網(wǎng)絡(luò)數(shù)據(jù)使用需求合規(guī)性審核制度.doc

根據(jù)我們的經(jīng)驗，建立合規(guī)的網(wǎng)絡(luò)數(shù)據(jù)安全審查制度，不僅能夠有效遏制類似事件發(fā)生的幾率，而且還是類似事件發(fā)生后企業(yè)免責(zé)的最好抗辯事由，誰會苛責(zé)一只窮盡所能的勤勞小蜜蜂呢?更重要的是，這不是一項可有可無的善舉，而是每一個企業(yè)必須承擔(dān)的法定義務(wù)。筆者結(jié)合執(zhí)業(yè)經(jīng)驗，梳理出網(wǎng)絡(luò)數(shù)據(jù)合規(guī)審查(同時也可以用于并購項目中的網(wǎng)絡(luò)安全法律盡調(diào))部分要點，僅供大家交流、參考。一、企業(yè)應(yīng)當(dāng)制定網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)機(jī)制是否有相對健全的網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)機(jī)制，是網(wǎng)絡(luò)數(shù)據(jù)合規(guī)審查的首要關(guān)注點。這不僅是企業(yè)開展互聯(lián)網(wǎng)業(yè)務(wù)的前提條件，也是網(wǎng)絡(luò)公共安全事件發(fā)生后，企業(yè)是否應(yīng)當(dāng)承擔(dān)責(zé)任以及承擔(dān)多大責(zé)任的首要考量因素。根據(jù)工信部電信業(yè)務(wù)經(jīng)營許可管理辦法，企業(yè)申請辦理電信業(yè)務(wù)經(jīng)營許可證的，必須向監(jiān)管機(jī)構(gòu)提交符合要求的“信息安全保障措施”申請材料。此外，全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定要求，企業(yè)應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全。根據(jù)電信條例規(guī)定，企業(yè)應(yīng)當(dāng)按照國家有關(guān)電信安全的規(guī)定建立健全內(nèi)部安全保障制度，實行安全保障責(zé)任制。同時，根據(jù)公安部互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定，企業(yè)應(yīng)當(dāng)建立相應(yīng)的管理制度，落實互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施，且互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施應(yīng)當(dāng)符合工信部、公安部監(jiān)管要求及相關(guān)行業(yè)標(biāo)準(zhǔn)(例如增值電信業(yè)務(wù)網(wǎng)絡(luò)信息安全保障基本要求、電信和互聯(lián)網(wǎng)服務(wù)用戶個人信息保護(hù)分級指南等)。根據(jù)公安部計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法規(guī)定，未建立安全保護(hù)管理制度的企業(yè)，根據(jù)情節(jié)不同，由公安機(jī)關(guān)給予責(zé)令限期改正、警告、罰款、停止聯(lián)網(wǎng)、停機(jī)整頓的處罰，必要時可以建議原發(fā)證、審批機(jī)構(gòu)吊銷經(jīng)營許可證或者取消聯(lián)網(wǎng)資格。二、企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)數(shù)據(jù)違法犯罪調(diào)查配合機(jī)制根據(jù)我國法律規(guī)定，配合司法機(jī)關(guān)調(diào)查違法犯罪行為是每一個公民和企業(yè)的義務(wù)，在網(wǎng)絡(luò)數(shù)據(jù)安全領(lǐng)域也不例外。企業(yè)不僅應(yīng)當(dāng)為司法機(jī)關(guān)提供相關(guān)的數(shù)據(jù)接口與解密支持，還應(yīng)當(dāng)提供個案調(diào)查配合義務(wù)。根據(jù)反恐怖主義法規(guī)定，企業(yè)應(yīng)當(dāng)為公安機(jī)關(guān)、國家安全機(jī)關(guān)進(jìn)行防范、調(diào)查恐怖活動提供網(wǎng)絡(luò)數(shù)據(jù)的技術(shù)接口和解密技術(shù)支持。根據(jù)公安部互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定，企業(yè)網(wǎng)絡(luò)數(shù)據(jù)應(yīng)當(dāng)具有符合公共安全行業(yè)技術(shù)標(biāo)準(zhǔn)的聯(lián)網(wǎng)接口。此外，根據(jù)計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法，企業(yè)應(yīng)當(dāng)如實向公安機(jī)關(guān)提供有關(guān)安全保護(hù)的信息、資料及數(shù)據(jù)文件，協(xié)助公安機(jī)關(guān)查處通過國際聯(lián)網(wǎng)的計算機(jī)信息網(wǎng)絡(luò)的違法犯罪行為。三、企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)數(shù)據(jù)過濾與審核機(jī)制企業(yè)在互聯(lián)網(wǎng)領(lǐng)域的合規(guī)風(fēng)險，大部分來至于對網(wǎng)絡(luò)平臺數(shù)據(jù)的審核不力或監(jiān)管疏漏，輕則被通報批評或罰款，重則被吊銷經(jīng)營資質(zhì)。網(wǎng)絡(luò)安全法(草案)、網(wǎng)絡(luò)出版服務(wù)管理規(guī)定、互聯(lián)網(wǎng)信息服務(wù)管理辦法、互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定、互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定(修訂征求意見稿)等均明確規(guī)定，企業(yè)有義務(wù)主動發(fā)現(xiàn)、停止傳輸、報告公共網(wǎng)絡(luò)數(shù)據(jù)中的違法信息，應(yīng)當(dāng)建立網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容審核與過濾機(jī)制，加強對其用戶發(fā)布的信息的管理與審核工作。根據(jù)關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定，企業(yè)違反過濾與審核規(guī)定的，根據(jù)情節(jié)給予警告、罰款、吊銷許可證或者取消備案、關(guān)閉網(wǎng)站、禁止有關(guān)責(zé)任人員從事網(wǎng)絡(luò)服務(wù)業(yè)務(wù)等處罰。四、企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)數(shù)據(jù)分級管理與保護(hù)制度對網(wǎng)絡(luò)數(shù)據(jù)分級，有利于平衡用戶與企業(yè)利益，方便企業(yè)采取針對性的安全保護(hù)措施，提高企業(yè)合規(guī)管理效率。電信和互聯(lián)網(wǎng)服務(wù)用戶個人信息保護(hù)定義及分類以及電信和互聯(lián)網(wǎng)服務(wù)用戶個人信息保護(hù)分級指南根據(jù)網(wǎng)絡(luò)數(shù)據(jù)的敏感程度不同，將網(wǎng)絡(luò)數(shù)據(jù)分類、分級保護(hù)，并依據(jù)信息安全等級保護(hù)管理辦法采取相應(yīng)的安全保護(hù)措施。寄遞服務(wù)用戶個人信息安全管理規(guī)定、人口健康信息管理辦法(試行)、關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知等也明確規(guī)定，個人信息實行分級管理、分類利用原則。五、企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)用戶實名驗證機(jī)制用戶的注冊與使用行為是企業(yè)獲取網(wǎng)絡(luò)數(shù)據(jù)的主要來源之一，但依法獲取該等信息的前提條件是企業(yè)必須建立實名驗證機(jī)制。根據(jù)關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定、網(wǎng)絡(luò)安全法(草案)、互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定、網(wǎng)絡(luò)交易管理辦法等之規(guī)定，企業(yè)為用戶提供入網(wǎng)、信息發(fā)布等服務(wù)時，應(yīng)當(dāng)要求用戶提供真實身份信息并核驗。根據(jù)反恐怖主義法之規(guī)定，電信、互聯(lián)網(wǎng)、金融業(yè)務(wù)經(jīng)營者、服務(wù)提供者未按規(guī)定對客戶身份進(jìn)行查驗，或者對身份不明、拒絕身份查驗的客戶提供服務(wù)的，根據(jù)情節(jié)不同，給予責(zé)令改正，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處以五十萬元以下罰款。六、企業(yè)應(yīng)當(dāng)在境內(nèi)設(shè)置服務(wù)器并限制數(shù)據(jù)跨境轉(zhuǎn)移互聯(lián)網(wǎng)的無國界性，以及分散網(wǎng)絡(luò)流量與容災(zāi)備份的要求，決定了企業(yè)在全球范圍內(nèi)布局服務(wù)器的技術(shù)需求。但是，限制特定行業(yè)在境外設(shè)置服務(wù)器及敏感網(wǎng)絡(luò)數(shù)據(jù)跨境轉(zhuǎn)移，這也是國際互聯(lián)網(wǎng)監(jiān)管實踐的通行做法。我國網(wǎng)絡(luò)安全法(草案)明確規(guī)定，未進(jìn)行安全評估的關(guān)鍵信息基礎(chǔ)設(shè)施的運營者，不得在境外存儲，或者向境外轉(zhuǎn)移在運營中收集和產(chǎn)生的公民個人信息等重要數(shù)據(jù)。此外，工信部(原信產(chǎn)部)在關(guān)于加強外商投資經(jīng)營增值電信業(yè)務(wù)管理的通知中明確規(guī)定，服務(wù)器等設(shè)施應(yīng)當(dāng)在經(jīng)營許可證業(yè)務(wù)覆蓋范圍內(nèi)設(shè)置。在具體行業(yè)領(lǐng)域，網(wǎng)絡(luò)出版服務(wù)管理規(guī)定、地圖管理條例、人口健康信息管理辦法(試行)、非銀行支付機(jī)構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法、互聯(lián)網(wǎng)域名管理辦法(征求意見稿)等，均明確規(guī)定企業(yè)的服務(wù)器和存儲設(shè)備必須在中華人民共和國境內(nèi)設(shè)置。此外，征信業(yè)管理條例、人口健康信息管理辦法(試行)、網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動管理暫行辦法(征求意見稿)、人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知等均明確禁止向境外轉(zhuǎn)移涉及用戶個人敏感信息的網(wǎng)絡(luò)數(shù)據(jù)。七、企業(yè)必須依法留存用戶網(wǎng)絡(luò)數(shù)據(jù)立法者必須在個人利益保護(hù)與維持合理企業(yè)成本之間找到一個平衡點，一個典型的例子就是在用戶網(wǎng)絡(luò)數(shù)據(jù)留存制度設(shè)計上。一方面，立法者希望企業(yè)盡可能久的留存用戶信息，以方便網(wǎng)絡(luò)監(jiān)管及未來可能的爭議解決;另一方面，又擔(dān)心企業(yè)長期留存并濫用用戶信息，進(jìn)而損害個人利益。一個比較常見的留存期限是不少于60天，例如，根據(jù)互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定、互聯(lián)網(wǎng)信息服務(wù)管理辦法、互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法、網(wǎng)絡(luò)出版服務(wù)管理規(guī)定等均規(guī)定用戶網(wǎng)絡(luò)數(shù)據(jù)應(yīng)當(dāng)至少留存60天。但也有例外，例如網(wǎng)絡(luò)游戲管理暫行辦法要求不得少于180天，網(wǎng)絡(luò)交易管理辦法要求不得少于兩年。而相反，立法者限定了一些特定領(lǐng)域的網(wǎng)絡(luò)數(shù)據(jù)留存最長期限。例如，快遞條例(征求意見稿)明確規(guī)定，企業(yè)應(yīng)當(dāng)定期銷毀快件運單，確保用戶信息安全;征信業(yè)管理條例更是明確規(guī)定，征信機(jī)構(gòu)對個人不良信息的保存期限為5年，超過5年的應(yīng)當(dāng)予以刪除。八、企業(yè)收集和使用用戶網(wǎng)絡(luò)數(shù)據(jù)須經(jīng)許可立法者已經(jīng)接受了這一事實，應(yīng)當(dāng)限制企業(yè)日益膨脹的數(shù)據(jù)獲取欲望。而目前最好的限制措施莫過于收集和使用用戶網(wǎng)絡(luò)數(shù)據(jù)的“披露+許可”原則，即披露收集和使用的目的、方式、范圍等，并需要經(jīng)過用戶的同意(但并沒有明確是消極同意還是積極同意)。根據(jù)關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定、電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定等均明確規(guī)定，企業(yè)在在經(jīng)營活動中收集、使用用戶網(wǎng)絡(luò)數(shù)據(jù)信息的，應(yīng)當(dāng)明示并公開收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。此外，網(wǎng)絡(luò)交易管理辦法、互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法、互聯(lián)網(wǎng)廣告監(jiān)督管理暫行辦法(征求意見稿)等明確規(guī)定，企業(yè)未經(jīng)消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發(fā)送商業(yè)性電子信息。綜上，是筆者根據(jù)長期互聯(lián)網(wǎng)法律服務(wù)經(jīng)驗，整理的企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)審查(同時也可以用于并購項目中的網(wǎng)絡(luò)安全法律盡調(diào))的主要關(guān)注點，但這些絕非全部。關(guān)于網(wǎng)絡(luò)數(shù)據(jù)所有權(quán)及其定性，數(shù)據(jù)清洗與交易規(guī)則，等等這些問題，目前在立法與執(zhí)法實踐中還存在一些爭議，還有一些問題在不同的部分法規(guī)中還存在較大的沖突，此外，中國互聯(lián)網(wǎng)立法相對粗糙