导读
从2021年07月04日国家互联网信息办公室关于“滴滴出行”APP下架的通告中的关键内容以及网上各个媒体的“热点内容”的综合情况,大众的思想迈向了成熟和理性,我们开始重视法治思维,开始更深层次去理解事件以及世界,这就是进步,更是我们走向全球化顶端最有力的武器!
01 关于网信办通告背后原因
根据国家互联网信息办公室发布的通告中的内容是存在严重的违规收集使用个人信息问题,采取的依据是《网络安全审查办法》,个人查看了很多媒体的热点和评论内容,比较认同以下 的说法:
《网络安全审查办法》是多个部委联合出台的部门规章,法律依据是《国家安全法》和《网络安全法》,那它所管的事情并不是大家热乎讨论的如滴滴出行把关键数据送到国外这样恐怖的叛国行为,更多的其实就是一个技术问题!
这个技术问题其实就是《网络安全审查办法》中的第二条“关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查”,重点在“关键信息基础设施运营者”和“采购网络产品和服务”!
这说明网信办关心的是:滴滴出行所选择的设备和服务,比如说滴滴把所有的数据都存在谷歌云或者亚马逊云上,那肯定会把国家互联网信息办公室吓死,但是滴滴也不可能选择这样做,但是还是有风险,比如采购的服务器是安全上不可靠的供应商设备。
问题关键在于滴滴上市了,需要请四大会计事务所审计,承担信息披露的义务,自然是要披露主要供应商、主要客户等信息,敌对势力是有可能获得详细的供应商信息,从而各种办法窃取滴滴所存储的海量用户数据!
因此网信办启动审查也是顺理成章,得保障滴滴所采购的设备和服务信息披露后仍然足够安全,不会给境外敌对势力提供侵入的线索,审查会有两种结果:一是滴滴所采购的设备和服务都符合网络安全的要求,滴滴不会面临任何处罚,滴滴恢复注册新用户,股价大涨;二是不符合网络安全的要求,需要停止使用这些设备!
接下来需要观察的可能更多是会不会还有一系列组合拳的开始,如果随后市场监督管理局(涉及垄断)、交通部(涉及人和车的牌照问题)、银保监会(涉及给司机的贷款)、人民银行(涉及支付结算)、劳动人事社保部门(涉及网约车司机的社保和劳动合同)以及中国证监会(要求其他拟上市企业核查股东是否有滴滴)等,那就将是另外一个层面的事情;
02 企业数据合规常见类型
2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过了《数据安全法》,该法将于2021年9月1日开始实施。在该法实施后,将和《民法典》、《网络安全法》以及《个人信息保护法》(制定中)共同构筑中国个个人信息与数据保护的法律规范体系。
在国家政策不断明晰,行业监管持续加强的背景下,数据合规的时代已经全面到来,而对于企业而言,了解数据合规的风险类型,有利于在企业活动中尽可能地规避风险或者减少风险,切实做到数据合规。根据相关的司法实践经验,数据合规的风险主要有以下几类:
1)侵犯个人信息许多软件在使用之前,需要用户请求各种授权,例如位置信息、通讯录、摄像头、录音权限等。在这种索要授权的过程中,即可能产生侵犯个人信息类的数据合规风险。
2、侵犯商业秘密商业秘密是企业的重要数据,侵犯企业的数据,可能会侵犯企业的商业秘密。
3、不正当竞争侵犯他人数据的行为还可能构成不正当竞争,给企业带来涉诉风险。
4、虚假宣传、虚假广告此类风险最常见的表现形式,即通过刷单为店铺增加交易量、提高信誉,即人们常说的“刷单炒作”行为。
03 企业数据合规的五大义务
1、建立全流程数据安全管理制度,明确数据安全负责人和管理机构的义务根据《数据安全法》第二十七条的规定:“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。”
企业应当建立相关的全流程数据安全管理制度,并通过教育培训、技术措施等保障数据安全。同时利用网络开展出具处理活动的,应当在网络安全等级保护的基础上履行数据安全保护义务。
2、处理重要数据的企业开展风险评估并报送风险评估报告的义务根据《数据安全法》的相关规定,企业在处理相关重要数据时,应当按照规定对数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。该风险评估报告应当包括所处理的重要数据的种类、数量,开展数据处理活动的情况等等内容。
3、数据交易中介服务服务机构的法律义务根据《数据安全法》的相关规定,企业在从事相关数据交易中介服务时,应当按照要求提数据相关来源,审核双方身份和留存相关交易记录。如果企业违反上述有关规定的,企业可能要承担责令改正、没收违法所得等行政处罚。
4、依法取得行政许可的义务根据《数据安全法》的相关规定,如果法律行政法规规定了提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。如果相关服务提供者没有取得行政许可,严格意义上是没有从事该种服务的权限的。
5、配合数据调取与拒绝配合的责任根据《数据安全法》的相关规定,相关国家安全机关和公安机关为了依法维护国家安全或者侦查需要在经过严格的批准手续之后对企业进行数据调取时,相关的企业应当予以配合。也就是说,当满足以下三个条件时候,企业有义务为公安机关和国家安全机关提供所存储的数据:(1)调取数据的主体是公安机和国家安全机关(2)公安机关和国家安全机关调取数据的目的是维护国家安全或者是侦查犯罪(3)公安机关和国家安全机关必须经过严格的批准手续,向被调取的企业出具相关证明。
04 企业数据合规的法律建议
在互联网时代,即使是传统企业也面临着数据处理的活动,面对尚在完善变化和变动中的数据法律体系和规范制度,企业需要不断研究规则、关注变化,才能充分挖掘和利用数据价值以助力企业经营。本文在《数据安全法》的基础三,通过“中国裁判文书网”、“北大法宝”和“把手案例”等法律检索网站,总结出以下法律建议供企业进行参考。1、建议企业按照《数据安全法》及其他相关法律法规、监管规则要求,建立数据安全生命周期合规管理制度与流程,即针对数据的收集、存储、使用、加工、传输、提供、公开等,构建相应的制度、流程、操作指引。
2、建议企业按照国家、所处地区、主管部门、行业所指定的重要数据具体具体目录,并根据目录在内部建立或系细化相对应的数据保护目录和制度。
3、建议企业按照《数据安全法》即相关规则的规定,建立常态化的数据风险评估制度或是聘请专业的评估机构协助进行数据风险评估工作。
4、建议企业根据《数据安全法》和相关管制制度的规定,将数据出口管制的相关预警、处置流程放入本企业的出口管制评估制度中;而对于其他业务场景不涉及出口管制的企业,则可以将数据出口管制在数据安全管理制度中予以体现。