格联网络安全与数据合规年度回顾

不知不觉中,2022年即将过去,在网络安全与数据合规领域,这一年可谓是具备突破性发展的一年。格联的数据合规团队也伴随着客户一起经历成长,收获颇丰。格联律师事务所数据合规团队特撰此文,回顾这一年数据合规领域的重点立法、执法动态、热点事项以及格联在数据合规领域所做的努力,并为新一年的数据合规工作提出我们的思考和建议。

一、 重点立法

1、 《网络安全审查办法》 2022年1月4日发布,2022年2月15日起施行。

格联简评:对于关键信息基础设施运营者采购网络产品和服务以及网络平台运营者开展数据处理活动,影响或者可能影响国家安全的情形进行网络安全审查。明确掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查,以确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全。

 

2、 《互联网信息服务算法推荐管理规定》 2022年1月4日发布,2022年3月1日起施行。

格联简评:应用算法推荐技术,是指利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息。本规定规范了互联网信息服务算法推荐活动,有利于保护公民、法人和其他组织的合法权益,促进互联网信息服务健康有序发展。

 

3、 《数据出境安全评估办法》 2022年7月7日发布,2022年9月1日生效。

格联简评:数据出境安全评估常态化机制建立。明确了4种应当申报数据出境安全评估的情形,规范了数据出境安全评估活动。

 

4、 《数据出境安全评估申报指南(第一版)》 2022年8月31日发布并生效。格联简评:数据出境安全评估的具体申报操作指南,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明,并且了提供了相应的申报文件模板。

 

5、 《互联网弹窗信息推送服务管理规定》 2022年9月9日发布,2022年9月30日起施行。

格联简评:互联网弹窗信息推送服务,是指通过操作系统、应用软件、网站等,以弹出消息窗口形式向互联网用户提供的信息推送服务。本规定规范了互联网弹窗信息推送服务,明确了互联网弹窗信息推送服务提供者的主体责任,有利于维护国家安全和公共利益,保护公民、法人和其他组织的合法权益。

 

6、 《关于实施个人信息保护认证的公告》 2022年11月18日发布。

格联简评:明确个人信息处理者开展个人信息处理活动进行认证的基本原则和要求,明确认证依据、认证模式、认证实施程序、认证证书和标志及认证责任。

 

二、 执法动态

1、 2022年4月,全国首例数据合规不起诉案件。1) 案情简介

2019至2020年,为运营需要,在未经授权许可的情况下,Z网络科技有限公司首席技术官陈某某指使多名技术人员通过“外爬”“内爬”等技术手段,非法获取某外卖平台数据,造成外卖平台直接经济损失4万余元。

 

2) 办案过程

检察机关认为Z公司爬取的数据未涉及身份认证信息,没有二次兜售牟利等行为,犯罪情节较轻,主观恶性较小。同时,鉴于其属于成长型科创企业,陈某等人均认罪认罚,积极赔偿被害公司经济损失并取得谅解,检察机关可依法启动涉案企业合规考察。

普陀区检察院实地走访Z公司查看经营现状、会同监管部门研商Z公司运营情况后,从数据合规管理、数据风险识别、评估与处理、数据合规运行与保障等方面提出整改建议,指导Z公司作出合规承诺。

4月28日上午,上海市普陀区检察院邀请听证员、侦查人员、企业合规第三方考察员和被害单位等,以远程方式对Z公司、陈某某等人非法获取计算机信息系统数据案开展不起诉公开听证,四名全国人大代表受邀旁听。经讨论,听证员、公安机关、第三方组织、被害单位等参与听证各方一致支持检察机关对涉案人员作不起诉处理。

合规不起诉就是当企业或(和)企业负责人、直接领导人、主要责任人等企业相关人员涉嫌犯罪之后,由于其犯罪情节较轻、认罪悔罪态度较好、社会危害性较小等原因,为进一步贯彻宽严相济的刑事政策及优化营商环境,对于通过合规审查的企业不予追究或减免刑事责任的一种制度。以前,如果企业涉嫌刑事犯罪,受到刑罚处罚,那么企业及其负责人很可能就会遭遇重创从而一蹶不振;现在,合规不起诉制度就是希望通过督促企业进行合规建设,给企业“重生”的机会,避免出现“办一个案件,垮一个企业”的情况。但是,合规不起诉制度不是企业逃避刑罚的手段,而是不起诉制度与企业合规的结合,在企业自愿进行合规建设并接受考察监督合规的情况下,才可不诉。

 

格联建议:企业应当及时引入数据合规律师等专业第三方进行合规设计,并提前做好合规应对,构建数据合规管理体系、提高数据合规风险识别和应对能力、保障数据的合规运行。

 

2、 2022年7月21日,国家互联网信息办公室发布公告,滴滴被行政处罚。

 

本案例中,滴滴出行存在8个方面的具体违法违规行为,并且还存在严重影响国家安全的数据处理活动。对滴滴公司处罚金额是人民币80.26亿元,对相关负责人即滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。可以说,这个处罚已经是现行数据安全法律框架内的顶格处罚。

   
本次对滴滴公司的处罚作为一个典型负面案例,体现了国家对于加强网络安全、数据安全、个人信息保护的重视程度和保护力度。由本案例也可以看出,我国对于危害国家网络安全、数据安全、及侵害公民个人信息的违法行为整体趋势上将越来越重视,管控也会越来越严格。这次的处罚案例也是对于作为数据处理者的其他相关企业一个警示和有力威慑,督促其应该更为严格的执行国家相关网络安全、数据安全合规、个人信息保护的要求。 

格联建议:作为数据处理者的有关企业需要尽早尽快得主动全面梳理其数据相关业务、建立完善数据合规体系、对于不合法不合规的数据处理行为,需尽早尽快整改,做到依法合规运营。

 

3、 2022年7月26日,广州警方公布了广东省公安机关首例适用《中华人民共和国数据安全法》的案件:广州一公司未履行数据安全保护义务被警方处罚5万元。

 

广州警方在检查中发现,某公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条,但该公司没有建立数据安全管理制度和操作规程,对于日常经营活动采集到的驾校学员个人信息未采取去标识化和加密措施,系统存在未授权访问漏洞等严重数据安全隐患。系统平台一旦被不法分子突破窃取,将导致大量驾校学员个人信息泄露,给广大人民群众个人利益造成重大影响。

 

根据《中华人民共和国数据安全法》的有关规定,广州警方对该公司未履行数据安全保护义务的违法行为,依法处以警告并处罚款人民币5万元的行政处罚,开创了广东省公安机关适用《中华人民共和国数据安全法》的先例,对数据安全治理作出了积极探索和实践。

 

格联建议:开展数据处理活动的企业负有法定的数据安全保护义务,对于个人信息这一类数据的处理,更应当小心谨慎,企业应当健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,以保障数据安全。

 

三、 格联动态

1、 2022年3月,《企业数据合规实务》课程讲座本次讲座中,格联数据合规团队夏海波律师作为讲师,参与规格学堂的《企业数据合规实务》课程录制,就企业数据合规涉及的实务问题进行讲解,对企业数据合规实操中企业家们关心的问题一一讲解。

   

2、 2022年4月21日《严监管下的数据合规与个人信息保护》【“临港新片区企业合规服务月”专项宣讲活动】

本次讲座中,格联数据合规团队夏海波律师分享的内容包括“数据合规”与“个人信息保护”两部分。数据合规将围绕“需求-方案-执行”六字箴言展开,探讨数据合规项目从启动到落地全过程的方法论。

“需求”即企业为什么要做数据合规?央企、国企、外商投资企业、境内上市及拟上市企业面对的数据合规要求,并非都是同一套标准。不同类型企业的合规要求各有差异。

“方案”即企业怎么做好数据合规?夏海波律师根据多年的实务经验,有一套标准化的工作方法,可以针对不同类型企业的数据合规方案:首先是对合规要求(法律、法规、国务院规范性文件、相关标准及指南、征求意见稿等)全面梳理;其次对企业进行合规体检;第三是针对体检反馈的问题进行具体地分析和研究;最后是设计符合企业行业特色、规模、业务的合规方案。

“执行”即如何确保合规方案真正落地?合规方案执行过程中,“人”、“责”、“制”缺一不可,高级管理层、员工、外部各方应扮演的角色和承担的职责如何设计是最优解?如何规划企业数据合规实操相关制度文件?

在本次讲座中,夏海波律师将上述内容都详细道来。

 

3、 2022年6月16日《数据合规与个人信息保护培训》【企业客户培训】。

本次培训讲座中,格联数据合规团队为企业客户讲述了相关法律概念解析、法律条款解读;数据出境要求;数据分级分类、数据合规体系的设计、数据流程图的绘制、供应商及商业合作伙伴的信息安全合规设计等内容,对数据合规内容进行全方位剖析,建立了企业客户的基本概念和认知。

 

4、 2022年8月25日《在线办公软件的审查合规之问》【《上海律师》2022年第四期法律咖吧】

本次活动中,夏海波律师作为主持人与另外三位嘉宾律师,围绕WPS对用户在云上和本地的文档进行封锁并严禁访问这一热点事件展开讨论。通过讨论,首先,涉及用户自己私密存储文件的情形,WPS不应该进行审查;其次,涉及对外公开发布文件的情形,WPS应当进行审查;无论如何,WPS作为一个技术服务提供者,在平衡网络安全审查与隐私权方面可以采取更多的技术手段。夏律师认为:WPS应该把隐私保护放在第一位,同时也应当履行《网络安全法》规定的相应审查义务。

 

5、 2022年10月22日“网络安全与数据合规培训讲座”之《企业数据及个人信息跨境中的合规实务及要点》【江苏省律协电子商务与信息网络业务委员会携手上海律协互联网与信息技术业务研究委员会举办讲座】。

本次培训讲座中,格联数据合规团队针对企业数据及个人信息跨境合规实务进行细致讲解,讲述了数据跨境合规的法律要求、数据出境的基本规则、数据跨境场景识别、数据跨境安全评估与数据出境风险自评估、数据出境申报方式及流程、数据出境申报材料、违法责任等内容,并解答了有关数据出境安全评估实务问题,促进了有关数据出境问题的交流。

 

6、 2022年11月30日 《数据合规培训》【企业客户培训-针对集团高管及各部门业务主管】。

本次培训讲座中,格联数据合规团队就企业自身合规体系的设计、合规管理制度的改进完善、执行进行说明、提出建议;就企业遇到较多的数据出境场景进行分析,规范数据出境行为,给予解决方案;并就信息安全等级保护测评提出规范建议。

 

7、 2022年12月,上海格联律师事务所成为上海数据交易所法律服务入库单位并且成为上海市数商协会法律服务入库单位。

 

四、 格联文章

本年度格联数据合规团队也撰写了部分文章进行学习交流,如:1、 DAO的发展,为时尚早?

2、 公共利益vs个人利益:如何认定“网络爬虫”行为的合法性?

3、 滴滴被罚营业额的5%,过罚相当吗?

五、 格联小结

回顾2022,以《网络安全法》、《个人信息保护法》、《数据安全法》为基础,相关的配套行政法规、部门规章、政策性文件已开始逐步完善。我们有理由相信,在即将到来的2023年,我国针对数据合规与个人信息保护将愈加规范,相信新的一年会有更多的相关配套文件进一步完善放出,未来对于企业数据合规的监管将更加严格,这也要求企业对于数据合规与个人信息保护需要更加重视,厘清自身的数据合规义务,以避免可能遭受的处罚风险。