新型冠状病毒肺炎疫情仍在持续,封城、封路、封村等管制措施已成为常态。为配合防控工作,政府倡导各企业尽量在线上开展业务,各行各业都面临着一个突如其来的微数字化转型。
线上办公/运营并不是把线下的活动转移到线上那么简单,事实上,如果不能充分理解网络安全和数据合规的法律体系,线上作业过程中极易触碰法律责任的红线。因此,笔者特别就业务上线运营的常见问题给出五点法律建议。
建议一:
从数据着手,识别企业风险
数据是新时代的石油,做好数据资产的开发、保护和变现,能给企业带来极大的经济利益。例如淘宝就利用网站收集的大量交易数据推出了“生意参谋”产品,hiQ利用Linkedin公开数据推出了预测员工何时离职的产品等等。
但是,数据资产如果取得、利用不合法,反而可能给企业带来极大的法律责任风险。
企业的线上运营合规管理,首先是准确识别出企业的重要数据资产,并投入人力、物力,有针对性的保护企业数据。
第二步是风险识别。具体流程包括:1)将企业重要数据进行分类;2)针对不同种类的数据进行不同的风险分析;3)将分析后的数据风险串联起来,模拟推演出具有结果导向的数据安全风险场景。
最后就是针对风险场景中的流程、信息系统管控中的薄弱环节来设计匹配的数据安全保护措施。当然,数据安全的保护措施离不开健全的数据安全保护机制。一个健全的保护机制的构建至少包括IT技术、数据处理机制、管理治理机制三个方面。
建议二:
企业利用重要数据过程中,应当重视个人信息合规问题
企业的生产运营是以客户为中心,尤其是直接面向终端市场的企业,运营中收集的数据大多来自于客户。这其中不可避免地涉及对客户个人信息的收集、清洗、整合等处理,在对数据价值挖掘较多的公司,还会形成客户画像,投入企业的客户池中,实现部门间的数据共享。各部门再根据业务需求,抓取数据进行客户分析,做到精准营销。
可见,企业的线上运营几乎无法回避个人信息收集、存储、处理等各个环节,任何一个环节发生数据泄露等事故,都将在疫情肆虐的背景下再次被推上耻辱柱。最近,疫情期间个人回程信息泄露就是一个典型的例子。
但放眼整个用户信息数据处理合规统筹,所涉及的法律规范却很是复杂,责任制度更加琐碎。企业需要根据上线的业务,针对每一个数据处理节点进行合规审查。
比如,企业在数据收集、数据本地化存储过程中,是否满足《个人信息安全规范》《网络安全法》《征信业务管理条例》等数据本地化的法律要求。企业在对客户画像时,是否满足了隐私政策对用户画像的目的限制、数据最小化、匿名化等严格规制。
建议三:
企业应对照网安法的规定,落实网络安全等级保护制度
既然大家都开始线上办公/运营了,那么就会涉及到一个问题。本公司是否属于《网络安全法》(“《网安法》”)规定的网络运营者?
无疑,大部分企业都会被归入网络运营者的范畴,因为网络运营者包括网络的所有者、管理者和网络服务提供者,它们都属于网络等级保护制度的规制对象。
根据《网安法》的规定,“网络运营者应当按照网络安全等级保护制度的要求,履行相应安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。”
所以企业应当对照法律相关规定自行评定相关等级,二级以上的需要主动申报相应的网络安全等级,并遵循不同等级的要求和规定。如果达到一定的标准,可能还会被认定为关键信息基础设施,相应的合规要求还会更高,其中涉及内部相关岗位的设定、机房安全管理、培训制度、备份、运维等特殊要求。
《网安法》实施以来,违反网安法的行政执法案件,处罚原因主要集中在网络安全等级保护制度与平台内容审核制度两方面。对于等级保护适用问题,网安法做了原则性的规定。在此基础上,公安部和信安标委分别下发了《网络安全等级保护条例(征求意见稿)》和《信息安全技术网络安全等级保护定级指南(征求意见稿)》。
在正式文件出台之前,实践中适用的仍是《中华人民共和国计算机信息系统安全保护条例》(2011年1月8日实施,国务院令第588号)的安保体系。
建议四:
如忽略合规,企业作为网络攻击受害者也仍会被处罚
根据《网安法》的规定,网络运营者如果不能证明其履行制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入,及时启动应急预案并采取补救措施等网络安全保护义务的,即使作为网络攻击的受害者,也可能受到行政处罚或者刑事处罚。
另外,需要注意的是企业股东、高管在网络安全管理和网络运营过程中,也将面临承担个人法律责任的风险。《网安法》规定了网络安全的主管机关有权对“直接负责的主管人员”处以罚款、取消网络安全管理和网络运营关键岗位任职资格等处罚。还对于特殊行业,会对违反网络安全和数据保护的主管人员采取一定的措施。
建议五:
数据跨境流动的合规问题
如果企业开展的线上业务或收集客户个人信息涉及多个国家或地区,数据合规无疑是企业首先需要考虑的问题,因为数据的跨境流动将受到多个法域的法律监管。企业应当知晓所涉法域的法律监管规定,且满足其合规要求,否则会带来极大的法律风险。
以欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)为例,其采用了类似美国长臂管辖的法律模式,将执法边界延伸到了所有收集欧盟公民信息的企业,同时对违法者设计了非常重大的法律责任,被判违法将面临最高2000万欧元或上一年全球年营业额的4%(以较高者为准)的罚款。
所以,企业线上业务涉及境外个人信息收集、传输和流动的,不但要符合中国法律的规定,履行数据出境安全评估等程序,还需要符合其他所涉及法域的法律规定。