零壹智库闭门会·第11期:《网络安全法》实施后金融科技等行业如何应对?

闭门会 零壹智库 · 零壹智库 2017-06-19

6月14日,零壹智库在君合律所举办了“如何应对《网络安全法》系列规范带来的新挑战”。时值《中华人民共和国网络安全法》(以下简称《网络安全法》)生效不久。最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“两高司法解释”)也于《网络安全法》生效同日起实施。

作为我国网络安全领域的基本法正式实施,《网络安全法》是中国第一部关于网络安全的综合性法律,包含了若干新的法律概念及规定,其定义、规定将对应用本法律、包括金融科技行业、大数据产业在内的商业公司产生深远影响。

《网络安全法》立法历程

《网络安全法》立法工作启动始于2013年。在此之前,网络安全领域的法律、法规建制,更是经历了20多年的积累。1994《计算机信息系统安全保护条例》的发布,是该领域首个法规。此后该领域法规逐渐充实丰富,2007《信息安全等级保护管理办法》出台;2012年全国人大发布《关于加强网络信息保护的决定》。

《网络安全法》的出台,包含了许多与个人信息保护有关的规定,概括性统筹了以往散见于各个法规的规定,也提出了新的法律要求。

网络安全及相关领域法律法律法规立法进程 图/君合律所 董潇

新法几大需要注意的地方

《网络安全法》将网络运营主体分为三大类别,即网络运营者、网络产品和服务提供者和网络关键信息基础设施运营者,其中网络关键信息基础设施运营者是首次提出的概念,设置了若干新的法律义务。

《网络安全法》重申了网络运营者对个人信息的保护义务,这些义务散见于现有法律、法规,包括:网络运营者收集、使用个人信息,遵循合法、正当、必要的原则、强调了"不得收集与其提供服务无关的个人信息"和"知情和同意"的要求;仅将个人信息用于个人同意的目的等。除此以外,《网络安全法》对个人信息保护提出了新规则,主要有三大方面:

 
数据泄露通知义务;
 
个人信息的收集、使用需遵守知情和同意原则,但信息经过处理无法识别特定个人且不能复原的除外;

个人在发现被收集、存储的其个人信息有错误的或者个人信息的收集、使用违反双方的约定的时候,有权要求网络运营者进行修改或者删除相关个人信息。


阿里巴巴法务官孟洁解读表示,非法提供和非法获取都要被追究刑事责任。现在,以下行为都有可能被认定为非法获取,比如,没有公开收集规则、收集目的和使用方式的;第二是收集与所提供服务无关的信息;第三,收集超出约定范围的信息的,等等。建议涉及金融、大数据等行业的相关企业充分关注获取数据信息的合规性问题并制定相应的落地措施。这不仅仅是《网络安全法》的要求,我国许多部门规章、行政法规等规定都涉及到个人信息的收集。

《网络安全法》发布后,行业仍存在一些疑问,在实施和执行的细节方面,仍将依赖于更为具体的规定和主管部门的实施意见出台。

《网络安全法》执行还存在哪些条文有待明确?

《网络安全法》实施后,尚存在一些操作细节的疑惑,这些疑惑或需要监管部门出台相应的实施细则。君合律师事务所合伙人董潇律师举了一些例子:

比如收集信息要求遵守知情和同意的原则,披露给消费者的时候披露到什么样的程度才算是让消费者足够的知情,何种方式的同意有效?

《网络安全法》当中增加了三块义务,第一就是数据泄露的通知义务,42条规定如果已经发生数据泄露的,应该按照相关要求相关规定去及时的通知消费者,并且报告相应的政府机构。按照相应的规定,是指按照什么规定,如何进行相应的报告和通知。

大数据产业如何规避违规?

今年以来,经媒体曝光的数据泄露和数据盗窃事件不断,《网络安全法》的实施,为个人消费者提供维权和申诉的法律依据。另一方面,作为数据获取方的大数据公司,此前所采用购买数据、爬虫等较为“野蛮”的方式,面临着困惑和挑战:新的司法解释出来之后,过去的野蛮的采集方式是否可行?有哪些业务边界需要厘清?

董潇认为,大数据采集和处理时需要从不同的层面考虑违规风险,例如,需要考虑《网络安全法》以及相应行业的规定、例如人民银行关于消费金融信息的规定,来综合的考虑。而且,从刑事责任角度考虑,以往的案例大多是数据诈骗,但考虑到两高司法解释,大数据公司需要更多的考虑操作是否触及刑法红线;例如,数据来源是否属于未经同意的收集;又如,从第三方获取的数据,第三方是否获得了足够的授权。

律师答疑

问:对于企业的客户经理的个人违规,有时候是公司无法完全掌控的,如果这种风险发生,员工当然会开除,对公司造成的法律上的责任怎么界定?

董潇:这是两个层面的责任,一个是个人层面的行政责任、刑事责任;对公司来讲从《网络安全法》和工信部之前的规定来看,规定一个公司要形成相关的制度,一旦出现风险事件,以此认定这个公司有没有满足相应的法律要求做到适当的保护措施。

问:关于授权方式,监管机构会出一个更细致的指导吗?
董潇:各行各业不一样,很难出台一个统一的办法。需要从几个方面进行关注,第一是从刑事责任角度,公安部门检查部门掌握到哪条线;第二步就是行业主管机关角度,例如人民银行对于金融行业的监管、工信部对于互联网和电信行业的监管,工商局对消费者保护方面的监管等等采取何种原则,以及相关领域的行业实践是怎样的。

0

相关文章

我来评论

评论“零壹智库闭门会·第11期:《网络安全法》实施后金融科技等行业如何应对?”

取消 提交 请输入内容!

评论

  • 解码金融科技上市潮

    解码金融科技上市潮

  • 中国贷后风险管理及资产处置峰会

    中国贷后风险管理及资产处置峰会

  • 零壹数据新金融排行榜

    零壹数据新金融排行榜

耗时 149ms