網(wǎng)絡(luò)數(shù)據(jù)使用需求合規(guī)性審核制度.doc

根據(jù)我們的經(jīng)驗(yàn)，建立合規(guī)的網(wǎng)絡(luò)數(shù)據(jù)安全審查制度，不僅能夠有效遏制類似事件發(fā)生的幾率，而且還是類似事件發(fā)生后企業(yè)免責(zé)的最好抗辯事由，誰(shuí)會(huì)苛責(zé)一只窮盡所能的勤勞小蜜蜂呢?更重要的是，這不是一項(xiàng)可有可無(wú)的善舉，而是每一個(gè)企業(yè)必須承擔(dān)的法定義務(wù)。筆者結(jié)合執(zhí)業(yè)經(jīng)驗(yàn)，梳理出網(wǎng)絡(luò)數(shù)據(jù)合規(guī)審查(同時(shí)也可以用于并購(gòu)項(xiàng)目中的網(wǎng)絡(luò)安全法律盡調(diào))部分要點(diǎn)，僅供大家交流、參考。一、企業(yè)應(yīng)當(dāng)制定網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)機(jī)制是否有相對(duì)健全的網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)機(jī)制，是網(wǎng)絡(luò)數(shù)據(jù)合規(guī)審查的首要關(guān)注點(diǎn)。這不僅是企業(yè)開(kāi)展互聯(lián)網(wǎng)業(yè)務(wù)的前提條件，也是網(wǎng)絡(luò)公共安全事件發(fā)生后，企業(yè)是否應(yīng)當(dāng)承擔(dān)責(zé)任以及承擔(dān)多大責(zé)任的首要考量因素。根據(jù)工信部電信業(yè)務(wù)經(jīng)營(yíng)許可管理辦法，企業(yè)申請(qǐng)辦理電信業(yè)務(wù)經(jīng)營(yíng)許可證的，必須向監(jiān)管機(jī)構(gòu)提交符合要求的“信息安全保障措施”申請(qǐng)材料。此外，全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定要求，企業(yè)應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全。根據(jù)電信條例規(guī)定，企業(yè)應(yīng)當(dāng)按照國(guó)家有關(guān)電信安全的規(guī)定建立健全內(nèi)部安全保障制度，實(shí)行安全保障責(zé)任制。同時(shí)，根據(jù)公安部互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定，企業(yè)應(yīng)當(dāng)建立相應(yīng)的管理制度，落實(shí)互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施，且互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施應(yīng)當(dāng)符合工信部、公安部監(jiān)管要求及相關(guān)行業(yè)標(biāo)準(zhǔn)(例如增值電信業(yè)務(wù)網(wǎng)絡(luò)信息安全保障基本要求、電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)分級(jí)指南等)。根據(jù)公安部計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法規(guī)定，未建立安全保護(hù)管理制度的企業(yè)，根據(jù)情節(jié)不同，由公安機(jī)關(guān)給予責(zé)令限期改正、警告、罰款、停止聯(lián)網(wǎng)、停機(jī)整頓的處罰，必要時(shí)可以建議原發(fā)證、審批機(jī)構(gòu)吊銷經(jīng)營(yíng)許可證或者取消聯(lián)網(wǎng)資格。二、企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)數(shù)據(jù)違法犯罪調(diào)查配合機(jī)制根據(jù)我國(guó)法律規(guī)定，配合司法機(jī)關(guān)調(diào)查違法犯罪行為是每一個(gè)公民和企業(yè)的義務(wù)，在網(wǎng)絡(luò)數(shù)據(jù)安全領(lǐng)域也不例外。企業(yè)不僅應(yīng)當(dāng)為司法機(jī)關(guān)提供相關(guān)的數(shù)據(jù)接口與解密支持，還應(yīng)當(dāng)提供個(gè)案調(diào)查配合義務(wù)。根據(jù)反恐怖主義法規(guī)定，企業(yè)應(yīng)當(dāng)為公安機(jī)關(guān)、國(guó)家安全機(jī)關(guān)進(jìn)行防范、調(diào)查恐怖活動(dòng)提供網(wǎng)絡(luò)數(shù)據(jù)的技術(shù)接口和解密技術(shù)支持。根據(jù)公安部互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定，企業(yè)網(wǎng)絡(luò)數(shù)據(jù)應(yīng)當(dāng)具有符合公共安全行業(yè)技術(shù)標(biāo)準(zhǔn)的聯(lián)網(wǎng)接口。此外，根據(jù)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法，企業(yè)應(yīng)當(dāng)如實(shí)向公安機(jī)關(guān)提供有關(guān)安全保護(hù)的信息、資料及數(shù)據(jù)文件，協(xié)助公安機(jī)關(guān)查處通過(guò)國(guó)際聯(lián)網(wǎng)的計(jì)算機(jī)信息網(wǎng)絡(luò)的違法犯罪行為。三、企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)數(shù)據(jù)過(guò)濾與審核機(jī)制企業(yè)在互聯(lián)網(wǎng)領(lǐng)域的合規(guī)風(fēng)險(xiǎn)，大部分來(lái)至于對(duì)網(wǎng)絡(luò)平臺(tái)數(shù)據(jù)的審核不力或監(jiān)管疏漏，輕則被通報(bào)批評(píng)或罰款，重則被吊銷經(jīng)營(yíng)資質(zhì)。網(wǎng)絡(luò)安全法(草案)、網(wǎng)絡(luò)出版服務(wù)管理規(guī)定、互聯(lián)網(wǎng)信息服務(wù)管理辦法、互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定、互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定(修訂征求意見(jiàn)稿)等均明確規(guī)定，企業(yè)有義務(wù)主動(dòng)發(fā)現(xiàn)、停止傳輸、報(bào)告公共網(wǎng)絡(luò)數(shù)據(jù)中的違法信息，應(yīng)當(dāng)建立網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容審核與過(guò)濾機(jī)制，加強(qiáng)對(duì)其用戶發(fā)布的信息的管理與審核工作。根據(jù)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定，企業(yè)違反過(guò)濾與審核規(guī)定的，根據(jù)情節(jié)給予警告、罰款、吊銷許可證或者取消備案、關(guān)閉網(wǎng)站、禁止有關(guān)責(zé)任人員從事網(wǎng)絡(luò)服務(wù)業(yè)務(wù)等處罰。四、企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)數(shù)據(jù)分級(jí)管理與保護(hù)制度對(duì)網(wǎng)絡(luò)數(shù)據(jù)分級(jí)，有利于平衡用戶與企業(yè)利益，方便企業(yè)采取針對(duì)性的安全保護(hù)措施，提高企業(yè)合規(guī)管理效率。電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)定義及分類以及電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)分級(jí)指南根據(jù)網(wǎng)絡(luò)數(shù)據(jù)的敏感程度不同，將網(wǎng)絡(luò)數(shù)據(jù)分類、分級(jí)保護(hù)，并依據(jù)信息安全等級(jí)保護(hù)管理辦法采取相應(yīng)的安全保護(hù)措施。寄遞服務(wù)用戶個(gè)人信息安全管理規(guī)定、人口健康信息管理辦法(試行)、關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知等也明確規(guī)定，個(gè)人信息實(shí)行分級(jí)管理、分類利用原則。五、企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)用戶實(shí)名驗(yàn)證機(jī)制用戶的注冊(cè)與使用行為是企業(yè)獲取網(wǎng)絡(luò)數(shù)據(jù)的主要來(lái)源之一，但依法獲取該等信息的前提條件是企業(yè)必須建立實(shí)名驗(yàn)證機(jī)制。根據(jù)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定、網(wǎng)絡(luò)安全法(草案)、互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定、網(wǎng)絡(luò)交易管理辦法等之規(guī)定，企業(yè)為用戶提供入網(wǎng)、信息發(fā)布等服務(wù)時(shí)，應(yīng)當(dāng)要求用戶提供真實(shí)身份信息并核驗(yàn)。根據(jù)反恐怖主義法之規(guī)定，電信、互聯(lián)網(wǎng)、金融業(yè)務(wù)經(jīng)營(yíng)者、服務(wù)提供者未按規(guī)定對(duì)客戶身份進(jìn)行查驗(yàn)，或者對(duì)身份不明、拒絕身份查驗(yàn)的客戶提供服務(wù)的，根據(jù)情節(jié)不同，給予責(zé)令改正，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處以五十萬(wàn)元以下罰款。六、企業(yè)應(yīng)當(dāng)在境內(nèi)設(shè)置服務(wù)器并限制數(shù)據(jù)跨境轉(zhuǎn)移互聯(lián)網(wǎng)的無(wú)國(guó)界性，以及分散網(wǎng)絡(luò)流量與容災(zāi)備份的要求，決定了企業(yè)在全球范圍內(nèi)布局服務(wù)器的技術(shù)需求。但是，限制特定行業(yè)在境外設(shè)置服務(wù)器及敏感網(wǎng)絡(luò)數(shù)據(jù)跨境轉(zhuǎn)移，這也是國(guó)際互聯(lián)網(wǎng)監(jiān)管實(shí)踐的通行做法。我國(guó)網(wǎng)絡(luò)安全法(草案)明確規(guī)定，未進(jìn)行安全評(píng)估的關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者，不得在境外存儲(chǔ)，或者向境外轉(zhuǎn)移在運(yùn)營(yíng)中收集和產(chǎn)生的公民個(gè)人信息等重要數(shù)據(jù)。此外，工信部(原信產(chǎn)部)在關(guān)于加強(qiáng)外商投資經(jīng)營(yíng)增值電信業(yè)務(wù)管理的通知中明確規(guī)定，服務(wù)器等設(shè)施應(yīng)當(dāng)在經(jīng)營(yíng)許可證業(yè)務(wù)覆蓋范圍內(nèi)設(shè)置。在具體行業(yè)領(lǐng)域，網(wǎng)絡(luò)出版服務(wù)管理規(guī)定、地圖管理?xiàng)l例、人口健康信息管理辦法(試行)、非銀行支付機(jī)構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法、互聯(lián)網(wǎng)域名管理辦法(征求意見(jiàn)稿)等，均明確規(guī)定企業(yè)的服務(wù)器和存儲(chǔ)設(shè)備必須在中華人民共和國(guó)境內(nèi)設(shè)置。此外，征信業(yè)管理?xiàng)l例、人口健康信息管理辦法(試行)、網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法(征求意見(jiàn)稿)、人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知等均明確禁止向境外轉(zhuǎn)移涉及用戶個(gè)人敏感信息的網(wǎng)絡(luò)數(shù)據(jù)。七、企業(yè)必須依法留存用戶網(wǎng)絡(luò)數(shù)據(jù)立法者必須在個(gè)人利益保護(hù)與維持合理企業(yè)成本之間找到一個(gè)平衡點(diǎn)，一個(gè)典型的例子就是在用戶網(wǎng)絡(luò)數(shù)據(jù)留存制度設(shè)計(jì)上。一方面，立法者希望企業(yè)盡可能久的留存用戶信息，以方便網(wǎng)絡(luò)監(jiān)管及未來(lái)可能的爭(zhēng)議解決;另一方面，又擔(dān)心企業(yè)長(zhǎng)期留存并濫用用戶信息，進(jìn)而損害個(gè)人利益。一個(gè)比較常見(jiàn)的留存期限是不少于60天，例如，根據(jù)互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定、互聯(lián)網(wǎng)信息服務(wù)管理辦法、互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法、網(wǎng)絡(luò)出版服務(wù)管理規(guī)定等均規(guī)定用戶網(wǎng)絡(luò)數(shù)據(jù)應(yīng)當(dāng)至少留存60天。但也有例外，例如網(wǎng)絡(luò)游戲管理暫行辦法要求不得少于180天，網(wǎng)絡(luò)交易管理辦法要求不得少于兩年。而相反，立法者限定了一些特定領(lǐng)域的網(wǎng)絡(luò)數(shù)據(jù)留存最長(zhǎng)期限。例如，快遞條例(征求意見(jiàn)稿)明確規(guī)定，企業(yè)應(yīng)當(dāng)定期銷毀快件運(yùn)單，確保用戶信息安全;征信業(yè)管理?xiàng)l例更是明確規(guī)定，征信機(jī)構(gòu)對(duì)個(gè)人不良信息的保存期限為5年，超過(guò)5年的應(yīng)當(dāng)予以刪除。八、企業(yè)收集和使用用戶網(wǎng)絡(luò)數(shù)據(jù)須經(jīng)許可立法者已經(jīng)接受了這一事實(shí)，應(yīng)當(dāng)限制企業(yè)日益膨脹的數(shù)據(jù)獲取欲望。而目前最好的限制措施莫過(guò)于收集和使用用戶網(wǎng)絡(luò)數(shù)據(jù)的“披露+許可”原則，即披露收集和使用的目的、方式、范圍等，并需要經(jīng)過(guò)用戶的同意(但并沒(méi)有明確是消極同意還是積極同意)。根據(jù)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定、電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定等均明確規(guī)定，企業(yè)在在經(jīng)營(yíng)活動(dòng)中收集、使用用戶網(wǎng)絡(luò)數(shù)據(jù)信息的，應(yīng)當(dāng)明示并公開(kāi)收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。此外，網(wǎng)絡(luò)交易管理辦法、互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法、互聯(lián)網(wǎng)廣告監(jiān)督管理暫行辦法(征求意見(jiàn)稿)等明確規(guī)定，企業(yè)未經(jīng)消費(fèi)者同意或者請(qǐng)求，或者消費(fèi)者明確表示拒絕的，不得向其發(fā)送商業(yè)性電子信息。綜上，是筆者根據(jù)長(zhǎng)期互聯(lián)網(wǎng)法律服務(wù)經(jīng)驗(yàn)，整理的企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)審查(同時(shí)也可以用于并購(gòu)項(xiàng)目中的網(wǎng)絡(luò)安全法律盡調(diào))的主要關(guān)注點(diǎn)，但這些絕非全部。關(guān)于網(wǎng)絡(luò)數(shù)據(jù)所有權(quán)及其定性，數(shù)據(jù)清洗與交易規(guī)則，等等這些問(wèn)題，目前在立法與執(zhí)法實(shí)踐中還存在一些爭(zhēng)議，還有一些問(wèn)題在不同的部分法規(guī)中還存在較大的沖突，此外，中國(guó)互聯(lián)網(wǎng)立法相對(duì)粗糙