6月14日,零壹智库在君合律所举办了“如何应对《网络安全法》系列规范带来的新挑战”闭门会。时值《中华人民共和国网络安全法》(以下简称《网络安全法》)生效不久。最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“两高司法解释”)也于《网络安全法》生效同日起实施。
作为我国网络安全领域的基本法正式实施,《网络安全法》是中国第一部关于网络安全的综合性法律,包含了若干新的法律概念及规定,其定义、规定将对应用本法律、包括金融科技行业、大数据产业在内的商业公司产生深远影响。
《网络安全法》立法历程
《网络安全法》立法工作启动始于2013年。在此之前,网络安全领域的法律、法规建制,更是经历了20多年的积累。1994《计算机信息系统安全保护条例》的发布,是该领域首个法规。此后该领域法规逐渐充实丰富,2007《信息安全等级保护管理办法》出台;
2012年全国人大发布《关于加强网络信息保护的决定》。
《网络安全法》的出台,包含了许多与个人信息保护有关的规定,概括性统筹了以往散见于各个法规的规定,也提出了新的法律要求。新法几大需要注意的地方
《网络安全法》将网络运营主体分为三大类别,即网络运营者、网络产品和服务提供者和网络关键信息基础设施运营者,其中网络关键信息基础设施运营者是首次提出的概念,设置了若干新的法律义务。
《网络安全法》重申了网络运营者对个人信息的保护义务,这些义务散见于现有法律、法规,包括:网络运营者收集、使用个人信息,遵循合法、正当、必要的原则、强调了"不得收集与其提供服务无关的个人信息"和"知情和同意"的要求;仅将个人信息用于个人同意的目的等。除此以外,《网络安全法》对个人信息保护提出了新规则,主要有三大方面:
数据泄露通知义务;
个人信息的收集、使用需遵守知情和同意原则,但信息经过处理无法识别特定个人且不能复原的除外;
个人在发现被收集、存储的其个人信息有错误的或者个人信息的收集、使用违反双方的约定的时候,有权要求网络运营者进行修改或者删除相关个人信息。
阿里巴巴法务官孟洁
大数据采集时需要从不同的层面考虑违规风险。行政责任方面,有相应的《行政法》、《网络安全法》和人民银行的规定。从刑事责任角度考虑,以往的案例大多是数据诈骗,其司法解释范围非常宽。它有几点值得注意:第一未经同意的收集作为非法行为,这个在以往没有很明确;第二未经同意的转让,比如说人家从别的数据源拿到给我们,或者我们拿到给别人,这个也作为非法的方式;第三,非法侵犯个人信息,"非法"的解释,按照刑法来讲是违反国家的法律和行政法规,这是人大出的规定和国务院出的规定。两条解释里面扩大到法律行政法规和规章。人民银行的规定如果是部门规章关于个人消费者的规定,它就纳入到行政法规这一块。“比如说个人金融信息管理除了收集金融信息不能为业务之外的其他用户使用,这是一条线,如果用这条线就什么事也做不了。这就面临着我们探寻的不是法律底线,而是实践执行的实践底线。”
《网络安全法》发布后,行业仍存在一些疑问,在实施和执行的细节方面,仍将依赖于更为具体的规定和主管部门的实施意见出台。
《网络安全法》执行还存在哪些条文有待明确?
《网络安全法》实施后,尚存在一些操作细节的疑惑,这些疑惑或需要监管部门出台相应的实施细则。君合律师事务所合伙人董潇律师举了一些例子:
比如收集信息要求遵守知情和同意的原则,披露给消费者的时候披露到什么样的程度才算是让消费者足够的知情,何种方式的同意有效?
《网络安全法》当中增加了三块义务,第一就是数据泄露的通知义务,42条规定如果已经发生数据泄露的,应该按照相关要求相关规定去及时的通知消费者,并且报告相应的政府机构。按照相应的规定,是指按照什么规定,如何进行相应的报告和通知。
大数据产业如何规避违规?
今年以来,经媒体曝光的数据泄露和数据盗窃事件不断,《网络安全法》的实施,为个人消费者提供维权和申诉的法律依据。另一方面,作为数据获取方的大数据公司,此前所采用购买数据、爬虫等较为“野蛮”的方式,面临着困惑和挑战:新的司法解释出来之后,过去的野蛮的采集方式是否可行?有哪些业务边界需要厘清?
董潇认为,大数据采集和处理时需要从不同的层面考虑违规风险,例如,需要考虑《网络安全法》以及相应行业的规定、例如人民银行关于消费金融信息的规定,来综合的考虑。而且,从刑事责任角度考虑,以往的案例大多是数据诈骗,但考虑到两高司法解释,大数据公司需要更多的考虑操作是否触及刑法红线;例如,数据来源是否属于未经同意的收集;又如,从第三方获取的数据,第三方是否获得了足够的授权。
律师答疑
问:对于企业的客户经理的个人违规,有时候是公司无法完全掌控的,如果这种风险发生,员工当然会开除,对公司造成的法律上的责任怎么界定?
董潇:这是两个层面的责任,一个是个人层面的行政责任、刑事责任;对公司来讲从《网络安全法》和工信部之前的规定来看,规定一个公司要形成相关的制度,一旦出现风险事件,以此认定这个公司有没有满足相应的法律要求做到适当的保护措施。
问:关于授权方式,监管机构会出一个更细致的指导吗?
董潇:各行各业不一样,很难出台一个统一的办法。需要从几个方面进行关注,第一是从刑事责任角度,公安部门检查部门掌握到哪条线;第二步就是行业主管机关角度,例如人民银行对于金融行业的监管、工信部对于互联网和电信行业的监管,工商局对消费者保护方面的监管等等采取何种原则,以及相关领域的行业实践是怎样的。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 马云现身支付宝20周年纪念日:AI将改变一切,但不意味着决定一切
- 万事达卡推出反欺诈AI模型 金融科技拥抱生成式AI
- OpenAI创始人的世界币悬了?高调收集虹膜数据引来欧洲监管调查
- 华为孟晚舟最新演讲:长风万里鹏正举,勇立潮头智为先
- 华为全球智慧金融峰会2023在上海开幕 携手共建数智金融未来
- 移动支付发展超预期:2022年交易额1.3万亿美元 注册账户16亿
- 定位“敏捷的财务收支管理平台”,合思品牌升级发布会上释放了哪些信号?
- 分贝通商旅+费控+支付一体化战略发布,一个平台管理企业所有费用支出
- IMF经济学家:加密资产背后的技术可以改善支付,增进公益
- 2022年加密货币“杀猪盘”涉案金额超20亿美元 英国银行业祭出限额措施
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。