保护法(草案)》虽然并未正式定稿,但以我国目前加强个人信息保护的态度,这两部草案很大可能在2021年通过审议并发布。从草案中我们也可以看出立法中的不少点睛之处。以《个人信息保护法(草案)》为例,在开篇就将“长臂管辖”列入,体现了我国对数据保护工作的重视程度。而且,《个人信息保护法(草案)》不仅借鉴了域外成熟的法律经验,将无需同意的情形增加到了合同必需等情形,也充分结合了我们本土的实际情况,对重大公共卫生事件等情况做出了回应。与此同时,还对自动化收集、跨境信息传输等热点以及长久以来的难点进行规定,这表明我国数据立法的精细化程度不断加深。
除此之外,其他法律也对网络安全与数据合规工作做出回应。例如《未成年人保护法》设置了新篇章对未成年的保护工作提出了新要求,新生效的《密码法》,其配套法规修订制定工作在2020年全面启动。这些法律对网络安全与数据合规助益良多,但本篇主要是对2020年法律动态进行趋势性回顾,力争读者对整体情况进行了解即可,细节问题本文就不过多赘述。
(二)配套规范落地辅助合规实施
法律虽然具有较高的效力,但为了保证其有效性,往往不会规定得过于具体,避免因法律禁锢了行业的发展,也防止法律改动频繁,影响法律权威,在变化更快的网络安全与数据产业这种特点尤其明显。而我们日常的合规工作需要更明确的指引才可以有的放矢,在此过程中各项规范和标准便起到了重要作用。而《个人信息安全规范(2020)》作为去年的核心标准,于2020年3月6日正式发布,并于2020年10月1日正式实施。《个人信息安全规范》,是对个人信息保护全生命周期的详细规定,包括了收集,授权同意,委托处理,数据共享等方面,其中的还包括人脸信息等2020年热点问题的规定,为我们的个人数据保护工作提供了明确的指引。另一个有影响力的标准是《个人信息安全影响评估指南》。其重要性来源于《个人信息保护法(草案)》的规定,若草案相应内容通过,那部分场景下的个人信息安全影响评估义务将具有法定性,这也与GDPR中的DPIA的价值相一致。
二、网络与数据监管观察
(一)平台反垄断监管
与以往的讨论不同,本文将平台的反垄断监管的论述设置在APP专项整治工作之前,是为了提醒各企业以及读者,平台的反垄断监管将在2021年正式开展,这与严格监管贯穿2020整年的APP治理工作有所不同。2020年11月10日,市场监管总局公布了《关于平台经济领域的反垄断指南(征求意见稿)》,其中需要关注的有两点,其一是禁止平台利用其数据和算法进行垄断,其二是禁止平台利用其优势地位对个人信息造成损害,造成“大数据杀熟”等现象。为了保证互联网产业的良性发展,平台的反垄断监管在2021的执法会更加严格。《法制日报》评选的“2020年中国网络与数据十大法治事件”中,就列入了市场监管总局根据举报,依法对阿里巴巴集团控股有限公司实施“二选一”等涉嫌垄断行为开展立案调查的事件。
(二)APP专项治理活动
起源于2019年的APP专项治理活动,于2020年开花结果。仅2020年一年,就有七批次,数百款APP受到通报批评,对部分整改不到位的APP采取下架处理。自315晚会曝光后,对APP的中的SDK等技术监管态度也更加坚决。总体来看,收集信息违规依然是企业被通报批评的重灾区,其比例可以接近违规行为的一半。除此之外,仔细研究各批处罚的企业类型,可以发现每一批处罚的企业类型均有不同侧重,在线教育,金融,影视娱乐,这也是监管部门根据不同企业类型,不同产业方向提出治理标准的信号。
三、具体合规项目的影响
区别于前两点对于整体趋势的分析,出于务实以及企业关心的合规具体工作落地的角度,本文将对实践中经常接触到的等保,以及即将成型的关保和数据跨境工作进行介绍,并对APP安全认证工作的现状进行说明,
(一)等保、关保
等保,虽然国家未将《网络安全等级保护条例》列入立法计划,但根据公安部在2020年12月28日“2020网络安全标准论坛”上的说明,其立法进程处于加速状态。而且随着等保五项标准的生效,等保2.0的时代已经实际来临。需要注意的是,2020年金融、广电、保险等领域相继将等保工作的实施细则公布,等保工作已经成为这些行业的日常合规工作,这也体现了目前国家分行业监管的态度。
关保,相比于等保的声音小了很多,但《关键信息基础设施安全保护条例》已经被列入立法计划,预计在《个人信息保护法》和《数据安全法》颁布后其就会正式进入审议。而且,根据2020年7月22日,公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,关保与等保一致,依然是未来监管的重点。
(二)信息跨境流通规则初现曙光
全球化和信息化,注定了信息跨境传输的需求,但我国的信息跨境流通规则却一直无法确立。《个人信息保护法(草案)》首次对数据跨境流通做出了明确规定,如果明年《个人信息保护法》落地,我国的信息跨境流通就不会存在《网络安全法》规定太宽泛无法落地,《出境指南》《出境办法》规定较细却没有生效的尴尬局面。
此外,商务部于2020年8月14日发布的《全面深化服务贸易创新发展试点总体方案》提出将在28个省市(区域)开展全面深化服务贸易创新发展试点工作,上海,北京等地已率先展开数据跨境流通的试点工作。经过各地试点的实践经验与《个人信息保护法》的理论指导相结合,可以预见我国的数据跨境流通规则将逐渐明朗。
(三)APP安全认证
APP安全认证工作,自2019年3月13日提出后,时隔一年多,2020年9月20日才有了结果,云闪付、苏宁易购、中国移动、百度地图等10家企业的18款App获得了安全认证证书,标志着我国App安全认证工作正式开展。安全认证的周期除去整改时间应不超过90个工作日,本次周期之长,正是为了打磨安全认证的流程。虽然APP认证工作并不是强制要求,但鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的APP,这对于APP的企业宣传、用户获取助益良多。
四、国家对未来网络与数据的要求
总体来讲,国家对网络与数据要求是迫切的,不仅在十九届四中全会和十九届五中全会对国家治理的数据提出要求,也在《法治社会建设实施纲要》中提出全面推进网络空间法治化。具体到企业,国资委对于国有企业也提出了加快数字化转型的要求。随着国家新基建战略的提出,网络安全与数据合规将成为未来企业的合规重点。
2020年是我国数据产业蓬勃发展的一年,同时也是数据立法与监管丰收的一年。面对2021年,希望企业注意以下合规工作:
①不同行业、不同产业根据自身特点提出的合规新要求;
②解决好地方立法与中央立法的关系
③注意国家反垄断工作的实施
④等保和个人信息依旧是监管重点
展望
往期 · 推荐
网络与数据 | RCEP中关于个人信息、网络安全及跨境数据传输等内容规定
资本市场刑事监管新动向——兼评《刑法修正案(十一)》资本市场新规
来源:freebuf.com 2021-02-01 11:16:45 by: 数字新基建产业金融
请登录后发表评论
注册