網(wǎng)絡(luò)數(shù)據(jù)使用需求合規(guī)性審核制度

1、根據(jù)我們的經(jīng)驗(yàn)，建立合規(guī)的網(wǎng)絡(luò)數(shù)據(jù)安全審查制度，不僅能夠有效遏制類(lèi)似事件發(fā)生的幾率，而且還是類(lèi)似事件發(fā)生后企業(yè)免責(zé)的最好抗辯事由，誰(shuí)會(huì)苛責(zé)一只窮盡所能的勤勞小蜜蜂呢更重要的是，這不是一項(xiàng)可有可無(wú)的善舉，而是每一個(gè)企業(yè)必須承擔(dān)的法定義務(wù)。筆者結(jié)合執(zhí)業(yè)經(jīng)驗(yàn)，梳理出網(wǎng)絡(luò)數(shù)據(jù)合規(guī)審查(同時(shí)也可以用于并購(gòu)項(xiàng)目中的網(wǎng)絡(luò)安全法律盡調(diào))部分要點(diǎn)，僅供大家交流、參考。一、企業(yè)應(yīng)當(dāng)制定網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)機(jī)制一、企業(yè)應(yīng)當(dāng)制定網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)機(jī)制是否有相對(duì)健全的

2、網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)機(jī)制，是網(wǎng)絡(luò)數(shù)據(jù)合規(guī)審查的首要關(guān)注點(diǎn)。這不僅是企業(yè)開(kāi)展互聯(lián)網(wǎng)業(yè)務(wù)的前提條件，也是網(wǎng)絡(luò)公共安全事件發(fā)生后，企業(yè)是否應(yīng)當(dāng)承擔(dān)責(zé)任以及承擔(dān)多大責(zé)任的首要考量因素。根據(jù)工信部《電信業(yè)務(wù)經(jīng)營(yíng)許可管理辦法》，企業(yè)申請(qǐng)辦理電信業(yè)務(wù)經(jīng)營(yíng)許可證的，必須向監(jiān)管機(jī)構(gòu)提交符合要求的“信息安全保障措施”申請(qǐng)材料。此外，全國(guó)人大常委會(huì)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》要求，企業(yè)應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全。根據(jù)《電信條例》規(guī)定，企業(yè)應(yīng)當(dāng)

3、按照國(guó)家有關(guān)電信安全的規(guī)定建立健全內(nèi)部安全保障制度，實(shí)行安全保障責(zé)任制。同時(shí)，根據(jù)公安部《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》，企業(yè)應(yīng)當(dāng)建立相應(yīng)的管理制度，落實(shí)互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施，且互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施應(yīng)當(dāng)符合工信部、公安部監(jiān)管要求及相關(guān)行業(yè)標(biāo)準(zhǔn)(例如《增值電信業(yè)務(wù)網(wǎng)絡(luò)信息安全保障基本要求》、《電信和互聯(lián)網(wǎng)服務(wù)用戶(hù)個(gè)人信息保護(hù)分級(jí)指南》等)。根據(jù)公安部《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》規(guī)定，未建立安全保護(hù)管理制度的企業(yè)，根據(jù)情節(jié)不

4、同，由公安機(jī)關(guān)給予責(zé)令限期改正、警告、罰款、停止聯(lián)網(wǎng)、停機(jī)整頓的處罰，必要時(shí)可以建議原發(fā)證、審批機(jī)構(gòu)吊銷(xiāo)經(jīng)營(yíng)許可證或者取消聯(lián)網(wǎng)資格。二、企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)數(shù)據(jù)違法犯罪調(diào)查配合機(jī)制二、企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)數(shù)據(jù)違法犯罪調(diào)查配合機(jī)制根據(jù)我國(guó)法律規(guī)定，配合司法機(jī)關(guān)調(diào)查違法犯罪行為是每一個(gè)公民和企業(yè)的義務(wù)，在網(wǎng)絡(luò)數(shù)據(jù)安全領(lǐng)域也不例外。企業(yè)不僅應(yīng)當(dāng)為司法機(jī)關(guān)提供相關(guān)的數(shù)據(jù)接口與解密支持，還應(yīng)當(dāng)提供個(gè)案調(diào)查配合義務(wù)。根據(jù)《反恐怖主義法》規(guī)定，企業(yè)應(yīng)當(dāng)為公安

5、機(jī)關(guān)、國(guó)家安全機(jī)關(guān)進(jìn)行防范、調(diào)查恐怖活動(dòng)提供網(wǎng)絡(luò)數(shù)據(jù)的技術(shù)接口和解密技術(shù)支持。根據(jù)公安部《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》，企業(yè)網(wǎng)絡(luò)數(shù)據(jù)應(yīng)當(dāng)具有符合公共安全行業(yè)技術(shù)標(biāo)準(zhǔn)的聯(lián)網(wǎng)接口。此外，根據(jù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》，企業(yè)應(yīng)當(dāng)如實(shí)向公安機(jī)關(guān)提供有關(guān)安全保護(hù)的信息、資料及數(shù)據(jù)文件，協(xié)助公安機(jī)關(guān)查處通過(guò)國(guó)際聯(lián)網(wǎng)的計(jì)算機(jī)信息網(wǎng)絡(luò)的違法犯罪行為。三、企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)數(shù)據(jù)過(guò)濾與審核機(jī)制三、企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)數(shù)據(jù)過(guò)濾與審核機(jī)制企業(yè)在互聯(lián)網(wǎng)

6、領(lǐng)域的合規(guī)風(fēng)險(xiǎn)，大部分來(lái)至于對(duì)網(wǎng)絡(luò)平臺(tái)數(shù)據(jù)的審核不力或監(jiān)管疏漏，輕則被通報(bào)批評(píng)或罰款，重則被吊銷(xiāo)經(jīng)營(yíng)資質(zhì)?！毒W(wǎng)絡(luò)安全法(草案)》、《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》、《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定(修訂征求意見(jiàn)稿)》等均明確規(guī)定，企業(yè)有義務(wù)此外，《征信業(yè)管理?xiàng)l例》、《人口健康信息管理辦法(試行)》、《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法(征求意見(jiàn)稿)》、《人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好

7、個(gè)人金融信息保護(hù)工作的通知》等均明確禁止向境外轉(zhuǎn)移涉及用戶(hù)個(gè)人敏感信息的網(wǎng)絡(luò)數(shù)據(jù)。七、企業(yè)必須依法留存用戶(hù)網(wǎng)絡(luò)數(shù)據(jù)七、企業(yè)必須依法留存用戶(hù)網(wǎng)絡(luò)數(shù)據(jù)立法者必須在個(gè)人利益保護(hù)與維持合理企業(yè)成本之間找到一個(gè)平衡點(diǎn)，一個(gè)典型的例子就是在用戶(hù)網(wǎng)絡(luò)數(shù)據(jù)留存制度設(shè)計(jì)上。一方面，立法者希望企業(yè)盡可能久的留存用戶(hù)信息，以方便網(wǎng)絡(luò)監(jiān)管及未來(lái)可能的爭(zhēng)議解決另一方面，又擔(dān)心企業(yè)長(zhǎng)期留存并濫用用戶(hù)信息，進(jìn)而損害個(gè)人利益。一個(gè)比較常見(jiàn)的留存期限是不少于60天，例如

8、，根據(jù)《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》、《網(wǎng)絡(luò)出版服務(wù)管理規(guī)定》等均規(guī)定用戶(hù)網(wǎng)絡(luò)數(shù)據(jù)應(yīng)當(dāng)至少留存60天。但也有例外，例如《網(wǎng)絡(luò)游戲管理暫行辦法》要求不得少于180天，《網(wǎng)絡(luò)交易管理辦法》要求不得少于兩年。而相反，立法者限定了一些特定領(lǐng)域的網(wǎng)絡(luò)數(shù)據(jù)留存最長(zhǎng)期限。例如，《快遞條例(征求意見(jiàn)稿)》明確規(guī)定，企業(yè)應(yīng)當(dāng)定期銷(xiāo)毀快件運(yùn)單，確保用戶(hù)信息安全《征信業(yè)管理?xiàng)l例》更是明確規(guī)定，征信機(jī)

9、構(gòu)對(duì)個(gè)人不良信息的保存期限為5年，超過(guò)5年的應(yīng)當(dāng)予以刪除。八、企業(yè)收集和使用用戶(hù)網(wǎng)絡(luò)數(shù)據(jù)須經(jīng)許可八、企業(yè)收集和使用用戶(hù)網(wǎng)絡(luò)數(shù)據(jù)須經(jīng)許可立法者已經(jīng)接受了這一事實(shí)，應(yīng)當(dāng)限制企業(yè)日益膨脹的數(shù)據(jù)獲取欲望。而目前最好的限制措施莫過(guò)于收集和使用用戶(hù)網(wǎng)絡(luò)數(shù)據(jù)的“披露許可”原則，即披露收集和使用的目的、方式、范圍等，并需要經(jīng)過(guò)用戶(hù)的同意(但并沒(méi)有明確是消極同意還是積極同意)。根據(jù)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》等均明

10、確規(guī)定，企業(yè)在在經(jīng)營(yíng)活動(dòng)中收集、使用用戶(hù)網(wǎng)絡(luò)數(shù)據(jù)信息的，應(yīng)當(dāng)明示并公開(kāi)收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。此外，《網(wǎng)絡(luò)交易管理辦法》、《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》、《互聯(lián)網(wǎng)廣告監(jiān)督管理暫行辦法(征求意見(jiàn)稿)》等明確規(guī)定，企業(yè)未經(jīng)消費(fèi)者同意或者請(qǐng)求，或者消費(fèi)者明確表示拒絕的，不得向其發(fā)送商業(yè)性電子信息。綜上，是筆者根據(jù)長(zhǎng)期互聯(lián)網(wǎng)法律服務(wù)經(jīng)驗(yàn)，整理的企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)審查(同時(shí)也可以用于并購(gòu)項(xiàng)目中的網(wǎng)絡(luò)安全法律盡調(diào))的主

11、要關(guān)注點(diǎn)，但這些絕非全部。關(guān)于網(wǎng)絡(luò)數(shù)據(jù)所有權(quán)及其定性，數(shù)據(jù)清洗與交易規(guī)則，等等這些問(wèn)題，目前在立法與執(zhí)法實(shí)踐中還存在一些爭(zhēng)議，還有一些問(wèn)題在不同的部分法規(guī)中還存在較大的沖突，此外，中國(guó)互聯(lián)網(wǎng)立法相對(duì)粗糙，且網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)依據(jù)較為分散(本文涉及法律、法規(guī)及規(guī)范性文件30余部)，這就給企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)審查帶來(lái)了極大的挑戰(zhàn)。但，如同數(shù)據(jù)網(wǎng)絡(luò)不可能絕對(duì)安全一樣，我們的目標(biāo)不是面面俱到，但求有所作為(至少不能違反哪些法律、法規(guī)的強(qiáng)制性規(guī)定)