6月14日,零壹智庫在君合律所舉辦了“如何應對《網絡安全法》系列規(guī)范帶來的新挑戰(zhàn)”閉門會。時值《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)生效不久。最高人民法院、最高人民檢察院聯合發(fā)布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱“兩高司法解釋”)也于《網絡安全法》生效同日起實施。
作為我國網絡安全領域的基本法正式實施,《網絡安全法》是中國第一部關于網絡安全的綜合性法律,包含了若干新的法律概念及規(guī)定,其定義、規(guī)定將對應用本法律、包括金融科技行業(yè)、大數據產業(yè)在內的商業(yè)公司產生深遠影響。
《網絡安全法》立法歷程
《網絡安全法》立法工作啟動始于2013年。在此之前,網絡安全領域的法律、法規(guī)建制,更是經歷了20多年的積累。1994《計算機信息系統(tǒng)安全保護條例》的發(fā)布,是該領域首個法規(guī)。此后該領域法規(guī)逐漸充實豐富,2007《信息安全等級保護管理辦法》出臺;
2012年全國人大發(fā)布《關于加強網絡信息保護的決定》。
《網絡安全法》的出臺,包含了許多與個人信息保護有關的規(guī)定,概括性統(tǒng)籌了以往散見于各個法規(guī)的規(guī)定,也提出了新的法律要求。新法幾大需要注意的地方
《網絡安全法》將網絡運營主體分為三大類別,即網絡運營者、網絡產品和服務提供者和網絡關鍵信息基礎設施運營者,其中網絡關鍵信息基礎設施運營者是首次提出的概念,設置了若干新的法律義務。
《網絡安全法》重申了網絡運營者對個人信息的保護義務,這些義務散見于現有法律、法規(guī),包括:網絡運營者收集、使用個人信息,遵循合法、正當、必要的原則、強調了"不得收集與其提供服務無關的個人信息"和"知情和同意"的要求;僅將個人信息用于個人同意的目的等。除此以外,《網絡安全法》對個人信息保護提出了新規(guī)則,主要有三大方面:
數據泄露通知義務;
個人信息的收集、使用需遵守知情和同意原則,但信息經過處理無法識別特定個人且不能復原的除外;
個人在發(fā)現被收集、存儲的其個人信息有錯誤的或者個人信息的收集、使用違反雙方的約定的時候,有權要求網絡運營者進行修改或者刪除相關個人信息。
阿里巴巴法務官孟潔
大數據采集時需要從不同的層面考慮違規(guī)風險。行政責任方面,有相應的《行政法》、《網絡安全法》和人民銀行的規(guī)定。從刑事責任角度考慮,以往的案例大多是數據詐騙,其司法解釋范圍非常寬。它有幾點值得注意:第一未經同意的收集作為非法行為,這個在以往沒有很明確;第二未經同意的轉讓,比如說人家從別的數據源拿到給我們,或者我們拿到給別人,這個也作為非法的方式;第三,非法侵犯個人信息,"非法"的解釋,按照刑法來講是違反國家的法律和行政法規(guī),這是人大出的規(guī)定和國務院出的規(guī)定。兩條解釋里面擴大到法律行政法規(guī)和規(guī)章。人民銀行的規(guī)定如果是部門規(guī)章關于個人消費者的規(guī)定,它就納入到行政法規(guī)這一塊?!氨热缯f個人金融信息管理除了收集金融信息不能為業(yè)務之外的其他用戶使用,這是一條線,如果用這條線就什么事也做不了。這就面臨著我們探尋的不是法律底線,而是實踐執(zhí)行的實踐底線?!?/p>
《網絡安全法》發(fā)布后,行業(yè)仍存在一些疑問,在實施和執(zhí)行的細節(jié)方面,仍將依賴于更為具體的規(guī)定和主管部門的實施意見出臺。
《網絡安全法》執(zhí)行還存在哪些條文有待明確?
《網絡安全法》實施后,尚存在一些操作細節(jié)的疑惑,這些疑惑或需要監(jiān)管部門出臺相應的實施細則。君合律師事務所合伙人董瀟律師舉了一些例子:
比如收集信息要求遵守知情和同意的原則,披露給消費者的時候披露到什么樣的程度才算是讓消費者足夠的知情,何種方式的同意有效?
《網絡安全法》當中增加了三塊義務,第一就是數據泄露的通知義務,42條規(guī)定如果已經發(fā)生數據泄露的,應該按照相關要求相關規(guī)定去及時的通知消費者,并且報告相應的政府機構。按照相應的規(guī)定,是指按照什么規(guī)定,如何進行相應的報告和通知。
大數據產業(yè)如何規(guī)避違規(guī)?
今年以來,經媒體曝光的數據泄露和數據盜竊事件不斷,《網絡安全法》的實施,為個人消費者提供維權和申訴的法律依據。另一方面,作為數據獲取方的大數據公司,此前所采用購買數據、爬蟲等較為“野蠻”的方式,面臨著困惑和挑戰(zhàn):新的司法解釋出來之后,過去的野蠻的采集方式是否可行?有哪些業(yè)務邊界需要厘清?
董瀟認為,大數據采集和處理時需要從不同的層面考慮違規(guī)風險,例如,需要考慮《網絡安全法》以及相應行業(yè)的規(guī)定、例如人民銀行關于消費金融信息的規(guī)定,來綜合的考慮。而且,從刑事責任角度考慮,以往的案例大多是數據詐騙,但考慮到兩高司法解釋,大數據公司需要更多的考慮操作是否觸及刑法紅線;例如,數據來源是否屬于未經同意的收集;又如,從第三方獲取的數據,第三方是否獲得了足夠的授權。
律師答疑
問:對于企業(yè)的客戶經理的個人違規(guī),有時候是公司無法完全掌控的,如果這種風險發(fā)生,員工當然會開除,對公司造成的法律上的責任怎么界定?
董瀟:這是兩個層面的責任,一個是個人層面的行政責任、刑事責任;對公司來講從《網絡安全法》和工信部之前的規(guī)定來看,規(guī)定一個公司要形成相關的制度,一旦出現風險事件,以此認定這個公司有沒有滿足相應的法律要求做到適當的保護措施。
問:關于授權方式,監(jiān)管機構會出一個更細致的指導嗎?
董瀟:各行各業(yè)不一樣,很難出臺一個統(tǒng)一的辦法。需要從幾個方面進行關注,第一是從刑事責任角度,公安部門檢查部門掌握到哪條線;第二步就是行業(yè)主管機關角度,例如人民銀行對于金融行業(yè)的監(jiān)管、工信部對于互聯網和電信行業(yè)的監(jiān)管,工商局對消費者保護方面的監(jiān)管等等采取何種原則,以及相關領域的行業(yè)實踐是怎樣的。
- 蜜度索驥:以跨模態(tài)檢索技術助力“企宣”向上生長
- 馬云現身支付寶20周年紀念日:AI將改變一切,但不意味著決定一切
- 萬事達卡推出反欺詐AI模型 金融科技擁抱生成式AI
- OpenAI創(chuàng)始人的世界幣懸了?高調收集虹膜數據引來歐洲監(jiān)管調查
- 華為孟晚舟最新演講:長風萬里鵬正舉,勇立潮頭智為先
- 華為全球智慧金融峰會2023在上海開幕 攜手共建數智金融未來
- 移動支付發(fā)展超預期:2022年交易額1.3萬億美元 注冊賬戶16億
- 定位“敏捷的財務收支管理平臺”,合思品牌升級發(fā)布會上釋放了哪些信號?
- 分貝通商旅+費控+支付一體化戰(zhàn)略發(fā)布,一個平臺管理企業(yè)所有費用支出
- IMF經濟學家:加密資產背后的技術可以改善支付,增進公益
- 2022年加密貨幣“殺豬盤”涉案金額超20億美元 英國銀行業(yè)祭出限額措施
免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。