網(wǎng)絡數(shù)據(jù)使用需求合規(guī)性審核制度

1、根據(jù)我們的經(jīng)驗，建立合規(guī)的網(wǎng)絡數(shù)據(jù)安全審查制度，不僅能夠有效遏制類似事件發(fā)生的幾率，而且還是類似事件發(fā)生后企業(yè)免責的最好抗辯事由，誰會苛責一只窮盡所能的勤勞小蜜蜂呢更重要的是，這不是一項可有可無的善舉，而是每一個企業(yè)必須承擔的法定義務。筆者結(jié)合執(zhí)業(yè)經(jīng)驗，梳理出網(wǎng)絡數(shù)據(jù)合規(guī)審查(同時也可以用于并購項目中的網(wǎng)絡安全法律盡調(diào))部分要點，僅供大家交流、參考。一、企業(yè)應當制定網(wǎng)絡數(shù)據(jù)安全保護機制一、企業(yè)應當制定網(wǎng)絡數(shù)據(jù)安全保護機制是否有相對健全的

2、網(wǎng)絡數(shù)據(jù)安全保護機制，是網(wǎng)絡數(shù)據(jù)合規(guī)審查的首要關注點。這不僅是企業(yè)開展互聯(lián)網(wǎng)業(yè)務的前提條件，也是網(wǎng)絡公共安全事件發(fā)生后，企業(yè)是否應當承擔責任以及承擔多大責任的首要考量因素。根據(jù)工信部《電信業(yè)務經(jīng)營許可管理辦法》，企業(yè)申請辦理電信業(yè)務經(jīng)營許可證的，必須向監(jiān)管機構提交符合要求的“信息安全保障措施”申請材料。此外，全國人大常委會《關于加強網(wǎng)絡信息保護的決定》要求，企業(yè)應當采取技術措施和其他必要措施，確保信息安全。根據(jù)《電信條例》規(guī)定，企業(yè)應當

3、按照國家有關電信安全的規(guī)定建立健全內(nèi)部安全保障制度，實行安全保障責任制。同時，根據(jù)公安部《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》，企業(yè)應當建立相應的管理制度，落實互聯(lián)網(wǎng)安全保護技術措施，且互聯(lián)網(wǎng)安全保護技術措施應當符合工信部、公安部監(jiān)管要求及相關行業(yè)標準(例如《增值電信業(yè)務網(wǎng)絡信息安全保障基本要求》、《電信和互聯(lián)網(wǎng)服務用戶個人信息保護分級指南》等)。根據(jù)公安部《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》規(guī)定，未建立安全保護管理制度的企業(yè)，根據(jù)情節(jié)不

4、同，由公安機關給予責令限期改正、警告、罰款、停止聯(lián)網(wǎng)、停機整頓的處罰，必要時可以建議原發(fā)證、審批機構吊銷經(jīng)營許可證或者取消聯(lián)網(wǎng)資格。二、企業(yè)應當建立網(wǎng)絡數(shù)據(jù)違法犯罪調(diào)查配合機制二、企業(yè)應當建立網(wǎng)絡數(shù)據(jù)違法犯罪調(diào)查配合機制根據(jù)我國法律規(guī)定，配合司法機關調(diào)查違法犯罪行為是每一個公民和企業(yè)的義務，在網(wǎng)絡數(shù)據(jù)安全領域也不例外。企業(yè)不僅應當為司法機關提供相關的數(shù)據(jù)接口與解密支持，還應當提供個案調(diào)查配合義務。根據(jù)《反恐怖主義法》規(guī)定，企業(yè)應當為公安

5、機關、國家安全機關進行防范、調(diào)查恐怖活動提供網(wǎng)絡數(shù)據(jù)的技術接口和解密技術支持。根據(jù)公安部《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》，企業(yè)網(wǎng)絡數(shù)據(jù)應當具有符合公共安全行業(yè)技術標準的聯(lián)網(wǎng)接口。此外，根據(jù)《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》，企業(yè)應當如實向公安機關提供有關安全保護的信息、資料及數(shù)據(jù)文件，協(xié)助公安機關查處通過國際聯(lián)網(wǎng)的計算機信息網(wǎng)絡的違法犯罪行為。三、企業(yè)應當建立網(wǎng)絡數(shù)據(jù)過濾與審核機制三、企業(yè)應當建立網(wǎng)絡數(shù)據(jù)過濾與審核機制企業(yè)在互聯(lián)網(wǎng)

6、領域的合規(guī)風險，大部分來至于對網(wǎng)絡平臺數(shù)據(jù)的審核不力或監(jiān)管疏漏，輕則被通報批評或罰款，重則被吊銷經(jīng)營資質(zhì)。《網(wǎng)絡安全法(草案)》、《網(wǎng)絡出版服務管理規(guī)定》、《互聯(lián)網(wǎng)信息服務管理辦法》、《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》、《互聯(lián)網(wǎng)新聞信息服務管理規(guī)定(修訂征求意見稿)》等均明確規(guī)定，企業(yè)有義務此外，《征信業(yè)管理條例》、《人口健康信息管理辦法(試行)》、《網(wǎng)絡借貸信息中介機構業(yè)務活動管理暫行辦法(征求意見稿)》、《人民銀行關于銀行業(yè)金融機構做好

7、個人金融信息保護工作的通知》等均明確禁止向境外轉(zhuǎn)移涉及用戶個人敏感信息的網(wǎng)絡數(shù)據(jù)。七、企業(yè)必須依法留存用戶網(wǎng)絡數(shù)據(jù)七、企業(yè)必須依法留存用戶網(wǎng)絡數(shù)據(jù)立法者必須在個人利益保護與維持合理企業(yè)成本之間找到一個平衡點，一個典型的例子就是在用戶網(wǎng)絡數(shù)據(jù)留存制度設計上。一方面，立法者希望企業(yè)盡可能久的留存用戶信息，以方便網(wǎng)絡監(jiān)管及未來可能的爭議解決另一方面，又擔心企業(yè)長期留存并濫用用戶信息，進而損害個人利益。一個比較常見的留存期限是不少于60天，例如

8、，根據(jù)《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》、《互聯(lián)網(wǎng)信息服務管理辦法》、《互聯(lián)網(wǎng)電子郵件服務管理辦法》、《網(wǎng)絡出版服務管理規(guī)定》等均規(guī)定用戶網(wǎng)絡數(shù)據(jù)應當至少留存60天。但也有例外，例如《網(wǎng)絡游戲管理暫行辦法》要求不得少于180天，《網(wǎng)絡交易管理辦法》要求不得少于兩年。而相反，立法者限定了一些特定領域的網(wǎng)絡數(shù)據(jù)留存最長期限。例如，《快遞條例(征求意見稿)》明確規(guī)定，企業(yè)應當定期銷毀快件運單，確保用戶信息安全《征信業(yè)管理條例》更是明確規(guī)定，征信機

9、構對個人不良信息的保存期限為5年，超過5年的應當予以刪除。八、企業(yè)收集和使用用戶網(wǎng)絡數(shù)據(jù)須經(jīng)許可八、企業(yè)收集和使用用戶網(wǎng)絡數(shù)據(jù)須經(jīng)許可立法者已經(jīng)接受了這一事實，應當限制企業(yè)日益膨脹的數(shù)據(jù)獲取欲望。而目前最好的限制措施莫過于收集和使用用戶網(wǎng)絡數(shù)據(jù)的“披露許可”原則，即披露收集和使用的目的、方式、范圍等，并需要經(jīng)過用戶的同意(但并沒有明確是消極同意還是積極同意)。根據(jù)《關于加強網(wǎng)絡信息保護的決定》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等均明

10、確規(guī)定，企業(yè)在在經(jīng)營活動中收集、使用用戶網(wǎng)絡數(shù)據(jù)信息的，應當明示并公開收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。此外，《網(wǎng)絡交易管理辦法》、《互聯(lián)網(wǎng)電子郵件服務管理辦法》、《互聯(lián)網(wǎng)廣告監(jiān)督管理暫行辦法(征求意見稿)》等明確規(guī)定，企業(yè)未經(jīng)消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發(fā)送商業(yè)性電子信息。綜上，是筆者根據(jù)長期互聯(lián)網(wǎng)法律服務經(jīng)驗，整理的企業(yè)網(wǎng)絡數(shù)據(jù)安全合規(guī)審查(同時也可以用于并購項目中的網(wǎng)絡安全法律盡調(diào))的主

11、要關注點，但這些絕非全部。關于網(wǎng)絡數(shù)據(jù)所有權及其定性，數(shù)據(jù)清洗與交易規(guī)則，等等這些問題，目前在立法與執(zhí)法實踐中還存在一些爭議，還有一些問題在不同的部分法規(guī)中還存在較大的沖突，此外，中國互聯(lián)網(wǎng)立法相對粗糙，且網(wǎng)絡數(shù)據(jù)安全合規(guī)依據(jù)較為分散(本文涉及法律、法規(guī)及規(guī)范性文件30余部)，這就給企業(yè)網(wǎng)絡數(shù)據(jù)安全合規(guī)審查帶來了極大的挑戰(zhàn)。但，如同數(shù)據(jù)網(wǎng)絡不可能絕對安全一樣，我們的目標不是面面俱到，但求有所作為(至少不能違反哪些法律、法規(guī)的強制性規(guī)定)