網上投稿
2019年10月24日至25日,上海律協律師學院、互聯網業務研究委員會在上海交通大學凱原法學院東方會堂聯合舉辦主題為“創新環境下的新挑戰——律師如何更好服務數字經濟發展”系列培訓活動之一,“創新保障——網絡安全法律實務的新近發展”法律實務培訓。
本次活動由上海律協互聯網業務研究委員會主任陳巍律師主持,由上海市匯業律師事務所合伙人黃春林律師主講《2019年網絡安全立法與執法的最新實踐—兼談零售企業個人信息保護與數據合規最新實踐》,某世界500強企業大中國及亞太信息安全總監陳皓先生主講《隱私保護的治理和管理體系建設、技術落地》,上海市通力律師事務所合伙人潘永建律師主講《中國數據管理制度:商用與隱私保護的沖突和合規方案》,某互聯網領軍企業數據隱私保護部合規總監趙冉冉先生主講《近期數據隱私熱點法律問題——隱私政策起草、敏感權限配置及網絡爬蟲應用》。
一、黃春林:2019年網絡安全立法與執法的最新實踐——兼談零售企業個人信息保護與數據合規最新實踐
等保2.0制度。網絡安全等級保護是我國信息安全保障的基本制度性工作,是網絡空間安全保障體系的重要支撐,也是應對強敵APT攻擊的有效措施。在法律支撐層面,我國的計算機系統等級保護條例提升為國家基礎性法律制度,即《網絡安全法》中的網絡安全等級保護制度。等保的工作流程分為五個步驟,分別是:系統定級、系統備案、建設整改、等級測評和監督檢查。其中最重要的是等級測評,它用來驗證系統是否滿足相應等級的安全要求。在合規性要求上,企業需要特別注意以下幾個方面:第一,管理制度、崗位人員及培訓體系是否合規;第二,是否采用相應的技術措施和安全產品;第三,是否履行等保備案、測評或變更手續。
關于數據安全制度,數據流動的合規要點之一在于開展數據合規專項盡職調查和安全風險評估,同時也要注意數據承接方超過原授權范圍使用數據的應當獲得用戶重新同意。
從未來刑事法律服務融合角度就網絡與數據合規問題解讀,涉及網絡與數據的罪名主要有侵犯公民個人信息罪、拒不履行信息網絡安全管理義務罪、非法獲取計算機系統數據罪和幫助信息網絡犯罪活動罪等,以上罪名均采取雙罰制,即單位和責任人員都可能受到刑事責任追究,如果企業已出現刑事風險,就應當及時做好危機管控,盡力將刑事責任降至最低;在涉及到刑事風險的情況下,相關企業應明確律師提供的刑事合規法律服務不是為了幫助企業逃避刑事責任追究,而是為了幫助企業做好刑事危機的有效應對。
二、陳皓:隱私保護的治理和管理體系建設、技術落地
企業的隱私保護和數據保護涉及的人員包括律師、合規人員和技術人員等,因此隱私保護和數據保護是一個跨團隊、跨學科的工作,需要不同部門的協調組織和多方面的知識儲備。
在當前隱私保護法律不斷出臺和加強的背景下,隱私保護作為一個合規活動必然在企業中深入開展,企業需要特別明確以下幾項要素:建立隱私保護的驅動力;隱私保護的范圍;關鍵的業務部門以及這些業務部門承擔的功能;隱私保護的目標和戰略計劃;隱私保護的溝通和匯報機制等。
關于隱私操作生命周期模型,該模型致力于推進長期而有效的隱私保護機制,分為評估、保護、評價和響應四個階段:“評估”為隱私保護提供了框架,具體為與行業中已經存在的政策、流程、管理制度等進行對比,發現差距并提出建議;“保護”針對的是信息和數據的安全進行保護;“評價”是通過監視、審計和通信來進行隱私管理;“響應”包括對信息請求、合規、突發事件的處理等方面的處理。
三、潘永建:中國數據管理制度,商用與隱私保護的沖突和合規方案
在大數據時代下,很多對個人數據信息的利用行為伴隨著侵犯隱私的風險,在目前,指紋、面部以及虹膜識別等個人生物信息在商業應用、社會治理以及國家安全等領域具有廣闊前景。但是公民個人生物信息具有唯一性和不可變更的特質,一旦泄露就是終身泄露,其敏感程度和利用價值遠高于一般信息,存在特殊風險。
以系列案例說明,個人信息的商業應用與隱私保護存在的沖突,以及“三步走”的合規建議:首先,企業需要對收集的數據情況進行盤點自查,主要針對收集數據的方式、手段和目的;其次,企業需要與最佳實踐進行差異分析;最后,進行落實整改。
對于數據安全的制度建設,從采集、傳輸、存儲、共享、使用和銷毀六個方面建議:第一,企業在采集用戶數據前,應當遵循開放透明原則,以明確、易懂、合理的方式告知用戶收集、使用信息的目的、方式和范圍,留存信息的期限,查詢、更正信息的渠道以及拒絕提供信息的后果等事項,并明示征得用戶同意。不得以欺騙、誤導或者強迫等方式或者違反法律、行政法規以及雙方的約定收集、使用信息;第二,企業應根據業務流程、職責界面等情況,合理劃分安全域,并在安全邊界上配置相應的訪問控制策略及部署安全措施。針對跨安全域傳輸等存在潛在安全風險的環境,應對敏感信息的傳輸進行加密保護,并根據數據敏感級別采用相應的加密手段;第三,企業應對存儲數據的設備及基礎設施重點做好安全防護,包括落實數據存儲設備的操作終端安全管控措施及接入鑒權機制,設置平臺側訪問控制策略,定期實施安全風險評估及整改,配置安全基線、部署必要的安全存儲技術手段等;第四,企業應加強數據線下交互的過程管控,應對數據線下交互建立審批機制及操作流程,要求對線下交互數據采取加密、脫敏或物理保密封裝等防護手段,防止數據被違規復制、傳播、破壞等;第五,企業應依據權限最小分配原則做好賬號權限管理,對大數據平臺及業務系統的數據使用操作應納入4A管控,通過4A系統實現集中賬號授權管理和登錄訪問控制,關鍵系統高風險操作應納入金庫模式管控;第六,企業應對數據銷毀操作過程進行日志記錄以支持安全審計。
四、趙冉冉:近期數據隱私熱點法律問題——隱私政策起草、敏感權限配置及網絡爬蟲應用
網絡爬蟲作為一種計算機技術具有兩面性:網絡爬蟲被廣泛應用于數據獲取,在法律上并不被禁止,但是利用網絡爬蟲技術獲取數據這一行為具有違法甚至犯罪風險。
網絡爬蟲的影響主要在于以下幾個方面:第一,會給網絡服務器帶來巨大的資源消耗;第二,服務器上的數據具有產權歸屬,網絡爬蟲獲取數據后用于牟利將會引發法律風險;第三,網絡爬蟲可能具備突破簡單訪問的控制能力,獲取被保護的數據,從而泄露個人隱私。
在敏感權限配置方面,有三項建議:首先,企業僅申請提供服務所必需的敏感權限,即評估申請的敏感權限應當是提供服務所必須的最少權限;其次,企業應在操作系統提交的聲明列表里明確申請的敏感權限,并加以引導及說明;最后,獲取敏感權限應經用戶同意,由用戶主動開啟。
(注:以上嘉賓觀點,根據錄音整理,未經本人審閱)
供稿:上海律協互聯網業務研究委員會
執筆:任愿達 上海市通力律師事務所
- ESG |
- 保險 |
- 并購與重組 |
- 財稅與海關 |
- 城市更新(征收) |
- 調解 |
- 房地產 |
- 反壟斷與反不正當競爭 |
- 反舞弊與刑事風控 |
- 非銀行金融 |
- 公司與商事 |
- 國際法 |
- 國際貿易與自貿區 |
- 國際投資與一帶一路 |
- 國資國企 |
- 海事海商 |
- 環境資源與能源 |
- 會展與旅游 |
- 婚姻家事 |
- 建設工程與基礎設施建設 |
- 教育 |
- 基金 |
- 金融工具與金融基礎設施 |
- 勞動與社會保障 |
- 民商事訴訟 |
- 民事 |
- 破產與不良資產 |
- 企業法律顧問 |
- 企業合規 |
- 社會公共服務 |
- 社會公益與法律援助 |
- 社會治理與社會矛盾化解 |
- 數據合規與網絡安全 |
- 數字科技與人工智能 |
- 體育 |
- 未成年人權益保護 |
- 文化傳媒 |
- 物業管理 |
- 現代物流 |
- 鄉村振興 |
- 刑法與刑事辯護 |
- 刑訴法與刑事辯護 |
- 行政法 |
- 銀行 |
- 醫藥健康 |
- 政府法律顧問 |
- 證券合規與糾紛 |
- 證券 |
- 知識產權 |
- 仲裁
滬公網安備 31010402007129號
