零壹智庫閉門會系列:“《網(wǎng)絡(luò)安全法》實施后金融科技等行業(yè)如何應(yīng)對?”

6月14日,零壹智庫在君合律所舉辦了“如何應(yīng)對《網(wǎng)絡(luò)安全法》系列規(guī)范帶來的新挑戰(zhàn)”閉門會。時值《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)生效不久。最高人民法院、最高人民檢察院聯(lián)合發(fā)布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱“兩高司法解釋”)也于《網(wǎng)絡(luò)安全法》生效同日起實施。

作為我國網(wǎng)絡(luò)安全領(lǐng)域的基本法正式實施,《網(wǎng)絡(luò)安全法》是中國第一部關(guān)于網(wǎng)絡(luò)安全的綜合性法律,包含了若干新的法律概念及規(guī)定,其定義、規(guī)定將對應(yīng)用本法律、包括金融科技行業(yè)、大數(shù)據(jù)產(chǎn)業(yè)在內(nèi)的商業(yè)公司產(chǎn)生深遠(yuǎn)影響。

《網(wǎng)絡(luò)安全法》立法歷程

《網(wǎng)絡(luò)安全法》立法工作啟動始于2013年。在此之前,網(wǎng)絡(luò)安全領(lǐng)域的法律、法規(guī)建制,更是經(jīng)歷了20多年的積累。1994《計算機信息系統(tǒng)安全保護(hù)條例》的發(fā)布,是該領(lǐng)域首個法規(guī)。此后該領(lǐng)域法規(guī)逐漸充實豐富,2007《信息安全等級保護(hù)管理辦法》出臺;

2012年全國人大發(fā)布《關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》。

《網(wǎng)絡(luò)安全法》的出臺,包含了許多與個人信息保護(hù)有關(guān)的規(guī)定,概括性統(tǒng)籌了以往散見于各個法規(guī)的規(guī)定,也提出了新的法律要求。新法幾大需要注意的地方

《網(wǎng)絡(luò)安全法》將網(wǎng)絡(luò)運營主體分為三大類別,即網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者和網(wǎng)絡(luò)關(guān)鍵信息基礎(chǔ)設(shè)施運營者,其中網(wǎng)絡(luò)關(guān)鍵信息基礎(chǔ)設(shè)施運營者是首次提出的概念,設(shè)置了若干新的法律義務(wù)。

《網(wǎng)絡(luò)安全法》重申了網(wǎng)絡(luò)運營者對個人信息的保護(hù)義務(wù),這些義務(wù)散見于現(xiàn)有法律、法規(guī),包括:網(wǎng)絡(luò)運營者收集、使用個人信息,遵循合法、正當(dāng)、必要的原則、強調(diào)了"不得收集與其提供服務(wù)無關(guān)的個人信息"和"知情和同意"的要求;僅將個人信息用于個人同意的目的等。除此以外,《網(wǎng)絡(luò)安全法》對個人信息保護(hù)提出了新規(guī)則,主要有三大方面:

數(shù)據(jù)泄露通知義務(wù);

個人信息的收集、使用需遵守知情和同意原則,但信息經(jīng)過處理無法識別特定個人且不能復(fù)原的除外;

個人在發(fā)現(xiàn)被收集、存儲的其個人信息有錯誤的或者個人信息的收集、使用違反雙方的約定的時候,有權(quán)要求網(wǎng)絡(luò)運營者進(jìn)行修改或者刪除相關(guān)個人信息。

阿里巴巴法務(wù)官孟潔

大數(shù)據(jù)采集時需要從不同的層面考慮違規(guī)風(fēng)險。行政責(zé)任方面,有相應(yīng)的《行政法》、《網(wǎng)絡(luò)安全法》和人民銀行的規(guī)定。從刑事責(zé)任角度考慮,以往的案例大多是數(shù)據(jù)詐騙,其司法解釋范圍非常寬。它有幾點值得注意:第一未經(jīng)同意的收集作為非法行為,這個在以往沒有很明確;第二未經(jīng)同意的轉(zhuǎn)讓,比如說人家從別的數(shù)據(jù)源拿到給我們,或者我們拿到給別人,這個也作為非法的方式;第三,非法侵犯個人信息,"非法"的解釋,按照刑法來講是違反國家的法律和行政法規(guī),這是人大出的規(guī)定和國務(wù)院出的規(guī)定。兩條解釋里面擴(kuò)大到法律行政法規(guī)和規(guī)章。人民銀行的規(guī)定如果是部門規(guī)章關(guān)于個人消費者的規(guī)定,它就納入到行政法規(guī)這一塊?!氨热缯f個人金融信息管理除了收集金融信息不能為業(yè)務(wù)之外的其他用戶使用,這是一條線,如果用這條線就什么事也做不了。這就面臨著我們探尋的不是法律底線,而是實踐執(zhí)行的實踐底線?!?/p>

《網(wǎng)絡(luò)安全法》發(fā)布后,行業(yè)仍存在一些疑問,在實施和執(zhí)行的細(xì)節(jié)方面,仍將依賴于更為具體的規(guī)定和主管部門的實施意見出臺。

《網(wǎng)絡(luò)安全法》執(zhí)行還存在哪些條文有待明確?

《網(wǎng)絡(luò)安全法》實施后,尚存在一些操作細(xì)節(jié)的疑惑,這些疑惑或需要監(jiān)管部門出臺相應(yīng)的實施細(xì)則。君合律師事務(wù)所合伙人董瀟律師舉了一些例子:

比如收集信息要求遵守知情和同意的原則,披露給消費者的時候披露到什么樣的程度才算是讓消費者足夠的知情,何種方式的同意有效?

《網(wǎng)絡(luò)安全法》當(dāng)中增加了三塊義務(wù),第一就是數(shù)據(jù)泄露的通知義務(wù),42條規(guī)定如果已經(jīng)發(fā)生數(shù)據(jù)泄露的,應(yīng)該按照相關(guān)要求相關(guān)規(guī)定去及時的通知消費者,并且報告相應(yīng)的政府機構(gòu)。按照相應(yīng)的規(guī)定,是指按照什么規(guī)定,如何進(jìn)行相應(yīng)的報告和通知。

大數(shù)據(jù)產(chǎn)業(yè)如何規(guī)避違規(guī)?

今年以來,經(jīng)媒體曝光的數(shù)據(jù)泄露和數(shù)據(jù)盜竊事件不斷,《網(wǎng)絡(luò)安全法》的實施,為個人消費者提供維權(quán)和申訴的法律依據(jù)。另一方面,作為數(shù)據(jù)獲取方的大數(shù)據(jù)公司,此前所采用購買數(shù)據(jù)、爬蟲等較為“野蠻”的方式,面臨著困惑和挑戰(zhàn):新的司法解釋出來之后,過去的野蠻的采集方式是否可行?有哪些業(yè)務(wù)邊界需要厘清?

董瀟認(rèn)為,大數(shù)據(jù)采集和處理時需要從不同的層面考慮違規(guī)風(fēng)險,例如,需要考慮《網(wǎng)絡(luò)安全法》以及相應(yīng)行業(yè)的規(guī)定、例如人民銀行關(guān)于消費金融信息的規(guī)定,來綜合的考慮。而且,從刑事責(zé)任角度考慮,以往的案例大多是數(shù)據(jù)詐騙,但考慮到兩高司法解釋,大數(shù)據(jù)公司需要更多的考慮操作是否觸及刑法紅線;例如,數(shù)據(jù)來源是否屬于未經(jīng)同意的收集;又如,從第三方獲取的數(shù)據(jù),第三方是否獲得了足夠的授權(quán)。

律師答疑

問:對于企業(yè)的客戶經(jīng)理的個人違規(guī),有時候是公司無法完全掌控的,如果這種風(fēng)險發(fā)生,員工當(dāng)然會開除,對公司造成的法律上的責(zé)任怎么界定?

董瀟:這是兩個層面的責(zé)任,一個是個人層面的行政責(zé)任、刑事責(zé)任;對公司來講從《網(wǎng)絡(luò)安全法》和工信部之前的規(guī)定來看,規(guī)定一個公司要形成相關(guān)的制度,一旦出現(xiàn)風(fēng)險事件,以此認(rèn)定這個公司有沒有滿足相應(yīng)的法律要求做到適當(dāng)?shù)谋Wo(hù)措施。

問:關(guān)于授權(quán)方式,監(jiān)管機構(gòu)會出一個更細(xì)致的指導(dǎo)嗎?

董瀟:各行各業(yè)不一樣,很難出臺一個統(tǒng)一的辦法。需要從幾個方面進(jìn)行關(guān)注,第一是從刑事責(zé)任角度,公安部門檢查部門掌握到哪條線;第二步就是行業(yè)主管機關(guān)角度,例如人民銀行對于金融行業(yè)的監(jiān)管、工信部對于互聯(lián)網(wǎng)和電信行業(yè)的監(jiān)管,工商局對消費者保護(hù)方面的監(jiān)管等等采取何種原則,以及相關(guān)領(lǐng)域的行業(yè)實踐是怎樣的。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2017-06-19
零壹智庫閉門會系列:“《網(wǎng)絡(luò)安全法》實施后金融科技等行業(yè)如何應(yīng)對?”
《網(wǎng)絡(luò)安全法》實施后,尚存在一些操作細(xì)節(jié)的疑惑,這些疑惑或需要監(jiān)管部門出臺相應(yīng)的實施細(xì)則。

長按掃碼 閱讀全文